La ética de la industria es el único garante a la hora de respetar la información confidencial de una compañía víctima de un ciberataque, pero no es suficiente. Los organismos reguladores deberían estudiar con seriedad un área afecta a la propiedad intelectual de las empresas

La industria de la seguridad de la información se enfrenta a un entorno de amenazas sofisticadas, asumiendo la misión de responder a accesos no autorizados en los sistemas corporativos. En los últimos años, han aumentado en la misma proporción tanto las oportunidades de negocio de este sector como los problemas de privacidad que puede sufrir una organización atacada. ¿Cuáles son los límites de la privacidad cuándo una firma de seguridad se ve en la tesitura de entrar de lleno en los sistemas? ¿Hasta dónde puede llegar en el desarrollo de su trabajo en una situación de gestión de crisis?

Este problema pone a prueba la preparación de entidades públicas y privadas de todos los sectores, ya que los accesos no autorizados se producen en cualquier lugar y los intentos hasta que los ciberdelincuentes consiguen su meta son prácticamente infinitos e invisibles para muchas de ellas. No pasa una semana sin que los medios de comunicación nos alerten sobre ciberataques que ponen el foco en la propiedad intelectual de una compañía. En el mejor de los casos, algunas víctimas logran contarlo y pierden sólo parte de su información, en otros casos ven cómo se volatilizan todos sus datos. En ambas situaciones, el daño reputacional es incalculable.

Tras el robo de información sensible o propiedad intelectual por parte de los ‘malos’, la maquinaria de investigación, encabezada por el departamento de Seguridad TI, se pone en marcha. La gestión de crisis es una fase muy importante de un trabajo donde el rol de los consultores, analistas forenses y empresas de seguridad es determinante. El principal cometido de todos ellos es recuperar la información valiosa, minimizar daños, corregir vulnerabilidades y reforzar políticas de seguridad. Poco importa en estos momentos la privacidad, pues lo que preocupa a la organización es volver a la normalidad lo antes posible. Pero, ¿y a largo plazo? ¿Qué consecuencias puede acarrear que durante la investigación los ‘buenos’ accedan a información core del negocio?

El escenario regulatorio nacional e internacional, inmerso en diseñar normativas y estrategias de gran calado sobre ciberseguridad, aún no ha reparado sobre esta cuestión. No existe ni siquiera un borrador que nos ayude a comprender dónde está el límite de la privacidad durante una gestión de crisis. Mucho menos existe una orientación a nivel supranacional, donde los países regulan con la idea de procurar el equilibrio entre los intereses de los individuos y de las empresas en materia de privacidad y parece que, por el momento, esta cuestión no toca.

Garantía por parte del proveedor

Ante la ausencia reguladora, la industria de seguridad TI da la cara ante el cliente. Probablemente, cuando las leyes de protección de datos sean más maduras y estén más generalizadas globalmente, las organizaciones se verán beneficiadas de inmediato, pero a día de hoy la realidad es otra.

Los acuerdos de niveles de servicio (SLA, por sus siglas en inglés) deben contemplar este apartado: el uso ético de toda aquella información corporativa con la que trabajen. Sin lugar a dudas, hacer lo contrario supondría para el proveedor de seguridad tirar piedras contra su propio tejado; no hay mejor manera de perder un contrato de servicios que hacer las cosas mal.

Los actores de la industria prestan una atención exquisita a todas las cuestiones legales y así sucede también con las relacionadas con la privacidad. El CISO y su equipo deben permanecer informados de los cambios en las políticas regulatorias, de sus responsabilidades y de los límites de exigencia a su proveedor en caso de afrontar la gestión de una crisis. En consecuencia, explicar los procedimientos, las implicaciones de la privacidad y cómo trabajar en caso de investigación interna se encuentren entre las prácticas habituales de los principales proveedores y consultoras.

Todos ellos cuentan con un equipo de abogados multidisciplinar, con una amplia visión sobre investigación, analítica forense, eDiscovery, etc. Un claro ejemplo es Deloitte, que inició un compromiso de mejora en todas estas áreas y la seguridad y la gestión de riesgos pasó a ocupar una función estratégica decisiva. Este posicionamiento de la consultora le ha llevado a contar con un centro de operaciones de seguridad (CyberSOC) con certificación CERT (Computer Emergency Response Team). Además, los profesionales de esta firma atesoran una amplia experiencia en Governance, Risk and Compliance (servicios de asesoría jurídica, gestión de riesgos 24/7 respuesta ante incidentes e investigación forense, entre otros), donde la privacidad de sus clientes es esencial.

Desde otra perspectiva, la monitorización continua de los sistemas TI puede equipararse con la videovigilancia. Ambas vertientes de la seguridad, una más lógica y otra, del campo de la seguridad física, pueden invadir la privacidad de los usuarios/clientes. Por tanto, al margen de la buena voluntad y la ética de los proveedores, la ayuda en forma de normativa es muy deseable. La Agencia Española de Protección de Datos (AEPD) tuvo que dar cobertura a la videovigilancia porque los registros de imágenes personales por parte de las empresas no estaban contemplados y su borrado no estaba regulado por ley. Del mismo modo, las instituciones se harán eco de la importancia de garantizar la privacidad en la gestión de crisis. ¿Cuándo? Dependerá de los organismos competentes y del interés del sector privado por conseguirlo, pero el tiempo apremia, máxime tras la expansión del Internet de las Cosas, la biometría o la geolocalización.