He sufrido un ataque que afecta a mi empresa. ¿Qué puedo hacer? ¿Con quién debemos comunicarnos dentro de la misma? ¿Qué canales podemos utilizar y cuáles debemos evitar? ¿Cómo debemos reaccionar?
Estas y muchas otras son las preguntas que tenemos que saber responder durante una incidencia para poder garantizar la continuidad de nuestro negocio.
En anteriores post te contábamos las distintas medidas a tomar para intentar mitigar posibles incidencias de seguridad que puedan afectar los sistemas de nuestra empresa o en el peor de los casos si ya has sido víctima de algún virus, como una buena gestión de copias de seguridad puede salvar nuestra empresa.
Siguiendo con ese hilo, vamos a ver comentar a continuación, como debemos actuar y sobre todo como reportar/comunicar una incidencia tanto los afectados como al organismo correspondiente.
Pongamos en situación.
Antes del RGPD las empresas que eran víctimas de ataques informáticos (vulnerabilidad de datos), podían elegir si comunicar el incidente o no. Ahora esta última, no es una opción y las incidencias que afecten y pongan en riesgos a las personas físicas hay que comunicarlas. En la normativa RGPD lo enuncia en los artículos 33 y articulo 34.
Pasos a seguir para la gestión de la incidencia.
Realizar un registro interno de la incidencia.
Averiguar si supone un riesgo para los afectados
Notificación de la incidencia: a las personas afectadas y a la autoridad de control.
Realizar un registro interno de la incidencia.
El responsable del tratamiento debe llevar a cabo un registro en el que recoja el lugar, día y hora de detección de la brecha de seguridad, así como también los sistemas, datos y equipos que se han visto afectados. Una vez resuelta la brecha se deberá también registrar la solución al problema.
Si la entidad cuenta con Delegado de Protección de Datos será este el encargado de esta obligación.
Averiguar si supone un riesgo para los afectados
¡Este paso es fundamental!, ya que marca la diferencia en cuanto a si se tiene que notificar la incidencia de seguridad a la autoridad de control o no.
Para poder saber si suponen un riesgo para los afectados contamos con una serie de criterios y ejemplos que están recogidos en el RGP considerando 75.
¿Pero cómo saber si supone un riesgo? Pues pensemos en cada uno de los siguientes puntos:
- Que pueda provocar daños y perjuicios físicos, materiales o inmateriales; usurpación de identidad o fraude, daños de reputación, pérdidas financieras.
- Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que los datos personales tratados revelen; origen étnico o racial, opiniones políticas, religión etc.
- En los casos en los que se traten datos personales de personas vulnerables, en particular niños
- Notificar a las personas afectadas y a la autoridad de control.
¿A quién debe notificarlo?
En caso de que la incidencia siguiendo los criterios anteriormente mencionados afecta o puede suponer un riesgo para las personas físicas habrá que notificarlas tanto a ellas como a la autoridad competente (autoridad de control nacional de protección de datos) que en el caso de España es la agencia de protección de datos.
¿Quién debe notificarlo?
El encargado de dicha comunicación será el responsable de seguridad o en su caso el responsable del Tratamiento.
¿Y si mi empresa tiene DPO? En este caso será el Delegado de Protección de Datos el encargado de la notificación.
¿Existe un Plazo?
Sí, se dispone de 72 horas. Este plazo comienza en cuanto tenemos constancia del problema de seguridad.
Excepciones. ¿Debo comunicar siempre la incidencia?
No, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:
El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, cifrado.
Puedes completar también esta información con la Guía para la gestión y notificación de brechas de seguridad publicada por la AEPD.
Conclusión:
En este post te hemos contado como comunicar una incidencia de seguridad, a las entidades afectadas, pero para poder seguir con la actividad de nuestro negocio debemos tener en cuenta que debemos contar con un plan de contingencia donde las copias de seguridad deben tener un papel fundamental para recuperar los datos
Autor: Andrés Miles (Technology Officer)
Fuente: https://gie.es/blog/como-actuar-y-comunicar-un-incidente-de-seguridad/
Comenta aquí