1. Marco legal
En nuestro país en materia de ciberseguridad se encuentra en vigor el Real Decreto 43/2021. Norma en la cuál se desarrolla la denominada “Ley NIS”(Network and Information Systems), que fue el primer paso legislativo de la Unión Europea para impulsar la seguridad de las redes y de los sistemas de información y cuyas características más destacadas se resumen a continuación:
1. Políticas de Seguridad
Las empresas deben crear unas políticas de seguridad que deben incluir:
- El análisis y gestión de los riesgos.
- La gestión de incidentes.
- Los planes de recuperación y aseguramiento de la continuidad.
2. Obligaciones a terceros
De esta forma, se garantiza que los proveedores externos de los servicios de redes y sistemas, como Apple Store, Play Store (Google), Amazon, etc. queden regulados en su actuación.
3. Se crea el "Responsable de Seguridad"
Algunas de las funciones de esta figura son:
- Ser un punto de contacto único y de coordinación con las autoridades.
- Elaboración de las políticas de seguridad de la compañía.
- Supervisión y revisión de las políticas y medidas de seguridad.
4. Certificado de Cumplimiento
La autoridad competente debe reconocer la certificación de un esquema de seguridad que sea válido para la empresa.
La norma excluye del ámbito de aplicación a los proveedores de servicios digitales que tengan menos de 50 trabajadores y cuyo volumen de negocio anual no supere los 10 millones de euros; en otras palabras, deja fuera a las pymes y microempresas.
Consecuencias de los delitos informáticos:
Tiempo de prescripción
En casos graves, cuando una estafa supere, por ejemplo, los 50.000 euros, el plazo para acudir a los tribunales es de diez años y el acusado se enfrenta a penas de entre uno y seis años de prisión. Para cantidades inferiores, el delito prescribe a los cinco años y la condena puede saldarse con penas de entre seis meses a tres años.
Ciberestafas internacionales
Muchos ciberdelincuentes actúan desde el extranjero. Estas situaciones son todavía más complejas. Asegurar las pruebas y documentar todo es clave para poder acceder a los tribunales internacionales.
Privacidad
El objetivo de una ciberestafa es lucrativo; pero el modus operandi puede variar mucho y no siempre se logra sustrayendo dinero. El Código Penal recoge como delito el apoderamiento por medios ilícitos de secretos de empresa y su distribución no consentida.
Perder datos confidenciales
Cuando se produce un robo de datos, hay que tener en cuenta que, más allá del perjuicio económico que pueda ocasionar, también puede tener consecuencias legales para la propia compañía afectada, ya que ella es responsable de custodiar cualquier dato personal de sus clientes o proveedores. Por ejemplo, si se produce una brecha de seguridad grave, hay que comunicárselo en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos. Visita su web https://www.aepd.es/es (AEPD).
Kerdias dice Para saber más
En la siguiente página del OEDI (Observatorio Español de delitos Informáticos) puedes ver una clasificación más detallada de los Tipos de Ciberdelitos según la legislación española.
Accede a la página oedi.es/ciberdelitos/