El ataque cibernético es un delito cada vez más habitual, por muchas barreras que las empresas pongan para intentar frenar la entrada de ciberdelincuentes. Uno de los motivos por lo que la ciberseguridad se ha vuelto fundamental es que una intromisión en los sistemas informáticos de una compañía es una importante vulneración a la protección de datos.
El ciberataque que más afecta a las empresas
Un ataque cibernético es aquel en el que un hacker lanza acciones ofensivas contra los sistemas de información con el fin de dañarlos, alterarlos o robar la información. Puede estar dirigido a los equipos y sistemas informáticos o a los propios datos.
Entre los ataques de este tipo que más sufren las empresas destacan el cibercrimen para robar datos (muchas veces con la intención de extorsionar) y el ciberespionaje.
¿Qué hacer ante un ataque cibernético?
En estos casos es mejor prevenir que curar. Es cierto que un buen hacker puede acabar burlando todas las medidas de seguridad establecidas, pero no hay que ponérselo fácil.
Labores de prevención
Lo primero es desarrollar un plan de seguridad detectando todos los posibles riesgos que existen y estableciendo medidas para proteger los equipos y los datos. Además, es fundamental desarrollar una cultura de seguridad en la empresa y que los empleados estén al tanto sobre cómo pueden ayudar a evitar los ciberataques.
Actuación en caso de ciberataque
La empresa no es responsable del ataque ni de los daños que este produzca a las personas cuyos datos han sido robados, pero sí tiene algunas obligaciones establecidas legalmente para intentar que el daño sea el menor posible.
La legislación señala que si hay una brecha de seguridad se debe informar de ello a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas, siempre y cuando exista un riesgo para los derechos y las libertades de las personas.
La notificación de brechas de seguridad a la AEPD debe incluir una valoración del riesgo, una evaluación de los daños materiales o inmateriales, un cálculo del alcance y determinar si ha sido un intento de ataque o un incidente real.
En aquellos casos en los que la brecha de seguridad sea de alto riesgo, el responsable del tratamiento de datos debe informar de forma directa a los interesados.
Además, la empresa debe contar con un plan de contingencia que se activará de forma inmediata. En él estarán establecidas las medidas de contención a aplicar junto con las medidas de solución y recuperación del servicio para que todo vuelva a la normalidad.
Responsabilidad de la empresa frente al ciberataque
Si la empresa ha tomado medidas para protegerse de las intrusiones de terceros no tiene ninguna responsabilidad por el ataque. Pero si incumple su obligación de notificación a la AEPD y/o los afectados, estará cometiendo una infracción grave que se sanciona con multas de hasta 10 millones de euros o una cuantía equivalente al 2 % de la facturación anual.
Por todo esto, no es solo importante protegerse frente a un ataque cibernético, sino tener un protocolo de actuación para actuar rápidamente en caso de que se produzca una brecha de seguridad, incluyendo en el mismo la necesidad de notificar el hecho.