¿Están las empresas preparadas para los ciberriesgos?
Los ciberriesgos representan ya una de las mayores preocupaciones para las empresas de todo el mundo. Cada vez son más las compañías que suscriben un seguro que las proteja ante posibles ataques.
Los ciberriesgos se colaron el año pasado por primera vez en el ‘top 10’ de riesgos globales elaborado por Aon. Y no es para menos. Según el informe ’Global Application & Network Security Report 2015-2016’ de Radware, el 90% de las empresas sufrió ciberataques en 2015.
¿Pero qué tipo de ataques suelen sufrir las compañías? “Pueden ser de carácter doméstico o empresarial, y aleatorios o dirigidos. Cuando un ataque es dirigido, generalmente tiene cuatro tipo de motivaciones: personal -amor, odio…-, económica, profesional o por problema psicológico. También se da el caso en el que hay varias motivaciones combinadas. Y las consecuencias pueden clasificarse desde cuatro puntos de vista: legales -para víctimas y agresor-, de reputación y/o identidad digital, de seguridad y/o privacidad y psicológicas. Así, nos encontramos con ataques al honor, accesos ilícitos a las comunicaciones o a dispositivos, revelación de secretos y fugas de información, espionaje industrial, casos de intimidación, coacción, injurias, calumnias, etc. Y van en aumento los casos de acoso y bullying”, especifica Selva Orejón, profesora de EAE Business School y Directora de Onbranding.
Pablo Fernández Burgueño, abogado especializado en seguridad informática, socio en Abanlex y profesor de Derecho en el ICEMD, indica que los ciberataques más frecuentes “suelen ser los ocasionados por ataques informáticos y brechas de seguridad que destruyen archivos o comprometen información personal y confidencial”, que conllevan gastos derivados de su reparación y daños sobre la imagen de la empresa por difamaciones.
Por su parte, Elena Alhambra, suscriptora internacional de Líneas Espaciales de Beazley -sindicato de Lloyd’s-, especifica que los principales ciberriesgos son los ataques DDoS -ataque de denegación de servicios-; el error humano, -especialmente el envío de documentación por email a destinatario equivocado o la pérdida o robo de ordenadores – portátil, teléfono…-; malware; y ciberextorsión, hackers que piden un desembolso en metálico para lo difundir información personal no publica incluida en los ficheros de la víctima.
Graves repercusiones
El peligro de un ciberataque es muy real y sufrirlo puede suponer importantes consecuencia para la actividad de la empresa. “Cualquier evento o ataque cibernético podría causar daños en los sistemas de información de una empresa, dando lugar a pérdidas materiales, financieras o de otra índole, así como daños reputacionales que podrían afectar de forma determinante a su cuenta de resultados”, declara Andrés Martínez, director del Área Legal y Compliance de Dual Ibérica.
¿Pero qué repercusión puede tener un ciberataque? “Es difícil cuantificar el importe medio de los siniestros porque va a depender de muchas circunstancias. Solamente la sanción que pueda interponer la Agencia Española de Protección de Datos (AEPD) puede suponer un gran desembolso”, anota Alhambra. Cabe recordar que una infracción de la Ley de Protección de Datos puede supone una sanción de hasta 60.000, 300.000 ó 600.000 euros, dependiendo de si la infracción se cataloga como leve, grave o muy grave, respectivamente. Es decir, podría poner en serio riesgo la continuidad de la empresa. Y no es nada complicado cometer estas infracciones. Por ejemplo, la AEPD sancionó a una web por incluir la opción ‘enviar a un amigo’, como recogía El Economista.
Además, la profesora del EAE afirma que cada día hay más casos “que cuestan más tiempo, recursos humanos, económicos y reputacionales. Aquí el coste es incalculable y, en algunos casos, difícilmente reparable si no se toman medidas. No podemos tener nuestro negocio en internet sin un seguro de protección digital. El coste de reparación de los daños, en los casos en los que tenga solución, es alto. En ocasiones, son costas de abogados, informe forense psicológico o perfil criminal, actuación en identidad digital análisis forense de seguridad de dispositivos post-incidente, etc.”.
Contar con un seguro de ciberriesgos se ha convertido en una necesidad, debido a la exposición que tiene cualquier empresa conectada a internet ante una pérdida de datos por un error humano o el hackeo de los sistemas informáticos. “Los empresarios intentan evitar que la pérdida de datos se produzca pero la realidad es que las compañías son cada vez más dependientes de la tecnología y, por lo tanto, más vulnerables. Es de vital importancia poder responder ante una pérdida de datos de tal forma que, incurriendo en el menor coste posible, podamos evitar un daño reputacional y actuar dentro del marco de la Ley. Gestionar la incidencia es incluso más importante que poder responder contra las reclamaciones de terceros. Una buena gestión mitigará el daño a los clientes”, comenta la experta de Beazley.
Así, especifica que “el seguro de ciberriesgo ayuda al empresario con esos gastos de gestión de incidencias, que posiblemente sean difíciles de afrontar en el corto plazo si ocurriera una divulgación no autorizada de los datos privados de sus clientes”. Por ejemplo, ante un ataque DDoS, “posiblemente se activarían las coberturas para gestionar las incidencias y, además, la posible pérdida de beneficios”.
Una red de seguridad
Cada vez son más las empresas que deciden cubrirse con un seguro de ciberriesgos. “El tamaño del mercado global ha crecido desde 850 millones de dólares de primas en 2012 hasta una cifra estimada de 2.500 millones de dólares en 2015. Las predicciones estiman que el mercado global seguirá creciendo hasta 3.000 millones de dólares en 2016 y 7.500 millones de dólares para 2020”, especifica Alhambra.
Según el profesor del ICEMD, estas pólizas son especialmente necesarias para empresas medianas y de gran tamaño, sobre todo en sectores como banca, comercio electrónico, agencias de viajes, pero también “todo aquel que tenga una importante presencia en internet o esté conectados a la red”. Martínez asegura que las grandes empresas ya suelen contratar estos seguros, aunque remarca el aumento de la contratación por parte de pymes, “especialmente aquellas ligadas al sector tecnológico, pero también empresas que, por su naturaleza, almacenan un gran número de datos o tienen información especialmente sensible, como pueden ser salud, datos bancarios etc.”.
El representante de Dual Ibérica explica que la prima “se calcula en base a factores como la facturación, el tamaño de la empresa, su actividad, su arquitectura informática, las medidas de seguridad implementadas, etc.”. Así, indica que “la prima media ronda los 10.000 euros, pero el rango es muy amplio. Hay pólizas de 350 euros y de 100.000 euros, dependiendo del riesgo y las coberturas suscritas”. Por su parte, Fernández Burgueño señala que “en España, lo habitual es encontrar seguros de entre 80.000 euros a 600.000 euros, aunque los hay limitados, de hasta 2.000 euros, y de mucha mayor cuantía, para multinacionales o empresas de especial riesgo. La prima media se puede establecer en unos 200.000 euros”. Hay que tener en cuenta que la mayor parte de las empresas que contratan este seguro en nuestro país son corporaciones medianas y grandes.
Coberturas y exclusiones
La experta de Beazley precisa que “como todos los seguros de responsabilidad civil, los de ciberriesgos cubren las reclamaciones presentadas contra el asegurado por daños causados a terceros. También cubren los gastos legales incurridos y las sanciones administrativas de la AEPD”. Martínez remarca que cubren “la responsabilidad como consecuencia de brechas de seguridad y/o incumplimientos de la legislación en materia de privacidad, responsabilidad multimedia, sanciones administrativas, defensa jurídica y fianzas, gastos de comunicación, notificación a terceros, gestión de crisis y de apoyo al cliente, extorsión de datos, restablecimiento de datos y pérdida de ingresos comerciales”.
Alhambra matiza que “el elemento que diferencia este seguro con respecto a otros es que el asegurado podrá poner a su disposición un conjunto de expertos en la materia de privacidad de datos que le ayudará a gestionar la incidencia, incluso antes de que llegue a oídos de sus clientes o del organismo regulador”. De este modo, suele cubrir gastos de naturaleza legal para el asesoramiento ante la AEPD o respecto a los clientes cuyos datos hayan sido divulgados; gastos para la contratación de un experto en seguridad informática que determine la naturaleza de la incidencia -qué ha pasado- y evite daños mayores; gastos de consultoría en relaciones públicas, marketing y publicidad para manejar el posible daño reputacional; o soluciones de monitoreo de identidad ‘data patrol’ -una empresa que compruebe si los datos comprometidos están siendo utilizados de forma ilegal en internet-.
Otro aspecto interesante es que estas pólizas incluyen los gastos ocasionados por la reparación, renovación o reconstrucción de los archivos, certificaciones, recibos, facturas o cualquier dato almacenado que tenga el asegurado para el desarrollo de la gestión encomendada, como reseña Fernández Burgueño....LEER NOTICIA COMPLETA
La Defensora del Pueblo recuerda a los alcaldes que ciudadanos y concejales pueden grabar los Plenos municipales
Apunta también que no es legal cobrar menos a los residentes por un servicio: hay que buscar otra fórmula si se quiere hacer descuentos
La Defensora del Pueblo recuerda a los alcaldes en su informe del año 2015 que tanto los ciudadanos que asisten a los plenos municipales como los concejales pueden grabar las sesiones y que hay normas, sentencias e informes de la Agencia Española de Protección de Datos que lo amparan.
La institución ha acudido a la Federación Española de Municipios y Provincias (FEMP)a la vista de las reiteradas quejas presentadas por ciudadanos y concejales porque los alcaldes no les permitían grabar los plenos.
Según la Defensora, algunos de esos alcaldes "prohibían la grabación sin una mínima motivación", otros alegaban que tenían facultad para hacerlo para controlar el orden público en el desarrollo de las sesiones, o que no estaba expresamente previsto en ninguna norma. Algún regidor aseguró por su parte que permitía grabar sonido, pero no las imágenes, para proteger la intimidad de los concejales.
La institución recuerda que hay normas, sentencias e informes de la Agencia Española de Protección de Datos que ampararían esas grabaciones. El propio Tribunal Supremo ha sentenciado que todo ciudadano que asista a un pleno y sin ser periodista pueda hacerlo, por los derechos fundamentales de libertad de expresión e información.
Por ello, ha solicitado a la FEMP que se plantee enviar una carta a los alcaldes y presidentes de las demás entidades locales recordándoles que deben permitir las grabaciones.
SERVICIOS MUNICIPALES MÁS BARATOS
En su informe, la Defensora afronta también la decisión de algunos municipios que abaratan los precios de los servicios públicos para quienes son residentes de la localidad, frente a los que no lo son. Por ejemplo, para usar instalaciones deportivas o culturales o para asistir a cursos.
"Esta institución viene defendiendo que tal práctica no es acorde con el principio de igualdad de todos los usuarios en las tarifas de los servicios", se dice en el informe de 2015. La Defensora explica a los municipios que si quieren establecer rebajas, la ley sólo permite hacerlo según la capacidad económica de cada cual, es decir, tarifas reducidas o bonificadas para sectores desfavorecidos...LEER NOTICIA COMPLETA.
Sanción
Murcia:Protección de Datos expedienta a Presidencia por publicar datos personales de los funcionarios
Abre procedimiento sancionador contra la Comunidad tras las denuncias de 54 empleados públicos que vieron cómo se subía al Portal de la Transparencia información de carácter personal
La Agencia Española de Protección de Datos ha acordado iniciar un procedimiento sancionador contra la consejería de Presidencia de la Comunidad Autónoma, por considerar que pudo vulnerar dos artículos (el 6.1 y el 10) de la Ley Orgánica de Protección de Datos por publicar, en el Portal de Transparencia de la web de la Comunidad (www.carm.es), un fichero que contenía los datos personales y las retribuciones de 8.000 empleados públicos de la Administración General y los organismos autónomos.
La Agencia responde así a las denuncias presentadas por 54 empleados públicos de la Región afectados por la publicación de los datos sin su consentimiento. En la resolución, el organismo estatal considera que la consejería de Presidencia pudo haber vulnerado el artículo 6.1 de la Ley de Protección de Datos, que indica que «el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado». También estima que se ha infringido el artículo 10, que se refiere a que «el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto a los mismos y al deber de guardarlos».
Según la Agencia de Protección de Datos, estos hechos serían constitutivos de faltas graves, que según la ley conllevan una sanción económica de entre 40.001 y 300.000 euros.
A partir de ahora, la Comunidad tiene quince días hábiles para presentar alegaciones y proponer las pruebas que considere convenientes. El plazo máximo para resolver el procedimiento sancionador es de seis meses.
La publicación en la web de la Comunidad de los datos personales de los funcionarios, junto a sus salarios, fue desvelada por LA OPINIÓN, lo que originó un aluvión de quejas y reclamaciones por parte de los afectados. La consejería de Presidencia justificaba que la Ley de Transparencia de la Región les amparaba, aunque se citó con los sindicatos para buscar una solución. Finalmente, decidió eliminar el polémico fichero del Portal de Transparencia. La Agencia de Protección de Datos ya había reprochado a la Comunidad que difundiera información «innecesaria» de los empleados públicos (como su titulación académica o si tenían carné de conducir) y que no cumpliera el trámite de audiencia antes de subir los datos a la página web.
CSIF llama a la vía judicial
El presidente del sindicato CSIF en Murcia, Juan Miguel Gómez, mostró su alegría por la resolución, «pues este tipo de cosas se debieran haber consultado previamente con las organizaciones sindicales y con los trabajadores».
«Entendemos que siempre hay que preservar el derecho a la intimidad de las personas antes del derecho a la transparencia», indicó en la Cadena Cope.
Juan Miguel Gómez recordó que los 54 funcionarios que presentaron queja ante el organismo estatal tienen además otra vía para reclamar posibles indemnizaciones...LEER NOTICIA COMPLETA.
Cuidado con los falsos asesores de empresas en protección de datos
Expansión / Falsos asesores se aprovechan del temor de las empresas a ser sancionadas por no cumplir con las políticas de protección de datos y les ofrecen auditorías que no cumplen con los mínimos legales.
El miedo a ser sancionadas por no cumplir con la normativa sobre protección de datos lleva a muchas empresas, sobre todo pymes, a confiar en supuestos asesoramientos exprés que les permitan cubrir el expediente y que, con frecuencia, son ofrecidos por oportunistas que aprovechan la ocasión para hacer negocio. Muchas veces, las empresas no son conscientes de que este tipo de servicios no las libran de ser objeto de las cuantiosas multas que impone la Agencia Española de Protección de Datos (AEPD), que pueden llegar a los 600.000 euros, y que el nuevo reglamento de la UE propone fijar en hasta un 4% de la facturación para los infractores.
A tener en cuenta Las sanciones pueden alcanzar los 600.000 euros y el nuevo reglamento de la UE, pendiente de aprobación, plantea fijarlas en hasta el 4% de la facturación. Para evitar multas, las auditorías deben cumplir con unos mínimos estándares de calidad. Es necesario el asesoramiento de un profesional especializado y certificado en privacidad y protección de datos. Cuidado con los falsos asesores de empresas en protección de datos...LEER NOTICIA COMPLETA.
Protección de Datos expedienta a la Comunidad por publicar los sueldos de los funcionarios
El Gobierno regional argumenta que, tras conocer que se podría haber vulnerado la ley, «se retiraron los datos de la web y se realizó el tramite de audiencia requerido»
La Agencia Española de Protección de Datos (AEPD) ha abierto expediente sancionador a la Consejería de Presidencia por publicar en el Portal de la Transparencia los nombres, cargos y sueldos de 8.000 empleados públicos de la Administración, según avanzó la cadena COPE.
Y es que 54 de ellos presentaron reclamaciones entre octubre y diciembre del año pasado por haber sido divulgados sus datos personales sin su consentimiento. La Agencia Española de Protección de Datos les ha dado ahora la razón.
Así, el 15 de febrero se presentó la resolución por el que se abre un procedimiento de infracción a la Consejería de Presidencia, le otorga un plazo de 15 días para formular alegaciones. De no hacerlo, será considerado propuesta de resolución.
El presidente de CSIF en la Región, Juan Miguel López, mostró su alegría por la resolución pues "este tipo de cosas se debieran haber consultado previamente con las organizaciones sindicales y con los trabajadores".
"Entendemos que siempre hay que preservar el derecho a la intimidad de las personas antes del derecho a la transparencia", añadió en declaraciones a la COPE, tras lo que que los 54 afectados tienen además otra vía para reclamar posibles indemnizaciones.
"Hay dos vías, la de la Agencia de Protección de Datos, que luego puedo interponerle una sanción a la Administración, y después, si la persona considera que se han vulnerado sus derechos fundamentales, pueden ir a los tribunales de justicia para hacer una reclamación" por perjuicios.
El Ejecutivo recaba alegaciones
Por su parte, la portavoz del Ejecutivo murciano, Noelia Arroyo, explicó que los servicios jurídicos de la Administración regional recaban "las posibles alegaciones" al expediente y que adoptaron «de inmediato las medidas oportunas ante la duda de que pudiese existir alguna deficiencia en la publicación de datos, tal y como marca la ley".
Además, indicó que, siguiendo el criterio de la propia agencia, se retiraron los datos de la web y se realizó el tramite de audiencia requerido, y agregó que en el procedimiento interpuesto por la AEPD "se reconoce la diligencia en la forma de actuar del gobierno de Murcia cuando se interpusieron las denuncias por parte de los funcionarios".
El pronunciamiento de la AEPD, fechado el 15 de febrero...LEER NOTICIA COMPLETA.