Brecha de seguridad, ¿tengo que notificarla?
Habitualmente nuestros ordenadores sufren ataques de virus informáticos que pueden ocasionar una brecha de seguridad. Aunque normalmente se suelen solucionar sin ningún problema, ¿tiene pensado cómo actuar si ese virus conlleva una pérdida total o de parte de la información? ¿Qué sucede si perdemos la información de nuestros clientes, pedidos, facturas,…?
Hasta ahora, lo que debíamos hacer es anotarlo en el Registro de Incidencias e intentar solucionarlo. Sin embargo, tras la entrada en vigor del nuevo Reglamento de Protección de Datos deberemos comunicarlo a la Agencia de Protección de Datos y quizás a los interesados. Si quieres saber cómo y cuándo notificarlo puedes verlo en el post que publicamos sobre la Guía para notificar brechas de seguridad según el RGPD.
Brecha de Seguridad: todo incidente que ocasiona la destrucción, pérdida o alteración de los datos personales.
Antes de notificar a la autoridad de control o las personas afectadas debemos tener en cuenta los siguientes puntos:
1. Registrar la incidencia detectada
El Responsable del Tratamiento debe tener un registro en el cual se recoja el lugar, día y hora de detección de la brecha de seguridad, así como los detalles de los equipos y datos afectados. Cuando la brecha se resuelva deberá también registrar el solución a la incidencia.
2. Averiguar si supone un riesgo para los afectados
Este paso es muy importante, ya que averiguaremos si necesitamos comunicar la incidencia a la Agencia de Protección de datos o no. Según el RGPD deberemos notificar las brechas que supongan un riesgo para los derechos y las libertades de las personas físicas. ¿Cómo sabremos si la amenaza a supuesto un riesgo?
A continuación les mostraremos un ejemplo ilustrativo que nos podrá servir a tomar la decisión de notificar las brechas de seguridad a la Autoridad de Control.
Tenemos que tener en cuenta y medir tres parámetros: Volumen, tipología de datos e impacto. Los valores que encontramos entre paréntesis son los que usaremos para el cálculo del riesgo.
VOLUMEN (número de registro completos e identificativos que se han visto afectados)
- Menos de 100 registros (1)
- Más 1.000 (2)
- Entre 1.000 y 100.000 (3)
- Más de 100.000 (4)
- Más de 1.000.000 (5)
TIPOLOGÍA DE DATOS (según RGPD y sector)
- Datos no sensibles (x1)
- Datos sensibles (x2)
IMPACTO (grado de exposición que ha conllevado la brecha)
- Nulo (2)
- Interno (dentro de la empresa – controlado) – (4)
- Externo (Perímetro proveedor, atacante) – (6)
- Pública (Accesible en Internet) – (8)
- Desconocido (10)El cálculo del posible riesgo se podría obtener de la siguiente forma:
Riesgo = Volumen x Impacto (Tipología x Impacto)
Ejemplo fuga masiva pública: 5 x (2×10)= 100%
Utilizando este método podremos decidir si una brecha necesita ser notificada. Una posible política de notificación de brechas sería la de notificar a la agencia cualquier brecha que cumpla simultáneamente las siguientes circunstancias:
- Riesgo con valor cuantitativo en un umbral superior a 20 (más o menos), es decir que el valor que nos de resultado del cálculo sea superior a 20%.
- Ante la coincidencia de dos circunstancias cualitativas (Marcadas en naranja)
Se podría recomendar comunicar a los interesados cualquier brecha que cumpla simultáneamente las siguientes circunstancias:
- Riesgo con valor cuantitativo superior a 40 (más o menos).
- Ante la coincidencia de dos circunstancias cualitativas (Marcadas en naranja)
Ejemplo de incidente – CLASIFICACIÓN
Tipo de brecha | Confidencialidad |
Taxonomía | Acceso a cuenta privilegiada
Otorga acceso a información con datos sensibles |
Origen de la amenaza | Externo |
Gravedad | Alta |
Volumen aproximado | Más de 200.000 registro |
Ejemplo de incidente – ANÁLISIS
Volumen | Mas de 200.000 registro | 4 |
Tipología de datos | Datos sensibles | 2 |
Impacto | Alta | 8 |
Riesgo | 4 x (8×2) | 64 |
Estas son unas indicaciones y ejemplos que pueden utilizar para analizar si es necesaria la notificación de las brechas de seguridad. Sin embargo, les recordamos que si son clientes de Nubelia.cloud siempre podrán consultarnos ante cualquier incidencia.