Cómo comunicar una filtración de datos a los clientes

How to Communicate a Data Breach to Customers

Los ciberataques pueden dar lugar a virus, violaciones de datos u otras situaciones comprometidas. En cualquier caso de ciberataque, debe alertar a sus clientes afectados.

Reconstruir la confianza de sus clientes después de una violación de datos llevará tiempo, pero tomar medidas específicas puede ayudar a prevenir futuros ciberataques y hacer que sus clientes se sientan seguros.

Los hackers son más sofisticados cada año, y las pequeñas empresas siguen siendo el principal objetivo de los ataques. IBM informó de que, en 2021, el coste medio de las violaciones de datos se elevó a más de 4 millones de dólares, el mayor coste medio total en los 17 años.

El tipo más común de ciberdelito, que representa el 44% de las violaciones de datos, es el robo de datos de clientes, como nombres, correos electrónicos y contraseñas. Cuando los datos son robados, es necesario alertar rápidamente a las personas afectadas para ayudar a prevenir daños mayores. A continuación se ofrecen algunas pautas para comunicar a sus clientes una violación de datos.

Remediar primero la amenaza

Antes de comunicar a los clientes, tome medidas para asegurar sus operaciones. «Lo único peor que una violación de datos es que haya varias violaciones de datos. Tome medidas para que no vuelva a ocurrir», escribió la FTC.

Asegure sus sistemas cambiando las contraseñas, limitando el acceso de los usuarios, poniéndose en contacto con las fuerzas del orden y recurriendo a expertos para saber exactamente dónde son vulnerables sus sistemas y a qué datos se ha accedido.

Desconecte inmediatamente los dispositivos afectados, pero no los apague hasta que haya consultado a los expertos forenses. Si un pirata informático robó credenciales, tenga en cuenta que su sistema seguirá siendo vulnerable hasta que cambie esas credenciales. Si la información se ha publicado indebidamente en su sitio web o en los canales de las redes sociales, elimínela lo antes posible.

Cree un plan de comunicación

Después de tomar medidas para asegurar sus datos y evitar daños adicionales en sus dispositivos, respire hondo y pase a alertar a sus clientes afectados. Todos los estados exigen que las empresas notifiquen a los clientes en caso de una brecha de seguridad que involucre información personal. Es posible que haya otras leyes que deba seguir y que se apliquen a su situación, dependiendo del tipo de ataque que haya sufrido su empresa. Compruebe las leyes estatales y federales para averiguarlo.

A la hora de notificar a los clientes, hay tres elementos esenciales, según la empresa de seguridad en la nube WHOA.

  • Tiempo: Cuanto antes se alerte a los clientes, antes podrán tomar medidas para protegerse del fraude.
  • Información: Intente dar a los clientes toda la información posible sobre la naturaleza y el alcance de la infracción.
  • Exhaustividad: Utilice múltiples canales de comunicación para asegurarse de que todas las partes afectadas son notificadas de la violación.

La FTC tiene una lista de información que probablemente esté obligado legalmente a proporcionar a los clientes, incluyendo qué información fue tomada, qué acciones ha tomado para remediar la situación y cómo ocurrió la violación. Actúe con rapidez para ponerse en contacto con sus clientes. Cuanto más rápido comunique el problema, más rápido podrán sus clientes cambiar las contraseñas y comprobar sus propios sistemas y datos en busca de ciberataques. Trabaje con su equipo de seguridad y quizás con su asesor legal para redactar un mensaje preciso y objetivo.

Lo único peor que una filtración de datos es que se produzcan varias. Tome medidas para que no se repita.

La Comisión Federal de Comercio

Ofrezca apoyo y comunique con cuidado

Cuando empiece a notificar a las personas, hágalo con cuidado. La FTC recomienda que trabaje con las fuerzas de seguridad para garantizar que el momento de la notificación no obstaculice la investigación. Designe una persona de contacto o un equipo dentro de su empresa para que se encargue de las actualizaciones continuas y comunique cómo deben protegerse las personas. Cree una página web con recursos, preguntas frecuentes y otros recursos para ayudar a los clientes a obtener la ayuda que necesitan.

También es una buena idea ofrecer al menos un año de control de crédito gratuito, protección contra el robo de identidad o servicios de restauración de la identidad a sus clientes afectados. Para obtener una lista de pasos de recuperación, considere remitir a los consumidores a IdentityTheft.gov.

Evite que el ataque se repita

Reconstruir la confianza de sus clientes llevará tiempo. Informe continuamente a sus clientes de las medidas que está tomando para garantizar que no se repita una violación de datos. Describa los protocolos y herramientas que ha puesto en marcha para mantener su información segura. Ofrezca a sus empleados formación periódica en materia de seguridad, aplique políticas de contraseñas seguras y autenticación multifactorial, así como buenas prácticas que se mantengan al día con la evolución del panorama de las ciberamenazas. Llevará tiempo, pero ser transparente sobre su compromiso con la ciberseguridad ayudará a reconstruir lentamente la confianza.