[vc_row][vc_column][vc_column_text]Sobre la autora, Irene Robledo de Castro, Abogado/Lawyer. DAC Beachcroft SLPU.
Irene es abogada especialista en Protección de Datos y forma parte del equipo de Ciber Riesgos en DAC Beachcroft. Asesora a clientes en el cumplimiento de la normativa española y europea de protección de datos y en materia de ciberriesgos. Además forma parte del equipo internacional Information Law de DAC Beachcroft y es colaboradora en sunewsletter.
[/vc_column_text][vc_column_text][quote font_size=»14″ font_style=»italic» bgcolor=»#f46e6e» color=»#ffffff» arrow=»yes»]»Los ciberataques han pasado de ser un riesgo poco definido e inocuo a estar en la agenda de los gerentes de riesgos de las empresas y más aún desde la entrada en vigor del nuevo Reglamento General de Protección de Datos».[/quote]
[/vc_column_text][vc_separator border_width=»6″][/vc_column][/vc_row][vc_row][vc_column][vc_separator border_width=»6″][vc_column_text]Las estadísticas son claras, según la encuesta realizada por Lloyd’s a 350 ejecutivos de empresas europeas el 86% de las empresas con una facturación superior a 250 millones de euros ya lo han recibido.
Por lo anterior y debido a su impacto económico, los ciberataques han pasado de ser un riesgo poco definido e inocuo a estar en la agenda de los gerentes de riesgos de las empresas y más aún desde la entrada en vigor del nuevo Reglamento General de Protección de Datos que, además de aumentar la presión regulatoria sobre las empresas y el importe de las sanciones por incumplimiento de la normativa de protección de datos, establece la obligación de notificar a la autoridad las violaciones de seguridad que sufran las empresas con respecto a sus datos.
Pero teniendo ya en mente la posibilidad de recibir un ciberataque, y habiendo aumentado la concienciación tanto de las grandes empresas como, cada vez mas de las Pymes respecto a esta nueva amenaza debemos ir un paso más allá intentando dar respuesta a la siguiente pregunta: ¿Cómo actuar ante un ciberataque? La respuesta no es sencilla, pero podríamos resumir la gestión de la ciberseguridad en tres fases: la fase de prevención, la fase de respuesta inmediata al ciberataque y la fase de gestión de las posteriores reclamaciones.
En este primer post vamos a centrarnos en la fase de prevención, dando unas pinceladas de cuáles son los pasos básicos que deben seguir las empresas para minimizar el impacto de un ciberataque que, con gran probabilidad, recibirán en algún momento.
La motivación de los terceros para dirigir un ciberataque contra una empresa puede venir desde de la posibilidad de exigir un «rescate» por los datos a los que se accede o las funcionalidades que se bloquean hasta de reivindicaciones políticas o sociales –el llamado hacktivismo– pasando por el espionaje o la competencia desleal. El abanico de motivaciones es amplio, tanto como el de consecuencias para la empresa que recibe el ataque, que van desde las pérdidas económicas por interrupción de negocio hasta los daños reputacionales, pasando por ejemplo, por las sanciones de la Agencia de Protección de datos.
Por estos motivos es de vital importancia para las empresas el prestar atención a los sistemas de prevención desde dos perspectivas, la virtual y la legal. La prevención desde el punto de vista virtual se articula adecuando sus sistemas de seguridad al peligro de los ciberataques, para conseguir frustrarlos o, de materializarse, para detectarlos cuanto antes y poner en marcha la fase de respuesta. En particular, en el aspecto técnico, la fase de prevención se centraría en la realización de un análisis de vulnerabilidades internas y externas, seguido de un parcheo de aquellas que se detecten, así como establecer un soporte de seguridad adecuado, definir un protocolo de actuación e caso de ataque y el establecimiento de un servicio de ciber vigilancia y anti secuestro de información.
La segunda de las perspectivas a abordar en esta fase de prevención es la legal, esto es, la protección de datos y el cumplimiento de su normativa. Como ya se ha comentado, el nuevo Reglamento de protección de datos va a introducir novedades en la normativa respecto a la protección de los datos en la Unión Europea, pero tres de las novedades más relevantes en relación con las consecuencias que tienen los ciberataques para las empresas son (i) el aumento del volumen de las sanciones hasta un máximo del 4% del volumen total de negocio de la empresa o 20 millones de euros, (ii) la obligación de notificar una violación de la seguridad de los datos a la Agencia Española de Protección de datos y (iii) la posibilidad de que los titulares de los datos, por si mismos, o a través de organizaciones, reclamen indemnizaciones de daños y perjuicios por violaciones de protección de datos.
Ante este panorama normativo, resulta de vital importancia el llevar a cabo un exhaustivo análisis de cumplimiento legal. De este modo, se reducirá la posibilidad de recibir una sanción de la Agencia de Protección de Datos o una reclamación del titular de los datos en caso de ciberataque y acceso a datos de carácter personal por parte de terceros.
En suma, resulta altamente recomendable invertir tiempo y presupuesto en el diseño, creación e implementación de los programas de prevención técnica y de cumplimiento de la normativa, dando los pasos necesarios para adaptar este cumplimiento al nuevo Reglamento de protección de datos. De otro modo, es probable que se materialice el hecho de «lo barato sale caro» y que los responsables de riesgos deban, en caso de ciberataque, dar muchas explicaciones al Consejo y lamentarse por no haber sido suficientemente previsores o conservadores.
Lo que las empresas consiguen con esta fase de prevención, no es impedir los ciberataques en su totalidad, pero definitivamente pueden conseguir reducir su alcance y consecuencias.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_separator border_width=»6″][vc_custom_heading text=»Artículos relacionados» font_container=»tag:h2|text_align:left|color:%23dd3333″ link=»url:http%3A%2F%2Fcommunityofinsurance.es%2Fcategoria%2Farticulos%2Finsights%2Fciberriesgos%2F|||»][vc_basic_grid post_type=»post» max_items=»10″ style=»load-more» items_per_page=»5″ initial_loading_animation=»none» grid_id=»vc_gid:1484177200065-a86df919-9ad5-9″ taxonomies=»802″][vc_separator border_width=»6″][vc_btn title=»Ver también INinsights COI CIBERRRIESGOS» color=»success» size=»lg» align=»center» i_icon_fontawesome=»fa fa-sign-in» add_icon=»true» link=»url:http%3A%2F%2Fcommunityofinsurance.es%2Fcategoria%2Farticulos%2Finsights%2Fciberriesgos%2F|||»][vc_separator border_width=»6″][/vc_column][/vc_row]