Ciberseguridad y gestión documental electrónica

La información es uno de los principales activos de las compañías y resulta fundamental su adecuada protección y gestión. Actualmente dicha información se genera y custodia principalmente en medios informáticos y se envía de forma telemática dado que las relaciones laborales, comerciales, etc. se producen cada vez más entre ausentes y especialmente en la actual situación de pandemia. La nueva realidad exige nuevas soluciones para proteger esta información evitando su pérdida o alteración, la imposición de graves sanciones por parte de la administración o enfrentarnos a demandas millonarias por parte de los consumidores y usuarios. Y esas nuevas soluciones tienen que dar una respuesta global que aúne tecnología y derecho.

Los ficheros electrónicos tienen unas especiales características: la volatilidad, pues existen archivos que pueden perderse por el simple hecho de apagar un ordenador; la alterabilidad, que puede producirse de forma voluntaria o involuntaria; la unilateralidad, pues normalmente los archivos son generados y custodiados por una de las partes; y la intrusividad, porque la posibilidad de vulnerar derechos fundamentales – intimidad, secreto de las comunicaciones, etc. - en su obtención y gestión es alta. Como consecuencia, la forma de protección y gestión de la información electrónica es radicalmente distinta de aquélla en papel.

Existe la creencia errónea de que la ciberseguridad solo afecta a las grandes empresas o a aquéllas que son operadores de servicios esenciales (OES) o proveedores de servicios digitales (DSP). Nada más lejos de la realidad. Si bien a raíz de la trasposición de la directiva NIS este tipo de empresas están normativamente obligadas a adoptar medidas técnicas y organizativas que garanticen la seguridad frente a ciberataques así como a cumplir con una serie de notificaciones a determinados órganos en caso de que se produzcan incidentes, lo cierto es que la ciberseguridad hoy en día es una necesidad que afecta a cualquier empresa con independencia de su tamaño o del mercado en el que opere, pues todas disponen de equipos informáticos e información electrónica susceptibles de ser atacados. De hecho, el 70% de los ciberataques que se producen en España afectan a PYMES y solo el 30% a grandes compañías.

Además, hay que tener en cuenta que dado el aumento exponencial de ciberataques que se están produciendo, así como la magnitud de sus consecuencias, el régimen de responsabilidad de las empresas ciberatacadas cada vez se va endureciendo más. En este sentido, la propuesta de directiva del Consejo de la Unión Europea de 30 de junio de 2020 permite el ejercicio, a través de una serie de entidades nacionales o transfronterizas, de demandas colectivas en las que los usuarios podrán exigir cuantiosas indemnizaciones por los daños y perjuicios que hayan sufrido a causa del ciberataque a empresas que manejan sus datos. Esto hace que sea absolutamente necesario que todas las compañías adopten medidas en materia de ciberseguridad. ¿Y cuáles son estas medidas?

La primera pasa por conocer el estado de seguridad de nuestra empresa y responder a la pregunta: ¿cómo de vulnerable es ante un ciberataque? Para responder a esta cuestión será necesario realizar lo que se denomina un pentesting o auditoría de seguridad – hacking ético – que podrá ser de caja negra, caja blanca o caja gris en función del mayor o menor grado de conocimiento que el auditor/hacker tenga de la infraestructura interna de la empresa o del mayor o menor grado de privilegios de acceso a sus sistemas.

Una vez determinado el grado de seguridad, interno y externo, de la empresa se podrán adoptar diferentes medidas: implementar planes directores de seguridad y protocolos de obtención, adquisición y custodia de ficheros electrónicos – prueba electrónica-; realizar la formación a usuarios, pues de nada sirve adoptar las máximas medidas de seguridad si nuestros propios empleados no trabajan con las lógicas cautelas a la hora de, por ejemplo, abrir un correo electrónico que contenga un phishing; la securización tanto del software - teniendo al día los últimos parches- como del hardware (hardening); la monitorización a través de un Centro de Operaciones de Seguridad (SOC); y por último planes de respuesta ante ciberataques y la comunicación ante los distintos órganos como INCIBE-CERT.

Para la implementación de todas estas medidas/políticas resulta fundamental la figura del CISO, que es quien mejor conoce los sistemas informáticos de la empresa. No obstante, en muchas ocasiones, ya sea por la falta de esta figura o porque éste se ve limitado dados los especiales conocimientos que se requieren así como la infraestructura necesaria, resulta conveniente la tercerización de servicios, es decir, el outsourcing a través de empresas especializadas en materia de ciberseguridad que suplen o complementan la figura del CISO y que realizan desde la auditoría de seguridad hasta la comunicación a los organismos correspondientes en caso de producirse un incidente.

Tan importante como la protección de los ficheros electrónicos frente a un posible ciberataque resulta su adecuada gestión, que no es sino una forma de protección. Para ello existen sistemas de gestión documental electrónica que nos permiten, no solo tener sistematizada toda la información de la empresa, sino que esta no pueda ser accedida o borrada por cualquier persona, lo que se consigue mediante la adecuada política de privilegios de acceso.

Como en el caso de la ciberseguridad, en ocasiones las empresas no dispondrán de los recursos necesarios para contar con un gestor documental realizado a su medida o integrado en su ERP, o bien por razones de seguridad de la información querrán tenerla "espejada" en una tercera empresa. Sea como fuere, la mejor alternativa pasa por la utilización de portales de cliente que lo que permiten es que esa tercera empresa aloje la información y la pueda categorizar en función de multitud de parámetros. Resultan de especial interés aquellas que, además de servir de repositorio documental, permiten garantizar en los procesos de comunicación realizados la autenticidad e integridad, sirviéndose para ello de los llamados "prestadores de servicios electrónicos de confianza" previstos en el reglamento eIDAS.

De forma muy sintética, el concurso de estos prestadores de servicios de confianza permite, por ejemplo, que un tercero ajeno al proceso de contratación (nodo neutro) intermedie todas las comunicaciones entre las partes de tal forma que en caso de conflicto entre ellas sobre las condiciones contractuales pactadas pueda acreditar cuál fue el contenido exacto puesto a disposición de la otra parte, fecha y hora exacta de la puesta a disposición – timestamping-, momento de la apertura del fichero que contenía el contrato, momento de la firma del contrato, etc. generando de forma instantánea una función resumen (hash) que formará parte del certificado de todo el proceso comunicativo garantizando su integridad y autenticidad y permitiendo incluso el propio sistema la custodia notarial del hash.

Lógicamente, estos sistemas de intermediación, aunque se sirven de la firma electrónica - simple, avanzada o reconocida -, suponen una clara superación de la misma evitando el repudio por una de las partes al estar todo el proceso intermediado por un tercero; por lo que su utilidad en las comunicaciones con clientes, proveedores, empleados, etc. resulta indudable.

Como conclusión podemos afirmar que la información, un activo cada día más importante para la empresa, encuentra en la tecnología, concretada en ciberseguridad, un poderoso e imprescindible aliado.