Disponer de un plan de gestión de la violación de datos garantiza que se cuenta con el personal y los procedimientos adecuados para hacer frente con eficacia a una amenaza.

Imagine el pánico cuando se detecta una violación masiva de datos, quizás una que lleva meses produciéndose. En 2017, Equifax alertó al mundo del robo de múltiples millones de registros de datos que estaban bajo su vigilancia.

El robo se inició por una vulnerabilidad en Apache Struts, un marco de desarrollo ampliamente utilizado. Equifax conocía la vulnerabilidad, pero el empleado encargado de parchearla no lo hizo. A continuación se produjeron una serie de desafortunados acontecimientos, como el fallo de los escáneres de parches a la hora de localizar otras vulnerabilidades múltiples, agravado por varios fallos humanos de los operadores.

Desde entonces, Equifax ha gastado alrededor de 1.400 millones de dólares (1.000 millones de libras) en mejorar su seguridad. La empresa también fue multada con medio millón de libras esterlinas por la Oficina del Comisionado de Información del Reino Unido (ICO), y el ex director de informática de Equifax fue condenado a cuatro meses de prisión por utilizar la filtración para beneficio personal. La filtración de datos de Equifax fue el material de las pesadillas empresariales.

Al «caminar una milla en los zapatos de otro» podemos entender cómo cada parte de una organización maneja eficazmente la gestión de la violación de datos. Al reflexionar sobre cómo cada departamento puede ayudar a desescalar la cadena de acontecimientos que conducen a una violación de datos, la exposición de los datos puede gestionarse con mayor eficacia.

El cómo y el porqué de la gestión de las violaciones de datos

Las violaciones de datos afectan a todos los miembros de una organización. Del mismo modo, todos pueden ayudar a prevenir o minimizar el impacto de una violación de datos. A continuación veremos las diferentes responsabilidades de cinco áreas clave de una organización y el tipo de responsabilidades que tiene cada una en la gestión de una violación de datos.

El equipo de incidentes de seguridad

La gestión y prevención de las violaciones de datos es el pilar del equipo de incidentes de seguridad. Cada vez se recurre más a este equipo a medida que las violaciones de datos aumentan en número e intensidad. Su papel es fundamental en la gestión de una violación de datos y el equipo depende de un proceso sólido que le ayude en esta tarea. El equipo de seguridad debe poder recurrir a un plan de respuesta a incidentes y a un plan de recuperación en caso de catástrofe para que le ayuden a contener la violación. Estos planes ayudan a fundamentar las acciones una vez que se produce la violación.

Los pasos típicos en la contención y gestión de las infracciones incluyen:

Confirme la infracción

Puede parecer un paso obvio, pero confirme que se ha producido la violación y si afecta a datos confidenciales o sensibles. Se recurrirá a los datos recopilados durante el análisis de la violación si ésta es lo suficientemente grave como para notificarla a una autoridad supervisora. La información que debe recopilarse y documentarse incluye:

  • Cómo se detectó la brecha

  • Dónde ocurrió

  • A quién afecta (incluya a los proveedores del ecosistema)

  • Quién informó de la infracción

  • La(s) fecha(s) en que se produjeron las infracciones

  • Qué nivel de riesgo supone la violación para la organización/clientes, etc.

  • ¿Está ya totalmente contenida la brecha?

¿Cómo se produjo la brecha?

Un análisis de la violación no sólo es necesario por razones de cumplimiento, sino que también puede ayudar a mitigar la exposición futura de los datos. La dinámica de las violaciones es variada. Los datos pueden quedar expuestos por una variedad de mecanismos tanto accidentales como maliciosos. Identifique estos mecanismos: ¿se trató de una exposición accidental de un empleado o de un pirateo malicioso? Comprender los vectores y las tácticas utilizadas puede ayudar a paliar la exposición y mitigar el ataque.

El tipo de datos afectados

Ser capaz de identificar el nivel de riesgo de los datos afectados es crucial tanto para la notificación de la violación como para el cumplimiento de la normativa, así como para comprender el impacto global en la empresa. Documente el tipo y el nivel de riesgo de los datos vulnerados. Una organización ya debería haber desarrollado un sistema de clasificación basado en una norma como la ISO 27001. Esta norma establece cuatro categorías de datos:

  1. Confidencial (sólo tienen acceso los altos directivos)

  2. Restringido (la mayoría de los empleados tienen acceso)

  3. Interna (todos los empleados tienen acceso)

  4. Información pública (todo el mundo tiene acceso)

Contención y recuperación

Una vez detectada una brecha, es vital contenerla lo antes posible. Las medidas adoptadas durante el análisis de la violación permitirán crear una estrategia de contención. Las brechas que implican a empleados pueden requerir una revisión de la formación sobre concienciación en materia de seguridad. Las brechas que implican a piratas informáticos malintencionados externos requerirán una exploración más profunda de los sistemas y de las medidas de mitigación. Deben ponerse en marcha planes de recuperación para minimizar el impacto de la brecha.

Legal y Cumplimiento

Todas las pruebas documentales recopiladas sobre la violación son utilizadas por los departamentos jurídico y de cumplimiento para hacer frente a las secuelas de la violación. Los equipos jurídico y de cumplimiento decidirán si la violación entra en el ámbito de aplicación de un requisito de notificación de violación; por ejemplo, en virtud de la Sección 67 de la Ley de Protección de Datos del Reino Unido de 2018 (DPA 2108), debe realizarse una notificación de violación de datos a la ICO en un plazo de 72 horas desde que la empresa tiene conocimiento de la violación. Todas las pruebas documentadas sobre la violación, el dónde, el por qué y cómo se ha mitigado, recopiladas por el equipo de seguridad, se utilizarán en esta divulgación. También puede ser obligatorio revelar la violación a cualquier persona afectada. Esto puede requerir una carta de divulgación pública completa publicada en el sitio web de la empresa.

Normas de notificación

La clave para la gestión legal de una violación de datos es tomar una decisión informada sobre si notificar o no la violación a la autoridad supervisora y cuándo hacerlo. Cuestiones como si existe un imperativo reglamentario para notificar la violación sólo pueden ser planteadas por personal cualificado y con conocimientos. Esta decisión puede requerir que la violación se haga pública: esto tiene evidentes efectos duraderos sobre la reputación y probablemente implicará al departamento de marketing para minimizar el impacto sobre la marca. He aquí algunos ejemplos de notificaciones públicas de infracciones:

Infracción de Equifax

Infracción de CapitalOne

Infracción en Twitter

Las normas de notificación de violaciones varían según las distintas normativas. Por ejemplo, según el Reglamento General de Protección de Datos (RGPD) de la UE, la notificación de la violación debe realizarse en un plazo de 72 horas a partir de la identificación de que se ha producido una violación. Sin embargo, según el Reglamento sobre privacidad y comunicaciones electrónicas (PECR, reglamento que se aplica a los proveedores de servicios de Internet y telecomunicaciones), una violación de datos personales debe notificarse a la ICO a más tardar 24 horas después de detectarse.

El personal

Haciendo que el personal forme parte del proceso de gestión de infracciones, se convierte en un recurso de primera línea en la lucha contra los ciberataques. El personal y la seguridad cubren un amplio espectro de vulnerabilidades potenciales, desde la exposición accidental de datos a la suplantación de identidad o la connivencia con piratas informáticos externos.

Según el Informe de Verizon sobre la investigación de las violaciones de datos en 2020 (DBIR), alrededor del 17% de las violaciones de datos pueden atribuirse simplemente a errores. Por ejemplo, que los empleados compartan contraseñas o las reutilicen en varias aplicaciones es una mala práctica de seguridad.

El phishing sigue siendo el arma preferida de los ciberdelincuentes; a los phishers les encanta imitar a marcas como Microsoft para engañar a los usuarios y hacerles entregar sus credenciales corporativas. La formación para la concienciación sobre la seguridad enseña a los empleados las muchas formas positivas en que pueden ayudar a mantener una buena postura de seguridad de la empresa.

En términos de gestión de infracciones, la concienciación del personal debe extenderse a la comprensión de sus responsabilidades en el marco de diversas normativas, como garantizar que los datos de los clientes se respeten y utilicen dentro de los límites de una legislación como la DPA 2018 y el GDPR. Al comprender dónde podría producirse una infracción, junto con las responsabilidades en virtud de las diversas normativas pertinentes, una organización puede cooptar al personal en el proceso de gestión de infracciones.

Sin embargo, es importante formar al personal al nivel pertinente. Algunos miembros del personal, como los empleados técnicos, pueden necesitar una formación especializada en seguridad y/o pasar por una certificación.

Las nuevas contrataciones deben incorporarse a los programas de formación sobre concienciación en materia de seguridad de una organización desde el primer día. Revisiones periódicas de la formación de concienciación sobre seguridad del personal en áreas como:

  • Phishing

  • Higiene de la seguridad

  • Conciencia de la responsabilidad de la seguridad de los datos

…debe ser continua para seguir siendo eficaz.

La formación sobre concienciación en materia de seguridad debe incorporarse a la política de seguridad de la empresa como parte de un proceso de gestión de la violación de datos.

Proveedores externos

Los ecosistemas de proveedores pueden ser complejos e implicar a cuartas y quintas partes. Un informe reciente de Accenture, «State of Cyber Resilience 2020«, reveló que el 40% de las violaciones de la seguridad comienzan con ataques indirectos a nivel de la cadena de suministro. La gestión del riesgo de los proveedores forma parte de la gestión eficaz de una violación de datos. Las violaciones de datos relacionadas con los proveedores son una consideración bidireccional. Además de realizar un análisis de vulnerabilidad de los vínculos con los proveedores para mitigar los ciberataques, cuando se produce una violación, debe analizarse el ecosistema de proveedores para ver si la violación repercute en ellos.

La Junta

Un informe del Gobierno británico titulado «Encuesta sobre las violaciones de la ciberseguridad en 2021» reveló que el 77% de las empresas creen que la ciberseguridad es una gran prioridad para sus directores o altos cargos. Como resultado del alto perfil de las violaciones de datos, más juntas directivas incluyen ahora expertos en el ámbito de la seguridad. Cuando se produce una violación de datos, un consejo de administración instruido puede apoyar al resto de la organización en la gestión de la violación, garantizando que se cumplen los requisitos reglamentarios y asegurando que se dispone de un presupuesto para gestionar la violación y mitigar los efectos de nuevos ataques.

¿Saben los empleados qué hacer cuando se produce una filtración de datos?

Poner en marcha medidas de gestión de la violación de datos es toda una tarea empresarial. Una de las partes clave de una gestión eficaz de la violación de datos está en la forma en que forma a su personal. La relevancia es clave para garantizar que la gestión de incidentes funciona para su organización. Cada organización debe desarrollar su propio enfoque relevante y único para informar y gestionar una violación de la seguridad.

La profundización para optimizar la concienciación comienza en el nivel de las personas y los procesos. Todos los aspectos, desde el más mínimo detalle hasta el panorama general, deben ser lo suficientemente exhaustivos como para garantizar que su política de respuesta ante incidentes sea sólida y comprensible para todo el personal. Esto debe incluir:

Comunicaciones: Desde los números de teléfono utilizados hasta la dirección de correo electrónico o cualquier otro sistema utilizado para informar de una infracción

Funciones y responsabilidades: Destacar los gestores de incidentes pertinentes y sus responsabilidades

Acciones: Quién hace qué y cuándo y cómo desempeñan su papel para ayudar a gestionar una violación de datos.

Remediación: Cómo solucionar la brecha y las lecciones aprendidas, incluida cualquier actualización de la formación sobre concienciación en materia de seguridad.

En las grandes empresas multinacionales, estas líneas de comunicación deben reflejarse en toda la organización, uniendo los departamentos y oficinas de la empresa.

Todo el mundo tiene que implicarse en este plan, desde los empleados hasta los directivos, pasando por los miembros del consejo de administración.

Concienciación sobre ciberseguridad para dummies