Cada vez es más común ver noticias sobre empresas afectadas por ataques informáticos contra sus sistemas. Casos como los de British Airways, Target y Equifax son solo algunos de ellos. Este tipo de ataques causan importantes daños tanto a la información propia de la empresa como a los datos que manejan de sus clientes. Esto ocurre por el aumento de los riesgos cibernéticos que para el 2019, según el “Cybersecurity Ventures Ransomware Damage Report” cada 14 segundos una empresa sufrirá un ataque de ransomware y el daño de este tipo de ataques se estima en 11,500 millones de dólares (sin tomar en cuenta otro tipo de ataques).
Ante esto, las empresas deben tomar tanto las medidas preventivas necesarias, así como tener preparados los protocolos de emergencia en caso de sufrir un ataque. Dentro de las medidas preventivas, es sumamente importante tener los procedimientos adecuados para el manejo de la información. De esta forma, únicamente las personas que verdaderamente necesiten dicha información pueden tener acceso a ella.
Además, estos procedimientos permitirán que la empresa almacene únicamente la información necesaria y no tenga datos que podría no necesitar y le representan un riesgo al respecto. Esto dado que ante mayor información se almacene es mayor el riesgo que asumen las empresas, y en muchos casos se almacena información que no proporciona ningún beneficio a la empresa.
Asimismo, es importante velar porque la información sea recopilada en cumplimiento con lo requerido en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Ley 8968). Todo lo anterior, sin dejar de lado las medidas de seguridad físicas y lógicas para los equipos.
Adicionalmente, un aspecto clave es la capacitación del personal. En la última década, de conformidad con un estudio realizado por la empresa aseguradora Chubb, el 20% de los detonantes de problemas en la seguridad de los datos, provienen de errores humanos (el segundo factor más alto luego de los hackeos que ocupan el primer lugar). En este sentido, además de tener las medidas anteriormente señaladas, es vital que, además de capacitar a las personas que están directamente ligadas a la seguridad de la información, todo el personal sea capacitado en temas de ciber seguridad y manejo de datos personales a fin de crear una verdadera cultura sobre estos temas en la empresa.
Otra medida preventiva realizada en muchos países es la obtención de un seguro contra riesgo cibernético. Si bien en Costa Rica hasta el momento no hay ninguna empresa que tenga algún producto específico para este riesgo, es algo que ha sido de suma utilidad en muchas ocasiones y que en nuestro país eventualmente podrían existir. Seguros de este tipo pueden resarcir a la empresa, además del valor de la información, todos los costos incurridos durante el momento de crisis como lo es la asesoría técnica, legal y de recuperación de los datos si esto fuese posible.
Asimismo, incluso teniendo todas las medidas preventivas posibles, es necesario estar preparado para cuando ocurra un ataque. En primer lugar, el Reglamento a la Ley 8968 establece un plazo de 5 días hábiles para notificar a la Agencia de Protección de Datos así como a las personas afectadas sobre la naturaleza del incidente, las medidas correctivas tomadas de forma inmediata, los datos que fueron comprometidos así como la forma de comunicarse con la empresa (En caso que aplique el Reglamento General de Protección de Datos de la Unión Europea el plazo es de 72 horas). Adicionalmente, los inconvenientes a nivel reputacional pueden generarse de forma inmediata y ser sumamente graves.
Como vemos, el riesgo cibernético es algo real y que debe ser prioritario para las empresas. Ataques de este tipo, puede ocasionar que las empresas se vean obligadas a pagar multas, causarle inconvenientes a sus clientes, perder información valiosa y/o recibir una consecuencia negativa a su imagen.
Este artículo representa el criterio de quien lo firma. Los artículos de opinión publicados no reflejan necesariamente la posición editorial de este medio. Delfino.CR es un medio independiente, abierto a la opinión de sus lectores. Si desea publicar en Teclado Abierto, consulte nuestra guía para averiguar cómo hacerlo.
