Seguridad en la empresa: ciberataques
Cada día somos más conscientes de la importancia que tienen los datos que damos continuamente, y de manera gratuita, a diferentes empresas. Al recibirlos, éstas adquieren automáticamente una gran responsabilidad porque son poseedoras de una información valiosa que además, hoy en día, puede verse altamente comprometida en caso de recibir un ciberataque.
La facilidad con la que un hacker puede poner al descubierto datos e información relevante y usarlos de manera fraudulenta, es algo que pone de manifiesto el ciber-riesgo existente hoy en día en cualquier empresa. Por ese motivo, si estás al frente de un negocio, ya sea un pequeño comercio o una multinacional, no dudes en poner los medios necesarios al servicio de la ciberseguridad y la protección de datos. Para ello, necesitarás contar con expertos en protección de datos que puedan ayudarte a diseñar un plan de prevención frente a las brechas de seguridad y un protocolo de actuación en caso de recibir un ciberataque.
Es tanta la preocupación por mantener a salvo los datos personales que en los últimos años, las empresas han hecho un esfuerzo de inversión importante para poner al día la seguridad de la información de los clientes. A nivel legislativo, también se han hecho los deberes, pues la protección de datos y la búsqueda de posibles brechas de seguridad se han convertido en temas ineludibles en cualquier auditoría o fiscalización de empresa.
En este sentido, la Agencia Española de Protección de Datos (AEPD) ha sancionado varias empresas por mostrar deficiencias en su ciberseguridad. Son varias las compañías que se han visto multadas por el mismo hecho de haber recibido un ciberataque ya que en el momento del hackeo, se han comprometido muchos datos de clientes. No olvidemos que esos clientes ceden su información con la total confianza de que estará bien protegida según la Normativa de Protección de Datos. Así, en 2018, Air Europa sufrió una multa de 600.000€ por recibir un ciberataque y dejar expuestos los datos de sus clientes. La cifra abultada de la multa se debe a que el ciberataque no fue comunicado antes de 72 horas a la AEPD ni se habían tomado las medidas preventivas necesarias en protección de datos por parte de la empresa.
De hasta 22 millones de euros fue la multa a British Airways por procesar gran cantidad de datos personales sin las medidas de seguridad adecuadas.
La planificación ante el ciberataque y la formación en protección de datos a todo el personal es indispensable
Por el contrario, la empresa MAPFRE recibió en 2020 un ciberataque que podía comprometer datos personales de clientes, pero el seguimiento del protocolo ante el ciberataque le permitió detectar la brecha de seguridad evitando la propagación del malware. Del mismo modo, su diligencia en el comunicado del ciberataque a INCIBE (Instituto Nacional de Ciberseguridad) y al CCN-CERT (Centro Criptológico Nacional), le permitió evitar la multa de la AEPD.
Para proteger bien una empresa frente a ciberataques pero a la vez, proteger tu empresa de posibles multas por brechas de seguridad, cada responsable de la protección de datos en una empresa debe tener muy en cuenta las medidas que establece la AEPD. Por una parte, tenemos las medidas de seguridad preventivas frente al ciberataque, entre las cuales se proponen:
- Informes periódicos de auditorías
- Cumplimiento de medidas de seguridad
- Análisis de riesgo anuales
- Dar información en ciberseguridad y tratamiento de datos personales a todo el personal de la empresa.
En relación a este último punto, es importante destacar que toda empresa debe dar, de manera continuada, formación sobre protección de datos y ciberataques a todo el personal. Esta formación continuada en seguridad para la empresa supone enormes ventajas a la hora de afrontar brechas de seguridad como equipo empresarial.
Por otra parte, están las medidas a tomar una vez sufrido el ciberataque relacionadas con la recopilación de información sobre el mismo:
- Origen del ciberataque
- Intención: accidental o intencionado
- Volumen de datos afectado
- Categoría de los datos
- Personas afectadas
- Secuencia temporal de la brecha de seguridad
Todos estos aspectos deben constar en un buen plan frente a los ciberataques que toda empresa del siglo XXI debe tener, compartir con el personal y trabajar cuidadosamente. Con ello evitaremos sanciones de la AEPD y posibles denuncias de clientes por falta de seguridad en la empresa.
Invertir en seguridad informática es evitar daños futuros a tu empresa. Pero lo más importante es saber qué medidas deben tomarse y qué pasos deben seguirse tanto en la prevención de ciberataques como en la posterior actuación. Aquí es donde entran con fuerza los expertos en protección de datos que tienen las herramientas necesarias para dotar a las empresas de las medidas necesarias en protección.
En SETEMCAT somos líderes en protección de datos con una larga experiencia que avala todas nuestras actuaciones.
Puedes contar con nosotros para consultoría, asesoramiento o intervención en protección de datos para tu empresa.