Consultoría & Consultores

De esta forma, las compañías obtienen una gran cantidad de datos que, en la mayoría de casos, se almacenan de forma digital. Por ello, la entrada en este universo online también tiene como consecuencia la necesidad de hacer frente a sus amenazas, y si una empresa sufre un ciberataque que implique el robo de datos de consumidores pone en riesgo no solo su negocio, sino cimientos construidos durante años como la reputación y la confianza.

Un ejemplo es Yahoo, que ha reconocido haber sufrido robos de datos en los meses de septiembre y diciembre, ocurridos en 2013 y 2014 y que afectaban a centenares de millones de cuentas de correo de usuarios. Situaciones similares han vivido compañías como MySpace o Linkedin, que descubrieron los datos de millones de usuarios a la venta en la denominada como Deep Web, una práctica habitual en este tipo de ciberataques.

Aunque estos robos de datos a gran escala son los que la sociedad conoce, no son exclusivos de las grandes multinacionales: que no se informe de ataques contra pequeñas y medianas empresas no significa que no estén ocurriendo. “Desgraciadamente no todos los ataques se conocen, aunque cada vez existen más fuentes públicas de consulta que ofrecen información relativa a ataques o nuevas vulnerabilidades”, explica Marc Martínez, socio responsable de Ciberseguridad de KPMG en España.

Por ello, no solo es vital que las compañías se protejan de cara a un ataque sino que tengan claro qué hacer cuando ya se ha producido un robo de datos. En este momento, deberá ponerse en marcha un arduo proceso que comienza por reparar el daño lo antes posible y que tiene como objetivo final mantener la confianza de los consumidores.

  • 1. Capacidad de reacción: Es indispensable que las compañías tengan la capacidad de detectar una brecha de este tipo. Para ello, Javier Aznar, responsable de servicios de privacidad en IT Advisory de KPMG en España recomienda disponer de herramientas de monitorización sobre los sistemas que tratan datos de carácter personal, con el objetivo de detectar intentos de acceso o posibles fugas de información. “Las empresas deben minimizar los riesgos a esta exposición, y en este caso la digitalización y la reducción del uso de papel ayudan a obtener un mayor control sobre dónde almacena la compañía la información.
  • 2. Analizar la magnitud del ataque: Una vez detectada la brecha de seguridad, es imprescindible realizar un análisis que determine qué datos se han robado, tanto su cantidad como contenido. En este sentido, la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) obligará a las empresas a establecer un inventario de datos de carácter personal, aunque en España en la actualidad ya es obligatorio que las compañías registren los ficheros de tratamiento de datos de carácter personal. Además, la nueva normativa ampliará los datos considerados sensibles, añadiendo los datos biométricos y genéticos
  • 3. Comunicación a autoridades y usuarios: Otro de los puntos por los que las empresas han sufrido duras críticas es la comunicación tardía a los usuarios del robo de sus datos, un hecho que genera una situación de indefensión y que repercute muy negativamente en la reputación de las compañías. Con la entrada en vigor del RGPD el próximo 25 de mayo de 2018, las compañías tendrán un plazo de 72 horas para comunicar la brecha de seguridad ocurrida a la autoridad pertinente, que en el caso de España será la Agencia Española de Protección de Datos (AEPD). Respecto a los usuarios, Marc Martínez recuerda que algunas compañías “han demostrado ser proactivas, comunicando a sus usuarios estas incidencias mediante redes sociales y otros medios, con el objetivo de mostrar la mayor transparencia posible”.
  • 4. Realizar una investigación del incidente: Una vez enfrentado el problema, toca analizar qué ha fallado. En este punto entra en juego la realización de una investigación para conocer la causa de la brecha de seguridad y buscar a los responsables. Se debe tener en cuenta que la vigilancia y control de la Deep Web es una tarea complicada, para la que se dedican servicios concretos de ciberseguridad y en la que se encuentran inmersas las fuerzas y cuerpos de seguridad del Estado. Por ello, Aznar hace hincapié en que las compañías “deberían aplicar medidas para prevenir las fugas de sus datos y contar, dependiendo de su tamaño, con herramientas que les permitan escanear estos escenarios”.
  • 5. Aprender de los errores: El hecho de sufrir un ataque de este tipo implica un rediseño de la estrategia de ciberseguridad para adelantarse a posibles futuras intrusiones y evitar tanto sanciones como pérdida de reputación de la compañía. “Si bien el impacto legal por una posible sanción puede ser el motor que lleve al correcto cumplimiento del RGPD, el impacto en su imagen y reputación es si cabe más importante, sobre todo si se trata de datos de especial sensibilidad”, subraya el responsable de Ciberseguridad de KPMG en España.
  • Patricia Alfaro