miércoles, 19 de noviembre de 2014

Informe: La responsabilidad legal de las empresas frente a un ciberataque [ENATIC]

Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC) presento en el mes de octubre el Informe “La responsabilidad legal de las empresas frente a un ciberataque”, con motivo de la apertura del Año Digital 2014/2015 de la Abogacía Digital.

El informe fue elaborado conjuntamente entre ISMS Forum y ENATIC.

 
 
El Informe analiza pormenorizadamente, a partir de un hipotético caso de ciberataque sufrido por parte de una empresa de suministros, el marco normativo actual que regula las diferentes responsabilidades que pueden surgir a raíz de este tipo de agresiones. Son múltiples las implicaciones legales que lleva consigo un ataque de estas características y que afecta tanto a la organización que la sufre y, por extensión directa, también a sus clientes, como al proveedor de servicios Cloud, además del ente atacante y la Administración Pública.
Baste recordar algunos de los últimos y más populares ciberataques como Careto, Stuxnet, Duqu y Flame. El primero de ellos, que se sospecha podría ser español, y que operó desde el año 2007 hasta que fue detectado hace escasos días, afectó a más de 380 víctimas entre los que destacan instituciones gubernamentales, delegaciones diplomáticas, embajadas y sistemas críticos de un buen número de países, ejes estratégicos la mayoría de ellos de la política exterior española.
Stuxnet fue detectado en junio de 2010 y todo apunta que fue diseñado por Estados Unidos e Israel para atacar los sistemas SCADA (Supervisory Control And Data Adquisition), y más especialmente del programa nuclear iraní. Su sucesor fue Duqu, un malware destinado, no tanto a provocar el funcionamiento de las centrífugas utilizadas para el enriquecimiento de uranio en Irán (como sí lo era su predecesor) como para recabar importantes datos de inteligencia sobre sistemas industriales además de permitir el acceso y control remoto de éstos a sus creadores.
Por su parte, Flame ha sido definido como el ciberataque más complejo descubierto hasta el momento. Todo apunta que fue creado también por Estados Unidos e Israel y, durante dos años (2010-2012) infectó a más de cinco millares de ordenadores pertenecientes a usuarios estratégicos de países de Oriente Medio (como Arabia Saudí, Egipto, El Líbano, Israel, Siria y Sudán, además de Irán).

La ausencia de un protocolo de actuación en casos de ciberataques como éstos, sumada a la falta de conocimientos para gestionar estas crisis por parte de las organizaciones, conducen en muchas ocasiones al más estricto silencio por parte las empresas que han sido víctimas por miedo a que estos incidentes perjudiquen de algún modo su reputación.

Por este motivo, tanto ISMS Forum Spain como ENATIC reclaman una mejor definición de tipos penales en delitos informáticos y relacionados con la intimidad, además de delitos de ciberterrorismo y crimen organizado. Del mismo modo, instan a la creación de una normativa internacional armonizada que impida la existencia de los denominados ‘paraísos del cibercrimen’; y demandan una mayor y más rápida  coordinación entre los organismos competentes (policía, tribunales, etc.) a la hora de actuar contra este tipo de delitos.
Todo un conglomerado de responsabilidades e implicaciones a tener en cuenta que redundan en la imprescindible concienciación sobre los riesgos que entraña el ciberespacio tanto por parte desde las empresas privadas como de la Administración Pública, pasando por la ciudadanía en su conjunto. “Es fundamental una mayor colaboración entre instituciones como INTECO (Instituto Nacional de Tecnologías de la Comunicación) y otras similares con el mundo empresarial para impulsar un escudo no sólo personal sino también nacional. Porque estamos hablando de amenazadas globales en las que todos podemos estar implicados”, ha remarcado Carlos A. Saiz, vicepresidente de ISMS Forum Spain.
 
Fuente: ismsforum.es

 

1 comentario:

Hola IT dijo...

No se suele concibir la seguridad del software como un valor importante.
Los que buscan soluciones en general se fijan si es funcional (hace lo que se necesita) o si el una linda interfaz (y/o amigable).
Lamentablemente la seguridad pasa a un 3er o 4to plano, y luego pasan las cosas que pasan....