El próximo mes de mayo del 2018 es la fecha marcada por el Gobierno para la entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la Unión Europea que desarrolla aspectos importantes de ciberseguridad. Esta nueva legislación trata de poner freno a los recientes ataques que se han venido produciendo como el virus WannaCry o las nuevas generaciones de ciberataques conocidos como ramsonware. Estos ataques encriptan los ficheros del ordenador afectado, para posteriormente pedir un rescate a cambio de la información y, además, terminar propagándose por el resto de equipos conectados a la red de la empresa.
Estos ataques con tanta repercusión los últimos meses no son hechos aislados, la Comisión Europea estima que desde 2016 se han producido a un ritmo de 4.000 ataques diarios, tanto contra sistemas informáticos de grandes multinacionales como contra los sistemas operativos de los sectores públicos de los distintos miembros de la Unión. De igual manera, se advierte que, aunque los últimos ataques importantes han afectado al sistema operativo Windows, también se está actuando contra Linux, Mac Os y Android.
La nueva directriz para combatir amenazas y vulnerabilidades en seguridad informática
Con la nueva reglamentación en materia de ciberseguridad, se trata de instar a las empresas a tomar medidas contra las amenazas y vulnerabilidades en seguridad informática, de tal manera que se obligará a las empresas a comunicar a las autoridades competentes los ataques sufridos en el plazo de 72 horas desde que se han producido. Con esto se busca lograr una reacción rápida por todas las partes, antes de que el efecto del ataque sea demasiado grande, y evitar los casos que se venían produciendo, donde las compañías evitaban comunicar el ataque, para no dañar la imagen de la empresa, hasta que el virus se había convertido en imparable para el departamento de seguridad informática. Las compañías deberán informar de los datos que han sido vulnerados a la autoridad competente y, en caso de verse comprometidos los derechos y libertades de los afectados, se les deberá notificar también inmediatamente.
Una segunda actuación a la que obliga la nueva legislación es adoptar medidas tecnológicas y organizativas preventivas por las empresas para frenar los ataques. Ante cualquier ciberataque deberán comunicar las medidas que adoptaron y las debilidades de sus sistemas informáticos, de tal manera que, si el órgano competente, la Agencia Española de Protección de Datos en este caso, determina que no se adoptaron las medidas correctas en ciberseguridad, las empresas podrán ser sancionadas. Finalmente, el reglamento obligará a contratar a un único proveedor tecnológico con acceso a los datos personales y confidenciales que ofrezca las suficientes garantías en materia de seguridad acorde a la reglamentación. Todo esto viene acompañado de la recomendación de usar software original para tener derecho a las actualizaciones y parches en materia de ciberseguridad, que las empresas desarrolladoras de este software emiten al momento para poder frenar los ataques. Todas estas medidas serán el paquete de actuaciones a desarrollar por las empresas durante el próximo año.
Ciberseguridad, un mercado laboral en expansión
Los ataques informáticos están en claro crecimiento, pasando de 50.000 detectados, en 2015, a 115.000 durante el 2016. Se debe tener en cuenta que no todos los ataques son denunciados, ya que suponen una mala imagen para la marca de la empresa. Esto ha lanzado los másteres en ciberdelincuencia y ciberataques, así como estudios de posgrado en la mayoría de grandes universidades, con el objetivo de dar formación cualificada. Este personal cualificado cubrirá la demanda de profesionales en el sector y las futuras necesidades que vendrán con la puesta en marcha de la reglamentación por parte de las empresas para disponer de departamentos de seguridad informática que garanticen el cumplimiento de los estándares en ciberseguridad.
