El ataque informático o incidente de seguridad informático – en sus distintas modalidades y ya sea destruyendo la integridad de los datos, la disponibilidad de los mismos, o su confidencialidad – es una amenaza cada vez más frecuente para la gestión de las empresas[1].

Contar entonces con las medidas de prevención y respuesta adecuadas ante un ataque informático se ha transformado en una preocupación más que los directores de las empresas no pueden desatender.

Seguidamente esbozaremos algunas ideas para lidiar con un incidente de seguridad informático.

1) Prevención del ataque informático

En orden a la prevención de un ataque informático las empresas pueden:

a) Realizar una evaluación – sea a través de su propio departamento interno de sistemas o de empresas especializadas en la provisión de equipos y servicios de seguridad informática – de su estado de seguridad de datos, sean propios o de terceros;

b) Tener registradas las bases que mantengan ante el Registro Nacional de Bases de Datos Personales, y cumplir con todas las obligaciones relativas a la designación del responsable, medidas de seguridad recomendadas, transferencia de datos al exterior, etc.;

c) En cuando a la integridad de y acceso a la información, tener backups de diferentes maneras y en distintos lugares de localización, internos y externos, físicos o virtuales;

d) Contar con todos los dispositivos de seguridad necesarios para el nivel de protección requerido, por ejemplo, servidores, routers específicos para la prevención de incidentes de seguridad informáticos, etc.

e) Elaborar una política técnica interna de seguridad de datos de cumplimiento obligatorio para el personal y directivos, con capacitaciones regulares de los mismos, estableciendo las conductas a promoverse o evitarse (por ejemplo, no visitar sitios de Internet sin certificados de seguridad vigentes, no acceder a URLs dudosas, no abrir archivos adjuntos que no provengan de una fuente confiable, no descargar programas que no sean los de uso autorizado de la empresa, no utilizar los equipos, servidores, redes y conexiones para usos personales, etc.;

f) Elaborar una política laboral interna de uso de Internet y recursos informáticos, estableciendo claramente a los empleados que se puede hacer o no y las sanciones para el caso de incumplimiento;

g) Incluir en los contratos que la empresa celebre con terceros cláusulas especiales con distintas obligaciones: establecimiento de requerimientos de seguridad de información que sigan las mismas políticas técnicas que tiene la empresa; de notificación inmediata de los ataques informáticos que comprometan datos; colaboración con el manejo e investigación de los incidentes de seguridad informática; indemnización de los daños que se ocasionen por el ataque informático; contratación de un seguro de ciber seguridad, etc.

h) Contratar los servicios de una empresa especializada en seguridad informática para que analice la situación actual de las sistemas de la empresa, detecte sus vulnerabilidades, diseñe los cambios a introducir y los equipos de protección a utilizar y monitoree externamente 24 x 7 x 365 la seguridad de los sistemas empresarios;

i) Contratar un seguro de riesgos cibernéticos que cubra los potenciales daños y responsabilidades por el ataque informático.

2) Respuesta ante el ataque informático

Ante un incidente de seguridad informático, las empresas pueden:

a) Garantizar la seguridad de los backups externos y poner en ejecución las medidas de limpieza de los medios de almacenamiento internos y recuperación de la información, previa detección de las vulnerabilidades e implementación de las medidas de seguridad pertinentes para evitar nuevos ataques;

b) Comunicar a los terceros cuyos datos puedan estar comprometidos la ocurrencia del incidente de seguridad y las medidas tomadas ante el mismo para la salvaguarda de los datos;

c) Resguardar la evidencia para poder reconstruir lo ocurrido y realizado y ponerlo a disposición de las autoridades correspondientes.

d) Efectuar las denuncias policiales y penales que correspondan para investigar los posibles hechos delictivos, e identificar a los autores;

e) Evaluar cuidadosamente las implicancias legales de un eventual pago de rescate en caso de que se trate de un ataque informático del tipo de los ransomwares (o secuestro de datos), tanto desde el punto de vista de la justificación del origen de los medios de pago utilizados (usualmente criptoactivos) como de las posibles infracciones a normativas locales o internacionales sobre lavado de dinero y financiación de actividades ilícitas, terroristas, etc.;

f) Instruir los sumarios internos y tomar las medidas disciplinarias laborales que correspondan con el personal que pudo haber infringido alguna de las medidas de seguridad que posibilitaron el ataque informático.

En resumen, un adecuado asesoramiento técnico y legal en la implementación de las medidas de prevención y respuesta ante un ataque informático es entonces clave para mitigar los riesgos o paliar las consecuencias de un incidente de seguridad.

[1] Estos ataques informáticos podrán constituir delitos si encuadran en algunos de los tipos previstos en el Código Penal de la Nación.

Mario E. Castro Sammartino

Nuestras publicaciones expresan exclusivamente la opinión de su autor y no constituyen consejo ni opinión legal sobre caso alguno. De necesitarlo debe consultar con su abogado de confianza.

Si desea información sobre cuestiones legales de interés o consultar sobre su caso particular, por favor, suscríbase a nuestro Blog Legal o contáctenos a su conveniencia.