Ciberseguridad, el factor tecnológico de la cultura de compliance

Unión Profesional y Aranzadi La Ley Formación celebraron el 22 de mayo el taller: La Ciberseguridad, componente estratégico de las organizaciones.

Abordar desde un enfoque normativo y práctico los aspectos que abarca la ciberseguridad y cómo ello tiene también impacto en las organizaciones colegiales y el ejercicio profesional fue el contenido central del taller: La Ciberseguridad, componente estratégico de las organizaciones, celebrado el 22 de mayo por Unión Profesional y Aranzadi La Ley Formación. 

Durante la presentación de la jornada formativa, Alicia Calderón, especialista en Formación In Company e Innovación Educativa de Aranzadi La Ley Formación, puso en valor el convenio en el marco de las relaciones institucionales con Unión Profesional desde hace años para ofrecer formación específica, como es la ciberseguridad, dirigida a las corporaciones colegiales y sus profesionales. 

En esta línea, Gonzalo Múzquiz, secretario técnico de Unión Profesional, subrayó la necesidad de la formación continuada a largo de la vida profesional en materias como la ciberseguridad que tienen una gran relevancia tanto en el ejercicio individual, como en el plano institucional colegial.

Por su parte, Eugenio Sánchez, responsable del departamento de Economía de Unión Profesional, apuntó el carácter transversal de la ciberseguridad y su creciente complejidad, que atraviesa el funcionamiento de las corporaciones. Así, distinguió que una adecuada gestión de la ciberseguridad puede suponer la diferencia entre una entidad avanzada y reconocida por sus buenas prácticas, y otra que pueda enfrentarse a sufrir pérdidas de diversa índole operativa, financiera y, en definitiva, reputacional. Por todo ello, la ciberseguridad ha de estar enmarcada dentro de la cultura de compliance. Filosofía que condujo a Unión Profesional a presentar en el 2023 el Modelo de Referencia sobre cumplimiento dirigido a las corporaciones colegiales. 

La ciberseguridad contempla una arquitectura de elementos técnicos y jurídicos implicados que precisan un abordaje técnico y profesionalizado en aras de proteger el funcionamiento institucional y generar confianza para la sociedad.

CONTEXTO CRECIENTE DE AMENAZAS

En este contexto, la parte central del taller fue realizada por Jesús Yáñez, socio de las áreas de privacidad, cumplimiento normativo y ciberseguridad de ECIJA. Durante su exposición ilustró de forma pedagógica la evolución sobre la tipología de incidentes de ciberseguridad en los últimos años que afectan indistintamente tanto al sector público, como al sector privado y en los que la Inteligencia Artificial (IA) cobra cada vez más importancia. 

Solo en el 2023 se produjeron más de 9.000 ataques que inutilizaron los dispositivos de organizaciones o ciudadanos, o más de 28.000 casos de fraude reportados por las víctimas según los datos del Instituto Nacional de Ciberseguridad (INCIBE). En tal sentido, las amenazas más habituales y destacadas tienen que ver con el Phising (suplantación de identidad), el Ransonware (secuestro de datos) y el Malware (software malicioso para dañar sistemas informáticos).  

MARCO NORMATIVO

Dentro del marco normativo, Yáñez distinguió tres bloques principales: privacidad, seguridad de la información, y el sector financiero y de seguros que están altamente regulados. A tal efecto, hizo repaso sobre las implicaciones del Reglamento General de Protección de Datos (RGPD), la Directiva NIS2, que es la legislación en la Unión Europea en materia de ciberseguridad cuyo plazo de trasposición concluye en octubre del 2024 y que presumiblemente englobaría a las corporaciones colegiales, el Reglamento DORA —Digital Operational Resilience Act— enfocado en el sector financiero, o la normativa Digital Resilience Act (DRA), aún en fase de propuesta, para productos con componentes electrónicos que traten información. De igual forma, para la configuración de los Sistemas de Gestión de Seguridad de la Información (SGSI) refirió la norma ISO 27001: 2022, que guarda similitudes con el Esquema Nacional de Seguridad. 

En contraste, subrayó las oportunidades que ofrece la IA para prevenir y abordar con mayor eficacia cuestiones sobre ciberseguridad en numerosas áreas, sin perder de vista que los riesgos de su uso pueden comprometer la información confidencial, la propiedad intelectual, o llevar a decisiones sesgadas, ciberdelincuencia, etc.  

RECOMENDACIONES DE SEGURIDAD

A tenor de este panorama, Yáñez describió desde un prisma esquemático aquellas medidas de seguridad que sería interesante adoptar también en el caso de las corporaciones colegiales en la medida que, por ejemplo, tratan datos sensibles y son esenciales para mantener su imagen y reputación. Entre ellas: medidas de protección y control de acceso físico a la información; gestión de soportes como los encriptados; accesos lógicos en materia de credenciales; registros de acceso a los datos; copias de seguridad de la información; resiliencia y continuidad de negocio, como fuentes de alimentación redundante; gestión y notificación de brechas de seguridad; comunicaciones y filtrados; vulnerabilidades; entornos virtuales de trabajo separados; anonimización; y formación para el ámbito directivo y el personal. 

En suma, la ciberseguridad contempla una arquitectura de elementos técnicos y jurídicos implicados que precisan un abordaje técnico y profesionalizado en aras de proteger el funcionamiento institucional y generar confianza para la sociedad.