Este artículo es en realidad un intento de resumir y aclarar este término «Brecha o quiebra de seguridad» y los diferentes casos que se pueden dar, así como las muchas maneras de enfrentarlos.
El Esquema Nacional de Seguridad (ENS) define un “incidente de seguridad” como aquel “suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información”. En la misma línea, la Directiva NIS define “incidente” como “todo hecho que tenga efectos adversos reales en la seguridad de las redes y sistemas de información”.
El RGPD define, de un modo amplio, las “violaciones de seguridad de los datos personales” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
Es decir, que una quiebra de seguridad es cualquier problema que tengamos en nuestro sistema informático o manual y que pueda dar lugar o la pérdida de información o al acceso de la misma por parte de terceros no autorizados.
Estas quiebras varían en cuanto al origen, resultado y tipo de respuesta. De modo que en un intento de resumir y sistematizar, que espero nos haya quedado claro, después del trabajo que hemos invertido en ello, hemos construido dos cuadros. Uno para quiebras de seguridad provocadas por situaciones internas voluntarias o no. Y un segundo cuadro de amenazas externas.
Quiebras de seguridad / Situaciones internas
Quiebras de seguridad / Situaciones externas
Aplicamos una norma a todos nuestros clientes, ya sea porque somos su DPD, o les prestemos el servicio de auditoría y seguimiento. Todos sus datos los consideramos “especialmente protegidos”, siguiendo con ello una filosofía preventiva y de máxima seguridad en los datos
De hecho, a poco que rascamos, cualquier empresa puede tener en algún momento datos especialmente protegidos y/o penales, como por ejemplo una empresa que tenga uno o varios trabajadores en alguna de estas situaciones:
– Pago de cuota sindical
– Altas y bajas médicas
– Pagos a Instituciones públicas como consecuencia de un procedimiento sancionador (esto puede ser aplicable también a proveedores)
– Pagos a Juzgados motivados por condenas u obligaciones fundamentadas en Sentencias
Por ello consideramos que no está de más prever estos cambios, simplemente elevando el nivel de seguridad, lo cual requiere un poco más de esfuerzo y coste económico, que se traduce en mucha tranquilidad
En fin exploradictos, si no os ha ayudado este y otros artículos que circulan en las redes… yo os recomiendo que tengáis un DPD y un buen sistema y procedimiento de copias de seguridad.
Y por si no conocéis quién puede ofreceros estos servicios… os recordamos que Explora Digital es experta en ellos. Teníamos que decirlo.
También podéis ampliar información en este documento de la Agencia Española de Protección de Datos: Guía de brechas de Seguridad