Por Moisés López Soto. IT Manager. BDO España
Dentro de las “novedades” que tanto el Reglamento Europeo de Protección de Datos como la Directiva NIS, entre otros, incorporan se encuentra la necesidad/obligación de realizar la comunicación a la autoridad competente, e incluso clientes/interesados, de los incidentes de seguridad sufridos por las organizaciones.
Esta obligación ha abierto un debate sobre ¿qué?, ¿cómo? y ¿por qué? realizar esas comunicaciones que pueden ser tomadas por clientes como debilidades y por la competencia como puntos débiles que explotar para obtener rédito comercial posteriormente, haciendo ver que la compañía que ha sufrido el incidente es vulnerable.
En este sentido, no deberíamos preocuparnos por ello, ya que a nivel incidentes de seguridad de la información estamos igual que con el dicho sobre los motoristas, que se dividen entre los que se han caído y los que se van a caer, que siguiendo el símil se traduciría en las organizaciones que han sufrido una brecha de seguridad y las que la van a sufrir, e incluso aquellas que la están sufriendo y aún no lo saben.
Al mismo tiempo, y profundizando en el ¿por qué?, todos somos conscientes que las amenazas para la seguridad de nuestra información son cada vez más globales y deslocalizadas y, a su vez, las soluciones a las distintas vulnerabilidades que pueden ser explotadas también. Por ello, el compartir información con las autoridades además de obtener ayuda de las mismas y facilitar la persecución del posible delito, facilita la investigación y consecución de soluciones que eviten la propagación del incidente hacia otras organizaciones.
Por otro lado, y más allá del interés y soporte que puedan obtener las organizaciones víctimas de ataques a la confidencialidad, integridad y/o disponibilidad de su información con las comunicaciones a las autoridades, también se debe tener en cuenta el lado de los clientes y la necesidad de ser informados en función de la gravedad y tipo de información implicada tal como indica el Reglamento Europeo de Protección de datos en su Artículo 34 – Comunicación de una violación de la seguridad de los datos personales al interesado.
Sin embargo, este mismo artículo 34 advierte que no es necesaria la comunicación al interesado cuando:
- el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
- el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
- suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
Por lo que no estamos ante una necesidad de comunicar todos y cada uno de los incidentes de seguridad de la información que podamos sufrir sino aquellos que supongan realmente un impacto significado.
También es necesario valorar estas comunicaciones como parte de la estrategia de respuesta ante incidentes de las compañías incorporándolo, además, en su plan de continuidad de negocio ya que dichas comunicaciones también deben servir para mitigar el impacto reputacional que se pueda sufrir, así como la posible aparición de las tan de moda fake news, teniendo aquí otra respuesta al ¿por qué?
De este modo, y más allá del qué comunicar a las autoridades, debemos cuidar qué comunicar a los medios de comunicación, afectados, clientes y proveedores de manera que podamos mitigar la afectación a la imagen de marca.
En este sentido, es muy importante la elección de las palabras adecuadas, ayudándonos del área de comunicación de la compañía, el/los medio/s elegido/s para realizar nuestras comunicaciones corporativas, los interlocutores adecuados para hacer llegar el mensaje a nuestro núcleo de interés y la transparencia sobre el incidente ocurrido, aspecto esencial a la hora de combatir rumores y las ya comentadas fake news.
En definitiva, la necesidad de comunicación de los incidentes de seguridad ha llegado para quedarse. por lo que la mejor opción es incorporarla a la cultura de comunicación de la compañía, a nuestros planes de comunicación y, sobre todo, a nuestros ciclos de pruebas y simulacros de forma que estemos listos para cuando nos toque utilizarla.
