Los ataques a grandes empresas y gobiernos para conseguir datos personales están a la orden del día. Uno de los mayores problemas que comportan es el obscurantismo con que, a menudo, la parte atacada gestiona todo el proceso del caso a partir del momento en que se detecta el ataque, hasta que lo hace público e informa de la magnitud del mismo.
A raíz de dichos ataques, la Comisaría Europea de Justicia, Derechos Fundamentales y Ciudadanía Viviane Reding, propuso una serie de regulaciones para gestionar las brechas y fallos de seguridad y privacidad, obligando a las empresas y operadoras afectadas a informar inmediatamente a sus clientes.
En Australia también han pensado lo mismo, pero mientras el Gobierno Federal permanece estancado (y llevan cuatro años ya) en decidir si se obliga a informar o no, la Oficina del Comisario de Información ha publicado una guía diseñada para que las empresas y organizaciones afectadas por éste tipo de ataques los notifiquen.
En la guía se dan cuatro sencillos pasos a seguir:
Paso 1: Contener la brecha y realizar una evaluación inicial
Cuando se detecte el ataque o pérdida de datos, lo primero que debe hacer la organización es contenerlo inmediatamente, así como intentar recuperar los registros perdidos, apagar el sistema atacado o deshabilitar los privilegios de acceso. Luego, determinar qué información personal puede haberse filtrado, cual ha sido la causa de todo y que uso se le puede dar a la información perdida.
Dependiendo de la seriedad del ataque, también debería considerarse la opción de informar a todas las partes afectadas inmediatamente, sin esperar a tener solucionado el problema.
Paso 2: Evaluar los riesgos asociados
Se debería investigar sobre la información perdida durante el ataque para determinar los daños que puede causar. Si la brecha de seguridad incluye información bancaria o médica, el caso es más serio y puede llevar a suplantación de identidad o robo.
También se debe examinar quien ha sido afectado por la brecha de seguridad, quien podría tener acceso a los datos afectados, cómo se podrían usar y si los datos estaban cifrados o no.
Además, la guía también aconseja determinar si la pérdida de datos se ha producido a través del robo de un dispositivo físico, como por ejemplo un portátil, y si los que realizaron el robo andaban tras información o solamente el dispositivo.
Paso 3: Notificación
En la guía publicada, la Oficina de Información de Australia avisa que cualquier organización que no notifique a los afectados por una pérdida de datos, se arriesga a perder la confianza de sus clientes una vez éstos sepan del caso a través de los medios.
Cuando se decida notificar el caso a los afectados por la pérdida, según la guía se debería consultar primero con las autoridades gubernamentales, en caso que también estén involucradas, una vez el sistema se haya reparado y probado satisfactoriamente.
Sobre la información relacionada con la pérdida que se debería notificar a los afectados, la guía sugiere incluir qué y cuando ha pasado (pero sin proporcionar información técnica detallada), qué información personal se ha perdido (obviamente sin dar datos personales), qué se ha hecho para solucionar el tema, el tipo de asistencia que la organización puede dar a los afectados y las posibles implicaciones legales que pueda conllevar todo.
Paso 4: Prevenir futuros fallos de seguridad
Una vez esté solventado el tema, tocaría tomar medidas para minimizar el riesgo de otra posible intrusión. Para ello, la Oficina de Información Australiana recomienda la creación de una figura responsable de la seguridad de los datos, actualizar contraseñas de forma regular o deshabilitar las funciones de descarga de ficheros para evitar que los datos se copien a soportes como pendrives o discos extraíbles.
En principio, y como queda claro, la guía expone estos cuatro pasos que, a la hora de la verdad, parece que son ultra-complicados de aplicar, y se olvidan el paso de retirar servidores obsoletos.
Además, siempre resulta más cómodo echarle la culpa al primero que pase, aunque no tenga nada que ver.
Por cierto, dos de los principales proveedores de servicio australianos, Optus y Telstra, se oponen a posibles leyes que obliguen a informar de sus pérdidas de datos, ya que ellos estarían sujetos a la ley local, mientras que otros comercios y proveedores situados fuera del país quedarían fuera de ella.
En Nación Red | Europa a la cabeza... pero ¿de qué? | ¿Ciberataque contra infraestructuras críticas? Mucho más fácil con un mazo
Vía | ZDNet Australia Foto | Zodman
