¿Qué son las brechas de seguridad, el peligro que amenaza al 73% de las empresas españolas?
¿Qué es una brecha de seguridad en empresas?
Las brechas de seguridad en empresas son incidentes de seguridad de la información que afectan a datos de carácter personal. No importa si dicho incidente de seguridad de la información afecta a sistemas TIC o en formato papel. La brecha de seguridad en empresas son por tanto toda violación que ocasione la destrucción, la perdida o altereación accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
¿Cuáles son los principales tipos de brechas de seguridad en empresas?
A la hora de clasificar las brechas de seguridad en empresas nos encontramos con tres tipos en función de los objetivos o consecuencias de las mismas:
- Brecha de Integridad: La brecha de integridad es aquella brecha de seguridad en empresa que afecta mediante las manipulación o alteraciones de los datos originales guardados en los sistemas TIC. Por tanto, se produce una sustitución de los datos y en consecuencia puede suponer un perjuicio.
- Brecha de Confidencialidad: La brecha de confidencialidad es aquella brecha de seguridad en empresa que se realiza un acceso no autorizado a los sistemas con propósitos no legítimos. Por tanto, se produce una exposición de datos de carácter personal no autorizada y descontrolada.
- Brecha de disponibilidad: La brecha de disponibilidad es aquella brecha de seguridad en empresa que provoca una pérdida de acceso a los datos. Dicha pérdida de acceso a la información puede ser de manera permanente o temporal.
¿Cómo actuar en caso de sufrir una brecha de seguridad en empresa?
Si se tiene la desgracia de sufrir una brecha de seguridad en la empresa estos son los pasos a seguir para gestionarla. Dichos pasos se basan en la exigencia de la normativa vigente en resolución de brechas de seguridad en empresas:
- Registrar el incidente de seguridad detectada en el sistema de SGSI: El responsable de tratamiento deberá llevar un registro de incidente de seguridad don recoja entre otras cosas lo siguiente: día y hora de detección de la violación de seguridad, los servidores y sistemas afectados, el origen de la brecha de seguridad, valorar el alcance de la violación de seguridad. También, hay que registrar la solución al incidente de seguridad.
- Averiguar si supone un riesgo para los derechos y libertades de los afectados: En este fase se debe determinar si la brecha de seguridad en empresas afecta a las siguientes categorías de datos ya que puede suponer un riesgo para las libertades y derechos de los afectados: opinión política, etnia o raza, afiliación sindical, datos relativos a la vida sexual y/o salud, datos biométricos o cualquiera que identifique inequívocamente al individuo, afiliación sindical, datos genéticos, convicciones religiosas. El riesgo de daños a las personas viene por problemas de discriminación, perdidas financieras, usurpación de identidad, dato reputacional, perdida de la confidencialidad de la información sujeta al secreto profesional.
- Informar a las personas afectadas: Si en el paso previo nos da indicios de que la brecha de seguridad en empresas afecta o puede suponer un riesgo para las personas. La empresa deberá notificar a las personas afectadas la brecha de seguridad.
- Notificar a la autoridad de control (Agencia Española de Protección de Datos AEPD): Es de obligado cumplimiento la notificación a la AEPD en un plazo másxio de 72 horas desde que tenemos constancia de la brecha de seguridad La notificación deberá incluir al menos lo siguiente: la naturaleza de la violación, categorías de datos y de interesados afectados, medidas impuestas por el responsable para resolver esa quiebra, las medidas adoptadas para reducir los efectos negativos sobre los interesados. Para su registro es tan sencillo como entrar en la web de la la AEPD y entrar en sede electrónica para registrarlas.
¿Cómo actuar en caso de sufrir una brecha de seguridad en empresa?
Si se tiene la desgracia de sufrir una brecha de seguridad en la empresa estos son los pasos a seguir para gestionarla. Dichos pasos se basan en la exigencia de la normativa vigente en resolución de brechas de seguridad en empresas:
- Registrar el incidente de seguridad detectada en el sistema de SGSI: El responsable de tratamiento deberá llevar un registro de incidente de seguridad don recoja entre otras cosas lo siguiente: día y hora de detección de la violación de seguridad, los servidores y sistemas afectados, el origen de la brecha de seguridad, valorar el alcance de la violación de seguridad. También, hay que registrar la solución al incidente de seguridad.
- Averiguar si supone un riesgo para los derechos y libertades de los afectados: En este fase se debe determinar si la brecha de seguridad en empresas afecta a las siguientes categorías de datos ya que puede suponer un riesgo para las libertades y derechos de los afectados: opinión política, etnia o raza, afiliación sindical, datos relativos a la vida sexual y/o salud, datos biométricos o cualquiera que identifique inequívocamente al individuo, afiliación sindical, datos genéticos, convicciones religiosas. El riesgo de daños a las personas viene por problemas de discriminación, perdidas financieras, usurpación de identidad, dato reputacional, perdida de la confidencialidad de la información sujeta al secreto profesional.
- Informar a las personas afectadas: Si en el paso previo nos da indicios de que la brecha de seguridad en empresas afecta o puede suponer un riesgo para las personas. La empresa deberá notificar a las personas afectadas la brecha de seguridad.
- Notificar a la autoridad de control (Agencia Española de Protección de Datos AEPD): Es de obligado cumplimiento la notificación a la AEPD en un plazo másxio de 72 horas desde que tenemos constancia de la brecha de seguridad La notificación deberá incluir al menos lo siguiente: la naturaleza de la violación, categorías de datos y de interesados afectados, medidas impuestas por el responsable para resolver esa quiebra, las medidas adoptadas para reducir los efectos negativos sobre los interesados. Para su registro es tan sencillo como entrar en la web de la la AEPD y entrar en sede electrónica para registrarlas.
Los pasos a seguir en la AEPD:
- Acceder a www.aepd.es
- Acceder a “sede electrónica”, arriba a la derecha.
- Una vez en la sede, seleccionar “Pertenezco a una entidad”
- Acceder a “Brecha de seguridad”
- Contestar las preguntas realizadas
Desde LIFe (Laboratorio de Informática Forense europeo) tenemos experiencia en los incidentes de seguridad y obviamente en brechas de seguridad. Una vez que la empresa nos notifica la brecha de seguridad realizamos un análisis del incidente de seguridad. Finalmente se redactará el informe con las conclusiones y así la empresa podrá adoptar las medidas procesales que debiere. Tiene más información de los servicios comentados en el siguiente enlace en nuestro apartado 👉 brecha de seguridad
Si quiere tener más información se recomienda la guía de la Agencia Española de Protección de Datos para la gestión y notificación de brechas de seguridad en empresas.