Derecho y empresa en entornos digitales

3.1. Corporate Governance, IT Governance: principios, normas y funcionamiento de las empresas orientadas a tecnología.
3.2. Nuevos modelos de empresa y la calidad de la gestión TIC.
3.3. Aspectos jurídicos de la economía colaborativa.
3.4. El asesoramiento jurídico de emprendedores y start-ups digitales.
3.5. Outsourcing: contratación a terceros de bienes y servicios.
3.6. Las nuevas relaciones laborales en las empresas digitales: teletrabajo, control empresarial y derecho a la intimidad.

Publiques fotos dels teus treballadors a la web o a les xarxes socials?

per

Doncs cal anar en compte. L’AEPD ha sancionat a una empresa amb 9.000 euros per publicar a la seva web i xarxes socials fotos d’un treballador sense el seu consentiment.

Perquè publicar imatges d’un treballador sense permís és sancionable però no fer cas de les peticions per retirar-les encara més. Això és el que li ha passat a una empresa de formació que ha estat sancionada amb 9.000 € per tractar les dades del treballador sense consentiment (6.000 €) i no atendre les demandes per eliminar las imatges de les xarxes socials (Facebook i Instagram), uns altres 3.000 €. A més del cost reputacional, és clar. No és cap broma.

Així ho ha entès l’AEPD en la seva Resolució de Procediment Sancionador. L’empresa va publicar fotografies de la treballadora sense consentiment. I la treballadora va demanar a l’empresa, al menys en dos ocasions, que retiressin les fotografies en les que apareixia, sense que l’empresa atengués la seva petició. Després de intentar-ho una segona vegada, de nou sense èxit, la treballadora afectada va presentar una reclamació, el novembre de 2020, davant l’AEPD.

L’Agència va intentar posar-se, per diferents vies, en contacte amb l’empresa sense aconseguir-ho. Va quedar acreditat que l’empresa havia dut a terme un tractament de dades consistent en haver pujat les fotografies a la seva pàgina web i a les seves xarxes socials. No consta que l’exhibició de les imatges estigués emparada per cap base legitimadora del art. 6 RGPD (per exemple, el consentiment), quedant acreditada la comissió de la infracció.

Per agreujar-ho més si és possible, l’empresa no va atendre el dret de supressió de la interessada, emparat per l’article 17 RGPD, i no va excloure les dades personals del seu tractament. Segons aquest article “l’interessat tindrà dret a obtenir sense dilació indeguda del responsable del tractament la supressió de les dades personals que li concerneixin”. I el responsable estarà obligat a suprimir sense tardar les dades personals quan, entre altres condicions, es doni la que recull l’apartat “d) les dades personals hagin estat tractades il·lícitament”.

Per graduar les sancions, l’Agència considera que els tractaments venen de lluny -des del 2017 al 2020-, la quantitat no és escassa i l’abast és important ja que figuren en dos xarxes socials i la pròpia web de l’empresa. Respecte a la infracció per no atendre el dret de supressió de l’article 17 RGPD, l’Agència relata que es va sol·licitar en dos ocasions, sense obtenir cap resposta, el que posa de manifest un manca de compliment en els deures que li corresponen a l’empresa.

Aprenguem la lliçó. No es poden publicar imatges dels treballadors sense el seu consentiment. Atenguem les peticions de supressió que ens facin. La manca de diligència és imperdonable. I un recordatori. Quan un treballador deixa l’empresa (acomiadat o per voluntat pròpia), recordem suprimir les imatges en les que apareix (web, xarxes, fulletons, anuncis, etc.). Tret, es clar, que no tinguem el seu consentiment exprés.

Com sempre, Cuideu-vos!

FanPages, compliment obligat del RGPD

per

Arran d’una consulta empresarial, fem aquest post per aclarir conceptes sobre la relació entre les FanPages i el RGPD. La resposta curta és que sí, les empreses que les fan servir han de complir amb la normativa de protecció de dades.

Començarem per explicar, per qui no ho sàpiga, què és una FanPage. Las fanpages són una funcionalitat que Facebook va introduir ja fa anys. És una pàgina creada especialment per ser un canal de comunicació amb fans dins de la xarxa social.

A diferència dels perfils, són espais que reuneixen a persones interessades sobre un assumpte, empresa, una causa o algun tret en comú sense la necessitat de l’aprovació d’amistat. És el fan qui tria si seguirà o no les actualitzacions d’una determinada pàgina.

Són canals de comunicació molt apreciats per les empreses perquè és una forma econòmica, ràpida, senzilla i quantificable de comunicar en temps real amb clients potencials. Una espècie de televisió o ràdio o diari però amb uns costos infinitament més econòmics.

Les preguntes que ens feia l’empresari eren bàsicament dos: estem obligats a complir amb el RGPD i, si és així, què hem de fer?

A efectes de la normativa de protecció de dades, aquestes pàgines funcionen com una pàgina web. Recullen dades personals dels usuaris i, per tant, s’ha d’aplicar la mateixa normativa, és a dir, proporcionar accés a l’Avís legal, a la Política de Privacitat i a la Política de Cookies de l’empresa. I naturalment que tota la documentació compleixi la normativa vigent. Si a més, com és freqüent, l’empresa instal·la el píxel de seguiment de Facebook, amb més motiu. Però del píxel ja en parlarem un altre dia.

Dit això i entenen que és una pàgina situada en una plataforma en la que l’empresa té molt poc marge de maniobra, convé establir qui és realment el responsable de les dades personals, l’empresa o Facebook. Doncs tots dos.

Una sentència de juny de 2018 del Tribunal de Justícia de la Unió Europea va resoldre que el concepte de responsable del tractament comprenia també a l’administrador d’un pàgina web allotjada en una xarxa social. Segons la sentència, tot i que Facebook tracta les dades personals mitjançant cookies sense informar a l’empresa, no és menys cert que FB posa a disposició de l’empresa estadístiques (anonimitzades) dels visitants i que l’empresa pot definir criteris a partir dels quals s’han d’elaborar les estadístiques i, fins i tot, designar les categories de persones les dades de les quals seran objecte d’explotació per part de FB. La sentència conclou que l’administrador de la pàgina ha de ser qualificat com responsable del tractament conjuntament amb FB.

Per tant hem de complir: informar de les dades i la seva finalitat, recollir el consentiment explícit per el tractament, demanar només les dades necessàries, no fer servir les dades per finalitat diferent a la demanada, no conservar les dades més temps del necessari, implementar mesures i organitzatives adequades, atendre les sol·licituds d’exercici dels drets dels usuari i crear la corresponent activitat en el Registre.

Com sempre, atents a tots els detalls de compliment. I si teniu dubtes, consulteu-nos.

I el més important, cuideu-vos!

Competència deslleial, compte que vénen corbes!

per

Poc a poc, sense pressa però sense pausa, la legislació es va posant a to pel que fa a Internet. Davant de nous reptes, el legislador, tot i que amb retard, va ajustant el dret a les conductes que necessiten regulació. I aquest és el cas amb el nou Reial Decret-Llei 24/2021 que, entre altres coses, introdueix noves mesures per prohibir la publicitat encoberta en xarxes socials i evitar les  ressenyes falses en els béns o serveis en la venda a través de Internet.

El Decret, que transposa diverses directives de la Unió Europea, modifica tant la Llei General per la Defensa dels Consumidors i Usuaris com la Llei 3/1991, de 10 de gener, de Competència Deslleial. Les modificacions entraran en vigor el 28 de maig de 2022, a excepció de l’apartat setzè de l’article 82 relatiu a les dades personals del consumidor o usuari, l’entrada en vigor del qual està prevista per a l’1 de gener de 2022.

Pel que fa a la primera, defensa de consumidors i usuaris, s’afegeixen dos nous apartats a l’article 20, relatiu a la Informació necessària en l’oferta comercial de béns i serveis. El primer fa referència a nous requisits de transparència en els motors de recerca ja que serà obligat facilitar els criteris que s’han tingut en compte per posicionar els resultats i la seva rellevància. La informació ha de mostrar-se junt als propis resultats.

El segon es refereix a les ressenyes i indica que s’haurà de informar al consumidor si es garanteix que han estat fetes per compradors validats del producte i cal explicar com es processen.

Quan a les modificacions en la Llei de Competència Deslleial es reforma l’article 26 que fa referència a les Pràctiques comercials encobertes. A partir d’ara ho seran aquelles que no especifiquin que es tracta  d’un contingut publicitari les  informacions destinades a promocionar un producte o servei pagant l’empresari o el professional encarregat de la promoció. I en l’article següent, s’afegeixen com pràctiques enganyoses afegir ressenyes de consumidors i usuaris sense garantir que són reals o contractar a tercers per incloure valoracions de consumidors falses amb la finalitat de promocionar productes o serveis.

En definitiva, més mesures de seguretat per augmentar la protecció del consumidor a Internet. Moltes vegades, per presses o perquè prenem decisions veient la informació en el mòbil, els consumidors i usuaris estan desemparats i s’equivoquen amb conseqüències imprevisibles. I a les empreses i als professionals de la promoció enviar-los el missatge de que, a banda de complir amb la legislació vigent, convé que vagin desestimant pràctiques que contradiuen la bona fe imprescindible per el tràfic comercial pròsper.

Com sempre, ¡Cuideu-vos!

Registre de Jornada i Dades biomètriques, una relació difícil

per

El tractament de dades biomètriques sempre comporta una dificultat afegida com és la de realitzar l’obligatòria Avaluació d’Impacte (AIPD). La identificació biomètrica implica el tractament de categories especials de dades per a les quals el Reglament requereix garanties reforçades. Les identificacions més comunes d’aquest tipus són la facial i l’empremta digital. D’aquesta última i de les conseqüències de fer-ho malament en parlem en aquest post.

I és que l’AEPD acaba de sancionar a una empresa per implantar indegudament un registre de jornada laboral mitjançant l’empremta digital. En la resolució s’imputa a la reclamada que, al tractar-se de dades de categoria especial i existint l’obligació  de fer una Avaluació d’Impacte, va incomplir l’article 35 RGPD. Aquest article diu que quan sigui probable que el tractament, en especial si es fan servir noves tecnologies, pot comportar un alt risc per els drets i llibertats de les persones físiques, el responsable realitzarà, abans del tractament, una Avaluació d’Impacte de les operacions de tractament en la protecció de dades personals.

En la Resolució, l’AEPD considera que l’empresa tractava dades de categoria especial, dades biomètriques, però l’empresa insisteix en que la tecnologia emprada és la de verificació / autenticació biomètrica que no entra en la categoria especial de dades i, en conseqüència, no exigiria la realització d’AIPD. Les dades d’identificació biomètrica que permeten identificar de manera unívoca a una persona física serien les que obligarien a realitzar l’Avaluació, com és el cas que ens ocupa.

També senyala la Resolució que existeixen mitjans menys intrusius per mantenir aquest tipus de registres i que la tecnologia emprada no superava el necessari judici de proporcionalitat que es tenia que haver fet i que hi ha sistemes alternatius com, per exemple, targetes identificatives.

Des del punt de vista laboral, l’Agència considera que les empreses no haurien d’emparar-se en el consentiment com base legitimadora del tractament, tret que es tracti de casos excepcionals. I això perquè no es parteix d’una posició d’equilibri entre les parts perquè en la relació laboral hi ha una relació de subordinació. El consentiment només pot ser vàlid si l’interessat pot realment triar i no existeix  un element de compulsió, pressió o incapacitat per exercir la lliure voluntat. A més, ha de ser possible retirar-lo en qualsevol moment, sense cost ni desavantatge per l’interessat, i s’han d’oferir alternatives. Per últim, els interessats tenen dret a la supressió de les dades quan el consentiment s’ha retirat.

Com a conclusió, val dir que la tecnologia de reconeixement biomètric és molt invasiva, que cal distingir entre identificació biomètrica (requereix AIPD) i autenticació biomètrica, menys intrusiva, i que hi ha sistemes més proporcionats per portar el control de la jornada horària dels treballadors. I tenir tot això en compte perquè la multa ha estat de 20.000€.

Com sempre, cuideu-vos!

Octubre: Mes Europeu de la Ciberseguretat (2021)

per

A punt de deixar enrere el proclamat Mes Europeu de la Ciberseguretat (2021), aprofitem per fer algunes consideracions respecte un tema que, tot i les evidències que tenim dia a dia, no acaba d’arrelar en la consciència dels usuaris, de les empreses ni fins i tot de l’Administració Pública.

El lema de la campanya d’enguany és “Abans de fer clic, pensa”. És un eslògan simple però, precisament per això, fàcil de recordar i carregat de sentit. La seguretat comença per no fer clic sense saber que pot tenir conseqüències. A partir d’aquí, hem de ser conscients que la seguretat comença per un mateix.

“Els ciberatacs posen en risc els nostres negocis, les nostres infraestructures crítiques, les nostres dades i el funcionament  de les nostres democràcies”, assegura el Vicepresident europeu per la Promoció del nostre Mode de Vida Europeu.

Estem abocats, cada cop mes, a viure en un món digital (un altre dia parlarem dels “metaversos”, entorns on interactuarem social i econòmicament com icones, a través d’un suport lògic en un ciberespai; al pas que anem, les pel·lícules de ciència ficció que hem vist fins ara es quedaran molt curtes en les seves expectatives) i els ciberdelinqüents aprofiten qualsevol vulnerabilitat del nostre entorn digital per aprofitar-se’n.  

Segons l’últim informe de l’asseguradora HISCOX, la proporció de víctimes d’un ciberatac va augmentar del 38% al 43%; una de cada sis empreses víctimes d’un ciberatac diuen que la seva supervivència està amenaçada; els pressupostos de TIC dedicat a la seguretat ciber ha pujat un 63% i que el ransomware s’ha convertit en una cosa freqüent: més del 50% de les empreses afectades van pagar un rescat.

La pandèmia ha fet augmentar els riscos exponencialment. El teletreball, dut a terme de forma precària obligats per les circumstàncies, ha suposat l’exposició de vulnerabilitats de les empreses. Falta de protocols, de cultura de  la ciberseguretat i de recursos TIC han portat al límit a molts autònoms, empreses i, fins i tot, a l’Administració Pública (recordem l’atac al SEPE del març passat que es va repetir el juny).

I encara hem de ser més cautelosos que mai amb el telèfon mòbil donat que ja són la principal via d’entrada de ciberatacs corporatius a Espanya (aproximadament el 41% del total dels produïts en el 2021).

Els atacs són de diversa naturalesa: des del clàssic virus informàtic fins al cada cop més present ransomware, passant per comprometre el mail corporatiu, atacs DDoS i pèrdues de dades. I el phishing continua sent l’estrella.

A Espanya, INCIBE, el CCN (Centro Criptològico Nacional), la OSI (Oficina de Seguridad del Internauta) i is4k (Internet Segura for KIDS) són els principals recursos públics en matèria de ciberseguretat. A Catalunya, a més, disposem de l’Agència de Ciberseguretat de Catalunya.

Com sempre, i ara més que mai, cuideu-vos!

Facebook? Quina sorpresa!

per

Frances Haugen, de 37 anys, que treballava com a responsable de producte a l’equip d’integritat cívica de Facebook, va ser entrevistada diumenge per CBS. Va dir que els documents que va filtrar demostraven que Facebook prioritzava repetidament el “creixement per sobre de la seguretat”. Facebook va dir que les filtracions eren enganyoses i que havien passat per alt les investigacions positives realitzades per la companyia.

Com diu el titular, quina sorpresa! Ja fa molts anys que FB és font de controvèrsies per les seves pràctiques que es poden qualificar, com a poc, de fosques o de delictuoses directament. Recordem el famós escàndol de Cambridge Analytica amb l’ús d’informació de milions d’usuaris sense el seu consentiment per comercialitzar-los il·legalment amb tercers. Des de tractar a les personalitats de manera diferent segons biaixos interessats fins a ser acusat de donar una resposta “feble” a les preocupacions dels seus treballadors sobre el tràfic de persones, passant per afrontar demandes dels seus propis accionistes o fer-se autopublicitat a través dels feeds de notícies dels usuaris per millorar la seva imatge, tot són exemples de mala praxis com poc. Whatsapp, compartint informació dels usuaris amb FB, i Instagram acusada per les adolescents de fer-les sentir malament amb el seu cos, tampoc se’n lliuren.

I, mentrestant, el penúltim ensurt l’hem patit aquesta mateixa setmana amb la caiguda simultània de tota la xarxa de FB (a més de FB, van caure Whatsapp, Instagram, Messenger i Oculus) i la interrupció dels serveis que ha afectat a milions d’usuaris. Fins i tot a treballadors de FB que no es podien comunicar entre ells i que van tenir que fer servir eines alternatives de la competència. Estar clar que  això deu ser una qüestió del karma. No hi pot haver-hi un altre.

I deia penúltim ensurt perquè, i no ha acabat la setmana, ahir es publicaven informacions que asseguren que estan a la venda dades personals de més de 1.500 milions d’usuaris de FB en fòrums de hackers. Si la noticia es confirma, sempre convé ser cautelós amb aquest tipus d’informació, definitivament, aquesta no és la setmana de Marck Zuckerberg.

A propòsit de tot això, podem fer un parell de reflexions sobre la marxa. La primera, obvia, és que el model de negoci de FB necessita regular-se. Sembla evident que l’autoregulació per part de les big-tech (no parlem sols de FB) no funciona. Aquestes companyies han experimentat, en vint anys, uns creixement exponencials que els hi ha proporcionat uns poders i una influència (sobre usuaris, empreses i, fins i tot, governs) extraordinaris, sustentats amb uns rendiments econòmics fabulosos. No havia estat mai a l’abast de ningú poder dirigir-se simultània i instantàniament a milers de milions d’habitants amb qualsevol missatge sense cap trava. I, a més, poder fer amb les dades personals, literalment, el que els hi interessi en cada moment. No és fàcil però convé que posem peu a paret lo abans possible.

La segona reflexió, també obvia, és que, en aquest estat de la qüestió i a tall individual, hem de posar els nostres mitjans per preservar la nostra privacitat. Conductes adequades, protocols, eines i tot allò que estigui al nostre abast ho hem de posar en marxa per el nostre compte.

Com sempre, cuideu-vos!

Videovigilància, acomiadament i protecció de dades

per

En una recent sentència, el Tribunal Suprem ha admès que un acomiadament es provi amb un vídeo que vulnera la protecció de dades. El Suprem  afirma que la gravació pot ser admissible en un procediment laboral encara que en un altre procediment s’estableixi que atenta contra la normativa de privacitat. Aquesta diferenciació té importants conseqüències, com veurem a continuació.

El cas es va donar quan una empresa de seguretat va acomiadar a un guàrdia de seguretat per transgressió de la bona fe contractual, frau, abús de confiança i deslleialtat al no dur a terme les tasques encomanades (revisió de vehicles a l’entrada del recinte) per l’empresa i firmar i lliurar els registres diaris com que efectivament s’havien fet.

Segons la resolució coneguda dies enrere,  el que és rellevant és que el treballador coneixia la existència del sistema de videovigilància i que la gravació és vàlida com a prova, sense perjudici que l’empresa pugui tenir altres responsabilitats en l’àmbit de la normativa de protecció de dades. En conseqüència, el Suprem obliga a repetir el judici en el que les imatges no van ser admeses com a prova.

La Sala de lo Social del Suprem recorda que l’article 89.1 de la Llei Orgànica 3/2018, de 5 de desembre de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) estableix que, en el supòsit de comissió flagrant d’un acte il·lícit per part del treballador, i seguint la sentència del TEDH coneguda com López Ribalda II, s’entendrà complert el deure d’informar quan existeixi un dispositiu informatiu amb dades pertinents i clarament visible. No és obligat especificar “la finalitat exacte que s’ha assignat al control en qüestió”.

A l’empresari, però, és a qui li correspon aportar les proves necessàries per demostrar la veracitat dels fets imputats a la carta d’acomiadament. En aquesta línia, el Suprem afegeix que, d’acord amb l’article 24.2 de la Constitució, l’empresari té dret a utilitzar “els mitjans de prova pertinents per a la seva defensa”.

Diu també la sentencia que el fet que les càmeres fossin de Ifema i no de Securitas pot ser rellevant des del punt de vista de la protecció de dades però no ha de portar a impedir que Securitas aporti en un judici laboral unes gravacions que poden ser necessàries per satisfer la càrrega de la prova que sobre ella recau.

En aquest cas, el Suprem entén que la prova era “una mesura justificada, idònia, necessària i proporcionada al fi perseguit” satisfent així les exigències de proporcionalitat que imposen la jurisprudència del constitucional i el TEDH.

Per tot l’exposat, el Suprem admet el recurs de cassació plantejat per l’empresa i torna l’assumpte al jutjat de lo Social que va resoldre en primera instància, manant que celebri un nou judici admetent les gravacions com a prova.

Aquesta resolució obre una porta interessant quan assegura que “el nostre examen s’ha de cenyir a si la prova s’havia d’admetre o no, sense que hagi d’estendre’s a si es van complir tots els requeriments de la legislació de protecció de dades, tant des de la perspectiva de la relació de l’empresa amb el treballador acomiadat, com de la relació entre Securitas i Ifema”.

Com sempre, cuideu-vos!

És obligatori contestar a les demandes d’ocupació?

per

Estem en unes circumstàncies econòmiques que fa que les demandes d’ocupació siguin força elevades. Les empreses reben un número creixent de currículums, molts d’ells no sol·licitats, que s’han de gestionar, entre altres, des del punt de vista de la Protecció de Dades. Arrel d’una resolució de l’AEPD, avui ens ocupem d’un d’ells: l’obligatorietat de l’empresa d’informar sobre què farà amb el CV.

Fins ara, no respondre als candidats que s’inscriuen a una oferta de treball ni informar-lo del tractament que tindran les seves dades personals és un pràctica habitual en les empreses per diferents raons: falta de protocols, de informació, desinterès o, simplement, saturació de feina.

Però aquesta situació pot canviar radicalment perquè l’Agència Espanyola de Protecció de Dades (AEPD) acaba de sancionar a una empresa amb 2.000€ de multa per no identificar de forma apropiada al responsable del tractament, ni comunicar al candidat la possibilitat d’exercir els seus drets davant el responsable del tractament  ni la destinació que s’anava a donar a les seves dades. A més, l’entitat reclamada no disposa de Delegat de Protecció de Dades (DPD).

El tràmit es va efectuar per WhatsApp, la qual cosa en posa en alerta perquè quan obrim un canal de comunicació nou, com pot ser un sistema de missatgeria front al convencional correu electrònic, hem de ser curosos e implantar un protocol a l’empresa que tingui en compte les particularitats i especificacions del canal per evitar sorpreses posteriors. En el present cas, el candidat va contactar per telèfon i va remetre el CV per WhatsApp, sense rebre justificant de recepció.

El candidat va remetre a l’AEPD les captures de pantalla amb els missatges intercanviats per WhatsApp, en les que no apareix cap informació relativa al tractament de les dades. L’empresa reclamada no va procedir a presentar al·legacions ni proves en el termini d’audiència per la qual cosa l’Agència va continuar amb el procediment.

L’AEPD considera que s’ha infringit l’article 13 del RGPD que fa referència a la informació sobre el tractament que s’ha de facilitar als interessats quan les dades personals provenen d’ell mateix, així com la resta de informació necessària per garantir un tractament de dades lleial i transparent.

 Un altre dia parlarem de la resta d’obligacions que tenim envers els candidats com la manera i el temps de conservació dels currículums i dels protocols que l’empresa ha de tenir implantats per donar resposta a les candidatures. Però el que ens ha de quedar clar és que hem d’estar ben assessorats i complir amb les nostres obligacions. D’altre manera, podem ser sancionats i, els que és pitjor, patir una pèrdua reputacional que pot costar molt de recuperar. 

Mentrestant, cuideu-vos! 

Smishing?

per

INCIBE alertava ahir d’una nova amenaça de smishing, es a dir, SMS que suplanten la identitat per capturar les teves dades. L’entitat afectada en aquest cas és el BBVA. S’ha detectat una campanya d’enviament massiu de SMS fraudulents que, simulant provenir del BBVA, informen que el compte ha estat desactivat i demanen a l’empresari o treballador que premi sobre un enllaç per verificar la informació.

Naturalment, si segueixes l’enllaç et demanen les teves credencials d’accés al compte a fi de “verificar-les”. A partir d’aquí, tenim un problema.

Entre les moltes amenaces que ens envolten en l’àmbit de la Ciberseguretat, el smishing és pot ser del que menys se’n parla. I, curiosament, la mitja d’usuaris desconfia menys d’un SMS que, posem per cas, un correu electrònic que, com ja sabem a aquestes alçades, pot ser maliciós (phishing). I aquestes no són les úniques, ni molt menys. Recentment,  Microsoft alertava d’una nova estafa que fa servir arxius d’Excel maliciosos. Correus electrònics falsos, trucades que es fan des de centres il·legals i codi que inclou malware en els fulls d’Excel formen part de l’estratègia per dur a terme l’atac.

I les empreses, què han de fer per gestionar els incidents de seguretat?

La gestió d’incidents de seguretat és una tasca cabdal per poder minimitzar qualsevol amenaça que pugui vulnerar la seguretat de la nostra empresa. Convé aquí recordar que vulnerabilitat és una debilitat o fallo en un sistema de informació que pot permetre un atac. I amenaça és tota acció que aprofita una vulnerabilitat per atemptar contra la seguretat d’un sistema de informació. La nostra obligació, per tant, és conèixer les amenaces (qüestió externa) i evitar les vulnerabilitat (qüestió interna).

Quan parlem d’incidents de seguretat i la seva gestió, hem de considerar, com a mínim, les següents qüestions:

  • Definir una Política de gestió dels incidents que inclogui un pla de resposta.
  • Conèixer els Diferents tipus d’incidents per poder identificar-los i preparar-nos
  • Conèixer els Passos per la gestió dels incidents, per oferir una resposta adequada i minimitzar els possibles efectes en l’organització
  • Aprendre sobre Mesures preventives addicionals que augmentin les nostres possibilitats d’èxit.
  • Preparar un Pla de contingència i continuïtat, assegurant una resposta ràpida i poder recuperar ràpidament l’activitat del negoci.

En temes de Ciberseguretat no podem baixar la guàrdia. Tant a nivell personal com professional i empresarial, té que ser una de les nostres prioritats. Tinguem present que un incident de seguretat pot arruïnar la nostra reputació i tots els nostres esforços.

Com sempre, cuideu-vos molt!

Revisió Texts legals web