El propósito de mantener la confidencialidad, integridad y disponibilidad de los datos personales es tomado directamente del mundo de la seguridad de la información; seguridad que es importante, no solo porque es un principio contemplado en la Ley Estatutaria 1581 de 2012 de protección de datos personales, conocida como la LEPDP, sino también porque es el respaldo de un buen gobierno de datos y puede ayudarle a la empresa a demostrar el cumplimiento de otros aspectos de dicha ley.
Por el contrario, la inseguridad pone en riesgo sus sistemas y servicios y puede ocasionar la pérdida, modificación, destrucción, comunicación o acceso no autorizado a los datos personales; es decir, incidentes de seguridad que pueden causar daños a los derechos y libertades de las personas, y acarrear sanciones de la Superintendencia de Industria y Comercio (SIC). Estos sucesos, además de ser situaciones problemáticas y estresantes para la empresa y las personas, son síntomas de que las medidas técnicas, humanas y administrativas aplicadas son vulnerables y no cumplieron con el objetivo de evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales.
Los incidentes de seguridad de datos se clasifican de acuerdo con los tres pilares de la seguridad de la información:
- Incidente que afecta la confidencialidad: el uso o acceso accidental o deliberado a los datos.
- Incidente que afecta la integridad: cuando los datos son usados, alterados o modificados afectando su exactitud y completitud.
- Incidente de disponibilidad: cuando se pierde la capacidad de acceder a la información por la destrucción accidental no autorizada o deliberada de los datos.
En la actual economía digital, que es impulsada por los datos personales como moneda de cambio que «viaja» por todo el mundo, los riesgos de que se presenten estos incidentes aumentan y pueden ocurrir en cualquier momento y en cualquier organización. Por esta razón, la manera en la que una organización se prepara para evitarlos es lo que marca la diferencia.
Enfoque de riesgo proactivo para evitar incidentes de seguridad de datos personales
La responsabilidad demostrada demanda un enfoque de riesgo que sea proactivo, no reactivo. Por lo tanto, implementar controles o medidas de seguridad para resolver un incumplimiento de la LEPDP luego de que ya ocurrió, no demuestra ningún tipo de responsabilidad. Cada empresa es única, por lo tanto, estas medidas deben ser apropiadas, efectivas y proporcionales al tamaño de la organización, a la naturaleza de los datos, al tratamiento aplicado y a los riesgos potenciales que ese tratamiento pueda causar sobre los derechos y libertades de las personas (artículo 26, Decreto 1377 de 2013). Algunos asuntos a los que se debe prestar atención para mantener o aumentar el cumplimiento de la ley en materia de ciberseguridad y protección de datos son los siguientes:
- Destinar recursos suficientes para el establecimiento e implementación de un programa integral de gestión de datos y de un sistema que permita gestionar la información de manera segura.
- Designar un oficial de protección de datos y uno de seguridad de la información para que velen por el cumplimiento de la LEPDP en la empresa.
- Revisar las medidas técnicas (certificados SSL/TLS y cifrado de datos, entre otros), legales (contratos de encargo y acuerdos de confidencialidad, entre otros) y organizacionales (políticas y procedimientos de seguridad de la información y protección de datos) necesarias según el tamaño empresarial, el volumen y tipo de datos e información, las operaciones que aplican sobre la información y el potencial riesgo que el tratamiento puede causar en las personas y la organización.
Buenas prácticas para incrementar la seguridad contra ataques y detectar ataques de ransomware, phishing, ingeniería social y errores humanos
Un alto nivel de cumplimiento de la seguridad de los datos será la mejor estrategia de defensa frente a incidentes de seguridad y requerimientos de la autoridad de protección de datos, asegúrese en todo momento de:
- Contar con un procedimiento de gestión de incidentes de seguridad de datos personales y de que los colaboradores estén en la capacidad de contactar al área o persona encargada de atender y gestionar las dudas, preguntas o reportes de estos sucesos.
- Entrenar a los colaboradores periódicamente frente a cómo reconocer y prevenir ataques de ransomware, phishing o ingeniería social; recordarles los peligros de reaccionar impulsivamente, y reforzar la obligación de reportarlos de forma inmediata al área o persona encargada de gestionar estos incidentes.
- Mantener cifrado en los discos con herramientas como BitLocker, VeraCrypt, DiskCryptor, Cryptomator y GnuPG, entre otras.
- Incorporar medidas de cifrado en los procesos de transmisión de correos electrónicos que contengan información personal de tipo sensible o secretos empresariales o comerciales.
- Contar con certificados SSL/TLS para el cifrado de todas las páginas web de la empresa.
- Contar con un software tipo anti-malware.
- Mantener un firewall y, de ser necesario, un software de detección de intrusos, y tenerlos actualizados.
- Revisar las configuraciones de seguridad predeterminadas, otorgadas o proporcionadas por cualquier servicio de correo electrónico como Gmail o Outlook, entre otros; y de aplicaciones de videoconferencias y trabajo colaborativo como Zoom, Teams, Google Meet, Slack y Trelo.
- Utilizar autenticación de múltiples factores para usuarios externos o basados en servicios de computación en la nube.
- Implementar controles para evitar que los usuarios respondan automáticamente a correos electrónicos provenientes de direcciones externas.
- Requerir e implementar medidas de cifrado en los procesos de transmisión de correos electrónicos y en los buzones de correo.
- Cifrar los datos en tránsito cuando se autentiquen usuarios o se transfiera información personal.
- Contar con mecanismos de autenticación como usuarios y contraseñas. Estos deberán ser almacenados con cifrado y de forma segura; por ejemplo, con un valor criptográfico de comprobación aleatoria de cifrado.
- Verificar los detalles de los remitentes de los correos electrónicos. Por ejemplo, que el dominio de donde proviene el mensaje sea realmente el de la empresa que dice porque, en ocasiones, puede tratarse de una suplantación.
- Crear reglas o políticas sobre cómo manejar los mensajes y archivos adjuntos en relación con el asunto de la comunicación.
- Establecer políticas claras y concretas, que no permitan interpretaciones, sobre el envío de correos electrónicos, y entrenar a los colaboradores frente a esto.
- Deshabilitar, en la plataforma de correo empresarial, la función «autocompletar» al momento de introducir direcciones de correo electrónico.
GESTIÓN Y REPORTE DEL INCIDENTE
Conforme un equipo de respuesta ante incidentes; asigne obligaciones para el diseño, elaboración, comunicación y evaluación de procedimientos que tengan como objetivo la atención y gestión del incidente al interior de su organización, por último y no menos importante, documente y reporte a los titulares de información personal y las autoridades competentes los incidentes sufridos, modifique, si es necesario, el proceso e implemente las mejoras necesarias para evitar que se repitan estos sucesos.