¿Qué hacer? Respuesta a la infracción

Por | Publicado el 17 de agosto de 2016
Actualizado el 27 de febrero de 2024

Imagen de un candado de ciberseguridad sobre una placa de circuito impreso

Recientemente, un ataque informático contra la página web de citas extramatrimoniales conocida como Ashley Madison hizo públicas las identidades de miles de miembros que antes eran confidenciales. A pesar de las desventajas que entrañan estos ataques, pueden enseñarnos algunas cosas importantes sobre la ciberseguridad.Hace años, una empresa podía planificar la protección de su negocio. El departamento de TI reforzaba la seguridad del sistema y, en la mayoría de los casos, existía una garantía razonable de que la empresa estaba relativamente a salvo. Las cosas han cambiado a medida que la tecnología ha avanzado. Este avance ha tenido un precio. El
El rápido avance tecnológico no ha propiciado un entorno propicio para la aplicación de medidas de seguridad. Esta falta de medidas de seguridad ha dado lugar a diversos problemas. Esto se ha puesto de manifiesto en numerosas filtraciones de datos. Es evidente que este problema ha cobrado mayor importancia a medida que las filtraciones se han vuelto más frecuentes y las empresas facilitan una mayor cantidad de datos susceptibles de ser sustraídos.

En caso de una filtración, lo primero que hay que hacer es verificar que dicha filtración se haya producido efectivamente. Si así fuera, la empresa debe analizar qué datos se han visto afectados. No todas las filtraciones deben notificarse. Si se tratara de datos de carácter confidencial de un consumidor, sería necesario notificarlo. El umbral de notificación se alcanzaría si los datos incluyeran números de la Seguridad Social, números de permiso de conducir, números de cuentas bancarias, contraseñas y otra información de identificación personal.

Es posible que la empresa también esté obligada a notificar a las partes afectadas en un plazo determinado. Este plazo varía a nivel estatal y federal, dependiendo del asunto y de la jurisdicción. Muchos estados, en lugar de fijar una duración concreta para este plazo, se limitan a indicar que debe realizarse en un plazo «razonable». Por lo general, se considera que este plazo es de 45 días. Si la información está sujeta a la HIPAA, es posible que exista un plazo específico para la notificación.

Una vez establecido y acordado el calendario, hay que redactar la notificación propiamente dicha. Esto también depende de la jurisdicción. Algunos estados tienen requisitos que deben cumplirse. Por ejemplo, la ley de notificación de Rhode Island establece seis requisitos que deben cumplirse. Es posible que haya que utilizar una plantilla o un modelo de carta.

Estos incidentes no van a disminuir ni en frecuencia ni en gravedad. Dado que los atacantes han convertido esto en un negocio, ha demostrado ser una fuente de ingresos y una herramienta de ataque muy utilizada.

Acerca de Charles Parker II

Charles Parker II lleva más de una década trabajando en el ámbito de la seguridad de la información, realizando pruebas de penetración y evaluaciones de vulnerabilidades, prestando asesoramiento a pequeñas y medianas empresas para mitigar y resolver sus problemas, y elaborando políticas y procedimientos de TI y seguridad de la información. La trayectoria profesional del Sr. Parker abarca su labor en los sectores bancario, sanitario, automovilístico y de selección de personal.

El Sr. Parker se ha matriculado y ha obtenido los títulos de MBA, MSA, JD y LLM, y se encuentra en la fase final del doctorado en Seguridad y Protección de la Información (ABD) por la Universidad de Capella. Entre las áreas de interés del Sr. Parker se encuentran la criptografía, los antivirus y los sistemas SCADA.