Referente a la privacidad, la ciberseguridad y la desconexión digital, el Reglamento General de Protección de Datos (RGPD) sigue evolucionando y, en 2025, las empresas en España deben estar más preparadas que nunca para cumplir con las nuevas normativas. La Agencia Española de Protección de Datos (AEPD) y las instituciones europeas han reforzado aspectos clave de la privacidad digital, la seguridad de los datos y los derechos de los trabajadores en el entorno digital, para la protección de sus datos en el entorno laboral.

A continuación, te explicamos los cambios más relevantes en privacidad, ciberseguridad y desconexión digital y cómo afectan a tu negocio.

Nuevas exigencias en ciberseguridad: más allá del cumplimiento

Con el aumento de ataques cibernéticos y filtraciones de datos, las autoridades han endurecido las medidas de seguridad exigidas a las empresas. En 2025, las organizaciones deben:

• Implementar sistemas de detección y respuesta ante incidentes de ciberseguridad.
• Realizar evaluaciones de impacto en protección de datos con más frecuencia.
• Garantizar el uso de medidas de cifrado y anonimización en los datos sensibles.

Las sanciones por incumplimiento han aumentado. Ahora la AEPD puede imponer multas más severas si una empresa no demuestra haber tomado medidas suficientes para proteger la información de clientes y empleados.

¿Tu empresa está preparada?

Un simple antivirus o firewall ya no es suficiente ante este panorama, por lo que es esencial contar con un plan de ciberseguridad robusto, adaptado a las nuevas exigencias del RGPD.

El derecho a la desconexión digital: obligación para todas las empresas

El derecho a la desconexión digital, regulado en la Ley de Trabajo a Distancia, cobra más importancia en 2025. Esto implica que las empresas deben garantizar que sus empleados no sean contactados fuera del horario laboral, salvo en casos de fuerza mayor.

Para cumplir con esta norma, las empresas deben:

• Definir políticas claras sobre desconexión digital en su normativa interna.
• Capacitar a los empleados y directivos sobre el derecho a la desconexión.
• Supervisar y evitar prácticas abusivas tales como correos electrónicos fuera de horario, mensajes en WhatsApp después del fin de la jornada.

No garantizar la desconexión puede traducirse en denuncias ante la Inspección de Trabajo y sanciones económicas para las empresas.

Regulado en el Real Decreto-ley 28/2020 y en la Ley de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
BOE – Ley de Protección de Datos
BOE – Ley de Trabajo a Distancia

Beneficios para tu negocio

Respetar este derecho no solo evita sanciones mejora la productividad y el bienestar de los empleados, reduciendo el absentismo y el estrés laboral.

Protección de datos en la era de la inteligencia artificial

El uso de inteligencia artificial (IA) para procesar datos personales está en el punto de mira de los reguladores. En 2025, el RGPD se alinea con la Ley de IA de la UE, lo que significa que las empresas deben:

• Justificar el uso de IA en el tratamiento de datos personales.
• Garantizar la transparencia y explicabilidad de los algoritmos utilizados.
• Evitar la discriminación y sesgos en decisiones automatizadas.

Las empresas que usen herramientas de IA para la gestión de clientes, selección de personal o análisis de datos deben asegurarse de cumplir con estos nuevos requisitos.

Conclusión: No esperes a recibir una sanción

El cumplimiento del RGPD en 2025 no es solo una cuestión legal. Es una oportunidad para mejorar la confianza de tus clientes y fortalecer la seguridad de tu empresa.

• ¿Tu empresa cuenta con una estrategia de protección de datos sólida?
• ¿Tienes medidas de ciberseguridad adecuadas?
• ¿Respetas el derecho a la desconexión digital de tus empleados?

Si tienes dudas sobre cómo adaptarte a estos cambios, contáctanos. Nuestro equipo de expertos en protección de datos y ciberseguridad puede ayudarte.

Contáctanos hoy mismo y protege tu empresa de riesgos legales y de ciberseguridad.

CEO Data Protect Plus

Sylvia Fries

La entrada Todo lo nuevo sobre privacidad, ciberseguridad y la desconexión digital. se publicó primero en DataProtectPlus.

Ventajas de la NIS 2 para tu empresa

Mayor Protección de Datos: La NIS 2 obliga a las empresas a implementar medidas de seguridad más robustas, lo que reduce significativamente el riesgo de brechas de seguridad y ataques cibernéticos.

1. Cumplimiento Legal: Al seguir la NIS 2, tu empresa no solo cumple con la normativa vigente, sino que también demuestra su compromiso con la protección de datos y la ciberseguridad.
2. Reputación Mejorada: Cumplir con la NIS 2 puede mejorar la reputación de tu empresa, mostrando a clientes y socios que tomas la seguridad de sus datos en serio.
3. Reducción de Sanciones: La NIS 2 endurece las sanciones en caso de incumplimiento, pero también proporciona una guía clara para evitarlas.

¿Qué sectores están afectados por la normativa?

La Directiva NIS 2 afecta a una amplia gama de sectores considerados críticos para la infraestructura y seguridad de la Unión Europea. Estos sectores se dividen en dos categorías principales: sectores esenciales y sectores importantes.

Sectores Esenciales (altamente críticos)

1. Energético: Incluye la producción, distribución y suministro de energía.
2. Transporte: Incluye transporte aéreo, ferroviario, marítimo y por carretera.
3. Finanzas, Banca y mercados financieros: Instituciones financieras y servicios relacionados.
4. Sanitario: Parte del sector sanitario, como hospitales y clínicas, así como fabricación de material sanitario.
5. Agua potable y Residuales: Organizaciones encargadas de la gestión de aguas potables y residuales.
6. Infraestructuras Digitales: Servicios y redes críticos para la infraestructura digital.
7. Gestión TIC (B2B): Servicios de gestión de tecnologías de la información y la comunicación.
8. Administraciones públicas: Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrales.
9. Espacial: Organizaciones del sector espacial.

Sectores Importantes (sectores críticos)

1. Mensajería: Servicios postales y de mensajería.
2. Residuos: Gestión de residuos.
3. Seguros: Empresas de seguros y reaseguros.
4. Telecomunicaciones: Proveedores de servicios de telecomunicaciones.
5. Sector de la Automoción: Fabricantes y distribuidores de vehículos.
6. Manufactura: Sectores de manufactura crítica.
7. Agricultura y Alimentación: Producción y distribución de alimentos.
8. Sector de la Salud: Además del sector sanitario, también incluye la industria farmacéutica.
9. Educación: Instituciones educativas y de investigación.
10. Cultura: Instituciones culturales y de medios de comunicación.

Descarga la tabla con toda la información aquí.

Estos sectores deben cumplir con las obligaciones establecidas por la NIS 2, que incluyen la gestión de riesgos de ciberseguridad, la notificación de incidentes significativos y la implementación de medidas técnicas, operativas y organizativas para proteger sus sistemas y datos.

¿Cómo Data Protect Plus puede ayudarte?

En Data Protect Plus, ofrecemos servicios integrales de consultoría para asegurar que tu empresa cumple con la NIS 2 y otras normativas de protección de datos. Nuestro equipo de expertos te guiará a través del proceso de cumplimiento, ayudándote a implementar las medidas necesarias y a mantener la seguridad de tus datos.

Para ello contamos con nuestra solución CYBERNIS.EU, que reúne empresas altamente cualificadas del sector de datos para dar cumplimiento a la normativa NIS 2.

Solicita más información en este link: NIS 2

Byline: CEO Data Protect Plus

La entrada ¿Qué es la NIS 2 y qué empresas necesitan cumplir con esta normativa? se publicó primero en DataProtectPlus.

En esta publicación del blog, exploraremos los diversos riesgos a los que se pueden enfrentar los clientes del Banco Santander debido a ciberataques.

Comprendiendo los Ciberataques a clientes y empleados

Los ciberataques vienen en diversas formas, desde correos electrónicos no deseados hasta sofisticados intentos de phishing con IA.

Una táctica común utilizada por los ciberdelincuentes es enviar correos electrónicos que contienen enlaces o archivos adjuntos maliciosos que pueden infectar la computadora de un destinatario con malware.

Otro método común es realizar llamadas fraudulentas con tecnología de inteligencia artificial, haciéndose pasar por representantes de un banco para obtener información confidencial de clientes desprevenidos.

Riesgos para los Clientes del Banco Santander

Los clientes del Banco Santander corren el riesgo de ser víctimas de ciberataques que apuntan a su información personal y financiera. Una amenaza prevalente es el phishing, donde los clientes pueden recibir correos electrónicos o mensajes que aparentan ser del banco, solicitándoles verificar sus datos de cuenta o hacer clic en un enlace para resolver un problema. Al hacerlo, los clientes sin saberlo dan acceso a los ciberdelincuentes a su información sensible, poniendo en riesgo sus finanzas.

Identificando Intentos de Phishing del ‘Banco Santander’

Es esencial que los clientes del Banco Santander puedan identificar intentos de phishing para protegerse de los ciberataques. Una señal de alerta a tener en cuenta son los correos electrónicos o mensajes que contienen errores de ortografía o gramaticales, ya que las comunicaciones legítimas del banco estarían escritas de manera profesional. Los clientes también deben estar atentos a cualquier solicitud de información personal o acción urgente, ya que estas son tácticas comunes utilizadas por los ciberdelincuentes para manipular a los destinatarios y hacer que revelen sus detalles.

Protegiéndose de los Ciberataques

Para protegerse de los ciberataques, los clientes del Banco Santander deben tomar medidas proactivas para asegurar su información personal. Una forma efectiva de prevenir caer víctima de estafas de phishing es no hacer clic en enlaces o descargar archivos adjuntos de correos electrónicos o mensajes sospechosos. Los clientes también deben habilitar la autenticación de dos factores en sus cuentas y monitorear regularmente sus estados de cuenta financieros en busca de transacciones no autorizadas.

Reportar Actividad Sospechosa

Si los clientes del Banco Santander sospechan que han sido blanco de un ciberataque o han caído víctimas de un intento de phishing, es crucial reportar la actividad sospechosa de inmediato. Los clientes deben comunicarse con el departamento de atención al cliente del banco para alertarles sobre el incidente y seguir sus instrucciones sobre cómo proceder. Al reportar cualquier posible violación de seguridad rápidamente, los clientes pueden ayudar a protegerse y evitar más daños a sus finanzas.

Educarse sobre Ciberseguridad

En la era digital actual, la conciencia en ciberseguridad es más importante que nunca. Los clientes del Banco Santander deben educarse sobre las mejores prácticas para mantenerse seguros en línea y proteger su información personal. Esto incluye actualizar regularmente las contraseñas, ser cautelosos al compartir información en línea y mantenerse informados sobre las últimas amenazas y tendencias de ciberseguridad.

Buscar Ayuda Profesional

Si los clientes del Banco Santander tienen dudas o preocupaciones sobre sus prácticas de ciberseguridad o sospechan que pueden haber sido blanco de un ciberataque, deben buscar ayuda profesional. Los expertos en ciberseguridad pueden proporcionar orientación sobre cómo proteger la información personal, detectar posibles amenazas y responder de manera efectiva a incidentes de seguridad. Al solicitar la ayuda de profesionales, los clientes pueden tomar medidas proactivas para resguardar sus finanzas e información personal.

Para ayuda en ciberseguridad, robo de datos e informes periciales, pulsa aquí.

Para ayuda en privacidad, consultas sobre protocolos de seguridad, pulsa aquí.

Permanecer Vigilante e Informado

A medida que los ciberdelincuentes continúan desarrollando nuevas tácticas y estrategias para atacar a individuos desprevenidos, es esencial que los clientes del Banco Santander se mantengan vigilantes e informados sobre los riesgos a los que se enfrentan. Al mantenerse al día con las mejores prácticas de ciberseguridad y ser proactivos en la protección de su información personal, los clientes pueden minimizar la posibilidad de caer víctimas de ciberataques y protegerse de posibles pérdidas financieras.

Conclusión

En conclusión, los ciberataques representan una amenaza significativa para los clientes del Banco Santander, poniendo en riesgo su información personal y financiera.

Es fundamental comprender los diversos riesgos asociados con los ciberataques, identificar intentos de phishing y tomar medidas proactivas para protegerse. Así, los clientes pueden minimizar la posibilidad de caer víctimas de ciberdelincuentes. Y hay que educar sobre las mejores prácticas de ciberseguridad y donde buscar ayuda profesional si es necesario. Solo así podemos salvaguardar las finanzas e información personal de posibles vulnerabilidades de seguridad.

CEO Data Protect Plus

Sylvia Fries

La entrada Los riesgos de ciberataques a los clientes del Banco Santander se publicó primero en DataProtectPlus.

Sorpresas en Año Nuevo 2024

El comienzo del año 2024 trajo consigo no solo celebraciones, sino también una oleada de ciberataques masivos. Estos ataques informáticos han sacudido la seguridad en línea y planteado serias amenazas a la privacidad de los datos personales.

Impacto de los ciberataques

Los ciberataques durante la temporada de año nuevo han demostrado ser altamente perjudiciales, afectando no solo a individuos, sino también a empresas e incluso a entidades gubernamentales. ¿Qué consecuencias han dejado a su paso estos ataques? Pérdida de información sensible, vulnerabilidades expuestas y un cuestionamiento serio sobre la seguridad en línea.

Vulnerabilidades en el año nuevo 2024

Las festividades ofrecen un terreno fértil para los ciberdelincuentes: distracciones, aumento en transacciones en línea y menor vigilancia en la seguridad informática. Estos factores han creado un escenario propicio para los ataques cibernéticos, dejando a muchos vulnerables a la pérdida de datos y el robo de identidad.

La importancia de la protección de datos personales

Proteger nuestros datos personales es más que una precaución: es una necesidad. La seguridad en línea se convierte en un pilar fundamental para resguardar la identidad, la información financiera y la privacidad en general. ¿Cómo podemos tomar medidas para protegernos?

Medidas de seguridad recomendadas

¡No todo está perdido! Existen medidas que podemos implementar para fortalecer nuestra seguridad en línea. Desde el uso de contraseñas robustas hasta la autenticación de dos factores, estas prácticas pueden ser nuestras mejores aliadas en la protección de nuestros datos personales.

Conclusión

En conclusión, los ciberataques durante el año nuevo 2024 han generado una alarma sobre la importancia crítica de proteger nuestros datos personales. La conciencia y la adopción de prácticas de seguridad son nuestra mejor defensa contra las amenazas cibernéticas.

FAQs

1. ¿Por qué aumentan los ciberataques en año nuevo? Los ciberdelincuentes aprovechan la distracción y el aumento de actividad en línea durante las festividades para realizar ataques.

2. ¿Cómo puedo proteger mis datos personales? Usa contraseñas seguras, habilita la autenticación de dos factores y mantén tu software actualizado.

3. ¿Qué impacto tienen estos ataques en la seguridad digital? Los ataques afectan la confianza en la seguridad digital y exponen las vulnerabilidades existentes.

4. ¿Es necesario cambiar mis contraseñas después de estos ataques? Sí, es recomendable cambiar y fortalecer tus contraseñas para mejorar la seguridad.

5. ¿Las empresas también deben preocuparse por estos ataques? ¡Absolutamente! Las empresas deben reforzar sus medidas de seguridad para proteger los datos de sus clientes y su propia información confidencial.

¡No dejes que tu seguridad digital se convierta en un juego de azar! Protege tus datos personales hoy mismo. Si deseas más información y medidas preventivas, ¡accede aquí!

CEO Data Protect Plus®

Sylvia Fries

La entrada Ciberataques masivos en año nuevo 2024. se publicó primero en DataProtectPlus.

No nos libramos de los Ciberataques en nuestra empresa

Efectivamente, nosotros también lo sufrimos, y a menudo. En nuestra empresa, nos enfrentamos a estos desafíos de frente.

Hasta ahora, en 2023, hemos bloqueado con éxito 271.910 ciberataques procedentes de 27.191 direcciones IP distintas, gracias a tecnología muy avanzada que nos proporciona la seguridad que necesitamos para poder ayudar a nuestros clientes.

Virus Encapsulados: ¿Qué son y cómo funcionan?

Un ciberataque es un intento malicioso de un individuo o una organización para violar la integridad, confidencialidad o disponibilidad de un sistema o red de información. Los ciberataques pueden tomar muchas formas, incluyendo phishing, ransomware, ataques DDoS y más.

Un virus encapsulado, también conocido como virus polimórfico, es un tipo de malware que cambia su código cada vez que se propaga y/o ejecuta.

Esta característica de “encapsulamiento” permite al virus ocultarse de los programas antivirus, que suelen buscar patrones de código específicos para detectar amenazas. Al cambiar constantemente su código, el virus encapsulado puede pasar desapercibido, permitiéndole infiltrarse en sistemas y redes sin ser detectado.

Antivirus y Virus Encapsulados: Un Desafío Creciente

Los antivirus tradicionales, que han sido durante mucho tiempo la primera línea de defensa contra los ciberataques, se enfrentan a un desafío creciente con la aparición de los virus encapsulados. Estos programas de seguridad dependen en gran medida de las firmas de virus para detectar amenazas. Sin embargo, dado que los virus encapsulados cambian constantemente su firma, la detección se vuelve extremadamente difícil. Además, algunos virus encapsulados pueden incluso desactivar los programas antivirus, dejando los sistemas aún más vulnerables a otros tipos de ataques.

Medidas de Protección contra Ciberataques: Más allá de los Antivirus

A pesar de la sofisticación de los virus encapsulados, existen varias medidas que se pueden tomar para protegerse. Estas medidas van más allá de los antivirus tradicionales y requieren un enfoque más integral de la ciberseguridad:

1. Actualizaciones regulares: Es fundamental mantener tus sistemas y programas antivirus actualizados. Las actualizaciones a menudo incluyen nuevas firmas de virus y mejoras en la detección de amenazas, lo que puede ayudar a proteger contra los virus encapsulados.
2. Educación en ciberseguridad: La formación en ciberseguridad puede ayudar a los usuarios a reconocer y evitar comportamientos riesgosos, como hacer clic en enlaces sospechosos o descargar archivos de fuentes no confiables. Al estar informados sobre las tácticas comunes utilizadas en los ciberataques, los usuarios pueden ser la primera línea de defensa contra ellos.
3. Copias de seguridad de datos: Realizar copias de seguridad regulares de tus datos es una medida de protección esencial. En caso de un ataque, podrás restaurar tus sistemas a un estado seguro, minimizando la pérdida de información y el tiempo de inactividad.
4. Uso de tecnologías avanzadas: Considera el uso de tecnologías más avanzadas, como la inteligencia artificial y el aprendizaje automático. Estas tecnologías pueden detectar comportamientos anómalos y responder a las amenazas en tiempo real, proporcionando una capa adicional de seguridad.

En resumen, aunque los virus encapsulados representan una amenaza significativa, la adopción de medidas de protección avanzadas puede ayudar a mitigar el riesgo y mantener seguros nuestros sistemas digitales. Recuerda, la ciberseguridad es una responsabilidad compartida y todos tenemos un papel que desempeñar en la protección de nuestros sistemas y datos

Información proporcionada por:

CEO Data Protect Plus

Sylvia Fries

Si necesita más información, puede contactarnos a través de este enlace.

La entrada Ciberataques y Virus Encapsulados: Desafíos y Soluciones se publicó primero en DataProtectPlus.

¿Qué lo que es un ‘ransomware’?

Para explicarlo de forma fácil: El ransomware es un malware que impide a los usuarios acceder a sus sistemas o archivos, que viene acompañado. Por lo general, los atacantes piden un rescate – sin garantías, como ha sido el caso; a veces, los destruyen.

¿Cómo llega un ransomware a mi sistema?

Uno de los métodos más habituales actualmente es descargar el ransomware a través de correo electrónico spam malicioso, que son mensajes no solicitados. El mensaje de correo electrónico puede incluir archivos adjuntos trampa, como PDF o documentos de Word. También puede contener enlaces a sitios web maliciosos.
Por ello, un simple error humando puede causar un desastre enorme en una organización, como ha pasado con Ayuntamientos, Hospitales y sistemas gubernamentales en muchos países en los últimos años.

¿A quién ataca un ransomware?

Al introducir el ransomware inicialmente (y posteriormente se reintrodujo), estaba dirigido a sistemas particulares (es decir, personas normales y corrientes). Sin embargo, los ciberdelincuentes empezaron a ser conscientes de todo su potencial y desplegaron el ransomware para las empresas y organizaciones. Con ello tuvieron tanto éxito que decidieron seguir atacando a estos sectores, llegando incluso a detener la producción, evacuar hospitales enteros y provocar pérdidas de datos y de beneficios por sumas muy maltas.
Hacia finales del 2016, el 12,3 % de las detecciones empresariales fueron ransomware (a nivel global), frente a solo un 1,8 % de detecciones de usuarios particulares a nivel internacional.
En 2017 el 35 % de las PYMEs habían experimentado un ataque con ransomware.

¿Qué hacer si tengo un ransomware en mi sistema?

Lo más importante, en cualquier caso de infección con ransomware, es no pagar el rescate. Es un consejo respaldado por el FBI para los afectados. En caso contrato, animaríamos a los ciberdelincuentes a lanzar más ataques.

Para solucionarlo, existen desencriptadores gratuitos, pero no todas las familias de ransomware disponen de estas opciones. Hay formas de ransomware muy sofisticados que hay que dejar en manos de especialistas IT / TI antes de estropearlo del todo.

También existen productos de seguridad descargables para la desinfección y análisis con el fin de eliminar la amenaza. Aunque posiblemente no recupere todo lo perdido, al menos elimina la infección.

En el caso de bloqueo de pantallas habrá que restaurar el sistema por completo.

La importancia de la Protección de Datos en estos ataques

Con relación al ransomware, es necesario que personas responsables y encargadas de tratamiento tomen conciencia del riesgo que estos ataques plantean, y que apliquen medidas técnicas y organizativas apropiadas para afrontarlos. Estas medidas se han de orientar en tres direcciones: intentar evitar su materialización, tener capacidad para su detección temprana y rápida evaluación de las consecuencias y minimizar el impacto sobre los derechos y libertades de las personas cuyos datos personales se hayan visto afectados, según indica la AEPD en relación a estos ataques.

Además, resume de forma muy fácil de entender los pasos a seguir:

En una época en el que los datos son el nuevo “oro” de las organizaciones, el impacto de una brecha de seguridad de tipo ransomware puede ser enorme y estrategias adecuadas de gestión de riesgos y gobernanza de los datos son claves para determinar con precisión algunos aspectos clave del análisis de una brecha de seguridad de este tipo y que permiten dar una respuesta adecuada, como son:

• Categorías de datos personales afectados
• Número de registros afectados
• Número de personas afectadas
• Tipología de la brecha de seguridad (disponibilidad y/o confidencialidad)
• En caso de afectar a la disponibilidad, capacidad para reestablecerla sin causar daño o nivel de daño potencial
• En caso de afectar a la confidencialidad, riesgo real de identificación de las personas y nivel de daño potencial

La persona responsable del tratamiento debe tener tal control sobre los sistemas en los que realiza tratamientos de datos personales que le permita determinar con agilidad estos parámetros y valorar el nivel de riesgo para los derechos y libertades de las personas.

La capacidad de determinar este nivel de riesgo es clave para poder dar cumplimiento a los requisitos de responsabilidad proactiva establecidas en el RGPD, como entre otros:

• Obligación de notificar las brechas de seguridad a la autoridad de control, a menos que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas afectadas, dentro de las 72 horas siguientes a que la persona responsable sea consciente de que el hecho se ha producido.
• Obligación de comunicar la brecha de seguridad a las personas afectadas en caso de que sea probable un alto riesgo para sus derechos y libertades. El objetivo de la comunicación a estas personas afectadas es permitir que puedan tomar medidas para protegerse de las consecuencias.

Para la notificación de brechas de seguridad a la autoridad de control, la AEPD pone a disposición de las personas responsables del tratamiento un formulario en su Sede Electrónica. Además, como ayuda a la toma de decisiones sobre la necesidad de comunicar una brecha de seguridad a las personas afectadas, la AEPD tiene publicada la herramienta Comunica-Brecha RGPD.

Puede obtener más información en la Guía para la Gestión y Notificación de Brechas de Seguridad, en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:

• Brechas de seguridad: el correo electrónico y las plataformas de productividad online
• Protección de datos y seguridad
• Brechas de seguridad: Top5 de medidas técnicas
• Brechas de seguridad: comunicación a los interesados
• Brechas de seguridad: qué son y cómo actuar

CEO DATA PROTECT PLUS®

Sylvia Fries

La entrada Ciberataque al Ayuntamiento de Sevilla y Ransomware se publicó primero en DataProtectPlus.

No son casos aislados, sino cada vez es más común que empleados roban datos de la empresa para su propio beneficio.

El 69% de las compañías IT experimentó el robo de sus datos personales y confidenciales por parte de sus empleados en 2016. Así relata el informe del “The State of Cybersecurity and Digital trust 2016”. Imaginémonos el alcance después de la pandemia y la digitalización de las empresas a nivel global.

Y no solo en este sector está de moda esta tendencia.

¿Cuáles son los mayores riesgos en mi empresa?

La mayor amenaza para la seguridad de una organización no viene de afuera, sino de dentro de la organización, principalmente empleados de confianza. Empleados con afán de crear su propio negocio, que dejan la organización, podrían robar datos corporativos confidenciales para crear su propio negocio, usarlos contra la organización o venderlos para obtener ganancias.

Hay varias formas en las que un empleado malicioso puede sacar a escondidas datos de la organización. Pero las más comunes son:
– Dispositivos externos: La creciente popularidad de Trae tu propio dispositivo (BYOD) ha conllevado un aumento importante en el robo de datos mediante dispositivos personales.
– Correo electrónico: Los archivos críticos de la compañía se filtran fuera de la organización como archivos adjuntos en correos electrónicos.

¿Qué hago si un empleado roba datos en mi empresa? Un caso real.

Una empresa de publicidad y marketing ha experimentado el robo desde dentro de su organización. Durante los trabajos de mantenimiento IT han descubierto el robo, junto con otro problema: Un empleado de máxima confianza ha estado trabajado en paralelo (durante el horario laboral) por su propia cuenta, usando los clientes de la empresa y toda su infraestructura.

Su plan era perfecto, pero no contaba con las revisiones y los conocimientos tan específicos de su jefe.

Ofrecía presupuestos más baratos que la compañía en la que estaba contratado, asegurándose así su aprobación, realizando el trabajo en horario laboral, pero cobrando por cuenta propia.

Una vez descubierto el robo, se puso en marcha una gestión multilateral para abordar el problema:
1. Peritaje judicial informático para recoger pruebas fehacientes de la estafa y robo por parte del empleado para la correspondiente demanda judicial, con la ayuda de un informático cualificado.
2. Contratación de una abogada laborista especializada en esta materia para el despido del trabajador y posterior demanda judicial, debido a la estafa.
3. Denuncia ante la AEPD contra el empleado por robo y uso de datos personales de la empresa sin el consentimiento de los afectados. Gestión realizada íntegramente por el DPO asignado de la empresa, ya que cuentan con todos los protocolos de protección de datos al día, según dicta la normativa vigente LOPDGDD.

¿Cómo prevenir el robo de datos e información por parte de los empleados?

Zer0Trust Endpoint es un servicio que previene el robo de datos frente a amenazas tanto externas como internas de la empresa. Es un servicio modular que se adapta a las necesidades de tu negocio. Se compone de una solución de software de ciberseguridad a medida respaldada por un equipo técnico de profesionales que están pendientes para ayudar y efectuar de manera inmediata los protocolos de seguridad necesarios para proteger a tu empresa. El software utilizado en Zer0Trust Endpoint permite lo siguiente:

– Protege frente a amenazas externas de la empresa como malware, phishing y otras técnicas de ingeniería social o incluso un daño del hardware del dispositivo por una causa externa como por ejemplo un pico de tensión. ¿Cómo solucionamos esto? Utilizando motores de firmas de malware e inteligencia artificial y una solución de backups y respaldos aislados muy completa.

– Protege rente a amenazas internas de la empresa como por ejemplo el robo de datos valiosos por parte de personas que tengan acceso directo a los equipos de la organización. El software esta monitorizando de manera activa constantemente que datos sensibles dentro del equipo y en el caso de detectar la extracción de los mismos fuera del equipo ya sea por un canal virtual (ejemplo  email, una nube o carpetas compartidas) o un canal físico (ejemplo un disco duro, DVD, USB). Bloquea la copia de dichos datos y registra en un log accesible solo para los administradores de la organización y los técnicos informáticos responsables dicho intento de extracción de datos y posteriormente notifica a los responsables de la organización o empresa.

En caso de detectar Zer0Trust Endpoint cualquier amenaza interna o externa, un equipo de profesionales especializado se pondrá en contacto con los responsables de la empresa con la mayor brevedad posible para verificar que todo está correcto y que el propietario del negocio pueda quedarse con la conciencia tranquila y evaluar la situación mas fríamente.

¿Necesitas ayuda? Contáctanos aquí.

CEO DATA PROTECT PLUS®

Sylvia Fries

La entrada Empleados que roban datos en la empresa. se publicó primero en DataProtectPlus.