Aunque pensabas que tus sistemas corporativos estaban completamente protegidos, los hackers han accedido a la base de datos de clientes y han robado datos personales y financieros. Acabas de detectar una infracción de datos. El reloj está en marcha. ¿Qué medidas debes tomar a continuación?
La protección de los datos de los ciudadanos de la UE es competencia del RGPD. Si tu empresa maneja los datos de estos ciudadanos, debes cumplir con los requisitos del GDPR. Por lo tanto, en caso de fuga de datos, debes tomar medidas predefinidas para proteger los datos de las personas afectadas.
En estas situaciones, no solo te enfrentas a las autoridades y a las multas; tu reputación también está en juego. Y como los atacantes suelen publicar las bases de datos robadas en la web oscura, no suele tener sentido retrasarlo más.
Entonces, ¿cómo hacer frente a las filtraciones de datos de los clientes?
1) Informa a tu responsable de la protección de datos y a la autoridad de control de tu país.
En caso de que se produzca una filtración de datos, estás obligado a informar a la Agencia Española de Protección de Datos para garantizar y hacer cumplir la legislación sobre datos personales y privacidad. Debes dar este paso tan pronto como tengas conocimiento de la filtración de datos, informando en un plazo de 72 horas. Si las actividades de tu empresa implican el tratamiento de datos sensibles a gran escala, o el control regular y sistemático de la información personal de los individuos, cuentas, transacciones, etc., tu equipo de seguridad debe informar primero a tu responsable de protección de datos (DPO). A continuación, el delegado de protección de datos debe notificar a la AEPD, a menos que sea improbable que la violación de los datos personales suponga un riesgo para los derechos y libertades de las personas afectadas.
LEER TAMBIÉN
Incumplimiento de la ley: Esto es lo que puede costar una infracción del GDPR
2) Solucionar las posibles deficiencias en la seguridad de tu red.
Hay muchas medidas que se pueden tomar después de descubrir una infracción de datos, entre ellas:
- Cambiar o actualizar las credenciales de acceso en los dispositivos de la empresa e implementar la autenticación de dos factores. Si todavía no utilizas el 2FA, añade esta potente herramienta de verificación de credenciales a tus medidas de seguridad.
- Comprobar todos los segmentos de la red en busca de rastros de la infracción. Es probable que el malhechor se haya conectado en varios segmentos. Para evitar que un ataque se extienda, puedes redirigir el tráfico de la red, filtrar o bloquear el tráfico, o aislar toda o parte de la red comprometida.
- Trabajar con un equipo experto en ciberseguridad y análisis forense para determinar cómo se produjo la brecha y tomar las medidas necesarias para cerrarla y eliminar la posibilidad de que se produzcan nuevas brechas.
LEER TAMBIÉN
Evaluar tu riesgo cibernético: ¿Cuál es tu grado de vulnerabilidad?
3) Determinar qué tipo de datos de los clientes fueron expuestos.
Para evaluar la magnitud y el impacto de una filtración de datos, se necesita un proceso de gestión de riesgos de alta calidad con sólidas herramientas de detección e información de filtraciones. Si ya estás sufriendo una filtración de datos, determina primero qué tipo de datos están expuestos. Puede llevar varios días determinar el alcance del ataque, pero hay que empezar de inmediato. Busca impactos en correos electrónicos, números de teléfono, registros sanitarios, datos de tarjetas de crédito o identificadores personales como números de la Seguridad Social. Calcula el número de clientes cuyos datos personales han sido expuestos. ¿Es probable que la infracción de datos afecte al ejercicio de los derechos de las personas afectadas? ¿Qué precauciones puedes tomar para proteger los datos de los clientes? Puedes averiguarlo en el artículo Seis cosas que debes tener en cuenta al tratar los datos de los clientes.
4) Contactar con los clientes cuyos datos personales estén expuestos.
Las compañías deben prepararse a fondo para el hecho de que, en caso de infracción de datos individuales, tendrán que ponerse en contacto, en algunos casos, con cientos de miles de personas, lo que puede paralizar fácilmente a una empresa. Es necesario informar a las personas (ver las excepciones en el recuadro siguiente) e implicar a un equipo de relaciones públicas o de comunicación en el proceso. Una vez que sepas lo que ha ocurrido con los datos, pide disculpas directamente a las personas afectadas y responde a las siguientes preguntas ¿Qué ha pasado? ¿De qué información se trata? ¿Qué está haciendo la empresa afectada? ¿Qué puedes hacer si te has visto afectado?
5) Revisar las medidas de seguridad existentes.
Una vez solucionada la filtración de datos personales, se recomienda encarecidamente que estudies varias formas de reforzar las medidas de seguridad en tu empresa. Actualiza tu estrategia de ciberseguridad e implanta mejores soluciones de seguridad para el cifrado de datos, la supervisión de la red y las políticas de contraseñas, e invierte en formación en ciberseguridad para tus empleados.