¿Puede tu empresa ser multada por no cumplir regulaciones de seguridad?

Descarga el PDF!

¿Puede tu empresa ser multada por no cumplir regulaciones de seguridad?

Hoy, no cumplir con regulaciones de seguridad informática –y, por tanto, abrir la puerta a la fuga y robo de datos–, puede costar miles de pesos a una compañía en multas.

Sólo por poner un ejemplo, entre 2012 a 2015 el Instituto de Acceso a la Información y Protección (INAI) impulso multas que ascendieron a más de 185 millones de pesos por violaciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Las reglas más estrictas se han visto como una respuesta necesaria al aumento de la incidencia en la pérdida de datos, debido a la negligencia de muchos departamentos de seguridad informática de empresas y hasta de gobiernos en los últimos años. La autoridad hoy en día está en condiciones de emitir avisos de auditoría obligatoria a cualquier firma que haya sido vulnerada por ciberdelincuentes, pues viola la Ley de Protección de Datos.

La severidad de la multa se determina sobre la base de las precauciones tomadas por la empresa o departamento que se trate, y la naturaleza de la violación a la seguridad de datos.

REGULACIONES DE SEGURIDAD, POR LAS BUENAS…

De acuerdo con las directrices en la Ley de Protección de Datos de México y de muchas otras naciones, las cuales son similares, las multas más graves se producen en los casos en que el responsable del tratamiento ha contravenido seriamente los principios de protección de datos, y que como resultado de ello se genere un daño o sufrimiento sustancial.

Las empresas hoy en día saben que las sanciones económicas más duras vienen como resultado de diversas fallas en las brechas de seguridad, las cuales se toman más en serio que nunca por parte de las autoridades regulatorias.

Estas sanciones están diseñadas para actuar como elemento disuasorio y para promover el cumplimiento de la Ley de Protección de Datos. Todo director del área de sistemas o de la compañía misma debe saber que no se va a dudar en utilizar estas nuevas y duras multas para los casos más graves en los que las organizaciones hacen caso omiso de la ley. Quizás no lo hacen por mala fe. Muchas veces la ignorancia está en juego.

Algunas firmas de seguridad, como Symantec, ha publicado una serie de directrices destinadas a ayudar a las empresas a proteger los datos confidenciales de forma más segura, y evitar estar en el lado equivocado de una fuerte multa.

Las recomendaciones incluyen asegurarse se contar con una sólida política de seguridad informática con estrictas directrices sobre cómo y cuándo los datos pueden salir de las instalaciones de las compañías, la protección de todo el hardware con el último software de seguridad, asegurando todas las contraseñas lo más fuerte posible, y prestando atención a medidas de seguridad no electrónicas como la destrucción de documentos que puedan usar los delincuentes para realizar phishing o ingeniería social.

Muchos datos confidenciales sin cifrar que residen en computadoras portátiles y memorias USB han sido perdidos o robados, por la falta de cuidado de los empleados, por lo que es necesario crear también una cultura de prevención y cuidado de estos equipos.

El impacto negativo en la gran mayoría de estos casos podría haber sido fácilmente mitigado o evitado por completo, siguiendo mejores prácticas de seguridad, como la protección de datos, así como tener directrices claras sobre cómo, cuándo y dónde se utiliza la información.

Invertir en buenas plataformas de ciberseguridad para evitar la fuga de información, es menos costosa que un hackeo o una multa por parte de la autoridad, sin olvidar la pérdida de reputación, clientes y socios, por no cuidar su infraestructura. La elección depende de cada compañía. Muchas veces lo mejor es dejarse asesorar por un proveedor de servicios administrados de TI, que está obligatoriamente al día en todo lo relacionado con normatividad en seguridad informática.