En el mundo empresarial, es frecuente escuchar que sufrir un incidente de seguridad de la información o un ataque llegará y que solo es cuestión de tiempo. Esto es cierto tanto para las PyMEs como las empresas globales. Cualquier incidente, sea pequeño o grande, sea accidental o deliberado, puede causar daños a las empresas y a los titulares de los datos.
El riesgo existe en cualquier eslabón de la cadena que empieza desde la seguridad de nuestros equipos y contraseñas, hasta las medidas de seguridad de las empresas a las que les damos nuestra información.
Por ello, todas las empresas que tratan datos personales, deben estar preparadas para enfrentar brechas de datos personales y minimizar las consecuencias que pueden incluir costos de investigación, costos de remediación, honorarios de agencias de relaciones públicas para el manejo de crisis y otros costos como interrupción de actividades, sanciones regulatorias, penas convencionales, pérdida de valor en empresas públicas o en proceso de venta, pagos por daños y perjuicios a los afectados y, más grave aún, el daño reputacional y la pérdida de la confianza de sus clientes.
¿Es lo mismo un incidente de seguridad que una brecha de datos?
Desde un punto de vista técnico, un incidente de seguridad es "una violación o amenaza inminente de violación de las políticas de seguridad informática, las políticas de uso aceptable o las prácticas de seguridad estándar" (ver la definición del National Institute of Standards and Technology, disponible en inglés aquí). Por otro lado, desde una óptica legal, una brecha de datos personales se refiere a "todas aquellas brechas de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos" (guía para la notificación de brechas de datos personales de la AEPD.)
En México, desde junio de 2018, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales publicó las Recomendaciones para el manejo de incidentes de seguridad de datos personales, en donde se define la "vulneración de seguridad" como el incidente de seguridad que afecta los datos personales en cualquier fase de su tratamiento. De acuerdo con el artículo 63 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y 38 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, se consideran al menos las siguientes vulneraciones: (i) la pérdida o destrucción no autorizada; (ii) el robo, extravío o copia no autorizada; (iii) el uso, acceso o tratamiento no autorizado, o (iv) el daño, la alteración o modificación no autorizada.
Dicho lo anterior, podemos afirmar que "toda brecha de datos personales es un incidente de seguridad."
Ahora bien, desde la normatividad de protección de datos personales en México, conforme a lo dispuesto en el Artículo 20 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, las llamadas "vulneraciones de seguridad" (cuando técnicamente son "brechas de datos personales"), que afecten de forma significativa los derechos patrimoniales o morales de los titulares, deben ser informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.
Es decir, conforme a la regulación mexicana, un incidente de seguridad tiene implicaciones de protección de datos personales únicamente si se reúnen los requisitos señalados en la LFPDP y las acciones a adoptar dependen en gran medida de lo que se ha puesto en riesgo, las posibles consecuencias para los titulares y el nivel de sensibilidad de los datos (no confundir con datos sensibles).
¿Cómo deberían estar preparadas las empresas frente a brechas de datos personales?
Creemos que no hay un solo camino para prepararse, pero, aquí van algunas acciones que consideramos relevantes:
- Adoptar un marco de seguridad de la información. Lo ideal es empezar con la adopción de un marco de gobierno de seguridad de la información para la organización. Un ejemplo, es la serie ISO 27000 de la Organización Internacional para la Normalización. Esta serie cuenta con 60 estándares que cubren diversos espectros de seguridad de la información. Otro ejemplo, que es uno de los marcos más actualizados y robustos en materia de ciberseguridad es el NIST SP 800. De hecho, una buena política de privacidad se complementa de maravilla con un marco de seguridad de la información.
- Elaborar y adoptar un protocolo de actuación ante brechas de medidas de seguridad de datos personales. Una vez elegido el marco de gobierno, el segundo paso sería diseñar un plan de respuesta a incidentes de seguridad. Este protocolo es un traje a la medida dependiendo del tamaño de la organización, la industria, su estructura, el volumen de información (incluyendo datos personales), entre otros aspectos. Sin duda, es el documento clave en una situación de brecha de datos personales, pues delimita los procesos y acciones que debe adoptar la organización y define al equipo de respuesta, que incluye equipo técnico, ejecutivo, legal y, en su caso, forense y de relaciones públicas.
- Realizar revisiones y auditorías periódicas desde los ángulos de seguridad de la información y protección de datos personales.
- Sensibilización y capacitación. De nada sirve tener un protocolo si los empleados clave no lo conocen. Es de vital importancia que dicho plan sea conocido al interior de la empresa y que los interesados estén debidamente capacitados en qué se debe hacer, la secuencia y prioridad de pasos a adoptar para el manejo de la crisis. La identificación de un incidente de seguridad es un momento que requiere de atención crítica para evitar errores que pueden darse si no se cuenta con claridad.
- Contratar un seguro. Otra acción que tu empresa debe considerar es contar con seguros con coberturas debidamente analizadas y acordes al riesgo y tipo de compañía. El seguro de cobertura cibernética es un seguro de daños, clasificado dentro de las líneas financieras de las aseguradoras para proteger contra las amenazas del mundo digital. Cualquier negocio que utilice la tecnología para gestionar su negocio, tiene riesgo cibernético de sufrir un ataque o una vulneración. Si bien se deben analizar con el apoyo de un agente de seguros experimentado, las coberturas ofrecidas por cada compañía, en términos generales, este seguro cubre a las empresas contra robo, pérdida, divulgación no autorizada y secuestro de información confidencial (es decir, ransomware), incluyendo datos de sus clientes que causen daños a terceros, daños a su propia operación o sean sujetos a multas o acciones de reparación de daño.
Un seguro de este tipo puede dar acceso a servicios inmediatos de expertos para la remediación y mitigación, así como proveer herramientas de prevención. Es importante leer con cuidado las coberturas y exclusiones que, a diferencia de la creencia común de que viene en letras chiquitas, están resaltadas en una tipografía mayor en todas las condiciones de un seguro en México.
En algunas ocasiones, este tipo de seguros puede contar también con la cobertura de interrupción de negocios. Es decir, si como consecuencia del incidente se suspenden las operaciones de la empresa, sujeto a los requisitos y límites de la cobertura, estarían cubiertas las ganancias que se dejan de percibir durante el período de suspensión.
Si le interesa este tema, le sugerimos que consulte los recursos que ofrece el INAI. Otras fuentes de información que recomendamos son la Agencia Española de Protección de Datos y este interesante blog llamado TodoPDP.