El pasado año, ESET, compañía experta en ciberseguridad, publicaba un informe sobre protección de datos en el que España era el país de Europa que más sanciones había recibido en esta materia. El cumplimiento del Reglamento General de Protección de Datos es importante para las empresas de todos los tamaños, no solo para evitar la correspondiente sanción sino también para evitar daños reputacionales. Notificar una filtración de datos conforme se especifica en el RGPD es uno de los requisitos indispensables para cumplir con la norma.
Ninguna empresa quiere ser víctima de un ciberataque. Sin embargo, si los ciberdelincuentes logran acceder a bases de datos de clientes y roban datos personales y financieros, es necesario ser ágil y tomar las decisiones adecuadas para evitar una crisis reputacional.
La protección de los datos de los ciudadanos de la UE es competencia del RGPD. Si una compañía maneja los datos de estos ciudadanos, es necesario cumplir con los requisitos del RGPD. Por tanto, en caso de fuga o filtración de datos, es fundamental tomar medidas predefinidas para proteger los datos de las personas afectadas. En estas situaciones, no solo te enfrentas a las autoridades y a las consiguientes sanciones económicas. La reputación también está en juego.
Cómo hacer frente a las filtraciones de datos de los clientes
Con el objetivo de responder de la forma más ágil y eficaz posible a una filtración de datos, ESET propone cinco pasos imprescindibles para las organizaciones:
Informa a tu responsable de la protección de datos y a la AEDP
En caso de que se produzca una filtración de datos, la compañía afectada está obligada a informar a la Agencia Española de Protección de Datos para garantizar y hacer cumplir la legislación sobre datos personales y privacidad. Es necesario dar este paso tan pronto se tenga conocimiento de la filtración de datos, informando en un plazo de 72 horas.
Solucionar las posibles deficiencias en la seguridad de la red
Hay muchas medidas que se pueden tomar después de descubrir una infracción de datos. Entre ellas, destacan: cambiar o actualizar las credenciales de acceso en los dispositivos de la empresa e implementar la autenticación de dos factores. Si todavía no utilizas el 2FA, añade esta potente herramienta de verificación de credenciales a tus medidas de seguridad. También es fundamental comprobar todos los segmentos de la red en busca de posibles rastros de la infracción. Es probable que el ciberdelincuente se haya conectado en varios segmentos. Para evitar que un ataque se extienda, es posible redirigir el tráfico de la red, filtrar o bloquear el tráfico o aislar la totalidad o parte de la red comprometida.
También es recomendable trabajar con un equipo experto en ciberseguridad y análisis para determinar cómo se produjo la brecha y tomar las medidas necesarias para cerrarla y eliminar la posibilidad de que se produzcan nuevas brechas de seguridad.
Determinar qué tipo de datos de los clientes fueron expuestos
Para evaluar la magnitud y el impacto de una filtración de datos, es necesario ejecutar un proceso de gestión de riesgos de alta calidad con sólidas herramientas de detección e información de filtraciones. Si una organización en cuestión ya está sufriendo una filtración de datos, es imprescindible determinar el alcance del ataque.
Hay que buscar impactos en correos electrónicos, números de teléfono, registros sanitarios, datos de tarjetas de crédito o identificadores personales como números de la Seguridad Social. También hay que calcular el número de clientes cuyos datos personales han sido expuestos.
Contactar con los clientes cuyos datos personales estén expuestos
Hay que estar preparado para el hecho de que, en caso de infracción de datos individuales, será necesario ponerse en contacto, en algunos casos, con cientos de miles de personas e implicar a un equipo de relaciones públicas o de comunicación en el proceso. Una vez esclarecidos los hechos, resulta clave pedir disculpas a las personas afectadas y saber responder a las siguientes preguntas: ¿Qué ha pasado?, ¿de qué información se trata?, ¿qué está haciendo la empresa afectada?, ¿qué puedes hacer si te has visto afectado?
Revisar las medidas de seguridad existentes
Una vez solucionada la filtración de datos, es recomendable estudiar varias formas de reforzar las medidas de seguridad de la organización. Hay que actualizar la estrategia de ciberseguridad e implantar mejores soluciones de seguridad para el cifrado de datos, la supervisión de la red y las políticas de contraseñas. También resultará imprescindible invertir en formación en ciberseguridad para los empleados, ya que también pueden constituir una puerta de entrada para los ciberdelincuentes.
