Cómo gestionar brechas de seguridad en tu empresa

El entorno digital ofrece muchas ventajas a nuestros negocios, pero también nos enfrenta a nuevos retos en materia de seguridad.

De hecho, el actual Reglamento General de Protección de Datos (GDPR/RGPD) y el uso de nuevas tecnologías hacen que las empresas puedan verse afectadas de forma permanente por las brechas de seguridad, es decir, por incidentes que afectan a los datos de carácter personal de sus clientes y cuyo origen puede ser intencionado o accidental.

Según datos de la Agencia Española de la Protección de Datos (AEPD), en 2021 se notificaron 1.647 brechas de seguridad en España, un 20,2% más que en 2020, una tendencia al alza que se mantiene en 2022.

Pongamos un ejemplo práctico: imagina que entra un virus en tu ordenador y que eso supone una pérdida de información relacionada con los datos de tus clientes. ¿Sabes cómo debes actuar?

¿Qué es una brecha de seguridad informática?

Según la Agencia Española de Protección de Datos (AEPD), una brecha de seguridad es “un incidente de seguridad que afecta a datos de carácter personal” y que puede provocar la “destrucción, pérdida, alteración, comunicación o acceso no autorizada de datos personales”.

Por otra parte, el Reglamento General de Protección de Datos europeo (RPGD) define la brecha digital como “toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.

Las formas en las que se pueden producir las brechas de seguridad en las empresas son numerosas, y van desde una modificación no autorizada de la base de datos a la destrucción de copias de seguridad pasando por los diferentes tipos de ciberataques.

De forma genérica, y en función de su grado de peligrosidad podemos distinguir entre:

• Brecha de confidencialidad. Se trata de accesos a la información de nuestros clientes no autorizados o sin un propósito legítimo.
• Brecha de integridad. Cuando el objetivo es alterar la información original y sustituirla por otra.
• Brecha de disponibilidad. En estos casos, el ataque busca impedir el acceso de los datos de los clientes de la empresa, de manera temporal o permanente.

→ Te interesa: La importancia de las copias de seguridad hoy en día.

¿Qué ocurre si detecto una brecha de seguridad que afecta a la protección de datos de mis clientes?

En el año 2018, la AEPD publicó su “Guía para la notificación de brechas de datos personales“, guía que se ha actualizado en varias ocasiones, la última en 2021. Este documento está centrado en los casos en los que las brechas de seguridad RGPD afectan a los derechos y libertades fundamentales de las personas.

Ante este tipo de incidencias en nuestra empresa, debemos seguir estos pasos:

1. Contención. El primer paso para gestionar una brecha de seguridad es contenerla, es decir, tomar decisiones rápidas y progresivas que aíslen la redes y deshabiliten funciones, limitando cualquier movimiento o expansión del incidente.
2. Solución/ Erradicación. Después, es necesario solventar determinados efectos del incidente de seguridad, como eliminar un malware o desactivar las cuentas de usuario vulneradas.
3. Recuperación. Una vez solucionada la brecha de seguridad, se deberá confirmar el funcionamiento normal de las actividades afectadas.

Una vez retomada la actividad, procederemos a:

• Registrar la incidencia. Es decir, realizar un informe donde se recojan el lugar, día y hora de detección de la violación de seguridad.
• Valorar el alcance de la brecha de seguridad. O lo que es lo mismo, comprobar qué sistemas, datos y equipos pueden verse afectados por la brecha de seguridad, especialmente si alguno de ellos ha sido usado para el ataque. También debemos corroborar si la brecha ha afectado a un único equipo o a toda la red de la compañía.
• Notificar la brecha de seguridad a la autoridad de control. La notificación a la AEPD debe hacerse en un plazo máximo de 72 horas. Para ello, es necesario cumplimentar un formulario estándar en el cual se incluirá la naturaleza de la violación, el tipo de datos, los interesados afectados, las medidas impuestas para resolver la situación y las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados.
• Informar a las personas afectadas. Si la brecha de seguridad de protección de datos entraña un riesgo alto para las personas afectadas, tendremos que comunicárselo a la menor brevedad posible. En cualquier caso, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales esta comunicación no es obligatoria (por ejemplo, si se han tomado medidas técnicas antes de la violación como el cifrado de datos).

¿Qué hacer tras detectar y notificar la brecha de seguridad?

Una vez hemos comprobado que existe una brecha de seguridad y lo hayamos comunicado de la manera y los tiempos oportunos, debemos realizar una serie de actuaciones específicas, entre ellas:

• Contratar a un experto en informática forense.
• Adoptar medidas procesales.
• Realizar un informe final sobre la brecha de seguridad.
• Hacer un informe sobre las acciones que vamos a tomar para cerrar la brecha de seguridad.

Todos los negocios deben mantener un registro documental de aquellos incidentes de seguridad que afecten a los datos de sus clientes, detallando el tipo de incidente, la descripción del mismo, la gravedad y las medidas adoptadas para su resolución.

Algunas de las acciones básicas para prevenir estas brechas de seguridad en el futuro son:

• No ofrecer información personal sin la corroboración de estar seguros.
• Usar contraseñas seguras.
• Apostar por la doble verificación para el acceso a datos personales.
• Realizar copias de seguridad periódicas.
• Actualizar los sistemas.
• Utilizar el cifrado de dispositivos.

Como has podido ver, si tu empresa sufre una brecha de seguridad, es imprescindible que se tomen las medidas necesarias para ponerle solución de la forma más rápida posible. Esperamos haberte ayudado a entender cómo gestionar esas brechas de seguridad.

Francisco Moya

Francisco Moya es Consultor de Marketing Digital en Clavei, especialista en eCommerce y Marketing Online con una amplia experiencia en la dirección de proyectos de marketing digital, diseño y desarrollo web. Desarrolla diferentes tareas relacionadas con el marketing digital. Desde el punto de vista estratégico, desarrolla de planes de marketing digital, estrategias de redes sociales, etc. Desde un punto de vista táctico, realización de campañas de SEM y SMM, generación de contenido, etc.