Inicio Tecnología. Diseñan guía para manejar brechas de seguridad en las empresas

Diseñan guía para manejar brechas de seguridad en las empresas

La Agencia Española de Protección de Datos publica una guía para el manejo de brechas de seguridad en las empresas

Ciberataque

La Agencia Española de Protección de Datos (AEPD) presentó en Madrid la Guía Española de Protección de Datos para las empresas.

El documento, elaborado en colaboración con el Centro Criptológico Nacional, ISMS Fórum e INCIBE, Instituto Nacional de Ciberseguridad, indica a las compañías cómo notificar las incidencias con este tipo de información, algo que es obligatorio desde la entrada en vigor de nueva Ley de Protección de Datos GDPR del pasado 25 de mayo.

Las herramientas publicadas pretenden evitar las brechas de seguridad y, cuando sea posible, minimizar sus daños, explica Alberto Hernández, director de INCIBE.

Estos son ‘incidentes que ocasionan la destrucción, pérdida o alteración de datos personales’, según el Reglamento General de Protección de Datos.

La guía también tiene como objetivo ‘ofrecer una vía de seguridad a las empresas en un momento muy delicado en el que hay mucha desinformación’, según la directora de la AEPD, Mar España.

La responsable de la agencia destacó el deseo de la AEPD por ‘pasar de una cultura reactiva a otra más preventiva’, mediante una guía práctica que anticipe posibles problemas y herramientas de detección temprana para que las empresas puedan gestionar sus incidentes.

Desde la entrada en vigor de la nueva Ley de Protección de Datos el 25 de mayo de 2018, todas las empresas que gestionen información personal deben notificar AEPD cualquier incidencia de seguridad en un plazo de 72 horas desde el conocimiento de la misma.

La agencia considera el documento como una gran ayuda para las compañías, porque tardan una media de entre dos y tres meses para darse cuenta que hay un problema, subraya Carlos Sainz, director del ISMS Fórum.

Para reconocer un incidente en materia de privacidad, la agencia recomienda considerar síntomas como la saturación y ralentización de la red, así como disponer de sistemas de alerta.

‘Una vez detectada, anotamos el problema en el registro de brechas de la ARPD y la clasificamos’, explica Calvo.

Estas incidencias pueden suponer un nivel más alto o más bajo de riesgo y repercutir en mayor o menor medida sobre los derechos y libertades.

Además, pueden impactar más o menos en el negocio de la empresa y tener un origen externo o interno; este último, normalmente ‘es mucho más difícil de gestionar’, comenta el coordinador.

Una vez detectada, clasificada y notificada la brecha a través del portal digital de la AEPD, ‘es posible recuperar la tranquilidad’.

Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades, es obligatorio informar, además de a la agencia pública del problema, a las personas afectadas, ‘con un lenguaje claro y sencillo y de forma concisa y transparente’, recalca el GDPR.

‘Lo considero un proyecto positivo, en primer lugar por crear un marco repleto de novedades, incluso para los que llevamos años trabajando en esto. Segundo, porque hay que proteger los intereses públicos y privados, y sobre los derechos de las personas, ‘, recalca Carlos Sainz.