Se conoce como brechas de seguridad, todos aquellos “agujeros” o errores de un sistema, en términos de ciberseguridad, por los cuales los ciberdelincuentes encuentran una ranura por donde colarse y lanzar sus ataques, consiguiendo que éste se propague con éxito.
Una de las principales responsabilidades de los IT, dentro de cualquier empresa, es la búsqueda de estas posibles brechas de seguridad en su sistema, para ir corrigiéndolas y así, evitar posibles ataques y fugas de datos.
Pero comencemos por lo básico.
Según la Agencia Española de Protección de Datos (AEPD) una brecha de seguridad es “un incidente que afecta a datos de carácter personal. Esto implica la destrucción, pérdida, alteración, comunicación o acceso no autorizado de datos personales”.
Por tanto, las brechas de seguridad son una violación de la seguridad, voluntaria o accidental, que provoca la pérdida de todos los datos que se encuentran en el sistema atacado.
Se conoce como brecha de integridad las alteraciones de la información original almacenada en un sistema. Esto significa que se han sustituido algunos datos.
Se pierde el acceso a los datos de manera temporal o permanente.
Esta ocurre cuando un tercero no autorizado consigue acceder a los datos, provocando que pueda hacer un uso ilegítimo de estos.
Existen diferentes leyes y reglamentos encargados de garantizar la protección de los datos manejados por un tercero, ya sea una empresa, organización, entidad, asociación, etc. Por tanto, estas normas hacen responsables a las empresas de la seguridad de datos personales que manejan y/o almacenan. No cumplir con estas normativa puede suponer sanciones.
Aquí las normativas y reglamentos.
RGPD (Reglamento General de Protección de Datos): Este, desde 2018 obliga a notificar cualquier tipo de brecha de seguridad de un sistema tanto a los afectados como a las autoridades.
LOPDGDD (Ley Orgánica de Protección de Datos y de Garantías de Derechos Digitales: A pesar de que esta Ley no recoge explícitamente la obligación de notificar las brechas de seguridad a la AEPD, puesto que esto lo hace el RGPD, en su artículo 72 sí que establece como infracción muy grave el incumplimiento de esta obligación.
LGT (Ley General de Telecomunicaciones): En su artículo 41 establece la obligación de informar sobre las brechas de seguridad que puedan comprometer datos personales a los operadores de servicios de comunicaciones electrónicas disponibles al público.
Gestión de una brecha de seguridad: ¿Qué hago?
Una vez detectada una brecha de seguridad en el sistema, existe un procedimiento a seguir. Vamos a verlo paso a paso.
La persona responsable, normalmente el director IT, debe llevar un registro de las brechas de seguridad, donde se apunte el día y la hora que se ha detectado la incidencia, así como, los datos, equipos y sistemas afectados.
También es importante identificar el origen de la brecha de seguridad, así como su intencionalidad u objetivo.
Otro factor a tener en cuenta y que debe quedar registrado es la solución empleada para afrontar la brecha de seguridad y las medidas para que el supuesto ataque no se propague por los demás sistemas.
Dependiendo del tipo de violación y el daño que haya podido causar la brecha de seguridad, esta se deberá notificar a la AEPD. Por eso, es importante hacer valoración de lo sucedido y ver si requiere o no ser notificado a las autoridades.
Existen algunas excepciones en las que no es necesario realizar dicha notificación:
El responsable ha adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como el cifrado de datos.
Cuando el responsable haya tomado con posterioridad a la brecha medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.
En caso de que la incidencia tenga que ser notificada, es importante rellenar el siguiente formulario.
Además, las brechas de seguridad se pueden notificar de forma telemática gracias al Registro Electrónico con el que cuenta la AEPD, pero para ello, es necesario contar con certificado electrónico.
En caso de que estés obligado a notificar y no lo hagas, se puede considerar una infracción muy grave, provocando elevadas sanciones, que pueden ser multas de hasta 10 millones de euros o una cuantía equivalente al 2% como máximo del volumen del negocio total anual.
Contar con soluciones de ciberseguridad es fundamental para evitar las brechas de seguridad de un sistema: Firewalls, endpoints, soluciones antiphishing, etc.
Pero, también son importantes las auditorías periódicas de los sistemas, para encontrarlas y solventarlas.
Por ejemplo, en ESED hemos desarrollado una metodología, ESED Attack, que se basa en lanzar ataques controlados contra un sistema para encontrar sus vulnerabilidades y brechas de seguridad, de esta manera, poder solventarlas y garantizar la seguridad de un sistema.
¿No cuentas con un departamento IT o especialistas en ciberseguridad? ¡Te ayudamos! Puedes contactar con nosotros en el siguiente enlace.