Skip to main content

Informar los incidentes de seguridad relacionados con la privacidad de datos

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Explicar qué constituye un incidente de seguridad de privacidad de datos.
  • Identificar los potenciales incidentes de seguridad de privacidad de datos.
  • Saber qué hacer cuando se sospecha o sabe que ocurrió un incidente de seguridad de privacidad de datos.

¿Qué es un incidente de seguridad?

Varias autoridades en todo el mundo adoptaron leyes de notificación de incidentes de seguridad, desde la Unión Europea (UE) hasta países en Latinoamérica (LATAM), Japón y las regiones de Asia-Pacífico (JAPAC) y todos los estados y territorios de los Estados Unidos (EE. UU.). Recientemente, en los Estados Unidos, el presidente aprobó la Ley de Fortalecimiento de la Ciberseguridad Estadounidense de 2022, que requiere que las compañías con infraestructuras críticas denuncien los incidentes de ciberseguridad importantes y todos los pagos de rescate a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional.

Según el país desde el que opera su organización, existen diversas leyes y normativas de reportes de incidentes para industrias específicas, como la Administración pública, la atención médica, energía, telecomunicaciones y proveedores de servicios financieros. Cada una adopta su propia definición de lo que constituye un incidente de seguridad (o vulneración de datos). Según las leyes de notificación de incidentes de seguridad que se apliquen a su organización, los contratos o acuerdos de nivel de servicio (SLA) al cliente deben incluir los requisitos para la notificación de incidentes de seguridad que se apliquen a los datos de clientes.

Un incidente de seguridad de privacidad de datos es cualquier uso no autorizado de datos personales o de clientes, ya sea previsto o imprevisto. Tenga en cuenta estos ejemplos de incidentes de seguridad comunes.

  • Un representante de ventas envía un email con datos de clientes al cliente equivocado.
  • Un gerente imprime el currículum de un candidato, pero de camino a casa, se olvida el documento en el tren.
  • Un antiguo empleado que dejó la compañía aún tiene acceso a los sistemas de la organización y accede a los registros de clientes.
  • Un becario abre un documento adjunto de un email que contiene malware, lo que elimina o cifra la información de contacto de clientes.
  • Una unidad compartida tiene demasiados permisos, lo que significa que muchas personas tienen acceso a datos personales.
  • Las credenciales o claves secretas de un cliente están expuestas en un repositorio público de GitHub.
  • Un empleado perdió su dispositivo de trabajo (por ejemplo, una computadora portátil o un smartphone) o se lo robaron.
  • Un empleado divulga datos personales por accidente en una respuesta a un email que resulta ser parte de un ataque de phishing.

Todos estos incidentes califican como incidentes de seguridad potenciales y deberían informarse al equipo de seguridad de la organización.

Informar sobre incidentes de seguridad

Si sospecha de un potencial incidente de seguridad de datos, infórmelo de inmediato, aunque no esté 100 % seguro de que el incidente califique como una vulneración de datos o un incidente de seguridad. Si su organización tiene un programa de capacitación anual sobre conciencia de seguridad, asegúrese de que las instrucciones para informar sobre actividades sospechosas o presuntos incidentes de seguridad en la organización estén actualizadas.

Cuando informe sobre un incidente, debe brindar toda la información posible, incluido lo siguiente:

  • Qué ocurrió
  • Qué personas o grupos están involucrados
  • La hora, fecha y zona horaria en que ocurrió el incidente
  • Qué servicios estuvieron involucrados o se vieron potencialmente afectados
  • Punto de contacto para preguntas de seguimiento

Cronogramas de reportes sobre incidentes de seguridad

Puede que la organización tenga una obligación legal de informar sobre los incidentes de privacidad de datos a los reguladores, los clientes y las personas afectadas en un corto plazo. Tiene la obligación de informar inmediatamente sobre los incidentes de seguridad al equipo de seguridad interna, para que tenga tiempo de investigar el incidente y cumplir con los requisitos de reportes externos. En algunos casos, si no se notifica a quienes corresponde sobre un incidente de privacidad de datos en el plazo requerido, es posible que se deban pagar multas significativas, se incurra en un potencial incumplimiento de las obligaciones contractuales, se pierda la confianza del cliente o se dañe la reputación de la organización.

Como puede ver, es importante informar sobre todos los incidentes de seguridad potenciales al instante, incluso si cometió el error que generó la divulgación de datos personales o de clientes.

Un cronómetro que representa que no debe perder el tiempo e informar sobre un incidente

Resumen

En este módulo, se presentaron las leyes y los principios de la privacidad de datos. Además, aprendió a identificar los datos de clientes y quién tiene permitido gestionar esos datos. Por último, se presentaron los requisitos para informar sobre incidentes de privacidad de datos.

¿Le interesa obtener más información sobre tecnologías y trayectorias profesionales de ciberseguridad? Diríjase al Centro de aprendizaje sobre ciberseguridad para explorar otros temas de seguridad y conocer la experiencia de profesionales de seguridad reales.

Recursos

¡Siga aprendiendo gratis!
Regístrese para obtener una cuenta y continuar.
Registrarse Iniciar sesión
¿Qué hay para usted?
  • Consiga recomendaciones personalizadas para sus objetivos profesionales
  • Practique sus aptitudes con retos prácticos y pruebas
  • Siga y comparta su progreso con empleadores
  • Póngase en contacto para recibir asesoramiento y oportunidades laborales
Omitir por ahora