Qué es una brecha de seguridad y cómo gestionarla

Es bastante común que un virus ataque nuestro equipo y, en general, es algo que se puede solucionar sin grandes complicaciones. Pero, ¿qué ocurre si ese virus supone la pérdida de información de tus clientes? Significa que has sufrido una brecha de seguridad

Desde la entrada en vigor de Reglamento General de Protección de Datos (RGPD), es obligatorio notificar tanto a los afectados como a la Agencia Española de Protección de Datos (AEPD) la existencia de una brecha de seguridad si se diera el caso. 

En este artículo explicaremos en qué consisten las brechas de seguridad y cómo gestionarlas.

brecha de seguridad
 

¿Qué es una brecha de seguridad?

Según la AEPD, una brecha de seguridad es “un incidente de seguridad que afecta a datos de carácter personal”, independientemente de si es a causa de un accidente o de una acción intencionada y afecte a datos digitales o en formatos de papel.  Además, las brechas de seguridad provocan la “destrucción, pérdida, alteración, comunicación o acceso no autorizado de datos personales”. 

Por parte del RGPD, se ofrece la siguiente definición de brecha de seguridad: “Toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso autorizado a dichos datos”. 

En resumen, una brecha de seguridad podría traducirse como una violación de la seguridad que produce pérdida, destrucción o manipulación de los datos personales almacenados en el dispositivo atacado. 

Este tipo de situaciones pueden producirse por una modificación no autorizada de la base de datos, una destrucción de las copias de seguridad o un ciberataque que tenga como objetivo acceder a cierta información personal. 

¿Cómo gestionar una brecha de seguridad?

En caso de que sufras una situación de este tipo, estos son los pasos a seguir de forma adecuada y de acuerdo a las exigencias de la normativa de resolución de incidencias. 

  • Registro interno de la incidencia detectada 

El responsable del tratamiento de los datos (o Delegado de Protección de Datos en caso de que exista)debe realizar un registro en el cual se recoja el momento preciso en el que se haya detectado la violación de los sistemas de seguridad, así como los sistemas, datos y equipos que se han visto afectados. 

Una vez que se haya resuelto el problema, deberá registrarse también la solución a la brecha de seguridad. 

  • Valorar el alcance de la brecha de seguridad 

Para saber si debemos notificar una brecha de seguridad, tendremos que valorar el nivel de alcance de la misma, es decir, cuántos datos se han visto afectados y en qué medida, ya que dependiendo de esto existirá o no la obligación de informar a la AEPD. Para ello podemos hacernos preguntas tales como: ¿Supone un riesgo para los derechos y libertades de los afectados? ¿Provoca daños y perjuicios físicos, materiales o inmateriales? ¿Puede privar a los interesados de sus derechos y libertades o se les impide ejerce el control sobre sus datos personales? 

  • Notificación de la brecha de seguridad a la autoridad de control 

Si después de haber realizado el análisis anterior hemos llegado a la conclusión de que la brecha afecta o puede suponer un riesgo importante para las personas dueñas de los datos, no solo debemos registrar dicho problema si no que además, tenemos que notificarlo a la AEPD, completando un formulario de notificación de brechas de seguridad. 

  • Notificación de la brecha de seguridad a las personas afectadas 

Hemos hablado de informar a la AEPD cuando surja una violación del tratamiento de los datos personales, sin embargo, ¿qué ocurre con las personas afectadas? ¿Cuándo debemos informarlas? 

Según la “guia-brechas-seguridad” publicada por la AEPD, se debe informar a los afectados por la brecha de seguridad cuando esta pueda suponer un riesgo para sus derechos y libertades. Por lo tanto, si se identifica este nivel de peligro para los derechos fundamentales de los interesados, el responsable del tratamiento deberá informarles de ello tan pronto como sea consciente del problema. 

Para hacer más fácil la decisión de informar a los afectados, se ha creado la herramienta AEPD. Sin embargo, se trata solo de un mecanismo que ayuda a la toma de decisiones y de ningún modo sustituye la obligación de notificar la brecha de seguridad a la AEPD ni a los afectados. 

 

¿Necesitas más información acerca de este tema? Puedes completarla con la Guía para la gestión y notificación de brechas de seguridad de la AEPD, donde además se reflejan ejemplos prácticos. 

Si tienes alguna duda concreta o necesitas asesoramiento acerca de este tema, en Onciber estamos encantados de ayudarte. Ponte en contacto con nosotros aquí. 

¿Hablamos?

Brechas de seguridad
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
0 0 votos
Article Rating
Notificar de
guest
0 Comments
Inline Feedbacks
View all comments

Apúntate a nuestra

Newsletter

De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: ONCIBER SEGURIDAD GESTIONADA, S.L. Fines del tratamiento: mantener una relación comercial y enviar comunicaciones de productos o servicios Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición Más información del tratamiento en la Política de privacidad

Síguenos
0
Would love your thoughts, please comment.x
()
x
Logo-OnCiber

Solicita tu demo

Rellena tus datos en nuetro breve formulario

Activa tu Pack

PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: ONCIBER SEGURIDAD GESTIONADA, S.L. Fines del tratamiento: mantener una relación comercial y enviar comunicaciones de productos o servicios Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición Más información del tratamiento en la Política de privacidad

ASISTENCIA RGPD

[user_meta key="rgpd-usuario"]

[user_meta key="rgpd-password"]

CLAÚSULAS, DOCUMENTOS DE CONFIDENCIALIDAD Y ENCARGOS DE TRATAMIENTO

[user_meta key="rgpd-usuario"]

[user_meta key="rgpd-password"]

ANÁLISIS INICIAL RGPD

[user_meta key="rgpd-usuario"]

[user_meta key="rgpd-password"]

HACKING ÉTICO

ANÁLISIS DE CIBER-RIESGO WEB

[user_meta key="estado-analisis-ciberriesgo"]

ANÁLISIS DE VULNERABILIDAD

[user_meta key="estado-informe-vulnerabilidad"]

SOPORTE DE ALMACENAMIENTO DE COPIAS DE SEGURIDAD EN NUBE

[user_meta key="acronis-user"]

[user_meta key="acronis-password"]

MONITORIZACIÓN DIGITAL

SOFTWARE DE SEGURIDAD AVANZADA: ANTIRANSOMEWARE

[user_meta key="antiransomware"]

SEGURIDAD BÁSICA PARA TUS DISPOSITIVOS: ANTIVIRUS

Dispositivos a proteger

[user_meta key="dispositivos"]

Dispositivos protegidos

[user_meta key="numero-protegidos"]

Dispositivos no protegidos

[user_meta key="numero-dispositivos-no-protegidos"]

¡Gracias por contactarnos!

En breve, uno de nuestros consultores se pondrá en contacto contigo. Gracias por confiar en Onciber.

Logo-OnCiber

Gracias por contactarnos

En breve recibirá llamada de nuestros técnicos colaboradores de AlwaysON e instrucciones precisas acerca de como puede solicitar usted su propia asistencia en horario de 09.00 a 18.00 horas de lunes a viernes.