Francisco Perez Bes.

Opinión

Ciberseguridad frente a la pérdida de dispositivos de almacenamiento 'in itinere'

Socio de derecho digital en Ecix Group y mentor de la National Cyberleague GC.

Guardar

Muchas empresas están regulando las obligaciones de sus empleados 'in itinere'.
Muchas empresas están regulando las obligaciones de sus empleados 'in itinere'.

Un empleado del Ayuntamiento de París denunció hace unos días el robo de un ordenador y memorias USB que contenían planos de seguridad para los próximos Juegos Olímpicos de Verano, que se celebrarán en la capital francesa del 26 de julio al 11 de agosto.

Un incidente de tal naturaleza muestra la estrecha relación que existe entre la ciberseguridad y la seguridad física en el contexto de los viajes de personas con acceso a información estratégica en las organizaciones.

Y es que, mientras es habitual priorizar la defensa cibernética, en no pocas ocasiones los incidentes más graves se producen como consecuencia del robo o extravío de dispositivos de almacenamiento en los que se aloja información de alto valor.  Especialmente en cierto tipo de viajes, donde el custodio de la información puede desatender temporalmente su equipaje, aumentando el riesgo de pérdida de disponibilidad y confidencialidad de la información.

Como podremos imaginar, un incidente de esta naturaleza hace plantear serias preocupaciones acerca de la seguridad de un evento de importancia mundial. La pérdida de los planos de seguridad del despliegue policial, diseñados para garantizar la integridad de atletas, espectadores y personal durante los Juegos Olímpicos, representa una amenaza potencial para la seguridad de este evento.

Este tipo de prácticas de gestión del riesgo se han recogido en la Directiva NIS2, actualmente en proceso de transposición al ordenamiento jurídico español, bajo la denominación de ciberhigiene. En efecto, su artículo 21.2.g) dice:

“Las medidas a que se hace referencia en el apartado 1 se fundamentarán en un enfoque basado en todos los peligros que tenga por objeto proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a incidentes, e incluirán al menos los siguientes elementos: g) las prácticas básicas de ciberhigiene y formación en ciberseguridad;”

Con respecto a este tipo de prácticas, el Considerando 50 de la Directiva añade que la sensibilización en materia de ciberseguridad y la ciberhigiene son esenciales para mejorar el nivel de ciberseguridad dentro de la Unión, en particular a la luz del creciente número de dispositivos conectados que cada vez con más frecuencia se usan en los ciberataques. “Deben realizarse esfuerzos para aumentar la sensibilización general sobre los riesgos relacionados con dichos dispositivos, mientras que las evaluaciones a escala de la Unión podrían contribuir a garantizar una comprensión común de dichos riesgos en el mercado interior”, añade la Directiva.

Muchas empresas han comenzado a implementar políticas internas a través de la cuales se regulan en las obligaciones de sus empleados in itinere o durante un viaje de trabajo, a la vista del riesgo que supone para la empresa -y para su información- los traslados de empleados que llevan consigo información confidencial o de carácter estratégico, especialmente si el destino del viaje es un país que pueda tener interés en acceder a esa información, o si el motivo del viaje tiene que ver con algún tipo de operación societaria relevante.

En este sentido, no hay que olvidar el riesgo al que pueden enfrentar a la empresa algunos de sus proveedores (como el caso de los despachos de abogados) cuando se desplazan a determinadas negociaciones, due dilligences o similares, pues llevan consigo información crítica y estratégica de su cliente, considerada en muchas ocasiones como información privilegiada, que requerirían medidas de seguridad -en ocasiones- extremas.

Llegados a este punto, y sin perjuicio de que muchas empresas cotizadas ya han incorporado esta línea de buenas prácticas a su práctica diaria, cabe reivindicar la utilidad de contar con expertos en ciberinteligencia, que puedan ayudar a las empresas a formar a sus empleados durante viajes de trabajo en los que pueda ponerse en riesgo información corporativa de alto valor.