El deber de las empresas para proteger su reputación frente a los ciberataques

Pablo Jiménez de Parga, vicepresidente de ECIJA, y Alberto Mariñas, socio de Estudio de Comunicación, han presentado el encuentro online “Cómo gestionar el riesgo ante una crisis de ciberseguridad y de robo de información”, que ha contado con expertos como Julio Collado, Chief Information Security Officer del Grupo Prisa, María José GallegoData Protection Officer de Orange España Alonso Hurtado y Jesús Yáñez, socios de IT&Compliance de ECIJA.

Por su parte, Alberto Mariñas, Socio de Estudio de Comunicación, explicó que “la reputación es algo que sufre mucho con la ciberseguridad”. Desde el punto de vista de la comunicación, Mariñas defiende que es esencial la planificación por lo que recomienda a las compañías contar con un Manual de gestión de crisis que incluya la forma de combatir los ciberataques. En su opinión “el Manual de Crisis es una herramienta que te permite ganar tiempo, ser más eficaces y tener contempladas todas las posibles salidas”. También resaltó la importancia de “incluir nuevos elementos en la cultura de las empresas con técnicas de dinamización y motivación como un buen proceso de comunicación interna”.

Julio Collado, Chief Information Security Officer del Grupo Prisa, explicó que la ciberseguridad ha existido siempre “pero no con el protagonismo tan relevante de hoy, en que ya no es solo una estructura puramente tecnológica, sino que es tan importante decisiva en una compañía e incide directamente en el negocio”. También puso de relevancia la importancia de la concienciación en las prácticas de buen gobierno de cualquier compañía, y de la concienciación de los directivos. Así mismo ensalzó “la figura del DPO (Delegado de Protección de Datos o Privacidad) que considera imprescindible en la empresa actual”.

María José Gallego, Data Protection Officer de Orange en España, comentó en su intervención que "la implementación de medidas técnicas básicas en las organizaciones, como puede ser la suscripción a alarmas deberían ser de obligado cumplimiento porque no suponen una gran inversión pero tienen una importante efectividad". Gallego puso especial hincapié en "la necesidad de sensibilizar a los empleados ante posibles incidentes de seguridad, y en la importancia de la formación y concienciación en las compañías". Las brechas de seguridad, de información y otro tipo de vulnerabilidad de datos, deben contar con protocolos claros de actuación para poder tener una reacción lo suficientemente ágil por parte de las compañías, siempre en estrecha colaboración entre las áreas de Ciberseguridad y DPO.

A juicio de Alonso Hurtado, socio de IT&Compliance de ECIJA, “cualquier brecha de seguridad tiene que tener una acción coordinada de comunicación, jurídico y tecnológico. Desde el punto de vista reputacional se pude ver afectada la imagen de una compañía en los medios de comunicación y, además, podemos ser víctimas de una sanción económica”. En el caso concreto del SEPE, Hurtado aclaró que la clave estará en la capacidad que tenga de demostrar que ha sido diligente en las medidas que ha llevado a cabo antes y después del ciberataque y en acreditar que ha cumplido con la ley. “Desde el punto de vista procesal esto será clave”, ha concluido.