Revista_105 (31/36)

Revista_105Revista_105 (31/36)Revista_105 - (1/36)Revista_105 - (2/36)Revista_105 - (3/36)Revista_105 - (4/36)Revista_105 - (5/36)Revista_105 - (6/36)Revista_105 - (7/36)Revista_105 - (8/36)Revista_105 - (9/36)Revista_105 - (10/36)Revista_105 - (11/36)Revista_105 - (12/36)Revista_105 - (13/36)Revista_105 - (14/36)Revista_105 - (15/36)Revista_105 - (16/36)Revista_105 - (17/36)Revista_105 - (18/36)Revista_105 - (19/36)Revista_105 - (20/36)Revista_105 - (21/36)Revista_105 - (22/36)Revista_105 - (23/36)Revista_105 - (24/36)Revista_105 - (25/36)Revista_105 - (26/36)Revista_105 - (27/36)Revista_105 - (28/36)Revista_105 - (29/36)Revista_105 - (30/36)Revista_105 - (31/36)Revista_105 - (32/36)Revista_105 - (33/36)Revista_105 - (34/36)Revista_105 - (35/36)Revista_105 - (36/36)medidas de protección previas al clínica disponía de un antivirus, pero el acceso se produjo a través de un puerto abierto para la conexión remota, que no estaba adecuada- mente protegido. Además, la última seguridad disponible almacenada externamen- te databa del mes de marzo, por lo que toda la información posterior se perdió. Tras el ataque, la empresa implementó medi- das reactivas, pero la AEPD subrayó que estas acciones “Para la AEPD, no eximen las medidas zación de su respon- posteriores no sabilidad por no haber eximen de la prevenido el incidente responsabilidad de prevenir el inicialmente. De hecho, incidente” las Evaluaciones Impacto relativas a la Protección de Datos (EIPD) de la clínica, das en años anteriores, ya habían identificado riesgos que no fueron mitigados a tiempo. La AEPD concluyó que la empresa incumplió el artículo 32 del RGPD, que exige mentación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguri- dad adecuado. La infracción se consideró grave debido a la naturaleza sensible de la informa- ción afectada y la negligencia demostrada aplicar las medidas preventivas recomendadas en las EIPD. Este caso de ransomware destapa varias en- señanzas esenciales: Importancia de la proactividad: las organiza- ciones deben ser proactivas en la implemen- psn suceso. La tación de medidas de seguridad. Las evalua- ciones de riesgos y las EIPD deben traducirse en acciones concretas y no quedarse en docu- mentos teóricos. copia de Actualización constante: las medidas de protección deben actualizarse continuamente para enfrentar nuevas amenazas. En esta oca- sión, la falta de actualización de las copias de seguridad y la protección insuficiente del puer- correctivas to de conexión remota fueron fallos críticos. a la organi- Notificación oportuna: la rapidez en la no- tificación de brechas es crucial. Los retrasos pueden incrementar las sanciones y complicar la situación, como ocurrió en este caso. de Formación y concienciación: es fundamental realiza- que todos los empleados estén tanto formados como informados sobre las medidas de protec- ción y los procedimientos a seguir si se produce una brecha. la imple- Responsabilidad continua: la seguridad de la información no es una única tarea finita, sino un proceso continuo que requiere atención constante y adaptación a nuevos desafíos. al no Este caso sirve como recordatorio de que la protección de datos es una responsabilidad que debe ser tomada en serio. Las consecuencias de no hacerlo pueden ser graves, no solo en términos de sanciones económicas, sino también en la pérdida de confianza de los clientes y el daño a la reputación de la empresa. 31