La Defensora del Pueblo descubrió que Jacques Scott violó la Ley de Protección de Datos
Los datos personales pertenecientes a alrededor de 150 empleados de Jacques Scott Group Ltd (JCG) que fueron expuestos durante un ataque de ransomware el año pasado también expusieron las propias infracciones de la empresa a la Ley de Protección de Datos. La Oficina de la Defensora del Pueblo ha constatado que la empresa no adoptó las medidas técnicas y organizativas adecuadas para proteger los datos personales de los empleados, accionistas y afiliados a cuentas de pensiones. Un acuerdo con su proveedor de tecnología de la información tampoco incorporó determinadas disposiciones obligatorias, lo que constituyó una infracción independiente y dio lugar a una orden del organismo de control y a una lista de recomendaciones para proteger los datos del personal y prevenir nuevas infracciones de la ley.
Según una orden de ejecución redactada, los trabajadores de la licorería se enteraron de que el sistema en línea de la empresa había sido pirateado cuando se les negó el acceso a la red empresarial y otros sistemas. Jacques Scott notificó al defensor del pueblo y a los trabajadores afectados, lo que provocó una investigación por parte de la oficina, que ahora es responsable de la protección de datos. JCG también contrató a Deloitte y SigNus Technologies para investigar la infracción y emprender acciones de mitigación.
Aunque se cree que el ataque de ransomware no violó contraseñas ni accedió a datos financieros porque los registros críticos del sistema no estaban disponibles, no se pudo responder a una serie de preguntas. La Defensora del Pueblo Sandy Hermione encontró que el minorista de licores violó dos partes separadas del séptimo principio de protección de datos de la ley.
Como resultado, se hizo una larga lista de recomendaciones como parte del pedido, que requiere que la cadena de licorerías se asegure de que cualquier acuerdo actual y futuro con sus procesadores de datos cumpla con los requisitos de la ley y que la empresa implemente las recomendaciones hechas por Deloitte. En el informe de evaluación de seguridad y compromiso. La oficina también declaró que JCG debe desarrollar la seguridad de la información adecuada y las políticas y procedimientos relacionados para garantizar que las operaciones comerciales se realicen de acuerdo con su gobierno de seguridad de la información y su perfil de riesgo de información.
La oficina ordenó a Jacques Scott que brinde capacitación en concientización sobre ciberseguridad al menos una vez al año para mejorar su capacidad de identificar y prevenir el phishing y otros ataques maliciosos y cómo responder en caso de que los empleados sean víctimas de un ataque, así como en las prácticas de manejo de datos. El defensor del pueblo también ordenó que el minorista empleara la detección y prevención de amenazas en tiempo real y una serie de otras medidas técnicas y pruebas, así como parches de seguridad para mantenerse al tanto de cualquier potencial debilidad de seguridad.
Hermiston dijo que este caso refleja los desafíos que los empleadores deben abordar antes de que ocurra una infracción.
“Esta situación es una buena representación de las serias preocupaciones de protección de datos que enfrentan ahora las organizaciones del sector público y privado en Caimán”, afirmó. “La mitigación después de los hechos simplemente no es suficiente. Todas estas entidades deben tomar precauciones de seguridad de manera proactiva con sus sistemas de mantenimiento de registros computarizados – la Ley de Protección de Datos lo hace su responsabilidad ”.
