Implicaciones jurídicas del trabajo a distancia: privacidad, intimidad y derechos digitales
Tiempo de lectura estimado: 8 minutos
Esta conferencia magistral pertenece al Módulo 7 “Gestión de incidentes. Buenas prácticas en cibercrisis: Especial referencia Ransomware” de C1b3rWall Academy 2021/2022. El objetivo de la misma es tratar desde una óptica jurídica los aspectos organizativos de gestión de incidentes de ciberseguridad.
Qué es un incidente de seguridad
Depende del sector de la organización que lo aborde podemos definirlo como:
- Esquema Nacional de Seguridad: suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información.
- Directiva NIS: todo hecho que tenga efectos adversos reales en la seguridad de las redes y sistemas de información.
- RGPD: Aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilicita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Tenemos la obligación de notificar las brechas de seguridad a la autoridad de protección de datos, en un plazo máximo de 72 horas y cuando la brecha de seguridad pueda suponer un grave riesgo para los derechos y libertades de los interesados, también deberá notificarse al interesado.
En definitiva, cualquier impacto que suponga una amenaza y algún tipo de brecha:
- Brecha de confidencialidad: Acceso no autorizado e indebido a la información, aumentándose la severidad de la brecha en función del alcance de la divulgación
- Brecha de integridad: Alteración de la información original que tenga como consecuencia la potencial modificación o utilización de los daños de manera perjudicial para dañar al individuo.
- Brecha de disponibilidad Imposibilidad de acceder a los datos originales de manera temporal (los datos son recuperables pero tomará un periodo de tiempo y esto puede ser perjudicial para el individuo), o permanente (los datos no pueden recuperarse).
Cómo actuar frente a un incidente de seguridad
Es necesario dotarse de un marco de control y gestión para en el caso de tener que afrontar una de estas amenazas estar preparados, ya que cada vez son más frecuentes.
Preparación
La gestión de una brecha de seguridad requiere determinar los riesgos potenciales y magnitud del impacto potencial en los individuos, y el impacto operativo y financiero. Es preciso disponer de un plan de actuación. Se requiere la sensibilización y formación de las personas implicadas o con acceso a datos de carácter personal o a información sensible.
Detección e identificación
Concretar las situaciones que se consideren incidentes de seguridad, concretar los mecanismos de detección o sistemas de alerta y registro documental de incidencias.
Análisis y clasificación
- Crítico: Afecta a datos valiosos, gran volumen y en poco tiempo.
- Muy alto: Tiene de capacidad para afectar a información valiosa, en cantidad apreciable
- Alto: Tiene capacidad para afectar a información valiosa.
- Medio: Tiene capacidad para afectar a un volumen apreciable de información.
- Bajo: Escasa o nula capacidad para afectar a un volumen apreciable de información.
Plan de actuación
Una vez identificada la brecha es necesario:
- Recopilación y análisis de la información relativa a la brecha
- Medidas de contención, erradicación y recuperación (desconexión de equipos, proceso de desinfección, actualización de antivirus etc.)
- Puesta en marcha del proceso de notificación a AEPD y afectados
- Denuncia ante las FCSE
Seguimiento y cierre
Deberán aplicarse medidas correctoras (sobre los efectos) y correctivas (sobre las causas), activar el régimen disciplinario y mejorar la formación preventiva. Se elaborará un informe final sobre la trazabilidad del suceso y su análisis valorativo. Dicho informe recopila toda la información y documentación relativa a la brecha. Seguimiento de acciones penales o administrativas (procedimiento sancionador).
Por qué es importante contar con un plan de actuación
Desde el 2018 se han notificado 160.000 incidentes en la UE y se han impuesto sanciones por importe de 114 millones de euros. Algunos ejemplos son las sanciones a British Airways (205 M, 500.000 afectados), a Marriot (110 M, 500 millones de clientes), Sergic (400.000€) o a RTVE (60.000€) por la pérdida de un pendrive con datos de los empleados.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Alejandra Matas
Directora del Regulación Digital de PwC, ha trabajado en las áreas de propiedad intelectual, e industrial (disputas de nombres de dominio) delitos informáticos, privacidad… Fue galardonada como Best Lawyers en 2020 por Derecho de Propiedad Intelectual y Privacidad.
¿Cuál es tu reacción?