LOPD

Sectores mas vulnerables a ciberataques
Cuáles son los sectores más vulnerables a sufrir ciberataques
1020 690 Prestigia

La protección de datos masivamente en determinados sectores, los hace más vulnerables a sufrir ciberataques. En la mayoría de ocasiones, los ciberdelincuentes intentarán obtener datos sensibles e información confidencial como contraseñas o números de tarjetas de crédito.

La pérdida de datos personales, por ejemplo, a causa de una brecha de seguridad, supone una pérdida financiera y de credibilidad y reputación para la empresa. En el reportaje Impida que una brecha de seguridad acabe con su pyme, en el que participó nuestro CTO José María Muntané, vimos que el 40% de pymes que ha sufrido un ciberataque, ha tenido que interrumpir su actividad a raíz del incidente.

Los 3 sectores más vulnerables a sufrir ciberataques

Sector bancario

La competitividad con empresas tecnológicas como Google, Apple, Microsoft o Facebook, hace que la transformación digital en el sector financiero, esté avanzando a pasos de gigante. La mayoría de entidades bancarias, utilizan la nube como servidor de los datos personales de sus clientes, y eso, las transforma en empresas más vulnerables. La gran cantidad de datos sensibles que mueve el sector, lo convierte en uno de los principales objetivos de los ciberdelincuentes.

Las investigaciones del Grupo NCC, revelaron que las vulnerabilidades de seguridad en el sector bancario, han aumentado en más del 400% desde 2013. Entre los ataques más utilizados encontramos el DDoS, utilizado para saturar los sistemas y acompañado de un posterior ataque de phishing hacia los usuarios de la entidad bancaria.

La banca en línea de Reino Unido HSBC, reveló que sus servicios en línea habían sido blanco de cibercriminales, utilizando un ataque DDoS, aunque afirmó que se había defendido con éxito.

Sector sanitario

El sector sanitario también está en pleno proceso de transformación digital. Hoy en día, ya es algo normal recibir los resultados de nuestras pruebas médicas directamente a nuestro teléfono móvil, e incluso podemos realizar consultas o solicitar atención médica vía smartphone. El sector sanitario en Estados Unidos sufre de media 32.000 ciberataques diarios, según fortinet.

Este es uno de los sectores más vulnerables por el hecho de mover millones de datos muy sensibles y críticos, de todos y cada uno de nosotros. Hay que tener en cuenta también, que la mayoría del software que utilizan, no está actualizado acorde con los ciberataques que pueden sufrir hoy en día, dado que la seguridad no se tomó como parte del proceso del desarrollo en la mayoría de las ocasiones.

A los ciberdelincuentes les sería muy fácil realizar un ataque de Ransomware, pidiendo un rescate para eliminar la restricción de la plataforma sanitaria. Incluso, con la cantidad de datos que podrían recopilar, podrían realizar un ataque phishing a los pacientes, incluyendo sus datos personales, para darle veracidad.

Por otra parte, los dispositivos médicos conectados a internet, son extremadamente vulnerables a sufrir ciberataques, debido a la información personal que transmiten.

Sector jurídico

Los despachos de abogados son un gran atractivo para los ciberdelincuentes. La gran cantidad de datos sensibles que almacenan, entre ellos números de cuenta bancaria, se intentan sustraer mediante ataques de phishing por correo electrónico. 

Según Law, en Inglaterra el 73% de bufetes de abogados sufrió un ciberataque durante el 2016, aumentando un 60% respecto al 2015.

El ciberataque más utilizado por los delincuentes dentro del sector jurídico, es el ataque Ransomware, exigiendo así al bufete de abogados, un rescate para la recuperación de los datos personales de los clientes. En españa, según INCIBE, durante el año 2017, al menos 70 bufetes de abogados fueron víctimas de un ataque de este tipo.

El despacho de abogados Araoz & Rueda sufrió un ciberataque en 2017 y, comunicó a sus clientes, que si en los próximos días recibían un correo electrónico sospechoso, ignoraran cualquier hipervínculo y se pusieran en contacto con ellos.

Que tu empresa no esté incluida en ninguno de los sectores de los que hemos hablado, no significa que no sea vulnerable a sufrir ciberataques. En nuestro blog, puedes encontrar una guía con 10 consejos para mejorar la ciberseguridad de tu pyme.

Recuerda, en Prestigia Seguridad ofrecemos servicios de ciberseguridad para cada cliente, proyecto o negocio, ¡contáctanos para obtener información sin compromiso! 🙂

novedades RGPD
Principales novedades del Reglamento General de Protección de Datos (RGPD)
1024 690 Prestigia

Dentro de poco menos de dos meses será plenamente aplicable el Reglamento General de Protección de Datos (RGPD), un nuevo texto legislativo que establece el mismo marco normativo para todos los países de la Unión Europea y que introduce cambios jurídicos, técnicos y organizativos relevantes.

En primer lugar, es importante tener en cuenta que el RGPD aplicará tanto a entidades de la UE como de fuera de la misma si tratan datos de personas de la UE; así, las grandes plataformas que procesan y almacenan datos personales (tales como Facebook, Google o MailChimp) también deberán cumplir con el nuevo régimen jurídico y ello representa un importante punto de inflexión.

Además de reforzar algunas obligaciones ya existentes en la normativa española actual (LOPD), el RGPD prevé un nuevo principio rector, el principio de responsabilidad proactiva o accountability, en virtud del cual las entidades deben introducir en sus organizaciones la cultura del cumplimiento en el ámbito de la protección de datos para que adopten las medidas técnicas y organizativas que sean necesarias para asegurar que están en condiciones de cumplir con los principios, derechos y garantías del RGPD.

Junto con ello se introducen una serie de novedades que resumimos a continuación:

1. Registros de Actividades de Tratamiento. Se sustituye la obligación de inscribir los ficheros con datos de carácter personal en el Registro General de la Agencia Española de Protección de Datos (AEPD) por el de implementar un registro escrito de todas las actividades de tratamiento de datos.

2. Información. Se deberá informar más y mejor a las personas acerca del tratamiento de sus datos. Por ejemplo, habrá que informar de la base jurídica del tratamiento, del plazo de conservación de los datos, del derecho a revocar consentimiento o de reclamar ante la Autoridad de Control, entre otros.

Dicha información debe facilitarse con un lenguaje claro y sencillo. Por ello, la Autoridades de Control españolas (AEPD, Autoritat Catalana de Protecció de Dades y Agencia Vasca de Protección de Datos) recomiendan cumplir el deber de información a través de un sistema de doble capa, de manera que:

  • En la primera capa se incluya información básica y resumida del tratamiento de los datos.
  • En la segunda capa se incluya información adicional, mediante un sistema de preguntas y respuestas sencillas.

3. Consentimiento. Se exige, con carácter general, un consentimiento inequívoco que, a criterio de las Autoridades de Control, no puede ser tácito dado que el RGPD exige una manifestación inequívoca del interesado o clara acción afirmativa.

4. Encargados de tratamiento. Obligación de elegir Encargados de Tratamiento que ofrezcan “garantías suficientes” para aplicar medidas técnicas y organizativas apropiadas, y se añade nuevos requisitos a incluir en los contratos a suscribir con cada uno de ellos.

5. Medidas de seguridad. Se sustituye el régimen exhaustivo y detallado actual ya que el RGPD únicamente prevé que hay que establecer medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo que las entidades deberán realizar.

6. Derechos de los afectados. Además de introducir algunas novedades en relación con los derechos de Acceso y Oposición, se sustituye el derecho de Cancelación por el Derecho de Supresión/Derecho al Olvido y se introducen nuevos derechos como el derecho de Limitación (derecho a obtener la limitación de los datos cuando se cumplan determinadas condiciones) o el de Portabilidad (derecho a recibir los datos personales de forma estructurada, de uso común y lectura mecánica para transmitirlos a otro Responsable del Tratamiento).

7. Notificación de violaciones de seguridad. Obligación de notificar las violaciones de los datos personales a la AEPD, sin dilación indebida y a ser posible, antes de las 72 horas.

8. Delegado de Protección de Datos. Se prevé una nueva figura, la del Delegado de Protección de Datos, destinada a asesorar y supervisar el cumplimiento del RGPD en las entidades, siendo obligatorio su designación en los supuestos de tratamiento realizados por Autoridades u Organismos públicos o cuando las actividades principales consistan en operaciones que requieran evaluaciones de perfil o de tratamientos de datos sensibles a nivel masivo así como tratamientos de datos relativos a condenas e infracciones penales.

Finalmente, hay que tener presente que la nueva normativa también es más dura a la hora de sancionar las eventuales infracciones que se produzcan en este ámbito ya que se prevén multas que pueden llegar a ser de hasta 20 millones de euros o, en el caso de empresas, de un importe equivalente al 4% del volumen de negocio anual del ejercicio fiscal anterior.

*Post invitado, por Eloi Font, director de Font Advocatspartner legal de Prestigia Seguridad

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.