Hoy en día la tecnología forma parte de nuestras vidas, lo encontramos en todos lados, en nuestro día a día. Es por eso que a día de hoy sufrir un ciberataque puede salir muy caro. Como usuarios somos susceptibles de que nuestros datos sean robados o usados para fines no muy recomendables. ¿Pero que pasa cuando somos una empresa?, hace unas semanas Agencia Española de Protección de Datos (AEPD) multó a Air Europa con 600.000 euros por un ciberataque que sufrió en 2018 en el que le fue robada información personal y bancaria de sus clientes. Pero eso no es nada si lo comparamos con la multas impuestas a los Hoteles Marriot con 20,5 millones de euros y a British Airways con 22 millones de euros.
En un mercado digital en el cual la moneda de cambio es la información, las empresas están obligadas a tener unas medidas adecuadas para que esta información no sea susceptible de robo o perdida. Aun así los ataques informáticos están a la orden del día y sufrir un ciberataque es habitual. La empresas deben saber que incumplir o no tener estas medidas implementadas conllevan multas cuantiosas.
Pero si encima una empresa es ciberatacada y no lo comunica en un plazo máximo de 72 horas desde su conocimiento o la dirección de la empresa ha decidido no hacer nada frente hacia este ataque la Agencia Española de Protección de Datos (AEPD) puede sancionarles. La dilación en la comunicación de un ciberataque es el motivo más común por el que la Agencia Española de Protección de Datos puede sancionar a una empresa, muchas veces ocasionado por la falta de conocimiento o un inexistente plan de contingencia digital.

“La empresa debe establecer quién y qué acciones se ejecutarán en el caso de que se produzca una brecha de seguridad. Cuando sucede, el responsable del tratamiento de los datos debe poner en marcha el plan de actuación, concretando las tareas que le permitan resolver la brecha y recopilar toda la información sobre ella”.

La AEPD pone a disposición nuestra una herramienta para que podamos comunicar esta brecha de seguridad a través de Comunica-Brecha RGPD. Esta es una de las muchas herramientas que la AEPD tiene en su web concerniente a la protección de datos, ¡podéis echarlo un ojo!

Protegerse antes de que nos ataquen

Es básico que la empresa disponga de unas medidas de seguridad preventivas implementadas por profesionales y que sean revisadas habitualmente. Mediante informes de auditorías, análisis de riesgos, y demás podemos llevar un control de la seguridad digital en la empresa.
El siguiente paso es que los empleados hayan sido debidamente formados y sepan como tienen que actuar en caso de sufrir un ciberataque. Existen muchos mas consejos a la hora implementar un plan de seguridad digital en la empresa, pero esto lo veremos otro día.

¿Qué pasa si finalmente hemos sido atacados?

Aun con todas las medidas, el riesgo es existente. Podemos tener todo preparado y cumplir todas las normas que seguiremos siendo susceptibles de recibir un ataque. Lo que tenemos que intentar es reducir las consecuencias de este y que la perdida de datos sea mínima.
Pero si aun así derivado de este desastre deriva en un proceso litigioso, es importante contar con profesionales que puedan acreditar que es lo que ha ocurrido y que datos han sido comprometidos. Aquí entra en juego el perito judicial informático, una figura cada vez mas demanda por los Organismos Judiciales. El constante incremento de ciberdelitos en nuestra sociedad hace que profesionales de la informática se dediquen al mundo del peritaje informático, del análisis forense y del ejercicio del derecho procesal y de las nuevas tecnologías.
La función del perito informático consiste en el análisis de elementos informáticos, en busca de aquellos datos que puedan constituir una prueba o indicio útil para el litigio jurídico al que ha sido asignado.
En próximos post hablaremos del perito informático y de casos reales, eres informático titulado y te gustaría especializarte en informática forense, mira nuestro curso y aprende como convertirte en PERITO JUDICIAL INFORMATICO.