Según Kaspersky Lab, la multinacional dedicada a la seguridad informática, casi el 50% de los empresarios es consciente de que debería estar mejor preparada y saber qué hacer en caso de ciberataque. De hecho, aproximadamente el 40% de las empresas españolas han sido víctimas de uno en tan solo un año.
La realidad es contundente. Resulta imposible estar completamente a salvo de los ataques, sobre todos los que son llevados a cabo de forma dirigida o a través de rasomware. Los cibercriminales están cada vez mejor preparados. Lo cierto es que su capacidad de actuación va muy por delante de las nuevas tecnologías que surgen para protegerse de ellos.
Esta es la razón por la que, a pesar de todo, cada empresa acosada sufre pérdidas medias en torno a los 80.000€. Nadie está a salvo. Un porcentaje muy elevado de pymes debe cerrar su negocio tras un ataque cibernético y las grandes corporaciones sufren de media cuatro intentos de sabotaje a año.
Cada empresa acosada sufre pérdidas medias en torno a los 80.000€. Un porcentaje elevado de pymes debe cerrar y las grandes corporaciones sufren 4 intentos de sabotaje a año
Estas cifras deberían ser lo suficientemente aleccionadoras como para que ningún empresario deje la seguridad de su negocio al libre albedrío. Es cierto que cada vez se es más consciente del peligro que se corre y ello hace necesario que los negocios estén preparados para reaccionar ante la desgracia.
La seriedad del tema hace que se sea precavido. Todas las empresas, incluidas las pymes, deberían contar con un plan de actuación que contemple qué hacer en caso de ciberataque.
La situación, de cara a la empresa, se ha vuelto más seria tras la entrada en vigor del nuevo Reglamento General de Protección de Datos. La razón es bien sencilla, la empresa es responsable frente a terceros.
Esto quiere decir que los usuarios afectados podrán reclamar daños y perjuicios a la empresa vulnerada y ésta tendrá que responder frente a ellos. Con posterioridad el negocio podrá emprender acciones contra el ciberdelincuente.
Es cierto, mejor prevenir. La referencia no hace alusión al hecho de que el plan de actuación vaya a evitar el delito. No obstante, estar preparados y saber qué hacer permitirá actuar de manera rápida y eficaz.
La verdad es que una compañía no puede pararse a ver qué hace una vez que ha sido blanco del cibercrimen. Ese tiempo precioso juega en su contra. Ante la ley, ante sus usuarios y ante los intereses de la propia empresa que no puede perder tiempo y producción preguntándose qué hacer.
Afortunadamente cada vez son más las empresas que se apuntan a la opción de tener un plan a seguir en el caso de que sea vulnerada. De hecho se ha creado la figura del gerente de riesgo, una persona encargada de tener preparada una metódica forma de proceder cuando la situación lo requiera.
Cada vez son más los gerentes de riesgo que incluyen en su agenda el plan de respuesta ante cualquier tipo de ciberataque. Lo convierten en uno de los puntos más importantes de sus funciones laborales.
Pero en este proceso de reacción frente a una adversidad tan determinada, son muchos más los agentes que deben participar si se desea paliar al máximo los efectos del ataque informático.
Evidentemente el plan de riesgo debe contemplar todas las actuaciones que se deben llevar a cabo ante esta fatalidad. Yendo un poco más lejos, se puede establecer que una empresa debe abordar su ciberseguridad desde tres perspectivas: prevención, respuesta inmediata y gestión de reclamaciones.
Las empresas deben asumir que han de hacer todo lo posible por disminuir los riesgos frente a la ciberdelincuencia. Al margen de las pérdidas económicas y la pérdida de datos o matrices fundamentales para el negocio, cabe destacar el revés que sufre su reputación como marca y las sanciones económicas que impondría la Agencia Estatal de Protección de Datos (AEPD).
La situación no es fácil. Por eso hay que hacer mucho hincapié en la necesidad de tener un método preventivo. Este puede dividirse en dos aspectos fundamentales: la prevención digital y la prevención legal.
Además de las pérdidas económicas y de datos, destaca el revés que sufre su reputación como marca y las sanciones económicas de la Agencia Estatal de Protección de Datos
La primera debe articularse en torno a una buena analítica que determine los aspectos internos y externos que resultan más vulnerables. Después se deberán establecer los protocolos de seguridad correspondiente con los soportes más indicados.
En cuanto a la prevención legal, fundamentalmente se trata de extremar el cuidado en el cumplimiento de todos los requisitos legales y necesarios para proteger los datos. Con estas diligencias se reducen la eventualidad de ser sancionados, las reclamaciones de los titulares de los datos y la posibilidad de que terceros accedan a información de carácter privado.
A pesar de tener un plan de prevención, los ciberdelincuentes encuentran las formas de vulnerar la seguridad de las empresas. En estos casos, dar una respuesta inmediata es fundamental.
Es necesario que en esta fase se coordine a todo el personal y a todos los departamentos que deben actuar y se vean implicados.
Puede que el ciberataque haya sido neutralizado y la compañía vuelva a estar operativa. No obstante, cabe la posibilidad de que los afectados reclamen indemnizaciones por la violación de sus datos personales y que terceros reclamen daños y perjuicios como compensación.
Este camino deberá ser gestionado por el gabinete legal o a través de un seguro de ciberresponsabilidad.
Como se puede observar, hace mucho que el ciberataque informático dejó de ser cosa del futuro. Sin lugar a dudas resulta imprescindible que las empresas estén preparadas para actuar frente a ellos.