SYSTEM HACKED – BRECHA DE SEGURIDAD

Hoy hablamos sobre “Brechas de Seguridad”, un tema candente dada su repercusión mediática y económica. Recientemente se ha publicado la última sanción interpuesta por la Agencia Española de Protección de Datos (en adelante, AEPD), y ésta ha ascendido a 6.000.000 de euros.

Empezando por el principio, ¿qué son las brechas de seguridad?

Según la AEPD: “Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales”.

¿Es sancionable?

Sí. Y mucho. El artículo 83.4 y 83.5 del Reglamento General de Protección de Datos (en adelante, RGPD) establece los límites de las sanciones, que pueden llegar a ser de hasta 20 millones de euros. Veamos:

4.Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

5.Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

En resumen, las sanciones pueden llegar a ser de:

  • 10.000.000 € o cuantía equivalente al 2% de tu volumen de negocio total anual global.
  • 20.000.000 € o cuantía equivalente al 4% de tu volumen de negocio total anual global.

El RGPD habla de cuantías económicas que como vemos son bastante dañinas para un negocio, por no hablar de mortales.

Entonces… ¿A qué se debe esta repercusión mediática y económica?

La económica es evidente, pero cuando una empresa quebranta a estos niveles el RGPD no sólo se puede ver obligada a desembolsar semejantes cuantías, sino que puede ver muy afectada su reputación.

Pasemos ahora de la catástrofe a la solución, que la hay… (Se llama E-Linois 😉).

Retomando el significado de Brecha de Seguridad, esta es un incidente de seguridad que afecta a datos de carácter personal. En efecto, hablamos de Datos y hablamos de Personas, por lo tanto, hablaremos de Brecha de Seguridad cuando, por motivos intencionados o no, aquellos datos personales que tratemos se vean afectados de alguna forma, destruyéndose, alterándose o difundiéndose indebidamente, entre otras como hemos visto al inicio de este post.

Las empresas cuentan con ficheros de clientes, en papel o digital, con un contenido mínimo que estaría formado por el nombre y apellido, DNI y el servicio o producto que ha adquirido de nosotros (evidentemente, este tipo de datos entraña menos riesgo que, por ejemplo, datos relativos a la salud).

¿Cuál es el primer paso necesario para una empresa? Conocer la tipología de datos que trata y su flujo.

Cuando hablamos de flujo, nos estamos refiriendo a la “ruta” que siguen esos datos, desde que los obtenemos (los obtengo de la persona directamente, me los transfiere un tercero, los accedo de una empresa a la que le presto un servicio…), por dónde pasan (tengo un fichero en papel, tengo un software donde los almaceno…), durante cuánto tiempo están en mi poder, y si salen de mis ficheros, ¿a dónde y por qué?

Parece una analítica simple, ¿no? Lo cierto es que no lo es, y menos en la era digital en que vivimos. ¿Qué pasa si tengo un servidor cloud (en la nube)? ¿Tengo realmente controlados esos datos? Y de mi software, ¿tengo garantía de que es Ciberseguro? O, ¿un hacker podría llegar a entrar?

Bueno, pues para dar respuesta y cuidar de todos estos factores existe la figura del Data Protection Officer que, como su propio nombre indica, es el encargado de proteger los datos en una empresa.

¿Es suficiente un Data Protection Officer para que no se genere una Brecha de Seguridad?

Nuestra experiencia nos dice que no. El Data Protection Officer debe ir bien acompañado de un Responsable de Sistemas y tener conocimientos profundos en la materia, pero ojo, no solo en la norma, si realmente quiere hacerlo bien, el Data Protection Officer será además un buen especialista en Datos a nivel digital, recordemos que ya en un post vislumbramos lo que es el Big Data, las famosas cookies, etc.

¿El Data Protection Officer es la única herramienta que tenemos para que los datos sean seguros y lo más importante, dar garantía de que lo son?

Sí y no. El Data Protection Officer es una gran garantía y, en ocasiones (las establecidas por el RGPD) una obligación para la empresa, pero existe un sello de garantía mayor y que además ayudará mucho al Data Protection Officer a controlar y cerciorarse de que los datos que están bajo su protección están seguros, hablamos aquí de la Seguridad de la Información y para ello tenemos la ISO 27001 (próximamente, como en Netflix, nos llega el segundo capítulo de la norma… la ISO 27002).

¿Qué es la norma ISO 27001? Veamos su definición.

ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.​

Traducido: Es una norma que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido “Ciclo de Deming”: PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).

Para implantar una Norma ISO 27001 se precisa de un especialista en la norma, que además conozca la norma vigente en materia de Protección de Datos, que además se sepa manejar con los Datos y con el sistema (Responsable de Sistemas y Data Scientist son buenos perfiles para ello) y que además sepa manejarse en el Análisis de Riesgos (es lo primero que nos va a pedir el auditor para detectar si cumplimos con los controles de la norma y si sabemos qué riesgos tenemos en la empresa para que se cause la Brecha de la que hablábamos al principio y cómo mitigarlos, en otras palabras, reducirlos).

No es una cuestión baladí como podemos ver, ah y un añadido, cada vez son más los pliegos de concursos públicos que descartan a licitadores por no disponer de este certificado, pues como podemos ver, una buena implantación y seguimiento permite controlar la seguridad de nuestra información y de nuestro tratamiento de datos y eso supone una garantía para nuestros clientes de que lo haremos bien.

Por ello…

¿Por qué optar por varios profesionales cuando E-Linois puede poner a tu disposición a un profesional que es a su vez Data Protection Officer, Data Scientist y Especialista En ISO 27001?

Anímate y no dudes en llamarnos y obtener más información sobre cómo trabajamos en esta materia cada vez más en auge.

Escrito por

Data Protection Officer - Máster Executive en Big Data Science - Compliance Officer

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s