[vc_row][vc_column][vc_column_text]Sobre la autora, Irene Robledo de Castro, Abogado/Lawyer. DAC Beachcroft SLPU.
Irene es abogada especialista en Protección de Datos y forma parte del equipo de Ciber Riesgos en DAC Beachcroft. Asesora a clientes en el cumplimiento de la normativa española y europea de protección de datos y en materia de ciberriesgos. Además forma parte del equipo internacional Information Law de DAC Beachcroft y es colaboradora en sunewsletter.[/vc_column_text][vc_separator border_width=»6″][vc_column_text]Como ya vimos en el post anterior, el impacto de un ciberataque puede reducirse de manera significativa con la adecuada implantación de un sistema de prevención desde dos perspectivas, la virtual y la legal. Pero, ¿qué sucede cuando, pese a todo, una empresa recibe efectivamente un ciberataque?
No son pocos los casos en los que el ciberataque no se descubre inmediatamente por la empresa que lo recibe, como sucedió por ejemplo en el célebre caso de robo de datos e información al despacho panameño Mossack Fonseca, los llamados «Papeles de Panamá», en el que el ataque pasó desapercibido en el propio despacho durante meses.
Pero en aquellos casos en los que el ciberataque se descubre rápidamente por la empresa (por ejemplo, una ciberextorsión o una interrupción del negocio) es sumamente relevante actuar de una manera rápida, eficaz y coordinada para, en primer lugar intentar detenerlo y, en segundo lugar, mitigar sus consecuencias.
Sea cual sea el tipo de ataque que reciba la empresa, las consecuencias siempre son diversas: pérdida de beneficios por interrupción de negocio, gastos de especialistas informáticos, daño reputacional, gastos por ciberextorsión, gastos de notificación de la violación o acceso a datos de carácter personal, sanciones de la Agencia de Protección de Datos u honorarios de abogados o las reclamaciones posteriores de terceros que hayan podido sufrir algún daño con motivo del ciberataque.
¿Cómo hacer frente todas estas consecuencias y conseguir que la empresa atacada recupere la normalidad y operatividad sin resentirse demasiado? No existe una respuesta de aplicación general para todos los casos si bien, en todos ellos, es siempre una muy buena opción el contar con un servicio de respuesta que coordine a los diferentes agentes que intervienen en esta fase. Gracias a este servicio se pone en marcha un engranaje que activa a:
- Los especialistas tecnológicos: es decir, los hacen frente al ataque y consiguen y por ejemplo, reactivar el negocio online de la empresa (disminuyendo así su pérdida de beneficios) o recuperar datos que hayan sido bloqueados o sustraídos por los atacantes, ello por no hablar de la labor de conservación tecnológica que puede ser útil en eventuales procedimientos judiciales.
- Los especialistas legales: quienes decidirán y llevarán a efecto las múltiples gestiones legales que deben hacerse tras un ciberataque; por ejemplo: decidir si se notifica el ciberataque a la Agencia Española de Protección de Datos o a los interesados –notificación que será obligatoria a partir de mayo de 2018 con la aplicación del Nuevo Reglamento de Protección de Datos-. Con esta intervención «temprana», el especialista legal facilitará a la empresa una foto clara de las consecuencias legales que puede tener el ciberataque y, en su caso, como afrontarlas de la mejor manera posible.
- Los especialistas en gestiones de crisis: es decir, las agencias de comunicación o de relaciones públicas, quienes se encargaran de minimizar el daño reputacional derivado del ciberataque por medio de campañas de publicidad o de notificaciones masivas en aquellos casos en los que se haya determinado la necesidad de notificar a los afectados por el ciberataque.
Con este modelo de gestión del ciberataque, la empresa consigue que todos los agentes que son necesarios para dar una rápida respuesta a un ciberataque se activen a través de un solo canal de comunicación coordinado y eficaz.
Una vez se ha conseguido frenar el ciberataque, ¿Puede una empresa dar por definitivamente resuelto su problema desde el punto de vista tecnológico y legal? La respuesta es casi siempre afirmativa desde el punto de vista tecnológico pero negativa desde el punto de vista legal. Veámoslo:
- Cabe la posibilidad de que los terceros que puedan haberse visto afectados por el ciberataque reclamen una compensación por daños y perjuicios. Como ejemplo más reciente indicaremos que esta misma semana se ha dictado una sentencia por el Juzgado de Primera Instancia número 48 de Madrid, en la que se condena a Banco Santander a devolver a una cliente 55.275 Euros sustraídos de su cuenta por unos hackers utilizando el troyano Citadel, por entender que el banco no contaba con los sistemas de seguridad adecuados para evitar la sustracción del dinero.
- Las empresas que sufran una violación de seguridad con acceso a datos de carácter personal pueden recibir reclamaciones de los titulares de los datos de carácter personal que aleguen que han sufrido un daño patrimonial o moral por el mero hecho de que la violación de seguridad suponga una violación de la normativa de protección de datos. Además, el nuevo Reglamento de Protección de Datos establece la posibilidad de que estas reclamaciones las hagan asociaciones o entidades sin ánimo de lucro en nombre de los afectados, lo que previsiblemente, tendrá un efecto llamada en toda Europa a la hora de reclamar estos daños patrimoniales y morales.
Como ya dijimos en el anterior post, no invertir tiempo y presupuesto en un sistema de prevención técnica y legal para este tipo de riesgos puede hacer que se materialice el dicho de «lo barato sale caro». Pero de nada vale el tener este sistema de prevención sino se dispone también de un servicio de coordinación de primera respuesta (tecnológica, legal y reputacional) que permita a la empresa minimizar los muchas consecuencias derivadas de estos ataques.
Concienciémonos de que los ciberataques hace tiempo que dejaron de ser cosa de películas, seamos conscientes de sus consecuencias y pasemos a la acción implementando un sistema eficiente y eficaz de prevención y de primera respuesta.
… Y no nos olvidemos de valorar la posibilidad de contratar un seguro que cubra este tipo riesgos cada vez más comunes en el mercado. Pero de las pólizas de ciberriesgos ya hablaremos en otro post que en este ya no nos queda espacio y hay mucho de lo que hablar a este respecto…[/vc_column_text][vc_masonry_grid post_type=»ids» grid_id=»vc_gid:1484503874796-0f7dbeb1-4104-0″ include=»28347, 25244, 24920″][/vc_column][/vc_row]