Inicio » Seguridad » Ciberriesgos y el nuevo paradigma reputacional
Miercoles 22 Noviembre, 2017

Indicadores económicos de Chile

Dólar Observado 619,06
Euro 723,82
UF 23.819,39
UTM 43.599,00
YUAN 0

Newsletter

Inscríbase y reciba GRATIS semanalmente el mejor contenido de Negociós y Tecnología en su E-mail.

Links Auspiciados

Chorrillana Estudio

Verdadera innovación, pasion por la tecnologia.

Pebble

El SmartWatch que lo mantiene siempre conectado

Roku

La mejor TV de streaming a su alcance

Monitor Samsung curvo de 27”

Una increíble pantalla curva para disfrutar de la mejor experiencia envolvente

Destacados

Eventos

Próximos Eventos

22.NOV.2017

SANTIAGO, CHILE: LatAm IoT & Tech Forum 2017

Próximos Eventos

23.NOV.2017

SANTIAGO, CHILE: CIO Summit Cono Sur 2017

Próximos Eventos

24.NOV.2017

CHILE: Startup Grind Santiago

Próximos Eventos

4.DEC.2017

SANTIAGO, CHILE: WeXchange 2017

Próximos Eventos

11.FEB.2018

DUBAI, EAU: World Government Summit 2018

Próximos Eventos

8.JUL.2018

HONG KONG: RISE 2018

Ciberriesgos y el nuevo paradigma reputacional

Seguridad

Descargar articulo completo.

Llorente y Cuenca - Luis Serrano
Por Luis Serrano, director del área de crisis en LLORENTE & CUENCA.

Madrid, España. 16 mayo, 2017. “España es el quinto país del mundo con más sistemas que controlan todo tipo de instalaciones y procesos industriales conectados a Internet, la mayoría sin protección alguna(1)”. Son palabras de la periodista especializada en ciberamenazas, Mercè Molist. Según los datos de Molist, en España se multiplicaron el año pasado los ciberataques un 357 %. Aunque la cifra parezca una exageración, la del Instituto Nacional de Ciberseguridad (INCIBE) muestra que los ataques pasaron de 50.000 a más de 120.000 el último año. ¿Están las empresas preparadas para afrontar el reto que supone proteger su reputación? Algunas dirán que sí, pero el cambio regulatorio que supone la Directiva NIS y el nuevo Reglamento Europeo de Protección de Datos (GDPR), puede poner contra las cuerdas a más de uno. Vamos a tratar de aclarar todo a partir de este punto.

No desvelamos nada nuevo si afirmamos que la vulnerabilidad digital es muy alta para todas las empresas, solo cabe mencionar tres ejemplos. El ataque ocurrido hace unos días con el gusano WannaCry a más de 150 países. El ataque de denegación de servicio que se produjo el año pasado a los servidores de Dym en Estados Unidos. Este incidente afectó a 1.000 millones de usuarios de empresas como Twiter, Amazon, Whatsapp o el New York Times. También resulta interesante recordar el ataque de unos ciberdelincuentes que consiguieron vaciar a distancia los cajeros automáticos de doce entidades financieras distintas en la UE. Y esto solo acaba de comenzar.

Para intentar limitar el daño, promover una cultura de la gestión de riesgos y asegurar que los incidentes sean reportados, se ha aprobado la Directiva para la Seguridad de la Información y de las Redes (NIS) y el nuevo Reglamento Europeo de Protección de Datos que estará vigente a partir de mediados de 2018. Ambas normativas están ahora en fase de ser transpuestas al ordenamiento jurídico en España y representan un cambio significativo en la cultura empresarial respecto a la privacidad, los derechos y las obligaciones en la seguridad del tratamiento digital de los datos personales y prestación de servicios.

El reglamento señala y obliga que, para mayo de 2018, cualquier tipo de brecha de seguridad, sea por ataque informático o por incidencia propia, deberá ser notificado al CERN (u organismo que finalmente se decida) en menos de 72 horas, así como a los propios afectados. Si la organización desconoce qué clientes están viendo sus datos personales comprometidos, deberá, además, comunicarlo de manera pública. – ¿Cómo? Pero si hago eso obviamente estaré gritando al mundo que los datos de mis clientes han sido comprometidos y poco después tendré a decenas de periodistas pidiéndome explicaciones.

  • ¿Cómo? Pero si hago eso obviamente estaré gritando al mundo que los datos de mis clientes han sido comprometidos y poco después tendré a decenas de periodistas pidiéndome explicaciones.
  • Efectivamente. Ese es el panorama.

Pongamos un ejemplo. Una entidad bancaria a la que le secuestren los datos de sus clientes, si no es capaz de determinar a cuántos de ellos les está afectando el ataque, deberá informar a todos. Da lo mismo que no haya trascendido. A partir de ahí las redes sociales harán el resto. Unos minutos más y la información no solo estará en Internet, sino en los medios de comunicación. Indiscutiblemente, la reputación y el valor de su acción (si su empresa es cotizada) se verán afectados.

Sanciones económicas

¡Ah! ¿Pero que hay más?

No lo dude. Una norma sin su capítulo sancionador no es digna de tal nombre. Además de que le hayan hackeado, las sanciones económicas pueden llegar, según lo previsto en el nuevo Reglamento Europeo de Protección de Datos, hasta millones de euros o el 4 % de la facturación general anual.

Algunos CISO (Chief Information Security Oficer) ya han llegado a calificar públicamente la ley como un auténtico chantaje normativo, que puede borrar del mapa a muchas empresas y que favorecerá aún más la formación de oligopolios.

Pero, espere, que aún le va a tocar gastar un poco más, ¿o es que no ha oído aún hablar de la figura del Delegado de Protección de Datos? Todas las empresas deberán tener a alguien que les represente en esta función, bien dentro o fuera de la organización. Esta persona será el interlocutor único para todas estas cuestiones, se encargará de comunicar ante organismos y autoridades competentes asignadas todos los ataques sufridos o la exposición de cualquier clase de datos que se produzcan –una IP ya está considerado como un dato personal–. Es decir, será necesario dotarse de nuevos y específicos procedimientos de prevención, protección y gestión ante ciberataques, que implicarán una documentación, notificación y comunicación específica. Algunas grandes compañías que sufren decenas de ataques diarios tendrán que crear unidades específicas cuya misión será reportar los ataques sufridos a la administración y comunicar, en ocasiones, a los clientes.


(1) La ciberseguridad de la industria española es un sainete, y los ataques se están disparando Mercè Molist 2017. http://www.elconfidencial.com/tecnologia/2017-03-20/ciberseguridad-industria-espanola-infraestructuras-criticas_1350398/


Comentarios

No hay comentarios.

Añadir comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *