Ciberseguridad

El término ciberseguridad o seguridad informática hace referencia a los sistemas, herramientas, protocolos, medidas y reglas que tienen relación directa con la protección de los servidores y los equipos informáticos,
Todas estas acciones trabajan como una capa de seguridad, actuando en cuatro momentos:
• Acciones encaminadas a la prevención que tratan de evitar que se produzca un ataque.
• Acciones encaminadas a neutralizar un ataque una vez que este se produce.
• Acciones encaminadas a reducir las consecuencias o efectos de un ataque, si el ataque tiene éxito: restablecimiento de sistemas, recuperación de información, etc.
• Acciones encaminadas a la mejora continua de las tres primeras.

Hoy en día estamos cada vez más conectados, vivimos en un mundo global, móvil y digital, en el que los riesgos se han multiplicado exponencialmente. La cada vez mayor peligrosidad consecuencia de la digitalización de prácticamente todo, ha dado pie a un nuevo auge de esta disciplina que trabaja principalmente en evitar dos tipos de peligros:
• Los daños en las infraestructuras informáticas y por tanto la caída de los servicios con componente tecnológico que ofrecemos a nuestros clientes. Es decir, tratan de evitar que no podamos continuar con nuestro trabajo o con nuestro negocio.
• Robo de datos. Estos pueden ser de muy distinta índole. Datos de nuestros clientes, datos de patentes o información referente a nuestro negocio como beneficios, inversiones, planes de expansión u otro tipo de información sensible, personal o empresarial.
Para lograr estos objetivos se trabaja desde dos frentes:
• Desde el ámbito nacional e internacional. Trabajando en la creación de estándares y en el desarrollo de políticas comunes entre los miembros de la unión europea y entre estos y el resto de organizaciones competentes a nivel internacional.
• Desde el ámbito empresarial. Trabajando para adaptar los estándares a las necesidades concretas de cada organización, e impulsando el uso de herramientas, procesos y acciones concretas para prevenir, parar o minimizar los efectos de estos ataques.

Normativa legal sobre Ciberseguridad
Cada vez más la seguridad en el ciberespacio es un objetivo común y se ha convertido por derecho propio en parte integrante de las agendas de los estados, cooperando estrechamente entre ellos para crear una base normativa que regule derechos, obligaciones y sanciones. Las principales normas a nivel comunitario y nacional sobre la materia son:

1. NORMATIVA EUROPEA

• Estrategia de Ciberseguridad de la Unión Europea (Cibersecurity Strategy of the European Union: an Open, Safe and Secure Ciberspace).
• Directiva 2016/1148 de ciberseguridad, conocida como Directiva NIS, que fue aprobada por el Consejo de la Unión Europea para generar una colaboración entre los países de la UE destinada a garantizar un nivel común de seguridad de las redes y sistemas de información en la Unión.

1. NORMATIVA NACIONAL

• Código penal, hace referencia en varios de sus artículos a aquellas actividades tipificadas como delitos informáticos, entre ellas, la intrusión informática, interceptación de transmisión de datos informáticos, los relacionados con la propiedad intelectual e industrial, fraudes informáticos, sabotajes, posesión de software informáticos para cometer delitos, etc.
• Real Decreto-ley 12/2018, que regula la seguridad de las redes y sistemas de información para la provisión de servicios esenciales y digitales, y establecer un sistema de notificación de incidentes.
• Código de Derecho de la Ciberseguridad, que busca logar la seguridad del ciberespacio a través del desarrollo y aplicación de una política de ciberseguridad nacional.
• Ley Orgánica de Protección de Datos personales y garantía de los derechos digitales que regula el tratamiento de los datos personales como derecho fundamental y las sanciones derivadas de un uso incorrecto de estos por las empresas y organizaciones.

En el Artículo 36 del Real Decreto-ley 12/2018, de 7 de septiembre, publicado en el Boletín Oficial del Estado se recogen las siguientes infracciones, por omisión en la adopción de las medidas necesarias para protegerse frente a estos:
• Sanciones muy graves: son muy graves aquellas que conlleven la falta de adopción de medidas para subsanar los incumplimientos detectados previamente, no notificar los incidentes o no tomar las medidas necesarias para futuros incidentes en la prestación de servicios digitales tanto en España como en otros Estados miembros. En este caso, la sanción económica por incumplimiento puede oscilar entre los 500.001 € hasta los 1.000.000 €.
• Son graves: cuando, en el plazo de 5 años, el operador no adopta unas medidas mínimas tras requerirle por tercera vez la adopción de las mismas, no notificar incidentes, el desinterés para resolver estos incidentes, proporcionar información falsa o engañosa al público sobre los estándares de ciberseguridad que posee el operador y poner obstáculos cuando se le realicen auditorías. La sanción económica por incumplir estas medidas puede oscilar entre los 100.000 € hasta los 500.000 €.
• Son faltas leves: aquellas que no estén recogidas en las dos anteriores, así como aquella que impediente la recolección de información por parte del CSIRT o la autoridad competente. Y en este caso, la sanción económica puede oscilar entre una simple amonestación hasta los 100.000 €.
Estas cuantías varían dependiendo de diversos criterios que pueden ser, entre otros: el grado de culpabilidad o intencionalidad, el perjuicio causado, si se es reincidente, el número de usuarios afectados o el grado de implicación consecuencia de la infracción.