Cómo actuar ante un ciberataque
Tal como indica la Agencia Española de Protección de Datos (AEPD) una brecha es un incidente accidental o intencionado que puede ocasionar la destrucción, alteración, pérdida o acceso sin autorización a datos personales.
Si se ha realizado una auditoría presencial y por un experto en ciberseguridad podemos identificar cuándo se produce una brecha y establecer un plan de actuación para mitigar las consecuencias lo antes posible sin comprometer la seguridad ni la reputación de la empresa (responsable del tratamiento de datos). Hay que recordar que una brecha no sólo afecta a la empresa sinó también a todas aquellas personas físicas y jurídicas que con ella se relacionan: clientes, proveedores, etc. Por lo que, además de sanciones pueden derivarse indemnizaciones por daños y perjuicios.
¡Ojo! Algunas empresas ofrecen seguro para multas pero si tienes la culpa no te salva nadie.
Aunque las brechas son imprevisibles y es imposible blindarse al 100% sí que pueden y deben tomarse todas las medidas posibles para evitarlas o mitigarlas. Por tanto, el responsable debe tener un Plan de Actuación ante esta posibilidad. Dicho plan se define gracias a la asesoría profesional de auditores acreditados, pues durante la auditoría se analizan los datos tratados, los medios utilizados y los riesgos existentes. A partir de aquí se establecen diversos mecanismos de prevención y de actuación.
Las medidas de prevención si se revisan periódicamente permiten evitar futuras brechas pues la ciberdelincuencia está muy al día y en constante desarrollo.
¿Sabías que en España sólo en 2023 los ciberdelitos crecieron un 25% alcanzando casi el medio millón de ciberdelitos?
Como nadie está a salvo si has sufrido una brecha o un ciberataque que compromete la seguridad de tus datos o de tu empresa y tienes un Plan de Actuación ponlo en marcha. Si no lo tienes, no te preocupes, estás en manos de expertos en ciberseguridad y juristas.
En ambos casos hay que resolver la brecha minimizando el impacto y evitar que vuelva a reproducirse. Para ello necesitamos la siguiente información:
- Medio por el que se produce la brecha (pérdida o robo de dispositivos, publicación de datos personales o envío a un destinatario por error, cifrado de un dispositivo por ransomware, intrusiones no autorizadas, una persona trabajadora ha sido víctima de phising, etc).
- Origen de la brecha (interna o externa) e intencionalidad.
- Categorías de datos afectados (credenciales, datos de contacto, datos especiales).
- Volumen de datos afectados (tanto registros como personas).
- Categorías de afectados: trabajadores, clientes, pacientes, abonados, proveedores (si existen colectivos vulnerables es necesario identificarlos).
- Información temporal de la brecha: fecha de producción, fecha de detección y fecha de resolución o fecha estimada para resolverla.
Una vez valoramos la gravedad y consecuencias de la brecha, es importante disponer del registro de actividades de tratamiento y el análisis de riesgo realizado previamente y actualizado. Por ello son importantes las auditorías y las revisiones periódicas.
Una brecha de seguridad puede producir daños en la reputación de los afectados, limitar sus derechos, producir pérdidas financieras, discriminación, etc. y además puede producir estos efectos con diferentes grados de severidad, por lo que debemos pensar en los beneficios que aporta el que los afectados sean conscientes que se esa brecha ha tenido lugar.
Si determinamos que existe un riesgo que compromete los derechos y libertades de las personas hay que notificar a la AEPD en un plazo máximo de 72 horas desde que se tenga constancia siguiendo el procedimiento establecido.
Si la brecha supone un alto riesgo hay que comunicar sin dilación indebida a todos los afectados este incidente, con un lenguaje claro, transparente y por el medio de comunicación usado habitualmente. Dicha comunicación permite que todos los afectados adopten las medidas oportunas para minimizar o frenar las consecuencias, daños y/o posibles perjuicios causados.
Recueda que tanto si se notifica a la Agencia o no un incidente, debe constar en el Registro de brechas de seguridad, un documento que puede ser requerido por parte de la AEPD en cualquier momento.
Legislación aplicable
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.