tales como45:
– Limitar el acceso autorizado a la información, a las instalaciones físicas, a los equipos y a la información en general;
– Asegurar que los equipos de la compañía que contienen o almacenan datos cuenten con un debido registro con el fin de garantizar la disponibilidad, integralidad y confidencialidad de la información46;
– Implementar un sistema que permita que el acceso a las bases de datos lógicas, o a la información en formato lógico, lo realicen usuarios identificados y autorizados, y utilizar mecanismos de autenticación47. En estos casos las contraseñas se deben almacenar de manera cifrada y de forma segura;
– Limitar el acceso al usuario que conoce la información al ejercicio de sus actividades;
– Adoptar acciones para la adquisición, operación y mantenimiento de sistemas seguros48;
– Contar con certificaciones de seguridad para productos específicos de distintos fabricantes;
– Cifrar los datos en tránsito cuando se autentique a los usuarios o se transfiera información personal49;
– Poner a disposición de los usuarios un test de solidez de las contraseñas (comprobación de entropía)50;
– Mantener los datos de producción (información real) separados de los datos de prueba (información ficticia utilizada para desarrollar y probar aplicaciones de los sistemas TI)51, y
– Contar con certificados SSL/TLS en los sitios web52.
La etapa final en el sistema de gestión de riesgos consiste en medir, monitorear y verificar la efectividad de los mecanismos adoptados durante la etapa de control de los riesgos de las amenazas digitales. Es una etapa de auditoría interna que, mediante el establecimiento de indicadores de gestión efectiva, le permite a la organización empresarial detectar y corregir las deficiencias en la gestión del riesgo para el tratamiento de los datos personales. Esta etapa de auditoría se concreta en las siguientes obligaciones para el responsable del tratamiento:
– Desarrollar un plan de revisión, evaluación y control del PIGD mediante la presentación de informes al responsable del tratamiento al interior de la organización, así como a los accionistas y miembros de junta directiva, dejándolos documentados. Esta obligación también permite identificar cuáles han sido las últimas amenazas digitales y si se han adoptado mecanismos que respondan a ellas. Lo anterior conlleva también un análisis de las brechas de información, la diferencia de las medidas de seguridad existentes y aquellas faltantes, así como su implementación53.
– Reportar a la autoridad de tratamiento de datos54 los incidentes de seguridad que se presenten al interior de la organización, que impliquen una vulneración de las medidas de protección y que hayan generado una posible fuga o escape de los datos personales a cargo del responsable del tratamiento.
De esta forma, la implementación de medidas de carácter preventivo, tales como la adopción de políticas de tratamientos de datos, la aplicación de medidas operacionales y técnicas para la protección de los datos personales, y las medidas tendientes a evaluar el modelo de gestión de las amenazas digitales conforman el principio de responsabilidad demostrada. Así, una aplicación adecuada de estas medidas le permite al responsable demostrar el cumplimiento de la normativa que regula el tratamiento de datos personales a pesar de haberse presentado una amenaza digital al interior de su organización empresarial55. De esa manera, bajo algunas circunstancias, esta situación le permite probar su exoneración en el campo de la responsabilidad administrativa, pero representa un gran reto para el estudio de la responsabilidad civil cuyo riesgo busca disminuir la organización empresarial mediante la adopción de seguros de responsabilidad civil, los cuales serán objeto de estudio más adelante.
VI. RESPONSABILIDAD CIVIL DE LAS EMPRESAS POR LA OCURRENCIA DE AMENAZAS DIGITALES O CIBERRIESGOS56 Y SU ASEGURAMIENTO
La discusión de la importancia de la responsabilidad civil derivada de las amenazas digitales no es reciente. Hace ya más de una década se han evidenciado casos de ciberataques a nivel mundial. Por mencionar algunos, en 2014 Sony Pictures sufrió pérdidas de más de USD 200 millones por un ciberataque en el cual fue sustraída información sensible y confidencial, desde la nómina del presidente hasta películas que en su momento no se habían estrenado; y en 2016 la reconocida empresa londinense Tesco Bank sufrió un ataque informático que afectó aproximadamente a 40.000 de sus clientes, a quienes tuvo que devolver el dinero sustraído de manera fraudulenta, y adicionalmente fue multada con 16.4 millones de libras por no tener las medidas de seguridad necesarias para prevenir ese tipo de ciberataques57.
Las grandes empresas no son las únicas afectadas. Las pymes también son objetivo de los ciberdelincuentes. Un estudio conducido por el Ponemon Institute analizó cómo en Reino Unido y Estados Unidos las pequeñas y medianas empresas afrontaron durante 2018 los ciberataques y concluyó principalmente que el 67% de las empresas sufrió un ciberataque, y que un 58% reportó un data breach, a raíz de lo cual destinaron USD 1.43 millones para reparar los ciberataques, y USD 1.56 millones por la interrupción del negocio. Finalmente, se evidenció que algunas de las empresas no pudieron recuperarse d los perjuicios ocasionados por el incidente58.
Por ello, las empresas son cada vez más conscientes de la importancia de protegerse de ese tipo de peligros. En un estudio realizado por una reconocida reaseguradora, y frente a la pregunta: ¿Cómo valoraría usted los peligros potenciales en su organización derivados de riesgos cibernéticos?, se reveló que el 20% de las empresas encuestadas declaró ese tipo de riesgos como extremadamente serios, el 56% como serios, el 22% como moderados, y el 2% como reducidos59, lo cual muestra que las empresas deben materializar en sus políticas y procedimientos la forma como van a prevenir, gestionar y tratar las amenazas digitales. Hoy en día difícilmente podrían considerarse políticas de gobierno corporativo que no tengan en cuenta la gestión de las amenazas digitales, pues su papel es fundamental porque la tendencia demuestra que la regulación de la seguridad cibernética se verá reforzada y se centrará más en las acciones preventivas tomadas por las empresas, más allá del protocolo posterior al incidente60.
Dichos lineamientos son obligatorios para determinados sectores económicos, como ocurre con el sector financiero, en el cual, bajo el régimen de la administración de riesgos operativos, se regulaban los parámetros mínimos para la seguridad informática; sin embargo, ese régimen presentaba una deficiencia: no tenía en cuenta los avances tecnológicos. De forma que con el auge de la digitalización y la masificación del uso de canales electrónicos61 surgió la necesidad de complementar y robustecer dichos parámetros. Así, mediante la Circular 007 de 2018 la Superintendencia Financiera de Colombia impartió la obligación para las entidades vigiladas de adoptar políticas, procedimientos y recursos técnicos y humanos a fin de gestionar de manera efectiva la ciberseguridad y contrarrestar “posibles resultados negativos derivados de fallas en la seguridad de los sistemas tecnológicos o asociados a ataques cibernéticos”.
La efectividad de las políticas que contienen los procedimientos y las responsabilidades para la adecuada gestión de los riesgos inherentes a la ciberseguridad corresponde a la administración de la compañía, por conducto de su junta directiva, la cual debe aprobar el contenido de dichas políticas y, además, estar debidamente informada respecto de los resultados de la gestión del ciberriesgo mediante un reporte semestral presentado por el responsable de seguridad de la información en la compañía. Este informe debe describir la evaluación de la confidencialidad e integralidad
