Skip to content Skip to sidebar Skip to footer

Incidentes de Seguridad Informática -Qué son y cómo actuar ante ellos-

El
Centro Nacional de Respuesta a Incidentes de Seguridad Informática (“CERTuy”)
define a los incidentes de seguridad de la información (“Incidentes”) como “un acceso, intento de acceso, uso,
divulgación, modificación o destrucción no autorizada de información; un
impedimento en la operación normal de las redes, sistemas o recursos
informáticos; o una violación a la Política de Seguridad de la Información del
organismo.” En palabras más sencillas, incidentes de seguridad son los
accesos no autorizados, robos de contraseñas, robos de información, borrado o
alteración de la información de terceros o introducción de virus (malware en general), entre otros.

El
número de Incidentes ha aumentado en forma sostenida en los últimos años. Mientras
que en 2014, CERTuy registró un total de 499 Incidentes, en 2017 fueron 1.684,
y en el primer semestre de 2018 CERTuy registró 786 Incidentes, lo que
representó un aumento del 78% con respecto al mismo período del año anterior.

Es
claro entonces que el riesgo de sufrir, o ser víctima de un Incidente es real,
y las organizaciones deberán tomar las precauciones que permitan mitigar no
sólo los riesgos de sufrir un Incidente, sino las consecuencias de éstos que
–dependiendo de la actividad de la organización- podrían ser catastróficas.

Asimismo,
gran parte de estos incidentes involucran el acceso no autorizado a datos
personales e información sensible, situación que se agrava cuando el modelo de
negocios de la víctima del incidente de seguridad se basa en los datos, tales
como los servicios relacionados con el Big Data, Machine and Deep Learning,
entre otros.

¿Pero
qué sucede si a pesar de las medidas de seguridad adoptadas por la
organización, ésta es víctima de un Incidente? ¿Qué deberá hacer la
organización ante esta eventualidad? La respuesta la da el artículo 38 de la
Ley 19.670 al establecer que “cuando el
responsable o encargado de una base de datos o de tratamiento, tome
conocimiento de la ocurrencia de la vulneración de seguridad, deberá informar
inmediata y pormenorizadamente de ello y de las medidas que adopte, a los
titulares de los datos y a la Unidad Reguladora y de Control de Datos
Personales […]” En otras palabras, en forma simultánea, o antes incluso de
tomar las medidas de solución al Incidente, se deberá informar a la URCDP la
que coordinará cursos de acción con el CERTuy.

Sin
perjuicio de que esta norma no se encuentra aún reglamentada, por lo que no se
han definido aún los protocolos de acción ni la información específica a
proporcionarse, CERTuy recomienda que se reporte toda la información con la que
se cuenta, evitándose –de ser posible- la alteración de la evidencia y
manteniéndose el sistema tal cual está al momento de advertirse el Incidente.

Los
Incidentes deberán reportarse a la URCDP por escrito, a la vez que se deberá
informar a los titulares de los datos afectados por el Incidente.