Tecnología para los negocios - Qué debemos hacer según RGPD si nuestra seguridad informática es vulnerada


Qué debemos hacer según RGPD si nuestra seguridad informática es vulnerada

Cumplir con la LOPD seguridad es de obligación con la entrada del nuevo Reglamento General de Protección de Datos. Por ello, cualquier situación en una empresa que pueda haber derivado en la pérdida de datos personales, debe ser comunicada debidamente.

Las empresas viven constantemente expuestas a la posibilidad de que un virus entre en su sistema de redes o un ordenador individual.

Generalmente, esta situación no supone problemas mayores y se soluciona de forma rápida. Pero hay casos en los que el ataque puede ocasionar la pérdida de datos personales. La LOPD seguridad obligaba a las compañías a notificar la situación mediante el Registro de Incidencias.

Con eso era suficiente, pero la entrada en vigor del nuevo RGPD ha cambiado el escenario por completo.

10 claves de la nueva RGPD

Qué es una brecha de seguridad

Definir qué es una brecha de seguridad no es tan sencillo como pueda parecer. De hecho, en la propia LOPD no existe una definición exacta del término. Así que lo más habitual es utilizar la que propone el RGPD:

Toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.

Por lo tanto, una violación de seguridad es cualquier incidente que da como resultado el acceso no autorizado a datos, aplicaciones, servicios, redes y dispositivos. Ocurre cuando un individuo o una aplicación ingresa ilegítimamente en un perímetro lógico de TI privado, confidencial o no autorizado.

Una violación de seguridad puede ser una de las primeras etapas de un ataque por parte de un intruso malintencionado, como un hacker, un cracker o una aplicación nefasta. Dependiendo de la naturaleza del incidente, esta brecha puede ser desde bajo riesgo hasta altamente crítica. En una organización, deben ser monitoreadas, identificadas y mitigadas por un firewall de software o hardware.

LOPD seguridad: cómo actuar ante una brecha

El primer paso al que obliga la LOPD seguridad ante una brecha es a apuntar en el registro interno la incidencia detectada. En el mismo debe incluirse toda la información relativa sobre el lugar, día y hora de detección de la violación, así como también los sistemas, datos y equipos que se han visto afectados.

Posteriormente, se debe analizar la situación para determinar el grado de gravedad de la brecha. Si se confirma que supone un riesgo para las personas físicas, entonces hay que proceder a su notificación a la autoridad pertinente. En el caso de nuestro país, es la Agencia Española de Protección de Datos.

En las empresas que cuentan con un Delegado de Protección de Datos, este debe ser el encargado de realizar la notificación. En su defecto, la misma correría a cargo del Responsable de Seguridad o, de contar con esa figura, el representante del Responsable del Tratamiento. El plazo máximo para la presentación de la información es de 72 horas tras tener constancia del problema.

La notificación ha de incluir un contenido mínimo para cumplir la LOPD seguridad. Debe contener la naturaleza de la violación, categorías de datos y de interesados afectados, las medidas impuestas por el responsable para resolver esa quiebra y, si procede, las acciones adoptadas para reducir los posibles efectos negativos sobre los interesados.

Fuente: ayudaleyprotecciondatos.es

LOPD seguridad: medidas que toda empresa debe cumplir

Existen unas medidas mínimas que las empresas deben cumplir para respetar la LOPD seguridad. Estas se clasifican en organizativas y técnicas y están recogidas por la Agencia Española de Protección de Datos.

Medidas organizativas

Se debe informar a todo el personal con acceso a datos personales acerca de sus obligaciones. Estas se centran en 3 puntos clave: el deber de confidencialidad y respeto, los derechos de los titulares de los datos y las violaciones de seguridad de datos de carácter personal.

El deber de confidencialidad y secreto implica que se debe evitar el acceso de personas no autorizadas a los datos personales. Igualmente, los documentos en papel y soportes electrónicos se almacenarán en lugar seguro y no se desecharán sin garantizar su destrucción. Tampoco se pueden comunicar datos o información personal a terceros. Estos deberes persisten incluso cuando finaliza la relación laboral del trabajador con la empresa.

Los derechos de los titulares de los datos implican que se informará a todos los trabajadores acerca del procedimiento para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse (medios electrónicos, referencia al Delegado de Protección de Datos si lo hubiera, dirección postal, etc.).

En cuanto a las violaciones de seguridad de datos de carácter personal, ya se ha visto que deben ser notificadas a la Agencia Española de Protección de Datos en término de 72 horas.

Medidas Técnicas

Las medidas técnicas hacen referencia a la identificación de usuarios y el deber de salvaguarda.

La identificación de usuarios obliga a disponer de varios usuarios cuando un ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal. También recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y otros sin privilegios. En cuanto a las contraseñas, tendrán al menos 8 caracteres, mezcla de números y letras y se debe garantizar su confidencialidad.

Las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales son:

  • Actualización de ordenadores y dispositivos.
  • Malware. Se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales.
  • Cortafuegos o firewall. Para evitar accesos remotos indebidos a los datos personales.
  • Cifrado de datos. Utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
  • Copia de seguridad. Se realizará en un segundo soporte distinto del que se utiliza para el trabajo diario y se almacenará en lugar seguro, distinto de aquel en que esté ubicado el ordenador con los ficheros originales.

Estas medidas de seguridad deben ser revisadas de forma periódica, ya sea automáticamente (software o programas informáticos) o de forma manual.

Conclusión

El RGPD ha cambiado sustancialmente las medidas a seguir para cumplir la LOPD seguridad. Las empresas deben contar con protocolos para hacer frente a posibles ataques y están obligadas a notificarlos. De lo contrario, se exponen a sanciones de 10 millones de euros o una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior (siempre se optará por el de mayor cuantía).