La Importancia de las Medidas de Ciberseguridad y Seguridad de la Información para la Protección Empresarial
En la era digital, la ciberseguridad y la seguridad de la información han pasado de ser un aspecto técnico a una necesidad crítica para la supervivencia de las empresas. Las amenazas digitales se han sofisticado con el tiempo, y los ciberataques son ahora capaces de causar estragos en cualquier tipo de organización, desde grandes corporaciones hasta pequeñas y medianas empresas. En este contexto, se hace imprescindible contar con robustas medidas de ciberseguridad para proteger tanto los activos digitales como la continuidad operativa de la empresa. Un claro ejemplo de los graves efectos de un ciberataque lo encontramos en lo acontecido con una gran compañía española dedicada a la Cooperación e Inclusión Social de Personas con Discapacidad, que sufrió un ciberataque de tal magnitud que llevó a la empresa a implementar un Expediente de Regulación Temporal de Empleo (ERTE), posteriormente avalado por el Tribunal Supremo.
El reciente fallo del Tribunal Supremo STS 3452/2024 ha sido un punto de inflexión en la manera en que las empresas deben abordar la ciberseguridad. En este caso, el ciberataque afectó seriamente la infraestructura de la empresa, paralizando sus operaciones y haciendo imposible mantener su actividad normal. Ante esta situación, la empresa se vio obligada a aplicar un ERTE para sus trabajadores, argumentando que la interrupción causada por el ataque hacía inviable su continuidad operativa en las condiciones habituales. La decisión fue finalmente validada por el Tribunal Supremo, quien consideró que el ciberataque constituía una causa justificada de fuerza mayor para llevar a cabo esta medida.
Este fallo tiene una importancia capital en el ámbito empresarial, ya que establece un precedente legal en el que un ciberataque puede ser reconocido como una causa legítima para la aplicación de medidas laborales extraordinarias, como el ERTE. El hecho de que un tribunal reconozca la gravedad de las consecuencias de un ataque informático y lo valide como una justificación legal, envía una señal contundente a todas las organizaciones: los riesgos de no contar con medidas adecuadas de ciberseguridad son reales y tangibles, y pueden desencadenar graves consecuencias no solo a nivel operativo, sino también en la gestión del personal.
Implementar una estrategia de ciberseguridad integral no es solo una cuestión de proteger los datos sensibles o cumplir con regulaciones como el Reglamento General de Protección de Datos (RGPD), sino que implica la salvaguarda de la viabilidad misma de la empresa. Medidas básicas como la protección con cortafuegos, el uso de cifrado, la autenticación multifactorial, la monitorización constante, la formación y concienciación del personal para evitar errores humanos que comprometan la seguridad, son esenciales para prevenir ataques cibernéticos. Además, es vital disponer de un plan de contingencia y recuperación ante desastres que permita una rápida respuesta y minimice el impacto en caso de que la seguridad de la empresa sea vulnerada.
El caso de esta compañía también refleja la necesidad de que las empresas no solo prevengan ataques, sino que también estén preparadas para gestionar las consecuencias si estos ocurren. Contar con protocolos claros para restaurar sistemas, gestionar la comunicación interna y externa, y mitigar los daños es tan importante como las medidas preventivas. Un ataque cibernético no solo puede comprometer la información sensible de una empresa, sino que puede, como se ha visto, paralizar completamente su funcionamiento y afectar la estabilidad laboral de sus empleados. En este contexto, es crucial recordar que no solo las empresas tienen una responsabilidad en la prevención de ciberataques. Los empleados también juegan un papel fundamental en la preservación de la seguridad digital. Ser prudentes y cautelosos en el manejo de la información, evitar conductas de riesgo como abrir correos electrónicos sospechosos o descargar archivos sin verificar su procedencia, son acciones simples pero esenciales para evitar vulnerabilidades. Los empleados deben ser conscientes de que la falta de atención o el uso indebido de los sistemas puede ser la puerta de entrada para un ciberataque. La capacitación constante y la sensibilización en materia de ciberseguridad son fundamentales para crear una cultura de seguridad que involucre a todos los miembros de la organización.
Es por todo ello, que la ciberseguridad ya no es un aspecto opcional para las empresas, sino un pilar fundamental en su estrategia de continuidad de negocio. Este caso y el fallo del Tribunal Supremo que avala el ERTE como consecuencia de un ciberataque son un recordatorio de las graves consecuencias que puede tener no estar debidamente preparado ante estas amenazas. Las empresas deben invertir en tecnologías de protección y concienciación sobre ciberseguridad no solo para proteger sus datos, sino para garantizar la continuidad de sus operaciones y la seguridad laboral de sus empleados. Y, sobre todo, tanto empresas como empleados deben ser cautelosos y prudentes, entendiendo que la ciberseguridad es una responsabilidad compartida que requiere atención constante y acción proactiva.
Tamara Prieto Pérez - Equipo GRC
