Transformación Digital y Ciberseguridad

Informe OBS: Transformación Digital y Ciberseguridad, binomio inseparable

Informes |

La normativa en materia de ciberseguridad podría lastrar la innovación

Informe OBS Transformación Digital y Ciberseguridad 2023

 

  • Nos encontramos todavía en una fase incipiente del proceso de transformación digital. Se esperan cambios tan disruptivos que no cabe la improvisación, especialmente en la selección y seguridad de las tecnologías.
  • Ciberataques cada vez más sofisticados tienden al alza. Ello obliga a adaptar la normativa penal
  • Hay grandes diferencias entre países en materia de ciberseguridad
  • Los sistemas de seguridad frente a ciberataques darán un salto cualitativo y cuantitativo gracias al uso de la inteligencia artificial

OBS Business School publica el informe Transformación Digital y Ciberseguridad: binomio inseparable, dirigido por Ramón Miralles, profesor de la escuela y abogado especializado en derecho digital. En él se plantea la necesidad de contar con escenarios de transformación digital seguros sin olvidar la presión legal al respecto.

La transformación digital de Europa tiene marcados cuatro objetivos para 2030: primero, disponer de 20 millones de especialistas en TIC (9,5 millones en 2023) y al menos un 80% de la población con capacidades digitales básicas (68% en 2023); segundo, que más del 90% de las PYMEs tengan un nivel básico de uso de las tecnologías digitales (77% en 2023) y que un 75% de las empresas de la UE utilicen servicios en la nube, inteligencia artificial o soluciones de big data; tercero, contar con infraestructuras digitales seguras y sostenibles: conectividad Gigabit universal, creación de 10.000 “edge nodes” de alta seguridad, ser climáticamente neutros y hasta tres ordenadores con aceleración cuántica; y cuarto, la digitalización de los servicios públicos, especialmente los que son clave, como el historial médico o la identificación digital. “Este proceso de transformación digital debe ir acompañado necesariamente de decisiones en materia de ciberseguridad o, de lo contrario, estará abocado al fracaso”, afirma Ramón Miralles.

Si en el año 2003 la conexión a internet en los domicilios españoles era del 25% (el 40% en Europa), en 2022 ese porcentaje alcanzó el 96,1%, algo superior a la media europea. Sin embargo, aún nos encontramos en una etapa incipiente del proceso de transformación. “Es necesario un liderazgo que aporte recursos y se implique en todas las fases, y también un plan, pues los cambios pueden ser tan disruptivos que no cabe la improvisación, especialmente en la selección y seguridad de las tecnologías”, asegura el profesor. El informe indica que también serán necesarios especialistas tanto en negocio como en tecnologías y seguridad de la información, por tanto, habrá que incorporar nuevos perfiles o capacitar a los existentes para que la falta de conocimiento no sea una barrera.

El origen y las características de los ciberataques ha ido evolucionando: si al principio los perpetraban individuos en solitario o en muy reducidos grupos, ahora se han convertido en una actividad delictiva cada día más lucrativa y con menor riesgo que llevan a cabo verdaderas organizaciones criminales. Especialistas con sofisticados recursos capaces de obtener el control de redes empresariales para explotarlas o bien para vender ese control a terceros. Se trata de un fenómeno global que ha obligado a adaptar las normas penales. Un ejemplo destacado es el Reglamento General de Protección de Datos (RGPD) de Europa, aprobado en 2016 y que se ha convertido en un referente regulatorio en diversas regiones del mundo. Esta normativa, que aplica a toda la UE, considera esencial proteger la seguridad de los datos personales, pero también trasciende las fronteras europeas aplicándose a empresas fuera de Europa si estas ofrecen bienes o servicios a individuos en la UE y manejan sus datos personales. El RGPD hace referencia al cifrado de datos personales, la capacidad de garantizar la confidencialidad, planes de contingencia para el caso de incidentes técnicos o físicos y la implementación de procesos de verificación periódica. Además, obliga a notificar los incidentes de seguridad (“data breach”) a las autoridades de protección de datos en un plazo máximo de 72 horas. Las sanciones previstas son de hasta 10 millones de euros o un 2% de la facturación a nivel mundial cuando se produzca una situación de ausencia de medidas de seguridad o incluso si estas no han sido eficaces a causa de una mala implementación o gestión.

En este contexto de transformación, el informe considera imprescindible mantener el necesario equilibrio entre la innovación y su regulación, pues puede llegar a fomentarla o, por el contrario, dificultarla. En el Parlamento Europeo se planteó la creación de un Reglamento de Inteligencia Artificial, todavía pendiente de aprobación, con una regulación restrictiva solo para aquellas aplicaciones de IA que se pudieran considerar de alto riesgo. Ahora bien, el informe de OBS pone en duda la capacidad para determinar el nivel de riesgo de cada aplicación.

Ciberataques en España

En 2022, los ciberataques en España aumentaron un 28% con respecto a 2021, una tendencia al alza que se ha mantenido durante lo que llevamos el 2023. Los sectores que sufrieron más ciberataques fueron: la administración del Estado (24%), los servicios digitales (13%), la ciudadanía (12,4%), los servicios (11,8 %), el sector financiero (8,6%) y el sector sanitario (7,2%).

Además, este año se ha detectado una creciente sofisticación, en gran parte impulsada por el uso de inteligencia artificial, que se está empleando para desarrollar ataques más efectivos. Sin embargo, la IA también es una línea de defensa que se puede utilizar para contrarrestar amenazas avanzadas como el Malware avanzado, que es capaz de ir cambiando constantemente su apariencia; el Ransomware, que se dirige sobre todo a la pequeña y mediana empresa y cuyo "ataque de triple extorsión" consigue el cifrado de datos, la venta de información robada y amenazas de ataques adicionales; el Phishing y Smishing (phishing a través de SMS), cada vez más refinados; la Seguridad en la nube, que recibe cada vez más ataques; y los dirigidos a redes domésticas, que con el auge del teletrabajo se han convertido en objetivos.

La adopción de la autenticación multifactor que ya se ha empezado a usar va a seguir creciendo, ya que es capaz de detener prácticamente todos los ataques de “phishing” general y un porcentaje superior al 70% de los ataques dirigidos. Pero la gran tendencia va a ser el uso de la inteligencia artificial, lo que provocará que los sistemas de seguridad den un salto cualitativo y cuantitativo en lo que respecta su eficacia frente a los ciberataques. 

La regulación de la ciberseguridad a nivel mundial

Existen enormes desigualdades en el mundo en materia de ciberseguridad. En 2020, la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo constató que el 66% de los países tenía algún tipo de legislación sobre datos, mientras que el 10% contaba con proyectos legislativos en marcha y el 24% no disponía de ninguna normativa, ni tenía proyectos legislativos en marcha. Tal vez África refleje de la manera más evidente las desigualdades: Argelia (2018), Marruecos (2009), Kenia (2019) y Sudáfrica (2013) tienen leyes de protección de datos personales que incluyen obligaciones de seguridad. Egipto posee su Ley de Telecomunicaciones (2003) y Nigeria (2015) tiene regulados los delitos informáticos. Además, existe el documento “Marco político de la Unión Africana en materia de datos” (febrero 2022) que describe las tendencias normativas en la materia.

Si nos centramos en Asia, China aprobó en 2021 su Ley de Seguridad de Datos; Vietnam la Ley de ciberseguridad (2019) no exenta de polémica, ya que las empresas de Internet están obligadas a almacenar información personal de sus usuarios y a entregarla al Estado si éste lo considera necesario; Corea del sur también cuenta con una legislación de protección de datos y Japón actualizó en 2020 su Ley de Protección de Información Personal. Por su parte, Singapur cuenta con la Ley de Protección de Datos Personales desde el 2012 y también con una ley que regula la seguridad de la información. En la India existe la Ley de Tecnología de la Información (2000), que fue objeto de actualización en 2008 para incluir la seguridad de los datos personales; este país, además, tiene desde 2013 una Política Nacional de Seguridad Cibernética.

En Latinoamérica, buena parte de la legislación relacionada con la seguridad de la información se deriva de las leyes de protección de datos, como es el caso de Brasil, México, Colombia, Chile, Argentina o Uruguay. La regulación relacionada con los ciberdelitos está muy extendida en Brasil, Colombia, Chile y Argentina. En Centroamérica la situación es similar: Costa Rica, El Salvador, Guatemala, Honduras y Nicaragua cuentan con regulación tanto en materia de protección de datos como en relación a los ciberdelitos, sin embargo, en estos países no existen desarrollos normativos específicos relacionados con leyes de ciberseguridad.

Por su parte, Estados Unidos, Canadá, Australia y Nueva Zelanda tienen leyes de ciberseguridad equivalentes a la normativa europea.

Como se muestra, todo el proceso de transformación digital, incluyendo las decisiones en materia de ciberseguridad, va a verse impactado por la regulación, en particular en lo que se refiere al tratamiento de datos. Por tanto, la componente jurídica deberá estar muy considerada en la toma de decisiones, y esa presencia del asesoramiento y apoyo jurídico especializado debe articularse desde el mismo momento en que se plantea el proceso de transformación digital.

Contenido elaborado por:
Carmen García-Trevijano
Gabinete de Prensa de OBS Business School

DESCARGAR INFORME