Gestión y notificación de brechas de seguridad, así debemos actuar con el RGPD
Una de las obligaciones que nos impone la llegada del RGPD es notificar a la AEDP las brechas e incidentes de seguridad de nuestra empresa que puedan afectar a los datos personales. ¿Pero cómo debemos actuar? El responsable del tratamiento de datos es el encargado de llevar a cabo un plan de actuación. Para ayudarles la AEPD ha presentado una guía que detalla todo el proceso a seguir ante un incidente de seguridad, así como unos modelos de notificación.
El documento ha sido creado junto al INCIBE y el Centro Criptológico Nacional. Un incidente de seguridad que afecte a los datos personales es todo aquel que ocasione pérdida, destrucción o alteración accidental o ilícita de dichos datos, así como el acceso no autorizado a los mismos. Hay que tener en cuenta que el responsable de datos tiene 72 hora para notificar la brecha de seguridad desde su detección.
Adicionalmente si el incidente es de alto riesgo, por ejemplo, se ha accedido a los usuarios y contraseñas almacenados de nuestros clientes, además de comunicarlo a la AEPD también deberemos hacerlo a los propios afectados. Tal y como indican en la guía, en todo caso es recomendable que se establezcan los protocolos de actuación y planes de respuesta ante posibles incidentes.
Detección e identificación de la brecha
La detección e identificación de posibles problemas de seguridad debe ser un proceso continuo, ya que de otra forma no tendría sentido. Aquí entran en juego desde los propios trabajadores, que reciben un correo con un adjuntos sospechoso, hasta el antivirus que nos detecta un programa malicioso, pero también detección de anomalías en el tráfico de red, conexiones bloqueadas por cortafuegos o intentos de acceso no autorizados, por poner varios ejemplos.
Posteriormente hay que clasificar el incidente de seguridad, como podría ser la ingeniería social en el caso de engañar a un usuario para que abra un correo que no debe y el tipo de brecha que pueden ser:
- Brecha de confidencialidad, cuando personas no autorizadas acceden a la información.
- Brecha de integridad, cuando un ransomware cifra toda nuestra información. Aquí lo grave sería que se sustituyera la información del usuario por otra que pudiera dañar al individuo.
- Brecha de disponibilidad, que también se puede producir por un cifrado de datos que nos deje sin acceder durante un periodo de tiempo.
Clasificación, contención y notificación de la brecha de seguridad
Una vez que ya ha sido detectado el problema tenemos que clasificarlo, para ver si se trata de algo crítico o de bajo impacto, así como identificar el tipo de datos personales afectados, si estos datos eran legibles o no o si se puede identificar a clientes en función del acceso obtenido.
El siguiente paso sería la contención de la brecha de seguridad, donde el responsable de tratamiento puede apoyarse en personal especializado en seguridad o en caso de tener Delegado de Protección de Datos, debe ser esa persona la que lidere las actuaciones. Se trataría de darle solución y recuperar la normalidad en los sistemas y datos afectados.
Posteriormente es necesario notificar a la AEPD el incidente a través de su página web para lo cual necesitamos tener un certificado electrónico. Hay que recordar que tenemos 72 horas desde su detección para hacerlo a través de un formulario donde se identifican el responsable de tratamiento y se ofrecen todos los datos relativos a la misma.
Por último es necesario hacer un seguimiento al incidente registrado para asegurarnos que no volverá a ocurrir. Lo más adecuado es realizar un informe con toda los datos que tenemos del incidente, así como las medidas correctoras adoptadas para que no se vuelva a repetir. Este es un aspecto clave, ya que si no se toman medidas y volvemos a sufrir el mismo problema la AEDP podría sancionarnos por incumplimiento del RGPD.
Todo esto obliga a que las pymes se tomen mucho más en serio su seguridad. No se trata ya de perder datos, de sufrir un parón en el negocio, sino también de sufrir una multa importante que puede llegar a los 20 millones de euros o un 4% de su facturación anual. Como para tomárselo a broma. Pero como siempre, hasta que no veamos el caso sonado de alguna pyme que tiene que cerrar por un problema de este tipo no se empezarán a tomar medidas.
En Pymes y Autónomos | No basta con volver a pedir el consentimiento para cumplir con el RGPD
Imagen | TheDigitalArtist