Cómo responder a una filtración de datos

Su primera tarea en caso de violación es sellar el agujero de seguridad. Esto evitará nuevas violaciones por la misma vía. A continuación, investiga las causas.

• Asegure las zonas físicas relacionadas con la violación. Por ejemplo, si se ha producido un robo físico, cambie los códigos de acceso a las puertas lo antes posible. 
• Desconecte inmediatamente todos los sistemas afectados, pero no los apague hasta que los expertos forenses puedan investigarlos.
• Cree un equipo de respuesta a incidentes. Su equipo podría incluir expertos de diversas disciplinas. Puede que necesite contratar a un investigador forense independiente e implicar a los departamentos jurídico, de seguridad de la información e incluso de recursos humanos. Los especialistas profesionales en respuesta a incidentes pueden aportar conocimientos esenciales.
• Capture una imagen forense de la infracción y recoja pruebas.
• Consulte con su equipo jurídico. Una brecha cibernética suele tener consecuencias contractuales y de protección de datos, por lo que es esencial conocer tu posición al respecto.
• Sustituya las máquinas desconectadas por otras limpias, si es posible, pero actualice todas las credenciales por si éstas fueran la causa de la brecha.
• Si su sitio web ha sido alterado, elimine inmediatamente cualquier información no deseada y póngase en contacto con los motores de búsqueda para que eliminen las páginas alteradas de sus cachés.
• Busque en otros sitios por si su información se ha hecho pública en algún otro lugar.
• Entrevistar a quienes descubrieron la brecha para ayudar a rastrear la causa.

A lo largo de este proceso, asegúrese de no haber destruido ninguna prueba: la necesitará para determinar la causa de la infracción, solucionar el problema y determinar los daños que hay que reparar.

Una vez que haya rastreado el origen y la ruta de la brecha a través de sus sistemas, el siguiente paso es eliminar todas las vulnerabilidades que condujeron a ella.

• ¿Estuvieron implicados en la filtración sus proveedores de servicios? Si es así, analiza a qué información personal tienen acceso y cambia sus privilegios si es necesario.
• Trabaja con tus proveedores de servicios para garantizar que su seguridad está al nivel que necesitas.
• Si su segmentación de red actual no le proporciona la protección general que esperaba, considere la posibilidad de cambiar la segmentación de su red para aumentar la resistencia.
• Su análisis forense debería haber revelado si las medidas de protección previstas funcionaban. ¿Estaba activado el cifrado y se realizaban las copias de seguridad según lo previsto?
• Una vez que haya determinado quién tenía acceso a los datos implicados en la violación, compruebe sus permisos y si son necesarios. Si no es así, imponga medidas para limitar el acceso de forma más estricta.
• Prepárese para comunicar los hechos a todas las partes interesadas, desde empleados a clientes e inversores. 

Mientras soluciona el problema, tenga en cuenta las preguntas que se harán sobre la infracción y publique las respuestas a las preguntas clave en su sitio web para que la situación sea lo más transparente posible.

Solucionar la causa de la brecha es el paso más importante para evitar que se repita, pero es probable que haya repercusiones que requieran más medidas correctoras.

• Puede haber requisitos legales relativos a la notificación de violaciones cibernéticas que afecten a información personal, que varían según el país e incluso según el estado de EE.UU.
• La pérdida de datos personales puede conllevar costes punitivos en algunas jurisdicciones.
• Póngase en contacto con las fuerzas de seguridad, informando de la situación y de cualquier implicación en un posible robo de identidad. También puede ser necesario ponerse en contacto con las agencias de inteligencia locales, como el FBI en Estados Unidos.
• Si la infracción afecta a historiales médicos, es posible que tenga que notificarlo a organizaciones específicas, como la Comisión Federal de Comercio. También es posible que tenga que ponerse en contacto con los medios de comunicación.
• En el caso de robos de datos relacionados con información financiera, póngase en contacto con las empresas que mantienen las cuentas afectadas, como las compañías de tarjetas de crédito.
• Notifíquelo a otras partes afectadas, incluidos los particulares. Proporcionar servicios correctivos, como números de teléfono gratuitos para que estas partes puedan ponerse en contacto y un seguimiento gratuito de su crédito para saber si su identidad ha sido utilizada de forma fraudulenta.

Una vez que haya seguido estos pasos, debería estar bien encaminado para prevenir otra violación del mismo tipo y remediar los resultados de ésta. Para obtener una lista más detallada de las normas específicas relativas a la notificación de las partes afectadas, consulte la guía de la FTC sobre la respuesta a una violación de datos.

Las causas de una brecha de seguridad son numerosas. Cada vez hay más dispositivos y empleados con acceso a importantes recursos corporativos que operan sin la protección de la seguridad de red perimetral tradicional. El trabajo híbrido también ha dado lugar a que se utilicen más dispositivos personales (a través de BYOD) en las redes internas, ya que los trabajadores híbridos llevan sus equipos personales a la oficina. Ambas tendencias amplían el ámbito de las amenazas, y los ciberdelincuentes se aprovechan de ello. 

Sin embargo, estos factores no hacen sino amplificar las causas existentes de una violación cibernética.

Insider malicioso

Un empleado tiene intenciones dañinas y utiliza su acceso para crear una brecha de seguridad.

Dispositivo perdido o robado

Se pierde o se roba un dispositivo que tiene acceso o contiene información sensible.

Forasteros malintencionados

Los actores de amenazas emplean vectores de ciberataque para obtener información de seguridad de sistemas o individuos.

Seguridad de puntos finales deficiente

Los intrusos malintencionados encuentran puntos finales vulnerables, como dispositivos sin parches, software antiguo o una implementación deficiente de los protocolos de autenticación.