Madrid, 28 de septiembre de 2023. En el dinámico mundo empresarial actual, la seguridad de los datos es una preocupación que no puede ser subestimada. La pandemia ha impulsado la adopción masiva de dispositivos conectados, lo que ha llevado a un aumento significativo de los ciberataques. Estudios recientes indican que se produce un nuevo ciberataque cada 39 segundos.
El robo o la filtración de credenciales son el origen de casi la mitad de las violaciones de seguridad denunciadas en la primera mitad de año. En este nuevo contexto, las empresas deben abordar esta problemática de manera práctica y eficiente.
La seguridad, una prioridad corporativa
La seguridad no solo es una preocupación, sino que se ha convertido en una necesidad imperante para las organizaciones. Las consecuencias de una brecha de seguridad de datos pueden poner en jaque a la actividad de las compañías, a sus clientes y a su reputación. Por ello, hay que calibrar bien los riesgos que se asumen al implementar o no medidas que puedan detectar o reducir estas amenazas. El aumento constante de los ataques de ransomware o phishing demuestra lo crucial que es que las empresas reevalúen sus estrategias de seguridad de manera continua.
Uno de los caballos de batalla de las compañías es precisamente determinar si los recursos destinados a la seguridad de datos son suficientes. Esto implica un constante análisis de riesgos y la necesidad de concienciar a la alta dirección sobre la importancia de la seguridad en su lista de prioridades.
La gestión de la seguridad no recae únicamente en el área de Tecnología, sino que involucra a distintas áreas de la compañía. En caso de una ´brecha de datos´, se debe seguir un proceso completo y coordinando que consta de cuatro etapas: Planificación, Gestión, Notificación y Resolución, como establece la recientemente publicada II Guía [práctica] para la Gestión de Brechas de Datos Personales, que Javier Lomas, DPO del Grupo Codere, coordinó personalmente para el ISMS Forum y el Data Privacy Institute.
Según Javier Lomas, DPO del Grupo Codere: “No todo incidente de seguridad es una brecha de datos, pero toda brecha de datos personales es un incidente de seguridad. El Reglamento General (Europeo) de Protección de Datos, o RGPD, exige una planificación meticulosa, planes y registros por parte de las compañías en relación a las brechas de seguridad. Por lo tanto, nuestra capacidad de respuesta para minimizar el impacto y posibles sanciones debe ser muy rápida, ya que la regulación española determina 72 horas para su identificación y notificación a la Agencia de Protección de Datos”.
La velocidad es crítica al abordar incidentes de seguridad, lo que resalta la importancia de una coordinación interna efectiva y un trabajo colaborativo para mitigar los efectos y aplicar los protocolos adecuados.
Las tres líneas de defensa para una protección integral
Como hemos visto, la seguridad no puede improvisarse cuando sucede un incidente. Por ello es fundamental mantener actualizados los procedimientos y adaptarlos a cada tipo de brecha. Muchas compañías, entre ellas Codere, adoptan un modelo de protección que se basa en tres líneas de defensa para un mayor control:
- Primera línea: Incluye a los responsables de la protección de datos en áreas como Operaciones, Legal, Marketing, Compras y RRHH, así como a quienes implementan y detienen las amenazas, como el equipo de TI y el SGSI.
- Segunda línea: Compuesta por el área de cumplimiento del DPO, que asesora y supervisa la primera línea sobre cómo cumplir con la protección de datos.
- Tercera línea: Integrada por el área de Auditoría Interna, encargada de verificar si la primera línea ha implementado las medidas recomendadas por la segunda.
Fomentar de la ‘concienciación’
La seguridad frente a los ataques no solo requiere de barreras tecnológicas, sino de una cultura corporativa sólida que entienda la seguridad como responsabilidad de todos. Por ello resulta imprescindible que todos los miembros de la organización conozcan y adopten las mejores prácticas en el uso de los equipos y sistemas, además de recibir formación en campañas de concienciación sobre privacidad, seguridad y normativas internas.
Desde las áreas de Ciberseguridad y Protección de Datos de Codere se insiste precisamente en este aspecto, para evitar que la suma de pequeños descuidos cotidianos, como abrir un correo malicioso o hacer clic en un enlace desconocido, abran la puerta a actividades fraudulentas.
Desarrollo de un marco global
Codere opera en geografías como España e Italia, que comparten un marco europeo común para la protección de datos, aunque con matices específicos. Sin embargo, en Latinoamérica, la regulación es menos uniforme y a menudo se rige por normativas locales menos exhaustivas. Por ello, Grupo Codere adopta una postura global para armonizar estándares de cumplimiento, unificar criterios y aumentar la concienciación interna en temas de seguridad.
Bajo esta estrategia, se está llevando a cabo una revisión profunda de las políticas de cada país a través de assessments, para identificar requisitos normativos, asegurando el cumplimiento y designando responsables dentro de la organización. Esta labor ardua refuerza la protección de la compañía y prepara el terreno para una actuación más coordinada a nivel grupo en el futuro.