Las fases de un incidente de seguridad: redactar un Plan de Respuesta (I)
Redactar un plan de respuesta o en otras palabras, tener claro qué hacer si nuestra empresa sufre un incidente de seguridad es básico. En este post iniciamos un conjunto de ellos en los que trataremos las fases que debes prever como empresa en caso de ser víctima de un incidente de seguridad. En este otro post hablábamos sobre qué hacer si un incidente de seguridad te afectaba como individuo.
La realidad es que cada vez más tipo de empresas (no sólo las grandes) son víctimas de incidentes o violaciones de seguridad, y por tanto y por desgracia, pocas organizaciones están exentas de verse afectadas en algún momento por un incidente de seguridad. Desde filtraciones internas de datos hasta ataques externos malintencionados, la casuística no para de crecer en España y es esencial tener claro cómo actuar. Hoy nos centramos en la primera Fase de respuesta a un incidente de seguridad: “redactar un plan de respuesta”
Sin embargo, hay una cuestión básica previa y es la diferencia entre incidente y brecha de seguridad.
Un incidente de seguridad es un evento o situación donde se ve afectada la confidencialidad, integridad o disponibilidad de los datos personales. Para hablar de brecha, que tiene consecuencias a nivel de RGPD, debe haber, además un acceso o adquisición no autorizada de dichos datos personales.
Dispón de registro de actividades del tratamiento actualizado
Un plan de respuesta a incidentes de seguridad, requiere tener al día tu registro de actividades del tratamiento, pues el mismo te ayuda, entre otras cosas, a tener un inventario (o mapa de datos) actualizado de qué tipo de datos tratas para un determinado servicio, qué aplicaciones usas o qué proveedores (si es el caso), son los afectados por un incidente determinado. No tener el registro de actividades actualizado hace más dificultoso tomar acciones una vez el incidente se ha producido pues requiere realizar un análisis que debería estar hecho, en cualquier caso y con independencia de haber sufrido o no un incidente.
Redacta un plan de respuesta a incidentes de seguridad
La experiencia nos dice que cuando se produce un incidente de seguridad, las prisas y las urgencias son malas consejeras y el hecho de no disponer de un plan de respuesta preestablecido suele llevar a errores u omisiones que pueden tener consecuencias no deseadas. Un plan de respuesta debe contener unas instrucciones claras y concisas sobre qué hacer si sufrimos un incidente de seguridad. Este plan de respuesta debe ser conocido por quiénes deberán participar de su implementación llegado el caso. Cada empresa u organización es un mundo y por tanto debes adaptar el plan de respuesta a tu caso particular, pero por desgracia por pequeña que sea tu empresa, no está exenta de sufrir un incidente de seguridad.
Además del coste económico que puede suponer no tener un plan de respuesta adecuado por tener que improvisar, por ejemplo, en la contratación de expertos no previstos, su ausencia puede aumentar el perjuicio de sanción por parte de la Agencia Española de Protección de Datos, ya que una ausencia o una respuesta inadecuada puede poner de relieve incumplimientos del RGPD y la LOPD:
- Incumplimiento del deber de confidencialidad. Infracción muy grave.
- No disponer de medidas de seguridad adecuadas. Infracción grave.
- No comunicación a la AEPD o a los afectados (si ha sido requerido por la AEPD) de una violación de seguridad. Infracción grave.
- La comunicación incompleta, tardía o defectuosa de una violación de seguridad a la AEPD. Infracción leve.
- Falta de documentación de una incidencia de seguridad. Infracción leve.
- Falta de comunicación de una incidencia de seguridad a los afectados. Infracción leve.
¿Quién debe conocer el plan de respuesta?
Las personas o departamentos que deben intervenir en caso de sufrir un incidente de seguridad y que por tanto deben conocer el plan de respuesta, variarán en función del tamaño de la organización, pero con carácter general, los siguientes departamentos o personas tendrán indiscutiblemente un rol a desarrollar:
- Delegado de Protección de Datos: en caso que lo tengas designado, deberá tener acceso al registro de actividades del tratamiento, con el fin de identificar de manera rápida qué recursos se han visto afectados por el incidente. También tendrá un papel esencial en la comunicación de la brecha a la Autoridad de Protección de Datos competente.
- Gerencia o CEO: en grandes crisis ocasionadas por incidentes de seguridad, el rol de la gerencia o del CEO, debe marcar la acción del resto de la organización por lo que su respuesta resulta fundamental para los demás departamentos y personas de la empresa.
- Marketing o al departamento de atención al cliente, dependerá habitualmente la comunicación del incidente a los afectados. Debe pensarse no sólo en la comunicación sino en qué sucederá si los afectados solicitan más información sobre el incidente: no pueden recibir respuestas contradictorias de distintos interlocutores..
- Legal: el equipo jurídico conoce los requerimientos legales en caso de una brecha de seguridad pues su rol será esencial para decidir si procede o no la comunicación del incidente a las autoridades competentes. También deben conocer las responsabilidades contractuales adquiridas, por ejemplo, por proveedores de servicios involucrados en el incidente.
- Finanzas: deberá calcular el impacto económico que puede tener el incidente en la organización y, en su caso, buscar o desbloquear los fondos necesarios para mitigar sus efectos adversos.
- IT o Seguridad de la información: desarrollará un papel básico en cuanto a la investigación del incidente con el objetivo principal de aislarlo, eliminarlo y preservar los sistemas afectados.
- Recursos Humanos: si el incidente afecta a empleados su rol es esencial y aunque no fuera así, deberá actuar con el fin de proporcionar la información necesaria a los empleados y en su caso, para readaptar y crear planes específicos de formación necesaria que el incidente haya demostrado que puede ser obsoleta.
En conclusión, estar preparado para cómo actuar en caso de sufrir un incidente de seguridad en tu empresa, representa gran parte del éxito en su respuesta. Lamentablemente todos estamos expuestos a un incidente de seguridad de muchos tipos, por lo que, además de tomar las lógicas medidas de seguridad, resulta básico centrarnos en aquello qué sí que depende enteramente de nosotros, y la preparación es sin duda el primer punto esencial.
Autor: Victor Roselló, Abogado.
Si necesitas más información, ¡contacta con nosotros!:
Denominación social:
LEGAL IT GLOBAL 2017, SLP
Finalidad:
Prestar el servicio.
Envío del Boletín informativo.
Legitimización:
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios: Tus datos no serán compartidos con ningún tercero, salvo a aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Consulta la Política de Protección de datos completa a aquí.