Opinió
Albert Agustinoy Guilayn (*)
Aixecar-se després del cop: claus legals per fer front a un ciberatac
Darrerament és freqüent que els mitjans de comunicació es facin ressò d’un nou ciberatac contra una empresa, organisme públic o organització. El sobvis avantatges que planteja la digitalització de les organitzacions comporten igualment els riscos propis d’aquest tipus d’incidents: bloqueig dels sistemes, impacte reputacional, etc. La progressiva sofisticació i freqüència d’aquests atacs ens porta a una conclusió clara i inquietant: més aviat o més tard la nostra pròpia organització patirà un d’aquests incidents. Es tracta d’un risc no solament de negoci o tècnic, sinó que també jurídic.
En primer lloc, el principal efecte d’un incident serà l’increment de despeses: la contractació d’equips especialitzats per poder diagnosticar el dany i tractar-lo, la substitució d’equips i sistemes danyats o sospitosos d’estar sota control aliè, les pèrdues derivades de l’alentiment o bloqueig del negoci, etc. A l’igual que davant de qualsevol altre tipus de riscos, el primer que es revisarà quan es doni una situació com aquesta serà la pòlissa d’assegurances subscrita per cobrir els danys provocats.
En aquest sentit, serà de gran importància no només comptar amb una cobertura per a aquest tipus d’incidents, sinó alhora haver-la configurat adequadament des d’un punt de vista contractual. Així, dins del pla de reacció a un ciberatac, s’hauran de tenir en compte els terminis de notificació a la companyia asseguradora de l’incident per l’activació de la cobertura. També s’haurà d’haver confirmat que els experts que vagin a implicar-se en la solució de la situació siguin de la confiança de la companyia assegurada. No és infreqüent que, al no haver-se revisat aquest punt al contractar la pòlissa, l’empresa afectada es vegi obligada a treballar amb professionals diferents a aquells amb els quals sol col·laborar.
De forma semblant, serà clau comptar amb la prompta col·laboració dels proveïdors tecnològics essencials de l’empresa. Per a això, comptar amb uns contractes adaptats a aquesta necessitat serà imprescindible per assegurar una adequada reacció. Així, l’exercici més pràctic consistirà a verificar, abans de signar el corresponent contracte, els termes de col·laboració als quals el proveïdor es vagi a obligar respecte als incidents de seguretat vinculats a l’ús dels seus productes. L’exercici que s’hauria de fer seria projectar quin grau de risc se’n derivaria per a l’empresa en cas d’incident de seguretat del producte contractat.
A part del que s’ha indicat, un altre aspecte a considerar és el factor humà. Un dels principals factors de risc en aquest àmbit el constitueix l’ús que dels sistemes tècnics fan els treballadors de l’empresa. De nou, una bona preparació jurídica serà de gran ajuda per assegurar-se la col·laboració dels empleats implicats en l’incident (pensem, per exemple, en la necessitat d’accedir i analitzar equips electrònics com una tauleta electrònica o un telèfon intel·ligent que siguin propietat del treballador). D’igual forma, formar als empleats en seguretat i haver-se dotat de mesures informatives serà igualment clau per poder reduir els riscos. Pensem, en particular, en la conveniència d’haver informat a la plantilla de les regles d’ús dels mitjans electrònics posats a disposició per realitzar les seves tasques dins de l’empresa, indicant els usos a evitar.
Des d’un punt de vista jurídic és evident que conèixer les obligacions de compliment normatiu ajudarà a evitar una major gravetat en la situació. Particularment, la notificació de l’incident a l’autoritat de protecció de dades serà important. No procedir a aquesta notificació dins de les 72 hores següents a la detecció de l’incident obrirà la possibilitat a un risc addicional: la sanció que es pot derivar de l’incompliment d’aquest deure legalment definit. Aquesta obligació de notificació s’estendrà a altres autoritats en cas que l’empresa operi en un mercat regulat.
De forma semblant, serà molt important comptar amb uns criteris que permetin decidir si notificar o no als afectats per la bretxa i recomanar-los mesures de minimització de riscos derivats de la mateixa (que, com hem vist en casos recents, poden arribar fins aconsellar la cancel·lació de targetes de crèdit).
A mode de conclusió, una reacció raonablement airosa a un incident de ciberseguretat passa sens dubte per haver realitzat esforços preventius en tots els àmbits, incloent el legal. A l’igual que en l’àmbit tècnic, com més diligent hagi estat l’empresa a l’hora de dotar-se de mesures legals de defensa, millor serà la seva disposició per tal de recuperar-se del cop que suposa un ciberatac.
(*) Soci Cuatrecasas
- Els metges demanen eliminar-lo dels sopars: té fama de saludable, però no ho és
- El truc de la fregona que fa embogir a tothom: les juntes queden impecables
- Així captava a noies el lama detingut per donar mercuri als seus fidels: "La relació sexual serà un instrument de més consciència
- Gairebé 18.000 persones es presenten a les oposicions per a cobrir 9.344 places docents a Catalunya
- Quin temps farà aquest dissabte a Girona?
- Necrològiques , Noticies de Necrològiques - Diari de Girona
- «Després d’un any amb fàrmacs antiobesitat es torna al mateix pes»
- Tanca la residència Bellamar de Platja d’Aro
