[email protected] +44 (0)20 7917 9527
Reserve su demostración
Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Ciberpolicía Formación departamental en ciberseguridad
Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Fuerzas policiales

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Blog de ciberseguridad Sala de prensa Webcasts
Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política antiphishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez del comportamiento de ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

Automatización de la concienciación sobre la seguridad

Automatice fácilmente la formación sobre concienciación en materia de seguridad, phishing y políticas en cuestión de minutos

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Concienciación sobre ciberseguridad
Phishing y Ransomware
eLearning
Gestión de políticas
Cumplimiento
Privacidad, GDPR y CCPA
GRC

Los pasos clave para una gestión eficaz de las violaciones de datos

Gestión de la violación de datos

sobre el autor

Foto de James MacKay

James MacKay | MetaCompliance

James MacKay, COO de MetaCompliance, es un experto en el campo de la formación en ciberseguridad. Es reconocido por su habilidad para ofrecer programas efectivos de Security Awareness Training, comprometiéndose a respaldar a las organizaciones en la protección en línea de su personal, en la defensa de los activos digitales y en la preservación de la reputación empresarial. 

Compartir esta entrada

Contar con un plan de gestión de la violación de datos garantiza que se dispone del personal y los procedimientos adecuados para hacer frente a una amenaza de forma eficaz.

Imagina el pánico cuando se detecta una filtración masiva de datos, tal vez una que ha estado en curso durante meses. En 2017, Equifax alertó al mundo del robo de múltiples millones de registros de datos que estaban bajo su vigilancia.

El robo se inició por una vulnerabilidad en Apache Struts, un marco de desarrollo ampliamente utilizado. Equifax conocía la vulnerabilidad, pero el empleado encargado de parchearla no lo hizo. A esto le siguió una serie de eventos desafortunados, incluyendo un fallo de los escáneres de parches para localizar más vulnerabilidades múltiples, agravado por varios fallos de operadores humanos.

Desde entonces, Equifax ha gastado unos 1.400 millones de dólares (1.000 millones de libras) en mejorar su seguridad. Además, la Oficina del Comisionado de Información del Reino Unido (ICO) impuso una multa de medio millón de libras esterlinas a la empresa, y el ex director de informática de Equifax fue condenado a cuatro meses de prisión por utilizar la filtración en beneficio propio. La filtración de datos de Equifax fue el material de las pesadillas de las empresas.

Al "caminar una milla en los zapatos de otro" podemos entender cómo cada parte de una organización maneja efectivamente la gestión de la violación de datos. Al reflexionar sobre cómo cada departamento puede ayudar a desescalar la cadena de eventos que conducen a una violación de datos, la exposición de los datos puede ser gestionada de manera más eficaz.

El cómo y el porqué de la gestión de las filtraciones de datos

Las violaciones de datos afectan a todos los miembros de una organización. Del mismo modo, todos pueden ayudar a prevenir o minimizar el impacto de una violación de datos. A continuación, se examinan las diferentes responsabilidades de cinco áreas clave de una organización y el tipo de responsabilidades que tiene cada una en la gestión de una filtración de datos.

El equipo de incidentes de seguridad

La gestión y prevención de las violaciones de datos es el pilar del equipo de incidentes de seguridad. Este equipo es cada vez más solicitado a medida que las violaciones de datos aumentan en número e intensidad. Su papel es fundamental en la gestión de una violación de datos y el equipo se apoya en un proceso sólido para ayudarles en esta tarea. El equipo de seguridad debe poder recurrir a un plan de respuesta a incidentes y a un plan de recuperación de desastres para ayudarles a contener la filtración. Estos planes ayudan a informar de las acciones una vez que se produce la filtración.

Los pasos típicos en la contención y gestión de infracciones incluyen:

Confirmar la infracción

Puede parecer un paso obvio, pero hay que confirmar que la violación se ha producido y si afecta a datos confidenciales o sensibles. Los datos recogidos durante el análisis de la violación se utilizarán si la violación es lo suficientemente grave como para notificar a una autoridad de supervisión. La información que debe recogerse y documentarse incluye:

  • Cómo se detectó la brecha
  • Dónde se produjo
  • A quién afecta (incluya a los proveedores del ecosistema)
  • Quién informó de la infracción
  • La fecha en que se produjeron los incumplimientos
  • El nivel de riesgo que la infracción supone para la organización/clientes, etc.
  • ¿Está ya la brecha totalmente contenida?

¿Cómo se produjo la infracción?

Un análisis de la brecha no sólo es necesario por razones de cumplimiento, sino que también puede ayudar a mitigar la exposición de los datos en el futuro. La dinámica de las violaciones es variada. Los datos pueden quedar expuestos por una variedad de mecanismos tanto accidentales como maliciosos. Identifique estos mecanismos: ¿se trata de una exposición accidental de un empleado o de un hackeo malicioso? Entender los vectores y las tácticas utilizadas puede ayudar a aliviar la exposición y mitigar el ataque.

El tipo de datos afectados

Ser capaz de identificar el nivel de riesgo de los datos afectados es crucial tanto para la notificación de la violación como para el cumplimiento de la normativa, así como para comprender el impacto global en la empresa. Documentar el tipo y el nivel de riesgo de los datos violados. Una organización debería haber desarrollado ya un sistema de clasificación basado en una norma como la ISO 27001. Esta norma establece cuatro categorías de datos:

  1. Confidencial (sólo la alta dirección tiene acceso)
  2. Restringido (la mayoría de los empleados tienen acceso)
  3. Interna (todos los empleados tienen acceso)
  4. Información pública (todo el mundo tiene acceso)

Contención y recuperación

Una vez que se ha detectado una brecha, es vital contenerla lo antes posible. Las medidas adoptadas durante el análisis de la violación permitirán crear una estrategia de contención. Las violaciones que involucran a los empleados pueden requerir una revisión de la formación en materia de seguridad. Las infracciones que implican a piratas informáticos malintencionados externos requerirán una exploración más profunda de los sistemas y las medidas de mitigación. Deben establecerse planes de recuperación para minimizar el impacto de la brecha.

Legal y de Cumplimiento

Todas las pruebas documentales recopiladas sobre la infracción son utilizadas por los departamentos jurídico y de cumplimiento normativo para hacer frente a las consecuencias de la infracción. Los equipos jurídicos y de cumplimiento decidirán si la violación entra en el ámbito de un requisito de notificación de violación; por ejemplo, en virtud de la sección 67 de la Ley de Protección de Datos del Reino Unido de 2018 (DPA 2108), se debe realizar una notificación de violación de datos a la ICO dentro de las 72 horas siguientes a que la empresa tenga conocimiento de la violación. Todas las pruebas documentadas sobre la violación, el dónde, el por qué y cómo se mitiga, recogidas por el equipo de seguridad, se utilizarán en esta divulgación. También puede haber un requisito de revelar la violación a cualquier persona afectada. Esto puede requerir una carta de divulgación pública completa publicada en el sitio web de la empresa.

Normas de notificación

La clave para la gestión legal de una violación de datos es tomar una decisión informada sobre si se debe notificar la violación a la autoridad de control y cuándo hacerlo. Cuestiones como si existe un imperativo normativo para notificar la violación, sólo pueden ser realizadas por personal cualificado y con conocimientos. Esta decisión puede requerir que la violación se haga pública: esto tiene efectos obvios y duraderos en la reputación y probablemente implicará al departamento de marketing para minimizar el impacto de la marca. He aquí algunos ejemplos de notificaciones públicas de infracciones:

Violación de Equifax

Violación de CapitalOne

Infracción en Twitter

Las normas de notificación de violaciones varían según las distintas normativas. Por ejemplo, según el Reglamento General de Protección de Datos (RGPD) de la UE, la notificación de la violación debe realizarse en un plazo de 72 horas desde que se detecta que se ha producido una violación. Sin embargo, según el Reglamento de Privacidad y Comunicaciones Electrónicas (PECR, reglamento que se aplica a los proveedores de servicios de Internet y telecomunicaciones), una violación de datos personales debe notificarse a la ICO a más tardar 24 horas después de su detección.

El personal

Al hacer que el personal forme parte del proceso de gestión de las infracciones, se convierte en un recurso de primera línea en la lucha contra los ciberataques. El personal y la seguridad cubren un amplio espectro de vulnerabilidades potenciales, desde la exposición accidental de datos hasta la suplantación de identidad o la colusión con hackers externos.

Según el Informe de Investigación de Violaciones de Datos 2020 (DBIR) de Verizon, alrededor del 17% de las violaciones de datos pueden atribuirse simplemente a errores. Por ejemplo, el hecho de que los empleados compartan sus contraseñas o las reutilicen en varias aplicaciones es una mala práctica de seguridad.

El phishing sigue siendo el arma preferida de los ciberdelincuentes; a los phishers les encanta imitar a marcas como Microsoft para engañar a los usuarios para que entreguen sus credenciales corporativas. La formación en materia de seguridad enseña a los empleados las muchas formas positivas en que pueden ayudar a mantener una buena postura de seguridad de la empresa.

En lo que respecta a la gestión de infracciones, la concienciación del personal debe extenderse a la comprensión de sus responsabilidades en el marco de diversas normativas, como garantizar que los datos de los clientes se respeten y utilicen dentro de los límites de la legislación, como la DPA 2018 y el GDPR. Al comprender dónde podría producirse una infracción, junto con las responsabilidades en virtud de las diversas normativas pertinentes, una organización puede cooptar al personal en el proceso de gestión de infracciones.

Sin embargo, es importante formar al personal al nivel pertinente. Algunos miembros del personal, como los empleados técnicos, pueden necesitar una formación especializada en seguridad y/o pasar por una certificación.

Losnuevos empleados deben incorporarse a los programas de formaciónen materia de seguridad de una organización desde el primer día. Revisiones periódicas de la formación en materia de seguridad del personal en áreas como:

  • Phishing
  • Higiene de la seguridad
  • Conciencia de la responsabilidad de la seguridad de los datos

...deben ser continuas para seguir siendo efectivas.

La formación en materia de seguridad debe incorporarse a la política de seguridad de la empresa como parte del proceso de gestión de la violación de datos.

Proveedores de terceros

Los ecosistemas de proveedores pueden ser complejos y pueden implicar a cuartas y quintas partes. Un informe reciente de Accenture, "State of Cyber Resilience 2020", reveló que el 40% de las violaciones de seguridad comienzan con ataques indirectos a nivel de la cadena de suministro. La gestión del riesgo de los proveedores forma parte de la gestión eficaz de una violación de datos. Las violaciones de datos relacionadas con los proveedores son una consideración de doble sentido. Además de realizar un análisis de vulnerabilidad de los vínculos con los proveedores para mitigar los ciberataques, cuando se produce una violación, hay que analizar el ecosistema de proveedores para ver si la violación afecta al proveedor.

La Junta

Un informe del Gobierno del Reino Unido, "Cyber Security Breaches Survey 2021", reveló que el 77% de las empresas cree que la ciberseguridad es una alta prioridad para sus directores o altos directivos. Como resultado del alto perfil de las violaciones de datos, más consejos de administración incluyen ahora expertos en seguridad. Cuando se produce una filtración de datos, un consejo de administración informado puede apoyar al resto de la organización en la gestión de la filtración, garantizando el cumplimiento de los requisitos normativos y asegurando la disponibilidad de un presupuesto para gestionar la filtración y mitigar los ataques posteriores.

¿Saben los empleados qué hacer cuando hay una filtración de datos?

Poner en marcha medidas de gestión de la violación de datos es toda una tarea empresarial. Una de las partes clave de la gestión eficaz de la violación de datos es la forma en que se forma al personal. La pertinencia es fundamental para garantizar que la gestión de incidentes funcione en su organización. Cada organización debe desarrollar su propio enfoque relevante y único para informar y gestionar una violación de la seguridad.

La profundización para optimizar la concienciación comienza en el nivel de las personas y los procesos. Todos los aspectos, desde el más mínimo detalle hasta el panorama general, deben ser lo suficientemente exhaustivos como para garantizar que su política de respuesta a incidentes sea sólida y comprensible para todo el personal. Esto debe incluir:

Comunicaciones: Desde los números de teléfono utilizados hasta la dirección de correo electrónico o cualquier otro sistema utilizado para informar de una infracción

Funciones y responsabilidades: Destacar los gestores de incidentes pertinentes y sus responsabilidades.

Acciones: Quién hace qué y cuándo y cómo desempeña su papel para ayudar a gestionar una violación de datos

Remediación: Cómo solucionar la brecha y las lecciones aprendidas, incluida cualquier actualización de la formación en materia de seguridad

En las grandes empresas multinacionales, estas líneas de comunicación deben reflejarse en toda la organización, uniendo los departamentos y oficinas de la empresa.

Todo el mundo debe participar en este plan, desde los empleados hasta los directivos y los miembros del consejo de administración.

Cyber Security Awareness para Dummies

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes

Solicitar una demostración

Solicite una demostración gratuita hoy mismo y compruebe cómo nuestra formación de primera clase en materia de ciberseguridad puede beneficiar a su organización.

La demostración sólo requiere 30 minutos de tu tiempo y no necesitas instalar ningún software.

Descubra cómo protegemos sus datos: lea nuestra política de privacidad.

Solicitar una demostración

Solicite una demostración gratuita hoy mismo y compruebe cómo nuestra formación de primera clase en materia de ciberseguridad puede beneficiar a su organización.

La demostración sólo requiere 30 minutos de tu tiempo y no necesitas instalar ningún software.

Descubra cómo protegemos sus datos: lea nuestra política de privacidad.