Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

¿Cómo actuar ante un ciberataque?

Al hilo del artículo sobre delincuencia en Internet, que dejo enlazado aquí, he pensado en explicarles cómo actuar en caso de sufrir una brecha de seguridad, por ejemplo, por un ciberataque.

Empecemos por definir qué se entiende por brecha de seguridad. En el artículo 4.12 del Reglamento General de Protección de Datos encontramos la siguiente definición: «Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos». En otras palabras, es todo aquel incidente que tenga efectos adversos y que ponga en riesgo la seguridad de los datos, redes y sistemas de información. Dicho esto, no todos los incidentes son necesariamente brechas de seguridad y no todas las brechas exigen su notificación a la autoridad de control. 

La Agencia Española de Protección de Datos clasifica las brechas de seguridad en tres categorías:

  1. Brecha de confidencialidad: Tiene lugar cuando personas que no están autorizadas, o no tienen un propósito legítimo para acceder a la información, acceden a ella.
  2. Brecha de integridad: Cuando se altera la información original, pudiendo causar daños a los interesados.
  3. Brecha de disponibilidad: Cuando no se puede acceder a los datos originales. La brecha puede ser temporal, cuando los datos son recuperables, pero exige un cierto tiempo, o permanente cuando los datos no pueden recuperarse.

Recomendaciones para evitar una brecha de seguridad

La seguridad al cien por cien no existe, pero podemos implantar algunas medidas que nos ayudarán a evitar una brecha de seguridad: 

  1.   Uso de contraseñas seguras y segundo factor de autenticación.
  2.   Realizar copias de seguridad.
  3.   Mantener actualizados los sistemas y programas.
  4.   Establecer una política estricta de servicios expuestos en Internet.
  5.   Cifrado de dispositivos portátiles.
  6.   Evitar conectarse a redes wifi públicas.
  7.   Limitar las descargas de aplicaciones a fuentes fiables.
  8.   Habilitar el acceso y el borrado de datos en remoto.
  9.   Navegar sólo en sitios webs seguros.
  10.   Realizar auditorías de seguridad en los dispositivos móviles de forma periódica. 

Detectada la brecha de seguridad, ¿cómo debemos actuar?

Lo primero es mantener la calma y actuar con serenidad. Luego, se convocará al grupo de respuesta. En empresas de cierto tamaño, dicho grupo o comite suele estar integrado por el responsable del tratamiento que lo preside, el delegado de protección de datos, el responsable de seguridad de los sistemas de información, el responsable de infraestructuras, el responsable del departamento jurídico y los delegados de las sucursales, si hubiere. Su constitución se ajustará, en todo caso, al tipo y a las necesidades de la organización.  

El comite deberá evaluar la peligrosidad de la brecha de seguridad teniendo en cuenta diversos factores:

  • La naturaleza, sensibilidad y categoría de los datos personales y personas afectadas, tomando en consideración como hecho relevante que el incidente afecte a datos de personas con características y/o necesidades especiales.
  • El volumen de datos y el número de afectados dentro de una escala determinada.
  • Si los datos estaban protegidos mediante algún sistema de seudonimización o no.
  • La facilidad con la que se pueda deducir la identidad de las personas afectadas.
  • La severidad de las consecuencias.
  • El impacto que la brecha de seguridad pueda tener en la organización desde los puntos de vista de la protección de la información, la prestación de servicios, la conformidad legal y la imagen pública o reputacional.

Asimismo, iniciará una investigación sobre el incidente y sus causas y, en particular, para:

  • Identificar la naturaleza del incidente (si se trata de un ataque de malware, denegación del servicio, secuestro del sistema, robo de información, etc.)
  • Identificar qué sistemas, procesos y personas se han visto afectados.
  • Determinar el origen o fuente del vector de ataque.
  • Valorar el posible impacto (interrupción de la actividad, daño reputacional, pérdidas, etc.)
  • Analizar las posibles responsabilidades legales que pudiera suponer el incidente.

Protocolo de respuesta a incidentes

Todas las organizaciones deben tener un protocolo o plan de respuesta a incidentes que el grupo de respuesta se encargará de ejecutar.  

El protocolo se ajustará a la organización, y no al revés, es decir, se elaborará el protocolo atendiendo a las características de la organización. No tiene sentido aprobar un plan de imposible cumplimiento o inalcanzable para la organización. Tiene que ser realista y ejecutable. 

La de Prevención de Riesgos Laborales establece la obligación de realizar simulacros para analizar las posibles situaciones de emergencia y adoptar las medidas necesarias en materia de primeros auxilios, lucha contra incendios y evacuación de los trabajadores. En materia de seguridad de la información deben, igualmente, realizarse simulacros para detectar las posibles debilidades y vulnerabilidades de la organización. Los hallazgos se incorporarán al protocolo, introduciendo las correcciones oportunas.

Recuperado el sistema, se establecerá un periodo de cuarenta para asegurar que la vuelta a la normalidad es segura. 

Notificación a la autoridad de control y afectados

Pongamos que el incidente se cataloga como brecha de seguridad y que entraña un alto riesgo para los derechos y libertades de los afectados. En tales casos, aparte de la notificación a la autoridad de control se notificará a los afectados.

La AEPD publicó una herramienta de ayuda en la toma de decisiones ante la obligación de comunicar una brecha de seguridad. Les dejo un enlace aquí

La notificación a la AEPD la hará el responsable del tratamiento en el plazo máximo de 72 horas. Si no fuera posible realizarla en dicho plazo se justificarán los motivos de la dilación. La notificación se hará de forma telemática a través de la sede electrónica que encontrarán haciendo clic aquí.

Si al tiempo de realizar la primera notificación no se dispone de toda la información podrá facilitarse de manera gradual en distintas fases. En todo caso, la información facilitada en las notificaciones será completa y pormenorizada.

Si procede notificar el incidente a las personas afectadas, el lenguaje empleado en la comunicación será inteligible y deberá contener, como mínimo, la siguiente información:

  • Datos de contacto del responsable del tratamiento.
  • Datos de contacto del delegado de protección de datos, si lo hubiere.
  • Descripción del incidente y momento en el que se produjo y en el que fue detectado.
  • Descripción de los datos afectados.
  • Posibles consecuencias de la brecha de la seguridad.
  • Resumen de las medidas adoptadas para controlar, corregir y mitigar los efectos del incidente.
  • Alcance del proceso de recuperación de los datos afectados, si se pudiera determinar en ese momento.

Se puede suplir la notificación personal a los afectados por una comunicación pública, por ejemplo, en la web de la organización cuando la comunicación individual supongo un esfuerzo desproporcionado.

El incumplimiento del deber de comunicación a los afectados, cuando proceda, puede ser considerado como infracción leve. Si la autoridad de control exige la notificación a los afectados y el responsable del tratamiento incumple dicho requerimiento podría estar incurriendo en infracción grave.

Es importante que el grupo de respuesta o, en su defecto, el responsable del tratamiento documente, correcta y pormenorizadamente, el incidente. También es importante que calibre bien si procede o no la notificación a la autoridad de control y a los afectados. Si la brecha de seguridad no es tan grave, como pudiera parecer, y hacemos dichas comunicaciones, podemos poner en juego la reputación de la empresa, perder cuota de mercado y hasta el propio negocio, además de una hipotética sanción.

Conclusión

El responsable del tratamiento no tiene por qué ser, necesariamente, el responsable del incidente, si actuó con diligencia en el tratamiento de la información y adoptó las medidas técnicas y organizativas necesarias para protegerla, pudiendo considerarse, en tales casos, un perjudicado más.  

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).