• No se han encontrado resultados

OBJETIVO Y ALCANCE DE LA GUÍA

N/A
N/A
Info
Descargar
Protected

Academic year: 2023

Share "OBJETIVO Y ALCANCE DE LA GUÍA"

Copied!
96
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 96 página )

Texto completo

Si no se toman las medidas adecuadas a tiempo, las violaciones de datos personales pueden provocar daños y perjuicios a las personas físicas. Es decir, en la filtración de datos personales ya tenemos una materialización de un efecto negativo en el funcionamiento de los sistemas y/o procesos de la organización.

Definición de incidente de seguridad

En la misma línea, la Directiva NIS define 'incidente' como "cualquier evento que tenga efectos negativos reales sobre la seguridad de las redes y sistemas de información" y el propio RGPD define, de forma amplia, "violación de la seguridad de los datos personales" como. Además, no confunda un incidente de seguridad con una violación de datos; Cada violación de datos personales representa una tipología de incidente de seguridad, pero no es lo mismo.

Documentación sistemática de los problemas e incidentes

Definamos escenarios

Reproducir esta filosofía significa que definimos escenarios "contingentes" que, para nuestros propósitos, simularían casos prácticos en los que se define un escenario concreto de brecha de seguridad, diferenciando la tipología de incidente en función de tres variables de seguridad: confidencialidad, integridad. y disponibilidad. Eventos lógicos de seguridad, información que ha cobrado especial importancia con el crecimiento del trabajo remoto (informes de acceso remoto a sistemas de la empresa).

Descripción de los escenarios/casos de uso

Además de las áreas de negocio, este modelo de interfaz o relación es interesante con funciones de control como seguridad, calidad, gestión de riesgos, cumplimiento y auditoría interna.

Gobernanza y compromiso de la alta dirección

Protocolos internos

Asignación de roles y responsabilidades. Áreas implicadas

Otras primeras líneas de defensa: sin duda todas las líneas de defensa intervienen en la gestión temprana de un incidente de seguridad. Para anticiparse a los incidentes de seguridad, la gestión temprana de riesgos es fundamental.

Puesta a prueba de los protocolos

Es esencial aumentar la concienciación entre el Comité Directivo; participarán en el diseño de las pruebas o al menos serán informados formalmente sobre el desarrollo de estas pruebas y resultados. 4Al diseñar estos escenarios, tenga en cuenta que si se utilizan conjuntos de datos, la información puede anonimizarse o distorsionarse de tal manera que, en última instancia, es posible que no se envíe un correo electrónico a un cliente de la empresa debido a un error en los datos. prueba.

Equipo de trabajo

En esta sección, veremos los pasos a seguir cuando ya ha habido una violación de datos personales que debe gestionarse adecuadamente. Este apartado se centra en gestionar el hecho o incidente en sí, documentarlo, notificarlo a la entidad controladora y comunicarlo a los interesados.

GESTIONA

Activación del plan

Departamento o funciones de riesgos: Es necesario mantenerlos informados para que puedan realizar un seguimiento de lo sucedido y, en su caso, reevaluar el mapa de riesgos existente y, en su caso, reforzar los controles definidos. Consultores externos: En algunos casos será necesario fortalecer la posición de la empresa contratando consultores externos a quienes se les deberá brindar toda la información de manera coordinada y ordenada, facilitando su trabajo.

Fases de la gestión de la brecha de datos personales

  • Contención del incidente
  • Erradicación
  • Recuperación
  • Proceso de notificación

Las acciones a tomar durante los procesos de gestión y reporte dependen de la clasificación del incidente de seguridad. Las medidas de contención podrán aplicarse de forma inmediata o paulatina en función del desarrollo de la resolución del incidente.

Notifica a la AEPD

NOTIFICA

Comunica a las personas físicas afectadas

  • Formas y plazos para comunicar
  • Notificaciones indirectas
  • Contenido de la comunicación a los afectados
  • Supuestos de no comunicación a afectados

Por otro lado, frente al espacio y detalle que la citada guía de la AEPD dedica a la notificación a la autoridad de control, mucho menos se reserva a la comunicación a los afectados. De acuerdo con el citado artículo 34 del RGPD, para evaluar la comunicación debemos tener en cuenta el alto riesgo para los derechos y libertades de los afectados como combinación de la probabilidad de que se produzcan eventos que tengan efectos negativos sobre las coberturas. tiene y el impacto o gravedad que tendría en ese caso. Para ayudar a tomar la decisión de comunicarse o no con los afectados, puede utilizar la herramienta Comunica-brecha de la Agencia Española de Protección de Datos (enlace).

Utilizar un lenguaje claro acorde al público objetivo 6.2.3 Contenido de la comunicación a personas con discapacidad. Elaborar el informe final, recopilar y explicar la violación de datos identificada y ponerlo a disposición de la autoridad de control;

RESUELVE

  • AEPD
  • Otros reguladores
  • Personas físicas afectadas
  • Impacto público
  • Terceros: encargados, ciberseguros
  • Comunicación interna: dirección, empleados, accionistas y socios
  • Seguimiento y cierre
  • Informe final

También se deben tener en cuenta las preguntas sobre las personas interesadas en cerrar la brecha. En el cierre de brechas existen una serie de terceros con los que la empresa puede tener diferentes relaciones y a quienes es importante comunicar la evolución y cierre de la brecha de datos personales. Dicho informe final recogerá toda la información y documentación relacionada con el incumplimiento para facilitar la investigación y valoración por parte de terceros, incluida la dirección de la empresa.

Una vez finalizadas las acciones resultantes de los procesos del plan de acción y alcanzados los objetivos, se cerrará la brecha de seguridad. En este sentido, y a modo de ejemplo, se proporciona como apéndice un ejemplo de informe final sobre cómo cerrar la brecha.

PROTOCOLOS INTERNOS

  • ANTECEDENTES
  • IDENTIFICACIÓN DE IMPLICADOS 1. Responsable del Tratamiento
  • ACCIONES Y/O MEDIDAS ANTERIORES AL INCIDENTE 1. Registro de Actividades de Tratamiento
  • ACCIONES Y/O MEDIDAS TRAS DETECTAR EL INCIDENTE

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 26 de abril de 2016, relativo a la protección de las personas físicas en relación con el tratamiento de datos personales y la libre circulación de estos datos. Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantías de los derechos digitales, y de las orientaciones para la atención y comunicación de violaciones de seguridad publicadas por la Agencia Española de Protección de Datos. El principio de responsabilidad u obligación de documentar cualquier brecha de seguridad de los datos personales, recogido en el art.

También es muy importante concienciar y formar a todos los empleados de la empresa que acceden a datos personales en el desempeño de sus funciones. Un breve resumen del tratamiento o tratamientos afectados y el proceso afectado por la brecha para ayudar a comprender el impacto potencial en las partes interesadas.

MODELO DE INFORME FINAL

CRONOLOGÍA DE LA BRECHA

Evaluación de la implementación de estas medidas con miras a cerrar definitivamente la brecha. Como se señala a lo largo de la guía, una de las actividades que se deben llevar a cabo cuando se produce una violación de datos personales es la evaluación de riesgos. Esto es importante porque, a partir de este análisis, puede ser necesario denunciar la infracción a la autoridad de control o incluso a los interesados.

En este sentido, la existencia de estos supuestos prácticos no exime al responsable del tratamiento de realizar su propio análisis de riesgos, ya que la realidad puede variar significativamente en algunas situaciones y por tanto determinar plenamente el resultado de la evaluación de riesgos realizada. . Además, el responsable del tratamiento es quien mejor está informado sobre los detalles del tratamiento de datos personales realizado, las características de los interesados, las circunstancias de la violación de seguridad y el resto de factores que permiten adquirir una evaluación precisa del riesgo. .

CASOS PRÁCTICOS

Ransomware

  • Descripción del caso práctico
  • Aspectos relevantes en la valoración de la brecha
  • Resumen de la valoración

Desde el punto de vista de la vulneración de datos personales, también se debe tener en cuenta que no todos los incidentes de seguridad o incidentes cibernéticos tienen por qué ser una vulneración de datos personales. Y con estos datos, junto con el impacto que ha tenido el incidente, se podrá deducir si se trató de una violación de la seguridad de los datos personales y si afectó a su disponibilidad o también a su confidencialidad. Además, tras tareas de análisis forense, se pudo identificar exactamente cómo se había producido el ataque y se confirmó que no se había producido ninguna exfiltración de datos.

Volumen de afectados: se entiende por afectados a las personas que pueden haberse visto afectadas por la pérdida de disponibilidad de su información, porque no pudieron acceder a los tratamientos que tenían previstos o, en caso de haber tenido acceso a los datos, a los volumen de datos accedidos. Tipología de datos: no es lo mismo que los datos afectados no incluyan datos personales que los que sí los incluyan o que los datos sean incluso sensibles.

Empleado que se lleva la base de datos de clientes a la competencia

  • Descripción del caso práctico
  • Aspectos relevantes en la valoración de la brecha
  • Resumen de la valoración

Además, es posible disponer de la información necesaria para poder realizar la evaluación de riesgos asociada. También hay datos de clientes potenciales/referencias de personas que aún no han sido clientes pero cuyos datos se han obtenido de diversas fuentes. Otro tema muy importante es el perfil de la base de datos creada.

Sí, se descubre que el agente manipuló ciertos datos en la base de datos después de copiarlos. Sí, detecta que el agente eliminó los datos de la base de datos luego de copiarlos.

Error en pase a producción de una web de venta online con afectación internacional 1 Descripción del caso práctico

A partir de este momento pueden surgir diferentes situaciones, de las cuales la valoración de brechas puede ser diferente. Solicitar a [PROVEEDOR] la corrección del incidente y un informe detallado del incidente ocurrido y los motivos por los que ocurrió. Solicitar a [PROVEEDOR] la corrección del incidente y un informe detallado del incidente ocurrido y los motivos por los que ocurrió.

De las 20 personas que recibieron información que no era suya, se obtuvo respuesta de todas. Luego de contactarlos a todos, se confirmó que ninguno había utilizado la información y procedieron a borrar el correo electrónico.

  • Aspectos relevantes en la valoración de la brecha
  • Resumen de la valoración
  • Suplantación de identidad en operadora de Telecomunicaciones 1. Descripción del caso práctico
    • Aspectos relevantes en la valoración de la brecha
  • Destrucción soportes de información 1. Descripción del caso práctico
    • Resumen de la valoración
    • Aspectos relevantes en la valoración de la brecha ocurrida
    • Resumen de la valoración
  • Brecha de seguridad en tu proveedor en la nube 1. Descripción del caso práctico
    • Aspectos relevantes en la valoración de la brecha
  • Brecha relacionada con el papel 1. Descripción del caso práctico
    • Aspectos relevantes en la valoración de la brecha
    • Resumen de la Valoración
  • Brecha de seguridad ocasionada por un error humano en el sistema de envío de comunica- ciones a clientes
    • Descripción del caso práctico
    • Aspectos relevantes en la valoración de la brecha ocurrida
    • Resumen de la valoración
    • Aspectos relevantes en la valoración de la brecha ocurrida

En el ejemplo expuesto, los datos afectados son datos identificativos (nombre y apellidos), datos de contacto (dirección postal) y datos de compra. En el ejemplo puesto, dependiendo de la situación que se haya dado, nos encontraremos con 500 datos o 20. En cuanto al volumen de datos, eran 2 personas o 20 dependiendo de la situación que se describiera.

Revisar y regular las aplicaciones y los datos de las sucursales que no están respaldados ni subcontratados. La información que los empleados de la sucursal tenían en correos electrónicos o archivos en servidores de archivos. POCSEG SUPPLIER1 afirma que las circunstancias reales han sido puestas en conocimiento de la Policía Nacional.

En este caso, el liderazgo de los esfuerzos respecto del proveedor de la plataforma afectada corresponde al PROVEEDOR1.

Referencias

Descargar ahora ( PDF - 96 página - 4.55 MB )

Outline

Comunica a las personas físicas afectadas RESUELVE Ransomware Empleado que se lleva la base de datos de clientes a la competencia Suplantación de identidad en operadora de Telecomunicaciones 1. Descripción del caso práctico Resumen de la valoración Aspectos relevantes en la valoración de la brecha Brecha de seguridad ocasionada por un error humano en el sistema de envío de comunica- ciones a clientes

Documento similar

07 0106

[r]