Nuestra empresa puede ser víctima de un ciberataque (ataque informático) que impida el normal funcionamiento y explotación de nuestro negocio. Es muy habitual que el virus (malware) encripte los datos y nos soliciten un rescate en criptomonedas. Los ciberataques cada vez son más habituales y, entre otros problemas, afectan a la disponibilidad de los datos personales de los cuales somos responsables. Por ejemplo, muchos proveedores de hosting se están viendo afectados al poseer en sus servidores ingentes cantidades de datos.
Ante un ataque informático, para cumplir con la normativa de protección de datos nuestra entidad debería:
1.- Coordinar la respuesta al incidente convocando de urgencia a la comisión de seguridad de protección de datos (gabinete de crisis).
2.- Obtener todos los detalles del ataque remitiendo el registro de incidencias al proveedor TIC o al departamento interno correspondiente.
3.- Analizar el contrato de encargado/a del tratamiento firmado con el proveedor TIC, si la brecha de seguridad se ha producido en su sistema de información.
4.- Determinar el volumen de datos afectados; el carácter interno o externo de la fuga de información y la posible exposición de los datos en Internet; el tipo de datos comprometidos.
5.- Si la brecha de seguridad constituye un alto riesgo para los derechos y libertades de las personas físicas, se deberá notificar a la autoridad de protección de datos en el plazo de 72 horas. La empresa se lo comunicará también a las personas afectadas.
En conclusión, para actuar correctamente ante una brecha de seguridad, lo primero que hay que hacer es saber qué es y ser capaz de detectarla e identificarla. Si se produce, el responsable de tratamiento debe poner en marcha un plan de actuación, concretando tareas específicas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelva a suceder en el futuro.