TIC Defense te indica cómo puedes comunicar una brecha de seguridad en la que se filtraron datos personales
En tiempos recientes, el sector de la ciberseguridad y la gestión de datos personales ha sido sacudido por un incidente de gran magnitud. Se trata de Change Healthcare, una de las principales compañías aseguradoras del ámbito sanitario global, ha notificado una brecha de seguridad que expuso información personal, financiera y médica de alrededor de 100 millones de personas.
Este ciberataque, ocurrido en el mes de febrero de este año, ha representado uno de los incidentes de seguridad más significativos a nivel global, esto en términos de la cantidad y la sensibilidad de los datos que han sido comprometidos.
Lo que distingue este caso, es la naturaleza crítica de la información comprometida: historiales médicos y datos financieros, los cuales pueden ser utilizados no solo para fraudes, también para extorsiones. Este evento malicioso no solo subraya la importancia de reforzar las estrategias de ciberseguridad, también señala la necesidad de cumplir con las normativas de notificación vigentes para minimizar el daño reputacional y legal que enfrentan las organizaciones ante estas situaciones.
Es por ello que TIC Defense hace saber que algunos países cuentan con normativas rigurosas que regulan la notificación de brechas de seguridad relacionadas con datos personales. En el caso de la Unión Europea y el Reino Unido, por ejemplo, las organizaciones tienen el deber de informar sobre cualquier violación de seguridad que afecte datos personales a las autoridades competentes para tal fin.
El reporte del evento malicioso debe hacerse dentro de las primeras 72 horas después de tener conocimiento del incidente. Si no se hace el reporte en este período de tiempo, deben justificarse los motivos para no haberlo realizado.
Cuando no sea posible proporcionar toda la información de inmediato, deberá completarse en fases, siempre con la menor demora posible. Del mismo modo, la mayoría de las normativas a nivel mundial exigen llevar un registro exhaustivo de las violaciones de datos y las acciones correctivas adoptadas, para facilitar auditorías y garantizar el cumplimiento de las leyes.
Además, muchos marcos jurídicos establecen la obligación de notificar directamente a las personas afectadas si el incidente supone un alto riesgo para sus derechos y libertades. Este aviso debe contener una explicación completa del incidente, las consecuencias potenciales para los afectados y las medidas adoptadas para prevenir daños adicionales.
Existen excepciones, como el uso de tecnologías de cifrado que hagan los datos ininteligibles o cuando las medidas posteriores eliminen el riesgo. En casos de que esto implique un esfuerzo desproporcionado para las empresas, se permite realizar una comunicación pública en lugar de notificaciones individuales.
Muchos países establecen sanciones para las compañías que no cumplen con las notificaciones de brechas de seguridad, en donde las sanciones pueden ser severas. Se encuentran multas hasta de 10 millones de euros o el 2% de la facturación anual global de la empresa, aplicándose el monto más elevado.
Ante este panorama, el mejor enfoque para manejar una brecha de seguridad es evitar que ocurra. Por ello, la implementación de diversos servicios como el Threat Hunting, por ejemplo, es una herramienta esencial debido a que proporcionan una vigilancia proactiva, la cual permite identificar amenazas antes de que estas se materialicen.
Además, pueden detectar actividades maliciosas a partir de análisis de datos de telemetría y logran responder antes de que los atacantes accedan a información sensible. Igualmente, ayudan a prevenir dalos mayores al fortalecer las defensas informáticas de la organización.
