¿Su compañía está preparada para afrontar un incidente de seguridad?

Bogotá D.C., 16 de julio de 2024.

Si esta información te parece útil descárgala AQUÍ

¿Qué es un incidente de seguridad?

La violación de los códigos de seguridad, o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por un responsable o encargado del tratamiento.

Un incidente de seguridad es toda situación en la que se compromete alguno (o una combinación) de los siguientes atributos de los datos personales:

• Confidencialidad: Requiere evitar la divulgación de la información a personas o procesos que no estén debidamente autorizados. La confidencialidad puede verse comprometida, por ejemplo, cuando el computador de un empleado es robado y los delincuentes tienen acceso a las bases de datos almacenadas allí.
• Integridad: Supone que la información se mantenga, tal como fue recolectada o generada, sin alteraciones o modificaciones no solicitadas o autorizadas. En resumen, es la alteración o modificación no autorizada de la información que se trata. La integridad puede comprometerse cuando un funcionario mezcla los datos personales contenidos en una base de datos a su cargo.
• Disponibilidad: Implica que las personas o procesos autorizados tengan acceso a la información siempre que sea requerida. En resumen, cuando se pierde el acceso a los datos personales tratados. La disponibilidad se afecta cuando usted es víctima del secuestro de sus bases de datos.

¿Qué hacer si ocurre un incidente en su compañía?

• Contener el incidente de seguridad y hacer una evaluación preliminar. Una vez la compañía tiene conocimiento de la ocurrencia de un incidente, debe contener el efecto del incidente y evaluar cómo, cuándo y donde ocurrió el incidente, cuál es su naturaleza, qué se puede hacer para contenerlo, etc.
• Evaluar los riesgos e impactos asociados con el incidente de seguridad. Establecer el nivel de riesgo según la severidad del incidente, determinando los efectos adversos que puede tener el incidente de cara a:
  1. Personas o titulares de datos (ej. riesgo en su seguridad física o psicológica, fraude, extorsión, perfilamiento para fines ilícitos, discriminación, etc.)
  2. Organizaciones (ej. Si hay una pérdida reputacional, de clientes, si se incurre en gastos adicionales para subsanar los efectos del incidente, etc.)
  3. Público en general (ej. Si hay riesgos para la seguridad o salud pública)
• Notificar a la SIC, máximo en los 15 días hábiles siguientes al conocimiento de la persona o área encargada de atenderlo al interior de la organización.
• Comunicar a los titulares cuando existan riesgos inminentes para éstos y sea necesario proporcionarles herramientas o información para mitigar un daño (p.ej. solicitar cambios de clave, bloqueo de productos financieros, etc.).
• Prevenir futuros incidentes, auditando las políticas y procesos implementados y desplegando los cambios que se requieran al interior de la compañía.

¿Qué debería implementar su compañía en materia de incidentes de seguridad?

 Las compañías deben prevenir la ocurrencia y los efectos de los incidentes de seguridad en el marco del Programa Integral de Gestión de Datos Personales, como consta a continuación:

• Desarrollar un sistema de administración de riesgos asociados al tratamiento de datos personales, con las siguientes etapas:
  1. Identificación: Establecer los riesgos asociados al tratamiento de datos personales, documentando los procesos y procedimientos que se implementan en el ciclo de vida de los datos personales.
  2. Medición: Determinar la posibilidad de ocurrencia de los riesgos identificados y su impacto en caso de materializarse.
  3. Control: Toma de acciones para controlar o mitigar los riesgos y sus efectos, estableciendo si los controles implementados son suficientes, efectivos y oportunos.
  4. Monitoreo: Hacer seguimiento constante para asegurar la efectividad de las medidas implementadas.
• Implementar medidas técnicas, humanas y administrativas para evitar afectaciones a la seguridad de la información, que se deben planear teniendo en cuenta:
  1. Los niveles de riesgo del tratamiento de los datos.
  2. La naturaleza de los datos (por ejemplo, teniendo medidas más restrictivas respecto de datos sensibles).
  3. Las consecuencias de una eventual vulneración en la seguridad de la información.
  4. El número de titulares de los datos y la cantidad de información en poder de la compañía.
  5. El tamaño de la compañía.
  6. El estado de la técnica, verificando que las medidas estén tan actualizadas como sea posible.
  7. El alcance, contexto y finalidades del tratamiento de los datos personales.
• Tener un registro de incidentes pasados que contemple los datos comprometidos, los titulares, la fecha del incidente y su descubrimiento y las acciones correctivas realizadas.
• Desarrollar protocolos de respuesta en el manejo de violaciones e incidentes, que incluyan:
  1. Explicación de qué es un incidente.
  2. Estrategia para identificar, contener y mitigar los incidentes de seguridad.
  3. Roles y responsabilidades del personal.
  4. Línea de tiempo de ejecución.
  5. Reporte de progreso.
  6. Evaluación de respuesta y modificaciones.
  7. Acciones que se espera adopte el equipo de respuesta cuando se presente un incidente de seguridad.
  8. Documentar en un registro interno la información relacionada con el incidente de seguridad.
  9. Evaluación de cómo ocurrió el incidente de seguridad y el éxito de su gestión.
• Realizar la gestión permanente y activa de sus encargados. Tomar las medidas necesarias para asegurar la protección de los datos personales cuyo tratamiento es realizado por encargados, asegurando su cumplimiento de las normas colombianas de protección de datos y la política de tratamiento del responsable.
• Contar con mecanismos de comunicación externa para informar a los titulares, de manera clara y comprensible, la ocurrencia del incidente, sus posibles consecuencias y las herramientas que le ofrece su compañía para minimizar el daño potencial o causado.