bienvenido a t-cert
España es uno de los países que más ciberataques sufre a nivel mundial, teniendo en cuenta que las consecuencias que sufren las empresas son económicas, reputacionales y operativas. Cualquier negocio debe tener un buen sistema de protección, por consiguiente, necesitan el asesoramiento de profesionales para tener mecanismos de prevención.
El principal objetivo de los ciberataques es acceder a los datos privados de una empresa para impactar negativamente en su imagen y en la confianza de los clientes. Iosu Arrizabalaga (CEO de Factum) señala que “en los últimos años, los ciberataques han superado los porcentajes que conocíamos. Solo en 2021 aumentaron en un 150% y cada vez son más las vías de entrada para aprovechar cualquier brecha de seguridad”. Dichos ataques cibernéticos pueden suponer el cierre de la actividad empresarial porque los costes son inasumibles, además, una falta de diligencia en el deber de protección supone sanciones.
Jesús Yanes (director de Desarrollo de Negocio de EnGenius) asegura que “lo estamos, en mayor o menor medida dependiendo de la tecnología y el equipamiento WiFi que utilicemos. Negarlo sería una ilusión, especialmente en un momento histórico como este, en el que ‘el dato’ ha cobrado la relevancia actual. Sin entrar a pormenorizar las distintas consecuencias del robo de datos, sabemos que nuestra información depende del grado de seguridad personal o corporativa que hayamos interpuesto”.
El responsable de datos debe aplicar las medidas necesarias para impedir cualquier vulnerabilidad, de esta manera, la empresa tendrá que justificar qué prevenciones ha tomado.
Cualquier negocio tiene que ser capaz de gestionar los sistemas de información mediante medidas físicas y técnicas para mantener la confidencialidad, disponibilidad y la integridad de sus recursos. Asimismo, tienen que llevar a cabo evaluaciones de riesgos y están obligados a asegurar la información de los trabajadores y clientes.
A pesar de los grandes avances tecnológicos, Hervé Lambert (Global Consumer Operations Manager de Panda Security) afirma que “si bien hay entidades que certifican medidas de seguridad, vemos que hay empresas que carecen de sistemas, profesionales y que siguen protegiendo sus activos de la peor forma posible. Con respecto a concienciación, tenemos mucho, muchísimo que hacer. Estamos mejor que hace diez años, pero hay mucho margen de mejora”.
Mientras tanto, Mario García (director general de Check Point Software para España y Portugal) añade que “en el año 2021, a través del Boletín Oficial del Estado, se regularon las obligaciones de determinados operadores a la hora de proteger sus redes y sistemas de información. La nueva norma exige que el Responsable de Seguridad de la Información dispone de los medios adecuados para realizar sus funciones de una manera eficaz, con personal capacitado y los recursos necesarios”.
Una empresa no puede defenderse de las campañas de violación de datos sin un programa de ciberseguridad, además, los lugares de trabajo deben incluir programas de concienciación sobre seguridad cibernética para educar al personal.
Carlos Borrego (Cybersecurity Service Delivery Manager de Bidaidea) señala que "todas las organizaciones deberían tomar medidas para protegerse de un posible ciberataque. La protección no solo se basa en una serie de controles genéricos, sino que han de ser un conjunto de medidas adaptadas al contexto de cada organización. La ciberseguridad no es un coste sin retorno, sino que es una inversión que permitirá la implantación de medidas y el entrenamiento del personal mediante la formación".
Jesús F. Rodríguez (CEO de IberBox) afirma que “el Reglamento General de Protección de Datos deja clara la figura del responsable del tratamiento de datos, que es quien recopila el dato. Por tanto, si ocurre un ciberataque, la Agencia Española de Protección de Datos incidirá inicialmente en el responsable del tratamiento”.
Por otro lado, la responsabilidad recae en quien ejecuta la acción y en quien no actuó con la diligencia exigible. Iosu Arrizabalaga añade que “la víctima es la empresa y la responsabilidad primera siempre es del delincuente, la realidad es que deber ser la misma entidad afectada la responsable de la toma de decisiones y de medidas paliativas”.
Javier Huergo (director de Watch&Act Protection Services) indica que “en todas las empresas debe existir un responsable de ciberseguridad (CISO) que ponga en marcha todos los mecanismos necesarios para mitigar lo antes posible, un ciberataque y coordine todas las acciones necesarias para volver a funcionar en la mayor brevedad posible”.
Sufrir un ciberataque puede suponer un parón temporal o el cese total de la actividad. Los ciberdelincuentes acceden a los sistemas y sustraen los datos privados externos, conllevando responsabilidades subsidiarias y dejando al descubierto vías de entrada para atacar a terceros, ya sean proveedores, colaboradores y clientes.
Los ataques cibernéticos pueden detener las operaciones en línea en solo unos minutos y demorar semanas en resolverse. José Carlos Márquez (Education Manager en OpenWebinars) señala que “el principal riesgo es el robo de información. Los datos robados podrían usarse para exponerlos públicamente, realizar chantajes o extorsiones, o ser ofrecidos a la competencia”. Aquellos clientes con datos personales comprometidos deben ser informados por parte de la empresa, de forma que puedan tomar las medidas necesarias para evitar problemas inmediatos o futuros.
Francisco Valencia (director general de Secure&IT) afirma que los riesgos “dependen del tipo de ataque y tipo de empresa. Hay ataques que son capaces de paralizar la actividad durante un período de tiempo más o menos extenso y, en consecuencia, esto implica que el cliente puede dejar de recibir servicios o suministros más o menos críticos”.
.jpg){kind=small}