Blog

Brecha de seguridad: Guía de actuación para autónomos

TecnologíaEstafas

11 mayo, 2021
Brecha de seguridad

¿Cuándo notificar una brecha de seguridad? Es una pregunta cada vez más habitual dentro del sector de los autónomos y las pequeñas empresas, porque en los últimos años su tasa de incidencia se ha incrementado considerablemente.

De hecho, durante el último año este tipo de incidentes han aumentado en un 23%. El Informe Estado Actual de la Seguridad de Datos Móviles Corporativos en España desarrollado por Kingston Technology revela que 1 de cada 10 empresas ha sido víctima en al menos cinco ocasiones de este tipo de ataques.

Además, se espera que esta tendencia continúe al alza durante los próximos años, porque también se prevé un aumento del teletrabajo. Hoy resulta importante adquirir recursos para prevenir y tratar este tipo de vulnerabilidades. Especialmente, en el caso de todos aquellos autónomos que desarrollan sus actividades online.

¿Qué se entiende por brecha de seguridad?

Seguramente te estés preguntando qué es una brecha de seguridad y en qué consiste exactamente. Según el RGPD, se trata de un tipo de incidente de seguridad online.

Entendemos por incidente de seguridad todo aquel evento imprevisto o no deseado que deriva en algún tipo de perjuicio o daño a los usuarios de la red. Los incidentes de seguridad generan vulnerabilidades en los sistemas de información. Sus efectos adversos no sólo pueden comprometer la seguridad de los usuarios, sino también de los sistemas de seguridad.

Generalmente, las brechas de información (uno de los tipos de brecha de seguridad más habituales) van asociadas a violaciones de la seguridad de los datos personales. Este tipo de violaciones pueden reflejarse en su destrucción, pérdida o alteración mediante un acceso no autorizado.

¿Cómo deben responder los autónomos ante una brecha de seguridad?

Para poder actuar ante una brecha de seguridad es importante determinar el alcance del incidente y obtener un diagnóstico de los daños que ha podido generar. Para ello se suele llevar a cabo un “análisis forense” del sistema o de ciertos archivos como los .log que pueden dar información acerca de lo que ha podido pasar.

Iniciar una evaluación precisa dentro de los sistemas vulnerados será fundamental antes de iniciar cualquier plan de acción orientado al tratamiento de los daños y la clasificación del incidente.

Tipos de brechas de seguridad: Identifica cuál has sufrido

Existen diferentes brechas de seguridad dependiendo del modo en que se generan y el tipo de consecuencias que acarrean.

Brecha de confidencialidad

Se producen cuando agentes externos no autorizados acceden a una información, a menudo con propósitos fraudulentos. Como podrás imaginar, las brechas de confidencialidad pueden alcanzar diferentes niveles de acceso a los datos y peligrosidad.

La gravedad de la brecha dependerá del número de accesos que se hayan producido o el nivel de divulgación que haya podido alcanzar la información expuesta.

Brecha de integridad

En este caso, no sólo hay una intrusión no autorizada, sino que además se produce una manipulación de la información original con fines ilegítimos. Las brechas de integridad llevan un riesgo añadido, porque la manipulación y uso de una información privada, puede derivar en daños graves para los usuarios afectados.

Brecha de disponibilidad

El acceso ilegítimo a información protegida puede bloquear el acceso a la misma por parte de fuentes autorizadas.

Cuando los datos originales desaparecen puede producirse una fuga de información:

  • permanente – cuando es irreversible y los datos afectados no pueden recuperarse
  • temporal – cuando no se pueden recuperar hasta el transcurso de un tiempo determinado.

Plan de acción: Métodos de respuesta y notificaciones

Después de localizar el incidente e identificar su tipología, deberás hacer un análisis más preciso y profundo que te permita averiguar cuál ha sido el modus operandi y en qué punto de tu sistema de información se ha producido la brecha.

Además, también deberás evaluar cuál ha sido el alcance de los daños ocasionados. Dependiendo de este tipo de información, podrás tomar medidas de respuesta adaptadas.

El siguiente paso será iniciar un proceso de notificación bidireccional. Si con la vulnerabilidad se han comprometido datos de carácter personal, se deberá formalizar una notificación a la autoridad de control competente.

Por otro lado, el incidente deberá ser puesto en conocimiento de los usuarios afectados, cumpliendo con la normativa del RGPD.

¿Cuándo notificar una brecha de seguridad?

En el Reglamento General de Protección de Datos se especifica la obligatoriedad de notificación a la Autoridad de Control competente. Existe una disposición adicional que debe cumplirse si la empresa u organización afectada trabaja con datos personales de terceros.

Si la brecha de información expone a riesgos graves o moderadamente graves a los propietarios de dichos datos, el procedimiento de notificación debe extenderse también a ellos.

Es decir, no sólo deberás informar a la Autoridad de Control competente, sino también a los usuarios que puedan verse afectados por el incidente. Es importante que se lleven a cabo ambas notificaciones para que las víctimas también puedan tomar sus propias medidas de protección para salvaguardar su seguridad.

Plazo de presentación

Debes saber, que existe un plazo límite. La notificación a la Autoridad de Control debe hacerse en máximo de 72 horas desde la detección de la brecha.

¿Qué pasa si no se presenta dentro del plazo?

Según el RGPD, la primera notificación deberá llevarse a cabo en un plazo máximo de 72 horas después de la detección del incidente. Además, en el momento en que dicha notificación se lleva a término el responsable debe informar si proporcionará información adicional a posteriori.

Sin embargo, si la notificación inicial no se lleva a cabo en un plazo de 72 horas, deberá llevarse a cabo igualmente y además deberá justificarse en el momento de su presentación dicho retraso con los motivos que lo han provocado.

Es importante que las notificaciones se lleven a cabo y se registren por el responsable de la empresa o la gestión de datos personales de la misma en cumplimiento de la normativa.

Tramitación de notificaciones por brechas de información

La notificación de una brecha de seguridad debe llevarse a cabo mediante la cumplimentación de un formulario específico que puedes localizar dentro de la Sede Electrónica de la Agencia Española de Protección de Datos.

La tramitación de las notificaciones se lleva a cabo a partir de un modelo de comunicación específico en el que debe facilitarse información relativa a:

Información identificativa

  • Deberás facilitar información personal y de contacto, así como del responsable del tratamiento o gestión de la información vulnerada, si es que lo hubiese.
  • Además, deberás especificar que se trata de una notificación parcial (complementaria a una notificación anterior) en caso de que lo sea.

Información del incidente

Será necesario que facilites información relevante al incidente.

  • ¿En qué fecha y hora has detectado la brecha de seguridad?
  • ¿Cuándo se ha producido?
  • ¿Durante cuánto tiempo se ha producido?
  • ¿En qué contexto ha tenido lugar?

Deberás proporcionar toda la información que esté a tu alcance, definiendo el tipo de intrusión que se ha producido tanto como sea posible así como las circunstancias en que se ha producido (robo, pérdida…).

Información sobre los datos personales que se han visto comprometidos

Algunas de las informaciones que deberás proporcionar a este nivel, son:

  • La tipología de los datos personales y registros afectados.
  • La categoría y cantidad de usuarios afectados.
  • Las técnicas o actuaciones que se han adoptado ante el incidente.
  • Las consecuencias potenciales del incidente.

Análisis e implementación de medidas de mejora

El colectivo de los autónomos es especialmente vulnerable a este tipo de amenazas. Principalmente porque cuentan con sistemas de protección menos robustos que las grandes compañías y, a menudo, también con menos conocimientos para abordar su incidencia.

Por ello, es importante tener en cuenta que este tipo de notificaciones están orientadas a un obligado ejercicio de reflexión. Si has sufrido este tipo de agresiones, es importante que te plantees cuál ha sido el alcance de sus consecuencias, pero que también evalúes las medidas disponibles y hagas un estudio para identificar qué recursos técnicos podrían implementarse para evitar su reincidencia.

Artículos relacionados

Distintos timos y fraudes en Internet

Seguro de responsabilidad civil para autónomos

Notificaciones electrónicas, ¿estoy obligado?

TAGS:
El Equipo de e-autonomos.es
El Equipo de e-autonomos.es

LinkedInFacebookTwitterYouTube
e-autónomos Portal Web, S.L. © 2022 Todos los derechos reservados