La ciberseguridad: una asignatura pendiente en las pymes

Cada día crecen los riesgos asociados a los ciberataques y debemos plantearnos cuál va a ser nuestra estrategia.

Prácticamente cada mañana los periódicos se llenan de noticias sobre hackeos, ya sea a empresas privadas o a organismos públicos. La creciente sofisticación de los ataques y la obsolescencia de las medidas técnicas de defensa, nos hace más vulnerables ante ataques cibernéticos. Es cierto que ningún sistema de seguridad es completamente infranqueable, pero debemos trabajar en la prevención para evitar, en la medida de lo posible, consecuencias nefastas para nuestra organización.

Cuando hablamos de riesgos asociados a los ciberataques, vemos cómo puede afectar a distintos factores de nuestra organización, como factores económicos, reputaciones, competitivos, tecnológicos, regulatorios, políticos, e incluso riesgos asociados a la propiedad industrial e intelectual, ya que  por ejemplo está en juego la revelación de secretos industriales. Como podemos observar hay una conectividad directa en el riesgo de sufrir un ciberataque y el impacto en todos los ámbitos de la organización.

Actualmente debido a la proliferación de las tecnologías y  a la globalización, las empresas introducen nuevas formas de ofrecer productos o servicios de forma digital y es por ello que a la hora de establecer sistemas de seguridad adaptados a esta nueva forma de negocio debemos tener en cuenta  los riesgos emergentes, como por ejemplo, la filtración de información, brechas de seguridad en los datos, las extorsiones o el robo de datos, como decíamos antes la revelación de secretos industriales, manipulación de datos, incluso los posibles daños físicos que puede causar este tipo de ataques etc.

Existe una larga lista de riesgos para la empresa, pero se debe trabajar desde la prevención, teniendo en cuenta algunas consideraciones en la organización.

1.- En primer lugar identificar cuál es tu activo vinculado a datos más valioso, (pueden ser cualquier tipo de datos, ya sean datos de carácter personal o  simplemente información confidencial).

2.- Una vez tengamos identificado este activo, tenemos que plantearnos, qué impacto tiene en otros activos.

3.- En tercer lugar, deberemos considerar cuál es el alcance de los riesgos y vulnerabilidad de ese activo, es decir, cómo y cuándo la entidad se encuentra en un momento crítico para ser atacado y la posible motivación del ataque.

4.- Finalmente debemos reflexionar sobre las medidas adoptadas para prevenir esta situación, desde 3 perspectivas distintas:

– Las personas
– Los procedimientos
– la tecnología

A pesar de ello, en muchas ocasiones, por muchas medidas que pongamos, no siempre se puede evitar un ciberataque.

Una vez sufrido el ataque podemos mitigarlo preparando un plan de actuaciones, donde abordaremos la prevención, la identificación, la reacción y la restauración.

  • La prevención, donde aplicaremos las medidas de seguridad  diseñadas exclusivamente para los riesgos que hemos identificado anteriormente.
  • La detección, es el momento en el que detectamos que nuestra seguridad ha sido violada y debemos recabar todas las pruebas que nos aporten información sobre el ataque sufrido, como por ejemplo informes informáticos, económicos e incluso análisis forenses y periciales de la violación.
  • La reacción debe estar prefijada con anterioridad; debemos tener pensado un plan de reacción ante clientes, empleados y terceros a los que les haya podido afectar. Además tenemos que tener en cuenta las posibles obligaciones legales que se nos aplican, como por ejemplo la notificación de una violación de seguridad ante la Autoridad competente y a todos los interesados (artículo 37 del nuevo Reglamento General de Protección de Datos Comunitario), la evaluación de impacto correspondiente y en general todos los deberes de diligencia y colaboración que se nos aplique.
  • Otro punto a tener en cuenta es la comunicación, muchas veces es mejor contar con profesionales en esta materia, puesto que para nuestra reputación es importante que la estrategia de comunicación esté bien planteada. Por otra parte no olvidemos que podemos presentar la denuncia correspondiente ante los juzgados o la policía ya que este tipo de ataques están tipificados en el Código Penal (como por ejemplo el artículo 179 bis, 179 ter o el 164).
  • Por ultimo nos queda la restauración de nuestros sistemas, en primer lugar aplicar mecanismos para subsanar el suceso y en segundo lugar establecer nuevas medidas de seguridad adicionales destinadas a que el mismo suceso no pueda volver a producirse.

Obviamente muchas empresas no tiene el tamaño y los recursos para tener un departamento que pueda dedicarse totalmente a la ciberseguridad, por lo que será necesario contar con colaboradores externos. Por un lado un colaborador que nos preste servicios en protección de datos, y por otro lado otro colaborador que pueda implantarnos o auditarnos  las medidas de seguridad.

Como conclusión podemos decir que las auditorias en materia de protección de datos, la elaboración planes de protección de datos, la implantación y adaptación a las nuevas legislaciones no son medidas que deban de realizarse solamente por cumplir con la legislación y las obligaciones impuestas, sino deben realizarse para prevenir y atenuar el impacto de cualquier fuga de información que pueda producirse en la organización.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Eduardo Martínez

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios