Desafortunadamente cada vez son más las organizaciones que se ven inmersas en un incidente de seguridad en su información provocado por un ciberataque. Casi podríamos hablar a estas alturas de dos tipos de organizaciones a este respecto:
- Las que han sufrido un ciberataque
- Las que lo van sufrir
Los ciberdelincuentes van muy por delante de la tecnología existente para protegerse de ellos, por lo que resulta prácticamente imposible estar completamente a salvo de estos ataques.
Por tanto cada vez se hace más necesario necesario que las organizaciones cuenten, además de con las medidas de seguridad oportunas que traten de impedir estos incidentes de seguridad, con un plan de actuación destinado a contener, mitigar o eliminar los daños que pudieran ocasionarse en caso de producirse un ciberataque, en diferentes ámbitos:
- organizativo (administración, comercial, etc.)
- normativo
- reputacional
Este plan permitirá actuar de manera rápida y eficaz, ya que el tiempo en estos casos es fundamental tanto en lo referente al cumplimiento normativo ante los afectados y ante la autoridad de control (72 horas para notificar a la AEPD) como en lo referente a los intereses de la propia organización de continuar con su actividad económica habitual lo antes posible.
Además de la información sustraída, las pérdidas económicas, y las sanciones económicas que podrían implicar sufrir un incidente de este tipo, otra cuestión a tener en cuenta como hemos comentado es el impacto reputacional del incidente en la entidad. Por ello se hace necesario que se coordine a todo el personal y a todos los departamentos implicados:
- Departamento informático (TIC), que debe devolver cuanto antes la normalidad a los sistemas de la información de la entidad, mediante medidas de seguridad que corrijan la vulnerabilidad o mediante la restauración de la información a través de la copia de seguridad.
- Departamento legal (privacidad, compliance, jurídico), que si es el caso notificará la brecha de seguridad a la AEPD y a los usuarios afectados, determinará las consecuencias y cómo resolverlas. Emprenderá las acciones que proceda contra el ciberdelincuente, denunciando ante la entidad pertinente. Y si es el caso atenderá a los afectados (clientes, pacientes, alumnos, usuarios, empleados, afiliados…) que reclamen indemnizaciones.
- Comité de crisis, debe iniciar las acciones necesarias para disminuir el daño reputacional que pueda sufrir la entidad.
Puede acceder y descargar aquí el documento donde analizamos en más profundidad esta cuestión, así como:
- Los tipos de brechas de seguridad que se pueden dar.
- Algunas tipologías de casos que pueden dar lugar a un incidente de seguridad.
- Algunas de las medidas de contención que podrían ser de aplicación.
- Algunos ejemplos de tareas de erradicación.