CIBERSEGURIDAD

Por qué las empresas deben empezar a ensayar sus respuestas ahora

0 77 3 minutos de lectura

Por David Cook, asociado senior Litigio y cumplimiento de privacidad y seguridad cibernética en Eversheds Sutherland, y finalista en el Premios Security Serious Unsung Heroes.



Parece que apenas pasa una semana sin que se informe de una violación de datos de alto perfil en las portadas de nuestros periódicos. La piratería y los ciberataques parecen ser cada vez más comunes e involucrar a una gama cada vez mayor de malhechores: desde vándalos hasta estados nacionales y grupos terroristas.

El riesgo en torno a los ciberataques se ha visto magnificado por las nuevas leyes de protección de datos y delitos financieros, en el país y en el extranjero, que han entrado en vigor en los últimos años. Por lo general, están respaldados por poderes temibles con los que golpear a los que no cumplen.

En el Reino Unido, la seguridad cibernética en torno a los datos personales está cubierta por el Reglamento general de protección de datos (GDPR). El Reglamento de seguridad de redes y sistemas de información de 2018 se relaciona con la seguridad cibernética de la infraestructura nacional crítica. La mayoría de los reguladores de la industria o del sector buscan reforzar su supervisión de la seguridad y las expectativas regulatorias están evolucionando. La FCA ha sido particularmente vocal en este espacio, estableciendo un listón cada vez más alto para las empresas de servicios financieros.

Riesgo de ejecución

El ICO ahora está equipado con mayores sanciones financieras. Debido al RGPD, las multas se han elevado de un máximo de 500.000 libras esterlinas a 17 millones de libras esterlinas o el 4 por ciento de la facturación global anual (lo que sea mayor) .También se les ha otorgado un presupuesto mayor para contratar a un equipo más grande para investigar las infracciones y hacer cumplir las nuevas leyes. Al mismo tiempo, la FCA ha cumplido sus discursos recientes sobre la importancia de la resiliencia de la seguridad cibernética y el 1 de octubre de 2018 multó a Tesco Bank con £ 16,400,000 sin precedentes tras un ataque de ciberdelincuentes.

Para las organizaciones con presencia europea o global, el panorama es aún más desafiante cuando ocurre un ciberataque, con prioridades regulatorias en competencia que crean su propio riesgo, incluida la amenaza de sanciones financieras emitidas por múltiples autoridades.

Riesgo reputacional

El daño a la reputación afecta predominantemente de tres maneras: (1) la lealtad del cliente se erosiona o se pierde; (2) se desencadenan reclamaciones de indemnización (consulte Riesgo de litigio a continuación); (3) Se sienten efectos negativos en el precio de las acciones.

A modo de ejemplo de este último número, en 2016 Yahoo anunció públicamente una histórica brecha de datos y sufrió una caída del 6,5% en el valor de sus acciones. Investigaciones recientes también han sugerido que para las empresas que cotizan en bolsa, la secuela de un ciberataque se siente mucho después del evento, y los precios de las acciones tienen un rendimiento inferior al de los pares de una empresa durante al menos un año después de que se publiquen los detalles de un ataque.

Riesgo de litigio

Si bien el riesgo de litigio está evolucionando rápidamente, en particular en relación con la angustia y las molestias, las afirmaciones fundamentales en torno a las violaciones de datos están bien establecidas en la jurisprudencia. De particular interés es el caso reciente de Google Inc v Vidal-Hall [2015] EWCA Civ 311 donde el tribunal sostuvo que la compensación por una violación de datos era posible solo con respecto a la angustia.

El artículo 80 del RGPD permite a los interesados ​​ordenar a un organismo de protección del consumidor que presente reclamaciones de indemnización en su nombre. De hecho, en Various Demandants v WM Morrisons [2017] EWHC 3113 QB el primer litigio bajo una orden de litigio grupal se presentó ante los tribunales. El caso Morrisons se presentó bajo la Ley de Protección de Datos de 1998 y muestra que el panorama en evolución estaba en su lugar antes de que GDPR entrara en vigor. Además, el Financial Ombudsman Service (FOS) ha indicado que está preparando sus equipos de manejo de quejas para aumentos en los volúmenes de reclamos por angustia y pérdida causada por violaciones de datos.

Históricamente, los premios otorgados por el FOS por angustia han sido bajos (menos de £ 500 por reclamo), pero esto aún presenta un riesgo considerable cuando una violación de datos afecta a miles, decenas de miles o incluso millones de consumidores. Por lo tanto, tenemos un caldo de cultivo maduro para que se genere una cultura de compensación por violación de datos.

¿Qué depara el futuro?

Espere ver un mayor volumen de litigantes con una causa de acción clara y una motivación para buscar una compensación.

Esto irá acompañado de un grave riesgo de aplicación de la normativa y el claro impacto en la reputación que suele seguir a un ataque. Por lo tanto, es fundamental que las empresas ensayen periódicamente su respuesta al ciberataque para brindarles la mejor oportunidad posible de mitigar esos riesgos y el costo inevitable cuando, y no si, ocurre.

Publicaciones relacionadas

Costo para la economía del Reino Unido de los ciberataques DDoS

Cree que su empresa está preparada para hacer frente a cualquier amenaza cibernética, pero ¿y si es un trabajo interno?

La estafa de People’s Postcode Lottery afirma que podría haber ganado £ 1,000

Nuevas transmisiones de suplantación de identidad de YouTube

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar