¿Qué es el cifrado y qué protege?
El cifrado es el proceso de codificación de información para que personas no autorizadas no puedan acceder a ella. Si se filtran los datos cifrados de tu empresa, cualquier persona que robe o encuentre los datos no podrá leerlos, ya que son ininteligibles sin la clave de descifrado adecuada.
Mucha gente no es consciente de que mucha información ya está protegida por tecnología de cifrado. Por ejemplo, las compras en línea y la banca por Internet no funcionarían sin un buen cifrado. El cifrado está diseñado para proteger el dinero y la información personal. En cuanto al entorno empresarial, el cifrado debe utilizarse para proteger la propiedad intelectual y los conocimientos técnicos de tu empresa, así como los datos personales que procesa dentro de tu empresa.
Leer más
La propiedad intelectual y el know-how pueden incluir los productos o servicios creados por tu empresa. También pueden ser los métodos que utilizas para vender con éxito esos productos o los procesos utilizados para garantizar que funcionen eficazmente durante todo su ciclo de vida. Del mismo modo, pueden incluir planes comerciales y de marketing para el próximo año. Toda esta información puede ser monetizada o mal utilizada por un ciberdelincuente.
La información personal que tu empresa recopila y procesa puede incluir información sobre tus clientes y empleados. La ley te exige que proteja el acceso a dichos datos, según lo estipulado por el Reglamento general de protección de datos (RGPD) de la Unión Europea.
GDPR y cifrado
El RGPD define los datos personales. Estos incluyen nombres y apellidos, fotografías, direcciones de correo electrónico, números de teléfono, números de cuenta, huellas dactilares y voces. Este reglamento, que ha estado en vigor en todos los estados miembros de la UE desde el 25 de mayo de 2018, describe el cifrado como una protección contra el riesgo de reputación.
Imagina que uno de tus empleados pierde una llave USB que contiene una lista de tus clientes. De acuerdo con el GDPR, debes informar a todas las personas de la lista sobre el incidente. Pueden percibir la filtración de datos como una razón para cambiar de proveedor. Sin embargo, la obligación de notificar a estas personas no se aplica si sus datos personales han sido encriptados.
¿Sabe qué hacer si tu empresa ha filtrado información personal?
Obligación de notificar al regulador:
Debes informar cualquier violación de datos personales a la autoridad de protección de datos correspondiente. Esta obligación se aplica no solo a incidentes importantes, como grandes fugas de bases de datos, sino también a errores menores. Por ejemplo, si mezcla erróneamente el contenido de los sobres destinados a dos destinatarios diferentes, debes informarlo.
72 horas
Debes notificar a la autoridad supervisora correspondiente sobre el incidente dentro de las 72 horas desde el momento en que te das cuenta del mismo, por lo que no desde el momento en que ocurrió el incidente. Sin embargo, si no se cumple este límite de tiempo, la demora en la notificación (es decir, las razones por las que no se informó la infracción en 72 horas) debe estar justificada.
Obligación de notificar a las personas afectadas
En los casos más graves, además de notificar a la autoridad de protección de datos, también debes informar a las personas cuyos datos se han visto afectados por la incidencia. Sin embargo, este paso no es necesario si el incidente ocurrió después de que tu empresa hubiera implementado las medidas de seguridad técnicas y organizativas adecuadas, en particular aquellas que hacen que los datos personales sean ininteligibles para cualquier persona no autorizada para acceder a ellos. El término legal "medidas técnicas" se refiere al cifrado.
Posibles multas relacionadas con el GDPR
El incumplimiento de la obligación de notificar una filtración de datos a la autoridad de control pertinente se castiga con una multa de hasta 10 millones de euros o, en el caso de una empresa, de hasta un máximo del 2% de sus ingresos mundiales anuales del ejercicio anterior. Además de una sanción económica elevada, la autoridad de protección de datos también puede dictar lo siguiente:
- una limitación temporal o definitiva, incluida la prohibición del tratamiento de datos personales
- la eliminación de los datos personales
Esto significa que podría perder todos los contactos de sus clientes actuales, o que a su empresa se le podría prohibir temporalmente el almacenamiento de dichos datos.
Las filtraciones de datos afectan a empresas de todos los tamaños
Muchas empresas creen que no son vulnerables a ataques cibernéticos o violaciones de datos debido a su pequeño tamaño y activos limitados. Desafortunadamente, este no es el caso: según los analistas de IDC, las pequeñas y medianas empresas son víctimas de más del 70 por ciento de las brechas de seguridad. Pero la buena noticia es que las empresas no necesitan informar ciberataques a menos que los datos personales se hayan visto comprometidos o filtrados.
Debido a la falsa impresión de que otras empresas no se enfrentan a ciberataques, las empresas pueden sentirse avergonzadas o temer una atención negativa si informan de un ataque.
ESET ha observado que durante el primer año después de la entrada en vigor del RGPD, las autoridades de supervisión en Europa todavía se estaban familiarizando con las nuevas reglas. Es probable que ahora impongan más multas.
Sin embargo, la experiencia muestra que si las empresas afectadas cooperan, tienden a recibir sanciones más bajas. También parece que si tu empresa no es un gigante de Internet, es poco probable que reciba una multa de nivel máximo.
Por lo tanto, recomendamos que las empresas siempre cumplan con la obligación de notificación, cooperen con las autoridades supervisoras y eduquen a sus empleados sobre qué son los datos personales y cómo deben protegerse.
Soluciones de cifrado de ESET
ESET Endpoint
Encryption
ESET Endpoint Encryption protege los datos confidenciales de los dispositivos corporativos mediante el cifrado. Proporciona cifrado de archivos y carpetas, correos electrónicos y archivos adjuntos, medios extraíbles, discos virtuales y todo el disco. Es fácil de usar, ofrece un control remoto completo de las claves de cifrado y no requiere un servidor para su implementación. Obtén una prueba gratuita de 30 días y prueba ESET Endpoint Encryption en tu empresa.
