derecho Digital, prevención y defensa en tu empresa

18 Jul, 2022 | 0 Comentarios

Derecho Digital, prevención y defensa en tu empresa - Gran Vía Abogados Digitales

Impartimos un seminario sobre ciberseguridad y derecho digital aplicado al mundo empresarial

El pasado día 7 de julio, nuestra colaboradora Laura Giménez de Béjar impartió un seminario en la Cámara de Comercio de Murcia bajo el título: Derecho Digital, prevención y defensa en tu empresa.

Te dejo un resumen del contenido que se trató durante la jornada y los aspectos más importantes relacionados la prevención de riesgos en materia de ciberseguridad dentro de tu empresa.

¿Qué entendemos por identidad digital?

Conjunto de información sobre una empresa expuesta en Internet (imágenes, datos, registros, noticias, comentarios…) que conforma una descripción de dicha organización en el plano digital.

  • ¿Cómo se forma? A través de canales de mensajería, tienda online, página web, perfiles de redes sociales, servicios de correo electrónico, etc.
  • ¿Cómo se desarrolla? Con lo que la empresa publica de sí misma y lo que los clientes opinan de ella
  • Beneficios. Promoción de productos/servicios, canales de comunicación con el cliente, método para tantear el mercado y conocer la opinión sobre la empresa.

¿Cómo puedes conocer la identidad digital de tu empresa?

A través de una auditoría de fuentes abiertas elaborada por Cibinar, como método de análisis de la identidad digital de la organización y sus amenazas.

Este estudio realizado por profesionales comprende:

  1. Simulación de la etapa previa que realizan los ciberdelincuentes antes de realizar un ataque informático
  2. Identificar las amenazas a las que debe hacer frente la empresa
  3. Conocer los datos que obtendrían los ciberdelincuentes a través de nuestro dominio
  4. Saber qué documentos filtrados existen
  5. Información acerca del uso que hacen los empleados de las herramientas informáticas de la empresa
  6. Identificar contraseñas filtradas

Derecho Digital, prevención y defensa en tu empresa - Gran Vía Abogados Digitales

¿Cuáles son los principales riesgos asociados a la presencia online de tu empresa?

En base a lo comentado en el seminario, los riesgos principales se relacionan con: los datos como base de la economía digital, la ciberseguridad como punto clave en el entorno empresarial, las empresas más expuestas a ciberataques y los riesgos más comunes.

El valor de los datos

En la actualidad, cualquier empresa maneja datos: bases de datos de clientes, proveedores, datos financieros, de recursos humanos, secretos industriales, etc.

Ya sabrás que la información es poder, por eso las empresas que manejan datos ganan en competitividad. El uso de datos personales tiene una importancia extra, porque proporcionará a la organización una serie de beneficios:

  1. Optimización de procesos y reducción de costes
  2. Creación de nuevos negocios
  3. Minimización de riesgos
  4. Mejora de servicios, acciones de marketing y segmentación de clientes

En definitiva, todos podemos llegar a ser víctimas de ciberdelincuencia, de ahí la importancia de la ciberseguridad en el panorama empresarial actual.

La importancia de la ciberseguridad

Nuestro compañero de Cibinar define ciberseguridad como el conjunto de procedimientos y herramientas que se implementan para proteger la información que se genera y se procesa a través de computadoras, servidores, dispositivos móviles, redes y sistemas electrónicos.

Es uno de los mayores retos de la economía, porque ha provocado una digitalización casi forzada de todos los negocios existentes. La dependencia actual de los sistemas informáticos es enorme, por lo que debemos tener en cuenta los riesgos asociados a ellos.

Los ataques informáticos no dejan de aumentar. Durante el pasado año 2021, los ciberataques aumentaron un 20% en España y un 30% a nivel mundial.

Las empresas más expuestas

Las pequeñas y medianas empresas están siendo el principal foco de ciberataques debido a:

  • Su escaso tamaño
  • Falta de medios
  • Falta de concienciación

Los principales riesgos para tu empresa

Las amenazas más comunes a las que se tiene que hacer frente en este momento son:

  • Suplantación de identidad: phishing
  • Publicaciones negativas de terceros
  • Fuga de información: interna (empleados) y externa (personas ajenas a la empresa)
  • Registro abusivo de nombre de dominio
  • Ransomware
  • Ataque DDoS
  • Troyanos, virus, gusanos…
  • Utilización no consentida de derechos de propiedad industrial: uso de logo, marca, etc.

Derecho Digital, prevención y defensa en tu empresa - Gran Vía Abogados Digitales

¿Qué respuestas legales puedes dar ante un ataque a la presencia online de tu empresa?

Las personas jurídicas también pueden ver vulnerado su honor. Por ejemplo, a través de las opiniones en redes sociales de clientes descontentos con un producto o servicio.

Pero, ¿cómo podemos gestionar las publicaciones negativas de terceros?

  1. Informaciones falsas o inexactas: acción civil para proteger el derecho al honor (Ley 1/1982 de protección civil del derecho al honor)
  2. Informaciones falsas de mayor gravedad, como la comisión de delitos o que atenten gravemente al honor: acción penal por injurias o calumnias
  3. También se podrá ejercer el derecho a la rectificación, si las informaciones se han vertido en un medio de comunicación social (Ley Orgánica 2/1984 sobre el Derecho de Rectificación)

Respuesta ante una fuga de información

La información que posee una empresa es uno de sus activos más importantes (bases de datos de clientes, proveedores, empleados…). Las fugas de información aumentaron con el teletrabajo, por la falta de medidas de seguridad en redes domésticas

Esta fuga afecta tanto a la empresa como a terceros, pudiendo acarrear para la primera sanciones, denuncias y demandas por parte de las personas afectadas.

Las respuestas ante esta situación pasan por:

  • Solicitar a los empleados la aceptación de políticas de seguridad
  • Firmar acuerdos de confidencialidad que incluyan sanciones en caso de incumplimiento
  • Adoptar medidas establecidas en el RGPD y LSSICE

Respuesta ante un uso fraudulento o no consentido de elementos de propiedad industrial de tu empresa

Algunos ejemplos puede ser: el uso de tu marca o logo sin consentimiento, la reproducción del sitio web original o el uso fraudulento de nombres de dominio.

Las medidas que podemos adoptar se relacionan con:

  • Acciones civiles fundamentadas en la Ley de Marcas
  • Acciones penales si se considera cometido un delito contra la propiedad industrial
  • Solución extrajudicial de conflictos en los casos de uso fraudulento de nombres de dominio a través de la entidad Red.es

¿Cómo defender la reputación online de tu empresa?

Independientemente de cual sea el incidente producido es conveniente haber trazado un plan anticrisis con anterioridad, con el fin de valorar la situación y adoptar las medidas adecuadas de forma rápida y eficaz.

Por esta razón, si tu empresa es víctima de ciberdelincuencia deberá proceder de la siguiente manera:

  1. Recabar asesoramiento especializado desde el minuto uno
  2. Análisis del incidente desde todos los puntos de vista posibles con el “gabinete de crisis” (directivos, departamento de informática, Delegado de Protección de Datos…)
  3. Recabar la mayor cantidad de evidencias digitales posibles. Es imprescindible contar con un perito informático que lleve a cabo la labor de investigación.
  4. Denunciar en la Policía o Guardia Civil la comisión del delito aportando todas aquellas pruebas de las que se disponga
  5. Comunicar brecha de seguridad a la AEPD y a los interesados. La comunicación se hace a través de la sede electrónica de la propia entidad.

Por el contrario, tu empresa puede ser considerada responsable de un delito. El artículo 31 bis del Código Penal establece que las compañías serán responsables penalmente en los siguientes casos:

  • Los delitos que sus representantes legales y administradores, de hecho o de derecho, cometan en su nombre o por su cuenta, que resulten en beneficio directo o indirecto para la entidad
  • Los delitos cometidos por los trabajadores, en el desempeño de sus actividades para le entidad y por cuenta y en beneficio directo o indirecto de la empresa, sin que hayan establecido por parte de la entidad los medios de control debidos sobre ellos.

Esto puede acarrear una serie de consecuencias no deseadas para tu empresa, tales como desprestigio social, pérdida de inversiones y de la confianza de los trabajadores, pérdida de ingresos en forma de inhabilitación para recibir subvenciones públicas e incapacidad para contractar con el sector público.

El Compliance Digital

Una entidad que invierta en compliance digital, en seguridad de la información y en cumplimiento normativo, evita pérdidas económicas y reputacionales, y sanciones, gana en competitividad, gana en confianza de los clientes y potencia su marca.

Puede definirse como aquella disciplina que agrupa tanto cumplimiento normativo como ciberseguridad, destacando:

Derecho Digital, prevención y defensa en tu empresa - Gran Vía Abogados Digitales

La gestión de la información corporativa

Auditoría de seguridad. Consiste en poner a prueba la efectividad de los sistemas críticos de las empresas frente a los ciberataques. Los objetivos que comprende esta acción son: conocer el grado de madurez en ciberseguridad por parte de los empleados, identificar brechas de seguridad y su alcance, detectar movimientos laterales y debilidades en los sistemas de protección.

Ciberseguridad gestionada. Consiste en derivar la responsabilidad a un tercero para planificar e implementar las medidas de seguridad. Los objetivos son:

  1. Dotar a la organización de las herramientas de protección necesarias
  2. Implantar medidas para el cumplimiento normativo (RGPD)
  3. Establecer políticas de copias de seguridad de información crítica
  4. Monitorizar la red de trabajo en busca de ataques o comportamiento anómalos
  5. Evitar caídas de servicios
  6. Alertar de manera inmediata ante accesos no autorizados

Arquitectura de red. Diagnósticos que permiten conocer el estado de la seguridad de su red, y por tanto, ofrecer reformulaciones de las arquitecturas. Los objetivos son:

  1. Detectar las vulnerabilidades y brechas de seguridad existentes
  2. Segmentar redes para evitar movimientos laterales de accesos no autorizados
  3. Proteger puntos de accesos vulnerables
  4. Reformular el sistema de copias
  5. Creación de túneles VPN en conexiones desde el exterior

Formación y concienciación. La formación de los empleados en los conceptos relativos a la ciberseguridad es vital como primer elemento de barrera ante un ciberataque. Los objetivos son:

  1. Entender los principales retos de gestión y clasificación de la información
  2. Hacer buen uso de los medios informáticos de la organización
  3. Conocer las principales amenazas y cómo defenderse de ellas
  4. Estudiar cómo gestionar y responder a incidentes de seguridad

Protección de datos

La información relativa a los datos de carácter personal es uno de los activos de información más confidenciales en una organización.

Las razones para adoptar medidas de protección de datos personales son: el incremento de confianza y credibilidad en la marca, minimización y gestión de incidentes de seguridad vinculados a los datos, y cumplimiento de requerimientos legales.

El Reglamento General de Protección de Datos impone a todas las entidades que tratan datos personales una serie de obligaciones:

  1. Deber de informar y consentimiento inequívoco
  2. Registro de actividades de tratamiento
  3. Delegado de Protección de Datos
  4. Notificación de brechas de seguridad
  5. Responsabilidad proactiva

Si tu empresa sigue un modelo de compliance no solo se va a proteger frente a pérdidas económicas o sanciones inmediatas, sino también del daño reputacional que a la larga puede ser más difícil de solventar y que, inevitablemente, supondrá pérdidas económicas a largo plazo para la compañía.

Dentro de las pérdidas económicas hay que tener en cuenta tanto las sanciones administrativas como posibles indemnizaciones por daños y perjuicios causados a los titulares de los datos que se han podido ver comprometidos.

Para todos los asistentes a la charla, elaboramos una infografía que refleja la importancia del compliance digital en el panorama empresarial actual. Puedes descargarla aquí.

Suscríbete al blog gratis para estar informado sobre legalidad en Internet y síguenos en redes sociales:

Facebook

Twitter

Instagram

TikTok

Miguel López Ríos

0 comentarios

Trackbacks/Pingbacks

  1. ¿Cómo puede ayudarte INCIBE? » Gran Vía Abogados Digitales - […] Gran Vía Abogados Digitales estamos muy comprometidos con la defensa y prevención de ciberataques en las empresas; por eso…

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

13 − 5 =

También te puede interesar…

Pin It on Pinterest