Si no estás preparado… ¡prepárate para fallar!

Tu negocio está expuesto a sufrir una brecha de seguridad en la información.  Puede que un pirata informático acceda a tu sistema y robe los datos de tus clientes, o simplemente que pierdas un portátil. En ambos casos, sin un plan de respuesta sólido y testado podría ser demasiado tarde para minimizar el posible daño financiero y de reputación.

Gracias a la gestión de este tipo de incidentes desde hace más de 15 años, en Hiscox sabemos que el porcentaje de compañías sin este plan de contención es muy alto. Un riesgo innecesario y peligroso teniendo en cuenta el aumento exponencial de estos siniestros.

Todas las empresas, incluso las más pequeñas, deben asegurarse de que han hecho todo lo posible para prepararse para una violación de datos. Estos son algunos consejos a poner en práctica para crear tu propio plan de respuesta:

 

Información sensible: ¿qué datos tienes?

Plantéate qué información es crítica para tu negocio, qué bases de datos tienes, dónde almacenas información, o si gestionas datos para la realización de pagos a través de tu página web. Solo cuando te enfrentes a estas cuestiones serás consciente de la magnitud de información que manejas y cómo la gestionas.

Cómo lidiar con la violación de datos reales

Un plan de respuesta eficaz tendrá descrito cada uno de los procedimientos a implementar tan pronto se descubra la brecha. La velocidad nos permitirá evaluar qué datos se han perdido y además, restaurar los sistemas y volver a reanudar nuestra actividad lo antes posible.

Asegúrate de tener un responsable capacitado con las habilidades técnicas necesarias, ya sea dentro de la empresa o a través de un servicio externalizado.

Certifica también que tus sistemas registran adecuadamente todos los procesos y movimientos de los datos. Por ejemplo, cuándo y quién ha accedido por última vez a una base de datos. Solo así serás capaz de analizar una brecha rápidamente y descubrir qué información ha podido verse comprometida.

Identifica tu soporte legal

Un pirata informático te llama para decirte que ha pirateado tu sistema y va a publicar todos los detalles de tus clientes en un sitio público donde se comparten archivos, ¿a quién llamarías? Tu soporte legal debe estar disponible a cualquier hora del día o de la noche.

Comunicación: mantente en contacto con tus clientes, proveedores y reguladores

La estrategia de comunicación tras una violación de datos puede suponer la diferencia entre continuar con tu negocio o verte obligado a finalizar su actividad. La reputación lo es todo y tu audiencia necesita la tranquilidad de saber que la situación está bajo control. Contar con un plan de crisis te ayudará a enumerar los datos comprometidos y quién debe ser informado, tanto clientes y proveedores como organismos reguladores. Ten en cuenta el peso específico de quién debe ser informado. Por ejemplo, un cliente importante apreciará una llamada personal en lugar de un simple correo electrónico. Recuerda que el RGPD describe algunos procedimientos y comunicaciones obligatorias cuando se produce un incidente de esta naturaleza.

Pon a prueba tu plan de respuesta

Cualquier plan solo es bueno si se sabe cómo implementarlo y permanece actualizado. Formará parte de tu plan de contención el testarlo periódicamente a través de simulacros ante diferentes escenarios posibles de violación de datos. Estas pruebas servirán también para aumentar la sensibilización y compromiso de todos y cada uno de los empleados que forman la compañía. Además, les servirá para conocer perfectamente qué función deben desempeñar ante un posible incidente. Y, por otro lado, a ti te ayudarán para obtener información adicional y descubrir nuevas necesidades a tener en cuenta en tu cultura de seguridad cibernética.