La actitud de las asesorías y despachos profesionales ante la ciberseguridad es preocupante, según una nueva encuesta de Aon en el que se entrevistó a 1.000 empresarios.

La encuesta llegó a la conclusión de que casi la mitad de las empresas en los sectores de asesorías y despachos, contabilidad, banca y finanzas siguen sin tener claras las normas del RGPD, o ni siquiera son conscientes de que existe, y solo una de cada diez aproximadamente considera que los ciberataques son un riesgo importante para su negocio.

---

De hecho, los riesgos informáticos a los que se enfrentan las asesorías, como puede ser una filtración de datos, van en aumento.

---

Los ciberdelincuentes están empezando a fijarse en negocios de menor tamaño, debido al hecho de que las asesorías contables tienen en su poder cantidades importantes de datos que no necesariamente están protegidos por presupuestos de seguridad multimillonarios.

Aunque la empresa como tal no sea el objetivo final, los delincuentes pueden considerar que las asesorías contables son el eslabón más débil de la cadena a la hora de intentar acceder a datos confidenciales.

El aumento de las condiciones laborales flexibles y la necesidad consiguiente de acceder a los datos en cualquier lugar genera más vulnerabilidades, especialmente para las pequeñas asesorías, en las que garantizar la concienciación sobre la seguridad de los datos no siempre es una prioridad.

Según las propias cifras trimestrales de la autoridad británica de protección de datos, los errores humanos siguen siendo una de las causas principales de las filtraciones de datos.

Multas del RGPD

• El reglamento europeo conocido como RGPD, que entró en vigor en mayo de 2018, aumentó drásticamente las posibles multas para las empresas que hicieran un uso indebido o un tratamiento deficiente de los datos personales.
• Por ejemplo, algunos tipos de filtración deben notificarse en un máximo de 72 horas, o las empresas pueden ser multadas. Aunque se espera que las multas se utilicen como último recurso, pueden alcanzar los 20 millones de euros o el 4 % de la facturación anual.
• La consecuencia es que el incumplimiento del RGPD podría acabar hundiendo a una pequeña asesoría o despacho profesional.
• Aunque muchas empresas cuentan con seguros de responsabilidad profesional, a menudo existen costes importantes no incluidos en la misma. En caso de una filtración de datos, las empresas tendrán que asumir el coste de reaccionar por sí mismas ante tal filtración.
• La consecuencia es que la asesoría tendría que responsabilizarse de asumir abultados honorarios relacionados con servicios de notificación, investigaciones de peritos forenses, asesores de relaciones públicas y el uso de agencias de control de crédito para rectificar problemas y volver al terreno de juego si sucede lo peor.

Cómo protegerse contra una filtración de datos

Partiendo de una cantidad creciente de amenazas a la ciberseguridad, a lo que se añade el enorme volumen de datos que gestionan las asesorías contables, puede resultar difícil decidir por dónde empezar a proteger tu negocio.

Sin embargo, hay una serie de medidas clave que puedes adoptar para proteger tu empresa, y lo bueno es que ninguna de ellas exige una inversión importante.

1. Protege tu asesoría contable con herramientas tecnológicas

Los ciberataques pueden adoptar muchas formas, como virus, ransomware, sistemas de registro de teclado o rootkits.

La instalación de un software antivirus que analiza periódicamente el sistema para detectar amenazas y evita que los empleados descarguen malware potencialmente peligroso es una manera simple de reducir el riesgo de un ataque.

• Instalar un cortafuegos te ayudará a controlar todos los puntos por los que los ciberdelincuentes podrían acceder a tu sistema y a evitar accesos a y desde direcciones IP potencialmente malintencionadas.
• Si aún no tienes uno, pide a tu equipo de TI o a tu proveedor de software habitual que te recomienden la mejor solución para tu empresa.
• También es buena idea instalar los parches del fabricante en cuanto estén disponibles. Los fabricantes de software suelen publicar estos parches como protección frente a debilidades y vulnerabilidades, por lo que vale la pena asegurarse de que tus sistemas estén actualizados.

De nuevo y en caso de duda, consulta a tu equipo de tecnología o a tu proveedor de software de referencia.

2. Investiga el historial de tus proveedores

• Para garantizar el cumplimiento del RGPD, las asesorías contables deben comprender y documentar no solo sus propios procedimientos de tratamiento de los datos, sino también cómo y dónde sus proveedores tratan los datos personales.
• Y para cumplir las normas establecidas en el reglamento, dichos procesos deben estar correctamente documentados, ser coherentes y estar actualizados.
• La mejor forma de conseguirlo es aplicando un proceso de gestión del rendimiento estructurado. Si recoges y analizas datos de tus proveedores (incluidos los proveedores de software) mediante un procedimiento formal, podrás identificar rápidamente los riesgos que existen en tu cadena de suministro e implementar planes que aborden posibles carencias.
• Puede que lo más importante sea que, al documentar el proceso y los resultados, estarás preparado en todo momento para responder a las preguntas necesarias en caso de una filtración.

3. Desarrolla una cultura sensibilizada ante el riesgo cibernético

Nuestro reciente sondeo de 1000 empresas, realizado por OnePoll, indica que aproximadamente tres de cada diez asesorías contables permiten al personal usar sus propios dispositivos para trabajar.

Y lo que es peor, el sondeo reveló que cuatro de cada diez asesorías no consideran que el robo de información personal como resultado de un ciberataque o fraude sea una filtración de datos, mientras que una de cada tres admitió que no conocía el plazo para notificar una pérdida de este tipo, lo que expone a estas empresas al riesgo de multas exorbitantes.

Todo esto demuestra la importancia de crear una cultura de sensibilización ante el riesgo cibernético.

El primer paso para crear una cultura sensibilizada ante estas amenazas consiste en implantar políticas sencillas y claras que aborden las posibles filtraciones.

• Estas políticas deben incluir normas para mantener los equipos protegidos (incluidos los programas, aplicaciones y datos que los empleados pueden instalar y conservar en sus ordenadores de trabajo, y la manera de indexar los datos).
• También deben abarcar prácticas recomendadas en materia de contraseñas, copias de seguridad del trabajo, procedimientos claros para notificar a un miembro del personal adecuado si se detectan anomalías en el ordenador de un empleado, así como instrucciones para ignorar los enlaces sospechosos en correos electrónicos, tuits, mensajes o archivos adjuntos, aunque el empleado conozca su origen.
• Una de las causas más importantes de filtraciones de datos es la técnica del fraude electrónico (o phishing) a través de las cuentas de correo de los empleados. Se deben crear políticas específicas para mantener la seguridad del correo electrónico.
• El cifrado también es un elemento imprescindible que se debe extender a todos los dispositivos móviles de la empresa, e incluso a los dispositivos personales de los empleados, si los utilizan para acceder a los datos.

Una vez implantadas las políticas de ciberseguridad, es importante comunicarlas con claridad al personal. La clave para integrar con firmeza una cultura de ciberseguridad en tu empresa es implicar al personal. Comunícales por qué es importante y proporciónales las herramientas necesarias para proteger tus datos.

Realizar formaciones periódicas puede servir de ayuda, así como incluir la ciberseguridad en los procesos de incorporación de todos los nuevos empleados. Asegúrate también de que tus empleados sénior predican con el ejemplo.

4. Verifica tu póliza de seguro

Ni siquiera la ciberseguridad más sofisticada puede garantizar una protección completa. Debido a su naturaleza, las filtraciones de datos son impredecibles; por eso es difícil estar completamente preparado ante cualquier posible situación.

Si se produce una filtración y existe el riesgo de perjuicio para las personas cuyos datos se han visto comprometidos, tu empresa es responsable de investigar su causa, informar a las personas afectadas y ofrecerles una ayuda continua, como teléfonos de asistencia técnica y control del crédito constante, todo ello en menos de 72 horas.

Reaccionar ante una filtración conforme al RGPD tiene un precio; los costes pueden alcanzar cifras astronómicas con rapidez si tienes en cuenta la asistencia especializada (y a menudo urgente) que puedes necesitar de expertos en ciberseguridad, abogados, centros de llamadas, informáticos y asesores de relaciones públicas.

Si quieres estar tranquilo, plantéate contratar una póliza de seguro contra amenazas cibernéticas.

• Estas pólizas pueden resultar sorprendentemente asequibles y garantizarán tu cobertura no solo por el coste de reaccionar ante una filtración, sino también por los costes de los perjuicios y los gastos de reclamaciones que tienes la responsabilidad de pagar en caso de filtración o fallo de seguridad.
• Cuando vayas a contratar tu póliza, pide a tu agente que se asegure de que incluya un grupo preaprobado de proveedores que puedan ayudarte a tomar medidas inmediatas en caso de filtración y a informar a los afectados en menos de 72 horas.
• También debes confirmar si tu póliza cubre las posibles pérdidas financieras derivadas del ciberdelito, incluidas las reclamaciones por ransomware.
• Una póliza de seguro contra amenazas cibernéticas especializada te dará la tranquilidad de que, si ocurre lo peor, podrás cumplir los requisitos normativos, además de mantener tu negocio en marcha.

Si adoptan las medidas descritas anteriormente, las asesorias y despachos profesionales podrán protegerse contra el riesgo en aumento de una ciberfiltración sin que eso implique la bancarrota.