¿Tiene un plan de respuesta a la violación de datos?

Un plan de respuesta a la violación de datos ayuda a una empresa a responder a las violaciones de la privacidad y la seguridad de la información. Un plan bien diseñado y aplicado Respuesta a las violaciones de datos se asegurará de minimizar cualquier daño financiero y de reputación que resulte de un incidente de violación. Si la brecha incluye información personal, el daño financiero también podría extenderse a multas en virtud del GDPR, la Ley de Protección de Datos del Reino Unido u otra ley de privacidad en vigor. Las brechas de seguridad son graves y debe contar con un plan y políticas de seguridad para apoyar no solo a sus clientes, sino también a los miembros de su equipo.

El Encuesta mundial sobre delitos económicos y fraude de PwCEl informe de la Comisión Europea sobre la seguridad de los datos personales, afirma que el 70% de las empresas de todo el mundo no han puesto en marcha una estrategia para responder a una violación de datos. Si usted es una de las empresas que no han implantado una Respuesta a las violaciones de datosSiga leyendo.

Las modernas leyes de privacidad de datos imponen obligaciones a las empresas que controlan y procesan datos personales. Por ejemplo, el Reglamento General de Protección de Datos (RGPD) (Artículos 32-34) exige a los responsables del tratamiento que notifiquen a los reguladores y, en algunos casos, a las personas afectadas, en un plazo de 72 horas desde que tengan conocimiento de una violación de sus datos personales de la UE. Los procesadores de datos tienen una obligación similar de notificar a los controladores de datos afectados.

Las modernas leyes de privacidad de datos también imponen obligaciones de minimización de datos.

¿Qué es la minimización de datos?

El principio de "minimización de datos" significa que un responsable del tratamiento de datos debe limitar la recogida de información personal a lo que sea directamente pertinente y necesario para cumplir un fin específico. También debe conservar los datos sólo durante el tiempo necesario para cumplir ese propósito.

¿Qué es una violación de datos?

La Ley de Protección de Datos del Reino Unido y el GDPR de la UE definen un violación de datos personales como una violación de la seguridad que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales. 

Esto incluye las violaciones que son el resultado tanto de causas accidentales como deliberadas. También significa que una violación es algo más que la pérdida de datos personales o de la empresa. 

Umbrales que le obligan a notificar una infracción

Hay dos situaciones en las que una empresa que actúa como responsable del tratamiento debe notificar a terceros una violación de datos personales. En primer lugar, los responsables del tratamiento de datos deben notificar a las autoridades de control apropiadas en un plazo de 72 horas cuando la violación presente un "riesgo para los derechos y libertades de las personas físicas". En segundo lugar, los responsables del tratamiento deben notificar también a los interesados afectados cuando la violación presente un "alto riesgo para los derechos y libertades de las personas físicas".

Cuando una empresa actúa como procesador de datos, tendrá obligaciones de notificación similares a las de sus controladores de datos.  

Los plazos de notificación varían según la jurisdicción. Con arreglo al RGPD, por ejemplo, las infracciones notificables deben comunicarse sin demora indebida, pero a más tardar 72 horas después de tener conocimiento de ellas. Si se tarda más tiempo, hay que justificar el retraso.

Sección II de las Directrices del Grupo de Trabajo del Artículo 29 sobre la notificación de violaciones de datos personales ofrece más detalles sobre cuándo se puede considerar que un responsable del tratamiento ha "tenido conocimiento" de una violación.

¿Qué información debe contener una notificación de infracción al regulador?

A menudo, los requisitos específicos no están claramente establecidos en la normativa. Sin embargo, en el Reino Unido, al notificar una infracción a la OIC, el GDPR británico establece que se debe proporcionar:

1. Una descripción de la naturaleza de la violación de los datos personales, incluyendo, cuando sea posible:
   1. las categorías y el número aproximado de personas afectadas; y
   2. las categorías y el número aproximado de registros de datos personales afectados
2. El nombre y los datos de contacto del responsable de la protección de datos (si su organización tiene uno) u otro punto de contacto donde pueda obtenerse más información
3. Una descripción de las consecuencias probables de la violación de los datos personales; y
4. Una descripción de las medidas adoptadas, o que se proponen adoptar, para hacer frente a la violación de los datos personales y, en su caso, de las medidas adoptadas para mitigar los posibles efectos adversos

Formación y pruebas de los empleados

La formación correcta y adecuada del personal, incluida la realización de simulacros de violación, es el primer paso en la prevención de las violaciones de datos.

El Reglamento General de Protección de Datos exige a los responsables y encargados del tratamiento de datos que impartan formación en materia de protección de datos a los miembros del personal. Estos son los temas que hay que tener en cuenta a la hora de determinar qué formación hay que impartir y a quién:

1. Para que las empresas que actúan como responsables del tratamiento de datos cumplan con sus requisitos de responsabilidad en virtud del GDPR, deben ser capaces de demostrar que el personal que participa en el tratamiento de datos personales ha sido informado y comprende los principios fundamentales de protección de datos que se encuentran en el GDPR Artículo 5
2. Como responsable del tratamiento de datos, una empresa debe aplicar las medidas técnicas y organizativas adecuadas para garantizar, y poder demostrar, que su tratamiento de datos personales se realiza de conformidad con el RGPD. La formación del personal sobre el cumplimiento del RGPD debe hacer referencia a las medidas técnicas y organizativas vigentes en su empresa
3. Cuando una empresa actúe como encargada del tratamiento de datos, deberá formar a todos los miembros pertinentes del personal para asegurarse de que comprenden las instrucciones y limitaciones que se aplican cuando la empresa trata datos personales en nombre de un tercero
4. Las empresas deben organizar iniciativas de concienciación y formación para los miembros del personal, independientemente de que se haya designado un responsable de la protección de datos (RPD), pero cuando una empresa tiene un responsable de la protección de datos, este tiene la obligación legal de supervisar el cumplimiento del RGPD, incluso con respecto a la concienciación y la formación del personal que participa en las operaciones de tratamiento
5. Las empresas también deben asegurarse de que cualquier RPD designado tenga acceso a la formación especializada que necesita para desarrollar o mantener los conocimientos legalmente requeridos con las leyes y prácticas de protección de datos

Pasos prácticos a seguir

1. Todos los empleados y el personal que manejan datos personales o, más generalmente, tienen acceso a datos personales, deben completar la formación básica del GDPR lo antes posible
2. Debería ofrecerse una formación más especializada y avanzada a los miembros del personal encargados de operaciones específicas de tratamiento de datos, como el tratamiento de datos "sensibles" o de categorías especiales de clientes.
3. La concienciación y formación del personal no debe ser un acto puntual, sino que debe ofrecerse de forma periódica, al menos anualmente, para tener en cuenta las novedades en las operaciones de tratamiento de datos de la empresa y el panorama legal y reglamentario               

Protección contra la violación de datos

El Reglamento General de Protección de Datos (Artículos 5 & 32) exige que las empresas traten los datos personales de forma segura y con arreglo a medidas técnicas y organizativas adecuadas. El nivel de seguridad y la naturaleza de las medidas técnicas y organizativas deben ser "adecuados al riesgo" que el tratamiento supone para "los derechos y libertades de las personas físicas".

Las empresas también están obligadas a garantizar que cualquier persona que actúe bajo su autoridad, como un empleado, con acceso a los datos personales, no los procese excepto en la forma indicada. Es importante tener en cuenta este requisito a la hora de decidir qué personas de su empresa deben recibir formación sobre las normas de protección de datos y la protección de datos en general.

¿Cómo saben las empresas que han sufrido un incidente de violación de datos?

Por lo general, una empresa se enterará de que ha sido o está siendo objeto de una infracción de dos maneras:

1. Descubrimiento interno - La brecha se descubre debido a una alerta de detección de intrusos, una alerta de malware, un análisis antivirus o durante una revisión periódica de los registros de eventos y del sistema.
2. Descubrimiento externo - Un tercero le informa de un uso inusual o fraudulento de sus datos:
   1. Su banco podría informarle de que ha sido objeto de una infracción basada en una actividad bancaria inusual o fraudulenta
   2. Un cliente podría quejarse porque su sitio web fue el último lugar en el que utilizó su tarjeta antes de empezar a ver cargos fraudulentos

Si sabe o sospecha que se ha producido una filtración de datos, su primer objetivo es contenerla para evitar que se sustraiga más información. Una vez contenida, puede iniciar el proceso de análisis y aplicación de medidas adicionales para evitar que se repita.

Independientemente de si se han seguido las mejores prácticas o no, a veces pueden producirse filtraciones de datos confidenciales.

Planificación de la respuesta ante la filtración de datos: disponer de un plan de respuesta ante la filtración de datos

Un sistema sólido y bien diseñado respuesta a la violación de datos un plan y un proceso pueden reducir drásticamente los daños causados a una organización en caso de catástrofe. 

Tanto si se trata de un ataque de ransomware como de un incidente de ciberseguridad u otra infracción, existen siete razones para que los proveedores de servicios cuenten con un plan de respuesta a incidentes:

1. Le prepara para la inevitable emergencia - Las violaciones de datos no vienen con una advertencia, así que tiene sentido estar preparado.
2. Hace que su respuesta sea repetible y escalable en toda la empresa - Su equipo de infracciones tendrá un plazo legal para responder y notificar al regulador. Un plan dirigirá la evaluación, el análisis de riesgos y el proceso de notificación de forma repetible.
3. Mejora la coordinación - En las grandes empresas, los procesos de información interna y de mensajería externa suelen ser complejos y requerir mucho tiempo. Incluir en el plan protocolos de coordinación y comunicación evitará errores de mensajería.
4. Expone las lagunas de sus Medidas Técnicas y Organizativas (MTO) - En las empresas de tamaño medio con personal limitado o con poca experiencia técnica, la creación de un plan de respuesta a incidentes pondrá de manifiesto cualquier laguna evidente en el sistema de gestión de riesgos que permita mitigarla antes de que se produzca un incidente.
5. Institucionaliza el conocimiento - Un plan de respuesta a incidentes bien diseñado incluirá protocolos para garantizar que las lecciones aprendidas no se olviden con el tiempo.
6. Capacidad de permanencia en el tiempo - Un plan de respuesta a incidentes crea procesos claros y repetibles que pueden actualizarse fácilmente a medida que se aprenden lecciones o cambian los requisitos legales. Su equipo de seguridad seguirá el plan, paso a paso, en cada incidente, mejorando la coordinación y la eficacia de la respuesta a lo largo del tiempo.
7. Reduce la responsabilidad de la organización - Un plan de respuesta a incidentes con una documentación clara reduce la responsabilidad de una organización al permitirle demostrar a los reguladores o a las autoridades supervisoras que la infracción se gestionó correctamente y dentro de los plazos permitidos. 

Debe considerarse la posibilidad de poner en marcha su plan de respuesta dentro de una plataforma de privacidad. Con la velocidad de los cambios que se están produciendo actualmente en las leyes de privacidad de datos a nivel mundial y la naturaleza extraterritorial de las regulaciones modernas de privacidad de datos, el costo y los gastos generales de mantener un plan basado en papel pronto se vuelven prohibitivos, mientras que también aumenta la probabilidad de introducir riesgos innecesarios en su negocio.

Equipos de respuesta

Para ejecutar un plan de respuesta a incidentes, se necesita un equipo de respuesta experimentado y bien formado. Dicho equipo suele estar compuesto por empleados con otras funciones a tiempo completo. Dado que su participación en el equipo de respuesta solo es necesaria durante un incidente, es importante que reciban formación periódica y se sometan a pruebas en simulacros de violación de datos.

Cómo puede ayudar el Grupo de Privacidad de Datos

The Data Privacy Group es un socio premium de OneTrust. Nuestro equipo de expertos está acreditado por CIPP/E y certificado como OneTrust Fellows of Privacy Technology. 

Somos expertos tanto en la configuración del módulo de incidentes y brechas de OneTrust como en la dirección de equipos de brechas para evaluar y gestionar la respuesta a incidentes y brechas. Nuestro enfoque abarca los tres aspectos de un incidente:

1. INTEGRAR E INVESTIGAR - Reunir todas las métricas clave y el contexto necesario para comprender el impacto de un incidente.
2. EVALUAR Y NOTIFICAR - utilizando Athena, el motor de IA de OneTrust, autogenerar orientación y responder con confianza con plantillas de notificación para más de 300 jurisdicciones.
3. MEJORAR - automatizar el análisis de la causa raíz después de cada incidente para reducir las posibilidades de que vuelva a producirse el mismo incidente.

Al desplegar OneTrust Incident and Breach Management, el DPG le ayuda a poner en funcionamiento su plan de respuesta a incidentes y alivia la necesidad de gastar sumas importantes en asesoramiento jurídico externo. Nuestro enfoque:

1. Mejora la visibilidad de los incidentes:
   1. Admita los incidentes inmediatamente a través de formularios web de incidentes preconfigurados y configurables o de integraciones con sus herramientas existentes de SIEM/DLP, proveedor de correo electrónico y ITSM.
   2. Permitir a los administradores de la empresa añadir incidentes y capturar las métricas clave de los incidentes por adelantado.
   3. Siga el progreso de la respuesta a la infracción y los plazos de notificación con paneles centralizados fáciles de usar.
2. Facilita el proceso de investigación
   1. Agilice la respuesta a los incidentes con flujos de trabajo automatizados basados en reglas según la ley, la ubicación o la gravedad.
   2. Reúna todo el contexto necesario para comprender el impacto de un incidente con un registro centralizado del historial de actividades, las subtareas y la documentación de apoyo.
   3. Vincule los incidentes a su mapa de datos y al inventario de proveedores para obtener información clave, como las obligaciones contractuales, los datos almacenados y los riesgos potenciales.
3. Autogeneración de orientaciones mediante un análisis multijurisdiccional
   1. Reaccione más rápido con la automatización de la evaluación inicial de las infracciones mediante la inteligencia de OneTrust Data Guidance.
   2. Responda con confianza gracias a las plantillas integradas de evaluación de notificación de infracciones de más de 300 jurisdicciones.
   3. Aprovechar una única evaluación que reúna toda la información necesaria para cada requisito jurisdiccional a fin de informar sobre la estrategia de respuesta adecuada.
4. Simplifica las notificaciones de incidentes e infracciones
   1. Ahorre tiempo decidiendo qué poner en los informes de notificación global aplicables con las plantillas incorporadas.
   2. Agilice el proceso de notificación con propietarios asignados, plazos y recordatorios automáticos.
   3. Encuentre la información correcta más rápidamente con una personalización flexible de los informes y un filtrado sencillo.
5. Mitiga los riesgos y aumenta la preparación para el cumplimiento de la normativa
   1. Demuestre el cumplimiento, cuando sea necesario, con pistas de auditoría autogeneradas y exportables.
   2. Automatice los análisis de las causas raíz después de cada incidente para identificar las tácticas de mitigación posteriores que reduzcan las posibilidades de que se repita el mismo incidente.
   3. Optimice su programa de respuesta a incidentes con el seguimiento de los KPI y los paneles de información.

Nuestros servicios de gestión continua garantizarán que su programa de respuesta a las infracciones se mantenga siempre vigente, ajustando y actualizando el marco a medida que su empresa crezca o cambie la legislación.

En caso de violación de datos, si necesita apoyo, podemos ayudarle gracias a nuestro Datos de la marca Servicios de emergencia. Nuestros expertos ayudan a los equipos, evalúan y gestionan las infracciones en tiempo real. Podemos ayudarle a preparar respuesta a la violación de datos y un completo plan de comunicación que le garantice la adopción de las medidas necesarias para informar a autoridades, reguladores y clientes, y mucho más.

Podemos proporcionarle acceso a los cursos de formación sobre privacidad de datos de OneTrust o poner a prueba la preparación de su equipo de protección contra la intrusión mediante uno de nuestros complejos simulacros.

En respuesta a la violación de datos plantillas de planes hasta convertirse en un equipo subcontratado de respuesta a incidentes, sean cuales sean sus necesidades, estamos aquí para ayudarle.