Ciberataques: Gestión empresarial de incidentes
29 de septiembre de 2023Contenido
Colombia y el mundo vienen conociendo con mayor frecuencia, la ocurrencia de ciberataques que comprometen el acceso a servicios de información, e inclusive a servicios esenciales, tanto en el ámbito público como en el privado. El más reciente y del que aún se sienten los efectos (IFX NETWORKS), pone al descubierto que toda estructura de sistemas de información el vulnerable y puede ser objeto de ataques.
No hay forma de garantizar que este tipo de ataques no sucedan, es importante poner en conocimiento de los empresarios colombianos, las cargas y responsabilidades mínimas que se deben atender e implementar cuando una empresa es victima de un ciberataque que afecta los datos personales que son objeto de tratamiento y los activos de información que posee.
En primer lugar y siempre que se trate de información que se considere “datos personales”, se deberá dar aplicación a los postulados consagrados en la Constitución Nacional (Art. 15) y la ley 1581 de 2012 y demás normas concordantes, así como los pronunciamientos y directrices que emita la Superintendencia de Industria y Comercio (SIC) a través de la Delegatura para la Protección de Datos Personales.
La ley referida y sus decretos reglamentarios han establecido una serie de principios y deberes que todo empresario está llamado a cumplir y a tener de base en la atención de incidentes. Destacamos de manera especial, la necesidad de contar con Condiciones de Seguridad adecuadas para evitar el acceso no autorizado y el uso de los datos, y es que la seguridad termina siendo la columna vertebral del sistema de protección de datos, pues es una carga que permite materializar el derecho de Habeas Data.
Este es un concepto preventivo y naturalmente, la ocurrencia de ciberataques significa que no se adoptaron medidas suficientes por parte de Responsables y/o Encargados del tratamiento de datos, por esta razón, los empresarios deben contar con protocolos claros y procedimientos para actuar de manera oportuna y eficaz.
Existe la obligación de Reportar el Incidente, ante la Autoridad Nacional (SIC) dentro de los 15 días hábiles siguientes al momento en que se hubieran detectado o al momento de tener conocimiento del mismo, con independencia de que la empresa esté obligada o no, a registrarse en el Registro Nacional de Bases de Datos (Rnbd).
Lo anterior amerita que la empresa cuente con una estructura básica en materia de habeas data, que debería incluir -como mínimo- la existencia de una Política de Tratamiento de Datos Personales, un Aviso de Privacidad, un Manual de procesos y procedimientos internos y los formatos/procesos de autorización (previa, expresa e informada), que respondan a dichos documentos y sistemas de capacitación y entrenamiento a sus colaboradores para que esta regulación interna no sea letra muerta, sino para que se asegure el cumplimiento interno, de la mano del oficial de protección de datos personales y/o del comité designado (si aplica).
Detectado el incidente, la empresa deberá implementar todas las medidas razonables para contener y mitigar el impacto de este, incluyendo la formulación de denuncias ante las autoridades competentes, y dictaminar el nivel de compromiso de los datos personales afectados por el ataque.
La colaboración y transparencia resultan esenciales para gestionar incidentes de seguridad, y en casos complejos donde se afectan de manera masiva empresas y entidades públicas o privadas, se deben articular los esfuerzos para desplegar las acciones de contención y mitigación, evitando guardar silencio.