Directrices de la Agencia sobre brechas de seguridad
Con motivo de la reciente publicación de la “Guía para la gestión y notificación de brechas de seguridad” de la Agencia Española de Protección de Datos busca establecer una serie de pautas para que las empresas incluyan procedimientos homogéneos en sus políticas de brechas de seguridad para dar una respuesta eficaz a las infracciones o violaciones en materia de protección de datos que pueda recibir la empresa.
Detección, identificación y clasificación de las brechas de seguridad
El primer paso para gestionar adecuadamente una brecha de seguridad es detectar los orígenes de los incidentes de seguridad. Para ello, se deberá establecer un proceso continuo de detección a través de fuentes internas y externas.
Tras determinar la existencia de una brecha de seguridad, se deberá valorar, está podrá clasificarse en:
- Brecha de confidencialidad:Tiene lugar cuando existen accesos no autorizados o no tienen un propósito legítimo para acceder a la información.
- Brecha de integridad: Se produce cuando se altera la información original y la sustitución de datos puede ser perjudicial.
- Brecha de disponibilidad:Su consecuencia es que no se puede acceder a los datos originales cuando es necesario. Puede ser temporal (los datos son recuperables, pero tomará un periodo de tiempo y esto puede ser perjudicial para el individuo) o permanente (los datos no pueden recuperarse).
Plan de actuación
Para gestionar la brecha de seguridad, se deberá elaborar plan de actuación deberá incluir las siguientes 4 acciones:
- Contención:se deberán tomar decisiones rápidas y progresivas que aíslen la redes y deshabiliten funciones, limitando con ello cualquier movimiento o expansión del incidente.
- Erradicación:será necesaria para solventar determinados efectos del incidente de seguridad, como, por ejemplo, eliminar un malware o desactivar de cuentas de usuario vulneradas.
- Recuperación:una vez solucionada la brecha de seguridad y verificadas las medidas adoptadas, se deberá confirmar el funcionamiento normal de las actividades afectadas. Además, se deberán implementar controles periódicos y eficaces que permitan el seguimiento pormenorizado de los procesos de mayor riesgo.
- Notificación: Según el artículo 33 del RGPD, en caso de brecha de la seguridad que afecte a los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente (AEPD) sin dilación indebida y, de ser posible,a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Qué debe contener la notificación de brecha de seguridad
La notificación deberá realizarse a través del formulario destinado a tal efecto publicado en la sede electrónica de la Agencia Española de Protección de Datos
La notificación deberá incluir el siguiente contenido:
- Descripción de la naturaleza de la violación de la seguridad, indicando la categorías y número de registros de datos personales afectados.
- Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
- Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, en su caso, las medidas adoptadas para mitigar los efectos negativos que se hubieran producido.
- En aquellos casos en que la violación de la seguridad de los datos personales suponga un alto riesgo para los usuarios (por ejemplo: pérdida de control de sus datos personales, robo de identidad), les será comunicada esta circunstancia.
La notificación se deberá realizar de forma directa al afectado, ya sea por teléfono, correo electrónico, SMS, a través de correo postal, o a través de cualquier otro medio dirigido al afectado que se considere adecuado.
Valoración del riesgo
No obstante la anterior, las notificaciones a la AEPD y usuarios deberán notificarse cuando la brecha de seguridad suponga un alto riesgo. Para ello la propia AEPD, a través de la citada Guía, da las pautas para comprobar si hay o no un alto riesgo que obligue a una empresa a notificar a los usuarios y a la propia AEPD los hechos ocurridos.
Para ello se establecen los siguientes 3 criterios para poder calcular el nivel de riesgo:
- Volumen de datos personales afectados que identifiquen a personas, estableciendo un baremo de entre menos de 100 y más de 1 millón.
- Tipología de los datos en función de si los datos comprometidos son o no sensibles.
- Impacto, es decir, si la exposición ha sido dentro de la empresa, en el perímetro de los proveedores o de libre acceso en internet.
Cada criterio incluye diferentes opciones de menor a mayor gravedad, mostrando el nivel de gravedad entre paréntesis.
Por ejemplo, en el caso del criterio de volumen se encontrarían los siguientes niveles:
- menos de 100 registros (1)
- más de 1000 (2)
- entre 1000 y 100.000 (3)
- más de 100.000 (4)
- más de 1 millón (5)
Dichos niveles de gravedad tienen la finalidad de calcular el nivel de riesgo utilizando la siguiente fórmula:
Volumen x (Tipología x Impacto)
Una vez establecido el nivel de riesgo la AEPD establece dos criterios para notificar las brechas de seguridad en base a la cifra resultante:
- Para realizar la notificación ante la autoridad de control el nivel de riesgo debería ser superior a la cifra 20( o que existan dos circunstancias de categoría alta, por ejemplo que los datos afectados sean sensibles y que la exposión de los datos sea al público).
- Para realizar la notificación a los afectados el nivel de riesgo debería alcanzar la cifra de 40(o que existan dos circunstancias de categoría alta).
Por último, una vez que la brecha de seguridad haya sido neutralizada es recomendable que se elabore un Informe Final para recopilar la información, plazos de actuación y medidas adoptadas durante el proceso para disponer de un documento que recabe todas las actuaciones de cara a una revisión por terceras partes.
Desde Letslaw analizamos y revisamos todas las cuestiones al objeto de informar a las empresas sobre las novedades del RGPD.