La ocurrencia de un incidente de seguridad que resulte en una invasión hacker es, sin duda, una de las mayores pesadillas para cualquier empresa hoy en día. Además del impacto inmediato en los negocios, hay implicaciones legales y de reputación que pueden durar meses o incluso años. En Brasil, la Ley General de Protección de Datos (LGPD) establece una serie de requisitos que las empresas deben seguir tras la ocurrencia de tales incidentes.
Según un informe reciente de Federasul – Federación de Entidades Empresariales de Río Grande del Sur –, más del 40% de las empresas brasileñas ya han sido víctimas de algún tipo de ataque cibernético. Sin embargo, muchas de estas empresas aún enfrentan dificultades para cumplir con los requisitos legales establecidos por la LGPD. Datos de la Autoridad Nacional de Protección de Datos (ANPD) revelan que solo alrededor del 30% de las empresas invadidas declararon oficialmente la ocurrencia del incidente. Esta discrepancia puede atribuirse a diversos factores, incluyendo la falta de conciencia, la complejidad de los procesos de cumplimiento y el miedo a repercusiones negativas en la reputación de la empresa.
El día después del incidente: primeros pasos
Tras la confirmación de una invasión hacker, la primera medida es contener el incidente para evitar su propagación. Esto incluye aislar los sistemas afectados, interrumpir el acceso no autorizado e implementar medidas de control de daños.
En paralelo, es importante formar un equipo de respuesta a incidentes, que debe incluir especialistas en seguridad de la información, profesionales de TI, abogados y consultores de comunicación. Este equipo será responsable de una serie de tomas de decisiones, principalmente las que involucran la continuidad del negocio en los días siguientes.
En términos de cumplimiento con la LGPD, es necesario documentar todas las acciones tomadas durante la respuesta al incidente. Esta documentación servirá como evidencia de que la empresa actuó de acuerdo con los requisitos legales y podrá ser utilizada en eventuales auditorías o investigaciones por parte de la ANPD.
En los primeros días, el equipo de respuesta debe realizar un análisis forense detallado para identificar el origen de la invasión, el método utilizado por los hackers y el alcance del compromiso. Este proceso es vital no solo para comprender los aspectos técnicos del ataque, sino también para recopilar evidencias que serán necesarias para reportar el incidente a las autoridades competentes y también a la aseguradora, en caso de que la empresa haya contratado un seguro cibernético.
Hay un aspecto muy importante aquí: el análisis forense también sirve para determinar si los atacantes siguen dentro de la red de la empresa, una situación que, por desgracia, es muy habitual, más aún si tras el incidente la empresa sufre algún tipo de chantaje financiero a través de la liberación de datos que los delincuentes hayan podido robar.
Además, la LGPD, en su artículo 48, exige que el controlador de datos comunique a la Autoridad Nacional de Protección de Datos (ANPD) y a los titulares de los datos afectados sobre la ocurrencia de un incidente de seguridad que pueda acarrear riesgo o daño relevante a los titulares. Esta comunicación debe realizarse en un plazo razonable, de acuerdo con la regulación específica de la ANPD, e debe incluir información sobre la naturaleza de los datos afectados, los titulares involucrados, las medidas técnicas y de seguridad utilizadas para la protección de los datos, los riesgos relacionados con el incidente y las medidas que se han o se adoptarán para revertir o mitigar los efectos del daño.
Con base en este requisito legal, es esencial, justo después del análisis inicial, preparar un informe detallado que incluya toda la información mencionada por la LGPD. En esto, el análisis forense también ayuda a determinar si hubo extracción y robo de datos, en la medida en que los delincuentes eventualmente estén alegando.
Este informe debe ser revisado por profesionales de cumplimiento y por los abogados de la empresa antes de ser presentado a la ANPD. La legislación también establece que la empresa debe comunicar de manera clara y transparente a los titulares de los datos afectados, explicando lo ocurrido, las medidas tomadas y los pasos siguientes para garantizar la protección de los datos personales.
La transparencia y la comunicación eficaz, por cierto, son pilares fundamentales durante la gestión de un incidente de seguridad. La gestión debe mantener una comunicación constante con los equipos internos y externos, asegurando que todas las partes involucradas estén informadas sobre el progreso de las acciones y los próximos pasos.
La evaluación de las políticas de seguridad es una acción necesaria
Paralelamente a la comunicación con las partes interesadas, la empresa debe iniciar un proceso de evaluación y revisión de sus políticas y prácticas de seguridad. Esto incluye la reevaluación de todos los controles de seguridad, accesos, credenciales con alto nivel de acceso, así como la implementación de medidas adicionales para prevenir futuros incidentes.
En paralelo a la revisión y análisis de los sistemas y procesos afectados, la empresa también debe centrarse en la recuperación de los sistemas y en la restauración de sus operaciones. Esto implica la limpieza de todos los sistemas afectados, la aplicación de parches de seguridad, la restauración de copias de seguridad y la revalidación de los controles de acceso. Es esencial garantizar que los sistemas estén completamente seguros antes de ser puestos de nuevo en operación.
Una vez que los sistemas estén nuevamente operativos, es necesario realizar una revisión post-incidente para identificar lecciones aprendidas y áreas de mejora. Esta revisión debe involucrar todas las partes relevantes y resultar en un informe final que destaque las causas del incidente, las medidas tomadas, los impactos y las recomendaciones para mejorar la postura de seguridad de la empresa en el futuro.
Además de las acciones técnicas y organizacionales, la gestión de un incidente de seguridad requiere un enfoque proactivo en relación con la gobernanza y la cultura de seguridad. Esto incluye la implementación de un programa continuo de mejoras en ciberseguridad y la promoción de una cultura corporativa que valore la seguridad y la privacidad.
La reacción a un incidente de seguridad requiere un conjunto de acciones coordinadas y bien planificadas, alineadas con las exigencias de la LGPD. Desde la contención inicial y la comunicación con las partes interesadas hasta la recuperación de los sistemas y la revisión posterior al incidente, cada paso es esencial para minimizar los impactos negativos y garantizar el cumplimiento legal. Más que eso, es necesario enfrentar de frente las fallas y corregirlas; sobre todo, un incidente debe llevar la estrategia de ciberseguridad de la empresa a un nuevo nivel.
