{"id":18984,"date":"2024-10-15T05:00:00","date_gmt":"2024-10-15T04:00:00","guid":{"rendered":"https:\/\/www.rosello-mallol.com\/?p=18984"},"modified":"2024-10-15T11:56:05","modified_gmt":"2024-10-15T10:56:05","slug":"plan-respuesta-incidencia-seguridad","status":"publish","type":"post","link":"https:\/\/www.rosello-mallol.com\/es\/plan-respuesta-incidencia-seguridad\/","title":{"rendered":"Las fases de un incidente de seguridad: redactar un Plan de Respuesta (I)"},"content":{"rendered":"\n

Redactar un plan de respuesta<\/strong> o en otras palabras, tener claro qu\u00e9 hacer si nuestra empresa sufre un incidente de seguridad<\/strong> es b\u00e1sico. En este post iniciamos un conjunto de ellos en los que trataremos las fases que debes prever como empresa en caso de ser v\u00edctima de un incidente de seguridad. En este otro post<\/a><\/strong> habl\u00e1bamos sobre qu\u00e9 hacer si un incidente de seguridad te afectaba como individuo.\u00a0<\/p>\n\n\n\n

La realidad es que cada vez m\u00e1s tipo de empresas (no s\u00f3lo las grandes) son v\u00edctimas de incidentes o violaciones de seguridad, y por tanto y por desgracia, pocas organizaciones est\u00e1n exentas de verse afectadas en alg\u00fan momento por un incidente de seguridad. Desde filtraciones internas de datos hasta ataques externos malintencionados, la casu\u00edstica no para de crecer<\/a><\/strong> en Espa\u00f1a y es esencial tener claro c\u00f3mo actuar. Hoy nos centramos en la primera Fase de respuesta a un incidente de seguridad: \u201credactar un plan de respuesta\u201d<\/strong><\/p>\n\n\n\n

Sin embargo, hay una cuesti\u00f3n b\u00e1sica previa y es la diferencia entre incidente y brecha<\/strong> de seguridad.<\/p>\n\n\n\n

Un incidente de seguridad es un evento o situaci\u00f3n donde se ve afectada la confidencialidad, integridad o disponibilidad de los datos personales. Para hablar de brecha<\/strong>, que tiene consecuencias a nivel de RGPD, debe haber, adem\u00e1s un acceso o adquisici\u00f3n no autorizada de dichos datos personales.<\/p>\n\n\n\n

Disp\u00f3n de registro de actividades del tratamiento actualizado<\/strong><\/h3>\n\n\n\n

Un plan de respuesta a incidentes de seguridad, requiere tener al d\u00eda tu registro de actividades del tratamiento<\/strong>, pues el mismo te ayuda, entre otras cosas, a tener un inventario (o mapa de datos) actualizado de qu\u00e9 tipo de datos tratas para un determinado servicio, qu\u00e9 aplicaciones usas o qu\u00e9 proveedores (si es el caso), son los afectados por un incidente determinado. No tener el registro de actividades actualizado hace m\u00e1s dificultoso tomar acciones una vez el incidente se ha producido pues requiere realizar un an\u00e1lisis que deber\u00eda estar hecho, en cualquier caso y con independencia de haber sufrido o no un incidente.<\/p>\n\n\n\n

Redacta un plan de respuesta a incidentes de seguridad<\/strong><\/h3>\n\n\n\n

La experiencia nos dice que cuando se produce un incidente de seguridad, las prisas y las urgencias son malas consejeras y el hecho de no disponer de un plan de respuesta preestablecido suele llevar a errores u omisiones que pueden tener consecuencias no deseadas. Un plan de respuesta debe contener unas instrucciones claras y concisas<\/strong> sobre qu\u00e9 hacer si sufrimos un incidente de seguridad. Este plan de respuesta debe ser conocido por qui\u00e9nes deber\u00e1n participar<\/strong> de su implementaci\u00f3n llegado el caso. Cada empresa u organizaci\u00f3n es un mundo y por tanto debes adaptar el plan de respuesta a tu caso particular, pero por desgracia por peque\u00f1a que sea tu empresa, no est\u00e1 exenta de sufrir un incidente de seguridad.<\/p>\n\n\n\n

Adem\u00e1s del coste econ\u00f3mico que puede suponer no tener un plan de respuesta adecuado por tener que improvisar, por ejemplo, en la contrataci\u00f3n de expertos no previstos, su ausencia puede aumentar el perjuicio de sanci\u00f3n por parte de la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos<\/strong>, ya que una ausencia o una respuesta inadecuada puede poner de relieve incumplimientos del RGPD y la LOPD:<\/p>\n\n\n\n

    \n
  • Incumplimiento del deber de confidencialidad. Infracci\u00f3n muy grave<\/strong>.<\/li>\n\n\n\n
  • No disponer de medidas de seguridad adecuadas. Infracci\u00f3n grave<\/strong>.<\/li>\n\n\n\n
  • No comunicaci\u00f3n a la AEPD o a los afectados (si ha sido requerido por la AEPD) de una violaci\u00f3n de seguridad. Infracci\u00f3n grave<\/strong>.<\/li>\n\n\n\n
  • La comunicaci\u00f3n incompleta, tard\u00eda o defectuosa de una violaci\u00f3n de seguridad a la AEPD. Infracci\u00f3n leve<\/strong>.<\/li>\n\n\n\n
  • Falta de documentaci\u00f3n de una incidencia de seguridad. Infracci\u00f3n leve<\/strong>.<\/li>\n\n\n\n
  • Falta de comunicaci\u00f3n de una incidencia de seguridad a los afectados. Infracci\u00f3n leve<\/strong>.<\/li>\n<\/ul>\n\n\n\n

    \u00bfQui\u00e9n debe conocer el plan de respuesta?<\/strong><\/h3>\n\n\n\n

    Las personas o departamentos que deben intervenir en caso de sufrir un incidente de seguridad y que por tanto deben conocer el plan de respuesta, variar\u00e1n en funci\u00f3n del tama\u00f1o de la organizaci\u00f3n, pero con car\u00e1cter general, los siguientes departamentos o personas tendr\u00e1n indiscutiblemente un rol a desarrollar:<\/p>\n\n\n\n

      \n
    • Delegado de Protecci\u00f3n de Datos<\/strong>: en caso que lo tengas designado, deber\u00e1 tener acceso al registro de actividades del tratamiento, con el fin de identificar de manera r\u00e1pida qu\u00e9 recursos se han visto afectados por el incidente. Tambi\u00e9n tendr\u00e1 un papel esencial en la comunicaci\u00f3n de la brecha a la Autoridad de Protecci\u00f3n de Datos competente.<\/li>\n<\/ul>\n\n\n\n
        \n
      • Gerencia<\/strong> o CEO<\/strong>: en grandes crisis ocasionadas por incidentes de seguridad, el rol de la gerencia o del CEO, debe marcar la acci\u00f3n del resto de la organizaci\u00f3n por lo que su respuesta resulta fundamental para los dem\u00e1s departamentos y personas de la empresa.\u00a0<\/li>\n<\/ul>\n\n\n\n
          \n
        • Marketing<\/strong> o al departamento de atenci\u00f3n al cliente, depender\u00e1 habitualmente la comunicaci\u00f3n del incidente a los afectados. Debe pensarse no s\u00f3lo en la comunicaci\u00f3n sino en qu\u00e9 suceder\u00e1 si los afectados solicitan m\u00e1s informaci\u00f3n sobre el incidente: no pueden recibir respuestas contradictorias de distintos interlocutores..<\/li>\n<\/ul>\n\n\n\n
            \n
          • Legal<\/strong>: el equipo jur\u00eddico conoce los requerimientos legales en caso de una brecha de seguridad pues su rol ser\u00e1 esencial para decidir si procede o no la comunicaci\u00f3n del incidente a las autoridades competentes. Tambi\u00e9n deben conocer las responsabilidades contractuales adquiridas, por ejemplo, por proveedores de servicios involucrados en el incidente.<\/li>\n<\/ul>\n\n\n\n
              \n
            • Finanzas<\/strong>: deber\u00e1 calcular el impacto econ\u00f3mico que puede tener el incidente en la organizaci\u00f3n y, en su caso, buscar o desbloquear los fondos necesarios para mitigar sus efectos adversos.<\/li>\n<\/ul>\n\n\n\n
                \n
              • IT o Seguridad de la informaci\u00f3n<\/strong>: desarrollar\u00e1 un papel b\u00e1sico en cuanto a la investigaci\u00f3n del incidente con el objetivo principal de aislarlo, eliminarlo y preservar los sistemas afectados.<\/li>\n<\/ul>\n\n\n\n
                  \n
                • Recursos Humanos<\/strong>: si el incidente afecta a empleados su rol es esencial y aunque no fuera as\u00ed, deber\u00e1 actuar con el fin de proporcionar la informaci\u00f3n necesaria a los empleados y en su caso, para readaptar y crear planes espec\u00edficos de formaci\u00f3n necesaria que el incidente haya demostrado que puede ser obsoleta.<\/li>\n<\/ul>\n\n\n\n

                  En conclusi\u00f3n, estar preparado para c\u00f3mo actuar en caso de sufrir un incidente de seguridad en tu empresa, representa gran parte del \u00e9xito en su respuesta. Lamentablemente todos estamos expuestos a un incidente de seguridad de muchos tipos, por lo que, adem\u00e1s de tomar las l\u00f3gicas medidas de seguridad, resulta b\u00e1sico centrarnos en aquello qu\u00e9 s\u00ed que depende enteramente de nosotros, y la preparaci\u00f3n es sin duda el primer punto esencial.<\/p>\n\n\n\n

                  Autor: Victor Rosell\u00f3<\/strong>, Abogado.<\/p>\n\n\n\n

                  Si necesitas m\u00e1s informaci\u00f3n, \u00a1contacta con nosotros!:<\/p>\n\n\n\n

                  \n
                  \n

                  <\/p>

                    <\/ul><\/div>\n
                    \n
                    \n\n\n\n\n\n\n\n<\/div>\n