¿Qué debería implementar su empresa en materia de incidentes de seguridad?

Bogotá D.C., 07 de noviembre de 2024.

¿Qué es un Incidente de seguridad?

• La violación de los códigos de seguridad, o la pérdida, robo y/o acceso no autorizado a los datos personales administrados/almacenados por una empresa, que compromete la confidencialidad, integridad y/o disponibilidad de dicha información.
• La confidencialidad de los datos personales se puede ver afectada al enviar un correo masivo sin copia oculta, pues todas las direcciones electrónicas de los destinatarios de este podrían ser conocidas por terceros no autorizados, o por un evento de hackeo en el cual se filtre la información.
• La integridad de los datos personales se puede ver comprometida cuando las direcciones y números telefónicos de las personas son modificadas sin que ello refleje la realidad de dicha persona o sin que se le solicite autorización para hacer tal cambio, ya sea por un evento de fraude o error humano.
• La disponibilidad de los datos personales se puede ver afectada cuando las bases de datos son secuestradas (“ransomware”), sin que sea posible su acceso, o por interrupción del software que afecta su operación.

¿Qué debería implementar su empresa en materia de incidentes de seguridad?

• Desarrollar un sistema de administración, identificación y mitigación de riesgos asociados al tratamiento de datos personales.
• Implementar medidas técnicas, humanas y administrativas para evitar afectaciones a la seguridad de la información.
• Tener un registro de incidentes pasados que contemple los datos comprometidos, las personas afectadas, la fecha del incidente y su descubrimiento y las acciones correctivas realizadas.
• Desarrollar protocolos de respuesta en el manejo de violaciones e incidentes.
• Realizar la gestión permanente y activa de los proveedores que tratan datos personales por cuenta de su empresa, es decir, los encargados del tratamiento.
• Contar con mecanismos de comunicación externa para informar a las personas afectadas, de manera clara y comprensible, la ocurrencia de incidentes de seguridad, sus posibles consecuencias y las herramientas que le ofrece su empresa para minimizar el daño potencial o causado.
• Tomar una póliza de Riesgos Cibernéticos, que ampare los perjuicios causados a terceros por la responsabilidad civil en la que incurra la empresa como consecuencia de un incidente de seguridad.

¿Qué hacer si ocurre un incidente en su compañía?

• Contener el incidente de seguridad y hacer una evaluación preliminar de este de acuerdo con los procedimientos internos de la empresa.
• Confirmar que el incidente de seguridad es un riesgo amparado por la póliza de Riesgos Cibernéticos.
• Dar aviso del siniestro a la compañía de seguros que expidió la póliza de Riesgos Cibernéticos y remitir la información recopilada hasta el momento.
• Solicitar la activación de las asistencias que provee la póliza de Riesgos Cibernéticos, en caso de haberlas contratado, como: profesional en relaciones públicas y manejo de crisis, firmas externas de computación forense, entre otros.
• Evaluar los riesgos e impactos asociados con el incidente de seguridad frente a las personas afectadas, organizaciones, o el público en general.
• Prevenir futuros incidentes, auditando las políticas y procesos implementados y desplegando los cambios que se requieran al interior de la empresa.
• Registrar las lecciones aprendidas tras la ocurrencia del incidente de seguridad.
• Notificar a la SIC, máximo en los 15 días hábiles siguientes a que la persona o área encargada de atenderlo al interior de la empresa haya tenido conocimiento del mismo.