La importancia de estar protegido ante los ciberataques

Los datos personales son uno de los principales objetivos de los ciberdelincuentes, que los utilizan, entre otras finalidades, para el envío masivo de spam o para la realización de estafas. Pero no sólo los datos personales son susceptibles de ciberataques; la propiedad intelectual, los secretos empresariales (know-how) o la información confidencial (como los medios de pago) son también claros objetivos para este tipo de delincuencia.

Todos ellos tienen en común que son activos intangibles, lo cual les hace especialmente vulnerables debido a que pueden ser sustraídos sin necesidad de desplazamiento por parte del delincuente, que son accesibles 24 horas al día 365 días al año, que permiten el anonimato del atacante, así como la posibilidad de no ser rastreado, y que son elementos que no desaparecen tras el robo, por lo que en algunos casos las empresas no llegan a ser conscientes de que han sido víctimas de estos delitos.

Los delitos informáticos: un riesgo empresarial a tener en cuenta

Nuestro Código Penal recoge como delitos informáticos el delito contra la intimidad, el descubrimiento y revelación de secretos, la interceptación de comunicaciones, el acceso no autorizado, los daños informáticos, el ataque de denegación de servicios y las ciberestafas, previendo penas de entre 2 y 5 años de prisión.

Además, el Reglamento Europeo de Protección de Datos (RGPD) también contempla infracciones relacionadas con la protección de los datos personales en el ámbito informático y prevé sanciones especialmente elevadas, como para la infracción del deber de confidencialidad, que puede ser castigada con una multa de hasta 20 millones de Euros.

Las empresas deben adoptar una serie de medidas para evitar incurrir en responsabilidad

Las empresas son cada vez más conscientes de la importancia de estar protegidas ante los ciberataques, pero pocas han adoptado las medidas y protocolos para cumplir con la normativa.

  • Por un lado, es necesario contar con medidas técnicas y organizativas que garanticen los niveles de seguridad mínimos exigibles, como sistemas de cifrado y seudonimización de datos, lo que puede acreditarse, por ejemplo, mediante la obtención de la certificación ISO 27001.
  • Por otro lado, es importante haber desarrollado un protocolo de actuación ante posibles vulneraciones de seguridad, que necesariamente debe pasar por un primer análisis del incidente (evaluación del alcance, origen e intencionalidad del  ataque), una evaluación del riesgo (determinando el tipo de riesgo y la gravedad del mismo) y la toma de decisiones en consecuencia (comunicación a la Agencia Española de Protección de Datos y/o a los interesados afectados).
  • Por último, las empresas tienen el deber de formar y sensibilizar a sus empleados en materia de ciberseguridad, en la medida en que los empleados son siempre el eslabón más débil ante los ciberataques.

Protección de Datos PersonalesOtra parte imprescindible en lo que a la seguridad de sistemas se refiere es la implantación de un protocolo de contratación de proveedores, pues es posible incurrir en responsabilidad por las negligencias en la seguridad informática de nuestros proveedores.

Antes de confiar en un tercero para la prestación de un determinado servicio, es necesario exigir vía contractual una serie de medidas en materia de prevención y cumplimiento normativo.

El propio RGPD, en sus artículos 28 y 29, exige a quienes sean responsables de datos personales que, antes de dar acceso a los mismos a terceros proveedores de servicios (los encargados de tratamiento), comprueben que cuentan con unas medidas mínimas de seguridad y que están al día en el cumplimiento de la normativa en protección de datos, lo cual debe quedar plasmado en un contrato.

En ATEA COMPLIANCE contamos con profesionales especialistas en protección de datos, que prestan asesoramiento jurídico personalizado a aquellos clientes que quieran tanto cumplir con el nuevo RGPD como adoptar las medidas necesarias en materia de ciberseguridad, ofreciendo así un servicio integral de alto nivel.