Seguridad Legalmente Defendible

Algo que suele ocurrir con una cierta frecuencia es que algún sistema de información o negocio online sea víctima de actos mal intencionados por parte de competidores, mafias o empleados infelices. Si esto ocurre es imperativo legal (Esquema Nacional de Seguridad (ENS), GDPR) para la víctima reportar lo ocurrido a la autoridad competente. Dicha autoridad no trata de “pillar al malo” para tratar de restituir a la víctima, sino buscar y entender patrones, campañas y/o técnicas de actos malintencionados generalizados y tratar de cortarlos y prevenirlos de la forma más eficaz posible.

Pero si te han robado o derrumbado tu negocio, eso ya está hecho y va a ser muy difícil encontrar al autor, y mucho más llevarlo ante un juez y mucho mucho más que este lo condene para que te devuelva lo robado.

En este contexto, en seguridad existe el concepto de “Seguridad Legalmente Defendible” y, dado el valor de los activos de información que cada vez más las empresas manejan, se está volviendo más popular e implementado. Vamos a ello.

El objetivo de la seguridad es evitar que sucedan cosas malas mientras fomenta la ocurrencia de cosas buenas. Cuando ocurren cosas malas, las organizaciones a menudo desean la ayuda de las fuerzas del orden y del sistema jurídico para obtener una compensación. Para obtener una restitución legal debe demostrar que se cometió un delito, que el sospechoso (si asumimos que lo encuentras) lo cometió y que hiciste todos los esfuerzos razonables para evitarlo. Esto significa que la seguridad de su organización cumple el precepto de la seguridad legalmente defendible. 

Si no puede convencer a un tribunal de que sus archivos de log son exactos y que ninguna otra persona aparte del sospechoso podría haber cometido el delito, no obtendrá restitución. En última instancia, esto requiere una solución de seguridad completa que cuente con fuertes técnicas de autenticación de factores múltiples, un sólido mecanismo de autorización y sistemas de auditoría impecables. 

Además, debe demostrar que la organización cumple con todas las leyes y reglamentos aplicables, que se publicaron las advertencias y notificaciones adecuadas, que la seguridad tanto lógica como física no se vio comprometida de otro modo o por otra persona, y que no hay otras posibles interpretaciones razonables de las pruebas electrónicas. Esta es una norma bastante difícil de cumplir. Así pues, una organización debe evaluar su infraestructura de seguridad y redoblar sus esfuerzos para intentar diseñar y aplicar, aunque sea poco a poco, una seguridad legalmente defendible.

Autor: Javier Jiménez (Linkedin)