¿Qué no debe faltarle a una estrategia de ciberseguridad?
Publicada 25/02/22
Artículo exclusivo para suscriptores Premium
Forma parte de la comunidad de líderes de la transformación positiva de nuestro sector.
Elige el plan que mejor se adapta a ti, y accede a todo nuestro contenido, descárgate nuestras revistas y disfruta de descuentos y otras ventajas en los eventos organizados por Hosteltur.
“Para poder establecer unas pautas lo primero que hay que hacer es analizar el riesgo. Focalizarte y ver qué estrategias asumir para simplificar cada uno de los riesgos”, sostiene Cristina Mallen, Business Developer de la empresa de seguridad digital A2Secure.
Jordi Serra, experto en seguridad informática y profesor de la Universitat Oberta de Catalunya (UOC), plantea que lo primero que hay que hacer es tomar dimensión de lo que implica, por ejemplo, no poder acceder a los sistemas de la empresa: “Piensa hoy, que aún puedes abrir tu ordenador, que mañana cuando llegues a la oficina tendrás todo cifrado. Si lo piensas, harás algo”.
La primera recomendación de Serra es “tener bien guardados los datos de los clientes y proveedores. Hay que cifrarlos, porque si los roban no los podrán abrir” y, en segundo lugar, “tener copias de seguridad de los sistemas y de tus ordenadores. Y a esas copias tenerlas seguras”. De esa manera, frente a un ciberataque, la compañía “podrá recuperar todo lo más rápido posible”.
Se trata de estar preparados y organizados para responder adecuadamente ante un incidente
Otro punto importante es formar a los empleados para que desconfíen de todo y mantengan una actitud despierta ante las amenazas.
“La forma más fácil de atacar es a través de un fallo del sistema o por aplicaciones conectadas a internet, y otro eslabón débil es el empleado, porque dando un click equivocado el hacker puede acceder", señala Mallen.
La experta de A2Secure agrega que “es bueno proteger los sistemas con controles, invertir en tecnología, pero también hay que formar a los empleados, advertirles sobre los riesgos que hay e ir haciendo simulaciones de posibles ataques, para que vayan siendo más conscientes". Y aclara que no alcanza con una única formación, los programas de capacitación deben actualizarse “porque los ataques van cambiando”.
Marcos Pomar, IT & Data Governance Director de Meliá Hotels International, remarca que para que la estrategia no flaquee es importante que la ciberseguridad sea un tema transversal a todas las áreas del negocio. Para ello, es necesario “contar con el equipo directivo involucrado y tener un equipo técnico y de gestión especializado en ciberseguridad y conocedor del negocio”.
Su recomendación es “estar cerca de las unidades de desarrollo de producto digital, proporcionando soluciones de ciberseguridad y colaborando constantemente para mantener una postura proporcional a los riesgos”
Cuando una compañía es víctima del e-crimen, y se ponen en riesgo datos personales de terceros, está obligada a notificar el ataque a la Agencia Española de Protección de Datos, en un plazo máximo de 72 horas, porque así lo establece el Reglamento General de Protección de Datos. No hacerlo tiene consecuencias.
“Hay empresas que no saben cómo tienen que actuar y tienen muy poco margen para comunicar, pero además de la responsabilidad ante organismos reguladores también hay responsabilidad contractual de las empresas”, explica a Xavier Ferretjans, abogado especialista en nuevas tecnologías de Binaura-Monlex,
Frente a eso, el abogado recomienda que las empresas cuenten con un equipo legal especializado en nuevas tecnologías y que tengan en claro cuáles son sus responsabilidades contractuales con proveedores y clientes
“El problema es que las empresas no tienen un mapa legislativo que aclare cuáles son sus responsabilidades frente a un ataque. Por eso necesitan un respaldo jurídico para saber qué están incumpliendo, hasta dónde son las responsabilidades, qué hay que hacer y lo que hay que exigir al resto”, comenta
Contar con un plan de comunicación diseñado para estos casos "también es vital" dice el abogado. Es que según Xavier Ferretjans un ataque, que en un primer momento “puede parecer una perdida de reputación (de cara a los clientes), se puede volver a favor si haces las cosas bien, demuestras y comunicas que aplicabas controles". "Dar la cara es lo correcto. Todos podemos tener un accidente, pero hay que llevarlo diligentemente y comunicarlo".
Los puntos que no deben faltar
- Tener todos los datos cifrados, porque si hay un robo los delincuentes no podrán abrirlos.
- Contar con copias de seguridad de los sistemas para recuperar la actividad lo más rápido posible
- Formar a empleados y colaboradores, para mantener una actitud despierta ante las amenazas
- Tener un equipo técnico, de gestión y legal especializado en nuevas tecnologías
- Tener analizadas las responsabilidades contractuales con cada proveedor y con los clientes, porque hay obligaciones en caso de ciberataques y hay plazos que cumplir
- Contar con un plan de comunicación para con los organismos, clientes y proveedores.
Para comentar, así como para ver ciertos contenidos de Hosteltur, inicia sesión o crea tu cuenta
Inicia sesiónEsta noticia no tiene comentarios.