Infografía: ¿Ocultar las brechas de seguridad? Imposible con el RGPD

Infografía: ¿Ocultar las brechas de seguridad? Imposible con el RGPD

publicado en: Gestión de Riesgos | 0

¿Cuántas brechas de seguridad se producen cada año en España? En 2017, algunos ataques como el de WannaCry ocuparon portadas, pero la mayoría no salieron a la luz. Y la mayoría son muchos, porque, según los datos del Instituto Nacional de Ciberseguridad (INCIBE), el año pasado se produjeron 123.064 incidentes. A partir del 25 de mayo de 2018, probablemente empecemos a escuchar más sobre estos incidentes. El Reglamento General de Protección de datos (RGPD) será obligatorio y acabará con la posibilidad de ocultar las brechas de seguridad.

 

La ciber seguridad en España

 

En 2017, se produjeron en España casi un 7% más de ciber incidentes que en 2016. Según el INCIBE, 116.642 afectaron a empresas y ciudadanos, 885 a operadores estratégicos y 5.537 al ámbito académico de la RedIRIS. De todos estos ataques, 2.425 incidentes de ransomware (como WannaCry) se resolvieron satisfactoriamente, mientras que se comunicaron 18.111 vulnerabilidades nuevas y se emitieron 491 avisos de seguridad.

A medida que crece el número de dispositivos conectados y las empresas dependen cada vez más de las infraestructuras de Internet, la ciber seguridad se ha ido convirtiendo en un asunto capital para los países. De hecho, en 2018, el INCIBE contará con más de 23 millones de euros para reforzar sus capacidades de prevención y detección.

Este año, sin embargo, son las empresas las que empezarán a jugar un papel central en la ciber seguridad. Sobre todo, en la protección de los datos de los ciudadanos. La entrada en vigor definitiva del Reglamento General de Protección de Datos marcará un antes y un después a la hora de enfrentarse a las brechas de seguridad.

 

El RGPD

 

A partir del 25 de mayo de 2018, será de obligada aplicación el Reglamento General de Protección de Datos de la Unión Europea (RGPDUE), una normativa europea que busca regular el sector más allá de las leyes de cada país miembro. Sustituye desde 2016 a la Ley Orgánica de Protección de Datos (LOPD), pero se ha dado un plazo de dos años para que empresas e instituciones se adapten.

La notificación debe producirse “tan pronto como el responsable tenga conocimiento de que se ha producido” y en un plazo máximo de 72 horas

El RGPD introduce muchas novedades. Se basa en la llamada responsabilidad activa, es decir, en que sean las propias empresas las que prevean riesgos y posibles daños. Y es que cuando hablamos de datos sensibles, actuar cuando ya se ha producido la brecha de seguridad puede ser demasiado tarde.

Las compañías tendrán también que evaluar el impacto sobre la protección de datos y someterse a auditorías bienales, y se garantizan varios derechos de los ciudadanos, como el derecho al olvido. Además, el reglamento establece unos plazos de respuesta rápida tras un incidente. Pasa a ser obligatorio que cualquier brecha de seguridad se comunique a las autoridades competentes en un plazo de 72 horas.

 

Así se tienen que comunicar las brechas de seguridad

 

Según el RGPD, una brecha de seguridad es cualquier percance que origine la destrucción, pérdida o modificación accidental o ilícita de datos personales. Contemplan desde un hackeo masivo a una base de datos hasta la pérdida o robo de una memoria USB con información sensible. El reglamento europeo establece la figura del responsable de tratamiento de datos personales, quien es quien debe notificar cualquier violación de seguridad. Además, cualquier tipo de empresa o institución debe comunicarlas a la autoridad competente (en el caso español, la Agencia Española de Protección de Datos).
Según el RGPD, esta notificación debe producirse “tan pronto como el responsable tenga conocimiento de que se ha producido” y en un plazo máximo de 72 horas después de que se tenga constancia. Sin embargo, en el caso de que dicho responsable pueda demostrar la improbabilidad de que la brecha de seguridad entrañe un riesgo para los derechos y las libertades de los afectados, no será necesaria esta comunicación. Además, si la notificación no se puede efectuar en las primeras 72 horas, el responsable debe comunicar los motivos del retraso.

Estas notificaciones a la AEPD deben consistir en:

  1. Una valoración del riesgo.
  2. Una evaluación de los daños materiales o inmateriales, en el caso de los haya.
  3. Un cálculo del alcance del impacto de la brecha.
  4. Un formulario que contenga, como mínimo, información sobre la naturaleza de la brecha, las medidas adoptadas para subsanar el problema y las decisiones tomadas para mitigar los daños.

Además, se prefiere la rapidez en el aviso antes incluso de contar con toda la información. Es decir, se debe notificar en cuanto se tengan los primeros indicios de una brecha de seguridad, aunque haya que completar la información más adelante. Las empresas e instituciones deben mantener un registro apropiado de todas las violaciones de seguridad y, en ocasiones, se debe también notificar de las mismas a los afectados para que puedan tomar medidas inmediatas.

Por último, el incumplimiento de estas medidas se considera una infracción grave y puede conllevar multas de hasta 20 millones de euros o entre un 2% y un 4%  del volumen de negocio anual de una empresa.

Loading...

Loading…


 

Comparte

Dejar una opinión