Cómo gestionar eficazmente una violación de datos

No puedes permitirte el lujo de no estar preparado para las consecuencias de una violación de datos. Incluso las organizaciones con las políticas de TI y seguridad de datos más estrictas podrían seguir fácilmente el camino de las víctimas recientes.

Oímos hablar de ellas todo el tiempo, otra empresa que fue víctima de una violación de datos, otro escáner de tarjetas de crédito pirateado, pero ¿sabes realmente qué es exactamente una violación de datos y qué significa si te sucede a ti? Aquí hay un resumen rápido de las violaciones de datos y lo que debes saber.

Depende de ti controlar la situación y proteger tu marca a raíz de la retención de reputación potencialmente devastadora de una violación de datos. Los siguientes pasos te ayudarán a detener con éxito el robo de información, mitigar daños adicionales y restaurar las operaciones lo más rápido posible.

Indice

¿Qué es una violación de datos?

Una violación de datos es un incidente de seguridad en el que una persona no autorizada copia, transmite, ve, roba o accede a información confidencial.

Las violaciones de datos pueden involucrar información financiera como números de tarjetas de crédito o detalles de cuentas bancarias, información de salud protegida (PHI), información de identificación personal (PII), secretos comerciales o propiedad intelectual. Las filtraciones de datos también pueden ocurrir cuando los ciberdelincuentes descubren y explotan filtraciones de datos y filtraciones en la nube.

Una violación de datos puede ser intencional o accidental. Un ciberdelincuente puede piratear la base de datos de una empresa en la que has compartido tu información personal. O un empleado de esa empresa puede exponer accidentalmente tu información en Internet. De cualquier manera, los delincuentes pueden acceder a tus datos personales clave y beneficiarse de ellos a tu cargo.

¿Por qué ocurren las filtraciones de datos?

El cibercrimen es una industria rentable que continúa creciendo. Parte de esto se debe a la naturaleza distribuida de Internet y la capacidad de los ciberdelincuentes para atacar objetivos fuera de su jurisdicción, lo que dificulta enormemente la vigilancia. Los ciberdelincuentes buscan información de identificación personal (PII) para robar dinero, identidades o vender a través de la web oscura.

A continuación te indicamos las formas comunes en que puede ocurrir una violación de datos.

1. Explotación de vulnerabilidades del sistema

‍ Un exploit es un tipo de ataque cibernético que aprovecha los errores o vulnerabilidades del software para obtener acceso no autorizado a un sistema o sus datos. Tanto los delincuentes como los investigadores de seguridad cibernética encuentran las vulnerabilidades y, a menudo, es una carrera para ver quién puede encontrarlas primero.

Los ciberdelincuentes quieren encontrar vulnerabilidades para explotar e instalar malware o ransomware como WannaCry. Los investigadores quieren encontrar y reportar vulnerabilidades a los fabricantes de hardware y software para que las reparen.

Los sistemas operativos, los navegadores de Internet y las aplicaciones como Microsoft Office son objetivos de posibles ataques. Los ciberdelincuentes pueden incluso empaquetar múltiples exploits en kits de exploits automatizados para que a los delincuentes sin conocimientos técnicos les resulte sencillo aprovechar las vulnerabilidades comunes.

2. Inyección SQL (SQLI)

‍ Una inyección SQL es una forma de ataque cibernético que explota una debilidad en una base de datos SQL de un sitio web inseguro para que el sitio web dé acceso a la información en su base de datos sin acceso autorizado. Los ataques SQLI no son sofisticados y requieren un conocimiento técnico mínimo. Al igual que los kits de explotación automatizados, los ciberdelincuentes a menudo automatizan las inyecciones de SQL. ‍

3. Software espía

El software espía es malware que infecta tu computadora o red para robar información personal, uso de Internet o cualquier otro dato confidencial que pueda adquirir. Puedes instalar software espía descargando un archivo adjunto de correo electrónico o mediante lo que parece una aplicación benigna.

Alternativamente, el software espía puede instalarse en tu computadora como una infección secundaria de un caballo de Troya. Una vez que se instala el software espía, todos tus datos se envían de regreso a los servidores de comando y control que ejecutan los ciberdelincuentes.

4. Suplantación de identidad

Los ataques de phishing son una forma de ingeniería social que tiene como objetivo manipular las emociones o engañarte para que reveles información confidencial, como nombres de usuario o contraseñas.

Un ataque típico de phishing es un correo electrónico falsificado que parece provenir del director ejecutivo de la empresa para la que trabajas. El correo electrónico contendrá un lenguaje agresivo o exigente y requerirá una acción como iniciar sesión en una página web, verificar un pago o realizar una compra. Hacer clic en cualquier enlace del correo electrónico o descargar cualquier archivo adjunto podría provocar el robo de tus credenciales de inicio de sesión o la instalación de spyware.

Los ataques de SMS y redes sociales también son cada vez más comunes. Otro ejemplo es ofrecer una verificación de crédito gratuita para intentar obtener acceso a información de identificación personal (PII).

5. Contraseñas inseguras

Las contraseñas que son fáciles de adivinar, como palabras de diccionario o contraseñas comunes, facilitan que los ciberdelincuentes obtengan acceso a información confidencial. Tu organización debe aplicar contraseñas seguras y autenticación multifactor para cualquier sistema que contenga información confidencial.

6. Controles de acceso rotos o mal configurados

Incluso las mejores contraseñas y la ciberseguridad se pueden deshacer por una mala configuración. Por ejemplo, tu organización puede aplicar contraseñas seguras y autenticación de dos factores, pero tiene un depósito S3 mal configurado que está abierto a cualquier persona en Internet sin una contraseña. Verifica tus permisos de S3 o alguien más lo hará.

Si no está seguro por diseño, un ciberdelincuente que realice algunas búsquedas en Google podría encontrar carpetas mal configuradas y robar datos. Piensa en ello como tener una casa con el mejor sistema de seguridad y una ventana abierta. Estás pidiendo un ciberataque.

Consecuencias de una violación de datos

Muchos países han aprobado leyes de notificación de violaciones de datos, que requieren que las empresas informen a los clientes y reparen las violaciones cuando ocurran.

Las violaciones de datos pueden resultar en el robo de identidad (como nombres completos, números de Seguro Social y fechas de nacimiento), pérdida de información confidencial (informes de crédito u otro control de crédito) u otros datos confidenciales (números de teléfono, credenciales de redes sociales).

Es difícil obtener información sobre el coste directo e indirecto de una mala seguridad de los datos que resulta en una filtración de datos. Y puede parecer que las historias de filtraciones de datos masivas aparecen con frecuencia en las noticias, probablemente debido a los nuevos requisitos de notificación de filtraciones de datos.

Esto no significa que el daño a la reputación de incluso una pequeña violación de datos que contenga datos confidenciales de usuarios esté disminuyendo. En todo caso, el impacto reputacional de las violaciones de datos está aumentando.

Esto, junto con una mayor subcontratación de las funciones comerciales principales dentro y fuera de los servicios financieros, ha aumentado la necesidad de todas las organizaciones de gestionar el riesgo de ciberseguridad y su necesidad de marcos de gestión de riesgos de terceros, evaluaciones de riesgos de ciberseguridad y una mejor comprensión organizativa de la seguridad de la información.

La planificación de posibles violaciones de datos ahora es parte de la estrategia de gestión de riesgos de la información de cualquier buena organización y los líderes deben educar a sus empleados sobre las diferencias entre la ciberseguridad y la seguridad de la información.

A medida que continúa la tendencia hacia la subcontratación y más información se traslada al mundo digital, los ataques cibernéticos serán cada vez más comunes.

¿Importa si me roban mis datos cifrados?

Si. Después de una violación de datos, es posible que desees asegurarles a tus clientes que no importa, los datos se cifraron. Esto no es necesariamente cierto y he aquí por qué. Muchas empresas utilizan una forma básica de encriptación de contraseñas: SHA1.

Una contraseña cifrada con SHA1 siempre tendrá la misma cadena de caracteres, lo que facilita su adivinación. Por ejemplo, la contraseña 1 siempre será «E38AD214943DAAD1D64C102FAEC29DE4AFE9DA3D».

Esta es otra razón por la que usar una contraseña débil es una mala idea. Los ciberdelincuentes pueden comparar una lista de contraseñas hash robadas con una lista de contraseñas hash conocidas y descifrar la contraseña fácilmente.

¿Qué hacen los ciberdelincuentes con los datos a los que obtienen acceso?

Según el tipo de datos y su valor, los datos robados pueden terminar en una variedad de lugares y usos. La información de identificación personal (PII) generalmente termina en la web oscura para la venta. Los motores de búsqueda no indexan la web oscura y los delincuentes la utilizan para traficar productos ilegales como drogas, armas, pornografía y datos personales. Hay mercados que se especializan en vender grandes lotes de información personal recopilada a partir de varias filtraciones de datos que son tanto conocidas como desconocidas.

Incluso si cambias tu contraseña después de una violación de datos, los ciberdelincuentes a menudo usan credenciales de inicio de sesión antiguas para hacerte creer que la cuenta ha sido pirateada y usan métodos de ingeniería social como phishing para obtener acceso a las nuevas credenciales de inicio de sesión.

Si reutilizas tu contraseña en varios sitios, te expones al peligro porque una violación de datos en cualquiera de los sitios que usas podría comprometer otras cuentas. Los ciberdelincuentes usan tu inicio de sesión robado de un sitio para piratear tu cuenta en otro sitio, este es un ataque cibernético conocido como relleno de credenciales. Los nombres de usuario y contraseñas obtenidos de una violación de datos se utilizarán automáticamente para enviar solicitudes de inicio de sesión a otros sitios populares.

¿Cuáles son las mayores filtraciones de datos?

Aquí están las filtraciones de datos más grandes de la historia por número de cuentas afectadas.

Yahoo – 3 mil millones

Yahoo reveló que una violación en agosto de 2013 por parte de un grupo de piratas informáticos había comprometido mil millones de cuentas. En este caso, las preguntas y respuestas de seguridad también se vieron comprometidas, lo que aumentó el riesgo de robo de identidad. La brecha fue reportada por primera vez por Yahoo el 14 de diciembre de 2016 y obligó a todos los usuarios afectados a cambiar las contraseñas y volver a ingresar cualquier pregunta y respuesta de seguridad sin cifrar para cifrarlas en el futuro.

Adhaar – 1.100 millones

En marzo de 2018, se hizo público que la información personal de más de mil millones de ciudadanos indios almacenada en la base de datos biométrica más grande del mundo se podía comprar en línea.

Connections.io – 763 millones

En febrero de 2019, el servicio de validación de direcciones de correo electrónico connections.io expuso 763 millones de direcciones de correo electrónico únicas en una instancia de MongoDB que se dejó públicamente sin contraseña. Muchos registros también incluían nombres, números de teléfono, direcciones IP, fechas de nacimiento y sexos.

Marriott/Starwood – 500 millones

En noviembre de 2018, Marriott International anunció que los piratas informáticos habían robado datos sobre aproximadamente 500 millones de clientes de hoteles Starwood. Los atacantes obtuvieron acceso no autorizado al sistema Starwood en 2014 y permanecieron en el sistema después de que Marriott adquiriera Starwood en 2016. Sin embargo, el descubrimiento no se realizó hasta 2018.

FriendFinder – 412,2 millones

En octubre de 2016, los piratas recopilaron 20 años de datos en seis bases de datos que incluían nombres, direcciones de correo electrónico y contraseñas para The FriendFinder Network. La red FriendFinder incluye sitios web como Adult Friend Finder, Penthouse.com, Cams.com, iCams.com y Stripshow.com.

MySpace – 360 millones

En junio de 2013, un hacker ruso comprometió alrededor de 360 ​​millones de cuentas, pero el incidente no se hizo público hasta 2016. La información que se filtró incluía información de la cuenta, como el nombre del propietario, el nombre de usuario y la fecha de nacimiento.

Exactis – 340 millones

En junio de 2018, la empresa de agregación de datos y marketing con sede en Florida, Exactis, expuso una base de datos que contenía casi 340 millones de registros en un servidor de acceso público. La violación expuso información muy personal, como los números de teléfono de las personas, las direcciones de correo electrónico y de domicilio, los intereses y el número, la edad y el sexo de sus hijos.

Twitter – 330 millones

En mayo de 2018, el gigante de las redes sociales Twitter notificó a los usuarios sobre una falla que almacenaba las contraseñas sin enmascarar en un registro interno, lo que hacía que todas las contraseñas de los usuarios fueran accesibles a la red interna. Twitter les dijo a sus 330 millones de usuarios que cambiaran sus contraseñas, pero la compañía dijo que arregló el error y que no había indicios de una violación o mal uso, pero alentó la actualización de la contraseña como medida de precaución.

NetEase – 234 millones

En octubre de 2015, se informó que NetEase sufrió una violación de datos que afectó a cientos de millones de suscriptores. Si bien hay evidencia para decir que los datos son legítimos (muchos usuarios confirmaron sus contraseñas en los datos), es difícil de verificar enfáticamente.

LinkedIn – 165 millones

En junio de 2012, Linkedin reveló que se había producido una violación de datos, pero las notificaciones de restablecimiento de contraseña en ese momento indicaron que solo 6,5 millones de cuentas de usuario se habían visto afectadas. LinkedIn nunca confirmó el número real, y en 2016 supimos por qué: se habían comprometido 165 millones de cuentas de usuario, incluidas 117 millones de contraseñas que habían sido codificadas pero no «saladas» con datos aleatorios para hacerlas más difíciles de revertir.

Dubsmash – 162 millones

En diciembre de 2018, Dubmash sufrió una filtración de datos que expuso 162 millones de direcciones de correo electrónico, nombres de usuario y hash de contraseña DBKDF2 únicos.

Adobe – 152 millones

En octubre de 2013, se violaron 153 millones de cuentas de Adobe. La violación de datos contenía una identificación interna, un nombre de usuario, un correo electrónico, una contraseña cifrada y una pista de contraseña en texto sin formato.

MyFitnessPal – 150 millones

En febrero de 2018, la aplicación de dieta y ejercicio MyFitnessPal sufrió una violación de datos, exponiendo 144 millones de direcciones de correo electrónico, direcciones IP y credenciales de inicio de sesión únicas, como nombres de usuario y contraseñas almacenadas como SHA-1 y hash bcrypt.

Equifax – 148 millones

En septiembre de 2017, Equifax, una de las tres agencias de informes de crédito al consumidor más grandes de los Estados Unidos, anunció que se habían violado sus sistemas y que los datos personales confidenciales de 148 millones de estadounidenses se habían visto comprometidos.

eBay – 145 millones

Entre febrero y marzo de 2014, eBay fue víctima de una vulneración de contraseñas cifradas, lo que provocó que se pidiera a sus 145 millones de usuarios que restablecieran su contraseña.

Canva – 137 millones

En mayo de 2019, la herramienta de diseño gráfico en línea Canva sufrió una filtración de datos que afectó a 137 millones de usuarios.

Apollo – 126 millones

En julio de 2018, Apollo dejó expuesta públicamente una base de datos que contenía miles de millones de puntos de datos. Se envió un subconjunto de los datos a Have I Been Pwned, que tenía 126 millones de direcciones de correo electrónico únicas.

Badoo – 112 millones

La brecha contenía 112 millones de direcciones de correo electrónico únicas y PII como nombres, fechas de nacimiento y contraseñas almacenadas como hashes MD5.

Quora – 100 millones

Quora, un sitio popular de preguntas y respuestas, sufrió una violación de datos en 2018 y expuso los datos personales de hasta 100 millones de usuarios.

VK – 93 millones

El sitio de redes sociales ruso VK fue pirateado y expuso 93 millones de nombres, números de teléfono, direcciones de correo electrónico y contraseñas de texto sin formato.

MyHeritage – 92 millones

MyHeritage, un sitio web de servicios genealógicos, se vio comprometido y afectó a más de 92 millones de cuentas de usuarios.

Youku – 92 millones

Youku, un servicio de video chino, expuso 92 millones de cuentas de usuario únicas y hashes de contraseñas MD5.

Facebook – 87 millones

Aunque se trata de un tipo ligeramente diferente de violación de datos, ya que la información no fue robada de Facebook, el incidente que afectó a 87 millones de cuentas de Facebook representó el uso de información personal para fines que los usuarios afectados no apreciaron.

Dailymotion – 85 millones

En octubre de 2016, Dailymotion, una plataforma para compartir videos, expuso más de 85 millones de cuentas de usuario, incluidos correos electrónicos, nombres de usuario y hashes de contraseñas bcrypt.

Dropbox – 69 millones

A mediados de 2012, Dropbox sufrió una filtración de datos que expuso 68 millones de registros que contenían direcciones de correo electrónico y hashes de contraseñas (mitad SHA1, mitad bcrypt).

tumblr – 66 millones

En febrero de 2013, tumblr sufrió una filtración de datos que expuso 65 millones de cuentas. La violación incluyó direcciones de correo electrónico y hash de contraseñas SHA1.

¿Qué son las leyes de violación de datos?

Parece que cada ciclo de noticias tiene más filtraciones de datos. ¿Se están produciendo más violaciones de datos? ¿O simplemente estamos escuchando más sobre ellas?

Es probable que la creciente aparición de filtraciones de datos en las noticias se deba a la creciente regulación en todo el mundo sobre cómo se comunican las filtraciones de datos.

También hay una serie de pautas de la industria y regulaciones de cumplimiento gubernamentales que exigen un control estricto de los datos personales y confidenciales para evitar violaciones de datos. Para las corporaciones, el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) dicta quién puede manejar y usar información de identificación personal (PII), como números de tarjetas de crédito o nombres y direcciones.

En el cuidado de la salud, la Ley de responsabilidad y portabilidad del seguro médico (HIPAA) regula quién puede ver y usar la información médica personal (PHI), como los nombres de los pacientes, las fechas de nacimiento, los números de seguro social (SSN) y los tratamientos de atención médica. HIPAA también tiene requisitos específicos para informar violaciones de datos relacionados con la atención médica en su Ley de tecnología de información de salud para la salud económica y clínica (HITECH).

Con la introducción del Reglamento General de Protección de Datos (RGPD) por parte del Parlamento Europeo y el Consejo en 2016, la necesidad de responder a las infracciones de seguridad de la información se ha convertido en un requisito normativo para cualquier empresa que opere dentro de la UE. Las empresas ahora están obligadas a:

  • Proporcionar notificaciones de violación de datos
  • Designar un delegado de protección de datos
  • Requerir el consentimiento del usuario para el procesamiento de datos
  • Anonimizar datos para privacidad.

En Estados Unidos, no existe una ley nacional que supervise las divulgaciones de violaciones de datos. Sin embargo, a partir de 2018, los 50 estados de EE. UU. tienen leyes de violación de datos de alguna forma. Hay algunos puntos en común que incluyen:

  • La obligación de notificar los afectados a la mayor brevedad
  • Informar al gobierno lo antes posible
  • Pagar algún tipo de multa

California fue el primer estado en regular las divulgaciones de violaciones de datos en 2003, requiriendo que las personas o empresas notifiquen a los afectados «sin demora razonable» e «inmediatamente después del descubrimiento».

Pasos para gestionar una violación de datos

Si has sido víctima de una violación de datos en tu empresa, estos son los pasos que debes seguir para gestionarla de manera eficaz:

Comienza tu plan de respuesta a incidentes

Una empresa normalmente se entera de que ha sido violada de una de cuatro maneras:

  • La infracción se descubre internamente (mediante la revisión de los registros del sistema de detección de intrusos, los registros de eventos, los sistemas de alerta, las anomalías del sistema o las alertas de malware del análisis antivirus).
  • Tu banco te informa que has sido violado en base a informes de fraude con tarjetas de crédito de clientes.
  • Los funcionarios encargados de hacer cumplir la ley descubren la infracción mientras investigan la venta de cuentas de tarjetas de crédito robadas en el mercado negro.
  • Un cliente se queja porque tu organización fue el último lugar en el que usó su tarjeta antes de que comenzara a acumular cargos fraudulentos.

Si sospechas que se ha producido una filtración de datos, este es tu objetivo: evitar el robo de información y reparar tus sistemas para que no vuelva a ocurrir una filtración. Esto comienza con la ejecución de tu plan de respuesta a incidentes (IRP).

Un plan de respuesta a incidentes bien ejecutado puede minimizar el impacto de la infracción, reducir las multas, disminuir la prensa negativa y ayudarte a volver al negocio más rápidamente. En un mundo ideal, ya deberías tener preparado un plan de respuesta a incidentes y empleados capacitados para tratar rápidamente una situación de filtración de datos.

Sin embargo, por alguna razón, la mayoría de las empresas que han sido violadas no tenían un plan de respuesta a incidentes en el momento de la incursión. Sin un plan, los empleados se esfuerzan por descubrir qué se supone que deben hacer, y ahí es cuando se cometen grandes errores. (p. ej., borrar un sistema sin crear primero imágenes de los sistemas comprometidos para saber qué ocurrió y evitar la reinfección).

Preservar evidencia

Cuando una organización se da cuenta de una posible infracción, es comprensible que quiera solucionarla de inmediato. Sin embargo, sin tomar las medidas adecuadas e involucrar a las personas adecuadas, podría destruir inadvertidamente datos forenses valiosos utilizados por los investigadores para determinar cómo y cuándo ocurrió la infracción, y qué recomendar para proteger adecuadamente la red contra el ataque actual o un futuro similar.

Cuando descubras una brecha, recuerda:

  • No te asustes
  • No borres ni vuelvas a instalar tus sistemas (todavía)
  • Sigue tu plan de respuesta a incidentes.

Contener la brecha

Tu primera prioridad en este momento es aislar los sistemas afectados para evitar más daños hasta que tu investigador forense pueda guiarte a través de la contención más compleja y a largo plazo.

  • Desconéctate de Internet tirando del cable de red del firewall/enrutador para detener el sangrado de datos.
  • Documenta todo el incidente. Documenta cómo te enteraste de la supuesta violación, la fecha y hora en que se te notificó, cómo se te notificó, qué se te dijo en la notificación, todas las acciones que tomaste desde ahora hasta el final del incidente, la fecha y hora en que desconectaste los sistemas en el entorno de datos de la tarjeta desde Internet, el acceso remoto deshabilitado, el cambio de credenciales/contraseñas y todos los demás pasos de refuerzo o reparación del sistema tomados.
  • Deshabilita (no elimines) la capacidad de acceso remoto y los puntos de acceso inalámbrico. Cambia todas las contraseñas de las cuentas y deshabilita (no elimines) las cuentas no críticas. Documenta las contraseñas antiguas para su posterior análisis.
  • Cambia las credenciales de control de acceso (nombres de usuario y contraseñas) e implementa contraseñas altamente complejas: más de 10 caracteres que incluyen mayúsculas y minúsculas, números y caracteres especiales.
  • Separa todos los dispositivos de hardware en el proceso de pago de otros dispositivos críticos para el negocio. Reubica estos dispositivos en una subred de red separada y mantenlos encendidos para preservar los datos volátiles.
  • Pon en cuarentena en lugar de eliminar el malware identificado encontrado por tu escáner antivirus para su posterior análisis y evidencia.
  • Conserva la configuración del firewall, los registros del firewall, los registros del sistema y los registros de seguridad (toma capturas de pantalla si es necesario).
  • Restringe el tráfico de Internet solo a servidores y puertos críticos para el negocio fuera del entorno de procesamiento de pagos. Si debes volver a conectarte a Internet antes de que llegue un investigador, elimina tu entorno de procesamiento de tarjetas de crédito de cualquier dispositivo que deba tener conexión a Internet y procesa tarjetas de crédito a través de terminales independientes de acceso telefónico obtenidos de tu banco comercial hasta que consultes con tu forense.
  • Comunícate con tu banco de procesamiento comercial (si aún no lo has hecho) e infórmales lo que sucedió.
  • Considera contratar a un bufete de abogados con experiencia en la gestión de filtraciones de datos. No será barato, pero pueden ayudarte a evitar trampas que podrían dañar tu marca. Tu bufete de abogados puede contratar a una firma forense para que investigue de inmediato y se asegure de que has controlado adecuadamente la infracción. Si las marcas de tarjetas de crédito han emitido un mandato de que debe realizarse una investigación forense, te solicitarán que contrates a un investigador forense de PCI (PFI) para realizar la investigación, incluso si tu o tu bufete de abogados ya han empleado una firma forense que no es de PFI.

Inicia la gestión de respuesta a incidentes

En este paso, esto es lo que debes hacer:

Reúne a tu equipo de respuesta a incidentes

Una violación de datos es una crisis que debe gestionarse mediante el trabajo en equipo. Reúne a tu equipo de respuesta a incidentes de inmediato.

Tu equipo debe incluir un líder de equipo, investigador principal, líder de comunicaciones, representante de C-suite, administrador de oficina, recursos humanos, TI, abogado, relaciones públicas y expertos en respuesta a infracciones. Cada uno trae un lado único a la mesa con una responsabilidad específica para manejar la crisis.

Considera las comunicaciones públicas

La comunicación adecuada es fundamental para gestionar con éxito una filtración de datos, y una función clave del equipo de respuesta a incidentes es determinar cómo y cuándo se realizarán las notificaciones.

Varios estados han legislado plazos obligatorios que dictan cuándo un comerciante debe realizar notificaciones a los tarjetahabientes potencialmente afectados. Debes conocer las leyes particulares de tu país y tener instrucciones en tu plan de respuesta a incidentes que describan cómo realizarás las notificaciones obligatorias.

Identifica de antemano a la persona dentro de tu organización (quizás tu asesor legal interno, una empresa de gestión de incumplimientos recién contratada, un ejecutivo de nivel C, etc.) que es responsable de garantizar que las notificaciones se realicen a tiempo y cumplan con los requisitos específicos. Tu respuesta pública a la violación de datos será juzgada en gran medida, así que piénsalo bien.

El estancamiento puede no ser lo mejor para ti

Tus clientes descubrirán si les ocultas información importante sobre violaciones. Si los medios marcan tu marca como no confiable por retener información, esa etiqueta podría terminar perjudicándote más que los otros efectos de la violación de datos. Algunas empresas caen en la trampa de «Asegurémonos de saber exactamente lo que está pasando antes de decir nada», pero los retrasos excesivos en la publicación de una declaración pueden verse como un intento de encubrimiento.

Por lo general, proporcionar cierta información es mejor que no decir nada. Siempre puedes proporcionar declaraciones actualizadas según sea necesario en tu sitio web. En todos los casos relacionados con declaraciones públicas, busca la orientación de tu asesor legal.

Asegúrate de que los empleados no anuncien la infracción antes que tu

Los empleados mal informados a menudo pueden hacer circular rumores, sean ciertos o no. Como equipo, establece tu política de medios que rija quién puede hablar con los medios. Designa un portavoz y asegúrate de que los empleados entiendan que no están autorizados a hablar sobre la infracción.

Dependiendo de tus circunstancias particulares, puede que te resulte beneficioso ocultar a los empleados de base el hecho de que tu empresa ha sufrido una violación de datos hasta poco antes de que se hagan declaraciones públicas.

Las divulgaciones de la infracción tanto dentro de la empresa como al público deben realizarse de acuerdo con el asesoramiento de su asesor legal.

Realiza comunicaciones específicas

Tu equipo de respuesta a incidentes debe elaborar declaraciones específicas dirigidas a las distintas audiencias, incluida una declaración de espera, un comunicado de prensa, una declaración del cliente y una declaración interna/del empleado. Estos deben comunicarse a las partes apropiadas que podrían verse potencialmente afectadas por la infracción, como contratistas externos, accionistas, autoridades policiales y, en última instancia, titulares de tarjetas.

Sus declaraciones deben cortar los problemas de raíz al abordar preguntas como:

  • ¿Qué ubicaciones se ven afectadas por la infracción?
  • ¿Cómo fue descubierto?
  • ¿Hay algún otro dato personal en riesgo?
  • ¿Cómo afectará a los clientes y a la comunidad?
  • ¿Qué servicios o asistencia (si los hubiere) brindarás a tus clientes?
  • ¿Cuándo volverá a estar en funcionamiento y qué harás para evitar que esto vuelva a suceder?

Explica que estás comprometido a resolver el problema y proteger la información y los intereses de tus clientes. Cuando lo consideres apropiado, podrías ofrecer una disculpa oficial y tal vez otras formas de asistencia.

Investiga, repara tus sistemas e implementa tus servicios de protección contra filtraciones

La gestión de una filtración de datos no termina con tu declaración pública. Ahora viene la parte más difícil: investigar y arreglar todo. Por suerte, no estás solo. Tu PFI realizará la mayor parte de la investigación y luego brindará recomendaciones sobre cómo reparar tu entorno para garantizar que esto no vuelva a suceder.

Vuelve a poner en línea los sistemas afectados

Una vez que se haya identificado y erradicado la causa de la infracción, debes asegurarte de que todos los sistemas se hayan fortalecido, parcheado, reemplazado y probado antes de considerar volver a introducir los sistemas previamente comprometidos en tu entorno de producción. Durante este proceso, hazte estas preguntas:

  • ¿Has implementado correctamente todos los cambios recomendados?
  • ¿Se han parcheado, reforzado y probado todos los sistemas?
  • ¿Qué herramientas/reparaciones garantizarán que estés a salvo de un ataque similar?
  • ¿Cómo evitará que esto vuelva a suceder?
  • ¿Quién responderá a las notificaciones de seguridad y será responsable de monitorear la seguridad, el sistema de detección de intrusos y los registros del firewall?

Estate preparado para estos costes

Obviamente, los costes financieros son distintos en función de: su tamaño, cuántas tarjetas de clientes fueron robadas, cómo ingresaron los piratas informáticos a tu organización, si eras consciente de tus vulnerabilidades, si tienes servicios de protección contra filtraciones, etc.

Si se infringe, es posible que solo seas responsable de algunas multas, o se puede esperar que pagues incluso más. Todo depende del tamaño de tu incumplimiento.

Asegúrate de que no vuelva a suceder

Una parte clave de una respuesta exitosa a una infracción es lo que aprendes de la infracción. Una vez que se haya asentado el polvo, reúne a tu equipo de respuesta a incidentes una vez más para revisar los eventos en preparación para el próximo ataque. Incorpora las lecciones que has aprendido y pregúntate: «¿Cómo podemos mejorar el proceso la próxima vez?» Y luego revisa tu plan de respuesta a incidentes. No olvides comunicar tu compromiso con la seguridad de los datos a los medios de comunicación, incluso después de haber reparado el daño.

Cómo prevenir violaciones de datos

No existe un producto o control de seguridad que pueda prevenir las filtraciones de datos por sí solo. Como mínimo, necesitas prácticas de seguridad de sentido común para hacer un intento razonable de reducir las filtraciones de datos. Esto incluye pruebas continuas de vulnerabilidad y penetración, protección contra malware, aplicación de contraseñas seguras, autenticación multifactor y actualización constante de hardware y software para parchear vulnerabilidades conocidas.

Estos pasos intentarán evitar las intrusiones en un entorno protegido y los profesionales de la ciberseguridad también deben fomentar el cifrado sólido de los datos confidenciales, independientemente de si se almacenan en las instalaciones o en servicios en la nube.

Las organizaciones también deben practicar la segmentación de la red, dividiendo las redes informáticas en subredes para reducir el impacto de un ataque si obtienen acceso a una red y, al mismo tiempo, aumentar el rendimiento.

Conclusión

Si no tienes un plan de respuesta a incidentes, hacer uno debe ser una prioridad. Luego practica y revisa tu plan. Sin revisiones anuales de escritorio y capacitaciones de simulación, tu personal entrará en pánico ante una violación de datos.

Sufrir una filtración de datos es una de las situaciones más estresantes que un propietario de una empresa u organización puede soportar, pero no tiene por qué ser el final de tu negocio. Recíbelo con un plan de respuesta a incidentes sólido y practicado para evitar un daño significativo a la marca.