As¨ª deben actuar las empresas si hay una brecha de seguridad

La Agencia Espa?ola de Protecci¨®n de Datos (AEPD) present¨® ayer en Madrid la?Gu¨ªa para la gesti¨®n y notificaci¨®n de brechas de seguridad para empresas. Se dirige, sobre todo, a compa?¨ªas que tramitan datos personales que pueden da?ar los derechos y libertades de las personas f¨ªsicas. El documento, elaborado en colaboraci¨®n con el Centro Criptol¨®gico Nacional (CCN), ISMS F¨®rum e INCIBE, Instituto Nacional de Ciberseguridad, indica a las compa?¨ªas c¨®mo notificar las incidencias con este tipo de informaci¨®n, algo obligatorio desde la entrada en vigor de la nueva ley de protecci¨®n de datos el pasado 25 de mayo.

M¨¢s informaci¨®n

El experto que todas las empresas quieren (y c¨®mo serlo)

Desprotecci¨®n de datos

Lo firmamos todo

Las herramientas publicadas se dirigen a "evitar las brechas de seguridad y, cuando no sea posible, minimizar sus da?os", explica Alberto Hern¨¢ndez, director de INCIBE. Estas quiebras son "incidentes que ocasionan la destrucci¨®n, p¨¦rdida o alteraci¨®n de datos personales", seg¨²n el Reglamento General de Protecci¨®n de Datos (RGPD). La gu¨ªa tambi¨¦n tiene como objetivo "ofrecer una v¨ªa de seguridad a las empresas en un momento muy delicado en el que hay mucha desinformaci¨®n", seg¨²n explicaba en rueda de prensa la directora de la AEPD, Mar Espa?a.

La responsable de la agencia ha destacado el deseo de la AEPD por "pasar de una cultura reactiva a otra m¨¢s preventiva" mediante una gu¨ªa pr¨¢ctica que se anticipa a posibles problemas y herramientas de detecci¨®n temprana para que las empresas puedan gestionar sus incidentes. Desde la entrada en vigor de la nueva ley de protecci¨®n de datos el 25 de mayo de 2018, todas las empresas que gestionan informaci¨®n personal deben notificar a la AEPD cualquier incidencia de seguridad en un plazo de 72 horas desde el conocimiento de la misma.

La agencia considera el documento como una gran ayuda para las compa?¨ªas porque "tardan una media de entre dos y tres meses para darse cuenta de que hay un problema", subraya Carlos S¨¢iz, director del ISMS F¨®rum, la Asociaci¨®n Espa?ola para el Fomento de la Seguridad de la Informaci¨®n. De hecho, "no est¨¢n mostrando resistencia a notificar sus incidentes; al contrario, vemos que lo hacen r¨¢pidamente para comunicar que est¨¢n trabajando en ello", se?ala el responsable. Desde el 25 de mayo, la AEPD ha recibido 37 notificaciones de incidencias en su seguridad, "ninguna cr¨ªtica", recalca Andr¨¦s Calvo, coordinador de la Unidad de Evaluaci¨®n y Estudios Tecnol¨®gicos de la agencia.

La AEPD ha recibido 37 notificaciones de incidencias en su seguridad, "ninguna cr¨ªtica"

Para reconocer un incidente en materia de privacidad, la agencia recomienda contemplar s¨ªntomas como la saturaci¨®n y ralentizaci¨®n de la red, as¨ª como disponer de sistemas de alerta. "Una vez detectada, anotamos el problema en el registro de brechas de la AEPD y la clasificamos", explica Calvo. Estas incidencias pueden suponer un nivel m¨¢s alto o m¨¢s bajo de riesgo y repercutir en mayor o menor medida sobre los derechos y libertades. Adem¨¢s, pueden impactar m¨¢s o menos en el negocio de la empresa y tener un origen externo o interno; este ¨²ltimo, normalmente, "es mucho m¨¢s dif¨ªcil de gestionar", comenta el coordinador. Un vez detectada, clasificada y notificada la brecha a trav¨¦s del portal digital de la AEPD, "es posible recuperar la tranquilidad".

Si la brecha de seguridad entra?a un alto riesgo para los derechos y libertades, es obligatorio informar, adem¨¢s de a la agencia p¨²blica del problema, a las personas afectadas, "con un lenguaje claro y sencillo y de forma concisa y transparente", recalca el RGPD. "Lo considero un proyecto positivo, en primer lugar, por crear certidumbre en un marco repleto de novedades, incluso para los que llevamos a?os trabajando en esto", recalca Carlos S¨¢iz: "Segundo, porque hay que proteger los intereses p¨²blicos y privados, y sobre todo los derechos de las personas".