Marta EscuderoPor Marta Escudero González, Asociada Senior del Área de Governance, Risks & Compliance de ECIX

Periódicamente aparecen en los medios de comunicación noticias sobre empresas que han sufrido fugas de información. Una de las últimas y que habría afectado a 58 millones de usuarios es la ocurrida a principio del mes de julio a la empresa francesa de videojuegos Ubisoft. Pero ya antes les sucedió a empresas como Facebook que vió afectada la información de 6 millones de usuarios, Sony, que sufrió un ataque que afectó a 77 millones de usuarios que la PlayStation Network o LinkedIn que sufrió el robo de más de 6 millones de contraseñas.

Estas brechas de seguridad, que tienen como consecuencia la difusión de información a terceros no autorizados, puede tener distintos orígenes. Es decir, puede deberse a un error (como por ejemplo, la pérdida de un pen drive) o ser intencionado, y en este último caso puede ser interno (una acción cometida desde dentro de la organización, como puede ser un empleado que venda información a terceros o que desactive determinadas medidas de seguridad permitiendo el acceso a personas no autorizadas) o externo, con acciones llevadas a cabo por hackers, entre otras.

Las fugas de información tienen una repercusión directa en el negocio en tanto que pueden generar la desconfianza de clientes, colaboradores e inversores. Es decir, genera un daño en la imagen de la empresa y además puede conllevar consecuencias legales derivadas de las responsabilidades generadas y consecuencias económicas, no sólo por las sanciones que se pudieran llegar a imponer, sino por las pérdidas económicas que la falta de confianza de los clientes podría generar.

Si bien hasta hace pocos años las empresas empleaban sus esfuerzos en ocultar que habían sufrido un ataque o una acción que podía comprometer la información de sus clientes, ahora, teniendo en cuenta el impacto tan negativo que puede generar en las entidades y la velocidad con la que se difunden las noticias hoy en día, las empresas han optado por gestionar las fugas de información, adoptando políticas de mayor transparencia de cara a los usuarios.

Adicionalmente a esta política de actuación de las entidades, la normativa comienza a regular la obligación de comunicar a las autoridades correspondientes las brechas de seguridad que se produzcan:

  • La Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, dispone en su artículo 34.4 que “En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas”.

Resulta interesante resaltar que en este mismo artículo se define qué se entiende en estos casos como una violación de datos personales, indicando que será toda violación de la seguridad “que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público”.

  • El Reglamento 611/2013 de la Comisión, de 24 de junio, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas, establece igualmente la obligación de los proveedores de notificar todos los casos de violación de datos personales a la autoridad nacional correspondiente en el plazo de 24 horas. Así mismo, se deberá informar a los abonados en el caso de que su privacidad pudiera verse afectada.
  • La Propuesta de Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos de Protección de Datos, de 31 de mayo de 2013, recoge en sus artículos 31 y 32 la obligación de notificar una violación de datos personales a la autoridad de control en un plazo no superior a 24 horas. Así mismo, cuando la violación pueda afectar negativamente la protección de datos de los usuarios o su privacidad, el responsable, tras haberlo comunicado a la Autoridad de control, procederá a ponerlo en conocimiento de los interesados.
  • La propuesta de Directiva sobre la seguridad de las redes y los sistemas de información, también prevé en su artículo 14 la obligación de notificar a la autoridad competente aquellos incidentes significativos que se produzcan en relación con los servicios básicos que prestan.

¿Cómo actuar ante una fuga de información?

Como se ha mencionado, resulta importante gestionar correctamente este tipo de incidentes para poder identificar los riesgos a los que la empresa se enfrenta y en consecuencia adoptar las acciones necesarias para mitigarlos. Para ello es importante (i) realizar una actuación proactiva; (ii) tener procedimientos implantados para la gestión de este tipo de crisis; (iii) actuar en el menor plazo de tiempo posible.

1. Detección del incidente y puesta en marcha de los procedimientos adoptados: Este aspecto resulta de gran importancia, ya que para tener el control de la gestión, resulta deseable conocer que se ha producido un incidente que afecta a la seguridad de la empresa antes de que éste se filtre y se empiece a difundir rápidamente por la red. Para ello resulta necesario que las empresas implanten y actualicen sistemas y herramientas que permitan defenderse de las amenazas e identificarlas en caso de resultar afectados.

Una vez detectado el riesgo se debe proceder a la activación de los procedimientos internos, siendo en todo caso que exista un comité que coordine y gestione este tipo de crisis de manera que las decisiones que se tomen sean aprobadas y consensuadas.

2. Análisis de riesgos: Para determinar los riesgos a los que se enfrenta una empresa, resulta necesario conocer con el mayor grado de exactitud posible qué ha ocurrido: qué tipo de información ha sido sustraída, a qué colectivo afecta (clientes, usuarios, empleados, etc.), si la información contiene datos de carácter personal, cómo se ha producido la filtración de la información, si la fuga de la información es puntual o si hay sistemas en riesgo, etc.

Pero además, es importante conocer si la noticia se ha filtrado al exterior o no, en qué medios se ha publicado, qué difusión ha tenido, si ha habido algún tipo de reacción al respecto, etc.

3.Plan de Acción : En base a la información obtenida, se deberán llevar a cabo determinadas acciones con el objeto de minimizar los riesgos existentes. Entre ellas, se podrán adoptar las siguientes:

a.Implantación de las medidas técnicas, organizativas y legales necesarias para evitar que se produzcan nuevas fugas de información.

b.Elaboración de una estrategia de cara a enfrentarse a las posibles reclamaciones legales que se pudieran recibir, ya sea por consumidores, protección de datos, etc.

c.En caso de que se haya tratado de un ataque intencionado, desarrollo de la estrategia legal a seguir para su denuncia.

d.Adopción de una estrategia de comunicación de cara a los colectivos afectados mediante la publicación de un comunicado en prensa o en la página web, el envío de un correo electrónico personalizado o la utilización de canales como Twitter o Facebook para difundir los mensajes acordados.

e.Determinación de las consecuencias económicas a las que la empresa podría enfrentarse como consecuencia de la imposición de sanciones administrativas y de acciones llevadas a cabo para mitigar los riesgos.

Para terminar un ejemplo de cómo una empresa, ante una filtración de datos presuntamente debida a un error interno, optó por adelantarse a las consecuencias que se podrían producir, autodenunciándose ante la Agencia Española de Protección de Datos.La empresa pidió disculpas en su cuenta de Twitter, señalando que se trataba de un error y a continuación señaló que se autodenunciaría ante la AEPD. Habrá que ver cómo resuelve la Agencia, pero sin duda este ejercicio de transparencia evitará que muchos de los clientes inicien acciones contra ellos.

En todo caso, para evitar llegar a este punto es imprescindible adoptar las medidas organizativas, técnicas y legales que eviten poner en riesgo la seguridad de los activos de las empresas.

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.