Incidentes de seguridad en el tratamiento de datos personales, parte 2. Pasos para responder a un incidente de seguridad

En esta segunda entrega queremos llevarles la columna vertebral de lo que podríamos acondicionar como el procedimiento de respuestas ante incidentes de seguridad en el tratamiento de datos personales. Las organizaciones, independientemente de su tamaño o naturaleza jurídica, son las llamadas a definir cómo proceder ante un incidente de seguridad. Por consiguiente, es importante resaltar que este documento no incluye todos los deberes legales sobre la materia, tampoco resuelve situaciones particulares ni las exime de cumplir los requerimientos de ley. Sea este el momento para agradecerles el poder aguantar en ocasiones las faltas técnicas, errores de redacción y de ortografía, pero la intención es compartir sencillamente temas que considero son de vital importancia en este camino que asumimos y enfrentamos en la seguridad, pero especialmente en la Administración del Riesgo. Les deseo un feliz nuevo año, consciente que el próximo 2021 será una gran oportunidad para demostrar nuestra capacidad de resiliencia y Dios mediante nos veremos el pronto, por ahora abordamos nuestro tema de la siguiente manera:

PASOS PARA RESPONDER A UN INCIDENTE DE SEGURIDAD

1.      Contener el incidente de seguridad y hacer una evaluación preliminar

Una vez que las organizaciones tengan conocimiento de la ocurrencia de un incidente de seguridad deberán adoptar las medidas inmediatas para limitar esa falla y evitar cualquier compromiso adicional a la información de carácter personal bajo su cuidado. En esta primera etapa, las organizaciones también deberán comenzar una investigación inicial sobre el evento u ocurrencia. La indagación preliminar les ayudará a responder las siguientes preguntas respecto del incidente de seguridad:

• ¿Cómo se produjo?
• ¿Cuándo y dónde tuvo lugar?
• ¿Cuál fue la naturaleza y quién lo detectó?
• ¿Se continúa compartiendo o divulgando información personal sin Autorización?
• ¿Quién tiene acceso a la información personal?
• ¿Qué se puede hacer para asegurar la información o detener el acceso, divulgación o disponibilidad no autorizada y reducir el riesgo de daños a los afectados?
• ¿Es un incidente de seguridad relacionado con Datos Personales que requiere la notificación a las personas tan pronto como sea posible?

Durante esta etapa preliminar, las organizaciones deben tener cuidado de no destruir la evidencia que pueda ser valiosa para:

• Establecer la causa del incidente de seguridad.
• Identificar todos los riesgos generados a los Titulares de la información.
• Responder los requerimientos de la SIC u otras autoridades.

2.      Evaluar los riesgos e impactos asociados con el incidente de seguridad

La adecuada gestión de riesgos requiere un profundo y juicioso proceso de identificación y evaluación del nivel de severidad del incidente de seguridad; la probabilidad de daño para los Titulares de la Información; el nivel de riesgo para sus derechos y libertades; y el Tratamiento que se dará a esos riesgos. Un incidente de seguridad puede tener una variedad de efectos adversos sobre las personas que puede dar lugar a problemas de discriminación, suplantación de identidad o fraude, pérdidas financieras, daño reputacional, pérdida del carácter confidencial de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo. El nivel de riesgo del incidente de seguridad frente a los Titulares de la información puede ser cuantificado y/o calificado. Dependiendo de la metodología definida por cada organización, el riesgo puede ser calificado en:

Bajo riesgo: es improbable que el incidente de seguridad tenga un impacto en las personas, y de generarlo, este sería mínimo.

Riesgo medio: el incidente de seguridad puede tener un impacto en las personas, pero es poco probable que el impacto sea sustancial

Riesgo alto: el incidente de seguridad puede tener un impacto considerable en las personas afectadas.

Riesgo grave: el incidente de seguridad puede tener un impacto crítico, extenso o peligroso en las personas afectadas.

Se debe tener en cuenta que el nivel del riesgo no debe basarse únicamente en la clasificación de los Datos Personales (público, semiprivado, privado y sensible), en razón a que el impacto de un incidente de seguridad en los Datos Personales involucra un carácter contextual. Por ejemplo, el hurto de una base de datos que contiene los nombres de las personas junto con los números de identificación personal, la descripción de la finalidad o las fechas de nacimiento pueden representar un alto nivel de riesgo, mientras que, el hurto de una base de datos que contiene solo los nombres de las personas puede representar un riesgo menor. Corresponderá a cada organización, de acuerdo con el Principio de Responsabilidad Demostrada, definir su propio modelo interno de evaluación donde el foco de atención no se centrará en los riesgos que se ciernen sobre ella, sino por el contrario, en el riesgo para los Titulares de la información.

Son factores que pueden ser tenidos en cuenta para determinar el nivel de riesgo:

EN LOS TITULARES DE LA INFORMACIÓN

• ¿Qué cantidad de personas fueron afectadas?
• ¿Qué categoría de personas fueron afectadas?
• ¿Cuáles son las características especiales de las personas afectadas? Por ejemplo: niños, niñas y/o adolescentes; personas en estado de vulnerabilidad; personal del sindicato, etc. En los datos personales
• ¿Cuál fue el volumen de los datos afectados?
• ¿Cuál fue el periodo durante el cual los datos fueron afectados o estuvieron comprometidos?
• ¿Qué tipo de información personal fue afectada? Por ejemplo, identificación personal, datos biométricos, historia clínica, datos genéticos, pruebas académicas, registros de localización, direcciones IP, mensajes de texto, información financiera y crediticia, datos genéticos, perfiles de comportamiento, puntajes de crédito, etc.
• ¿Qué tan sensible es la información comprometida? Por ejemplo: datos de niños, niñas y/o adolescentes; datos biométricos, genéticos o de salud; perfiles de comportamiento; resultados de decisiones automatizadas; orientación sexual; datos políticos; etc.
• ¿Cuál es el contexto de la información personal comprometida?
• ¿Estaba la información personal adecuadamente cifrada, anonimizada? ¿Era inaccesible?
• ¿Cómo se puede utilizar la información personal afectada?
• ¿Existe un riesgo a una mayor exposición de la información personal?
• ¿Está la información personal disponible públicamente en internet?
• ¿Se puede utilizar la información personal para fines fraudulentos o puede causar cualquier tipo de daño material y/o inmaterial al Titular?
• ¿Se ha recuperado la información personal? EN LA ORGANIZACIÓN
• ¿Qué causó el incidente de seguridad?
• ¿Cuándo y con qué frecuencia ocurrió el incidente de seguridad?
• ¿Es este un problema sistémico o aislado?
• ¿Cuál fue el alcance del incidente de seguridad?
• ¿Qué medidas se han tomado para mitigar el daño?
• ¿Cuáles son las actividades y operaciones que desarrolla la organización? Por ejemplo: entidades financieras, entidades públicas, proveedores de aplicaciones móviles, colegios, farmacias, hospitales, almacenes de ropa, operadores de información, proveedores de redes sociales, etc.
• ¿Los datos comprometidos afectarán las transacciones que debe realizar la organización con terceros externos?

3.      Identificar los daños para las personas, organizaciones y público en general

¿Qué daños para las personas podrían resultar de un incidente de seguridad? Los ejemplos incluyen:

• Riesgo en su seguridad física o psicológica
• Extorsión económica o sexual
• Hurto de identidad
• Suplantación de identidad
• Pérdida financiera
• Negación de un crédito o seguro
• Perfilamiento con fines ilícitos
• Pérdida de negocios u oportunidades de empleo
• Discriminación
• Humillación significativa o pérdida de dignidad y daño a la reputación.

¿Qué daño para la organización podría resultar de un incidente? Los ejemplos incluyen:

• Pérdida reputacional
• Pérdida de clientes o usuarios
• Pérdida de confianza en la organización
• Honorarios de consultores e ingenieros forenses
• Pérdida de activos
• Sanciones, órdenes e instrucciones administrativas
• Exposición financiera
• Órdenes judiciales
• Demandas judiciales

¿Qué daño para el público podría resultar de un incidente de seguridad? Los ejemplos incluyen:

• Riesgo para la salud pública
• Riesgo para la seguridad pública
• Pánico económico
• Alteración de los pilares constitucionales de un país

4. Notificar a la Superintendencia de Industria y Comercio

Las organizaciones deben reportar la ocurrencia del incidente de seguridad ante la SIC sin dilación indebida y a más tardar dentro los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos. La notificación de un incidente de seguridad en Datos Personales debe contener, como mínimo, la información que establece el Registro Nacional de Bases de Datos (RNBD). Identificar los daños para las personas, organizaciones y público en general.

5. Comunicar a los titulares de la información

La comunicación a los Titulares de la Información brinda la oportunidad para que ellos mismos puedan adoptar las medidas necesarias para protegerse de las consecuencias de un incidente de seguridad. Por ejemplo, cambiar su nombre de usuario y contraseña; monitorear su historial crediticio; cancelar su tarjeta de crédito; etc. Debe tenerse en cuenta que la “Guía para la Implementación del Principio de Responsabilidad Demostrada” señala que es importante que las organizaciones implementen mecanismos que les permitan comunicarse de manera eficiente con los Titulares de la información para: (i) informarles sobre el incidente de seguridad relacionado con sus Datos personales y las posibles consecuencias; y, (ii) proporcionar herramientas a los Titulares para minimizar el daño potencial o

causado. Dicho esquema de comunicación debe estar incluido en el protocolo de respuesta. Por ello, las organizaciones deberán abordar los siguientes cuatro interrogantes si decide comunicar el incidente a los Titulares de la información:

1. ¿Cuándo comunicar?
2. ¿Cómo comunicar?
3. ¿Quién debe comunicar?
4. ¿Qué debe incluirse en la comunicación?

Las comunicaciones deben ser suficientes claras y precisas para permitir que los Titulares de la información comprendan la importancia del incidente y que tomen las medidas, si es posible, para reducir los riesgos que podría resultar de su ocurrencia. Es primordial no incluir información personal innecesaria en el aviso para evitar una posible divulgación no autorizada.

6. Prevenir futuros incidentes de seguridad en Datos personales

Una vez que se hayan tomado las medidas necesarias para mitigar los riesgos asociados con el incidente, las organizaciones deberán ejecutar un plan de prevención para evitar futuros eventos que puedan afectar los datos personales que han tratado. Prevenir futuros incidentes de seguridad en Datos Personales esto genera retos al interior de las organizaciones:

• Revisar las condiciones del Tratamiento.
• Realizar auditorías internas, externas o mixtas.
• Robustecer las políticas, procesos y procedimientos.
• Ajustar las evaluaciones de impacto en datos personales
• Establecer esquemas de trabajo a corto, mediano y largo plazo. Así como los roles y responsabilidades.
• Generar apoyo y compromiso de la Alta Gerencia para desplegar los cambios que se requieran al interior de las organizaciones.

Ejemplos de medidas a implementar con posterioridad a la ocurrencia de un incidente:

• Reforzar los programas de capacitación y educación del personal.
• Identificar y mejorar los controles internos que no tuvieron el efecto esperado en la contención de la brecha de seguridad.
• Identificar y eliminar malware o desactivar cuentas de usuarios vulnerables.

• Realizar un contraste con las medidas adoptadas para solucionar el incidente de seguridad en cuestión, y garantizar un análisis pormenorizado de las soluciones que pudieron haberse adoptado. • Actualizar el antivirus de la organización.
• Analizar con el antivirus todo el sistema operativo, incluidas aquellas secciones que no se vieron afectadas.
• Garantizar que la estrategia adoptada encuentre un balance entre la continuidad del negocio y el riesgo intrínseco en los activos que se hayan visto afectados por el incidente de seguridad.
• Elaborar un informe final tendiente a recopilar la información, plazos de actuación y medidas adoptadas, de cara a una revisión por terceras personas.

Fuente: CARLOS ALFONSO BOSHELL NORMAN