¿Cómo actuar ante una brecha de seguridad?

Una de las obligaciones que nos impone la llegada del RGPD es notificar a la AEDP la brecha de seguridad de nuestra empresa que puedan afectar a los datos personales.

¿Pero cómo debemos actuar? El responsable del tratamiento de datos es el encargado de llevar a cabo un plan de actuación. Para ayudarles la AEPD ha presentado una guía que detalla todo el proceso a seguir.

Detección, identificación y clasificación de las brechas de seguridad

El primer paso para gestionar adecuadamente una brecha de seguridad es detectar los orígenes de los incidentes de seguridad. Para ello, se deberá establecer un proceso continuo de detección a través de fuentes internas y externas.

  • Las fuentes internas son aquellas medidas de seguridad establecidas dentro de la empresa. Permiten conocer la existencia de una alteración en los datos. Por ejemplo: notificaciones de usuarios, recepción de emails inadecuados, extravío de dispositivos, alertas generadas por antivirus.
  • Se deberán de tener en cuenta como fuentes externas las comunicaciones de clientes, proveedores de servicios u organismos públicos.

Una vez detectado el acceso irregular a los datos, debe identificarse si existe una brecha de seguridad o incidente. Incidente de seguridad es el término genérico mientras que brecha de seguridad se refiere al incidente que afecta a datos personales.

Tras determinar la existencia de una brecha de seguridad, se deberá valorar la peligrosidad. Para ello se deberá analizar los siguientes puntos:

  • Nivel de criticidad dentro de la empresa.
  • Naturaleza, volumen y categorías de datos afectados
  • Consecuencias para los individuos (establecer niveles de gravedad) y número de afectados.

Tipos de brechas de seguridad

Conociendo la peligrosidad de la brecha de seguridad está podrá clasificarse en:

  • Brecha de confidencialidad: Tiene lugar cuando existen accesos no autorizados o no tienen un propósito legítimo para acceder a la información.
  • Brecha de integridad: Se produce cuando se altera la información original y la sustitución de datos puede ser perjudicial.
  • Brecha de disponibilidad: Su consecuencia es que no se puede acceder a los datos originales cuando es necesario. Puede ser temporal (los datos son recuperables, pero tomará un periodo de tiempo) o permanente (los datos no pueden recuperarse).

Plan de actuación ante una brecha de seguridad

Para gestionar la brecha de seguridad, se deberá elaborar un plan de contingencia o actuación. En el se realizará una asignación de recursos humanos y medios materiales adaptados a las diferentes actividades de tratamiento que puedan ser afectadas por los incidentes ocurridos.

El plan de actuación deberá incluir las siguientes 4 acciones:

  • Contención. Se deberán tomar decisiones rápidas y progresivas que aíslen la redes y deshabiliten funciones, limitando con ello cualquier movimiento o expansión del incidente.
  • Erradicación. Será necesaria para solventar determinados efectos del incidente de seguridad, como, por ejemplo, eliminar un malware o desactivar de cuentas de usuario vulneradas.
  • Recuperación. Una vez solucionada la brecha de seguridad y verificadas las medidas adoptadas, se deberá confirmar el funcionamiento normal de las actividades afectadas. Además, se deberán implementar controles periódicos y eficaces que permitan el seguimiento pormenorizado de los procesos de mayor riesgo.
  • Notificación: Según el artículo 33 del RGPD, en caso de brecha de la seguridad que afecte a los datos personales. El responsable del tratamiento la notificará a la autoridad de control competente (AEPD) sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella. A menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Además, según el artículo 34 del RGPD, en algunos casos también se tiene que comunicar a los interesados.

Por último es necesario hacer un seguimiento al incidente registrado para asegurarnos que no volverá a ocurrir. Lo más adecuado es realizar un informe con toda los datos que tenemos del incidente, así como las medidas correctoras adoptadas para que no se vuelva a repetir.

Este es un aspecto clave, ya que si no se toman medidas y volvemos a sufrir el mismo problema la AEDP podría sancionar por incumplimiento del RGPD. Recordamos que la multa puede llegar a los 20 millones de euros o un 4% de su facturación anual.

¿Necesitas ayuda para actuar ante brechas de seguridad? En Pridatect podemos ayudarte. ¡Contacta con nosotros!

Comparte este artículo

Comparte

Artículo redactado por:

Lisa Hofmann

Chief of Legal Operations de Pridatect | Especialista legal certificada en protección de datos por la institución alemana de servicios relacionados con la seguridad TUEV. Con amplia experiencia en ayudar a empresas en el cumplimiento de la privacidad.

Artículos relacionados

Buscar

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo

Webinars gratuitos