Hoy día en un mundo cada vez más conectado, una era de criptomonedas y super contraseñas no podemos dudar que en algún momento habrá una vulneración a nuestras redes y por consiguiente a nuestra seguridad, exponiendonos a situaciones malintencionadas, pues ese momento llegara y lo importante es estar preparado para esa infinidad de amenazas que nos afectan a todos.
No hablamos de cualquier cosa, una vulneración de datos puede alcanzar en promedio $3.92 millones de dólares para las empresas afectadas, de acuerdo con el Cost of a Data Breach Report 2019, estudio anual que realiza el Instituto Ponemon.
Estos incidentes conocidos como Data Breach, pueden ser filtrados en función del tipo, fuente e industria, tal como se puede ver en el gráfico de abajo.
Tan solo esta semana el gigante de Facebook sufrió un breach de seguridad filtrando información de alrededor de 533 millones de números de teléfono y datos personales de sus usuario, cerca de 1,5 millones de cuentas son pertenecientes a cuentas de Panamá.
El breach que se encuentra en la deep web no contiene contraseñas, pero puede ser que los cibercriminales hayan omitido la publicación de las contraseñas antes de publicar este Breach, por lo que es recomendable que se cambien las contraseñas por seguridad.
actualmente el breach solo contiene datos cómo celular, ID de Facebook, nombre, apellido, sexo, fecha de nac. email en algunos casos, estado marital, trabajo pero no contiene las contraseñas de todas formas es recomendable cambiar a una nueva por precaución.
Que puede hacer su equipo técnico, primero ser proactivo ante la importancia de contar con un equipo de respuesta a incidentes para poder dimensionar cualquier ataque, detenerlo, mantener la operación y hacer la investigación pertinente.
Como abogado especialista en temas tecnológicos les recomiendo leer bien los terminos y condiciones de las paginas y redes sociales que manejen incluyendo sus cuentas de correo, guardar bien sus contraseñas si es posible escritas en un papel, considerando que existen tres momentos importantes ante el evento de una vulneración de seguridad ya sea a titulo personal o empresarial:
• Antes: Todos debemos tener claros los deberes de protección de la información en el marco de trabajo, del negocio y sus diferentes grupos de interés y asi estar claro con el margen de la expectativa de riesgo definida según el tipo de la ingormacion personal o de la empresa y en este ultimo caso tener claro si la junta directiva conoce el estado actual del nivel de ciberriesgo de la empresa y el nivel de aseguramiento de controles que se toman.
• Durante la vulneración es necesario activar la gestión del incidente de seguridad de la información yan sea cambiando las contraseñas y revisar los firewalls e incluso verificar las configuraciones de seguridad de sus cuentas y los factores de autenticacion de las mismas como numeros de celulares, las empresas deben de desplegar la estrategia de comunicación con los diferentes grupos de interés afectados, indicando con claridad lo que ocurre y qué se debe hacer, así como manejar las expectativas de los grupos de interés.
• Después del ataque hay que activar un programa legal que sea consistente con la brecha identificada, validar y confirmar los deberes de protección de la información para establecer los impactos y efectos concretos, además de evaluar la efectividad de la respuesta frente a la vulneración.
Las brechas de seguridad suponen una especial importancia a aquellos datos personales cuyo manejo puede suponer un riesgo para los derechos y libertades de los afectados. Por lo tanto, debemos determinar si la brecha afecta a estas categorías de datos:
• Opinión política.
• Etnia o raza.
• Convicciones religiosas o filosóficas.
• Afiliación sindical.
• Datos genéticos.
• Datos biométricos que puedan identificar inequívocamente a una persona.
• Datos relativos a la salud.
• Datos relativos a la vida sexual o la orientación sexual.
¿Provoca daños y perjuicios físicos, materiales o inmateriales y de que tipo? Alguno de estos daños a considerar pueden ser:
• Usurpación de identidad o fraude
• Problemas de discriminación
• Pérdidas financieras
• Daño para la reputación
• Pérdida de confidencialidad de datos sujetos al secreto profesional
• Reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo
¿Puede privar a los interesados de sus derechos y libertades o se les impide ejercer el control sobre sus datos personales?
De nuevo, encontramos la respuesta a qué tipos de datos hace referencia y en concreto son las mismas categorías especiales de datos que ya hemos citado más arriba, a la que se suman los datos relativos a las condenas e infracciones penales o medidas de seguridad conexas y cuando se traten datos personales de personas vulnerables, en particular niños.
Sí el análisis del paso anterior nos ha llevado a la conclusión que la brecha afecta o puede suponer un riesgo para las personas físicas, no solo deberemos registrar dicha violación en el Registro también deberemos comunicarla.
Recomiendo que la notificación ha de incluir un contenido mínimo:
• La naturaleza de la violación, categorías de datos y de interesados afectados.
• Medidas impuestas por el responsable para resolver esa quiebra.
• Si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados.
Prueba Electrónica, su equipo tecnico o el encargado de seguridad debe de poder preservar registros informaticos de la vulnerabioidad para presentar como pruebas iniciales y poder practicar los peritajes informaticos respectivos ante entablar un caso penal.
