Saltar al contenido principal Saltar al menú principal Saltar al pie

Violaciones de datos: respuesta a incidentes de pequeñas empresas

Violaciones de datos: respuesta a incidentes de pequeñas empresas

Disminuir el tamaño del texto Aumentar el tamaño del texto

Página del artículo

Tecnología

  • Actualice periódicamente el software y los sistemas: Asegúrese de que todo el software, especialmente el software de seguridad, se actualice periódicamente para protegerse contra las últimas vulnerabilidades.
  • Implementar la autenticación multifactor (MFA): Utilice MFA siempre que sea posible para agregar una capa adicional de seguridad, especialmente para acceder a datos confidenciales.
  • Utilice canales de comunicación seguros y encriptados: Fomentar el uso de métodos de comunicación cifrados para compartir información confidencial interna y externamente.
  • Monitorizar redes y utilizar sistemas de detección de intrusiones: Monitorear continuamente las redes para detectar actividades inusuales y utilizar sistemas de detección de intrusiones para identificar amenazas potenciales.
  • Implementar el control de acceso con privilegios mínimos: Asegúrese de que los empleados tengan acceso únicamente a los datos y recursos necesarios para su función laboral, reduciendo el riesgo de violaciones de datos internas.
  • Uso de Firewalls y Herramientas de Seguridad de Red: Utilice firewalls y otras herramientas de seguridad de red para protegerse contra ataques externos.
  • Eliminación segura de equipos obsoletos: Asegúrese de que los equipos y el hardware antiguos se eliminen correctamente de los datos antes de desecharlos o reciclarlos.
  • Implementar protección de puntos finales: Utilice software de protección de puntos finales para proteger todos los puntos finales (dispositivos que se conectan a la red), incluidos los dispositivos móviles.
  • Información de identificación personal:  No utilice los números de Seguro Social como identificación de empleados o números de cuenta de clientes. Si lo hace, desarrolle otro sistema de identificación ahora.
  • Establecer la gestión de contraseñas:  Se debe establecer una política de contraseñas para todos los empleados o trabajadores temporales que accedan a los recursos corporativos. En general, la complejidad de las contraseñas debe establecerse de acuerdo con las funciones del puesto y los requisitos de seguridad de los datos. Las contraseñas nunca deben compartirse.
  • Proteger todas las computadoras:  Implemente la protección con contraseña y exija que se vuelva a iniciar sesión después de un período de inactividad. Capacite a los empleados para que nunca dejen sus computadoras portátiles o PDA sin supervisión. Restrinja el teletrabajo a las computadoras de propiedad de la empresa y exija el uso de contraseñas seguras que se cambien con regularidad.
  • Controlar el uso de las computadoras:  Restrinja el uso de computadoras por parte de los empleados para fines comerciales. No permita el uso de sitios web de intercambio de archivos entre pares. Bloquee el acceso a sitios web inapropiados y prohíba el uso de software no aprobado.
  • Mantenga el software de seguridad actualizado:  Mantenga actualizados los parches de seguridad de sus equipos. Utilice cortafuegos, antivirus y software antispyware; actualice las definiciones de virus y antispyware a diario.
  • Cifrar la transmisión de datos:  Exigir el cifrado de todas las transmisiones de datos. Evitar el uso de redes Wi-Fi, ya que pueden permitir la interceptación de datos.

Un marco detallado de respuesta a las infracciones

Un plan integral de respuesta a infracciones comprende varios pasos clave, adaptados para tener en cuenta la gran cantidad de estatutos legales potencialmente conflictivos:
  • Validación: Confirmación de la ocurrencia de una violación de datos.
  • Requisitos de remediación: Identificar las acciones necesarias, incluido el cumplimiento de diversas leyes de notificación de infracciones.
  • Investigación: Examinar exhaustivamente la infracción y documentar los hallazgos.
  • Coordinación interna: Comunicarse internamente y con autoridades externas o asesores legales pertinentes.
  • Notificación: Informar a las personas afectadas según lo exija la ley.

Proveedores de terceros

Asegurarse de que sus proveedores externos cumplan con los estándares de seguridad de su organización es crucial para proteger sus datos y mantener la confianza en sus operaciones comerciales. A continuación, se incluye una lista completa de tareas pendientes para ayudar a gestionar de manera eficaz el cumplimiento de los proveedores externos:

Realizar la debida diligencia:
  • Investigue a los proveedores potenciales para comprender sus políticas y prácticas de seguridad.
  • Evaluar su historial de violaciones de datos o incidentes de seguridad.
Definir requisitos de seguridad:
  • Establecer criterios y expectativas de seguridad claros para los proveedores.
  • Incluya requisitos para auditorías de seguridad periódicas, cumplimiento de los estándares de la industria (por ejemplo, ISO 27001, SOC 2) y adhesión a las leyes de protección de datos (por ejemplo, GDPR, CCPA).
Evaluar las medidas de seguridad del proveedor:
  • Solicite información detallada sobre la infraestructura, las políticas y los procedimientos de seguridad del proveedor.
  • Verificar el uso de cifrado, firewalls, controles de acceso y otras medidas de ciberseguridad.
Asegúrese de que los acuerdos contractuales incluyan disposiciones de seguridad:
  • Incluya cláusulas en los contratos que especifiquen el cumplimiento de sus requisitos de seguridad.
  • Exigir notificación inmediata de cualquier violación o incidente de seguridad.
Realizar auditorías y evaluaciones periódicas:
  • Programar y realizar evaluaciones de seguridad periódicas de los sistemas y prácticas de los proveedores.
  • Utilice auditores externos para realizar evaluaciones de seguridad imparciales.
Supervisar el cumplimiento:
  • Implemente procesos para monitorear continuamente el cumplimiento del proveedor con sus estándares de seguridad.
  • Establecer indicadores clave de desempeño (KPI) para medir los niveles de cumplimiento.
Requerir planes de respuesta a incidentes:
  • Asegúrese de que los proveedores tengan planes de respuesta a incidentes que coincidan con los suyos.
  • Coordinar estrategias de respuesta para gestionar violaciones de datos o ataques cibernéticos.
Entrena a tu equipo:
  • Eduque a su personal sobre la importancia del cumplimiento de la seguridad del proveedor.
  • Capacítelos sobre cómo identificar y mitigar los riesgos asociados con proveedores externos.
Revise y actualice los acuerdos periódicamente:
  • Revisar y actualizar periódicamente los acuerdos contractuales para abordar amenazas de seguridad nuevas o cambiantes.
  • Ajustar los requisitos de seguridad en función de los cambios en las operaciones comerciales o tecnologías.
Desarrollar canales de comunicación sólidos:
  • Establecer líneas de comunicación claras con los proveedores para informar problemas de seguridad.
  • Celebrar reuniones periódicas para analizar el rendimiento y las mejoras en materia de seguridad.
Plan de Terminación o Cambio:
  • Cuente con un plan para realizar una transición segura de los servicios si la relación con el proveedor finaliza o cambia.
  • Garantizar que los datos se devuelvan o destruyan de forma segura según las obligaciones contractuales.
Si sigue estos pasos meticulosamente, podrá asegurarse de que sus proveedores externos cumplan con los mismos altos estándares de seguridad que espera dentro de su propia organización, minimizando así los riesgos y protegiendo sus datos.

Procesos y gobernanza

  • Revise y actualice periódicamente los planes de respuesta a incidentes: Tenga un plan de respuesta a incidentes claro y actualizado que describa los pasos a seguir en caso de una violación de datos.
  • Realice auditorías de seguridad periódicas y evaluaciones de riesgos: Revise y evalúe periódicamente su postura y prácticas de seguridad para identificar y abordar vulnerabilidades.
  • Programas de capacitación y concientización de empleados: Capacite periódicamente a los empleados sobre las mejores prácticas de seguridad, amenazas potenciales como ataques de phishing y la importancia de seguir las políticas de la empresa.
  • Desarrollar y aplicar políticas de seguridad sólidas: Cree políticas de seguridad integrales que cubran aspectos como el uso aceptable de los recursos de la empresa, el acceso a los datos y los procedimientos de notificación de infracciones.
  • Copias de seguridad periódicas y planes de recuperación de datos: Realice copias de seguridad periódicas de los datos críticos y tenga un plan de recuperación ante desastres sólido para minimizar la pérdida de datos en caso de una violación.
  • Establecer un proceso de aprobación para dispositivos móviles propiedad de los empleados.  Con el aumento de las capacidades de los dispositivos de consumo, como los teléfonos inteligentes y las tabletas, se ha vuelto fácil interconectar estos dispositivos con las aplicaciones y la infraestructura de la empresa. El uso de estos dispositivos para interconectarse con el correo electrónico, el calendario y otros servicios de la empresa puede desdibujar las fronteras entre los controles de la empresa y los controles del consumidor. Los empleados que solicitan y obtienen la aprobación para tener acceso a la información de la empresa a través de sus dispositivos personales deben comprender y aceptar las limitaciones y los controles impuestos.
  • Gobernar el uso de Internet:  La mayoría de las personas utilizan Internet sin pensar en los daños que puede acarrear. El uso indebido de Internet por parte de los empleados puede poner a su empresa en una posición incómoda o incluso ilegal. Establecer límites al uso de Internet por parte de los empleados en el lugar de trabajo puede ayudar a evitar estas situaciones. Cada organización debe decidir cómo pueden y deben acceder los empleados a la web. Se desea que los empleados sean productivos, y esta puede ser la principal preocupación para limitar el uso de Internet, pero las preocupaciones por la seguridad también deben dictar cómo se formulan las pautas de Internet.
  • Administrar el uso del correo electrónico:  Muchas violaciones de datos son resultado del uso indebido del correo electrónico por parte de los empleados, lo que puede provocar la pérdida o el robo de datos y la descarga accidental de virus u otro malware. Se deben establecer normas claras sobre el uso del correo electrónico, el contenido de los mensajes, el cifrado y la conservación de archivos.
  • Gobernar las redes sociales:  Todos los usuarios de las redes sociales deben ser conscientes de los riesgos asociados a su uso. Una política sólida en materia de redes sociales es fundamental para cualquier empresa que desee utilizarlas para promocionar sus actividades y comunicarse con sus clientes. Una gobernanza activa puede ayudar a garantizar que los empleados se expresen dentro de los parámetros establecidos por su empresa y sigan las mejores prácticas en materia de privacidad de datos.
  • Supervisar los derechos de autor y las licencias del software:  Existen muchas buenas razones para que los empleados cumplan con los acuerdos de licencia y derechos de autor del software. Las organizaciones están obligadas a cumplir con los términos de los acuerdos de uso del software y los empleados deben conocer las restricciones de uso. Además, los empleados no deben descargar ni utilizar software que no haya sido revisado y aprobado por la empresa.
  • Acceso físico seguro a las instalaciones de la empresa: Implemente medidas como acceso con tarjeta magnética, registros de visitantes y vigilancia para proteger el acceso físico a las instalaciones de su negocio.
  • Gestionar el uso de medios portátiles:  Los medios portátiles, como DVD, CD y memorias USB, son más susceptibles a pérdidas o robos. Permita que se descarguen únicamente datos cifrados a dispositivos de almacenamiento portátiles.

Data

  • Conserva sólo lo que necesitas:  Reduzca el volumen de información que recopila y conserva a solo lo necesario. Minimice los lugares donde almacena datos personales. Sepa qué guarda y dónde lo guarda.
  • Destruir antes de desechar:  Destruya los archivos en papel antes de deshacerse de la información privada. Destruya también los CD, DVD y otros medios portátiles. Borrar archivos o reformatear los discos duros no borra los datos. En su lugar, utilice un software diseñado para borrar permanentemente el disco o destruirlo físicamente.
  • Datos de salvaguardia:  Guarde los registros físicos en un lugar seguro. Restrinja el acceso a los empleados que necesiten recuperar datos privados. Realice verificaciones de antecedentes de los empleados y nunca dé acceso a ellos a empleados temporales o proveedores.
  • Salvaguardar la privacidad de los datos:  Los empleados deben comprender que su política de privacidad es un compromiso con sus clientes de que protegerá su información. Los datos solo deben usarse de manera que se mantenga segura la identidad del cliente y la confidencialidad de la información. Por supuesto, sus empleados y organizaciones deben cumplir con todas las leyes y regulaciones aplicables.

Legal

  • Cumplimiento legal y leyes de protección de datos: Manténgase informado y cumpla con las leyes y regulaciones de protección de datos relevantes como GDPR, CCPA, etc.
  • Reportar incidentes de seguridad:  Debe existir un procedimiento para que los empleados o contratistas informen sobre malware malicioso en caso de que se importe accidentalmente. Todos los empleados deben saber cómo informar incidentes de malware y qué medidas tomar para ayudar a mitigar los daños.

La importancia de informar sobre infracciones: 

La comunicación eficaz y la notificación rápida de infracciones son esenciales para una remediación y recuperación eficientes, así como para cumplir con los requisitos reglamentarios y de cumplimiento. 

Beneficios de la divulgación de infracciones en la remediación:

La notificación rápida de las infracciones permite notificar a todas las partes afectadas, tanto internas como externas, y movilizarlas, así como a las partes interesadas clave que participan en los esfuerzos de recuperación y reparación, según la naturaleza y el alcance del ataque o la vulneración. Por ejemplo, si un tercero ataca su organización, debe recibir una alerta de inmediato para prepararse y proteger su negocio. De manera similar, si una infracción en su sistema pudiera afectar a su cliente, también debe recibir una notificación lo antes posible.

Una reparación eficaz y rápida reduce el impacto de una filtración de datos, lo que protege la reputación y las relaciones comerciales de la empresa. También ayuda a conservar la confianza de los clientes al informarles rápidamente sobre el impacto y las medidas adoptadas para evitar mayores daños.

Normas reglamentarias y de cumplimiento para la divulgación de infracciones:

Las leyes recientes de protección de datos, como el Reglamento General de Protección de Datos de la UE (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA), exigen la divulgación oportuna de infracciones.
Las nuevas normativas destacan la creciente importancia de la notificación de infracciones. Continuamente surgen nuevas medidas regulatorias que subrayan la creciente importancia de la notificación de infracciones. El incumplimiento de las respectivas normativas de privacidad y protección de datos puede dar lugar a fuertes multas y a un mayor daño a la reputación. Algunas normativas recientes notables establecen plazos de notificación y requisitos para la divulgación de infracciones. 

Esto es lo que algunos de ellos requieren:
  • GDPR - El RGPD exige a las empresas que notifiquen las infracciones en un plazo de 72 horas "cuando sea factible", con la única excepción de que la infracción no "resulte en un riesgo para los derechos y libertades de las personas físicas". Si una organización se demora en informar de la infracción, se deben proporcionar los motivos de la demora. El RGPD prevé fuertes multas por incumplimiento. Según las infracciones, las multas pueden llegar a:
    10 millones de euros (11 millones de dólares) o el 2 % de la facturación anual, lo que sea mayor
    20 millones de euros (22 millones de dólares) o el 4 % de la facturación anual, lo que sea mayor
    Todo esto depende de la investigación del regulador, el grado de negligencia y la gravedad de la infracción.
  • Ley de Privacidad del Consumidor de California (CCPA) - La CCPA exige que las empresas informen sobre las infracciones en un plazo de 72 horas si se trata de datos no cifrados o si un usuario no autorizado tiene acceso a las claves de cifrado de los datos cifrados. También exige que las empresas notifiquen al Fiscal General de California si se ven afectados más de 500 residentes de California.
  • Ley SHIELD de Nueva York ("Detener los ataques informáticos y mejorar la seguridad de los datos electrónicos") - La "Ley de Notificación y Violación de la Seguridad de la Información del Estado de Nueva York" dice que la divulgación debe realizarse "en el momento más expedito posible y sin demoras irrazonables...", pero no especifica un plazo específico. También permite a las empresas retrasar una divulgación si las autoridades creen que la divulgación puede impedir una investigación penal. Como es el caso de la CCPA, si la violación afecta a más de 500 residentes de Nueva York, las empresas afectadas deben informar al Fiscal General de Nueva York en un plazo de 10 días. Las empresas que no cumplan con la ley pueden enfrentarse a una multa de hasta 5,000 dólares por infracción.
  • Requisitos de la Comisión de Bolsa y Valores (SEC) - En 2022, la SEC introdujo requisitos relacionados con la ciberseguridad para la protección de los inversores y ahora exige que las empresas informen a los inversores y accionistas de los "incidentes materiales" en un plazo de cuatro días hábiles a partir del descubrimiento. Más recientemente, en marzo de 2023, la SEC propuso actualizaciones a sus normas de ciberseguridad, imponiendo estrictos requisitos de divulgación para las entidades cubiertas y exigiendo a las instituciones afectadas que adopten "políticas y procedimientos escritos" para la respuesta a incidentes que incluyan informar a las personas afectadas en un plazo de 30 días.
  • Directiva europea NIS-2 ("Seguridad de la red y de la información, versión 2") - El reglamento de la UE, NIS-2, entró en vigor el 6 de enero de 2023 e introdujo estrictas medidas de supervisión y simplificación de las obligaciones de notificación. Las empresas afectadas deben ahora proporcionar una notificación inicial en un plazo de 24 horas tras tener conocimiento de un incidente a su autoridad de notificación y, en un plazo de 72 horas, la empresa debe proporcionar una evaluación inicial de la infracción. En el plazo de un mes a partir del ataque, se espera que las empresas proporcionen un informe final que detalle el alcance del ataque, así como las medidas de mitigación adoptadas. Las multas del NIS-2 pueden ascender a 10 millones de euros (11 millones de dólares) o al 2 % de los ingresos anuales de la empresa, lo que sea mayor.
  • Requisitos de presentación de informes por estado - Los 50 estados de EE. UU. tienen leyes relacionadas con los requisitos de notificación de violaciones de datos. Puerto Rico, Guam, el Distrito de Columbia y las Islas Vírgenes también tienen requisitos de notificación y presentación de informes. Sería imposible cubrirlos todos aquí, pero la NCSL (Conferencia Nacional de Legislaturas Estatales) mantiene una lista de los últimos proyectos de ley y leyes en su sitio web.
Mejorar la notificación de infracciones en las organizaciones - En una era de mayores riesgos cibernéticos, las organizaciones deben mejorar de manera proactiva sus prácticas de denuncia de infracciones. Las mejores prácticas incluyen:
  • Desarrollar una política y un proceso claros para informar sobre infracciones.
  • Designar a las partes interesadas clave y definir sus responsabilidades.
  • Colaborar con terceros para mejorar las capacidades de respuesta.
  • Preparándonos para la nueva normalidad de frecuentes violaciones de datos, como lo indican los resultados de nuestra evaluación de ciberseguridad.

                                                                                              Cómo se producen las violaciones de datos 

                                                                                              • Error humano: Los errores cometidos por los empleados son una causa importante de las filtraciones de datos. Esto puede incluir el envío de información confidencial al destinatario equivocado, la configuración incorrecta de las bases de datos o la falta de protección adecuada de los datos.
                                                                                              • Ingeniería social: Los atacantes suelen utilizar técnicas engañosas para engañar a las personas y conseguir que revelen información confidencial. Las tácticas más habituales son los correos electrónicos de phishing, los pretextos, el cebo y el seguimiento de los usuarios.
                                                                                              • Amenazas persistentes avanzadas (APT): Se trata de ciberataques prolongados y dirigidos en los que un intruso obtiene acceso a una red y permanece sin ser detectado durante un período prolongado de tiempo.
                                                                                              • Ataques de ransomware: El software malicioso que cifra los datos de una organización y exige el pago de la clave de descifrado es cada vez más común.
                                                                                              • Dispositivos perdidos o robados: Las computadoras portátiles, los teléfonos inteligentes, los discos duros externos y otros dispositivos de almacenamiento que contienen información confidencial pueden dar lugar a una vulneración si se pierden o se roban.
                                                                                              • Cintas de respaldo perdidas en tránsito: Los medios físicos que contienen datos confidenciales pueden perderse o ser robados durante el transporte, especialmente si no van acompañados de una escolta calificada.
                                                                                              • Los piratas informáticos irrumpen en los sistemas: Los ciberdelincuentes aprovechan las vulnerabilidades de seguridad para obtener acceso no autorizado a los sistemas y datos.
                                                                                              • Amenazas internas: Empleados o contratistas que roban información o brindan acceso intencionalmente a personas no autorizadas.
                                                                                              • Información obtenida mediante prácticas comerciales engañosas: Por ejemplo, datos comprados a una empresa falsa o a través de medios fraudulentos.
                                                                                              • Malas prácticas comerciales: Por ejemplo, enviar información confidencial a través de métodos inseguros, como postales o correos electrónicos no cifrados.
                                                                                              • Fallos de seguridad interna: Falta de medidas de seguridad adecuadas, como contraseñas débiles o software sin parches.
                                                                                              • Infecciones de malware: Virus, troyanos, programas espía y otros programas maliciosos que explotan lagunas de seguridad.
                                                                                              • Eliminación indebida de información: Información confidencial desechada sin una destrucción adecuada, por ejemplo en contenedores de basura.
                                                                                              • Redes no seguras y Wi-Fi: Las violaciones de datos pueden ocurrir cuando se transmite o se accede a información confidencial a través de redes Wi-Fi públicas o no seguras.
                                                                                              • Falta de capacitación y concientización de los empleados: Los empleados que desconocen los protocolos de seguridad y las mejores prácticas pueden provocar infracciones sin darse cuenta.
                                                                                              • Controles de acceso débiles: Los controles de acceso y la gestión de privilegios insuficientes pueden permitir el acceso no autorizado a datos confidenciales.
                                                                                              • Riesgos de terceros y proveedores: Las violaciones de datos pueden ocurrir debido a vulnerabilidades en los sistemas de terceros proveedores o proveedores de servicios.
                                                                                              • Vulnerabilidades del almacenamiento en la nube: Las medidas de seguridad inadecuadas en las soluciones de almacenamiento en la nube pueden provocar accesos no autorizados y fugas de datos.
                                                                                              • Vulnerabilidades de los dispositivos móviles: El uso creciente de dispositivos móviles para fines comerciales puede dar lugar a vulneraciones de seguridad si dichos dispositivos no están protegidos adecuadamente.



                                                                                              El pie de página no tiene contenido