Bajo el título “Un paso más de Ciber, obligaciones, sanciones y soluciones”, Enric Usach se refirió a la obligaciones y sanciones relacionadas con la ciberseguridad y del “alcance y efectos que debemos conocer de los ciberataques” a raíz de la entrada en vigor de la Ley 12/2018, de 28 de abril, que transpone al ordenamiento jurídico español la “Directiva NIS” de la Unión Europea.
Partiendo de la base de que hoy en día cualquier empresa, sea cual sea su dimensión, gestiona bases de datos de clientes, proveedores, trabajadores, etc., esta ley obliga a “adoptar medidas para gestionar riesgos en la seguridad de la red de las empresas” y también implica que “puede darse la posibilidad de que se evalúe la seguridad de nuestras redes y que tengamos que subsanar los fallos”, además de que “pueden requerirnos a que se realice una auditoría”.
Asimismo, en caso de que una empresa sufra un incidente, “lo tendremos que notificar al CSIRT, Computer Security Incident Response Team (https://www.csirt.es/index.php/es/ – https://www.first.org)
y a los terceros afectados o, incluso y según el caso, al público en general”. La ley también obliga a “resolver el incidente, solicitando ayuda especializada al CSIRT y adoptar las medidas establecidas por la autoridad competente”.
Enric Usach habló también de las sanciones que establece esta Ley 12/2018. Las hay de “muy graves”, con multa de 500.001 euros a 1 millón; “infracciones graves”, que van de los 100.001 euros al medio millón; y “infracciones leves, con multas de hasta 100.000 euros.
Transferir el riesgo a los especialistas
Ante este panorama, el consejo de Enric Usach es el de “transferir el riesgo a los especialistas” por diversos motivos, como por ejemplo, “por los elevados e imprevisibles perjuicios económicos de un ataque informático, cuyo coste medio en 2017 fue de unos 50.000 euros, aproximadamente”, así como “por los constantes y habituales cambios legislativos, la peligrosa pérdida de reputación de la empresa o la fatal pérdida de clientes” que un ciberataque puede generar.
En términos generales, cuando una empresa opta por tener una póliza para cubrir estos posibles daños causados por un ataque cibernético, se está protegiendo en distintas vertientes, dado que la póliza se activará cuando haya habido una “vulneración de datos”, como podría ser una apropiación, acceso, uso o divulgación no autorizados, o a la perdida o robo de datos personales o información corporativa controlada por la entidad o por un proveedor externo.
También se activará cuando haya “un fallo de seguridad” que ponga en peligro la seguridad del sistema informático de la empresa; cuando se produzca “una amenaza de extorsión por parte de un tercero de cometer un cyber ataque”; o cuando se dé “un fallo de sistemas”, es decir, cuando se produzca una interrupción no intencionada ni programada, parcial o total, del sistema informático de la empresa.
Pérdidas que puede implicar un cyber atataque
Enric Usach quiso señalar que pueden ser muchos los efectos negativos que en una empresa puede generar un cyber ataque, desde la entrada de un virus en nuestro sistema informático que no permita utilizar los distintos programas de gestión, hasta ser extorsionados y obligados a pagar un rescate para recuperar datos y acceso a nuestros sistemas”. Asimismo, “pueden suplantar nuestra identidad, podemos ser víctimas de transferencias fraudulentas o incluso sufrir hacking telefónico”.
Posteriormente “pueden producirse demandas y reclamaciones por parte de terceros o incluso sanciones y multas por parte de la Administración por ser los responsables del fallo en ciberseguridad y privacidad”, indicó Usach.
Por todo ello, “es primordial que quienes toman las decisiones en las empresas comprendan el riesgo que se exponen”, siendo necesario, recomendable y casi obligatorio “adoptar soluciones sencillas” que permitan continuar trabajando a una empresa tras sufrir un ataque informático, directo o indirecto, y que “no se dañe su reputación”, sentenció Enric Usach.
Otros invitados destacados
A este encuentro asistieron diversas personas invitadas por diferentes socios del Club, destacando la presencia de Salvador Roca, Vicepresidente de Ros Roca, invitado por Juan de Ros, así como Alfonso Valenzuela, de Space Cargo, Amadeu Bret, de MTL Feeder Ibérica, y Guillermo Portela, de Silversea.