Seguretat en l’empresa: ciberatacs
Cada dia som més conscients de la importància que tenen les dades que donem contínuament, i de manera gratuïta, a diferents empreses. A l’rebre’ls, aquestes adquireixen automàticament una gran responsabilitat perquè són posseïdores d’una informació valuosa que a més, avui en dia, es pot veure altament compromesa en cas de rebre un ciberatac.
La facilitat amb què un hacker pot posar a l’descobert dades i informació rellevant i usar-los de manera fraudulenta, és una cosa que posa de manifest el ciber-risc existent avui dia en qualsevol empresa. Per aquest motiu, si estàs a l’capdavant d’un negoci, ja sigui un petit comerç o una multinacional, no dubtis en posar els mitjans necessaris a l’servei de la ciberseguretat i la protecció de dades. Per a això, et caldrà comptar amb experts en protecció de dades que puguin ajudar-te a dissenyar un pla de prevenció enfront de les bretxes de seguretat i un protocol d’actuació en cas de rebre un ciberatac.
És tanta la preocupació per mantenir fora de perill les dades personals que en els últims anys, les empreses han fet un esforç d’inversió important per posar a el dia la seguretat de la informació dels clients. A nivell legislatiu, també s’han fet els deures, ja que la protecció de dades i la recerca de possibles bretxes de seguretat s’han convertit en temes ineludibles en qualsevol auditoria o fiscalització d’empresa.
En aquest sentit, l’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat diverses empreses per mostrar deficiències en la seva ciberseguretat. Són diverses les companyies que s’han vist multades pel mateix fet d’haver rebut un ciberatac ja que en el moment de l’hackeo, s’han compromès moltes dades de clients. No oblidem que aquests clients cedeixen la seva informació amb la total confiança que estarà ben protegida segons la Normativa de Protecció de Dades. Així, en 2018, Air Europa va patir una multa de 600.000 € per rebre un ciberatac i deixar exposats les dades dels seus clients. La xifra voluminosa de la multa es deu al fet que el ciberatac no va ser comunicat abans de 72 hores a l’AEPD ni s’havien pres les mesures preventives necessàries en protecció de dades per part de l’empresa.
De fins a 22 milions d’euros va ser la multa a British Airways per processar gran quantitat de dades personals sense les mesures de seguretat adequades.
La manca de planificació a través d’un bon protocol d’actuació davant el ciberatac empresarial perjudica qualsevol empresa.
Per contra, l’empresa MAPFRE va rebre el 2020 un ciberatac que podia comprometre dades personals de clients, però el seguiment del protocol davant del ciberatac li va permetre detectar la bretxa de seguretat evitant la propagació de malware. De la mateixa manera, la seva diligència en el comunicat del ciberatac a INCIBE (Institut Nacional de Ciberseguretat) i al CCN-CERT (Centre Criptològic Nacional), li va permetre evitar la multa de l’AEPD.
Per protegir bé una empresa davant de ciberatacs però alhora, protegir la teva empresa de possibles multes per bretxes de seguretat, cada responsable de la protecció de dades en una empresa ha de tenir molt en compte les mesures que estableix l’AEPD. D’una banda, tenim les mesures de seguretat preventives davant el ciberatac, entre les quals es proposen:
- Informes periòdics d’auditories
- Compliment de mesures de seguretat
- Anàlisi de risc anuals
- Donar informació en ciberseguretat i tractament de dades personals a tot el personal de l’empresa.
En relació a aquest últim punt, és important destacar que tota empresa ha de donar, de manera continuada, formació sobre protecció de dades i ciberatacs a tot el personal. Aquesta formació continuada en seguretat per a l’empresa suposa enormes avantatges a l’hora d’afrontar bretxes de seguretat com a equip empresarial.
D’altra banda, hi ha les mesures a prendre un cop patit el ciberatac relacionades amb la recopilació d’informació sobre el mateix:
- Origen de l’ciberatac
- Intenció: accidental o intencionat
- Volum de dades afectat
- Categoria de les dades
- Persones afectades
- Seqüència temporal de la bretxa de seguretat
Tots aquests aspectes han de constar en un bon pla enfront els ciberatacs que tota empresa de segle XXI ha de tenir, compartir amb el personal i treballar amb cura. Amb això evitarem sancions de l’AEPD i possibles denúncies de clients per falta de seguretat a l’empresa.
Invertir en seguretat informàtica és evitar danys futurs a la teva empresa. Però el més important és saber quines mesures s’han de prendre i quins passos s’han de seguir tant en la prevenció de ciberatacs com en la posterior actuació. Aquí és on entren amb força els experts en protecció de dades que tenen les eines necessàries per dotar les empreses de les mesures necessàries en protecció.
A SETEMCAT som líders en protecció de dades amb una llarga experiència que avala totes les nostres actuacions.
Pots comptar amb nosaltres per consultoria, assessorament o intervenció en protecció de dades per a la teva empresa.