La ocurrencia de un incidente de seguridad que resulte en una intrusión hacker es, sin duda, una de las mayores pesadillas para cualquier empresa hoy en día. Además del impacto inmediato en el negocio, existen implicaciones legales y de reputación que pueden durar meses o incluso años. En Brasil, la Ley General de Protección de Datos (LGPD) establece una serie de requisitos que las empresas deben seguir después de que ocurran este tipo de incidentes.
Según un informe reciente de Federasul – Federación de Entidades Empresariales de Rio Grande do Sul -, más del 40% de las empresas brasileñas ya han sido blanco de algún tipo de ataque cibernético. Sin embargo, muchas de estas empresas aún enfrentan dificultades para cumplir con los requisitos legales establecidos por la LGPD. Los datos de la Autoridad Nacional de Protección de Datos (ANPD) revelan que sólo alrededor del 30% de las empresas que fueron hackeadas declararon oficialmente la ocurrencia del incidente. Esta discrepancia se puede atribuir a una serie de factores, incluida la falta de concienciación, la complejidad de los procesos de cumplimiento y el miedo a repercusiones negativas en la reputación de la empresa.
El día después del incidente: primeros pasos
Después de confirmar una intrusión hacker, el primer paso es contener el incidente para evitar que se propague. Esto incluye aislar los sistemas afectados, detener el acceso no autorizado e implementar medidas de control de daños.
Paralelamente, es importante formar un equipo de respuesta a incidentes, que debe incluir expertos en seguridad de la información, profesionales de TI, abogados y consultores de comunicaciones. Este equipo será responsable de tomar una serie de decisiones, principalmente aquellas que involucran la continuidad del negocio en los próximos días.
En términos de cumplimiento de la LGPD, es necesario documentar todas las acciones tomadas durante la respuesta al incidente. Esta documentación servirá como evidencia de que la empresa actuó de acuerdo con los requisitos legales y podrá ser utilizada en cualquier auditoría o investigación de la ANPD.
En los primeros días, el equipo de respuesta debe realizar un análisis forense detallado para identificar la fuente de la intrusión, el método utilizado por los piratas informáticos y el alcance del compromiso. Este proceso es vital no solo para comprender los aspectos técnicos del ataque, sino también para recopilar evidencias que serán necesarias para reportar el incidente a las autoridades competentes y también a la compañía de seguros, si esta ha contratado un seguro cibernético.
Hay un aspecto muy importante aquí: el análisis forense también sirve para determinar si los atacantes siguen dentro de la red de la empresa, una situación que, por desgracia, es muy habitual, más aún si tras el incidente la empresa sufre algún tipo de chantaje financiero a través de la liberación de datos que los delincuentes hayan podido robar.
Además, la LGPD, en su artículo 48, exige al responsable del tratamiento comunicar a la Autoridad Nacional de Protección de Datos (ANPD) y a los interesados afectados sobre la ocurrencia de un incidente de seguridad que pueda entrañar un riesgo o daño relevante para los interesados. Esta comunicación deberá realizarse en un plazo razonable, de acuerdo con la normativa específica de la ANPD, y deberá incluir información sobre la naturaleza de los datos afectados, los interesados implicados, las medidas técnicas y de seguridad utilizadas para proteger los datos, los riesgos relacionados con el incidente y las medidas que se han adoptado o se adoptarán para revertir o mitigar los efectos del daño.
En base a esta exigencia legal, es imprescindible, inmediatamente después del análisis inicial, elaborar un informe detallado que recoja toda la información mencionada por la LGPD. En este sentido, el análisis forense también ayuda a determinar si se ha producido una extracción y un robo de datos en la medida en que los delincuentes pueden estar afirmando.
Este informe debe ser revisado por profesionales de cumplimiento y abogados de la empresa antes de ser presentado a la ANPD. La legislación también determina que la empresa debe proporcionar una comunicación clara y transparente a los interesados afectados, explicando lo sucedido, las medidas adoptadas y los próximos pasos para garantizar la protección de los datos personales.
La transparencia y la comunicación efectiva, de hecho, son pilares fundamentales durante la gestión de un incidente de seguridad. La dirección debe mantener una comunicación constante con los equipos internos y externos, garantizando que todas las partes involucradas estén informadas sobre el avance de las acciones y los próximos pasos.
La evaluación de las políticas de seguridad es una acción necesaria
Paralelamente a la comunicación con las partes interesadas, la empresa debe iniciar un proceso de evaluación y revisión de sus políticas y prácticas de seguridad. Esto incluye reevaluar todos los controles de seguridad, acceso y credenciales de alto nivel, así como implementar medidas adicionales para prevenir incidentes futuros.
Paralelamente a la revisión y análisis de los sistemas y procesos afectados, la empresa también debe centrarse en la recuperación de los sistemas y la restauración de sus operaciones. Esto implica limpiar todos los sistemas afectados, aplicar parches de seguridad, restaurar copias de seguridad y revalidar los controles de acceso. Es esencial garantizar que los sistemas sean completamente seguros antes de volver a ponerlos en funcionamiento.
Una vez que los sistemas estén nuevamente operativos, se debe realizar una revisión posterior al incidente para identificar lecciones aprendidas y áreas de mejora. Esta revisión debe involucrar a todas las partes relevantes y dar como resultado un informe final que destaque las causas del incidente, las acciones tomadas, los impactos y las recomendaciones para mejorar la postura de seguridad de la empresa en el futuro.
Además de las acciones técnicas y organizativas, la gestión de un incidente de seguridad requiere un enfoque proactivo de gobernanza y cultura de seguridad. Esto incluye la implementación de un programa continuo de mejoras en la ciberseguridad y el fomento de una cultura corporativa que valore la seguridad y la privacidad.
Responder a un incidente de seguridad requiere un conjunto de acciones coordinadas y bien planificadas, alineadas con los requisitos de la LGPD. Desde la contención inicial y la comunicación con las partes interesadas hasta la recuperación de los sistemas y la revisión posterior al incidente, cada paso es esencial para minimizar los impactos negativos y garantizar el cumplimiento legal. Más que eso, es necesario mirar las fallas de frente y corregirlas: sobre todo, un incidente debe llevar la estrategia de ciberseguridad de la empresa a un nuevo nivel.
