La tecnología ha traído múltiples ventajas para las empresas, pero también diferentes amenazas que pueden poner en riesgo la seguridad de los datos e informaciones almacenados, principalmente en forma de ciberataques.

De hecho, desde que entrase en vigor el nuevo Reglamento General de Protección de Datos (RGPD), la Agencia Española de Protección de Datos (AEPD) ha recibido más de 400 notificaciones por parte de empresas que han sufrido una brecha de seguridad.

Conscientes de esta tesitura, a continuación en AYCE Laborytax te vamos a dar las claves para actuar correctamente ante una brecha de seguridad, sin que cunda el pánico en tu empresa. Presta atención y toma nota.

¿Qué es una brecha de seguridad?

Tal y como establece el propio RGPD, las brechas de seguridad son violaciones de la seguridad de una empresa que podrían conllevar la destrucción, pérdida o alteraciones de los datos personales y confidenciales de terceras personas, almacenados por la propia empresa.

Con independencia del marco normativo, la gestión de brechas debe ser tenida en cuenta desde el diseño de las actividades de tratamiento, formando parte de las medidas de seguridad para garantizar los derechos y libertades de las personas.

Si tenemos en cuenta que el principal objetivo que persigue el RGPD es garantizar una mayor privacidad a los datos de los usuarios, si tu empresa sufriese una brecha de seguridad habría que subsanarla lo antes posible, y de la manera más eficaz. De lo contrario, podrías enfrentarte a sanciones económicas de hasta 20 millones de euros.

Por lo general, las brechas de seguridad aparecen debido a fallos en los sistemas informáticos de las empresas, incidentes inesperados, o el robo de información por parte de cibercriminales o incluso de los propios trabajadores.

Pasos para solucionar una brecha de seguridad en tu empresa

Detección, identificación y clasificación de la brecha de seguridad

Lo primero para solucionar una brecha de seguridad en tu empresa, es identificar la causa que la ha provocado, y para ello deberás analizar tanto las fuentes internas a tu empresa como las externas.

  • Fuentes internas: revisa las medidas de seguridad llevadas a cabo en tu empresa, para así conocer si se ha producido cualquier tipo de fallo en cuanto a la seguridad de los datos.
  • Fuentes externas: habrá que revisar cualquier comunicación con clientes, proveedores u organismos públicos.

Una vez detectada la causa, habrá que identificar si realmente se trata de una brecha de seguridad que afecta a la protección de los datos personales. Si es así, lo siguiente será analizar la peligrosidad de la brecha a través de los siguientes puntos:

  • Nivel de daños dentro de la empresa.
  • Naturaleza, volumen y categorías de los datos afectados.
  • Consecuencias para los individuos afectados.

En función del nivel de peligrosidad, habrá que clasificar la brecha de seguridad de la siguiente forma:

  • Brecha de confidencialidad: se produce cuando ha habido un acceso no autorizado a la información de la empresa.
  • Brecha de integridad: cuando se ha alterado la información original de manera perjudicial.
  • Brecha de disponibilidad: es la más grave, ya que no permite el acceso a los datos originales. Puede ser temporal o permanente.

Gestión de la brecha de seguridad

El siguiente paso consistiría en diseñar un plan de actuación que aborde los cuatro siguientes puntos:

  1. Contención: con el objetivo de contener los daños, habrá que aislar las redes y deshabilitar todas las funciones, limitando de esta forma la expansión del incidente.
  2. Erradicación: fundamental para solventar los posibles efectos que haya provocado el incidente de seguridad, como podría ser la eliminación de un virus informático o la desactivación de todas las cuentas vulneradas.
  3. Recuperación: cuando se haya solucionado el incidente, habrá que confirmar que las actividades afectadas han vuelto a funcionar correctamente, llevando a cabo una serie de controles periódicos.
  4. Notificación: por último, si la brecha de seguridad ha afectado a datos personales de terceros, habrá que notificar a la AEPD de la existencia de la brecha, en un máximo de 72 horas desde su existencia, tal y como establece el artículo 33 del RGPD.

El RGPD exige a las empresas a notificar la brecha de seguridad en un máximo desde 72 horas desde que se tenga conocimiento de la misma.

La notificación a la AEPD debe incluir la siguiente información:

  • Naturaleza de la violación de seguridad.
  • Posibles consecuencias.
  • Medidas adoptadas o propuestas por la empresa para ponerle solución.
  • Si la violación supone un alto riesgo para el usuario, habrá que comunicarles la existencia de la brecha de seguridad, de una manera clara y sencilla para garantizar su entendimiento.

 

Conclusión

Si en tu empresa sufres una brecha de seguridad, es importante que tomes cartas en el asunto y trates de ponerle solución lo antes posible, aplicando las medidas necesarias. Eso sí, tendrás que informar a la Agencia Española de Protección de Datos de la existencia de la brecha de un periodo máximo de 72 horas.