Estuve en un evento empresarial recientemente, y en la parte más importante del mismo, – el coffee break-, pregunté a varios empresarios lo siguiente; ¿cuál es tu activo más importante? Muchos me dijeron, “el talento humano”, “la marca, la reputación” y luego una buena parte me dijo “la información, los datos que manejamos.”
Ahora bien, la mayoría de las empresas medianas y grandes tienen asegurados sus activos físicos, y tienen a buen resguardo los activos financieros, sin embargo, cuando se trata de datos, en lo referente a su manejo, es la suerte la que está usualmente a cargo. Los presupuestos limitados y los costos elevados no han permitido a muchos empresarios priorizar la protección de información y de activos digitales.
Y es que si reconocemos y aceptamos que la información y los datos en particular, son el insumo con el cuál las empresas y organizaciones producen y distribuyen su oferta de valor, y por tanto validamos el carácter estratégico fundamental de los datos y su gestión dentro de la empresa, resulta llamativo ver cómo el manejo del mismo es “responsabilidad del de sistemas” y no parte de todo un andamiaje, explícito y organizado, que refleje una cultura institucional de manejo de los datos; un gobierno de datos eficiente y potente.
Con el marco legal vigente, el manejo seguro de la información no sólo es un deber ético, sino un deber legal.
Y es que un segmento muy importante de los datos que cualquier empresa maneja ahora mismo, son datos personales, y dichos datos no son suyos, son de sus titulares (sean clientes, proveedores, empleados o socios). De la misma manera que un banco no puede decir que las colocaciones del público en sus cuentas en el banco son su dinero, ninguna empresa puede ahora considerar que los datos personales que maneja son “suyos.”
Y así como el banco contrata empresas de transporte de valores, construye costosas bóvedas y asegura sus edificios, para cuidar activos en custodia, de la misma manera los empresarios deben garantizar que sus organizaciones estén cuidando los datos que terceros les han confiado.
La ciberseguridad desempeña un papel fundamental en este contexto, ya que las amenazas cibernéticas pueden comprometer la seguridad y confidencialidad de los datos de los individuos y las organizaciones. Sin embargo, a medida que se intensifican los esfuerzos para fortalecer la ciberseguridad, surgen desafíos legales importantes que deben abordarse para garantizar una protección efectiva de la privacidad.
La ciberseguridad es el conjunto de prácticas, medidas y tecnologías diseñadas para proteger los sistemas informáticos, redes y datos contra amenazas cibernéticas. Este campo abarca la prevención, detección y respuesta a ataques maliciosos, como podrían ser el malware, el phishing, los ataques de denegación de servicio (DDoS) y el robo de datos. El objetivo principal de la ciberseguridad es garantizar la confidencialidad, integridad y disponibilidad de la información en entornos digitales, salvaguardando tanto los activos de las organizaciones como la privacidad de los individuos.
Desafíos en la Aplicación de la Ley
A pesar de la existencia de marcos legales y regulatorios, la aplicación efectiva de la ley en el ámbito de la ciberseguridad presenta varios desafíos. Uno de los principales problemas es la naturaleza transfronteriza de las amenazas cibernéticas, que pueden dificultar la identificación y persecución de los responsables de violaciones de datos en entornos internacionales. Además, la rápida evolución de las tecnologías y las tácticas utilizadas por los ciberdelincuentes puede superar la capacidad de las leyes y regulaciones existentes para mantenerse al día con las amenazas emergentes.
Frente a estos desafíos: la prevención
Si su organización o empresa maneja datos personales, su empresa custodia activos que no son suyos. Esto es igual de delicado que le pongan a cuidar dinero, vehículos o casas. La Ley Orgánica de Protección de Datos de Ecuador establece que es imperativo notificar cualquier vulneración de la seguridad de estos datos tanto a la Autoridad de Protección de Datos Personales como a la Agencia de Regulación y Control de las Telecomunicaciones en un plazo no mayor a cinco días tras tener conocimiento de la misma. Este requerimiento subraya la gravedad con la que se debe tratar la seguridad de los datos personales, equiparándola a la protección de activos físicos de gran valor. Además, la ley establece que los encargados del tratamiento de datos deben informar al responsable de cualquier brecha de seguridad dentro de un periodo aún más corto, de tan solo dos días desde su detección. Esta disposición refuerza la importancia de una respuesta rápida y eficaz ante cualquier incidente de ciberseguridad, garantizando la protección de los derechos y libertades de las personas.
La única manera de lograr reducir o mitigar el riesgo de un ataque cibernético que devenga en pérdida o exposición a terceros de datos personales, es implementando una cultura de prevención, y eso implica necesariamente evaluar que tan expuestos a un ataque cibernético está determinada empresa, evaluar el riesgo, qué actividades específicas de tratamiento de datos tiene, establecer una hoja de ruta para reducir los riesgos legales y los riesgos sobre la marca y el prestigio que significan los robos de información personal a las empresas.
En Gallegos Valarezo & Neira estamos en capacidad de ayudarle evaluando el nivel de exposición al incumplimiento de la Ley de Datos Personales y con nuestros socios tecnológicos podemos medir el nivel de exposición a ataques cibernéticos.
