¿Cómo deben actuar las empresas ante ciberataques? ¿Cómo deben prevenirlos? ¡Lo analizamos a continuación!
Los ciberataques a empresas son cada vez más comunes. Son delitos informáticos en que el infractor pretende usurpar datos de la compañía o de sus clientes para sacar lucro económico, ya sea vendiéndolos, chantajeándoles o suplantando su identidad. ¿Qué deben hacer las empresas ante ciberataques? ¿Cómo deben prevenirlos?
Qué hacer como empresa si nos ciber-atacan
Si como empresa nos encontramos ante esta situación, debemos seguir estos 4 puntos:
-
Denunciar los hechos ante la policía.
-
Tratar la recuperación de los datos comprometidos para poder restaurar la normalidad de la organización.
-
Notificar la brecha de seguridad a la Autoridad de control (antes de que pasen 72 horas desde que tenemos constancia), siempre que pueda suponer un riesgo para los derechos y libertades de las personas. Excepto en
Cataluña,
País Vasco y
Andalucía, que tienen autoridades de control propias, la autoridad de control a nivel estatal es la
Agencia Española de Protección de Datos (AEPD).
-
Comunicar el problema a los interesados que hayan visto comprometidos sus datos.
En este sentido, la AEPD ya informa que las organizaciones que sufran una brecha de datos personales deben centrarse en evitar y minimizar las posibles consecuencias que pueda tener sobre derechos fundamentales y libertades públicas de las personas afectadas.
Funciones de la Agencia Española de Protección de datos
El Reglamento General de Protección de Datos (RGPD), establece que una Notificación de una violación de la seguridad de los datos personales, a la autoridad de control deberá, como mínimo:
-
Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
-
-
Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
-
Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Responsabilidad de las empresas en la protección de datos
Las empresas deben responsabilizarse de la protección de datos de sus clientes. Para ello, deben cumplir una serie de medidas:
Comunicación rápida y clara
Si además fuera necesaria la comunicación al interesado, esta deberá hacerse, sin dilación indebida, en un lenguaje claro y sencillo describiendo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas notificadas a la autoridad de control. La Agencia establece que si esto llegara a suponer un esfuerzo desproporcionado o se desconoce con precisión quién ha podido verse afectado, se puede realizar un comunicado público.
Medidas técnicas y organizativas
Cabe recordar, que las empresas, como responsables de tratamiento de datos personales, son quienes deben aplicar las medidas técnicas y organizativas apropiadas en todo momento para garantizar y poder de mostrar, a requerimiento de la Agencia, que se cumple con la ley y el reglamento de datos personales, y que esas medidas son efectivas.
Ser responsables proactivos, desde el diseño
Es importante que se realice pensando en la protección de datos desde el diseño y por defecto.
La Privacidad desde el Diseño, está basada en que debemos ser responsables proactivos, no reactivos y las medidas aplicadas deben ser preventivas no correctivas. La idea principal es que la privacidad este incorporada desde el inicio, en la fase de diseño y además durante toda la vida del dato personal. Tiene que haber transparencia
Tratar los datos solo para el fin obtenido
La protección de datos por defecto se basa en aplicar medidas técnicas y organizativas para garantizar que los datos personales solo sean tratados para el fin obtenido.
