En el año 2019, el porcentaje que representa la cibercriminalidad sobre el total de infracciones se situaba casi en el 10%*; llegándose casi a 9000 las personas detenidas e investigadas por delitos relacionados por estos hechos.

Además, con ocasión de la pandemia COVID-19 se ha multiplicado la exposición de las entidades, públicas y privadas a sufrir un determinado incidente de seguridad. Fruto de ello es que es recurrente leer en prensa generalista que una determinada empresa ha recibido un ciberataque.  En algunas ocasiones, la pérdida de reputación asociada a una incidencia de seguridad que afecta a datos de carácter personal es irreparable.  

El RGPD regula incluso la obligación de notificar a las autoridades de control e incluso al propio afectado las brechas de seguridad que sean detectadas. Además establece un plazo muy exiguo (no más de 72 horas) para realizar la notificación, dada la importancia de la materia.

Es recomendable prevenir estos ataques de seguridad con todas las medidas de seguridad posibles, pero también es fundamental que las entidades conozcan cómo se debe actuar cuando ya se ha violado la seguridad.

Para ello, las entidades deberían adoptar dos medidas que estimamos fundamentales para garantizar la respuesta a la incidencia:  

La primera de ella es implementar un buen programa de formación e información entre sus trabajadores. La mayoría de los incidentes de seguridad se originan en las personas. Por lo que una formación que pueda garantizar la seguridad de la información es fundamental para las entidades. No solamente los empleados deben recibir formación específica con miras a la prevención de los ataques-especialmente ingeniería social de forma general. Sino también deberán recibir formación sobre la respuesta a los incidentes, y obligaciones que recaen en la entidad de notificación a las autoridades competentes. Más si cabe cuando se trata de entidades a la que les aplica la Directiva NIS sobre ciberseguridad. 

La segunda medida recomendada es la obtención de la certificación de las normas ISO/IEC 27001 e ISO/IEC 27701. El estándar ISO 27701 recoge una serie de disposiciones que prestan especial atención a la gestión de incidentes de seguridad de la información y respuesta a los incidentes acontecidos.  Tener adaptados los protocolos que exige dicho estándar será muy efectivo para proceder a dar respuesta a la incidencia de seguridad. Igualmente dotará a la entidad de capacidad para acreditar frente a terceros su alineamiento con el cumplimiento de la normativa de protección de datos. 

*Fuente: Estudio Sobre la Cibercriminalidad en España. 

Santiago Cruz, Abogado

AGENDAR LLAMADA