Togas.biz

La tentación de esconder el incidente de seguridad

Las entidades tienen que asumir que sufrirán incidentes de seguridad de la información (ciberincidentes) y deben prepararse para ello. Esta preparación requiere, no solo las medidas apropiadas para detectar, protegerse y reaccionar ante ciberataques (sustracción de información confidencial, ciberespionaje, malware, interrupción de servicios TI, toma de control de sistemas, suplantación de identidad, etc.), sino que también requiere prepararse para la gestión de un ciberincidente que impacte en los sistemas de la entidad y como parte de esta gestión, la comunicación del incidente.

La comunicación del incidente involucra muchos actores como pueden ser, entre otros: las autoridades de control que corresponda (Autoridad de Control de RGPD, CCN CERT, CERT de CNPIC, CERT de INCIBE, etc.), los empleados, los clientes, los proveedores, otros interesados, etc. Cada entidad tiene que conocer cuándo hay que notificar los incidentes a cada uno de ellos.

Las entidades pueden temer el impacto que la comunicación de un incidente de seguridad pueda tener en su reputación y las sanciones que tengan que afrontar, como en el caso del ciberataque a la entidad de solvencia crediticia EQUIFAX (afectando a 143 millones de perfiles de usuario que incluían datos personales, historial de crédito y perfil financiero) o en el caso de YAHOO (en el que sus cuentas fueron vulneradas) que implicó una multa de 35 millones de dólares por parte de la SEC. Este temor, puede llevar a ciertas entidades a no comunicar los incidentes de seguridad de la información, como en el caso de UBER que ocultó durante más de año un hackeo que afectó a 57 millones de usuarios (en el que se pagó 100.000 dolares a los hackers para que eliminasen los datos obtenidos y mantuvieran silencio sobre lo ocurrido).

También es posible que, tal y como indica el informe de KARSPERSKY LABS, sean los propios empleados de las entidades los que, por vergüenza o miedo a ser penalizados disciplinalmente, no reporten incidentes de seguridad de la información en los que se ven implicados (phishing, llamadas falsas solicitando información, ingeniería social, introducción no intencionada de malware, etc).

Sin embargo, existen una serie de factores a tener en cuenta respecto al reporte de incidentes de seguridad.

  • Si no se reporta un incidente a los actores que corresponda, se podría estar ante un incumplimiento regulatorio (ENS, RGPD, NIS, etc.), ya que no se sanciona a las entidades por sufrir un incidente, sino por no tener los controles adecuados y actuar diligentemente al respecto. Este incumplimiento regulatorio tendría impacto en la reputación de la entidad, en la falta de confianza y en las sanciones por su incumplimiento.
  • Si no se comunica a las autoridades de control que corresponda (como el CCN CERT), no se podrá obtener ayuda de los mismos para la solución y contención de la amenaza, ni se avisaría a otras entidades que pudiesen sufrirlo (las amenazas son cada vez más globales como en el caso de WannaCry, Petya, NotPetya, etc.).
  • En caso de no comunicarlos a otros elementos del entorno de la entidad (como clientes y proveedores), la amenaza se puede trasladar y afectar a los mismos, lo que también impactaría en la propia entidad.
  • La falta de una comunicación adecuada al personal y posibles afectados, puede producir que: no actúen adecuadamente ante el problema, no se pueda investigar adecuadamente el incidente, no puedan aprender del incidente para tratarlo y detectarlo en el futuro y que sea más complicada la gestión del incidente.
  • El personal de la entidad representa una parte de la misma, por lo que hay que informarle adecuadamente para que se gestione de manera correcta la comunicación, y no se produzcan filtraciones y comunicaciones no controladas que trasladen un mensaje erróneo y alarmista.

La articulación correcta de la comunicación de los incidentes de seguridad, requiere realizar una serie de actividades previas a la aparición de incidentes de seguridad como:

  • Identificar los tipos de incidentes a comunicar dependiendo de su tipología y regulación (ENS, RGPD, CNPIC, NIS, etc.), así como los destinatarios de las comunicaciones (identificando cuándo y quiénes son los que deben ser informados). Hay que analizar cuándo se requiere notificar a las autoridades competentes (considerando los requisitos regulatorios), cuándo se requiere notificar a los afectados e incluso cuándo puede ser aconsejable hacer una comunicación pública.
  • Definir y establecer los equipos que participarán en la comunicación (IT, legal, cumplimiento, buen gobierno, área de comunicación, etc.), una estrategia de comunicación, un plan de comunicación y los mecanismos para la misma con los diferentes interlocutores.
  • Establecer mecanismos para que la entidad sea informada de los incidentes de seguridad por parte de sus empleados (con políticas y formación adecuadas), sus proveedores (estableciendo controles y procedimientos apropiados) y otras entidades con las que se relacione.
  • Gestionar la comunicación para que sea apropiada, controlando quien puede realizarla, y estableciendo un mensaje que sea preciso y correcto para tranquilizar y dar respuesta a los grupos de interés.
  • Establecer la escucha activa en los diferentes medios (como es el caso de las redes sociales), para captar y reaccionar informando adecuadamente evitando mensajes erróneos.
  • Hacer del plan de comunicación de incidentes de seguridad, parte integral de los diferentes planes que gestionen los incidentes (como el plan de continuidad de negocio).

Dentro del marco regulatorio adquiere cada vez más importancia el reporte de incidentes de seguridad, como en el caso de la directiva NIS, en el que se contemplan sanciones por no notificar incidentes de seguridad (al CCN para entidades públicas, al INCIBE para entidades privadas y al Mando Conjunto de Ciberdefensa para las fuerzas armadas).

Una entidad debe comunicar los incidentes de seguridad de manera responsable, para tener las ventajas de la comunicación (apoyo en su gestión, limitación en su propagación, etc.), y evitar los inconvenientes que una mala comunicación puede suponer (como perjudicar su reputación y operatividad). Para ello debe, estudiar e implantar una estrategia de comunicación y mecanismos adecuados que incluyan tanto a los profesionales más apropiados como a los interlocutores con los que se tendrán que comunicar.

Juan Manzano

Categoria

TIC - Comercio Electrónico, TIC - Derecho Informático, TIC - Protección de Datos, TIC - TIC

Fuente: BDO Abogados y Asesores Tributarios

Source
Subscribirse al Directorio Escribir un Artículo

Destacadas

Diapositiva de Fotos

Etiquetas

Acerca de nosotros

Directorio de profesionales

Newsletter

¡Suscríbase a nuestro newsletter para estar al día con las últimas noticias y ofertas!

Contacte con nosotros

Togas.biz
Togas.biz - Newco Professional SL
Deu i Mata, 152
Barcelona, Barcelona 08029
P: +34 606 96 07 82 ( Urgencias )

2024 © Togas.biz - Newco Professional SL. Todos los derechos reservados. Terminos y Condiciones | Política de Privacidad

Actualidad

Auditoría - Auditoría Derecho Administrativo - Administrativo Derecho Administrativo - Consumidores y Usuarios Derecho Administrativo - Contencioso Administrativo Derecho Administrativo - Contratación Administrativa Derecho Administrativo - Energía Derecho Administrativo - Expropiaciones Derecho Administrativo - Medio Ambiente Derecho Civil - Accidentes de Tráfico Derecho Civil - Arrendamientos Derecho Civil - Civil Derecho Civil - Comunidad de Propietarios Derecho Civil - Derecho Contractual Derecho Civil - Derecho de los Consumidores y Usuarios Derecho Civil - Derechos de Imagen Derecho Civil - Familia y Adopciones Derecho Civil - Responsabilidad Civil Derecho Civil - Seguros Derecho Civil - Sucesiones Derecho Comunitario - Comunitario Derecho Constitucional - Constitucional Derecho Financiero - Corporate Finance Derecho Financiero - Derecho Bancario Derecho Financiero - Derecho Financiero Derecho Financiero - Mercados de Valores y de Capitales Derecho Fiscal - Fiscal Derecho Fiscal - Fiscalidad Internacional Derecho Fiscal - Fiscalidad matrimonial y familiar Derecho General - Opinión Derecho Internacional - Internacional Privado Derecho Laboral - Laboral Derecho Laboral - Prevención de Riesgos Derecho Laboral - Seguridad Social Derecho Mercantil - Agroalimentario Derecho Mercantil - Competencia Derecho Mercantil - Compliance - Cumplimiento Legal Derecho Mercantil - Concursal Derecho Mercantil - Consumidores y Usuarios Derecho Mercantil - Contratación Mercantil Derecho Mercantil - Empresa Familiar Derecho Mercantil - Franquicias Derecho Mercantil - Fundaciones y Asociaciones Derecho Mercantil - Fusiones y Adquisiciones Derecho Mercantil - Mercantil Derecho Mercantil - Reclamaciones de Cantidad Derecho Mercantil - Societario Derecho Mercantil - Transportes y Marítimo Derecho Penal - Accidentes de Tráfico Derecho Penal - Consumidores y Usuarios Derecho Penal - Corporate Compliance Derecho Penal - Derecho Penitenciario Derecho Penal - Negligencias Médicas Derecho Penal - Penal Derecho Penal - Penal - Honor e Imagen Derecho Penal - Penal Económico Derecho Penal - Penal Laboral Derecho Penal - Penal Medio Ambiente Derecho Penal - Penal Societario Derecho Procesal - Procesal Extranjería y Nacionalidad - Extranjeria y Nacionalidad Formación - Formación Hipotecario y Registral - Hipotecario y Registral Inmobiliario y Urbanismo - Construcción Inmobiliario y Urbanismo - Inmobiliario Inmobiliario y Urbanismo - Urbanismo Innovación y Emprendimiento - Biotecnología Innovación y Emprendimiento - Nuevas tecnologías, medios y telecomunicaciones Innovación y Emprendimiento - Startups Institucional - Actualidad despachos Institucional - Colegios y Entidades Profesionales Institucional - Organismos Públicos Inversiones en el extranjero - Inversiones en el extranjero Investigación Privada - Investigación Privada Marketing y Gestión - Marketing y Gestión Mediación y Arbitraje - Mediación y Arbitraje Noticias - Despachos News Noticias - Entorno Jurídico Ocio y Deporte - Deportivo Ocio y Deporte - Industria del Ocio Peritaje - Peritaje Prop Industrial e Intelectual - Competencia Prop Industrial e Intelectual - Propiedad Industrial, Patentes y Marcas Prop Industrial e Intelectual - Propiedad Intelectual Sanitario y Farmacéutico - Negligencias Médicas Sanitario y Farmacéutico - Sanitario y Farmacéutico TIC - Audiovisual TIC - Comercio Electrónico TIC - Derecho Informático TIC - Protección de Datos TIC - Telecomunicaciones TIC - TIC

Directorio

Abogados Accidentes de Tráfico Abogados Accidentes Laborales Abogados Alquileres y Arrendamientos Abogados Blanqueo de Capitales Abogados Blockchain Abogados Comercio Electrónico Abogados Comunidad de Propietarios Abogados Contencioso Administrativo Abogados Contratación Administrativa Abogados Contratación Mercantil Abogados Corporate Compliance Abogados Corporate Finance Abogados Derecho Administrativo Abogados Derecho Aduanero Abogados Derecho Agrario Abogados Derecho Agroalimentario Abogados Derecho Audiovisual Abogados Derecho Bancario Abogados Derecho Civil Abogados Derecho Comunitario Abogados Derecho Concursal Abogados Derecho Constitucional Abogados Derecho de Extranjería y Nacionalidad Abogados Derecho de Franquicias Abogados Derecho de la Competencia Competencia desleal Abogados Derecho de la Construcción Abogados Derecho de la Energía Abogados Derecho de las Telecomunicaciones Abogados Derecho de las TIC Abogados Derecho de los Consumidores Abogados Derecho de los Seguros Abogados Derecho de Sucesiones Abogados Derecho de Transportes y Marítimo Abogados Derecho del Medio Ambiente Abogados Derecho Deportivo Abogados Derecho Financiero Abogados Derecho Fiscal Abogados Derecho Hipotecario y Registral Abogados Derecho Informático Abogados Derecho Inmobiliario Abogados Derecho Internacional Privado Abogados Derecho Laboral Abogados Derecho Mercantil Abogados Derecho Penal Penalistas Abogados Derecho Penal Económico Abogados Derecho Penitenciario Abogados Derecho Procesal Abogados Derecho Sanitario y Farmacéutico Abogados Derecho Societario Abogados Derechos de Imagen Abogados Divorcios Familia y Adopciones Abogados Empresa Familiar Abogados Expropiaciones Abogados Fiscalidad Internacional Abogados Fiscalidad matrimonial y familiar Abogados Fusiones y Adquisiciones Abogados Gestión de Riesgos Abogados Herencias y Testamentos Abogados Impuestos Especiales Abogados Industria del Ocio Abogados Inversiones en el extranjero Abogados Investigación Privada Abogados Marketing y Gestión Abogados Mediación y Arbitraje Abogados Mercados de Valores y de Capitales Abogados Negligencias Médicas Abogados Nulidades eclesiásticas Abogados Penal Honor e Imagen Abogados Penal Laboral Abogados Penal Medio Ambiente Abogados Penal Societario Abogados Peritaje Abogados Prevención de Riesgos Laborales Abogados Propiedad Industrial Patentes y Marcas Abogados Propiedad Intelectual Abogados Protección de Datos Abogados Reclamaciones de Cantidad Abogados Responsabilidad Civil Abogados Seguridad Social Abogados Urbanismo Peritos Abogados Administradores Concursales Peritos Accidentes y Siniestros Peritos Actuarios de Seguros Peritos Administradores Auditores Concursales Peritos Agentes de la Propiedad Inmobiliaria Peritos Arquitectos Peritos Arquitectos Técnicos Peritos Auditores de Cuentas Peritos Averías Peritos Biólogos Peritos Caligrafos Pericia Caligrafica Peritos Cirugía Plástica Estética y Reparadora Peritos Comisario de Averías Marítimo Peritos Construcción Rehabilitación y Urbanismo Peritos Criminalistas Peritos Daños Peritos Documentoscópicos Peritos Economistas Peritos Economistas Administradores Concursales Peritos Expertos Inmobiliarios Peritos Filatelia y Numismática Peritos Geología y Medio Ambiente Peritos Informática Forense Peritos Ingenieros Agrónomos Peritos Ingenieros de Caminos Peritos Ingenieros de Telecomunicaciones Peritos Ingenieros Industriales Peritos Ingenieros Informáticos Peritos Ingenieros Navales Peritos Ingenieros Técnicos Agrícolas Peritos Ingenieros Técnicos Industriales Peritos Instalaciones eléctricas Peritos Mediación concursal Peritos Medicina del Trabajo Peritos Peritos Judiciales Peritos Peritos Médicos Medicina Pericial y Forense Peritos Prevención de Riesgos Laborales Peritos Propiedad Industrial e Intelectual Peritos Pruebas de ADN Peritos Psicólogos Psicología Pericial y Forense Peritos Psiquiatras Psiquiatría Pericial y Forense Peritos Químicos Peritos Reconstrucción de accidentes Peritos Recursos Humanos y Salud Laboral Peritos Técnicos Informáticos Peritos Tasadores Peritos Tasadores de Arte y Pintura Peritos Tasadores de Joyas y Gemología Valoraciones Peritos Tasadores de Seguros Peritos Tasadores inmobiliarios Valoración de Inmuebles Peritos Tasadores Textiles Peritos Titulados Mercantiles y Empresariales Peritos Topógrafos Ingenieros Técnicos en Topografía Peritos Toxicología Peritos Valoracion del Daño Corporal Peritos Valoraciones de empresas Peritos Veterinarios Procuradores Procuradores Detectives Detectives Privados Asesoría Fiscal Asesores Fiscales Agentes Propiedad Industrial Agentes de la Propiedad Industrial Agentes Propiedad Industrial Registro Patentes y Marcas Gestores Gestores Administrativos Auditores Auditoría de Cuentas Administración Concursal Administradores Concursales

Provincias

Álava Albacete Alicante Almería Asturias Ávila Badajoz Barcelona Burgos Cáceres Cádiz Cantabria Castellón Ceuta Ciudad Real Córdoba Cuenca Girona Granada Guadalajara Guipúzcoa Huelva Huesca Islas Baleares Jaén La Coruña La Rioja Las Palmas León Lleida Lugo Madrid Málaga Melilla Murcia Navarra Orense Palencia Pontevedra Salamanca Santa Cruz de Tenerife Segovia Sevilla Soria Tarragona Teruel Toledo Valencia Valladolid Vizcaya Zamora Zaragoza