Cuevas & Martínez Asesores
Para comunicar a la autoridad de control las Violaciones de Seguridad producidas en la empresa, debemos tener previamente claro en qué consisten para poder identificarlas de forma clara y rápida, ya que en la inmediatez de la detención y la resolución está la clave para evitar cualquier daño sobre nuestros activos y los de los clientes de la empresa.
Las Brechas de Seguridad son todas aquellas violaciones de la Seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados, o la comunicación o acceso no autorizados a dichos datos. Tengamos siempre presente que estas Brechas de Seguridad hacen referencia a los datos personales, es decir no todos los Incidentes de Seguridad son Brechas de Seguridad.
El responsable o encargado de tratamiento de datos deberá determinar la peligrosidad potencial del incidente y la estimación de la magnitud del impacto potencial en los individuos – Análisis de Riesgos o Evaluación de Impacto.
¿Cómo detectar una brecha de Seguridad?
El responsable y los encargados de tratamiento deben concretar las situaciones que se consideran Incidentes de Seguridad: dentro y alrededor de las instalaciones de la organización, así como los medios de acceso remoto a la información (política de mesas limpias, Videovigilancia, contraseñas, claves de accesos, control de personal, anomalías en la red, ataques de ciberseguridad). De forma externa también podrán ser detectados Incidentes, por ejemplo, el encargado de tratamiento en mantenimiento informático podría avisarnos de una Incidencia acontecida en nuestros servidores o conexiones.
Se llevará a cabo la documentación, control y seguimiento de la Brecha de Seguridad: registro de todos los aspectos del incidente: definir los daños materiales o inmateriales, pueden ir desde la posible discriminación de los afectados debido al uso de sus datos personales por quien ha accedido a ellos de forma no autorizada, hasta la suplantación de identidad, pasando por daños económicos o la exposición pública de datos confidenciales.
Una vez detectado e identificado el incidente de Seguridad es necesario analizarlo y recabar información para su clasificación, es entonces cuando los responsables de tratamiento o encargados de tratamientos de los datos personales deben establecer el procedimiento de actuación: interno o externo.
¿Qué tipo de Brechas de Seguridad podemos identificar?
Brecha de confidencialidad: Accesos no autorizados a los datos personales.
Brecha de integridad: Alteración de la información original y la sustitución de datos que de alguna que pueda dañar al individuo.
Brecha de disponibilidad: Acceso imposible a los datos originales cuando es necesario, puede ser temporal o permanente.
¿Qué podría provocar un incidente de Seguridad?
- Vulnerabilidad en los programas de gestión de la empresa.
- Descarga de archivos adjuntos a emails desconocidos, acceso a links de emails desconocidos que podría ser un ataque dirigido a recabar información para la entrada en el sistema de la compañía.
- Pérdida/robo de dispositivos de almacenamiento con información.
- Ataque sobre la página web de la empresa.
Tras la puesta en marcha del protocolo de actuación para la contención del Incidente de Seguridad (suspender el acceso a través de contraseñas, hacer una copia bit a bit del disco duro que contiene el sistema para analizarlo, eliminar los datos divulgados, impedir el acceso a dominios o servidores…), se deberán llevar a cabo acciones puntuales para solucionarlo, por ejemplo:
- Comprobar la integridad de todos los datos almacenados en el sistema: mediante un sistema de hashes, por ejemplo, que permita garantizar que los ficheros no han sido modificados.
- Especial atención a los ficheros ejecutables.
- Revisar la correcta planificación y actualización de los motores y firmas de antivirus.
- Análisis con antivirus de todo el sistema, los discos duros y la memoria.
- Restaurar conexiones y privilegios paulatinamente.
Notificación de las Brechas de Seguridad
Al margen de las investigaciones y protocolos internos que la empresa tenga establecidos en estos casos, el responsable del tratamiento está obligado, según el RGPD, a la notificación a la autoridad de control competente de la Brecha de Seguridad en un tiempo máximo de 72 horas desde la detección de la misma. Tanto la notificación a la autoridad de control competente como la comunicación al afectado son obligaciones del responsable del tratamiento, aunque puede delegar la ejecución de las mismas en otras figuras.
La notificación a la autoridad de control deberá contener:
- Entidad / Responsable del tratamiento
- Delegado de Protección de Datos (si está designado) o persona de contacto.
- Indicación de si se trata de una notificación completa o parcial (primera notificación o una notificación complementaria, ya que quizás la notificación de toda la información no se puede llevar a cabo en un primer momento).
- Fecha y hora en la que se detecta la incidencia.
- Fecha y hora en la que se produce el incidente y su duración.
- Circunstancias en que se haya producido la brecha de Seguridad de datos personales.
- Individuos afectados
- Resumen del incidente
- Consecuencias
- Medidas adoptadas
Deberá cerrarse el seguimiento de la Brecha de Seguridad con un informe final (a nivel interno) en el que se detalle la trazabilidad del suceso, su impacto y su resolución; teniendo en cuenta los cambios necesarios que deberían ser incluidos en el análisis de riesgos.
Importante: las Brechas de Seguridad a comunicar a la Autoridad de Control son todas aquellas que tengan o podrían tener una consecuencia negativa sobre nuestros clientes o particulares, en caso de que sea improbable que dicha Brecha de la Seguridad constituya un riesgo para los derechos y las libertades de las personas físicas, no es necesaria la comunicación.