Ya son numerosos estudios los que permiten identificar a los ciberataques como la principal amenaza para la seguridad de las empresas y, en particular, de las PYMES. Y así, nos encontramos ante un crecimiento exponencial del número de ataques realizados. Cifra que, si bien ya venía incrementándose año a año, durante la pandemia provocada por el COVID-19 se ha podido observar un incremento aún mayor.
En este sentido, el informe Escudos 2021 de la agencia española Exsel, afirma que una de cada cinco pequeñas y medianas empresas españolas ha sufrido algún ciberataque en el último año. La tipología de ataque más habitual es el fraude en internet, que se ha convertido en el segundo delito más habitual en España.
De igual manera, el informe bienal de seguridad por la Fundación Esys para los años 2019 y 2020; concluye que casi una cuarta parte de las compañías sufrieron algún ciberataque en 2019.
Se estima que la pérdida de datos causada por ataques informáticos causa daños por valor entre 2.000 y 50.000 euros para las PYMES. Y de 3,6 millones las pérdidas para las grandes corporaciones.
Por todo ello, resulta imprescindible adoptar una serie de medidas técnicas, legales y financieras que permitan prevenir y minimizar el riego e impacto de un ciberataque. De esta manera, se expondrán a continuación, de forma genérica, las medidas legales que se deberían implantar.
En primer lugar, es fundamental establecer medidas que nos permitan cumplir con el Reglamento General de Protección de Datos (RGPD) de la UE, y su transposición a la legislación española como Ley orgánica de protección de datos y garantía de derechos digitales (LOPDGDD).
Y así, es recomendable, entre otras medidas, establecer de forma clara los principios generales a observar en el tratamiento de datos personales, por parte de aquellos empleados que necesiten trabajar con ellos y contar con un sistema específico para:
- Detectar
- Comunicar
- Solventar las violaciones en la seguridad de los datos.
Asimismo, se deben suscribir acuerdos de confidencialidad (NDAs), así como procedimientos y código de conducta para empleados, ya que la evidencia de los estudios apunta a que el principal motivo de riesgo es el propio factor humano.
Lógicamente, todas estas medidas deberán estar adaptadas a cada empresa. Por ello necesitará acudir a expertos en la materia para poder implantar un modelo o sistema de prevención que cumpla con todas las garantías.
Por otro lado, además de dichas medidas preventivas, se deben determinar también aquellas medidas legales que deberán llevarse a cabo con posterioridad al ciberataque sufrido.
De esta manera, el incidente deberá ser comunicado a las autoridades competentes. En el caso de que hayan sido comprometidos datos personales; conforme a la normativa vigente, el ataque debe ser comunicado a la Agencia Española de Protección de Datos y al INCIBE-CERT a través de su servicio de respuesta a incidentes. Además, también debería denunciarse ante las Fuerzas y Cuerpos de Seguridad del Estado. En concreto, se hará cargo el Grupo de Delitos Telemáticos de la Guardia Civil o la Brigada de Investigación Tecnológica de la Policía.
Por otra parte, resulta esencial la comunicación con los clientes que se han visto afectados por el incidente. Esto es importante para facilitar en todo momento que puedan disponer de la información necesaria sobre el ataque. Además, se debe comunicar también de forma interna; tanto para asegurar que los empleados saben qué responder antes posibles preguntas externas; minimizando el riesgo reputacional, como para hacer que los trabajadores se involucren en la solución y prevención de futuros ciberataques. Lógicamente, todas estas medidas tendentes a mitigar el ciberataque sufrido deben incorporarse a los procedimientos preventivos enunciados anteriormente.
Si se quiere reducir el riesgo de verse expuesto a un ciberataque, desde UBT Legal le recomendamos que consulte con un experto. Nuestros abogados son expertos en asesoramiento para la adopción de todas las medidas abordadas en el presente artículo.