Una incidencia es todo suceso que compromete o es capaz de comprometer alguno de los aspectos relacionados con la seguridad de la información, fundamentalmente confidencialidad, integridad y disponibilidad, cualquiera que sea el soporte y el tratamiento que se haga sobre la misma.
Cualquier persona de la Organización que intervenga en el tratamiento de datos de carácter personal, así como en el desarrollo de actividades relacionadas con la seguridad de las mismas, puede detectar una incidencia.
Con el fin de optimizar la gestión de las incidencias que puedan producirse, el Responsable de Seguridad o del Tratamiento, o la persona en quién delegue el Responsable del Fichero, se responsabilizará de que todo el personal tenga conocimiento de:
- A quién se debe recurrir cuando sea detectada una incidencia.
- La existencia de un catálogo de incidencias al que debe dar notificación.
- El procedimiento a seguir por cada categoría de incidencia.
- La documentación que se precise a la hora de proceder a notificar una incidencia.
Para la correcta gestión de los incidentes, y la minimización de los impactos ocasionados, debe existir un procedimiento conocido por todo el personal que trate datos de carácter personal, y que permita la comunicación, registro, seguimiento, respuesta y cierre de los mismos.
Las fases que debe cubrir dicho procedimiento son las siguientes:
- La persona que detecta la incidencia, informa de la misma al departamento correspondiente, por cualquier medio a su alcance (e-mail, teléfono, intranet, etc.) o empleando cualquier otro recurso o herramienta de la organización.
- Recibida la comunicación, el departamento correspondiente recaba todos los datos necesarios para abrir la incidencia (usuario que notificó la incidencia, fecha y hora en que se detectó, descripción de la incidencia) y la deriva al técnico correspondiente para su solución.
- Una vez solucionada la incidencia, deberá registrarse especificando, al menos, la siguiente información: Tipo de incidencia, el momento en que se ha producido y/o detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
- La persona responsable de aplicar las acciones definidas, verifica la realización de las mismas y la resolución de la incidencia.
Cuando se deban aplicar medidas de nivel medio o alto y la acción de respuesta definida incluya la recuperación de datos, además de lo indicado en el procedimiento anterior, se registrará el responsable de la recuperación, los datos restaurados, en su caso, los datos que han sido necesarios grabar manualmente en dicho proceso de recuperación, así como la autorización por parte del responsable sobre el que se haya delegado la capacidad de autorizar la restauración de copias de seguridad.
Departamento de Comunicación
Áudea Seguridad de la Información