Cifre y proteja los datos de su compañía

El cifrado es una herramienta esencial para la protección de la información de su empresa. Las violaciones de datos representan un gran riesgo para las compañías, que van desde la pérdida de propiedad intelectual o conocimientos técnicos, hasta la filtración de datos personales. Esto puede resultar en daños a la reputación, pero también en fuertes multas.

5 minutos de lectura

5 minutos de lectura

¿Qué es el cifrado y qué protege?

El cifrado es el proceso de codificación de información para que personas no autorizadas no puedan acceder a ella. Si se filtran datos cifrados de su compañía, la persona que los encuentre o robe no podrá leerlos, ya que son ininteligibles sin la clave de descifrado adecuada.

Mucha gente desconoce que gran parte de la información está protegida con una tecnología de encriptación. Por ejemplo, las compras en línea y la banca online no funcionarían sin un buen cifrado. El mismo está diseñado para proteger el dinero y la información personal de los usuarios. En cuanto al entorno corporativo, el cifrado debe utilizarse para proteger la propiedad intelectual y los conocimientos técnicos de su empresa, así como los datos personales que procesa y almacena.

Continuar leyendo

La propiedad intelectual y el know-how pueden incluir los productos o servicios creados por su compañía. También pueden ser los métodos que utiliza para vender con éxito esos productos o los procesos implementados para garantizar que funcionen de forma eficaz durante todo su ciclo de vida. De manera similar, pueden incluir planes comerciales y de marketing para el próximo año calendario. Toda esta información puede ser monetizada o mal utilizada por un ciberatacante o un ladrón. 

La información personal que su empresa recopila y procesa puede incluir información sobre sus clientes y colaboradores. La ley le exige que proteja el acceso a dichos datos, según lo estipulado por el Reglamento General de Protección de Datos Personales (GDPR) de la Unión Europea.

GDPR y cifrado

La normativa GDPR define los datos personales: estos incluyen nombres y apellidos, fotografías, direcciones de correo electrónico, números de teléfono, números de cuenta, huellas digitales y voces. Este reglamento, que está en vigencia desde el 25 de mayo de 2018 en todos los estados pertenecientes a la Unión Europea, describe el cifrado como una medida contra el riesgo de reputación.

Imagine que uno de sus colaboradores pierde una llave USB que contiene una lista de sus clientes. De acuerdo con la GDPR, debe informar sobre el incidente a todas las personas involucradas. Ellos pueden tomar el hecho como un motivo suficiente para cambiar de proveedor. Sin embargo, la obligación de notificar a estas personas no se aplica si sus datos personales han sido cifrados.

¿Sabe qué hacer si su compañía sufre una filtración de datos?

Obligación de notificar al regulador:

Debe informar cualquier incidente asociado a la filtración de datos a la autoridad correspondiente. Esto aplica no solo a incidentes importantes, como grandes fugas de bases de datos, sino también a errores menores. Por ejemplo, si confunde erróneamente el contenido de los sobres destinados a diferentes destinatarios, debe informarlo. 

72 horas

Debe notificar a la autoridad supervisora pertinente sobre el incidente dentro de las 72hs posteriores al momento en que se da cuenta del mismo. Si este límite de tiempo es excedido, debe justificar las razones por cuales cuáles no se informó con antelación.

Obligación de notificar a las personas afectadas

En los casos más graves, además de notificar a la autoridad de protección de datos, también debe informar a las personas cuyos datos han sido afectados por la incidencia. Sin embargo, este paso no es necesario si el incidente ocurrió sobre información cifrada, dado que la misma es ininteligible para quien la obtenga. La normativa se refiere al cifrado como "medidas técnicas" de seguridad aplicadas. 

Multas posibles relacionadas a la GDPR

El incumplimiento de la obligación de informar de una violación de datos a la autoridad de control correspondiente se sanciona con una multa de hasta €10 milliones o, en el caso de una empresa, hasta un máximo del 2% de sus ingresos globales anuales de su año financiero anterior. Además de una sanción económica elevada, la autoridad de protección de datos también puede promulgar lo siguiente:

  • una limitación temporal o definitiva, incluida la prohibición del procesamiento de datos personales
  • eliminación de datos personales

Esto significa que podría perder todos los contactos de sus clientes existentes o que su empresa no pueda almacenar temporalmente dichos datos.

La filtración de datos afecta a empresas de todos los tamaños

Muchas empresas creen que no son vulnerables a ciberataques o violaciones de datos debido a su pequeño tamaño y sus activos limitados. Desafortunadamente, este no es el caso: según los analistas de IDC, las Pyme son víctimas de más del 70% de las brechas de seguridad. Pero la buena noticia es que las empresas no necesitan reportar ciberataques a menos que los datos personales hayan sido comprometidos o filtrados.

Debido a la falsa impresión de que otras empresas no se enfrentan a ciberataques, las compañías pueden sentirse avergonzadas o temer una atención negativa si informan de un ataque.

ESET ha observado que durante el primer año despúes de la entrada en vigencia de la GDPR, las autoridades de supervisión de Europa aún se estaban familiarizando con las nuevas reglas. Es probable que ahora impongan más multas. 

Sin embargo, la experiencia muestra que si las empresas afectadas cooperan, tienden a recibir sanciones más bajas. También parece que si su empresa no es gigante de Internet, es poco probable que reciba una multa de nivel máximo. 

Por lo tanto, recomendamos que las organizaciones siempre cumplan con la obligación de notificación, cooperen con las autoridades supervisoras y eduquen a sus empleados sobre qué son los datos personales y cómo deben protegerse.

Soluciones de cifrado de ESET

ESET Endpoint
Encryption

ESET Endpoint Encryption protege los datos confidenciales mediante el cifrado de archivos, carpetas, correos electrónicos y adjuntos, medios extraíbles, discos virtuales y el disco completo. Es fácil de utilizar, ya que ofrece un control remoto completo de las claves de cifrado y no requiere de un servidor para su implementación. Solicite una prueba gratuita por 30 días y evalúe cómo se adapta a su compañía.

Temas relacionados

Ingeniería social

Ransomware

Contraseñas