España es uno de los países que más ciberataques sufre a nivel mundial, teniendo en cuenta que las consecuencias que sufren las empresas son económicas, reputacionales y operativas. Cualquier negocio debe tener un buen sistema de protección, por consiguiente, necesitan el asesoramiento de profesionales para tener mecanismos de prevención.
El principal objetivo de los ciberataques es acceder a los datos privados de una empresa para impactar negativamente en su imagen y en la confianza de los clientes. Iosu Arrizabalaga (CEO de Factum) señala que “en los últimos años, los ciberataques han superado los porcentajes que conocíamos. Solo en 2021 aumentaron en un 150% y cada vez son más las vías de entrada para aprovechar cualquier brecha de seguridad”.
Dichos ataques cibernéticos pueden suponer el cierre de la actividad empresarial porque los costes son inasumibles, además, una falta de diligencia en el deber de protección supone sanciones.
Jesús Yanes (director de Desarrollo de Negocio de EnGenius) asegura que “lo estamos, en mayor o menor medida dependiendo de la tecnología y el equipamiento WiFi que utilicemos. Negarlo sería una ilusión, especialmente en un momento histórico como este, en el que el dato ha cobrado la relevancia actual. Sin entrar a pormenorizar las distintas consecuencias del robo de datos, sabemos que nuestra información depende del grado de seguridad personal o corporativa que hayamos interpuesto”.
El responsable de datos debe aplicar las medidas necesarias para impedir cualquier vulnerabilidad, de esta manera, la empresa tendrá que justificar qué prevenciones ha tomado.
Cualquier negocio tiene que ser capaz de gestionar los sistemas de información mediante medidas físicas y técnicas para mantener la confidencialidad, disponibilidad y la integridad de sus recursos. Asimismo, tienen que llevar a cabo evaluaciones de riesgos y están obligados a asegurar la información de los trabajadores y clientes.
A pesar de los grandes avances tecnológicos, Hervé Lambert (Global Consumer Operations Manager de Panda Security) afirma que “si bien hay entidades que certifican medidas de seguridad, vemos que hay empresas que carecen de sistemas, profesionales y que siguen protegiendo sus activos de la peor forma posible. A nivel de concienciación, tenemos mucho, muchísimo que hacer. Estamos mejor que hace diez años, pero hay mucho margen de mejora”.
Mientras tanto, Mario García (director general de Check Point Software para España y Portugal) añade que “en el año 2021, a través del Boletín Oficial del Estado, se regularon las obligaciones de determinados operadores a la hora de proteger sus redes y sistemas de información. La nueva norma exige que el Responsable de Seguridad de la Información dispone de los medios adecuados para realizar sus funciones de una forma eficaz, con personal capacitado y los recursos necesarios”.
Una empresa no puede defenderse de las campañas de violación de datos sin un programa de ciberseguridad, además, los lugares de trabajo deben incluir programas de concienciación sobre seguridad cibernética para educar al personal.
Carlos Borrego (Cybersecurity Service Delivery Manager de Bidaidea) señala que todas las organizaciones deberían tomar medidas para protegerse de un posible ciberataque. La protección no solo se basa en una serie de controles genéricos, sino que han de ser un conjunto de medidas adaptadas al contexto de cada organización. La ciberseguridad no es un coste sin retorno, sino que es una inversión que permitirá la implantación de medidas y el entrenamiento del personal mediante la formación.
Jesús F. Rodríguez (CEO de IberBox) afirma que “el Reglamento General de Protección de Datos deja clara la figura del responsable del tratamiento de datos, que es quien recopila el dato. Por tanto, si ocurre un ciberataque, la Agencia Española de Protección de Datos incidirá inicialmente en el responsable del tratamiento”.
Por otro lado, la responsabilidad recae en quien ejecuta la acción y en quien no actuó con la diligencia exigible. Iosu Arrizabalaga añade que “la víctima es la empresa y la responsabilidad primera siempre es del delincuente, la realidad es que deber ser la misma entidad afectada la responsable de la toma de decisiones y de medidas paliativas”.
Javier Huergo (director de Watch&Act Protection Services) indica que “en todas las empresas debe existir un responsable de ciberseguridad (CISO) que ponga en marcha todos los mecanismos necesarios para mitigar lo antes posible un ciberataque y coordine todas las acciones necesarias para volver a funcionar en la mayor brevedad posible”.
Sufrir un ciberataque puede suponer un parón temporal o el cese total de la actividad. Los ciberdelincuentes acceden a los sistemas y sustraen los datos privados externos, conllevando responsabilidades subsidiarias y dejando al descubierto vías de entrada para atacar a terceros, ya sean proveedores, colaboradores y clientes.
Los ataques cibernéticos pueden detener las operaciones en línea en solo unos minutos y demorar semanas en resolverse. José Carlos Márquez (Education Manager en OpenWebinars) señala que “el principal riesgo es el robo de información. Los datos robados podrían usarse para exponerlos públicamente, realizar chantajes o extorsiones, o ser ofrecidos a la competencia”.
Aquellos clientes con datos personales comprometidos deben ser informados por parte de la empresa, de forma que puedan tomar las medidas necesarias para evitar problemas inmediatos o futuros.
Francisco Valencia (director general de Secure&IT) afirma que los riesgos “dependen del tipo de ataque y tipo de empresa. Hay ataques que son capaces de paralizar la actividad durante un período de tiempo más o menos extenso y, en consecuencia, esto implica que el cliente puede dejar de recibir servicios o suministros más o menos críticos”.
Javier Huergo indica que “el principal vector de entrada de virus informáticos viene provocado por errores humanos, por ello, una buena formación a empleados y directivos en materia de ciberseguridad puede evitar muchos problemas”.
Valentín Cortés (Campus Manager de Madrid y Barcelona de Ironhack) agrega que “los empleados son la mayor debilidad de la seguridad informática de una empresa. Si los trabajadores no están capacitados, será difícil proteger los sistemas contra la variedad de amenazas que los ciberdelincuentes utilizan para robar datos”.
José Carlos Márquez informa que la culpa “depende en parte de la empresa, dado que tiene que dar los pasos para facilitar la adopción de esa Cultura de Seguridad a los empleados, pero también en gran medida del trabajador, porque accede a los datos con distintos niveles de sensibilidad y debe hacerlo siempre con responsabilidad”.
El aumento de los ciberataques aumentó a raíz del teletrabajo, debido a que se ha puesto a prueba las barreras de seguridad de las empresas y dificultó la labor de control sobre la actividad.
Desde el inicio de la pandemia destacan los ataques de ransomware. Esta vulnerabilidad provoca la encriptación de la información y paraliza la actividad de la empresa. Asimismo, en la mayoría de los casos, el pago de un rescate es la vía más rápida para retomar el funcionamiento del negocio.
Otros de los riesgos son:
En primer lugar, cualquier negocio se tiene que poner en manos de profesionales que protejan los datos de manera privada. Posteriormente, es recomendable tener un alto nivel de formación para evitar los posibles errores humanos.
Los usuarios se pueden proteger de la siguiente manera:
Valentín Cortés recomienda las siguientes medidas:
Los negocios tienen que realizar evaluaciones detalladas del estado en el que se encuentran para conocer los posibles fallos, establecer un protocolo, analizar la actividad, hacer copias de seguridad, elaborar un Plan de Ciberseguridad personalizado y contar con un buen software de protección.
Otros de los requisitos mínimos son los antivirus, actualizaciones de software, doble factor de autenticación y una buena política de contraseñas.
[Leer Más]
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación