La preocupación de los estados por la ciberseguridad de las empresas y de sus propios sistemas sigue en aumento ya que cada año se registran ciberataques en mayor cantidad y calidad, que producen millonarias pérdidas. Del informe anual elaborado por el FBI “Internet Crime Report” se observa que en 2021, como resultado de los ciberataques, hubo una pérdida de 6.900 millones de dólares y más de 552.000 denuncias en el año.

En este contexto, muchos estados fueron desarrollando legislación robusta y agresiva para exhortar a las empresas (al igual que a organismos estatales) a implementar sistemas que protejan la información, documentación y datos personales almacenados en servidores informáticos.

En este contexto, el Departamento de Servicios Financieros de Nueva York (DFS por sus siglas en inglés) anunció la imposición de una multa de $4.5 millones contra una compañía de seguros de salud por violaciones a las normas sobre ciberseguridad que rigen en el Estado.

La empresa sancionada sufrió un ataque de phishing que produjo el acceso no autorizado a información no publica de consumidores.

De la investigación realizada por el DFS surgió que la empresa sancionada no había adoptado las medidas de ciberseguridad adecuadas para evitar los efectos del ciberataque. Entre ellas se destacan la falta de autenticación multifactorial, la no limitación de privilegios de acceso, los deficientes procesos de conservación y eliminación de datos, y la inexistencia de una evaluación de riesgos adecuada.

Todas estas exigencias se encuentran expresamente tasadas en la norma sobre requisitos de ciberseguridad para las empresas de servicios financieros. Es por ello, que además de la imposición de la multa, la empresa deberá implementar medidas correctivas para revertir las deficiencias detectadas.

Cabe resaltar que el DFS consideró como atenuante que la empresa cooperó activamente en la investigación y que se mostró permeable a remediar las deficiencias identificadas.

Es innegable que la ciberseguridad está en agenda en todo el mundo, por lo que los proyectos y normas van en aumento. En Argentina, se ha presentado el Proyecto de Ley de Protección de Datos Personales que reemplazaría el actual texto de la Ley 25.326, ajustándose así a altos estándares de protección a nivel mundial. De igual forma, cada vez más estados en EE.UU tienen normas de protección de datos personales, que sancionan con severidad el acceso no autorizado y la filtración de información de consumidores.

Por otro lado, la Unión Europea posee el Reglamento General de Protección de Datos (RGPD), una norma rigurosa que permite la aplicación de sanciones elevadas por la violación y divulgación de información personal en poder de una organización. Al ser extraterritorial, empresas de todo el mundo pueden ser sancionadas bajo este régimen.

Dado que las consecuencias a nivel empresarial pueden ser de los más diversas – y económicamente devastadoras – las empresas pueden implementar sistemas de seguridad de la información que cumplan tanto con los estándares del estado en particular como a nivel internacional, obteniendo la certificación de la norma ISO 27001:2022 recientemente actualizada que cuenta con una guía de implementación, permitiendo a las empresas la adecuación de sus necesidades.

Por Gustavo A. Bethular y Sofía Grassi