Las brechas de seguridad: cómo prevenirlas
¿Qué es una brecha de seguridad?
Según el Reglamento General de Protección de Datos una brecha de seguridad es un incidente que supone una violación de seguridad, que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales o la comunicación o acceso no autorizado a dichos datos.
Esta figura se contempla en los artículos 33 y 34 del RGPD y en definitiva, supone un incidente de seguridad que, por lo general, supone una exposición de datos personales confidenciales, por lo que, es muy importante, diseñar un plan de acción antes de iniciar cualquier tratamiento de datos, ya que es una verdadera amenaza contra los derechos y libertades de los interesados.
Es precisamente la afectación a los derechos y libertades de los interesados lo que permite catalogar a un incidente de seguridad como una auténtica brecha de seguridad, por lo que el responsable de tratamiento debe ser consciente de qué acciones pueden generar este tipo de incidentes para gestionarlos como tal; sin embargo, habrá muchas ocasiones en los que no lleguen a afectar a datos personales, como por ejemplo, cuando se recibe un correo con un malware sin ejecutar, o ha habido un intento de ciber-ataque que no se ha llegado a materializar.
En estos casos, también hay que ser proactivos y realizar un seguimiento de este tipo de situaciones, porque a pesar de no afectar a datos personales, sí que puede generar otros perjuicios al responsable o encargado de tratamiento, por lo que, la mejor recomendación es revisar periódicamente los controles que integran el sistema de gestión de los sistemas de información, para reforzarlos si es necesario.
Ejemplos de brecha de seguridad
Desgraciadamente en muchos casos, las brechas de seguridad se llegan a materializar, ya que los ciber-ataques que tienen este fin, son muy sofisticados.
Recientemente la plataforma de Twitch sufrió una brecha de seguridad, afectando a archivos y datos confidenciales de los streamers. Con el objetivo de prevenir este tipo de incidentes, es fundamental saber identificar los mismos, y por ello, exponemos a continuación algunos de los ejemplos más ilustrativos.
Lo más común es que se trate de un ataque de ransomware, donde lo que sucede es que un código malicioso cifra los datos personales y posteriormente el atacante solicita al responsable de tratamiento un rescate a cambio del código descifrado. En otras palabras, esto tiene lugar, cuando, por ejemplo, los sistemas informáticos de una empresa se ven expuestos y los datos almacenados en estos equipos son cifrados, pudiendo acceder a datos de clientes y empleados de la empresa, afectando el ataque a la disponibilidad y a la confidencialidad de los datos, por lo que puede dar lugar a que haya que parar la actividad de la empresa hasta que se vuelva a restaurar la información expuesta o, mucho peor, tener que solicitar toda la información de nuevo a los clientes, lo que supondría el cese temporal de la actividad de la empresa.
En otros muchos casos, las violaciones de seguridad no se van a asociar con ataques tan sofisticados, sino que sencillamente se van a tratar de errores humanos. Imaginemos aquella situación en la que el empleado de una empresa, antes de ser despedido, copia de la base de datos de la empresa, datos de clientes, para posteriormente utilizarlos en su beneficio en la próxima empresa. Esto claramente supone una brecha de seguridad, causada por un acceso ilegítimo a la base de datos de la empresa.
Esta situación revela que, para prevenir las brechas de seguridad, no sólo se deben implantar medidas técnicas sofisticadas, sino que, además, se deben definir en las políticas de seguridad de la empresa, cuestiones tan sencillas, como quién debe tener acceso (o no) a las bases de datos.
Finalmente, una brecha de seguridad también se puede producir de manera involuntaria, cuando, a diferencia del caso anterior, un empleado, por falta de diligencia o de atención manda documentos con datos personales por medios que no cuentan con las medidas de seguridad que proceden.
Como se puede comprobar, la prevención de las brechas de seguridad pasa por la implementación de medidas técnicas y organizativas en la organización, en función de las características de la misma o el tipo de datos que se traten. En cualquier caso, lo fundamental es la concienciación y la formación a los empleados, pues esto, unido a la existencia de protocolos como la realización de copias de seguridad y otras medidas técnicas más sofisticadas, reducirán en gran medida el impacto que supone un incidente de seguridad de este tipo.
¿Cómo actuar ante una brecha de seguridad?
Advertimos de que lo más importante es que en toda empresa esté definido, de manera anticipada, un plan de acción y gestión para las brechas de seguridad, y que esta es la única manera de que se pueda actuar de manera eficaz y organizada, evitando perjuicios mayores.
En función de la figura, se actúa de una manera u otra; si eres el responsable de tratamiento, es tu responsabilidad notificar el incidente a la autoridad de control competente y a los interesados afectados; si eres el encargado de tratamiento, tienes la obligación de informar al responsable sobre las brechas que afecten a los tratamientos encargados y ayudar en las gestión de los mismos y, si por el contrario, eres el Delegado de Protección de Datos, tienes el papel de asesorar al responsable/encargado sobre sus obligaciones y responsabilidades y cooperar con la autoridad de control, actuando como punto de contacto.
Conforme al artículo 33 del RGPD, tan pronto como el responsable tenga conocimiento de que se ha producido una brecha de seguridad, se debe efectuar la notificación a la autoridad de control, siendo este plazo máximo de 72 horas; no obstante, te recomendamos que notifiques el incidente lo antes posible, para poner solución cuanto antes.
Sin embargo, no es obligatorio notificar todas, aplicando esta excepción cuando el responsable pueda garantizar que es improbable que la brecha entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta que, siempre que se trate de datos de categoría especial, se considerará probable la producción de perjuicios, por lo que lo mejor sería comunicarlo a la autoridad de control competente lo antes posible.
Hay muchas más cosas que saber sobre brechas de seguridad, ¿quieres que te las contemos? ¡Sólo tienes que decírnoslo!
No Comments