Servicios de protección de datos en Rivas Vaciamadrid

Compruébelo usted mismo, LLáMENOS 925 366 897

¿CÓMO GESTIONAR LAS INDICIDENCIAS Y LAS BRECHAS DE SEGURIDAD?

10. PROCEDIMIENTOS DE GESTIÓN DE INCIDENCIAS, VIOLACIONES, BRECHAS Y/O QUIEBRAS DE SEGURIDAD

Una quiebra de seguridad también llamada violación o brecha, es cualquier incidencia que suponga la destrucción, pérdida o alteración accidental o fraudulenta de datos personales comunicados, conservados o tratados de otra forma, o la cesión o acceso no autorizados a dichos datos.

Las violaciones de seguridad pueden implicar un impacto negativo sobre la confidencialidad de la información, es decir sobre los accesos no autorizados; sobre la integridad, que se produce cuando se altera la información suponiendo un efecto negativo para los titulares de los datos; y sobre la disponibilidad, lo que supone que los interesados no puedan acceder a sus datos y ello le ocasione un perjuicio.

Las brechas de seguridad definidas por el RGPD son parte de las incidencias de seguridad de la información y algunas de ellas deben ser notificadas a la Agencia Española de Protección de Datos e incluso a los interesados.

El Reglamento de desarrollo de la antigua LOPD, tenía como obligación la de gestionar las incidencias, además de registrarlas y llevar un mantenimiento. Sin embargo, con las nuevas normativas de protección de datos, el RGPD y la LOPDGDD, ya no resulta obligatorio el registro, pero sí que es muy aconsejable para demostrar la responsabilidad proactiva del Responsable.

10.1 Informar al personal de sus obligaciones sobre la gestión de incidencias.
10.2 Formalizar contratos con los ET sobre la gestión de brechas.
10.3 Registro y valoración de las incidencias de seguridad.
10.4 Notificación de las violaciones de seguridad.
10.5 Manual de gestión de incidencias entregable a los usuarios.
10.6 Sanciones por gestiones deficientes de las violaciones de seguridad.

10.1 Informar al personal de sus obligaciones sobre la gestión de incidencias de seguridad

Las personas que realicen tratamiento de datos personales están obligados a notificar cualquier incidencia que pueda conocer al responsable que hubiera determinado la organización. Se debe comunicar a la mayor brevedad posible, bien al service desk directamente, o bien, al responsable de su departamento.

Se debe informar fehacientemente a los usuarios de la obligación de notificar las incidencias que conozcan, y que de no hacerlo será considerado una falta grave que podrá derivarse en una sanción disciplinaria o en el inicio de acciones legales. Resulta recomendable hacer constar estos extremos en el compromiso de confidencialidad que deben firmar cada uno de los usuarios.

Se debe entregar un manual sobre la gestión de incidencias por parte de los usuarios para que puedan conocer cómo actuar y que puede encontrar en el apartado 10.5.

10.2 Formalizar contratos con los ET sobre la gestión de brechas de seguridad

Se deben formalizar contratos de cesión de datos por cuenta de terceros con los Encargados de Tratamiento que incluya una cláusula sobre la gestión de las violaciones de seguridad.

Esta cláusula debe mencionar que si el Encargado tuviera conocimiento de la existencia de una violación de seguridad deberá notificarla al Responsable sin dilación indebida, no siendo necesario cuando sea improbable que suponga un riesgo para los derechos y libertades de las personas físicas. La notificación deberá documentarse según lo establecido en los art. 33 y 34 del RGPD.

10.3 Registro y valoración de las incidencias de seguridad

Las incidencias que sean comunicadas al departamento encargado de gestionarlas deberán registrarse, incluyendo una descripción de la misma, la fecha, hora y lugar en la que ocurrió, o se detectó, así como el nombre de la persona que la comunica y de aquella que la recibe. Este departamento deberá tomar la iniciativa para conocer el alcance de la incidencia, las categorías de datos, número de registros y número aproximado de interesados a las que ha afectado o puede afectar.

Una vez analizada la incidencia se deberá valorar qué efectos han producido o pueden producirse, así como qué medidas se pueden adoptar para mitigarlos. Las medidas se deben aplicar en la mayor brevedad posible para evitar mayores perjuicios a los interesados.

10.3.1. Herramientas de gestión de incidencias

En organizaciones pequeñas donde ocurren pocas incidencias se puede llevar un control con un registro manual o utilizando de una hoja de cálculo. Sin embargo, en compañías grandes es recomendable utilizar un programa informático específico para la notificación, gestión y resolución de incidencias. El software libre GLPI está diseñado para realizar estas funciones, permitiendo la comunicación de las incidencias por los usuarios al departamento correspondiente, y además también se pueden realizar otras, como la gestión de inventarios o tramitar solicitudes de utilización de determinadas aplicaciones informáticas. Está disponible para su descarga en https://glpi-project.org/es/descargas/, con posibilidad de utilizar la versión cloud y contratar soporte. Los usuarios cuando detecten una incidencia podrán comunicarla a través de esta herramienta al departamento que las gestiona

10.3.2 Valoración de los efectos

A continuación, se debe realizar una valoración de los efectos para conocer si resulta necesario notificarla a la Autoridad de Control y a las personas afectadas. Para ello, se pueden considerar los siguientes criterios orientativos definidos por la AEPD:

Para decidir si se comunica la notificación de la brecha se puede valorar cuantitativamente el riesgo mediante esta fórmula:

R (Riesgo) = P (Volumen) x Impacto (Tipología x Impacto)

Se deberán notificar a la Autoridad de control si se dan estas alguna de estas circunstancias:

  • Que el riesgo resultante sea superior a 20.
  • Que coincidan dos circunstancias cualitativas.

Se deberán notificar a la Autoridad de control si se dan estas alguna de estas circunstancias:

  • Que el riesgo resultante sea superior a 40.
  • Que coincidan dos circunstancias cualitativas.

Ejemplo: Se ha detectado que se ha producido un robo de contraseñas por un atacante desconocido, que otorgaba el acceso a una base de datos con datos identificativos de uno 120.000 clientes. Es posible que el atacante haya descargado la base de datos y se desconoce el uso al cual se destinarán esos datos.

R (Riesgo) = 5 x (1 x 10) = 50

El resultado indica que la brecha debe indicarse a la Autoridad de Control y también a los afectados.

10.4 Notificación de las violaciones de seguridad.

Si la violación de seguridad puede suponer un riesgo para los derechos y libertades de las personas, ésta debe comunicarse a la Autoridad de Control sin dilación indebida y en un máximo de 72 horas tal y como señala el art. 33 del RGPD. En el caso de que se produjera en un tiempo superior deberá indicarse también las causas que han motivado la demora.

La notificación a la Autoridad de Control deberá contener al menos:

  1. Descripción de la violación, categorías de datos, número de registros y número aproximado de afectados.
  2. Datos de contacto del Delegado de Protección de Datos si lo hubiera.
  3. Potenciales efectos.
  4. Medidas que se han adoptado para solucionar los efectos o posibles efectos ocasionados.

Toda violación de seguridad de los datos deberá ser documentada y se deberá incluir su descripción, los efectos que ha ocasionado y las medidas de seguridad que se han dispuesto.

Conforme al art. 34 RGPD, si la violación de seguridad puede suponer un alto riesgo para los derechos y libertades de las personas físicas, ésta debe notificarse a los interesados sin dilación indebida, para que éstos puedan establecer las precauciones que sean oportunas. No será necesario notificarla en estos 3 casos:

  • Que se hayan establecido medidas de seguridad que hicieran ininteligibles los datos personales afectados, como por ejemplo el cifrado con un protocolo seguro.
  • Que se hayan adoptado medidas posteriormente, que garanticen que no exista un alto riesgo para los derechos y libertades de los interesados.
  • Que el esfuerzo para comunicarla fuera desproporcionado. En tal caso se realizarán comunicaciones públicas o medidas similares, siempre que sean efectivas y permitan que los interesados conozcan la información.

La notificación a la Autoridad a los interesados describirá la naturaleza de la violación de seguridad, así como las recomendaciones a seguir por éstos para que mitiguen los posibles efectos negativos. Se deberá utilizar un lenguaje claro y sencillo, y contendrá los apartados b), c) y d) señalados en el art. 33.

Si el Responsable no ha comunicado la violación de seguridad al interesado y la Autoridad de Control hubiera considerado que la violación de seguridad puede suponer un alto riesgo, podrá exigirle que realice la comunicación.

10.5 Manual de gestión de incidencias entregable a los usuarios.

Los usuarios están obligados a comunicar las incidencias que pudieran conocer al departamento encargadas de gestionarlas. La falta de comunicación de una incidencia que fuera conocida por un usuario, será considerada como una infracción contra la seguridad de la información, y podrá derivarse en el inicio de acciones legales por parte del Responsable pudiendo sancionar al usuario e incluso reclamarle indemnizaciones por daños y perjuicios.

Las causas que puedan causar incidencias de seguridad son muy diversas y deben registrarse con el objeto de gestionarlas, notificándolas a la autoridad de control y los interesados si fuera preciso, adoptando medidas de seguridad precisas para mitigarlas, y realizar acciones preventivas evitar que vuelvan a repetirse.
A continuación, se exponen algunas de las incidencias más comunes con el fin de facilitar su identificación por los usuarios:

a) Incidencias relacionadas con el acceso a datos no autorizados:

  • Existencia de equipos con accesos libres sin ningún control de acceso.
  • Comunicación de las contraseñas de acceso a los sistemas a terceros.
  • Existencia de contraseñas inseguras.
  • Existencia de credenciales de acceso a los servicios compartidos sin que esté autorizado por el Responsable.
  • Exposición de contraseñas para que puedan visualizarlas personas sin permiso de acceso a datos.
  • Utilizar las mismas contraseñas en varios dispositivos y aplicaciones.
  • No cambiar la contraseña establecida por defecto para acceder a un servicio.
  • No cambiar la contraseña en el periodo establecido por el Responsable.
  • Robo y filtración de contraseñas.
  • Ausentarse del puesto de trabajo sin activar mecanismos de bloqueo de acceso (salvapantallas con contraseña).
  • Ausentarse de un departamento donde se almacenen datos personales sin cerrarlo con llave.
  • Ausentarse del puesto de trabajo sin cerrar los dispositivos que almacenan datos de carácter personal.
  • No cerrar con llave la puerta abierta del archivo cuando se utiliza.
  • Intentos de accesos a los sistemas de información por usuarios no autorizados.
  • Salir de las aplicaciones informáticas sin cerrar la sesión de usuario.
  • Los documentos y los monitores de los equipos están a la vista de personas no autorizadas.
  • No eliminar los ficheros temporales cuando han dejado de ser útiles.
  • No recoger de manera inmediata las copias de documentos en impresoras compartidas.

b) Incidencias relacionadas con la destrucción y pérdida de datos.

  • Destrucción de datos sin la autorización del Responsable.
  • Destrucción de documentos sin utilizar la trituradora de papel, o bien, sin echarlos al contenedor que ha puesto una empresa homologada de destrucción documental.
  • Borrado inseguro de soportes automatizados.
  • Robo de documentos, soportes y equipamiento informático.
  • Incendios, inundaciones u otras catástrofes.
  • Pérdida de información durante el transporte.

c) Incidencias relacionadas la conservación de datos inadecuada.

  • Ausencia de medidas de seguridad en los locales, rotura de mecanismos de apertura en puertas.
  • Errores en los controles de acceso a los locales.
  • Ausencia de medidas de seguridad en los departamentos, o rotura de mecanismos de apertura en las puertas de acceso.
  • Ausencia de medidas de seguridad en los dispositivos, o rotura de mecanismos de apertura en las puertas de acceso.
  • Inexistencia de un control de llaves.
  • Ausencia de medidas de seguridad en el dispositivo donde se encuentra el servidor o rotura del mecanismo de apertura.
  • Ausencia de medidas de climatización en el armario del servidor o mal funcionamiento.
  • Ausencia de sistemas de alimentación ininterrumpida en equipos cuyo funcionamiento es esencial, o mal funcionamiento.
  • Ausencia de personas encargadas de la gestión del archivo.
  • Almacenamiento de documentos y soportes sin ningún criterio de archivo.
  • Almacenamiento de documentos durante más tiempo del debido.

d) Incidencias relacionadas con el envío y recepción de datos no autorizadas o sin medidas se seguridad.

  • Envíos de comunicaciones publicitarias sin autorización.
  • Enviar correos electrónicos a varios destinatarios sin utilizar la opción de copia oculta.
  • Envío o recepción de documentos confidenciales de manera telemática sin cifrar.
  • No bloquear documentos para que sean manipulados por terceros antes de ser enviados.
  • No utilizar la red VNP en conexiones externas.
  • Utilizar aplicaciones de mensajería instantánea no autorizadas por el responsable.
  • Apertura de archivos de correo electrónico con malware o sospechosos de contenerlo, por ejemplo, advertir caracteres que no son habituales, o redacciones de textos con fallos gramaticales.

e) Incidencias relacionadas con la falta de medidas, o existencia de fallos de seguridad en equipos.

  • Problemas de funcionamiento de los equipos, dispositivos y aplicaciones informáticas.
  • Existencia de software y sistemas operativos sin actualizar.
  • Conocimiento de la existencia de accesos a webs ilícitas.
  • Instalación de software no autorizado en los equipos.
  • Inexistencia de antivirus y firewall en los equipos del usuario, o bien que estén inactivos o desactualizados.
  • Comportamiento extraño de equipo y dispositivos.
  • Alertas o infecciones de malware.
  • Servicios sin acceso.
  • Desinstalación de aplicaciones informáticas.
  • Detección de que el equipo funciona mucho más lento de lo habitual.
  • Conocimiento de que la clave de wifi está siendo utilizada por personas no autorizadas.
  • Inexistencia de copias de seguridad en algún equipos o dispositivos que almacene con datos de carácter personal.
  • La notificación sobre las ejecuciones de copias de seguridad contiene un mensaje que indica que ha fallado.
  • Las copias de seguridad no se ejecutan conforme a los protocolos establecidos.
  • Conocimiento de que no se revisan los protocolos para verificar que las copias de seguridad se realizan correctamente.

f) Incidencias relacionadas con la utilización de soportes y dispositivos.

  • Utilización de dispositivos portátiles fuera de los locales del Responsable sin su autorización.
  • Intentos de entrada y salidas de soportes de los locales del Responsable sin su autorización.
  • Introducir dispositivos automatizados, como pendrives que no estén inventariados ni autorizados a utilizarlos en los sistemas del Responsable.
  • Trasladar soportes sin las medidas de seguridad necesarias, por ejemplo, unidades de almacenamiento sin cifrar.
  • Localización de soportes en lugares sin medidas de protección, o en lugares diferentes a su ubicación correcta.
  • Almacenamiento de información en equipos y dispositivos portátiles sin cifrar, smartphones, tablets, ordenadores portátiles.
  • Destrucción de un soporte que contenga datos personales sin autorización.
  • Localización de soportes y/o documentos en lugares inapropiados.
  • Error en el funcionamiento del soporte o dispositivo.

Estas incidencias podrán ser detectadas por todos los usuarios, sin embargo, otras sólo podrán serlo por el departamento informático que es quien controla las herramientas de seguridad.

A continuación, se exponen algunas de las incidencias que deben ser detectadas por el departamento informático:

  • Alertas generadas por herramientas de detección de intrusos como los IDS, IPS y SIEM.
  • Alertas generadas por herramientas de prevención de fuga de información (DLP).
  • Alertas generadas por los softwares antimalware.
  • Observación de la existencia de consumos excesivos de memoria en los servidores y equipos.
  • Observación de un aumento importante del tráfico de red en horas no habituales.
  • Observación de anomalías en el análisis del firewall.
  • Observación de anomalías en el análisis del proxy.
  • Observación de anomalías entre los eventos de acceso erróneos y las reglas de filtrado de los firewalls corporativos.
  • Análisis del registro de accesos a los equipos y programas informáticos identificando los accesos no autorizados.
  • Análisis de vulnerabilidades de los sistemas de información mediante un escaneo.
  • Comunicaciones de fallos de seguridad realizadas por los prestadores de distintos servicios, como el mantenimiento de equipos, redes y programas informáticos, o servicios de internet y de hosting.
  • Comunicaciones de clientes de fallos de seguridad o del servicio.
  • El departamento informático debería estar al corriente de las comunicaciones públicas de los organismos que se encargan de velar por la ciberseguridad como el Instituto de Ciberseguridad (INCIBE) y el Centro Criptológico Nacional (CNN) con el objeto de prevenir y gestionar determinadas brechas de seguridad. Enlaces de interés:
    • Publicación y suscripción a los boletines de seguridad de INCIBE:
      https://www.incibe.es/search/site/boletines
      https://www.incibe.es/newsletter/subscriptions?opcion=si
    • Publicación de boletines de seguridad de CNN:
      https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert.html

Las incidencias de deberán ser comunicadas por los usuarios al departamento que las gestiona a la mayor brevedad posible mediante el canal habilitado para ello, que puede ser una dirección de correo electrónico, un formulario web y mediante un software de gestión de incidencias. A continuación, se facilita un formulario tipo que contiene la información básica que tiene que suministrar un usuario al departamento de gestión de incidencias.

10.6 Sanciones por gestiones deficientes de las violaciones de seguridad.

El art. 73 de la LOPD-GDD señala que son infracciones graves:

  • El incumplimiento por parte del Encargado de notificar la violación de seguridad al Responsable cuando tuviera conocimiento de la misma.
  • El incumplimiento por parte del Responsable de notificar la violación de seguridad a la Autoridad de Control cuando ello sea obligatorio.
  • El incumplimiento por parte del Responsable de comunicar la violación al interesado cuando ello sea obligatorio.
  • El art. 73 de la LOPD-GDD señala que son infracciones leves:
  • La notificación incompleta, tardía o defectuosa por parte de un Responsable a la autoridad de control.
  • El incumplimiento de la obligación de documentar cualquier violación de seguridad, exigida por el artículo 33.5 del Reglamento (UE) 2016/679.
  • ñ) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados, conforme a lo exigido por el artículo 34 del Reglamento (UE) 2016/679, salvo que resulte de aplicación lo previsto en el artículo 73 s) de esta ley orgánica.

¿Cómo tramitar las notificaciones de violaciones de seguridad a la AEPD?

En la sede electrónica de la AEPD se pueden tramitar directamente las notificaciones de seguridad

A continuación, se relacionan un conjunto de procedimientos de seguridad que contienen medidas que se pueden desarrollar, ampliar o reducir según las necesidades de la empresa. Se pueden tomar como referencia para proteger los ficheros y así poder cumplir con lo señalado en el art. 32 de Reglamento General de Protección de datos (RGPD), que versa sobre la seguridad del tratamiento de datos. Pulse en cada una de ellas para obtener más información.

Procedimientos de Seguridad. Introducción

  1. Procedimientos de gestión de usuarios y control de acceso.
  2. Procedimientos de gestión de contraseñas.
  3. Procedimientos de gestión de soportes.
  4. Procedimientos de seguridad en locales, departamentos y dispositivos físicos.
  5. Procedimientos de ficheros temporales y copias de trabajo de documentos.
  6. Procedimientos de gestión de telecomunicaciones.
  7. Procedimientos de trabajo fuera de los locales.
  8. Procedimientos de protección en equipos, redes y aplicaciones informáticas.
  9. Procedimientos de gestión de copias de seguridad.
  10. Procedimientos de gestión de incidencias.
Rivas Vaciamadrid es una ciudad localizada al Sureste de la provincia de Madrid con una población de 88150 habitantes según datos del INE del año 2019.

Rivas Vaciamadrid tiene varios, entre los que se encuentran:

Polígono Industrial Santa Ana
Polígono Industrial Capanegra
Polígono Industrial La Deseada
Polígono Industrial Los Arenales-El Campillo


Protección de Datos en Rivas Vaciamadrid
Reglamento General de Protección de Datos (RGPD)
Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD).

error: ¡El contenido está protegido!