SharePoint
Ministerio de Industria, Comercio y Turismo Portal IPYME
Contacto Buscar Menú

Obligaciones ciberseguridad

Obligaciones ciberseguridad para empresas

El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, establece determinadas obligaciones para las empresas en materia de ciberseguridad. Aunque su ámbito de aplicación es fundamentalmente el de las empresas que prestan servicios esenciales en sectores estratégicos, como la salud o la energía, también se aplica a las empresas que prestan determinados servicios digitales y que no sean microempresas o pequeñas empresas. Los servicios digitales incluidos son:

  • Mercados en línea (comercio electrónico).
  • Motores de búsqueda en línea.
  • Servicios de computación en la nube.

Por tanto, las medianas y grandes empresas que presten alguno de estos servicios quedan dentro del ámbito de la ley, y tienen las siguientes obligaciones:

  1. Comunicar su actividad (artículo 7): Los proveedores de servicios digitales deberán comunicar su actividad a la autoridad competente en el plazo de tres meses desde que la inicien, a los meros efectos de su conocimiento. La autoridad competente es el Ministerio de Transformación Digital y la comunicación se puede realizar por vía electrónica:

  2. Adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información (artículo 16). Aunque no se indica una relación detallada de medidas, sí se indica que se deberán tener en cuenta los siguientes aspectos:
    • La seguridad de los sistemas e instalaciones.
    • La gestión de incidentes.
    • La gestión de la continuidad de las actividades.
    • La supervisión, auditorías y pruebas.
    • El cumplimiento de las normas internacionales.
  3. Notificar los incidentes de seguridad significativos a través del Equipo de respuesta a incidentes de seguridad (CSIRT – Computer Security Incident Response Team). Para el caso de prestadores de servicios digitales, el CSIRT es el INCIBE-CERT

Recomendaciones

Aun cuando la empresa no esté incluida en el ámbito de la ley, y no esté sujeta a las obligaciones que establece, es recomendable definir un plan de seguridad e implantar una serie de medidas que protejan frente a los ciberataques. Para ello es necesario:

  1. Realizar un análisis de riesgos, evaluando las consecuencias de la pérdida de los sistemas de información. Por ejemplo, un ataque de tipo ransomware puede encriptar todos los equipos, paralizando la actividad del negocio y destruyendo información necesaria para afrontar las obligaciones frente a clientes, proveedores, empleados o incluso administraciones públicas.
  2. Definir una política de seguridad, comunicarla a los empleados y formarles en su correcto cumplimiento. El punto más débil en materia de ciberseguridad no suelen ser las máquinas, sino las personas. La política debe incluir:
    • Aplicaciones permitidas y no permitidas.
    • Restricción de permisos de administración de equipos de usuario.
    • Políticas de almacenamiento (¿se hacen copias de seguridad de los puestos de usuario o sólo de los servidores?).
    • Uso del correo electrónico.
    • Uso de dispositivos externos (pendrives).
    • Uso de dispositivos personales (BYOD).
  3. Además de la normativa para los empleados, se deben establecer una serie de procedimientos técnicos:
    • Política de gestión de usuarios (altas, bajas, permisos).
    • Política de contraseñas.
    • Copias de seguridad.
    • Actualizaciones de seguridad.
    • Antivirus.
    • Política de confidencialidad (cifrado de dispositivos portátiles).
    • Seguridad en la red (cortafuegos, sistema de detección de intrusiones, etc).
    • Política de acceso remoto (red privada virtual para teletrabajo).
    • Registro de actividad.
    • Gestión de incidentes.
  4. No hay que olvidar la política de acceso físico a las instalaciones, así como la posibilidad de que un dispositivo ajeno a la organización se conecte a la red local o la red wifi.
  5. En el caso de que se contrate un servicio de hosting, se debe analizar qué medidas de seguridad ofrece el proveedor.

Normativa

Herramientas digitales


Plan de Recuperación, Transformación y Resiliencia Financiado por la Unión Europea
Dirección General de Industria y de la Pequeña y Mediana Empresa. Ministerio de Industria, Comercio y Turismo.

Paseo de la Castellana, 160 - 28046 Madrid - España

© 2023 DGIPYME – Todos los derechos reservados