La AEPD publica una guía para gestionar y notificar las brechas de ciberseguridad

El Reglamento General de Protección de Datos (RGPD), plenamente vigente desde el pasado 25 de mayo, ha introducido la obligatoriedad de notificar a la Agencia Española de Protección de Datos (AEPD), en un plazo máximo de 72 horas, todas aquellas brechas de seguridad que puedan producirse en el seno de las organizaciones, siempre que exista "riesgo para los derechos y libertades de las personas físicas".

Se trata, sin embargo, de un asunto extremadamente sensible para las empresas. Y no solo por el perjuicio que les puede causar la pérdida de información (o el uso que los ciberdelincuentes quieran hacer con ella, como extorsionar a la compañía para recuperarla), sino por los riesgos reputacionales que conlleva el conocimiento por parte de la opinión pública de una brecha en la seguridad de la organización.

El problema que presenta la actual normativa, es que la empresa que notifica una brecha, puede verse sancionada por las autoridades de privacidad si comprueban que no había adoptado las medidas suficientes para proteger los datos personales obtenidos. El peligro de ser multada puede provocar que alguna compañía se vea tentadas a mantener en secreto sus ciberincidentes.

Para atajar esta preocupación, la directora de la AEPD, Mar España, ha recordado que "la notificación no implica necesariamente la apertura de un procedimiento sancionador; este solo tendrá lugar si se advierte negligencia o la ausencia de las medidas mínimas necesarias de seguridad". Además, ha advertido que "la buena fe será un criterio agravante o atenuante" en la cuantificación de las multas, por lo que, de advertirse que se ha ocultado "conscientemente" una violación de los datos personales, esta actuación correrá en perjuicio de la empresa.

La guía recomienda a las empresas un protocolo de actuación dividido en seis pasos.

1. Preparación

En primer lugar, todas las empresas deben tomar conciencia de que nadie está libre de riesgos en la red, por lo que la preparación ante un incidente de mayor o menor grado es imprescindible. El objetivo es poder dar una respuesta "rápida, ordenada y eficaz", que minimice el impacto para la propia organización y para los afectados (los titulares de los datos). La improvisación conducirá, con una altísima probabilidad, a la toma de malas decisiones.

Los procedimientos de respuesta a incidentes, que son obligatorios en algunos casos, deben tener claramente establecido cómo se procederá ante una brecha de seguridad.

2. Detección de identificación

Durante la fase de detección e identificación se deben concretar qué situaciones se consideran incidentes de seguridad, así como las herramientas, mecanismos de detección y sistemas de alerta con los que cuenta el responsable. Además, debe existir un procedimiento de análisis de la información que proporcionen dichos sistemas. El momento en que se detecta e identifica la brecha es especialmente relevante, porque el RGPD da 72 horas al responsable del tratamiento para la notificación a la AEPD. En determinados casos, también deberá notificarse a los afectados.

Tras recabar toda la información necesaria, la organización deberá determinar si realmente está ante un incidente de seguridad informática o no, y su gravedad, para saber si, efectivamente, constituye una "brecha de los datos de carácter personal" que recoge el RGPD. La Guía recomienda realizar un registro documental de todos los pasos que se dan y la información que se recabe. Es importante destacar que no todas las fases tienen por qué darse de manera sucesiva, pudiendo algunas de ellas desarrollarse de modo simultáneo. 

3. Clasificación

Existe una serie de factores que permitirán clasificar el incidente, como son el tipo de amenaza (código dañino, fraude, etc.), el origen de la misma (interna o externa), los usuarios afectados, el número y tipología de sistemas atacados, categoría de los sistemas y datos involucrados, etc..

Con esos datos y atendiendo al tipo de ataque sufrido, se pueden dar varios tipos de brechas de seguridad. La de confidencialidad se produce cuando terceros no autorizados acceden a información. La de integridad conlleva la alteración o sustitución de la información original. Y, finalmente, la de disponibilidad supone la imposibilidad de acceder a los datos originales cuando es necesario.

4. Plan de actuación

De la información recabada y la clasificación realizada dependerá el plan de actuación de la organización. En el mismo deberán intervenir el responsable del tratamiento, que podrá, además, contar con el asesoramiento de terceros o delegar la gestión de las brechas de seguridad; el delegado de protección de datos (DPO); y la autoridad de control competente (en el caso de España, la AEPD).

En la primera parte de esta fase, se pueden poner en marcha una serie de medidas de contención (para limitar los daños) y puede valorarse una posible notificación temprana a la autoridad de control y a los afectados. Posteriormente, se activará el proceso de respuesta y, si no se ha hecho antes, el de notificación. Las medidas de esta segunda fase consistirán en erradicar la infección (eliminar el malware o desactivar las cuentas de usuario vulneradas) y proceder al restablecimiento del funcionamiento normal del servicio.

5. Notificación

El Reglamento determina que, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de seguridad, sin dilación y, a más tardar, en las 72 horas siguientes a tener constancia, debe notificarlo a la autoridad de control. La Guía ofrece un modelo para que las empresas puedan cumplimentar esta comunicación que contendrá, entre otros requisitos, datos identificativos de la organización y sus responsables, y una descripción detallada de las circunstancias del incidente.

Si en el momento de la notificación no se dispone de toda la información, esta podrá facilitarse posteriormente, de manera gradual en distintas fases. Si la comunicación no ha sido posible en 72 horas, esta deberá hacerse igualmente cuando las circunstancias lo permitan. En este punto, la AEPD reclama "sentido común" y que las organizaciones tengan claro que el primer objetivo, tras detectar una brecha, es adoptar las medidas de seguridad necesarias. La notificación en ningún caso debe frenar o detener la respuesta al ciberataque.

6. Mejora continua

La Guía subraya la necesidad de que se documente todo el proceso de respuesta, no solo ante las comunicaciones del incidente que haya que hacer, sino también para elaborar un informe propio de respuesta que permita extraer conclusiones y elaborar ejercicios de lecciones aprendidas.