Las brechas de seguridad, ¿cómo actuar ante ellas?

La Agencia Española de Protección de Datos (AEPD) con la colaboración del Instituto Nacional de Ciberseguridad (INCIBE) y el Centro Criptológico Nacional (CCN-CERT), pone a disposición de organizaciones, responsables y encargados de tratamiento, y al conjunto de la sociedad la «Guía para la gestión y notificación de brechas de seguridad», con el objetivo de facilitar la interpretación del Reglamento General de Protección de Datos (RGPD) en lo relativo a estas.

En dicha guía nos dan las herramientas para gestionar, tratar y resolver todo tipo de brechas de seguridad, así como las medidas para prevenirlas.

¿Qué es una brecha de seguridad?

Según el Reglamento General de Protección de Datos (RGPD) se consideran brechas de seguridad todas aquellas violaciones de seguridad de los datos personales que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Tipos de brechas de seguridad:

  • Brecha de confidencialidad: tiene lugar cuando partes que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, acceden a ella.
  • Brecha de integridad: se produce cuando se ve alterada la información original y la sustitución de datos puede afectar al individuo.
  • Brecha de disponibilidad: su consecuencia es que no se puede acceder a los datos originales cuando es necesario. Puede ser temporal (recuperables) o permanente (no pueden recuperarse).

¿Qué hay que hacer cuándo sucede una brecha de seguridad?

El responsable de tratamiento deberá poner en marcha un plan de actuación, detallando las tareas a realizar con el fin de resolver la brecha y, por lo tanto, reducir sus consecuencias. Además, se deberá recoger información útil para decidir qué medidas tomar y qué acciones se llevarán a cabo para resolver dicha brecha, valorando la necesidad de notificarla a la autoridad de control y a las personas afectadas. 

Gestión de brechas de seguridad:

 

 

  • Preparación

En la medida en la que la organización se encuentre preparada para afrontar la gestión de un incidente de seguridad, determinará la forma de respuesta ante estas situaciones, pudiendo minimizar las consecuencias del mismo. Por ello, es de suma importancia un proceso previo de preparación, en el que se decidirán las medidas técnicas y organizativas para poder afrontar una brecha de seguridad.

  • Detección

El siguiente proceso consiste en detectar los incidentes de seguridad, concretándose las situaciones que se consideran incidentes de seguridad y las herramientas, mecanismos de detección o sistemas de alerta con los que el responsable va a contar para detectar un incidente.

  • Análisis/Clasificación:

Una vez detectado el incidente de seguridad, es necesario proceder a realizar un análisis que permita recabar información y clasificar dicho incidente con precisión. Para llevar a cabo dicha clasificación, es preciso saber del tipo de brecha de seguridad del que se trata, y realizar una valoración del alcance, determinando la peligrosidad potencial del incidente y la estimación de la magnitud del impacto potencial en los individuos. Del resultado obtenido de la clasificación de la brecha de seguridad, dependerán las acciones a emprender durante los procesos de respuesta y notificación.

  • Proceso de respuesta:

En el proceso de respuesta, el primer paso es intentar contener el incidente, tras lo cual se elimina la situación generada por el mismo y finalmente se termina con las acciones de recuperación oportunas.

En esta parte de la gestión de la brecha de seguridad, la documentación que se elabore es también muy importante de cara a las comunicaciones que se deban realizar a las partes interesadas, y a la elaboración de un informe de respuesta que tras su análisis permita extraer conclusiones y elaborar ejercicios de lecciones aprendidas.

  • Proceso de notificación:

Una vez cerrado el proceso de respuesta, se procede a la notificación de la brecha de seguridad. Si esta supone un riesgo para los derechos y las libertades de las personas, se deberá notificar a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que se tenga constancia.

Si supone un  alto riesgo, además, se deberá comunicar a las personas afectadas a través del medio que se suela utilizar para comunicarse con ellos, con ellas, utilizando un lenguaje sencillo y claro. Esta forma de actuación, permite que los afectados puedan tomar las medidas oportunas para garantizar la seguridad de sus datos personales.

En el supuesto de que sea el encargado de tratamiento quién sufra la brecha de seguridad, éste deberá transmitir al responsable de tratamiento lo sucedido a la mayor brevedad posible, de modo que el Responsable de tratamiento inicie el proceso de gestión de la brecha, valorando a su vez si debe notificarlo a la AEPD y comunicárselo a los afectados.

  • Seguimiento y cierre:

El último paso en el plan de actuación para la gestión de brechas de seguridad, requerirá de determinadas tareas de seguimiento y cierre. Algunos ejemplos que destaca la AEPD son:

  1. Valoración de contratación de un análisis forense digital experto.
  2. Valoración de adopción de medidas procesales.
  3. Realización de un informe final sobre la brecha de seguridad.
  4. Cierre de la brecha de seguridad.

En Plan B Group, contamos con expertos en Protección de Datos, por ello, en lo que brechas de seguridad se refiere, recomendamos siempre notificar a la AEPD, ya es que es síntoma de proactividad y transparencia, siguiendo la línea marcada por el RGPD.