by Juan Manuel González | Jun 9, 2022 | Noticias
¿Por qué es importante tener un programa de cumplimiento y cuáles son los elementos que éste debe tener?
La ciberseguridad se ha convertido en un tema de alta importancia en toda industria. Su auge se debe a la rápida adopción de tecnologías de la información por parte de las empresas para aumentar su competitividad en el mercado. Este proceso se ha acelerado vertiginosamente como consecuencia de las estrictas medidas de distanciamiento social impuestas por la pandemia, por lo que la migración digital debe hacerse con cautela, abordando responsablemente las responsabilidades y los riesgos implícitos.
La implementación de un programa de cumplimiento en ciberseguridad es el paso más aconsejable para que una empresa gestione correctamente su seguridad digital. Le permite adoptar medidas óptimas, según su industria y tamaño, para minimizar el riesgo de sufrir un ciberataque. Esto ofrece a sus clientes mayor seguridad de que su información está protegida. Además, un protocolo claro y completo le permite disminuir el riesgo legal que implica manejar información sensible.
Un programa de cumplimiento está compuesto de múltiples elementos importantes, tales como estándares de conducta y buenas prácticas, procedimientos institucionales para prevenir y manejar un ataque, capacitación de personal, estrategias contractuales para limitar responsabilidad, elección de una póliza de seguros adecuada y medidas para mitigar riesgos comerciales, reputacionales y legales, entre muchos otros. En resumen, un protocolo robusto de ciberseguridad es una herramienta que permitirá a la empresa proyectar solidez y confianza, disminuir riesgos y competir más efectivamente en su industria.
Uri Weinstok | Socio BLP | uweinstok@blplegal.com
Edgar Méndez | Asociado | emendez@blplegal.com
León Weinstok | Director, Especialista en Ciberseguridad & Protección de Datos | lweinstok@blplegal.com
by Juan Manuel González | May 31, 2022 | Noticias
El pasado 18 de abril, en Costa Rica recibimos la lamentable noticia que los sistemas informáticos de muchas instituciones públicas habían sido atacadas, por la organización criminal Conti, siendo el Ministerio de Hacienda el principal afectado. Si bien al día de hoy existe mucha información por dilucidar al respecto y no es posible conocer la extensión de este inconveniente (cuyas consecuencias podrían extenderse por varias meses o años), en esta etapa hay algunas lecciones que podemos aprender.
La primer lección más clara y evidente es que en materia de ciberseguridad y protección de datos personales, la inversión debe ser preventiva y no reactiva. En este caso, hemos notado como al parecer no se tomaron todas las previsiones adecuadas y, por ende, el impacto del ataque fue mayor. Ya sea en instituciones públicas o empresas privadas, es importante tener sistemas adecuados de protección de la información que permitan detectar cualquier tipo de ataque y en caso de que este ocurra, permitan aislar de forma oportuna el mismo para así, reducir el impacto del ataque. En este caso todo hace indicar que el ataque ocurrió varios meses atrás y, por ende, los criminales tuvieron el tiempo necesario para poder afectar toda la red sin ser detectados.
De la mano con lo anterior, la capacitación del personal y tener una cultura organizacional adecuada también son importantes. Esto permite reducir los errores humanos que podrían ocurrir en ataques de phishing o malware y que eventualmente sean la puerta de entrada a un ataque. Asimismo, permitiría que los colaboradores puedan detectar algunas situaciones anómalas y conozcan el mecanismo adecuado para reportarlas.
Adicionalmente, el manejo de datos personales resulta un punto importante a considerar. Para un manejo adecuado de la información se debe respetar los derechos de los titulares de los datos personales. Esto permite a su vez, un manejo más seguro de la información, evitar tener más información de la estrictamente necesaria y lograr que los inconvenientes que le pueda ocasionar a las personas un ataque de este tipo sean menores.
Como es sabido, un ataque de este tipo podría conllevar sanciones e indemnizaciones que eventualmente se deban pagar. Sin embargo, además de eso (y tal vez más gravoso) esto podría acarrear daños por eventualmente perder información valiosa de una empresa o institución, el daño a la reputación y credibilidad del ente afectado, así como el riesgo de la continuidad del negocio o servicio. Por lo anterior, valorar optar por medidas como un seguro de riesgo cibernético pueden ser importantes a fin de poder disminuir ese riesgo.
Para mayor información contactar a:
Uri Weinstok | Socio BLP | uweinstok@blplegal.com