Brechas de seguridad: ¿qué hacer?
Cualquier negocio que, en mayor o menor medida, haya iniciado o tenga pensado iniciar, su proceso de digitalización, puede ser víctima de un ataque informático. ¿Qué debo hacer si tengo brechas de seguridad?
Las webs, las apps o los ecommerce que los negocios gestionan, se encuentran, casi siempre, en servidores de terceros y por lo tanto por más pequeño que sea nuestro negocio, si el objetivo del ataque son los servidores de grandes empresas que alojan contenidos de sus clientes, nadie estamos exentos de poder ser víctima de un ataque.
Estas grandes compañías suelen disponer de medidas para minimizar los riesgos pero nunca están 100% salvaguardadas, pero qué pasa si en este ataque se ponen en riesgo datos personales de nuestros clientes, trabajadores o de los receptores de nuestro Newletter …
¿Qué dice la normativa de protección de datos sobre las brechas de seguridad?
Hasta la entrada en vigor del RGPD (mayo de 2018), existía una obligación de controlar y registrar internamente cualquier incidencia que pudiera afectar a la seguridad de los datos personales. Había que identificar la incidencia, tomar pasos para minimizar o eliminarla y cerrar la incidencia de manera formal. Desde de 2018 esta obligación formal incluye dos pasos más:
- Informar a la Agencia de Protección de Datos de la incidencia.
- Informar a las personas afectadas.
Información a la AEPD
La AEPD ha publicado una extensa Guía sobre cómo gestionar las incidencias de seguridad. En esta Guía y la normativa vigente establece claramente la obligación de comunicar a la AEPD cualquier incidencia de seguridad en un plazo máximo de 72 horas. También se habilita un canal para hacerlo de manera telemática. La única excepción a la comunicación es cuando se pueda demostrar que la incidencia no genera ningún riesgo para las personas afectadas.
Entre los ejemplos que la AEPD mujer de no comunicación, es cuando los datos personales afectadas por la incidencia, ya eran públicas por algún otro canal, por lo que si no se da este supuesto, la comunicación será obligatoria.
Información a las personas afectadas
Cuando se determine un alto riesgo para las personas afectadas por la incidencia (por ejemplo robo de contraseñas), también se les deberá comunicar personalmente indicando además las medidas que pueden tomar para minimizar los riesgos (por ejemplo cambio inmediato de la contraseña).
Recomendaciones frente a las brechas de seguridad
Cualquier empresa o autónomo, puede ser objeto de una incidencia de seguridad (que no ha perdido un USB?), Por lo tanto es imprescindible disponer de unos mínimos para cumplir con esta obligación:
- Que tu personal sepa qué es una incidencia y qué hacer si la conoce, así como una mínima información sobre técnicas de ataque más comunes (ingeniería social).
- Asegurarse de disponer de las últimas versiones de anti-virus y anti-malware.
- Actualizar el software de la empresa de manera regular.
- Asegurarte que tus proveedores, te informarán si tienen conocimiento de una incidencia que afecte a los datos de tu negocio.
En resumen, aunque los negocios pequeños cada vez más ponen su negocio en manos de terceros (o precisamente por eso), esto no los libra de ser víctimas de ataques y en caso de serlo, de la obligación de cumplir con la normativa de protección de datos.
Si tienes cualquier pregunta sobre este tema o cualquier otro, ¡no dudes en contactarnos!
Información sobre protección de datos
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Derechos
Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.
Más información
Consulta la Política de Privacidad.