Checklist para saber cómo informar sobre violaciones de seguridad

Existe una gran lista de cosas que hacer cuando sé es víctima de una violación de datos, por tanto, conviene tener a mano los pasos recomendables a seguir. Solo así nos aseguraremos que cumplimos con el Reglamento General de Protección de Datos (RGPD) y que hacemos todo lo posible para mantener la ciberseguridad en la empresa.

Los principales puntos de la lista serán:

  • Identificar qué datos han sido afectados
  • Identificar qué copias de seguridad han sido afectadas
  • Averiguar por qué se ha producido la violación de seguridad
  • Asegurar que la brecha ha sido detenida
  • Poner en marcha un plan de desarrollo de negocio
  • Investigar si hay que notificar a la autoridad nacional
  • Investigar si hay que notificar a los interesados
  • Establecer formas de comunicación con los interesados

A continuación, describimos cinco buenas prácticas que no puedes dejar de hacer.

Estudiar el alcance de la brecha

El primer paso es evaluar la dimensión de la violación de seguridad: nombres, e-mails, datos financieros… y el número de copias de seguridad que se han visto comprometidas.

Dependiendo de este alcance, el proceso de documentación y notificación será más o menos laborioso.

Respuesta inmediata

Encontrar respuesta a cómo se ha producido la brecha es clave para actuar de forma adecuada y evitar futuras violaciones de datos. Por ejemplo, si un usuario estaba filtrando información de forma malintencionada, debería restringirse el acceso físico y online a la organización. A continuación, es fundamental poner en marcha un plan de continuidad de negocio.

Evaluar si hay que reportar la brecha

Cuando la violación esté bajo control, hay que pararse a averiguar el daño que ha producido y si hay que notificarlo a la autoridad de supervisión, en el caso de España, la Agencia Española de Protección de Datos (AEPD). Habrá que notificar la violación si el incidente “representa un riesgo para los derechos y libertades de la vida natural de los individuos afectados”.

Cómo notificar a la autoridad de control

Se debe reportar la violación de datos a la autoridad de control dentro de las 72 horas posteriores al conocimiento de la misma. Aunque no se tengan todos los datos recopilados, hay que notificar aquellos que se dispongan hasta el momento para demostrar que se está llevando a cabo el proceso debido.

Notificación a los interesados

Este paso solo habrá que realizarlo si afecta a los datos personales de los interesados. Como mínimo, se espera que se envíe una declaración a todos los afectados para informarles que se ha producido una infracción. Sin embargo, será muy buena práctica (e incluso ayudará a mantener la reputación empresarial) si se ponen en marcha medidas adicionales para ayudar a los afectados.

Cabe destacar que la seguridad de la información es imprescindible en cualquier empresa hoy en día. Si se quiere conseguir una ciberseguridad real y efectiva, los directivos deben implementar las medidas adecuadas para proteger sus activos frente a las amenazas en la red.

El libro verde Seguridad en la red: garantiza tu ciberseguridad al 100% con pruebas de penetración te ayudará a entender los primeros pasos.

Descarga gratis tu guía sobre ciberseguridad >

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.