En el marco del Protocolo de Respuesta al Manejo de Violaciones e Incidentes, el experto Carlos Alfonso Boshell Norman (CCO®)-(PPE®) compartió lineamientos clave para actuar frente a situaciones de hurto o pérdida de dispositivos como celulares, tabletas o portátiles, que pueden ser corporativos o personales, pero que contienen información y datos personales de una organización. (Respuesta ante una exposición de seguridad de datos personales)
La pérdida o robo de un equipo de este tipo no solo implica la afectación de un activo físico, sino también el compromiso de la información que alberga, lo cual puede derivar en riesgos legales, reputacionales y operativos. Por ello, la respuesta debe ser inmediata y estructurada.
1. Actuar de inmediato
Se recomienda reportar de forma inmediata el incidente al área de TI o seguridad de la organización, así como a la autoridad competente (en Colombia, la Policía Nacional a través de la línea 123 o la plataforma A Denunciar). Igualmente, se debe informar al jefe inmediato y al área encargada de cumplimiento o protección de datos.
2. Bloqueo y protección del dispositivo
Es fundamental solicitar al operador móvil el bloqueo del IMEI y la SIM para evitar usos no autorizados, activar el borrado remoto si está disponible (Android: Find My Device, iOS: iCloud Find), y cerrar sesiones activas de aplicaciones como WhatsApp, Gmail, Outlook o redes sociales desde otro dispositivo.
3. Gestión de credenciales y accesos
Se debe cambiar de inmediato las contraseñas de cuentas corporativas vinculadas al equipo, revocar accesos a sistemas internos, VPN y correo institucional, además de monitorear cualquier actividad sospechosa en las cuentas asociadas. (Respuesta ante una exposición de seguridad de datos personales)
4. Medidas organizacionales complementarias
Registrar el incidente en el sistema de gestión de seguridad de la información y evaluar el impacto sobre datos personales y confidenciales forma parte de las acciones preventivas y correctivas necesarias.
5. Prevención futura
Entre las medidas preventivas destacan el cifrado completo de disco en dispositivos corporativos, la implementación de software de gestión de dispositivos móviles (MDM) para control y borrado remoto, y la capacitación constante del personal en el uso seguro de dispositivos y la importancia del reporte inmediato de incidentes.
En Colombia, la Ley 1581 de 2012 establece que sin seguridad no hay un debido tratamiento de datos personales. Esta norma obliga a responsables y encargados del tratamiento a implementar medidas técnicas, humanas y administrativas necesarias para proteger la información, evitar su adulteración, pérdida o acceso no autorizado, y notificar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad que pongan en riesgo la administración de los datos de los titulares.
Protocolo de Respuesta ante Incidentes de Seguridad de Datos Personales
La protección de datos personales no es solo una obligación legal, sino una responsabilidad estratégica para todas las organizaciones. En cumplimiento del artículo 27 del Decreto 1377 de 2013 y de la Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability), es fundamental que toda persona jurídica cuente con un protocolo de respuesta al manejo de violaciones e incidentes de seguridad.
Este protocolo, que debe ser liderado por el Oficial de Protección de Datos o el área responsable, garantiza que ante cualquier incidente se actúe de manera rápida, eficiente y conforme a la ley.
Pasos clave para responder a un incidente de seguridad
1. Contener el incidente y evaluar preliminarmente
Tan pronto se detecte una brecha de seguridad, la organización debe tomar medidas inmediatas para limitar el impacto y evitar un mayor compromiso de la información. Esto incluye investigar cómo, cuándo y dónde ocurrió, quién lo detectó y si la información sigue siendo divulgada sin autorización. Es esencial conservar evidencias para identificar la causa y responder a posibles requerimientos de la Superintendencia de Industria y Comercio (SIC).
2. Evaluar riesgos e impactos
El análisis debe centrarse en el riesgo para los titulares de los datos personales, considerando factores como la cantidad de personas afectadas, el tipo y sensibilidad de la información comprometida, y el contexto en el que se encontraba. Los niveles de riesgo pueden ser bajo, medio, alto o grave, dependiendo del impacto potencial. (Respuesta ante una exposición de seguridad de datos personales)
3. Identificar daños
Las consecuencias de un incidente pueden ir desde la suplantación de identidad, pérdidas financieras y daños reputacionales, hasta riesgos para la seguridad pública. Este análisis debe incluir posibles afectaciones a personas, a la organización y al público en general.
4. Notificar a la SIC
La organización tiene un plazo máximo de 15 días hábiles para reportar el incidente ante la Superintendencia de Industria y Comercio, siguiendo los lineamientos del Registro Nacional de Bases de Datos (RNBD).
5. Comunicar a los titulares
Cuando el incidente represente un riesgo para los titulares, se debe informar de forma clara y precisa para que puedan tomar medidas de protección, como cambiar contraseñas, monitorear su historial crediticio o cancelar tarjetas comprometidas. (Respuesta ante una exposición de seguridad de datos personales)
6. Prevenir futuros incidentes
Tras mitigar los daños, se deben implementar acciones preventivas como reforzar políticas internas, realizar auditorías, actualizar evaluaciones de impacto, fortalecer la capacitación del personal y mejorar los controles de seguridad.
Un compromiso continuo con la seguridad de la información
La gestión adecuada de incidentes de seguridad en datos personales no solo evita sanciones legales, sino que fortalece la confianza de clientes, aliados y usuarios. En ASOSEC, promovemos la implementación de protocolos robustos que garanticen el cumplimiento normativo, la protección de la información y la continuidad del negocio. (Respuesta ante una exposición de seguridad de datos personales)
Fuente: Tomado de RESPUESTA ANTE UNA EXPOSICIÓN DE SEGURIDAD DE DATOS PERSONALES compartido por Carlos Bohell
