Brecha de Seguridad (y II) Top 3 de Riesgos

RGPD y brecha de seguridad

Se trata de una de las principales novedades introducidas por el Reglamento General de Protección de Datos:

A partir de mayo de 2018, quien trate datos personales y sufra un security breach (una violación o brecha de seguridad) estará obligado a notificarlo.

¿Qué es una brecha de seguridad? Aquí tienes siete ejemplos para que lo tengas más claro.

Obligaciones después de sufrir una brecha de seguridad

¿A quién hay que notificar?

1.- A la autoridad competente (la Agencia Española de Protección de Datos, en España).

  • Plazo: Tan pronto como sea posible, pero en general no más tarde de las 72 horas siguientes a la detección de la brecha de seguridad. (Se puede enviar más tarde, pero justificando por qué).
  • Finalidad de la notificación: Obtener ayuda de la Agencia.

2.- A los sujetos afectados por la brecha de seguridad, si “sus derechos y libertades” se hubieran visto comprometidos por el incidente.

  • Plazo: Esta comunicación debe realizarse tan pronto como sea posible.
  • Finalidad de la notificación: Prevenir a los afectados, proporcionándoles indicaciones específicas para protegerse y minimizar los efectos negativos de la brecha de seguridad: cambiar contraseñas, bloquear cuentas, advertir a otros servicios afectados, y en general comprobar que no ha existido actividad anormal en sus cuentas.

¿tu organización tiene decidido si, ante un ataque ransomware, pagará o no el rescate? Lo dudo.

Riesgos para el responsable del tratamiento.

De menor a mayor:

3.-Tus propios usuarios

A nadie se le escapa que cuando comunicas una cosa de estas a tus usuarios, te puedes quedar sin usuarios. O te pueden reclamar daños y perjuicios. Y encima, como te has “autodenunciado”, una demanda masiva de indemnización tiene pinta de prosperar.

Sin embargo, el demonio está en los detalles: En mi experiencia, si la empresa u organización víctima de una brecha de seguridad se porta decentemente con sus clientes y usuarios, los usuarios tienden a portarse bien con ella.

2.- La inevitable Agencia

Luego está la Agencia. El Reglamento Europeo de Protección de Datos, (art 33.5) dice que no sólo los incidentes notificables, sino todos ellos, tienen que ser documentados. Y que dicha documentación permitirá a la Agencia verificar el cumplimiento de la regulación para brechas de seguridad.

Así que sí, el riesgo de que después del hacker y de los abogados de los afectados, te sacuda la Agencia por no tener las cosas bien hechas,  está ahí.

1.- Nuestra propia parálisis

Pero no obviemos el riesgo mayor y más evidente, del que se advierte por activa y pasiva en las directrices recién publicadas del grupo de trabajo del 29: si por alguna razón no notificas la brecha de seguridad, la sanción es de 10.000.000 de euros o el 2% de la facturación global anual de la sociedad (la más alta).

el riesgo mayor y más evidente es que si por la razón que sea no notificas la brecha de seguridad, la sanción puede llegar a 10.000.000 de euros o el 2% de la facturación global anual de la sociedad (la más alta).

 

Más vale prevenir

Mínimamente debes dotarte de las medidas necesarias, no sólo para prevenir estos problemas, sino sobre todo para detectarlos cuando sucedan.

Y para conocer el perímetro del daño o riesgo producidos (hasta donde ha llegado la intromisión, o si se pueden recuperar los datos accedidos, encriptados, perdidos, etc…).

Esta información es decisiva para determinar si el incidente debe o no ser notificado a Autoridad y afectados. Y en caso afirmativo, será parte de la información que tendrás que notificar en las primeras 72 horas.

El protocolo de respuesta a un data breach de estas características tiene que estar preparado de antemano.

 

Límite 72 horas: El tiempo importa

El protocolo de respuesta a un data breach de estas características tiene que estar preparado de antemano.

Por ejemplo: tu organización tiene decidido si, ante un ataque ransomware, ¿pagará o no el rescate?.

El consejo obvio aquí es que no, pero muchas veces, a la fuerza ahorcan, así que… si es que sí… ¿hay alguien en la organización que tenga una remota idea de como comprar criptomoneda rapidito? ¿o quizá no?

La primera hoja afeita, la segunda apura

En el menor tiempo posible se debe determinar el perímetro de daño y la vía de entrada del atacante.

Una respuesta adecuada y rápida requiere un doble apoyo jurídico y técnico especializado.

Este doble apoyo debe ser contratado de antemano: sólo así será realmente eficaz.

  • Los abogados colaborarán en la determinación de las comunicaciones necesarias, la información a suministrar y el tono del mensaje.
  • Los técnicos habrán hecho ya un trabajo preventivo que permitirá conocer las circunstancias del ataque de forma rápida.
  • Podrán limitar en la medida de lo posible el daño producido, sin destruir evidencias que puedan identificar al responsable del incidente.
  • Podrán preconstituir una prueba forensic adecuada, susceptible de ser utilizada posteriormente para limitar responsabilidades. O exigirlas.

Pero es que, además, en esas –difíciles- horas posteriores a la detección de un data breach, no te vas a encontrar en las mejores circunstancias para encontrar un profesional de garantías disponible. Ni, si lo encuentras, de negociar una tarifa competitiva por una asesoría en la que te juegas la hijuela.

Buena semana.

Jorge García Herrero. Abogado.

Foto: Head in Hands by Alex Proimos. Utilizada según licencia Creative Commons (CC BY-NC 2.0).