La vulnerabilidad de pymes y autónomos es mayor pero los ataques apenas se conocen

Ciberataques: ¿por qué las pymes deberían contar con un protocolo de actuación?

ciberataques-pymes-protocolo-actuacion

©BigStock

Actualizado 10 | 03 | 2020 10:58

Ciberataque pyme

Las brechas de seguridad no son un asunto que solo deba preocupar a las grandes compañías. Cada vez son más los ciberataques que afectan a administraciones públicas y también a las pequeñas y medianas empresas porque en muchas ocasiones no cuentan con las medidas de seguridad adecuadas frente a los riesgos informáticos.

A finales de 2019 salieron a la luz distintos casos de ciberataques y brechas de seguridad en conocidas empresas, como BiciMAD, la empresa de bicicletas eléctricas del Ayuntamiento de Madrid, que sufrió un ataque informático en 13 estaciones con exposición de datos de los usuarios. Incluso Twitteradmitía que había detectado una vulnerabilidad para los usuarios de la red social en Android por la cual se permitía que “una persona malintencionada viera información de la cuenta que no es pública o controlara tu cuenta (es decir, que enviara Tweets o Mensajes Directos)”.

La vulnerabilidad de pymes y autónomos es aún mayor pero los ataques apenas se conocen, explica el abogado Alejandro Álvarez, del Bufete Mas y Calvet. “Estas acciones llegan mediante diversos medios y, en la mayoría de los casos, su objetivo es bloquear o sustraer información que supuestamente se desbloqueará o se devolverá a cambio del pago de un rescate, habitualmente en criptomonedas. Incluso algo tan habitual como una cuenta de la empresa en Twitter, con la que se trata información personal de muchos usuarios, puede generar una brecha de información en caso de hackeo, quedando al descubierto y a merced de cualquier persona malintencionada. Por no hablar de los riesgos en caso de acceso a sus servidores, bases de datos, programas de contabilidad…”, advierte el especialista en privacidad.

Protocolo para cumplir con la protección de datos

¿Qué dice el Reglamento General de Protección de Datos (RGPD)? Señala que las empresas deben notificar la violación de la seguridad de los datos personales a la autoridad de control -en el caso español, la Agencia Española de Protección de Datos (AEPD)- sin dilación indebida y, a más tardar, en 72 horas. Si las pequeñas y medianas empresas no cuentan con un protocolo de actuación en caso de incidentes de seguridad, no serán capaces de cumplir con dicha obligación, añadiendo un incumplimiento más a los posibles cometidos en la violación de la seguridad.

Además, hay casos en los que es necesario notificar de estos acontecimientos a los propios interesados (clientes, usuarios, empleados, etc.). Es decir, cuando de la violación de la seguridad de los datos personales se derive un alto riesgo para los derechos y libertades de personas físicas, deben comunicarlo sin dilación indebida.

“Es incuestionable el impacto de las sanciones y de los costes derivados de los daños informáticos, pérdida de información, etc. Pero todas estas notificaciones también afectan negativamente a la reputación y nombre de la propia empresa”, destaca Álvarez.

Como es mucho lo que está en juego, resulta muy recomendable contar con un buen programa de seguridad, además de impartir formación continua a los empleados para prevenir, por ejemplo, situaciones de negligencia que faciliten el acceso indebido por parte de ciberdelincuentes. También es aconsejable trabajar en la nube, que ofrece garantías de actualización de las medidas de protección frente a eventuales ataques y que también facilita la recuperación de la información mediante copias de seguridad. También será necesario contar con asesoramiento legal para desarrollar el protocolo de actuación y saber cómo cumplir con la legalidad en caso de crisis por ataque informático.

 


Cargando noticia...