Delegaciones Contacto
7 Congreso de Directivos
Inscríbetey revive la experiencia del año en APD. En LA NUEVA EMPRESA GLOBAL analizamos, de la mano de +60 expertos, cuáles son las claves para competir en el mundo actual.
Artículo

¿Qué hacer en caso de ciberataque a tu empresa?

Según Kaspersky Lab, la multinacional dedicada a la seguridad informática, casi el 50% de los empresarios es consciente de que debería estar mejor preparada y saber qué hacer en caso de ciberataque. De hecho, aproximadamente el 40% de las empresas españolas han sido víctimas de uno en tan solo un año.

La vulnerabilidad al descubierto

La realidad es contundente. Resulta imposible estar completamente a salvo de los ataques, sobre todos los que son llevados a cabo de forma dirigida o a través de rasomwareLos cibercriminales están cada vez mejor preparados. Lo cierto es que su capacidad de actuación va muy por delante de las nuevas tecnologías que surgen para protegerse de ellos.

Esta es la razón por la que, a pesar de todo, cada empresa acosada sufre pérdidas medias en torno a los 80.000€. Nadie está a salvo. Un porcentaje muy elevado de pymes debe cerrar su negocio tras un ataque cibernético y las grandes corporaciones sufren de media cuatro intentos de sabotaje a año.

Cada empresa acosada sufre pérdidas medias en torno a los 80.000€. Un porcentaje elevado de pymes debe cerrar y las grandes corporaciones sufren 4 intentos de sabotaje a año

Estas cifras deberían ser lo suficientemente aleccionadoras como para que ningún empresario deje la seguridad de su negocio al libre albedrío. Es cierto que cada vez se es más consciente del peligro que se corre y ello hace necesario que los negocios estén preparados para reaccionar ante la desgracia.

Un plan de contingencia

La seriedad del tema hace que se sea precavido. Todas las empresas, incluidas las pymes, deberían contar con un plan de actuación que contemple qué hacer en caso de ciberataque.

La situación, de cara a la empresa, se ha vuelto más seria tras la entrada en vigor del nuevo Reglamento General de Protección de Datos. La razón es bien sencilla, la empresa es responsable frente a terceros.

Esto quiere decir que los usuarios afectados podrán reclamar daños y perjuicios a la empresa vulnerada y ésta tendrá que responder frente a ellos. Con posterioridad el negocio podrá emprender acciones contra el ciberdelincuente.

Mejor prevenir

Es cierto, mejor prevenir. La referencia no hace alusión al hecho de que el plan de actuación vaya a evitar el delito. No obstante, estar preparados y saber qué hacer permitirá actuar de manera rápida y eficaz.

La verdad es que una compañía no puede pararse a ver qué hace una vez que ha sido blanco del cibercrimen. Ese tiempo precioso juega en su contra. Ante la ley, ante sus usuarios y ante los intereses de la propia empresa que no puede perder tiempo y producción preguntándose qué hacer.

Los gerentes de riesgo

Afortunadamente cada vez son más las empresas que se apuntan a la opción de tener un plan a seguir en el caso de que sea vulnerada. De hecho se ha creado la figura del gerente de riesgo, una persona encargada de tener preparada una metódica forma de proceder cuando la situación lo requiera.

Cada vez son más los gerentes de riesgo que incluyen en su agenda el plan de respuesta ante cualquier tipo de ciberataque. Lo convierten en uno de los puntos más importantes de sus funciones laborales.

Pero en este proceso de reacción frente a una adversidad tan determinada, son muchos más los agentes que deben participar si se desea paliar al máximo los efectos del ataque informático.

¿Qué hacer en caso de ciberataque a tu empresa?

Qué hacer en caso de ciberataque

Evidentemente el plan de riesgo debe contemplar todas las actuaciones que se deben llevar a cabo ante esta fatalidad. Yendo un poco más lejos, se puede establecer que una empresa debe abordar su ciberseguridad desde tres perspectivas: prevención, respuesta inmediata y gestión de reclamaciones.

La fase de prevención

Las empresas deben asumir que han de hacer todo lo posible por disminuir los riesgos frente a la ciberdelincuencia. Al margen de las pérdidas económicas y la pérdida de datos o matrices fundamentales para el negocio, cabe destacar el revés que sufre su reputación como marca y las sanciones económicas que impondría la Agencia Estatal de Protección de Datos (AEPD).

La situación no es fácil. Por eso hay que hacer mucho hincapié en la necesidad de tener un método preventivo. Este puede dividirse en dos aspectos fundamentales: la prevención digital y la prevención legal.

Además de las pérdidas económicas y de datos, destaca el revés que sufre su reputación como marca y las sanciones económicas de la Agencia Estatal de Protección de Datos

La primera debe articularse en torno a una buena analítica que determine los aspectos internos y externos que resultan más vulnerables. Después se deberán establecer los protocolos de seguridad correspondiente con los soportes más indicados.

En cuanto a la prevención legal, fundamentalmente se trata de extremar el cuidado en el cumplimiento de todos los requisitos legales y necesarios para proteger los datos. Con estas diligencias se reducen la eventualidad de ser sancionados, las reclamaciones de los titulares de los datos y la posibilidad de que terceros accedan a información de carácter privado.

El plan de actuación

A pesar de tener un plan de prevención, los ciberdelincuentes encuentran las formas de vulnerar la seguridad de las empresas. En estos casos, dar una respuesta inmediata es fundamental.

Es necesario que en esta fase se coordine a todo el personal y a todos los departamentos que deben actuar y se vean implicados.

  1. Departamento de tecnología. Personal cualificado que puede devolver cuanto antes la normalidad al sistema informático, parchear la falla y recuperar datos. Hace que la empresa funcione con normalidad lo antes posible.
  2. Departamento legal. Notificación de la sustracción de datos a la AEPD y a los usuarios afectados, evaluación de consecuencias legales y fórmulas para resolverlas.
  3. Gabinete de gestión de crisis. Iniciar las acciones necesarias para disminuir el daño a la marca y minimizar la crisis de reputación.

Gestión de reclamaciones

Puede que el ciberataque haya sido neutralizado y la compañía vuelva a estar operativa. No obstante, cabe la posibilidad de que los afectados reclamen indemnizaciones por la violación de sus datos personales y que terceros reclamen daños y perjuicios como compensación.

Este camino deberá ser gestionado por el gabinete legal o a través de un seguro de ciberresponsabilidad.

Como se puede observar, hace mucho que el ciberataque informático dejó de ser cosa del futuro. Sin lugar a dudas resulta imprescindible que las empresas estén preparadas para actuar frente a ellos.

Te puede interesar
Categorías
Gracias por tu participación
Comparte el manifiesto y contribuye a impulsar la innovación entre empresas, organizaciones y directivos.
Ahora estás visualizando el contenido de APD zona centro.
Si lo deseas puedes acceder a los contenidos adaptados a tu zona geográfica