Diariamente muchas empresas alrededor del mundo se ven afectadas por brechas de seguridad. Los tratamientos de datos y el uso de las nuevas tecnologías implican que, de forma permanente, las empresas puedan ser afectadas por las brechas de seguridad.
En relación con los datos personales, las brechas o violaciones de seguridad son incidentes que pueden ocasionar la pérdida o destrucción de datos de carácter personal. El Reglamento General de Protección de Datos (RGPD) define las violaciones de seguridad de datos personales como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
Con la aplicación del RGPD surge la obligación de notificar las brechas o violaciones de seguridad, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
En ese sentido, la Agencia Española de Protección de Datos (AEPD), a través de la publicación de la Guía para la gestión y notificación de brechas de seguridad, ha establecido una serie de pautas para que las empresas puedan gestionar de forma correcta y eficaz las infracciones en materia de protección de datos que puedan ocurrir.
Para ello, es conveniente establecer un procedimiento para gestionar las brechas de seguridad en las empresas que incluyan las medidas técnicas y organizativas para poder afrontar un incidente, así como la identificación de los agentes implicados en la gestión de la brecha, el análisis de riesgos y/o evaluación de impacto y definición de planes de respuesta a incidente o plan de contingencia.
Por lo que, una vez detectada la brecha de seguridad, se deberán tener en cuenta los siguientes pasos:
- Detectar el origen de las brechas de seguridad. La identificación de un incidente de seguridad puede producirse a través de fuentes internas (medidas de seguridad establecidas dentro de la empresa) y externas (comunicaciones de terceros: proveedores de servicios, clientes u organismos públicos). El análisis de las fuentes de información permitirá identificar si existe un incidente de seguridad o no, su naturaleza, clase, tipo y el nivel de riesgo al que se enfrenta la empresa.
- Clasificar los incidentes de seguridad según los tipos de amenaza, contexto u origen de la amenaza, categoría de seguridad de los sistemas, perfil de usuarios afectados, número y tipología de sistemas afectados, impacto del incidente, requerimientos legales, rutas o medios por los que se materializa el incidente (vector de ataque o método).
- Asimismo, se puede clasificar las brechas de seguridad en: (i) Brecha de confidencialidad: Cuando existen accesos no autorizados o no tienen un propósito legítimo para acceder a la información, (ii) Brecha de integridad: Cuando se altera la información original y la sustitución de datos puede ser perjudicial para el individuo, (iii) Brecha de disponibilidad: Su consecuencia es que no se puede acceder a los datos originales cuando es necesario. La brecha también puede ser temporal (los datos son recuperables, pero tomará un periodo de tiempo y esto puede ser perjudicial para el individuo) o permanente (los datos no pueden recuperarse).
- La valoración del alcance de la brecha de seguridad permitirá determinar su peligrosidad potencial y la estimación del impacto potencial en los individuos. Clasificado el incidente como brecha de seguridad se deberá poner en marcha el proceso de respuesta, considerando las siguientes medidas:
- Contención: Toma de decisiones inmediatas o de aplicación progresiva en función del desarrollo de la resolución del incidente, como por ejemplo cerrar un sistema, aislarlo de la red, deshabilitar ciertas funciones, etc.
- Solución / Erradicación: Para identificar y mitigar todas las vulnerabilidades que hubiesen sido explotadas, como por ejemplo eliminar un malware o desactivar cuentas de usuario vulneradas.
- Recuperación: Solucionada la brecha de seguridad y verificada la eficacia de las medidas adoptadas, se deberá confirmar el funcionamiento normal de las actividades afectadas y evitando nuevos incidentes basados en la misma causa. Además, se deberán implementar controles periódicos y eficaces que permitan el seguimiento pormenorizado de los procesos de mayor riesgo.
- Se deberá proceder a la notificación de brechas de seguridad cuando afecten a datos personales y supongan un alto riesgo para los derechos y libertades de las personas físicas, de conformidad con lo dispuesto en el artículo 33 RGPD. La notificación deberá realizarse a través del formulario publicado en la sede electrónica de la AEPD.
- En ese sentido, la AEPD establece criterios y valores para comprobar si existe un alto riesgo que obligue a una empresa a notificar los hechos ocurridos a los usuarios y a la AEPD, como son: (i) Volumen de datos personales afectados que identifiquen a personas, estableciendo baremos que van desde menos de 100 hasta más de 1 millón de registros, (ii) Tipología de datos, considerando si son o no sensibles, (iii) Impacto, para valorar si la exposición ha sido dentro de la empresa, en el perímetro del proveedor, accesible en internet, desconocido o nulo. Cada criterio incluye niveles de gravedad para calcular el posible riesgo. Una vez establecido el nivel de riesgo, se deben definir los criterios para fijar el umbral a partir del cual debe procederse a la notificación de la brecha a la AEPD (y, en su caso, a los afectados). La Guía de la AEPD ofrece un ejemplo práctico para esta cuestión, aunque cada empresa deberá decidir de forma justificada dónde pone este límite.
- Elaborar un informe final con la información, plazos de actuación y medidas adoptadas durante el proceso para proceder al cierre de la brecha de seguridad.
- Mantener un registro documental de los incidentes de seguridad que afecten a los datos de carácter personal, detallando el tipo de incidente, descripción del mismo, gravedad, estado y medidas adoptadas para su resolución.
Mariola Pineda
Áudea Seguridad de la Información