Este martes 7 de noviembre ha tenido lugar en el CaixaForum de Barcelona la jornada «Ciberseguridad en la empresa», organizada por la Asociación para el Progreso de la Dirección (APD), en la que he tenido el honor de poder participar como ponente. Ha sido una jornada muy interesante en la que hemos podido exponer y debatir sobre un tema tan actual y destacado como es la seguridad online (ciberseguridad) en el ámbito de la empresa.
Un ciberataque feroz puede tumbar un sistema. No se trata de un peligro aislado, sino que el riesgo tecnológico es un riesgo de negocio y se debe concienciar y preparar a todo el personal de la compañía desde gerencia hasta el último empleado. En ese sentido, disponer de una réplica del sistema es fundamental. En GAES tuvimos que utilizar el sistema de respaldo durante un día, consiguiendo que el negocio de ese día no se resintiera. No fue un ciberataque, concretamente fue una fuga de agua del sistema antiincendios del CPD, pero pusimos a prueba real nuestra instalación replicada y ubicada fuera de Catalunya, demostrando que somos una empresa con ciberseguridad.
Hace algunos años nos preparábamos para no ser atacados, en cambio ahora, en el nuevo paradigma actual, nos debemos preparar para cuando seamos atacados, porque es un peligro que está a la orden del día y le puede pasar a cualquier compañía. Es imposible asegurar el 100% de seguridad ante un ciberataque. Por eso, en caso de producirse una brecha de seguridad, se recomienda actuar rápidamente y comunicarlo a los interesados de forma clara y mostrando las acciones que se están tomando para recuperar la normalidad.
Los datos son intangibles y la suplantación de identidad un riesgo real. Una información sustraída no se constata hasta que es demasiado tarde para todo, e incluso es posible que el afectado nunca llegue a saberlo, así que el daño en la pérdida definitiva de información es irreparable. Por todo ello, en temas legales y en paralelo a todo lo relacionado con Ciberseguridad se alinea el nuevo Reglamento de Protección de Datos Europeo (denominado GDPR), que entrará en vigor en mayo de 2018. En este reglamento se indica que las empresas que sufran una brecha de seguridad en sus sistemas de información estarán obligadas a:
- Notificar a la Agencia Española de Protección de Datos (AEPD).
- Notificar lo ocurrido a los afectados (titulares de los datos personales que se hayan visto afectados por el ataque o fallo de seguridad).
Asimismo, el GDPR incorpora nuevas formas de sancionar a las empresas que incumplan el reglamento. Las multas podrán alcanzar los 20 millones de euros o equivaler al 4% de la facturación global anual de la compañía.
A modo resumen podríamos decir que la transformación digital sin la correcta gestión del riesgo tecnológico puede desembocar en una jungla digital que puede llevar a la pérdida de reputación y a una caída considerable en bolsa. El ciberataque es realmente una forma de hacer guerra, por esto es tan importante estar protegidos e invertir en ello.