¿Su plan de respuesta a incidentes incluye la preparación en caso de vulneración de sus datos? Debería.
Para muchas organizaciones, la vulneración de sus datos son una amenaza cada vez más importante. Según un informe de Risk Based Security, los incidentes de vulneración de datos pusieron en riesgo 8.4 mil millones de registros en el trimestre 1 de 2020: un aumento del 273% en relación con el trimestre 1 de 2019. Desde oficinas de crédito hasta aseguradoras, parece que no hubiera compañía con inmunidad y, en el caso de algunas, las consecuencias de una vulneración en sus datos fueron significativas e impactaron tanto sus ganancias como su imagen pública.
Según un estudio de 2020 realizado por IBM, las empresas estadounidenses pierden en promedio $8.64 millones cada vez que sufren un ataque que vulnera sus datos, y les lleva en promedio 280 días identificar y contener el incidente. Lo destacable es que, según la encuesta, las compañías que lograron responder a este tipo de incidentes en menos de 200 días gastaron en promedio $1 millones menos que sus contrapartes.
En términos simples, cuando se vulneran los datos, el tiempo es fundamental. Cuanto más tiempo le lleve a la compañía responder al incidente de seguridad, peor será el daño colateral y financiero. Para las organizaciones, esto significa que, además de invertir en seguridad informática, tener un plan de respuesta a incidentes sólido que las prepare para situaciones de vulneración de datos tiene el potencial de reducir el impacto general del incidente.
¿Qué es un plan de respuesta a la vulneración de datos?
Un plan de respuesta a la vulneración de datos es un plan de respuesta a incidentes que describe cada instancia del proceso de respuesta: qué medidas se deben tomar, cuándo y cómo se deben tomar y quiénes deben participar en cada etapa. Si se produjera un incidente de vulneración de datos, el plan será el mapa de ruta para que su equipo pueda reaccionar rápidamente y reducir el estrés. En definitiva, el plan debería ayudar a mitigar los daños, tanto para su base de clientes como para su organización en su conjunto, y al mismo tiempo reducir las pérdidas financieras asociadas al incidente.
Conformación de un equipo de respuesta a incidentes de vulneración de datos
Antes de elaborar un plan es conveniente identificar a un equipo de especialistas. La planificación de respuesta a incidentes y su equipo de respuesta deben incluir personal multidisciplinario más allá del departamento de TI, desde asistencia al cliente hasta legales o normativa.
En muchas organizaciones, el equipo de respuesta a incidentes de vulneración de datos incluye representación de los siguientes equipos.
Equipo directivo
Al menos un integrante del equipo ejecutivo, como el CEO, CIO o COO, debe participar de manera activa en la planificación de la respuesta a incidentes. Si se produjera un incidente de seguridad, contar en el equipo con un decisor clave puede ayudar el tiempo de respuesta de su organización.
Tecnología de la información
Su equipo de TI también debe estar preparado para ocuparse de todos los aspectos técnicos del incidente de seguridad de datos, desde su descubrimiento y contención hasta su investigación y resolución. Según el tamaño de su organización, es posible que necesite apoyo de todo el equipo.
Legales y Normativa
Su equipo de asuntos legales y normativos debe participar de manera activa en casi todos los aspectos del plan de respuesta a incidentes de vulneración de datos. Durante las instancias de planificación, su función es garantizar la adhesión normativa de su organización a todos los reglamentos y regulaciones sobre protección de datos, y que se tenga en cuenta cualquier eventualidad. Si se produce un incidente de vulneración de datos, ayudarán a garantizar que su equipo trabaje para mitigar mayores daños, cumpla con todas sus obligaciones legales y documente todo el proceso de manera apropiada.
Relaciones públicas y marketing
En caso de un incidente de vulneración de datos, la comunicación es fundamental. En este sentido, es importante involucrar a sus equipos de marketing y comunicación en las primeras instancias. Deben hacerse cargo de las comunicaciones externas en relación con la vulneración de los datos, como anuncios de prensa y comunicación con las partes que pudieron haberse visto afectadas.
Asistencia al cliente
Es posible que a algunas organizaciones les resulte útil incorporar a su equipo de atención al cliente, especialmente las que mantienen una base de datos grande con información de sus clientes. Su equipo de atención al cliente puede trabajar junto a los directivos de relaciones públicas y marketing para delinear la estrategia de comunicación con los clientes. Si se produjera un incidente de vulneración de datos, los equipos de atención al cliente también podrían ser responsables de atender las consultas entrantes de los clientes con respecto al incidente.
Recursos Humanos
Su departamento de recursos humanos (RR. HH.) tiene una gran cantidad de información confidencial sobre cada uno de los empleados de su organización, que incluye, en algunos casos: números de Seguro Social, fecha de nacimiento, nombres de los familiares directos y más. En síntesis, los legajos de los empleados son un objetivo atractivo para los criminales informáticos. Es importante incluir al menos a un integrante de su equipo de RR. HH. en el plan para ayudar a delinear medidas en caso de que se vean comprometidos los datos de los empleados.
Proveedores externos
Es importante analizar qué tipo de asistencia podría necesitar su organización de proveedores externos en caso de una vulneración de sus datos. Según los recursos disponibles en su compañía, esto puede incluir a proveedores especializados en investigaciones forenses, restitución de datos vulnerados, asesoramiento legal o apoyo de relaciones públicas. Si cuenta con una lista previamente analizada de proveedores en su plan, podrá evitar las demoras de días o incluso semanas que lleva buscarlos si se produce una vulneración de sus datos.
Creación de un plan de respuesta a un incidente de vulneración de datos
Una vez que haya identificado a los participantes clave, su equipo debe reunirse para comenzar a elaborar el plan. Posiblemente a muchos equipos les resulte útil empezar por delinear cada instancia del proceso, desde el descubrimiento hasta la resolución.
Si bien el mapa de ruta de cada organización es diferente, los siguientes pasos son un punto de partida general para orientar el proceso:
- Descubrimiento: se identifica el incidente de vulneración de datos.
- Contención: se toman medidas para contener el incidente y minimizar los daños.
- Iniciar respuesta: se notifica a los integrantes del equipo y se pone en práctica el plan de respuesta a incidentes de vulneración de datos. Se incluye a los proveedores externos necesarios.
- Investigación: su equipo trabaja para descubrir detalles de los datos comprometidos.
- Notificar al público: se notifica de la manera correspondiente a las partes impactadas por la intrusión, así como a las agencias de informes crediticios y otras organizaciones, de conformidad con lo exigido por las leyes vigentes.
- Abordar vulnerabilidades: su equipo trabaja para resolver las vulnerabilidades e implementa medidas para resguardar sus datos.
- Reunión posterior: su equipo se toma un tiempo para analizar el proceso de recuperación del incidente de vulneración de datos, compartir comentarios y actualizar el plan con base en las lecciones aprendidas.
Es importante destacar que algunos de estos pasos pueden ocurrir en simultáneo, por ejemplo podría ser conveniente iniciar el plan de respuesta e investigar mientras el departamento de TI toma medidas para contener el incidente. De la misma manera, es importante destacar que las leyes varían según cada estado. Recuerde analizar las leyes vigentes en el estado correspondiente y garantizar que incluye todos los pasos necesarios en su plan.
Cómo determinar los eventos que propician la puesta en marcha del plan
Evalúe qué tipo de vulneración impondría la activación de su plan y quién será responsable de tomar la decisión de hacerlo. Por ejemplo, si un tercero accede de manera accidental a las direcciones de correo electrónico de unos pocos clientes, podría decidir que no es necesario activar la totalidad del plan de respuesta.
Al tomar la decisión, le conviene considerar lo siguiente:
- ¿Esta vulneración podría tener intenciones maliciosas?
- ¿Cuántas personas se vieron afectadas por el incidente?
- ¿Qué tipos de datos quedaron expuestos?
- ¿El incidente tiene el potencial de perjudicar a ciertas personas?
- ¿Debemos tomar alguna otra medida para mitigar la posibilidad de mayores pérdidas o daños?
- ¿Podría tener consecuencias legales, financieras o de daño a la reputación de la organización?
Identificar quiénes, qué y cuándo en el plan
Una vez que haya delineado las medidas que deberá tomar, debe especificar algunos datos. Use las siguientes preguntas como guía:
- ¿Quién es la persona encargada de poner en marcha el plan?
- ¿Qué medidas se deben tomar?
- ¿Cuándo se deben tomar?
- ¿Quién es responsable de supervisar la ejecución de esta tarea?
- ¿Qué equipos o proveedores deben participar de esta instancia?
Procure que su plan esté redactado de manera clara y directa. Todos los participantes deben poder identificar su rol y responsabilidades de manera rápida y fácil. Recuerde incluir la información de contacto de todas las partes involucradas. También recuerde que, en algunos casos, es posible que su equipo deba trabajar fuera del horario de trabajo habitual. En este sentido, es importante identificar a un contacto alternativo en caso de que no se pueda comunicar con los contactos principales o estos no estén disponibles.
Por último, recuerde consultar a su equipo de legales y normativa para identificar el nivel de documentación que hará falta en cada instancia del plan. Si se produjera un incidente de vulneración de los datos, será importante contar con registros detallados que describan cada una de las medidas que tomó su organización para mitigar los daños y remediar la situación.
Pruebe y revise con frecuencia su plan
Una vez que haya creado su plan de respuesta a incidentes de vulneración de datos, es conveniente hacer una prueba. Esto le ayudará a identificar cualquier posible problema o medidas que el equipo pasó por alto. De la misma manera, esto ayudará a garantizar que todos los integrantes de su equipo entiendan claramente cuál es su rol y responsabilidades.
A partir de allí, recuerde volver a revisar su plan con frecuencia. Evalúe si se produjeron cambios en el personal que podrían impactarlo o si necesita cambiar algún proveedor. Recuerde pedir a todos los participantes que revisen su información de contacto para garantizar que sea precisa y esté actualizada. Además, verifique que todos los demás detalles que incluyó en su plan, como información relacionada con la política de seguridad informática de su compañía siga teniendo relevancia.
Por último, recuerde que la mejor forma de reducir el costo de una vulneración de datos es tomar todas las precauciones posibles para prevenir que se produzca un incidente. Como organización, es crítico implementar estrategias de seguridad informática diseñadas para resguardar sus datos e impedir los delitos informáticos, al tiempo que toma todas las medidas necesarias para reducir los riesgos de TI.
Si desea conocer más estrategias y consejos para ayudar a resguardar su negocio, visite regions.com/fraudprevention.
Fuentes: hay más recursos de planificación de respuesta a incidentes de vulneración de datos disponibles a través del National Institute of Standards and Technology (NIST), CompTIA y Experian.