Sin duda la gestión de un ciberataque es tan diversa como la tipología de los distintos ataques que puedan darse.
En algunos casos suceden de forma inmediata, como un ataque de denegación de servicio que, literalmente, ‘ahoga’ las conexiones de un servicio online con miles o millones de peticiones.
En otros casos, se “macera” durante largo tiempo: son los Ataques Avanzados Persistentes, con la misión de conseguir información transformándose y reescribiendo su código.
En cualquier caso el planteamiento actual de la gestión de una crisis, y un ciberataque lo es, supone la participación de diferentes actores. Entre ellos se encuentra el departamento o asesor jurídico, que adquiere mayor o menor relevancia para cada parte del proceso.
Cuando un ciberataque está confirmado y pasa de ser un evento de seguridad a un incidente, las empresas con un alto grado de madurez gestionan la crisis evaluando la situación y tomando las medidas oportunas sobre la información obtenida hasta el momento. Todo ello lo hacen mediante reuniones más o menos improvisadas y en el mejor de los casos a través de un “comité de crisis”.
Lo común es encontrarnos con una gestión totalmente aislada por parte del departamento de sistemas (el que se encarga de erradicar la amenaza lo antes posible para minimizar los daños) sin informar a la dirección de la empresa o a las partes interesadas.
Este tipo de reacción “ad hoc” no supone una gestión eficiente y eficaz de un ciberataque. Pero las empresas con un plan de continuidad del negocio, que además lo tenga adaptado a la gestión de estas agresiones, sí tienen caro que el papel del asesor jurídico es vital. Y que su participación no debe ser únicamente a posteriori sino previa y contemporánea a un incidente de seguridad.
Las variables más importantes que el asesor jurídico deberá valorar son la siguientes:
· Infracción y quebrantamiento de normas y leyes. Visión exacta de la legislación a cumplir por parte de la empresa, en ámbitos nacionales e internacionales.
· Valoración del análisis forense de las pruebas digitales. Es imprescindible mantener la cadena de custodia de las pruebas para que se mantengan inalteradas tanto en el tiempo como su contenido. Su incorporación a futuros procesos judiciales no tendrá muchos problemas para su admisión.
· Incumplimiento de contratos. La globalización permite la externalización de servicios y plataformas. Ello implica irremediablemente establecer acuerdos de nivel de servicio para garantizar los mínimos y máximos del servicio contratado.
Los ciberataques suceden a través de muchos de esos servicios, aunque el objetivo final sea la información de la empresa. Rara vez impactan en infraestructuras locales, residen físicamente en las instalaciones de la misma. Y Si dichos datos se alojan en plataformas de terceros, ¿quién es responsable de su seguridad o gestión de la crisis?
Un servicio jurídico externo o interno permite una gestión mucho más eficaz del ciberataque. La comunicación entre las distintas áreas de la empresa es vital para afrontar una crisis que, en algunos casos, puede derivar en grandes pérdidas económicas o de imagen. Y en este escenario, ya real, las empresas tienen que empezar a tomar posiciones.
