Reformar las leyes para proteger a las empresas e instituciones de los ciberataques

Pablo Jiménez de Parga, vicepresidente de ECIJA, y Alberto Mariñas, socio de Estudio de Comunicación, han presentado el encuentro online «Cómo gestionar el riesgo ante una crisis de ciberseguridad y de robo de información». Ha contado con expertos como Julio Collado, Chief Information Security Officer del Grupo Prisa, María José Gallego, Data Protection Officer de Orange España y Alonso Hurtado y Jesús Yáñez, socios de IT&Compliance de ECIJA.

Asignatura esencial

Pablo Jiménez de Parga destacó que «la ciberseguridad se ha vuelto una asignatura esencial para todo tipo de empresas e instituciones. El auge de todo tipo de dispositivos tecnológicos, cada vez más sofisticados, la globalización y también el anonimato que permite operar en Internet está provocando que el número de ciberataques se encuentren en constante aumento. La pandemia, con miles de empleados en teletrabajo conectados desde fuera del entorno de seguridad corporativo, ha propiciado los ataques de los hackers exponencialmente».

Jiménez de Parga afirmó que estos ciberataques ponen en juego datos sensibles de ciudadanos, clientes y de las propias organizaciones y, al mismo tiempo, inciden negativamente en la reputación de los atacados y pueden llegar a ser fuente de reclamación de terceros: «En el segundo trimestre de 2020 casi uno de cada diez usuarios estuvo expuesto a los ciberataques, como es el caso del SEPE que afectará al pago regular de las prestaciones de más de 150.000 ciudadanos. Por ello, es necesario contar con planes de protección desde el punto de vista legal, de imagen y reputación para proteger los intereses de empresas e instituciones».

Ciberseguridad

Por su parte, Alberto Mariñas, Socio de Estudio de Comunicación, explicó que «la reputación es algo que sufre mucho con la ciberseguridad». Desde el punto de vista de la comunicación, Mariñas defiende que es esencial la planificación por lo que recomienda a las compañías contar con un Manual de Gestión de Crisis que incluya la forma de combatir los ciberataques. En su opinión, «el Manual de Crisis es una herramienta que te permite ganar tiempo, ser más eficaces y tener contempladas todas las posibles salidas». También resaltó la importancia de «incluir nuevos elementos en la cultura de las empresas con técnicas de dinamización y motivación como un buen proceso de comunicación interna».

Julio Collado, Chief Information Security Officer del Grupo Prisa, explicó que la ciberseguridad ha existido siempre «pero no con el protagonismo tan relevante de hoy, en que ya no es solo una estructura puramente tecnológica, sino que es tan importante decisiva en una compañía e incide directamente en el negocio». También puso de relevancia la importancia de la concienciación en las prácticas de buen gobierno de cualquier compañía, y de la concienciación de los directivos. Así mismo, ensalzó «la figura del DPO (Delegado de Protección de Datos o Privacidad) que considera imprescindible en la empresa actual».

María José Gallego, Data Protection Officer de Orange en España, comentó en su intervención que la implementación de medidas técnicas básicas en las organizaciones, como puede ser la suscripción a alarmas debería ser de obligado cumplimiento porque no suponen una gran inversión, pero tienen una importante efectividad. Gallego puso especial hincapié en la necesidad de sensibilizar a los empleados ante posibles incidentes de seguridad, y en la importancia de la formación y concienciación en las compañías. Las brechas de seguridad, de información y otro tipo de vulnerabilidad de datos, deben contar con protocolos claros de actuación para poder tener una reacción lo suficientemente ágil por parte de las compañías, siempre en estrecha colaboración entre las áreas de Ciberseguridad y DPO.

Salvar la reputación

A juicio de Alonso Hurtado, socio de IT&Compliance de ECIJA, «cualquier brecha de seguridad debe tener una acción coordinada de comunicación, jurídico y tecnológico. Desde el punto de vista reputacional se pude ver afectada la imagen de una compañía en los medios de comunicación y, además, podemos ser víctimas de una sanción económica». En el caso concreto del SEPE, Hurtado aclaró que la clave estará en la capacidad que tenga de demostrar que ha sido diligente en las medidas que ha llevado a cabo antes y después del ciberataque y en acreditar que ha cumplido con la ley. «Desde el punto de vista procesal esto será clave», ha concluido.

Jesús Yáñez, socio de IT&Compliance del mismo despacho, explicó que la normativa en temas de ciberseguridad ha evolucionado muchísimo y que «ahora se regulan en España y en Europa sectores que antes no lo estaban y no solo las multinacionales cuentan con mecanismos de protección sino también las pymes». Según Yáñez, es esencial contar con una infraestructura tecnológica y con medidas de seguridad del sistema nacional. Yáñez aseguró que «sí va a haber ayudas económicas destinadas a la ciberseguridad provenientes de los Fondos Europeos». Actualmente -explicó- ya existe un Plan nacional de ayudas dirigidas a impulsar la aplicación de la ciberseguridad en las pequeñas y medianas empresas españolas en el marco del Programa Activa Ciberseguridad, y además existen subvenciones a nivel autonómico.

Actualidad

Despachos