Semanas atrás, nuevamente Air Europa sufrió un ciberataque que vulneró la información sensible de las tarjetas de crédito pertenecientes a los clientes de la aerolínea de bandera española. Al parecer, este ataque informático se originó por una deficiencia de seguridad en los sistemas de pago de la empresa, afectando según las estimaciones 100 mil registros de usuarios de su base de datos.
En 2018, Air Europa ya había sufrido un ciberataque en sus sistemas de seguridad lo que produjo que la confidencialidad de los datos personales de casi medio millón de clientes de la compañía se viera afectada. Según la nota publicada por la World Compliance Association, la inadecuada gestión de dicho incidente derivó en la imposición de una multa por valor de 600 mil euros por parte de la Agencia Española de Protección de Datos.
Todo apunta a que Air Europa no contaba con una base legal para el almacenamiento de los datos de las tarjetas de crédito de sus clientes, siendo la única base jurídica para llevar dicho tratamiento de datos el consentimiento libre, específico e informado de los clientes. Es decir, haber asegurado el cumplimiento de la regulación de protección de datos personales, habría coadyuvado a mitigar considerablemente el ataque de seguridad perpetrado.
Por un lado, aplicar la tecnología para evitar y controlar estos graves ataques es esencial en la prevención de grietas de seguridad en el manejo y resguardo de datos personales. Es de explorado conocimiento y práctica de los ciber expertos, las diversas formas en las que la tecnología podría haber ayudado a evitar la brecha de seguridad producida en los datos personales: seguridad de la red como firewalls y sistemas de detección de intrusiones, encriptación de datos, autenticación de usuarios, monitoreo y detección de amenazas en tiempo real, entre otras. En síntesis, el uso de tecnologías adecuadas resulta clave para garantizar la seguridad de los datos personales en una organización.
Por el otro, implementar sólidos programas de compliance en las empresas es de vital relevancia para prevenir y controlar los riesgos legales, financieros y operativos como lo son los ciberataques. Tal y como lo he sostenido en diversas publicaciones, la implementación de políticas y procedimientos de cumplimiento normativo, transparencia y anticorrupción en las compañías no implica un gasto, significa una inversión altamente redituable que evitará daños reputacionales, económicos y responsabilidades jurídicas penales y/o administrativas tanto para las empresas como para sus directivos.
La implementación de sistemas adecuados y eficaces de control, vigilancia y auditoría, que evalúen de forma permanente el cumplimiento de las obligaciones legales y de los estándares de integridad en toda la organización, códigos de conducta y mejores prácticas empresariales, canales de denuncia, procesos de capacitación y mecanismos de transparencia; es esencial para prevenir este tipo de sucesos tan dañinos para las empresas.
Sin duda, la implementación de un programa de compliance empresarial debe de originarse desde el “Tone at the Top” o cúpula corporativa. Es decir, desde el consejo de administración es en donde debe de planearse, ejecutarse y controlarse la adecuada implementación de las políticas y procedimientos antes referidos, a fin de que puedan permear auténticamente y en cascada al resto de la organización.
Según informes recientes de la Asociación Española de Empresas contra el Fraude, el 68% de las empresas españolas reconoce haber sido víctima de más casos de fraude que el año anterior y uno de cada dos afectados señala que el valor de las pérdidas económicas ocasionadas por el fraude ha sido superior al del ejercicio anterior.
Este ciberfraude nuevamente deja al descubierto, por una parte, lo desprotegidas y vulnerables que pueden estar las compañías aéreas, y por la otra, la inminente necesidad de invertir en programas de compliance, permeando así la cultura de la prevención en las organizaciones.
Los expertos en temas de ciberataques señalan que hay dos tipos de compañías: “las que han sido víctimas de un ciberataque, y las que lo han sido, y todavía no lo saben”.
“Los artículos firmados son responsabilidad exclusiva de sus autores y pueden o no reflejar el criterio de A21”
