• No se han encontrado resultados

Descargar

N/A
N/A
Info
Descargar
Protected

Academic year: 2023

Share "Descargar"

Copied!
96
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 96 página )

Texto completo

Si no se toman las medidas adecuadas a tiempo, las violaciones de datos personales pueden resultar en daños y perjuicios a las personas físicas; Responderemos que no. Por lo tanto, la mejor planificación y gestión que podamos hacer de las filtraciones de datos personales en nuestras organizaciones se realizará cumpliendo y demostrando el cumplimiento del RGPD, nuestra responsabilidad obligatoria.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 0

Definición de incidente de seguridad

Hemos observado cierta mala interpretación del artículo 34 del RGPD y los efectos que tiene su no aplicación en la documentación de incidentes de seguridad y privacidad en las organizaciones. Una vez que conocemos el concepto y las obligaciones que conlleva, la organización debe tener su propia definición de gestión de incidentes y gestión de violaciones de datos personales y operacionalizarla al máximo con casos de uso y escenarios extraídos de su propia realidad o sectores relacionados.

Documentación sistemática de los problemas e incidentes

No podemos decir que algo ha sido gestionado a menos que conste en algún lugar y no haya pruebas de ello. No debemos confundir nuestras obligaciones de notificar a los afectados con nuestras obligaciones de documentar internamente cualquier incidente de seguridad. Siempre se debe realizar un análisis y valoración del riesgo para los afectados, valorando las medidas de seguridad que existían, las adoptadas, el número de afectados, pero sobre todo su gravedad, es decir, cómo puede afectar a derechos y libertades.

Definamos escenarios

La AEPD explica que, aunque no hay un plazo establecido para realizar los análisis de riesgos, estos deben realizarse con la máxima celeridad y diligencia y aplicando un enfoque de "contingencia" y por lo tanto no conviene no retrasar la notificación de un posible incumplimiento porque tener un análisis de riesgos que sigue y sigue a la espera de pruebas y respuestas de terceros. [ GUÍA PRÁCTICA ] PARA LA GESTIÓN DE DATOS PERSONALES 13 En este sentido, nuestra recomendación es que reproduzcamos la filosofía típica con la que se abordan los planes.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 13En este sentido, nuestra recomendación es que reproduzcamos la típica filosofía con que se abordan los planes

Descripción de los escenarios/casos de uso

Audiencia de expedientes sancionadores en toda Europa2 así como publicaciones de expedientes sancionadores de la propia AEPD. Una vez definido el plan de usuario de brecha de datos personales en la organización, debemos especificar quién es el responsable de gestionarlo.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES

Protocolos internos

Asignación de roles y responsabilidades. Áreas implicadas

Otras primeras líneas de defensa: sin duda, todas las líneas de defensa intervienen en la gestión temprana de un incidente de seguridad. Para anticiparnos a los incidentes de seguridad, la gestión de riesgos es clave desde el principio.

Puesta a prueba de los protocolos

Como ya comentamos al inicio de este apartado, hemos percibido la planificación de la gestión de brechas de seguridad de los datos personales como un área que merece ser incorporada como parte de los procesos habituales de Gestión de Contingencias TI o Planes de Continuidad de Negocio de la empresa. . Esto significa que se descubren puntos de mejora, especialmente en lo que respecta al conocimiento del Gap Management en las organizaciones.

GESTIONA

Equipo de trabajo

Clasificación de la brecha de seguridad: con toda la información proporcionada por las herramientas de detección y toda la información adicional recopilada, es importante realizar una clasificación precisa del incidente de seguridad. Las acciones a tomar durante los procesos de gestión y notificación dependerán de la clasificación del incidente de seguridad.

Fases de la gestión de la brecha de datos personales

  • Activación del plan

Asesores externos: En algunos casos será necesario fortalecer la posición de la empresa contratando asesores externos, a quienes se les brindará toda la información de manera coordinada y ordenada, facilitando su trabajo. Recopilación y análisis de información relacionada con la brecha: la mayoría de incidentes relacionados con la protección de datos en la actualidad tendrán un importante componente tecnológico, en el que la información procedente de herramientas automatizadas será la base para el posterior análisis del incidente.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 23

Contención del incidente

La planificación de la respuesta a incidentes debe establecer un plazo para llevar a cabo las tareas de erradicación. Ha mirado si el mapa de riesgos considera la amenaza que provocó la brecha de seguridad.

Recuperación

Un momento crucial en el ciclo de vida de un incidente de seguridad es la decisión de si es necesario o no denunciar una violación de datos personales a la Autoridad de Control. No es necesario informar a la Autoridad de Supervisión de todas las violaciones de datos personales. No olvidemos que la AEPD, en su propia Guía para la Notificación de Violaciones de Datos Personales, recuerda que: “la violación será notificada cuando sea probable que la misma suponga un riesgo para los derechos y libertades de las personas”.

NOTIFICA

Notifica a la AEPD

Por otro lado, frente al espacio y detalle que la citada guía de la AEPD dedica a la notificación a la autoridad de control, mucho menos se reserva a la comunicación a los afectados. De acuerdo con el citado artículo 34 del RGPD, para evaluar la comunicación debemos tener en cuenta el alto riesgo para los derechos y libertades de los afectados como combinación de la probabilidad de acontecimientos que tengan un efecto negativo sobre ellos y el impacto o gravedad que tendría en ese caso.

Comunica a las personas físicas afectadas

Sin perder este enfoque, la evaluación tendrá en cuenta varias variables clave, que hemos tomado de la experiencia de violaciones de datos personales que hemos evaluado en nuestras organizaciones, y de la base teórica que aporta el informe de ENISA “Recomendaciones para una metodología de evaluación de la gravedad de las violaciones de datos personales” de diciembre de 2013 y el artículo 3.2 del Reglamento 611/2013 que proporciona guías de presentación de informes para el sector de servicios de comunicaciones electrónicas. El no repudio o la verificabilidad es otra nueva dimensión que surge del deber de diligencia, donde la carga de la prueba ahora recae en las empresas.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 31

Formas y plazos para comunicar

Toda comunicación con los afectados debe tener un contenido mínimo detallando lo sucedido. Descripción del incidente, cuándo ocurrió, posibles consecuencias para los interesados, etc.

Contenido de la comunicación a los afectados

Una descripción de las medidas adoptadas hasta el momento para controlar posibles daños y cualquier otra información que pueda ser de utilidad y se esté implementando. Además, se deberán facilitar los datos de contacto de DPD o, en su caso, de un punto de contacto donde poder obtener más información.

Supuestos de no comunicación a afectados

Si tras el pertinente análisis fuera necesario realizar una notificación, pero se previera que la comunicación con el afectado pueda poner en peligro el resultado de una investigación en curso, la comunicación siempre podrá aplazarse bajo la supervisión de la Autoridad de Control. DIRECTRICES [ PRÁCTICAS ] PARA LA GESTIÓN DE DEFICIENCIAS DE DATOS PERSONALES 37 Asimismo, no será necesario notificar a los afectados cuando-.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 37Asimismo, no será necesaria la comunicación a los afectados cuan-

Elaboración de un informe final, recopilando y explicando la vulneración de datos sufrida y poniéndolo a disposición de la autoridad de control; Análisis de las lecciones aprendidas tras las violaciones de datos personales experimentadas, permitiendo retroalimentación al departamento de planificación con posibles mejoras; cómo gestionar y qué considerar en esta etapa.

RESUELVE

Otros reguladores

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES40

Personas físicas afectadas

Impacto público

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALESSabes que si hay una sanción tras la brecha se hará pública en el portal de la

Comunicación interna: dirección, empleados, accionistas y socios

La comunicación interna es muy importante porque demostrará la gestión de la privacidad en esa empresa. Especial cuidado con la circulación de información sobre un incumplimiento dentro de las organizaciones, o el detalle que de él pueda significar o provocar.

Informe final

En este sentido, y a modo de ejemplo, se adjunta como modelo un informe final sobre cómo cerrar la brecha. Finalmente se debe generar algún tipo de plan de medidas y seguimiento, el cual se implementará luego del incidente, el cual se seguirá dentro de los procesos o foros generales de la empresa.

PROTOCOLOS INTERNOS

  • ANTECEDENTES
  • IDENTIFICACIÓN DE IMPLICADOS 1. Responsable del Tratamiento
  • SOBRE EL INCIDENTE 1 Descripción
  • ACCIONES Y/O MEDIDAS ANTERIORES AL INCIDENTE 1. Registro de Actividades de Tratamiento

Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD). Orientaciones de las Agencias Europeas de Protección de Datos, en particular las orientaciones sobre gestión y comunicación de brechas de seguridad publicadas por la Agencia Española de Protección de Datos.

MODELO DE INFORME FINAL

ACCIONES Y/O MEDIDAS TRAS DETECTAR EL INCIDENTE

CRONOLOGÍA DE LA BRECHA

CIERRE O RESOLUCIÓN DE LA BRECHA

Esto es importante, porque a partir del análisis antes mencionado, puede ser necesario notificar la infracción a la autoridad de control o incluso a las partes afectadas. En todos los casos prácticos se seguirá el mismo esquema: se comenzará con la descripción del caso, se continuará con la identificación de los aspectos relevantes de la evaluación de brechas y se finalizará con el resultado del análisis relacionado con la necesidad o no de notificar. la autoridad de control y, en su caso, las personas afectadas.

CASOS PRÁCTICOS

En este sentido, la existencia de estos ejemplos prácticos no exime al responsable del tratamiento de realizar su propio análisis de riesgos, ya que la realidad puede ser significativamente diferente en unas u otras situaciones y por tanto condiciona completamente el resultado de la evaluación de riesgos realizada. Además, el responsable del tratamiento es quien mejor conoce los detalles del tratamiento de datos personales realizado, las características de las personas a las que se refieren los datos personales, las circunstancias de la violación de seguridad y otros factores que permitan realizar una evaluación precisa del riesgo. obtenido.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES50

Además, en los últimos tiempos ha evolucionado hasta incorporar la exfiltración de datos, por lo que el chantaje se refiere tanto al secuestro de datos como a la amenaza de publicarlos. 1 de diciembre: Uno de los médicos del hospital recibe un correo electrónico que, aunque parece inofensivo al ejecutarlo, descarga al ordenador un malware que luego servirá para cifrar los ordenadores.

Ransomware

El Hospital X es un centro de referencia a nivel nacional por los importantes procesos de digitalización que ha llevado a cabo, que permiten gestionar de forma mucho más eficiente la atención hospitalaria y, sobre todo, la gestión de los quirófanos. 8https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos.html CCN-CERT BP/04 Informe de ransomware de mayo de 2021.

Descripción del caso práctico

Además, tras las tareas de análisis forense se pudo identificar exactamente cómo se había producido el ataque y se confirmó que no se había producido ninguna exfiltración de datos.

Aspectos relevantes en la valoración de la brecha

Resumen de la valoración

1 de noviembre: Servicio de atención al cliente informa al DPD de la empresa del tipo de reclamaciones que recibe. 10 de noviembre: Se ha determinado que ya hay un agente de licencia de la empresa detrás de algunos de los casos de contacto con los clientes.

Empleado que se lleva la base de datos de clientes a la competencia

Además, tras diversas investigaciones, se confirma que dicho agente ahora trabaja para otra empresa competidora del mismo sector. Además, es posible disponer de la información necesaria para poder realizar la evaluación de riesgos asociada.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 57

30 de noviembre: se recibe una llamada de uno de los clientes, después de que ejerció el derecho de acceso a la empresa sospechosa de utilizar los datos, y se confirma que este comercial tenía los datos de los clientes y que no los tenía. . tipo de virus o ataque informático que sea manipulado, cifrado, etc. El contrato suscrito entre la empresa y ese agente no se encuentra localizado o está desactualizado y no actualizado en el apartado de protección de datos.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES58

Sí, detecta que el agente ha manipulado algunos datos de la base de datos tras copiarlos. Sí, se detectó que el agente había eliminado datos de la base de datos después de copiarlos.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 59Resumen de la valoración

Recomendable preventivamente: es una brecha y ya es probable que exista una condición asociada a ella para los afectados.

Error en pase a producción de una web de venta online con afectación internacional Descripción del caso práctico

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES60

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 61- Paralizar el proceso de envío del correo electrónico que con-

En el análisis realizado se detecta que, debido a un error en el paso a producción, al no haberse actualizado correcta-

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES62

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 63

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES64

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 65En caso de que el paso a producción hubiera dejado al descu-

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES66

28 de febrero: el equipo de atención al cliente del operador verificó que se produjo una suplantación al registrar cambios en los registros de datos del cliente reclamante y escuchar las grabaciones de las llamadas recibidas. Además de lo anterior, existen una serie de aspectos que influyen en la valoración de la brecha y que aportan información adicional a la anterior.

Suplantación de identidad en operadora de Telecomunicaciones Descripción del caso práctico

Mientras tanto, se ha emitido una factura que ha llegado a SUPPLANANT y contiene información financiera relevante que puede afectar significativamente al CLIENTE PREVISTO. Tras un análisis de la situación por parte de la telco, se descubre que este hecho no sólo ha afectado a este CLIENTE INTELIGENTE, sino que también se ha producido en 20 casos más.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES70

Destrucción soportes de información Descripción del caso práctico

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES72

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 73

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES74

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 75Aspectos relevantes en la valoración de la brecha ocurrida

MANUAL [PRÁCTICO] PARA LA GESTIÓN DE LA PORTA DE DATOS PERSONALES 75 Aspectos relevantes en la valoración de la infracción resultante. GUÍA [PRÁCTICA] PARA LA GESTIÓN DE VIOLACIONES DE DATOS PERSONALES 77Violación de seguridad en su proveedor de nube.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 77Brecha de seguridad en tu proveedor en la nube

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES78

La explotación de la vulnerabilidad podría haber dado lugar al robo de un conjunto de credenciales para las cuentas de administrador de los administradores de virtualización. POCSEG SUPPLIER1 informa que los hechos han sido puestos en conocimiento de la Policía Nacional.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES80

Esto facilitará saber si se ha producido un acceso no autorizado a la base de datos de clientes y, en su caso, si se ha producido una exfiltración masiva de los mismos. DPD decide, como medida de transparencia, comunicar a la AEPPD la información de la que dispone hasta el momento y sin poder valorar el impacto sobre los datos de los interesados.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 83o Entre otras medidas, se realizará un reseteo masivo de credenciales de clientes y se forzará al uso de doble

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES84

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 85Se identifican los siguientes aspectos relevantes en la valoración de la brecha del ejemplo

Brecha relacionada con el papel Descripción del caso práctico

El médico utiliza la información para una evaluación con el paciente y luego la deja en un recipiente para que un proveedor la destruya. El médico prepara toda la información y la deposita para su envío por parte del proveedor de mensajería habitual.

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 87Los principales aspectos asociados a esta brecha y que impactan en el análisis de la misma son los siguientes

Resumen de la Valoración

Acceso no autorizado a datos de pruebas médicas sobre una especialidad de otros pacientes. Los individuos pueden tener problemas importantes que podrán superar a pesar de las dificultades con el tiempo (es decir, citaciones judiciales, agravamiento o empeoramiento de enfermedades o dolencias).

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 89Descripción del caso práctico

Brecha de seguridad ocasionada por un error humano en el sistema de envío de comunicacio - nes a clientes

Aspectos relevantes en la valoración de la brecha ocurrida

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 91

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES92

Robo de cuentas correo, registros web, etc Descripción del caso práctico

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 93

Nivel de seguridad: para determinar el nivel de seguridad es necesario tener en cuenta los daños que pueden producirse cuando se realicen las consecuencias identificadas. Probabilidad: En términos de probabilidad, dado que en este caso se sabe que se ha producido algún daño, no habría necesidad de determinar la tarifa declarada.

Referencias

Descargar ahora ( PDF - 96 página - 2.92 MB )

Outline

GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES 31 GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALESSabes que si hay una sanción tras la brecha se hará pública en el portal de la Descripción del caso práctico GUÍA [ PRÁCTICA ] PARA LA GESTIÓN DE BRECHAS DE DATOS PERSONALES80

Documento similar

“APLICACIONES DE INTERNET A SISTEMAS ELÉCTRICOS”

ANEXO 1-.FIJACIÓN DE TARIFA BT1 La forma y procedimiento de fijación de precios del sistema eléctrico está establecido por el decreto con fuerza de ley DFL Nº1 de 1982, del Ministerio