Les fases d’un incident de seguretat: redactar un Pla de Resposta (I)
Redactar un pla de resposta o, en altres paraules, tenir clar què fer si la nostra empresa pateix un incident de seguretat és bàsic. En aquest post iniciem un conjunt d’articles en els quals tractarem les fases que has de preveure com a empresa en cas de ser víctima d’un incident de seguretat. En un altre post, parlàvem sobre què fer si un incident de seguretat et afecta com a individu.
La realitat és que cada cop més tipus d’empreses (no només les grans) són víctimes d’incidents o violacions de seguretat, i per tant, per desgràcia, poques organitzacions estan exemptes de veure’s afectades en algun moment per un incident de seguretat. Des de filtracions internes de dades fins a atacs externs malintencionats, la casuística no para de créixer a Espanya i és essencial tenir clar com actuar. Avui ens centrem en la primera fase de resposta a un incident de seguretat: “redactar un pla de resposta”.
No obstant això, hi ha una qüestió bàsica prèvia, i és la diferència entre incident i bretxa de seguretat. Un incident de seguretat és un esdeveniment o situació on es veu afectada la confidencialitat, integritat o disponibilitat de les dades personals. Per parlar de brecha, que té conseqüències a nivell de RGPD, ha d’haver-hi, a més, un accés o adquisició no autoritzada d’aquests dades personals.
Disposa d’un registre d’activitats del tractament actualitzat
Un pla de resposta a incidents de seguretat requereix tenir al dia el teu registre d’activitats del tractament, ja que aquest t’ajuda, entre altres coses, a tenir un inventari (o mapa de dades) actualitzat dels tipus de dades que tractes per a un determinat servei, quines aplicacions utilitzes o quins proveïdors (si és el cas) són els afectats per un incident determinat. No tenir el registre d’activitats actualitzat fa més difícil prendre accions un cop l’incident s’ha produït, ja que requereix realitzar una anàlisi que hauria d’estar feta, en qualsevol cas i amb independència d’haver patit o no un incident.
Redacta un pla de resposta a incidents de seguretat
L’experiència ens diu que quan es produeix un incident de seguretat, les presses i les urgències són males conselleres, i el fet de no disposar d’un pla de resposta preestablert sol portar a errors o omissions que poden tenir conseqüències no desitjades. Un pla de resposta ha de contenir unes instruccions clares i concises sobre què fer si patim un incident de seguretat. Aquest pla de resposta ha de ser conegut per aquells que han de participar en la seva implementació en cas necessari. Cada empresa o organització és un món, i per tant, has d’adaptar el pla de resposta al teu cas particular, però malauradament, per petita que sigui la teva empresa, no està exempta de patir un incident de seguretat.
A més del cost econòmic que pot suposar no tenir un pla de resposta adequat per haver de improvisar, per exemple, en la contractació d’experts no previstos, la seva absència pot augmentar el perjudici de sanció per part de l’Agència Espanyola de Protecció de Dades, ja que una absència o una resposta inadequada pot posar de manifest incompliments del RGPD i la LOPD:
- Incompliment del deure de confidencialitat. Infracció molt greu.
- No disposar de mesures de seguretat adequades. Infracció greu.
- No comunicació a l’AEPD o als afectats (si ha estat requerit per l’AEPD) d’una violació de seguretat. Infracció greu.
- La comunicació incompleta, tardana o defectuosa d’una violació de seguretat a l’AEPD. Infracció lleu.
- Falta de documentació d’una incidència de seguretat. Infracció lleu.
- Falta de comunicació d’una incidència de seguretat als afectats. Infracció lleu.
Qui ha de conèixer el pla de resposta?
Les persones o departaments que han d’intervenir en cas de patir un incident de seguretat i que per tant han de conèixer el pla de resposta variaran en funció de la mida de l’organització, però en general, els següents departaments o persones tindran indiscutiblement un rol a desenvolupar:
- Delegat de Protecció de Dades: en cas que el tinguis designat, haurà de tenir accés al registre d’activitats del tractament, amb la finalitat d’identificar de manera ràpida quins recursos s’han vist afectats per l’incident. També tindrà un paper essencial en la comunicació de la brecha a l’Autoritat de Protecció de Dades competent.
- Gerència o CEO: en grans crisis ocasionades per incidents de seguretat, el rol de la gerència o del CEO ha de marcar l’acció de la resta de l’organització, per la qual cosa la seva resposta resulta fonamental per a la resta de departaments i persones de l’empresa.
- Departament de màrqueting o d’atenció al client: depèn habitualment de ells la comunicació de l’incident als afectats. S’ha de pensar no només en la comunicació, sinó en què passarà si els afectats sol·liciten més informació sobre l’incident: no poden rebre respostes contradictòries de diferents interlocutors.
- Legal: l’equip jurídic coneix els requeriments legals en cas d’una brecha de seguretat, ja que el seu rol serà essencial per decidir si procedeix o no la comunicació de l’incident a les autoritats competents. També han de conèixer les responsabilitats contractuals adquirides, per exemple, per proveïdors de serveis involucrats en l’incident.
- Finances: haurà de calcular l’impacte econòmic que pot tenir l’incident en l’organització i, si escau, buscar o desbloquejar els fons necessaris per mitigar els seus efectes adversos.
- IT o Seguretat de la informació: desenvoluparà un paper bàsic en la investigació de l’incident amb l’objectiu principal d’aïllar-lo, eliminar-lo i preservar els sistemes afectats.
- Recursos Humans: si l’incident afecta empleats, el seu rol és essencial i, encara que no fos així, haurà d’actuar per proporcionar la informació necessària als empleats i, si cal, per readaptar i crear plans específics de formació que l’incident hagi demostrat que poden ser obsolets.
En conclusió, estar preparat per saber com actuar en cas de patir un incident de seguretat a la teva empresa representa una gran part de l’èxit en la seva resposta. Malauradament, tots estem exposats a un incident de seguretat de molts tipus, per la qual cosa, a més de prendre les lògiques mesures de seguretat, resulta bàsic centrar-nos en allò que sí que depèn enterament de nosaltres, i la preparació és sens dubte el primer punt essencial.
Autor: Victor Roselló, Advocat.
Si necessites més informació, contacta amb nosaltres!
Informació sobre protecció de dades
Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Butlletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentiment.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
Més informació
Consulta la Política de Privacitat.