3,73 ataques de seguridad por segundo, 223 por minuto y 178 al día a usuarios de internet, no llevan a preguntarse si usted será víctima de un incidente de seguridad. La gran pregunta que actualmente debe hacerse es: Cuándo seré víctima de un ciberataque y si estoy lo suficientemente preparado para sus consecuencias.
Antes de la crisis generada por el COVID – 19, el 68% de las compañías fueron víctimas de incidentes de ciberseguridad. Hoy, es casi el 80% y los costos asociados a los incidentes aumentaron en un 72%.
Entre más tecnología su empresa adquiera, más acelerado es el crecimiento del riesgo al que está expuesta para tener un incidente de ciberseguridad. Las formas en que agentes externos atacan los sistemas tecnológicos, bien sea para dañar o para apropiarse de información, evolucionan rápidamente. Por eso, aún los sistemas más sofisticados de seguridad de la información no serán capaces de prevenir un incidente de seguridad. Esto sin contar que el 70% de los incidentes de seguridad son causados por las personas al interior de la compañía. Esto, porque se comete un error o un descuido en el manejo de los sistemas de acceso o confidencialidad de la información, o porque deliberadamente vulneraron esos sistemas para apropiarse de la información de manera no autorizada.
¿Está usted preparado para la pérdida de reputación de su compañía, los litigios, las sanciones, las pérdidas millonarias de dinero o el cierre definitivo de su compañía debido a un incidente de ciberseguridad?
Si no, le recomendamos que empiece cuanto antes, a realizar un diagnóstico de su compañía a fin de conocer las vulnerabilidades, jurídicas y tecnológicas a las que está expuesto. Así podrá visualizar mejor los riesgos y los controles para mitigar la concreción de estos.
Lo invitamos a que diseñe las políticas, procedimientos y protocolos legales y tecnológicos que se requieren para la prevención de los riesgos de seguridad detectados, teniendo siempre en cuenta las medidas que deben implementarse en materia legal para el cumplimiento de normas y estándares internacionales en materia de ciberseguridad.
Considere capacitar su fuerza laboral para sensibilizarlos y entrenarlos sobre seguridad de la información.
Establezca un plan de acción para la administración de contratos materiales de cara a riesgos de ciberseguridad e identifique contratos con terceros en quienes se deleguen funciones (outsourcing) relacionadas con administración, manejo o custodia de información o sistemas informáticos (e.g., cloud computing, proveedores de VPN). Identifique si ellos establecen estándares de ciberseguridad y facultades de auditoría en cabeza de la compañía.
Revise sus contratos para que estos incluyan los derechos y obligaciones relevantes, las indemnidades y limitaciones de responsabilidad necesarias para que, en caso de incumplimientos por causas atribuibles a hechos relacionados con incidentes de ciberseguridad, usted pueda asegurar la continuidad de su negocio.
Implemente a la brevedad un plan de respuesta de incidentes en el que establezca un procedimiento para la detección de violación a medidas de ciberseguridad y un procedimiento para reportar incidentes ante autoridades y reguladores.
Ahora, si se le hizo tarde y el ciberataque llegó, asegúrese de estar acompañado de los mejores, a nivel jurídico y técnico para que pueda evaluar el alcance del ataque o incidente, contener los daños ocasionados, evitar la propagación de nuevos daños y asegurar la continuidad de la empresa.
Finalmente, revise por qué pasó y cómo puede fortalecerse para evitar una segunda vez.
Brigard Urrutia lo puede asesorar antes, durante y después de la ocurrencia del incidente de seguridad en su empresa.