De vez en cuando vemos o leemos en las noticias que tal o cual “mega-empresa” se ha visto afectada por una brecha de seguridad y que se han vulnerado cientos, miles o millones de datos de usuarios o clientes. Y pensamos:
"claro, si es que con todos las sucursales y trabajadores que tienen y tantos clientes, pues normal que les pasen esas cosas. Eso en mi empresa (farmacia, clínica, …) no pasa, por que somos cuatro. ¿Quién va a querer atacarnos a nosotros?"…pues nada más lejos de la realidad, nos puede pasar a cualquiera y, de hecho, es posible incluso que nos haya pasado y no lo hayamos detectado. Desde que entró en vigor el RGPD en 2018 y por tanto la obligatoriedad de comunicar a la Agencia Española de Protección de Datos las brechas de seguridad, se han realizado más de 5800 notificaciones a la AEPD. Por tanto, es fundamental saber qué es una brecha de seguridad y ser capaz de detectarlas e identificarlas. Es un incidente de seguridad (de origen accidental o intencionado) que afecta a datos de carácter personal (tanto los tratados informáticamente como en papel).Este incidente ocasiona destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales. Algunos ejemplos de brechas de seguridad:
- Ataque de hacker accediendo a nuestra red y a nuestra base de datos.
- Ransomware o virus que encripta el disco duro y exige un pago en criptomoneda para (teóricamente) conseguir la clave que nos permita recuperar los datos.
- Enviar email a contactos sin ponerlos en CCO (copia oculta) por lo que estaremos publicando datos personales a otras personas.
- Compartir documentos con datos personales a contacto/s que no son los destinatarios de ese documento (a través de correo electrónico, redes sociales, mensajería instantánea, etc.)
- Proporcionar las contraseñas personales a otros compañeros o miembros del equipo.
- Robo o extravío de soportes que contienen datos (portátil, PC, Servidor, USB, carpeta con documentos en papel, etc.)
- Trabajar y tratar datos de la empresa en dispositivos personales o en lugares externos al centro de trabajo, que no tienen las medidas de seguridad correctas.
- Olvidar contraseñas que no nos permitan acceder a bases de datos y no tener forma de recuperarlas.
- E incluso que se produzcan desastres como incendios, inundaciones, etc. que afecten a datos personales.
¿Qué información debemos recopilar ante una brecha de seguridad detectada?
- Medio por el que se ha materializado la brecha, es decir, qué ha ocurrido.
- Origen de la brecha: si ha sido interna o externa y su intencionalidad.
- Categorías de datos: si son datos básicos como credenciales o datos de contacto o si bien son categorías especiales como pueden ser datos de salud como la mayoría de los que se tratan en la farmacia.
- Volumen de datos afectados, tanto en número de registros como en número de personas afectadas.
- Categorías de afectados: clientes, empleados, pacientes, etc. Es importante identificar si se trata de colectivos vulnerables.
- Información temporal de la brecha: cuando se inició, cuando se ha detectado y cuando se resolvió o resolverá la brecha de seguridad.
14 de septiembre de 2022
Verónica García Doylataguerra Consultora en Protección de Datos