Con motivo del día Internacional de la Ciberseguridad, el pasado 30 de noviembre, no viene mal recordar, de nuevo, la importancia que la seguridad de la información tiene.
Como hemos venido repitiendo en diferentes artículos, hoy en día, en un mundo cada vez más digitalizado, protección de datos y ciberseguridad forman parte de un mismo ámbito dentro del cumplimiento normativo de las empresas. La primera no se puede entender sin la segunda, pues podemos contar con todos los protocolos necesarios en cumplimiento del RGPD y la LOPDGDD, pero si no tomamos medidas encaminadas a proteger nuestra información automatizada posiblemente de nada servirán nuestros esfuerzos.
Directiva europea de ciberseguridad
Lo anterior se refuerza si tenemos en cuenta que está en camino la conocida como NIS2, o nueva Directiva Europea de Ciberseguridad, aún en fase de borrador, y que vendrá a sustituir, cuando se apruebe, a la Directiva NIS, adaptada en España mediante el Real Decreto 12/2018, desarrollado por el real Decreto-Ley 43/2021.
La nueva Directiva pretende ampliar los sujetos obligados, reforzar las medidas de control de los servicios de computación en nube, homogeneizar la normativa en el ámbito de los Estados europeos, e implementar un proceso sancionador más restrictivo y exigente.
Dentro de esta exigencia se contempla en la NIS2 que la ciberseguridad sea reconocida de forma expresa como una responsabilidad en la empresa al más alto nivel, involucrando a los altos directivos
No es extraño que se pretenda elevar el nivel de exigencia en ciberseguridad. Sabemos los datos que nos ha dejado la pandemia en este campo, duplicando, por ejemplo, los ciberdelitos y triplicando los ataques mediante ramsomware. Sin embargo, no parece que en las empresas esto haya supuesto un incremento de las medidas de seguridad en la misma proporción, lo cual es preocupante, no solo en aras a evitar sanciones, sino para no poner en juego la propia continuidad del negocio.
La cultura de la ciberseguridad en las empresas
Al igual que ocurre con el RGPD y la LOPDGDD, es fundamental, más allá del mero cumplimiento formal o “estético”, introducir en las empresas una verdadera cultura de la ciberseguridad, que permita, no solo adoptar medidas técnicas, sino concienciar al personal que tenga acceso a la información del importante papel que juegan en la prevención de posibles ataques informáticos.
A la espera de la NIS2, y con los medios y conocimiento de los que ya disponemos, uno de los puntos clave a la hora de implementar esta cultura de ciberseguridad que perdure en el tiempo sería el de “formación, formación, formación y después…más formación”. Fundamental en todos los campos, y especialmente importante en el de la seguridad informática. Los trabajadores deben tener conciencia de los riesgos y ser capaces de identificar cuándo se encuentran ante uno de ellos (páginas poco seguras, correos con virus malicioso, etc…), proporcionándoles por parte de la empresa los medios y herramientas adecuadas para obtener una capacitación y conocimientos mínimos en conceptos relacionados con la ciberseguridad.
