El nuevo reglamento europeo es de aplicación obligatoria para todas las empresas españolas, con independencia de su tamaño. Ello se justifica en que el objetivo es proteger los datos sensibles que se manejan en las compañías, al margen de que se trate de una PYME o de una multinacional. Este hecho es especialmente relevante, “ya que los pequeños negocios no son conscientes de que el reglamento es de aplicación directa a ellos también, lo que va a provocar que, en unas pocas semanas, se sitúen en un escenario de incumplimiento legal y ante una potencial multa como consecuencia de la infracción”, ha explicado Fernando Redondo, Director de Gerencia de Riesgos de Willis Towers Watson.
Además, desde Willis Towers Watson han avisado de que las empresas que no hayan comenzado ya a implantar los nuevos protocolos de protección de datos, van a tener serias dificultades para llegar a tiempo de cumplir con el plazo del 25 de mayo. Y es que, tal y como ha expuesto el directivo de Willis Towers Watson, “el proceso requiere que se examine uno a uno cada archivo para comprobar las amenazas a las que se enfrenta, información que configurará el análisis de riesgos sobre el que construiremos todos los protocolos”.
Por otro lado, en la jornada de Willis Towers Watson se ha recordado que la protección de datos no solo se realiza sobre potenciales ataques cibernéticos, “sino que una fuga de datos puede venir por cualquier simple error, por ejemplo, al poner una dirección en el envío de un correo electrónico”, ha concluido Fernando Redondo. Una brecha en la seguridad que, según la gravedad de la misma, puede suponer que una empresa se tenga que enfrentar a una sanción de hasta 20 millones de euros (para las calificadas como muy graves) o un 4% de su facturación anual.
Ahora bien, que no todas las amenazas provengan de los riesgos inherentes al mundo cibernético no significa que estos no existan. Así lo ha explicado Carolina Daantje, Directora de Ciber Riesgos de Willis Towers Watson, que ha recordado que “toda empresa que almacena información a través de dispositivos electrónicos está expuesta a ser víctima de un incidente cibernético, malicioso o accidental, con la potencial fuga de datos que ello puede suponer”.
Un incidente que, al margen de su origen, conlleva importantes costes económicos para una compañía y que apoya la idea de que, hoy en día, es imperativo que las empresas contraten pólizas de ciber riesgos. Solo así, ha concluido Carolina Daantje, “en caso de que se produzca el peor de los escenarios, las empresas podrán tener la tranquilidad de que los costes, directos o indirectos que se produzcan como consecuencia del mismo, estarán cubiertos”.
Para finalizar, Alan Abreu González, Suscriptor Líder de Ciber de Hiscox España, ha realizado una aplicación práctica del ataque cibernético del que podría ser víctima una compañía y las vías para su resolución, concluyendo “ante la inminente implantación de la nueva normativa las empresas viven un momento de desconcierto. Desde Hiscox recomendamos tomar dos decisiones que les ayudarán y harán más fuertes en este camino que emprenderemos todos a partir del 25 de mayo. En primer lugar, que fortalezcan su gestión del riesgo de la mano de especialistas en aspectos como la asesoría jurídica, formación de empleados, análisis de riesgos tecnológicos y su implementación, reflejadas en medidas de protección de la privacidad y seguridad conocidas por todos, y el resto del riesgo (que no es poco) transferirlo con la contratación de seguros específicos de ciberriesgos”.
