Post-it en pantallas no bloqueadas, “reprimendas” por voice phising ante usos inadecuados de los dispositivos corporativos mailings también por phising con links intencionados, llamadas para la re-acreditación, retirada de dispositivos desatendidos y bloqueo de PC’s por phising son algunas de las medidas que aplican las grandes empresas para concienciar a sus empleados sobre la importancia de hacer un uso seguro de sus ordenadores, tablets y teléfonos de empresa. La ciberseguridad se está configurando como un riesgo altísimo para las organizaciones que con ella ven peligrar sus datos más sensibles, su reputación corporativa e, incluso, su estabilidad financiera y sobre todo ello ha girado la jornada “El empleado en el centro de la ciberseguridad”, organizada por APD con la colaboración de Accenture.
“Hay que elevar el concepto de seguridad a la categoría de cultura”, ha afirmado Francisco Puertas, Responsable de Talent & Organization Spain, Portugal and Israel Lead de Accenture Strategy. “En el 95% de los casos las brechas de seguridad se producen por incumplimiento de los protocolos” y por ello -ha insistido- es fundamental inocular los comportamientos seguros en el ADN operacional para convertirlos en hábitos de los empleados tanto en su rol de trabajadores como en su rol privado. El móvil, las redes sociales e internet en general son, para un delincuente, la llave de entrada a nuestra vida, y es necesario que la sociedad, las empresas y las personas adquieran consciencia de ello.
A lo largo de la jornada se han analizado cuestiones como la vulnerabilidad de la economía digital, la ciberseguridad corporativa y su trascendencia más allá de la tecnología y el papel crítico que tienen los empleados en la eficacia de los protocolos de seguridad. Sobre esta última cuestión empresas como Renfe, Telefónica, Banco Santander y Adecco compartieron sus estrategias de actuación a la vez que desde el despacho Garrigues se formulaban los principales riesgos penales que se derivan para la alta dirección y desde Dirección General de la Policía se instaba a recurrir a la denuncia como primera vía de reacción ante supuestos casos de malware, suplantación de identidad digital y fraudes online, entre otros delitos similares. La mesa, moderada por la Directora de ORH-Observatorio de Recursos Humanos, ha suscitado un interesante debate en el que se ha puesto de manifiesto la complejidad de un problema que sólo acaba de empezar y en el que las legislaciones nacionales e internacionales han de asumir la iniciativa para acompañar la colaboración que en estos delitos mantienen los distintos cuerpos de seguridad.
“Empresas como la nuestra estamos ante un riesgo no sólo operacional sino incluso existencial” ha afirmado Mikel Zaldívar, director de Riesgo Tecnológico y Operacional de Banco Santander, y ello porque en la medida en que el tipo de información que pudiera expuesto al delincuente informático comprometería seriamente su credibilidad en el mercado. Rememorando el reciente ataque de alcance mundial que en España afectó a varias grandes empresas, entre ellas Telefónica, su director de Ciberseguridad Interna, Alejandro Becerra, ha recordado una de las primeras decisiones que tomaron fue la de hacer público el ataque con la convicción de que era la respuesta más adecuada para minimizar el impacto del mismo en su reputación corporativa.
Pedro Jesús Pacheco, Comisario Jefe de la Brigada de Seguridad Informática de la Unidad de Investigación Tecnológica de la Dirección General de la Policía, ha aplaudido la medida, recordando que el principal problema con el que se enfrentan las fuerzas de seguridad es que “en la mayoría de los casos la situación ni siquiera se denuncia. Nos llegan una mínima parte de los delitos”, ha reconocido, precisamente por el temor al impacto mediático que pueda tener para las empresas.
La comunicación, la formación y unas reglas claras que marcan el terreno de juego al empleado sobre qué puede hacer y qué no con los equipos informáticos de la empresa y cómo son fundamentales para crear esa cultura de seguridad de la que hablábamos al inicio, tal y como recoge en su estrategia el Grupo Adecco. Su directora de RR.HH., Encarna Maroño, ha explicado que sus actuaciones alcanzan incluso al propio contrato de trabajo, en cuyo clausulado se incorporan alusiones expresas a dichas normas de uso.
Este celo empieza a alcanzar también a las empresas contratistas y así lo ha advertido el Director del Centro de Estudios de Movilidad e IoT del ISMS CISO de Renfe Operadora, Francisco Lázaro, para quien “puede suponer un efecto multiplicador del riesgo que asumimos como que contratamos sus servicios”, un riesgo que cada vez se tiende a contrarrestar exigiéndoles como condición sine qua non sus protocolos de seguridad.
La asunción de responsabilidades ante efectos sobre terceros por brechas de seguridad ha sido también una cuestión comentada con interés, en la medida en que el posicionamiento actual de los tribunales está generando un cierto sentimiento de indefensión en la alta dirección, que puede llegar a verse comprometida con responsabilidades penales de hasta 5 años de cárcel. En este ámbito para Helena Prieto, socia del Área de Derecho Penal de Garrigues, la facultad controladora del empresario, especialmente en el caso de los BYOD, se enfrenta a serias lagunas.
