Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 27000 - Guia - Gestion - Incidentes - Dic21 - 2020 PDF
ISO 27000 - Guia - Gestion - Incidentes - Dic21 - 2020 PDF
INCIDENTES DE SEGURIDAD
EN EL TRATAMIENTO DE DATOS PERSONALES
2020
GUÍA PARA LA GESTIÓN DE
INCIDENTES DE SEGURIDAD
EN EL TRATAMIENTO DE DATOS PERSONALES
3
ANDRÉS BARRETO GONZÁLEZ
Superintendente de Industria y Comercio
ANGÉLICA ASPRILLA
Jefe Oficina de Servicios al Consumidor y Apoyo empresarial OSCAE
Contenido
1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
4 2. Objetivos y precisiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
9. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
GUÍA PARA LA GESTIÓN DE INCIDINTES DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
1. Introducción
Sin seguridad no hay debido Tratamiento
de Datos Personales. Por eso, la Ley 1581 de 2012
DEBERES DE LOS
establece lo siguiente: Responsables y Encargados
“La información sujeta a tratamiento por
DEL TRATAMIENTO DE DATOS
el Responsable del Tratamiento o Encargado del
Tratamiento a que se refiere la presente ley, se Conservar la
deberá manejar con las medidas técnicas, humanas información bajo
y administrativas que sean necesarias para otorgar CONDICIONES
seguridad a los registros evitando su adulteración, DE SEGURIDAD
pérdida, consulta, uso o acceso no autorizado o para impedir su
fraudulento;(…)”1 uso o acceso no
autorizado o
En desarrollo de lo anterior, la Ley impone a fraudulento.
los Responsables y Encargados del Tratamiento los
siguientes deberes:
INFORMAR A LA
“Conservar la información bajo las condiciones
AUTORIDAD ENCARGADA
de seguridad necesarias para impedir su adulteración,
cuando se presenten
pérdida, consulta, uso o acceso no autorizado o
violaciones o
fraudulento; (…)”2
existan riesgos en
“Informar a la autoridad de protección de datos la administración
cuando se presenten violaciones a los códigos de de la información
seguridad y existan riesgos en la administración de la de los titulares.
información de los Titulares”3
2. Objetivos y precisiones
Esta guía tiene como propósito presentar más relevantes. Esta guía no define las medidas
algunas sugerencias a los Responsables y los concretas que deben implementarse al interior de
Encargados del Tratamiento de Datos Personales, las organizaciones para administrar los incidentes
con miras a orientarlos para que cuenten con un de seguridad, porque ellas dependen de las
plan dirigido a afrontar los incidentes de seguridad particularidades de cada caso, sino que aborda
que afecten los Datos Personales bajo su custodia
con pragmatismo la forma de actuar en caso de
o posesión. Cualquier acción en este sentido debe
ocurrencia.
centrarse en mitigar su impacto sobre los Titulares
8 de la información y sus datos.
Este documento no es un concepto legal ni
Adicionalmente, si las organizaciones no constituye asesoría jurídica. Tampoco pretende ser un
toman a tiempo las medidas técnicas y organizativas, listado exhaustivo de recomendaciones específicas
aquellos eventos que afecten los Datos Personales sobre todos los temas que involucra la gestión de
pueden entrañar daños y perjuicios materiales incidentes de seguridad en el Tratamiento de Datos
o inmateriales para sus Titulares. De ahí que la Personales.
importancia de la gestión de los incidentes de
seguridad deba ser desde: i) el diseño de las Así pues, las organizaciones,
actividades del Tratamiento; ii) el complemento de las independientemente de su tamaño o naturaleza
políticas de seguridad de la información y protección jurídica, son las llamadas a definir cómo proceder
de Datos; y iii) la ética corporativa de las empresas. ante un incidente de seguridad. Por consiguiente, es
importante resaltar que este documento no incluye
Las orientaciones contenidas en este todos los deberes legales sobre la materia, tampoco
texto solo comprenden algunos de los temas resuelve situaciones particulares ni las exime de
cumplir los requerimientos de ley.
i. ii. iii.
El diseño de las El complemento de LA ÉTICA
ACTIVIDADES del LAS POLÍTICAS de corporativa de las
Tratamiento. seguridad de la empresas.
información y
protección
de Datos.
3. Marco normativo
para el reporte de incidentes de seguridad
La Ley 1581 de 2012 ordena lo siguiente: Independientemente del tamaño y
complejidad del incidente de seguridad, todos los
“ARTÍCULO 17. DEBERES DE LOS RESPONSABLES reportes deberán efectuarse a través del enlace
DEL TRATAMIENTO. Los Responsables del Tratamiento previsto en la página web de la SIC.
9
deberán cumplir los siguientes deberes, sin perjuicio de
las demás disposiciones previstas en la presente ley y Con respecto a la información que se deberá
en otras que rijan su actividad: (…) suministrar en el aplicativo, los detalles se recogen
en el “Manual de Ayuda del Registro Nacional de
“n) Informar a la autoridad de protección de Bases de Datos”.
datos cuando se presenten violaciones a los códigos
de seguridad y existan riesgos en la administración de
la información de los Titulares. (…)”
4. Reporte de incidentes
de seguridad CUANDO SE ACUDE A
Encargados del Tratamiento
10
Es recomendable que las organizaciones incorporen en sus contratos de transmisión cláusulas dirigidas
a que los Encargados del Tratamiento les comuniquen sin dilación indebida los incidentes de seguridad que
involucren los Datos Personales transmitidos. Lo anterior, permitirá conocer rápidamente el incidente y, de este
modo, poner en marcha las medidas oportunas.
6. Protocolo de respuesta en
el manejo de incidentes DE SEGURIDAD
La “Guía para la Implementación del Principio número de Titulares de los datos y la cantidad de
de Responsabilidad Demostrada (Accountability)”4 información; (v) el tamaño de la organización; (vi) los
establece que el Programa Integral de Gestión de recursos disponibles, (vii) el estado de la técnica, y
Datos Personales debe involucrar un componente de (viii) el alcance, contexto y finalidades del Tratamiento
12 gestión de riesgos que le permita a las organizaciones de la información.
identificar sus vulnerabilidades a tiempo y enfocar
sus recursos en la adopción de las medidas de Todas las medidas de seguridad deben ser
mitigación de riesgos, tanto para ellas como para los objeto de revisión, evaluación y mejora permanente.
Titulares de la Información.
Ahora bien, si la seguridad falla es
Es por esto que, contar con un protocolo fundamental que las organizaciones cuenten con
de respuesta facilitará a las organizaciones mecanismos de monitoreo y control que les permita
actuar de forma rápida, ordenada y eficaz ante detectar de inmediato o prontamente el incidente de
cualquier incidente que afecte la confidencialidad, seguridad. Esto ayudará a reducir la magnitud del
disponibilidad e integridad de los datos personales daño para la organización y para los Titulares de los
bajo su protección. Datos Personales. Por ende, es crucial que se cuente
con herramientas de “alertas” para actuar tan pronto
ocurra el incidente.
DetecciÓn, identificación
y clasificación de los Las organizaciones deben aplicar todas las
incidentes de seguridad medidas técnicas, administrativas y organizativas
para determinar de inmediato si se ha producido
Como se mencionó, las medidas de seguridad un incidente de seguridad que afecte los Datos
tienen un carácter preventivo para evitar la pérdida Personales y, de ser así, deben implementar las
de la información, su adulteración, así como la acciones necesarias para abordar dicho evento u
consulta, uso, circulación o acceso no autorizado o ocurrencia. Así mismo, en cumplimiento de lo que
fraudulento. establece la Ley 1581 de 2012, reportarlo a la SIC y,
dependiendo del caso, comunicarlo a los Titulares
Las medidas de seguridad deben ser de la información.
apropiadas considerando varios factores como: (i) los
niveles de riesgo del Tratamiento para los derechos y
libertades de los Titulares de los datos; (ii) la naturaleza ¿CuÁles son los tipos de
de los datos; (iii) las posibles consecuencias que se incidentes de seguridad?
derivarían de una vulneración para los Titulares, y
la magnitud del daño que se puede causar a ellos, Los incidentes de seguridad pueden
al Responsable y a la sociedad en general; (iv) el clasificarse dependiendo del grado de pérdida de
las siguientes características de la información:
• Confidencialidad
4 El texto de la guía puede consultarlo en: https://www.sic.gov.
co/sites/default/files/files/Publicaciones/Guia-Accountability.
pdf
• Integridad
• Disponibilidad
¿CuÁles son las causas que generan • Diseñar la metodología para la evaluación del
un incidente de seguridad? impacto de los incidentes de seguridad en los
Titulares de la información.
Los incidentes de seguridad pueden • Evaluar posibles consecuencias adversas para
generarse por diferentes razones como, entre otras, una persona, en caso de que se desencadene
las siguientes: un incidente de seguridad, por ejemplo, el
cometimiento de delitos; la afectación de
• Inexistencia de políticas preventivas de seguridad
derechos; etc.
• Errores o negligencia humana.
• Conocer los procesos de respuesta a incidentes
• Casos fortuitos. de seguridad, sistemas de corrección y de
recuperación, incluidos aquellos establecidos
• Actos maliciosos o criminales.
por los Encargados del Tratamiento.
• Fallas en los sistemas de la organización. 13
• Cumplir con lo establecido en la Ley 1581 de 2012,
• Procedimientos defectuosos. así como con las órdenes y/o instrucciones que
• Deficiencias o defectos en las operaciones. imparta la SIC.
¿Qué es un protocolo de
¿CuÁles son las medidas respuesta en el manejo de
preventivas dentro de una incidentes de seguridad?
organización para hacer frente
a un incidente de seguridad? Es un marco general que incorpora roles,
responsabilidades y acciones que deben ser
• Entrenar periódicamente al equipo humano de desplegadas al interior de las organizaciones
la organización para actuar frente al incidente de para gestionar un incidente de seguridad. Dicho
seguridad. Se recomienda efectuar simulacros instrumento debe ser:
preventivos como se hacen, por ejemplo,
• Documentado
para casos de incendios o temblores. Frente
a un incidente de seguridad, la gente debe • Implementado
estar preparada para actuar de inmediato,
• Comunicado al equipo humano de la organización
profesionalmente e inteligentemente.
• Monitoreado.
• Precisar exactamente cuándo se está ante
un incidente de seguridad que afecte Datos Como señala la “Guía para la Implementación
Personales. No todas las fallas de seguridad del Principio de Responsabilidad Demostrada
necesariamente involucran la confidencialidad, (Accountability)”, el monitoreo consiste en realizar
integridad y disponibilidad de información de un seguimiento constante para velar porque las
carácter personal. medidas que se hayan establecido al interior de
las organizaciones se apliquen y funcionen en la
• Definir las medidas y el procedimiento interno
práctica, en particular, cuando desarrollen nuevos
para el manejo de los incidentes de seguridad.
GUÍA PARA LA GESTIÓN DE INCIDINTES DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
productos o servicios; empleen nuevas tecnologías; el reporte del incidente tanto a la SIC como a otras
realicen ajustes en sus políticas, procedimientos y entidades5 (por ejemplo: Fiscalía General de la
procesos; existan incidentes de seguridad; etc. Nación, Policía Nacional, agencias de seguridad
y ciberseguridad, operadores de información,
No sobra recordar que el protocolo debe estar Superintendencia Financiera de Colombia; etc.)
disponible al interior de las organizaciones con el fin
• Una metodología para determinar el nivel de
de garantizar que el personal entienda claramente
riesgo para los Titulares de la Información.
cómo debe actuar en caso de que se presente un
incidente de seguridad y cuál sería la respuesta más
Los roles y responsabilidades del personal.
efectiva.
Describir las responsabilidades del personal
cuando se presente un incidente de seguridad,
¿QuÉ debería incluir el protocolo?
incluyendo las que están en cabeza de la Alta
14 Los detalles del protocolo dependen de las Gerencia.
necesidades específicas de cada organización.
Línea de tiempo de ejecución.
De forma esquemática, este puede incluir los
siguientes elementos: El protocolo debe establecer los tiempos de
atención a los incidentes de seguridad.
Una explicación clara de lo que constituye
un incidente de seguridad. Reporte de progreso.
Prevenir
futuros PASOS PARA Identificar los
incidentes de RESPONDER daños para las
seguridad en A UN INCIDENTE personas,
Datos organiza-
Personales
DE SEGURIDAD ciones y
público en
general
Notificar a la
Comunicar a Superintendencia
los Titulares de de Industria y
la información Comercio WWW.SIC.GOV.CO
1. Detener el el
Contener incidente de de
incidente 2. Evaluar
Evaluarloslos riesgos
riesgos e e
seguridad y seguridad
hacer una evaluación
y hacer una impactos asociados
impactoscon el incidente
asociados con de
preliminar evaluación preliminar seguridad el incidente de seguridad
Una vez que las organizaciones tengan La adecuada gestión de riesgos requiere
conocimiento de la ocurrencia de un incidente de un profundo y juicioso proceso de identificación
seguridad deberán adoptar las medidas inmediatas y evaluación del nivel de severidad del incidente
para limitar esa falla y evitar cualquier compromiso de seguridad; la probabilidad de daño para los
adicional a la información de carácter personal bajo Titulares de la Información; el nivel de riesgo para sus
17
su cuidado. derechos y libertades; y el Tratamiento que se dará a
esos riesgos.
En esta primera etapa, las organizaciones
también deberán comenzar una investigación inicial Un incidente de seguridad puede tener una
sobre el evento u ocurrencia. La indagación preliminar variedad de efectos adversos sobre las personas
les ayudará a responder las siguientes preguntas que puede dar lugar a problemas de discriminación,
respecto del incidente de seguridad: suplantación de identidad o fraude, pérdidas
financieras, daño reputacional, pérdida del carácter
• ¿Cómo se produjo? confidencial de datos sujetos al secreto profesional,
o cualquier otro perjuicio económico o social
• ¿Cuándo y dónde tuvo lugar?
significativo.
Se debe tener en cuenta que el nivel del riesgo de comportamiento, puntajes de crédito, etc.
no debe basarse únicamente en la clasificación de
• ¿Qué tan sensible es la información
los Datos Personales (público, semiprivado, privado y
comprometida? Por ejemplo: datos de niños, niñas
sensible), en razón a que el impacto de un incidente
y/o adolescentes; datos biométricos, genéticos o
de seguridad en los Datos Personales involucra un
de salud; perfiles de comportamiento; resultados
carácter contextual. Por ejemplo, el hurto de una base
de decisiones automatizadas; orientación sexual;
de datos que contiene los nombres de las personas
datos políticos; etc.
junto con los números de identificación personal, la
descripción de la finalidad o las fechas de nacimiento • ¿Cuál es el contexto de la información personal
pueden representar un alto nivel de riesgo, mientras comprometida?
que, el hurto de una base de datos que contiene solo
los nombres de las personas puede representar un • ¿Estaba la información personal adecuadamente
18
riesgo menor. cifrada, anonimizada? ¿Era inaccesible?
3. Identificar
Identificar los dañoslos daños para
para • Riesgo para la salud pública
las personas, organizaciones
las personas, organizaciones y público • Riesgo para la seguridad pública
y público en general
en general • Pánico económico
• Alteración de los pilares constitucionales de un
¿Qué daños para las personas podrían país
resultar de un incidente de seguridad? Los
ejemplos incluyen:
• Pérdida reputacional
• Pérdida de clientes o usuarios 5. COMUNICAR A LOS TITULARES
• Pérdida de confianza en la organización DE LA INFORMACIÓN
Comunicar a los
• Honorarios de consultores e ingenieros forenses Titulares de la
• Pérdida de activos información
• Sanciones, órdenes e instrucciones
administrativas
La comunicación a los Titulares de la
• Exposición financiera Información brinda la oportunidad para que ellos
mismos puedan adoptar las medidas necesarias para
• Órdenes judiciales
protegerse de las consecuencias de un incidente
• Demandas judiciales de seguridad. Por ejemplo, cambiar su nombre
de usuario y contraseña; monitorear su historial
crediticio; cancelar su tarjeta de crédito; etc.
GUÍA PARA LA GESTIÓN DE INCIDINTES DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
Debe tenerse en cuenta que la “Guía para Esto genera retos al interior de las
la Implementación del Principio de Responsabilidad organizaciones:
Demostrada” señala que es importante que las
organizaciones implementen mecanismos que les • Revisar las condiciones del Tratamiento.
permitan comunicarse de manera eficiente con • Realizar auditorías internas, externas o mixtas.
los Titulares de la información para: (i) informarles
• Robustecer las políticas, procesos y
sobre el incidente de seguridad relacionado con
procedimientos.
sus Datos personales y las posibles consecuencias;
y, (ii) proporcionar herramientas a los Titulares para • Ajustar las evaluaciones de impacto en datos
minimizar el daño potencial o causado. personales
• Establecer esquemas de trabajo a corto,
Dicho esquema de comunicación debe estar
mediano y largo plazo. Así como los roles y
incluido en el protocolo de respuesta.
20 responsabilidades.
Por ello, las organizaciones deberán • Generar apoyo y compromiso de la Alta Gerencia
abordar los siguientes cuatro interrogantes si para desplegar los cambios que se requieran al
decide comunicar el incidente a los Titulares de la interior de las organizaciones.
información:
Desde hace algunas décadas se ha afirmado Cuando existe confianza, la persona cree que una
que la confianza es factor crucial para el crecimiento entidad es fiable, cumple su palabra, es sincera,
y consolidación de cualquier actividad que involucre íntegra y lleva a cabo las acciones prometidas7.
el Tratamiento de Datos Personales. Por eso,
se ha sostenido que “las actividades continuas La seguridad genera confianza. Si falla, es
de creación de confianza deben ser una de las clave estar muy bien preparados y entrenados para
prioridades estratégicas más importantes para cada actuar frente a los incidentes de seguridad de manera
organización” 6. inmediata, profesional e inteligente.
6 Cfr. Edelman Trust Barometrer de 2019.https://www.edelman. 7 Cfr. Barrera Duque, Ernesto (2018) Diseño organizacional
com/trust-barometer centrado en el cliente. Teoría y práctica en empresas sociales.
Universidad de la Sabana y Ecoe ediciones.
GUÍA PARA LA GESTIÓN DE INCIDINTES DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES
9. REFERENCIAS
Agencia Española de Protección de Datos, AEPD, “Guía para la
gestión y notificación de brechas de seguridad”, en: https://www.aepd.
es/media/guias/guia-brechas-seguridad.pdf
Comisión de Protección de Datos Personales de Singapur
(The Personal Data Protection Commission, PDPC), “GUIDE TO
MANAGING DATA BREACHES”, en: https://www.pdpc.gov.sg/-/media/
Files/PDPC/PDF-Files/Other-Guides/guide-to-managing-data-
breaches-v1-0-(080515).pdf