¿Es obligatorio implementar un plan de contingencia en empresas?
Elvira Torres Benito, socia de MediaLAW Tech & Legal habla de la necesidad de tener un plan de contingencia en empresas en las TIC.
Lo primero que nos preguntamos es ¿qué es un plan de contingencia en empresas? El plan de contingencia es un instrumento de gestión para el uso y tratamiento de las TIC –Tecnologías de la Información y Comunicaciones–. Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía u organización. No existe ninguna norma jurídica que exige a nivel imperativo el desarrollo de este plan, si bien es cierto que ha sido desarrollado en la Guía de la AEPD sobre gestión y notificación de las brechas de seguridad, que sí lo exige imperativamente al precisar:
Es necesario un proceso previo de Preparación en el que se decidirán las medidas técnicas y organizativas para poder afrontar un incidente. Esto incluye la identificación de los agentes implicados en la gestión de la brecha, el análisis de riesgos y/o evaluación de impacto en caso de que sean necesarias y la definición de los “planes de respuesta a incidentes” o “plan de contingencia”.
Igualmente, en este sentido ha sido desarrollado por INCIBE, en su Plan de Contingencia y continuidad de negocio.
En ambos casos, la obligatoriedad de este plan no depende del volumen de las empresas afectadas.
Por otro lado, en el caso de la Administración Pública se podría entender que el plan de contingencia se incardina dentro de los fundamentos del ENS, . Ejemplos de esto serían:
CCN-STIC-801: ANEXO A. RESPUESTA A INCIDENTES Y MATRIZ RACI
En este caso, y a pesar de que recibe un nombre diferente, debemos entender aplicable aquí la teoría o doctrina del nomen iuris.
CCN-CERT BP/01. Principios y recomendaciones básicas en Ciberseguridad que precisa:
La implementación de seguridad supone planificar y tener en cuenta los elementos siguientes:
- Análisis de Riesgos. Estudiar los posibles riesgos y valorar las consecuencias de los mismos sobre los activos. (Información y servicio).
- Gestión de Riesgos. Valorar las diferentes medidas de protección y decidir la solución que más se adecue a la entidad. (Determinación del riesgo residual).
- Gobernanza. Adaptar la operativa habitual de la entidad a las medidas de seguridad.
- Vigilancia. Observación continua de las medidas de seguridad, así como la adecuación de las mismas a la aparición de nuevas tecnologías.
- Planes de Contingencia. Determinación de las medidas a adoptar ante un incidente de seguridad. La combinación de estas prácticas ayuda a proporcionar el nivel de protección mínima para mantener los datos a salvo.
En definitiva, para la Administración Pública sujeta a ENS sí parece una obligación. Sin embargo, es dudoso que sea o no obligatorio para las entidades privadas, debido a que si bien carece de norma imperativa directa, la AEPD e INCIBE en sus guías respectivas parece desprenderse una cierta obligatoriedad de las mismas para garantizar la no violación de las brechas de seguridad. En cualquier caso, debemos tener en cuenta que ante la probabilidad de recibir un ciberataque y de sufrir una brecha de seguridad, parece una medida de transferir, prevenir y corregir el riesgo, así como una manera probatoria adecuada de haber ejercido una diligencia adecuada frente a un posible responsabilidad civil (en Derecho de Daños), y esto hace recomendable realizar un plan de contingencia adecuado a la entidad correspondiente.
Firmado por Elvira Torres, socia en MediaLAW Tech & Legal en el blog Derecho Disruptivo. Si te interesa la tecnología no dejes de consultar Siglo XXII Legal.