Un ciberataque ha bloqueado los datos personales de la empresa; qué hago?

Nuestra empresa puede ser víctima de un ciberataque (ataque informático) que impida el funcionamiento normal y la explotación de nuestro negocio. Es muy habitual que el virus (malware) encripte los datos y nos soliciten un rescate en criptomonedas. Los ciberataques cada vez son más habituales y, entre otros problemas, afectan la disponibilidad de los datos personales de las cuales somos responsables. Por ejemplo, muchos proveedores de hosting se están viendo afectados, puesto que en sus servidores poseen ingentes cantidades de datos.

Ante un ataque informático, para cumplir con la normativa de protección de datos nuestra entidad tendría que:

1- Coordinar la respuesta al incidente convocante de urgencia la comisión de seguridad de protección de datos (gabinete de crisis).

2- Obtener todos los detalles del ataque remitiendo el registro de incidencias al proveedor TIC o al departamento interno correspondiente.

3- Analizar el contrato de encargado/ada del tratamiento firmado con el proveedor TIC, si la brecha de seguridad se ha producido al sistema de información.

4- Determinar el volumen de datos afectados; el carácter interno o externo del escape de información y la posible exposición de los datos a Internet; el tipo de datos comprometidos.

5- Si la brecha de seguridad constituye un alto riesgo para los derechos y las libertades de las personas físicas, se tendrá que notificar a la autoridad de protección de datos en el plazo de 72 horas. La empresa también lo comunicará a las personas afectadas.

En conclusión, para actuar correctamente ante una brecha de seguridad, el primero que hace falta es saber qué es y ser capaz de detectarla e identificarla. Si se produce, el responsable de tratamiento tiene que poner en marcha un plan de actuación, concretando tareas específicas que permitan resolver la brecha, minimizar las consecuencias y evitar que vuelva a suceder en el futuro.