La importancia de evitar una sanción debida a una brecha de seguridad
Brecha de seguridad
Actualmente vivimos en un mundo hiperconectado en el que el intercambio de datos se ha convertido en algo habitual. Por este motivo todas las organizaciones, con independencia de su sector de actividad y tamaño, tienen que establecer todas las medidas necesarias para evitar, en la medida de lo posible, la brecha de seguridad.
La información se ha convertido en el activo más valioso para la organización. las empresas de todo el mundo disponen de muchos datos personales de sus clientes, proveedores, empleados, etc. Datos que se deben gestionar, tratar y almacenar de forma adecuada para no perder su reputación y evitar una posible sanción.
Es necesario destacar que todo tratamiento de datos presenta cierto nivel de riesgo. En los últimos años se ha disparado el número de ataques cibernéticos. Dichos ataques se encuentran dirigidos a grandes empresas, multinacionales, y pequeños negocios. Puedes pensar que a ti nunca te va a pasar, pero esto es un error porque no hay ninguna medida 100% infalible.
Debemos empezar por definir qué es una brecha de seguridad. El Reglamento General de Protección de Datos indica que es cualquier tipo de violación que provoque la pérdida, destrucción y alteración ilícita o accidental de datos personales transmitidos, tratados o conservados, así como el acceso o la comunicación no autorizados a dichos datos.
¿Qué hacer si se produce una brecha de seguridad?
Cualquier organización debe contar con un protocolo de actuación que haya sido previamente establecido. Por lo tanto, es necesario establecer un procedimiento para detectar cualquier tipo de incidencia. Cada empresa tiene que disponer de los sistemas que mejor se adapten a las características de la organización:
- Alertas
- Revisiones periódicas del sistema informático
- Programas especializados, etc.
Es obligatorio alertar y registrar cualquier brecha de seguridad. La normativa nos habla sobre la necesidad que existe de realizar un registro de incidencias. En el registro deberá estar toda la información de lo sucedido al detalle, debe contener:
- Tipo de amenaza
- Contexto
- Datos que se han visto afectados
- Consecuencias
Es muy importante ofrecer una respuesta al incidente a la mayor brevedad posible, de ahí la importancia de tener siempre un protocolo de actuación preparado de antemano. Los expertos en ciberseguridad indican que las consecuencias de este tipo de sucesos dependen de la respuesta que se de por parte de la organización que ha sido afectada.
Hay que evitar que el mal se agrave y tratar de garantizar la continuidad de la actividad minimizando el riesgo para los derechos de las partes interesadas.
Además, cuando la brecha de seguridad pone en riesgo a terceros, la empresa debe informar a la autoridad de control competente, la Agencia Española de Protección de Datos. El plazo máximo en el que debe hacerlo es de 72 horas.
¿Es necesario cumplir con la Ley de Protección de Datos?
Diremos un rotundo sí. La protección de datos de carácter personal es un derecho, de forma que se encuentra protegido por ley. Una brecha de seguridad de este tipo de datos puede suponer graves daños y perjuicios a nivel material, inmaterial o físico, como la pérdida de control de los datos personales, el robo de la identidad, la pérdida financiera, el daño que se genera en la reputación de la organización o la pérdida de confidencialidad.
La agencia española de protección de datos indica que es necesario realizar la notificación de la brecha de seguridad y que esto no implica de forma necesaria que vaya a iniciarse el procedimiento sancionador para la empresa. En este caso es muy importante establecer el nivel de responsabilidad que tiene, y si había tomado todas las medias de prevención necesarias para poder evitar el incidente.
En última instancia, es necesario destacar que en muchos casos las consecuencias a nivel reputacional para la empresa son mucho más graves que cualquier sanción económica.
Software para la seguridad de la información
Hay numerosas herramientas para la determinación de los riesgos de activos de la información, pero, independientemente de la metodología o la herramienta que se utilice, el resultado debería conformar una lista de los riesgos correspondientes a los posibles impactos. Esto permite categorizar los riesgos e identificar cuáles deberían ser tratados exhaustivamente. Se debe escoger, en base a los resultados obtenidos, cual es el nivel de riesgo que la organización está dispuesta a tolerar, de manera que por debajo de ese nivel el riesgo es aceptable y por encima no lo será y se tomará alguna decisión al respecto.
La Plataforma Tecnológica ISOTools está elaborada para ser capaz de desarrollar cada una de estas indicaciones en la implantación de un SGSI de ISO 27001, y llevar a cabo una gestión eficaz y eficiente del mismo.