Noticias · News

¿Cómo deben prepararse las empresas para gestionar las brechas de seguridad? Nueva Guía de la AEPD

Todas las empresas, independientemente de su tamaño, manejan en su actividad diaria datos personales que deben tratar teniendo en cuenta el RGPD, aplicable desde el pasado 25 de mayo. Ante la importancia que estos datos tienen para el desarrollo económico, sobre todo digital, es necesario estar preparado para enfrentarse a las conocidas como “brechas de seguridad”.

Para aclarar conceptos y ayudar al tejido empresarial español a identificar las incidencias que suponen una vulneración de la seguridad de información y los datos personales, la Agencia Española de Protección de Datos ha elaborado una Guía que permite, a través de ejemplos, dar pautas para gestionar correctamente estas brechas cuando afecten a los derechos y libertades de las personas. Aunque todos los trabajadores de una empresa deben estar implicados y formados en materia de protección de datos, su contenido se dirige a los responsables y encargados del tratamiento de datos en las empresas para ayudarles a crear un plan de actuación que permita saber qué hacer y cómo actuar ante una brecha de seguridad.

Pero, ¿qué es una brecha de seguridad? Tal y como se define en el RGPD, son “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Cuando la empresa la detecta debe informar tanto a las autoridades competentes como a los usuarios afectados. En el primero de los casos, el responsable deberá comunicarlo en un plazo de 72 horas desde que se produce, a la autoridad competente según el modelo facilitado por la propia AEPD en la Guía. Si no fuera posible realizar el aviso en este plazo, siempre se deberá indicar lo antes posible, explicando las razones por las que no se ha podido hacer con anterioridad. No será necesaria la notificación si se demuestra que la incidencia registrada no supone ninguna amenaza para los derechos y libertades de personas físicas.

En aquellos casos en los que se pueda derivar un grave riesgo para los titulares de estos derechos, también se les deberá comunicar la incidencia a los usuarios, de manera comprensible y también con la mayor antelación que sea posible.

¿Cómo gestionar una brecha de seguridad?

Todas las empresas y organizaciones, independientemente de su carácter público o privado, pueden verse afectadas por problemas de seguridad y, aunque los daños y mecanismos pueden variar, lo común a todas ellas es que deben estar preparadas para enfrentarse a estos problemas a través de un registro de incidencias y planes de actuación.

El primer paso para saber cómo actuar ante una brecha de seguridad es identificarla correctamente a través de fuentes internas, como pueden ser controles o mecanismos de seguridad de la empresa y sus instalaciones, o fuentes externas como los avisos que vienen por parte de proveedores, clientes u organismos públicos como las fuerzas y seguridad del Estado.

El segundo paso sería la recopilación de información para poder clasificar el incidente según el tipo de amenaza detectada, el origen de la amenaza, el perfil de los usuarios afectados o la necesidad de hacer requerimientos legales, entre otros puntos. Algunos ejemplos de tipologías son los envíos de emails masivos con software malintencionado, accesos a sistemas a través del robo de contraseñas, el código malicioso, el robo o la filtración de datos, la clonación de páginas web con alteración de información y las técnicas de engaño en redes sociales.

Una vez documentada la incidencia se puede clasificar en diferentes categorías de brechas:

– De confidencialidad: cuando se accede a información sin la autorización necesaria.

– De integridad: por alteración de la información original y sustitución por datos que pueden ser perjudiciales.

– De disponibilidad: se prohíbe el acceso a los datos originales que pueden llegar a ser irrecuperables.

Con su definición, es necesario valorar la gravedad de la situación y el alcance de los daños ocasionados a través de la naturaleza, sensibilidad y categorías de los datos personales afectados, su volumen, la facilidad de identificación de individuos por la ausencia de encriptación y las consecuencias que pueden suponer para los afectados (por ejemplo, con malversación de fondos o pérdida de empleo).

¿Qué personas o perfiles son necesarios en la gestión de una brecha de seguridad?

Una vez identificado el problema y su tipología será necesaria la intervención de los siguientes perfiles:

– El responsable del tratamiento deberá notificar la situación a la autoridad competente y para desempeñar sus funciones podrá apoyarse en el asesoramiento de expertos en materia de seguridad o delegar la gestión de los incidentes a servicios informáticos expertos, siendo siempre él la figura responsable, por lo que tendrá que estar al tanto y asegurarse de que se dan las soluciones necesarias y las comunicaciones pertinentes en base a la ley.

– Delegado de Protección de Datos.

– Autoridad de control competente cuya función principal es la de controlar que se cumple con el RGPD.

Documentación de la incidencia y medidas preventivas

Tras detectar la amenaza, su naturaleza y categorización, se inicia un proceso para contener el problema y recuperar los datos perdidos o servicios prestados para poder cerrar la incidencia. El punto final no acaba en la solución, sino que es necesario documentar todo lo ocurrido en un informe que servirá como aprendizaje ante futuras incidencias que permitirá sacar conclusiones y establecer medidas de prevención.

En concreto, el informe final tendrá que incluir la descripción del incidente, los controles que había en el momento que ocurrió, las medidas de respuesta, pautas de detección aplicadas y el registro de las comunicaciones para dar respuesta al problema.

Admin Confianza Online¿Cómo deben prepararse las empresas para gestionar las brechas de seguridad? Nueva Guía de la AEPD