Consejos HC

Cómo debe actuar una marca de coches si sufre un robo de datos

Se suele aplicar en muchos ámbitos de la vida y, por supuesto, en la ciberseguridad: existen dos tipos de empresas, las que han sufrido un ataque de ciberseguridad y las que lo van a sufrir. Muchos afectarán a sus datos, pero... ¿cómo se debe actuar cuando sucede?

Cámaras de ciberseguridad

La respuesta la ha planteado el INCIBE, que recuerda que tanto empresas de todos los tamaños -y de todos los sectores, incluidos los del sector automovilístico- como los autónomos deben enfrentarse casi a diario a todo tipo de situaciones que supongan un riesgo para su negocio, siendo las amenazas digitales una de las principales en los tiempos que corren.

Destacan desde este organismo que son las brechas de seguridad el más claro ejemplo de amenaza; de hecho, una de estas brechas que suponga para una empresa la posible pérdida de datos privados, puede acarrerar un enorme perjuicio no sólo por el quebradero de cabeza de perder esos datos, sino porque tras la entrada en vigor del RGPD y de la LOPDGDD, una brecha de seguridad que ponga en riesgo la integridad de los datos almacenados por la empresa, “puede suponer diversos casos, como la notificación y la imposición de sanciones económicas por parte de las entidades encargadas de velar por la protección de los datos personales, como es el caso de la Agencia Española de Protección de Datos -AEPD-“. Pues bien, a pesar de todo, como comentan desde INCIBE, aún hay muchas empresas -sobre todo las pequeñas y medianas- que no sabrían qué hacer si se ven afectados por una de estas brechas.

Tanto para estas pymes como para empresas más grandes del mundo del motor, fabricantes de componentes… etc, existe una herramienta que creó, precisamente la AEPD. Es un instrumento que, sobre todo, resulta muy sencillo de utilizar, porque tiene forma de cuestionario.

es una herramienta creada por la AEPD, intuitiva y fácil de usar, ya que guía al titular o responsable de datos de la empresa a través de una serie de preguntas sobre las características del incidente; cuando las respondes, el propio sistema irá facilitando una serie de consejos, acciones y medidas que debes tomar y que ayudarán a tomar decisiones.

Como curiosidad, esta herramienta es anónima en el sentido de que nada de la información que aporte el responsable o titular de la base de datos “se almacena o permite la identificación del afectado”. Por otro lado existe un formulario para comunicar incidentes en la sede electrónica de la AEPD, que sirve para comunicar de manera también sencilla una posible brechas de seguridad que hayamos sufrido.

¿Y cómo es el proceso para manejar la herramienta? Según nos muestra INCIBE, lo primero que te pregunta es que indiques el sector de actividad al que se dedica la empresa de entre 11 opciones, que van desde la sanidad o publicidad hasta los servicios financieros, entre otros.

El segundo paso consiste en dar detalles sobre la brecha de seguridad -por ejemplo, sobre el origen del incidente o la naturaleza del mismo, es decir, si fue intencionado, accidental, de origen desconocido o provocado por un ciberincidente-.

Más tarde tienes que dar datos sobre las consecuencias que ha provocado dicho incidente “sobre la estructura de los datos y su consistencia, el grado de afectación o si han sufrido alteración que imposibilite su uso o su disponibilidad.

También es necesario incluir el tipo de datos que se han visto afectados por la brecha de seguridad -es decir: personales, financieros, de geolocalización, privados o de salud…- y si pertenecen a personas o colectivos que requieren de una especial protección, como es el caso de menores y víctimas de violencia de género o en riesgo de exclusión social, así como el número aproximado de personas afectadas.

Evidentemente también es necesario señalar en qué fecha tuvo lugar el incidente… o más bien cuándo se tuvo constancia del mismo. Una vez que se facilita toda la información, es la AEPD la que emite un dictamente no vinculante sobre cuáles son las acciones que habría que realizar de acuerdo a la información suministrada.

Destaca el INCIBE que ese dictamen se hace en base a lo establecido en el artículo 34 del Reglamento General de Protección de Datos. En él, se puede llegar a tres tipos de conclusiones: informar de la brecha de seguridad a las personas afectadas; no informar de esa brecha al considerar que la información que ha quedado expuesta no es importante; o llegar a la conclusión de que con la información facilitada no se puede determinar el riesgo que existe.

La redacción de HACKERCAR la componen periodistas que trabajan en colaboración con expertos en tecnología y ciberseguridad. Hablamos de vehículos, de movilidad, de consejos... y también nos gusta el formato audiovisual. ¿Tienes algún tema que te gustaría que tratásemos o investigásemos? Escríbenos a redaccion@hackercar.com

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.