BRECHAS DE SEGURIDAD; QUÉ, CÓMO Y PORQUÉ.
  • Por
  • Publicado 26 de febrero de 2018

BRECHAS DE SEGURIDAD; QUÉ, CÓMO Y PORQUÉ.

En el artículo de esta semana proporcionamos las definiciones básicas y las directrices generales a seguir para implementar un buen procedimiento de gestión, notificación y registro de las brechas de seguridad conforme el nuevo RGPD.


Quedan aproximadamente tres meses para que el nuevo Reglamento General de Protección de Datos sea de obligada aplicación, y las autoridades en protección de datos, como la Agencia Española de Protección de Datos (AEPD) publican guías y recomendaciones para que las compañías se adapten lo más óptimo y fácilmente posible a esta nueva normativa de ámbito europeo.

Una de las novedades o requerimientos del RGPD más significativo es la gestión y comunicación de las brechas de seguridad, que supondrá que, de ahora en adelante, leeremos muchas más noticias de violaciones de seguridad en compañías, puesto que estas estarán obligadas a notificarlas (hasta el momento estas brechas de seguridad se producían de igual modo, aunque las empresas no tenían obligación de notificarlas).

Aunque a priori esa obligación pueda parecer un reto para las compañías, supone una ventaja, puesto que las empresas se mostrarán más transparentes de cara a sus usuarios, clientes o proveedores, se mitigarán las consecuencias de las brechas dado que las autoridades de control serán conscientes de ellas en un tiempo menor y, además, servirá para concienciar a empresas y empleados de los riesgos y la importancia de la seguridad de los datos que poseen y tratan.

En este artículo os presentamos unas directrices básicas para conocer en qué consisten las brechas de seguridad a ojos del RGPD y cómo empezar a definir el procedimiento de notificación, gestión y registro de brechas de seguridad que deberemos implementar, o en su caso adaptar, en nuestra compañía.

El RGDP define las brechas de seguridad como cualquier incidente que ocasione "la destrucción, pérdida o alteración accidental o ilícita de datos personales (...) o la comunicación o acceso no autorizados a dichos datos". Esta definición general puede concretarse más si tenemos en cuenta que las brechas de seguridad pueden producirse por los distintos motivos que se describen en ella y, por tanto, podemos llegar a hablar de brechas de disponibilidad (en caso de que se produzca la destrucción pérdida de datos), brechas de confidencialidad (cuando se trate de una comunicación no autorizada de datos) o incluso de brechas de integridad (cuando la violación sea relativa a la alteración de los datos).

Para adaptar este requerimiento a nuestra compañía, y asegurarnos de que en el caso de que se produzca una brecha de seguridad cumpliremos con los plazos y términos previstos, debemos definir e implementar un procedimiento de gestión y notificación de incidencias. Para ello, lo primero que debemos determinar es quién recibirá estas incidencias y cómo (a través d qué herramienta), así como definir el procedimiento de notificación de incidencias dentro de la compañía y formar a todos los empleados conforme las directrices y el proceso que definamos.

En este punto, el siguiente paso será el de proporcionar a las personas que reciban y gestionen las incidencias unos ítems para valorar el nivel de riesgo que estas suponen, como la tipología de brecha, la naturaliza del tipo de datos afectados, el número de afectados y el nivel de gravedad de las consecuencias para estos, entre otros.

El RGPD establece que las rechas de seguridad deberán notificarse en un período máximo de 72 horas, por tanto, es significativo que este análisis y valoración expuesto en el párrafo anterior se haga con la mayor diligencia y concreción posible. Además, la notificación deberá exponer un contenido mínimo que se define también en la normativa europea:

  • La naturaleza de la brecha de seguridad, la categoría de los datos y de los interesados afectados por la brecha,
  • El nombre y los datos de contacto del Delegado de Protección de Datos (DPO) en caso de que hubiera,
  • Las posibles consecuencias de la brecha de seguridad,
  • Las medidas adoptadas o propuestas para mitigar las consecuencias de la brecha, así como las que se hubieran implementado para prevenirla.

Por otro lado, y como novedad significativa que propone el RGPD en relación a la notificación de brechas de seguridad, en caso de que la compañía valore que dicha violación supone un alto riesgo para los interesados, por norma general deberá comunicarse la incidencia a estos también (con algunas excepciones para casos concretos en que suponga un esfuerzo desproporcionado, donde se optará por una comunicación pública, entre otros casos).

Teniendo en cuenta todas estas premisas, no hay duda de que será necesario establecer un procedimiento adecuado al respecto de manera interna en nuestra compañía, así como formar a los empleados para que actúen conforme a él en caso necesario, y acompañarnos de las herramientas técnicas y documentales más óptimas para gestionar todo el proceso que supone una brecha de seguridad, y mitigar al máximo sus consecuencias, así como cumplir con los requerimientos normativos exigidos.

Para más información y/o una demostración sin compromiso de nuestros servicios, entre ellos adecuación a la RGPD y herramientas puede ponerse en contacto con OptimumTIC mediante un correo electrónico a info@optimumtic.com