Ciberseguridad: nuevos tiempos, más riesgos empresariales

Elaborado por: Teresa Tovar, socia del Estudio Echecopar asociado a Baker & McKenzie International

Sin duda, la pandemia aceleró la digitalización de las empresas. Ello, debido a que el trabajo remoto y los cambios en los hábitos del consumidor que ello originó, han llevado a las organizaciones a concentrar sus esfuerzos para ofrecer bienes y servicios en los canales digitales. Este contexto ha incrementado las amenazas a la ciberseguridad a nivel global.

Como consecuencia de ello, han aumentado las contingencias de diversa índole. En efecto, en el Perú, por ejemplo, estas contingencias no solo están relacionadas con posibles multas de la Autoridad Nacional de Protección de Datos (ANPDP) sino también con los daños reputacionales y pérdidas económicas derivadas de la destrucción de activos empresariales. Y es que un ciberataque no solo puede implicar la eliminación de información valiosa para las compañías, como puede ser aquella contenida en los bancos de datos de sus clientes, sino que, el solo hecho de que dicha información se haga pública como resultado de un ciberataque puede generar que pierda todo su valor para la empresa.

Enfrentar riesgos de ciberseguridad es inevitable pero, sin duda, hay medidas que las organizaciones pueden -y deben- implementar, antes y después de un ciberataque, para mitigar los riesgos derivados de éste.

Recordemos que la Ley de Protección de Datos Personales peruana exige a las organizaciones adoptar medidas legales, organizacionales y técnicas para garantizar la seguridad y confidencialidad de los datos personales. Ello, precisamente, a efectos de mitigar los riesgos derivados de ciberataques que puedan implicar una vulneración al derecho a la protección de datos personales. Su incumplimiento puede ser sancionado con multas de hasta S/440,000.

A fin de cumplir con dicha Ley, su Reglamento establece un catálogo de medidas obligatorias que deben adoptar las organizaciones para proteger la información. Además, una Directiva de Seguridad emitida por la ANPDP recomienda una serie de medidas con el mismo fin, las cuales -en la práctica- pasarán a ser obligatorias.

Se observa, asimismo, una tendencia a que el enforcement de las autoridades a nivel mundial sobre la adopción de estas medidas vaya en aumento. Así, en países vecinos como Colombia, Chile y Brasil, compañías de diversos sectores han sido objeto de sanciones millonarias, por no adoptar medidas preventivas y reactivas adecuadas ante incidentes o violaciones de seguridad informática.

Adicionalmente, se observa un mayor énfasis regulatorio en los sistemas de respuesta ante incidentes de seguridad. Por ello, el Decreto de Urgencia N° 007-2020, que aprueba el Marco de Confianza Digital, apunta a incrementar las obligaciones en materia de seguridad para las empresas que brindan servicios digitales (pendiente de reglamentación). Esta norma, por ejemplo, plantea que se reporte a la ANPDP todo incidente de seguridad que sufran las organizaciones que involucre datos personales e, incluso, que se reporte al Centro Nacional de Seguridad Digital (a cargo de la PCM), los incidentes de seguridad aun cuando no involucren datos personales.

¿Está preparada su organización para este nuevo contexto?