Invitación a participar en el proyecto GDPR Brechas

Origen del proyecto

El análisis de las resoluciones de las autoridades de control relativas a violaciones de la seguridad de los datos se inició en mayo de 2019, al cumplirse el primer año de aplicación efectiva del RGPD. La presentación de las primeras conclusiones del estudio tuvo lugar en un webinar sobre brechas de seguridad que organizó Thomson Reuters en 24 de octubre de 2019.

Objetivos del proyecto

Los objetivos del análisis de las resoluciones son los siguientes:

  1. Identificar las principales causas de las brechas notificadas.
  2. Identificar el origen más habitual: autores o responsables.
  3. Valorar la implicación de los proveedores o encargados del tratamiento.
  4. Identificar las medidas previas al incidente que la autoridad de control ha valorado.
  5. Identificar las medidas posteriores al incidente que la autoridad de control ha valorado.
  6. Identificar los argumentos utilizados para fundamentar el archivo o la sanción.
  7. Aprovechar el conocimiento obtenido para la prevención de futuras brechas.
  8. Ir más allá de una auditoría de seguridad basada en un modelo teórico.
  9. Reducir los efectos de una brecha en el caso de no poder evitarla.
  10. Generar pruebas que permitan acreditar la diligencia de la empresa.
  11. Evitar sanciones e indemnizaciones de daños y perjuicios a los afectados.

Referencias a los casos analizados

Las referencias a los casos analizados se limitan al número de expediente, con el fin de evitar cualquier mención a la empresa que ha tenido el incidente de seguridad.

Las valoraciones y los comentarios constituyen únicamente un análisis jurídico y técnico.

No se valora la gestión de la empresa ni de sus responsables.

ACCESO AL PROYECTO GDPR BRECHAS

Puedes participar en el proyecto accediendo a la sección GDPR Brechas en Campus Ribas:

https://www.campus-ribas.com/p/brechas-de-seguridad

En dicha sección podrás ver los vídeos explicativos del proyecto y de cada uno de los casos que se vayan publicando.

También podrás descargar la ficha de cada caso en formato PDF.

En el apartado de comentarios podrás manifestar tu opinión sobre cada caso y sobre cada resolución.

Servicio específico de prevención de brechas de seguridad

Este mes de agosto, y a pesar de los turnos organizados, hemos tenido que alternar las vacaciones con la gestión de las brechas de seguridad que han sufrido algunos de nuestros clientes.

El crecimiento experimentado en el número de brechas gestionado se debe, principalmente, al incremento del reporte interno de incidentes ocasionados por la pérdida o el robo de ordenadores portátiles y teléfonos móviles que antes no se llegaban a conocer.

La aplicación del RGPD ha obligado a realizar acciones de formación y concienciación, y a establecer la obligación de comunicar internamente cualquier incidente de seguridad, incluida la pérdida y el robo de dispositivos informáticos, por lo que las empresas están recibiendo más información de incidentes que antes no se reportaban.

Teniendo en cuenta que en todas las empresas se pierden o se producen robos de dispositivos móviles, podríamos decir que, en relación a este aspecto, este tipo de incidentes se dividen en dos categorías:

  1. Los que son gestionados como un incidente de seguridad.
  2. Los que simplemente son tratados como un activo informático a reponer.

La diferencia entre ambos enfoques puede tener efectos jurídicos y económicos importantes, ya que, ignorar este tipo de incidentes ayuda a tener unas estadísticas saneadas en materia de seguridad, pero impide realizar un tratamiento adecuado de los riesgos asociados y de la actividad preventiva.

En otras palabras, tener pocos incidentes de seguridad no es un indicador de la eficacia de las medidas de seguridad. Es muy probable que sea un indicador del nivel de desconocimiento de los incidentes que se producen en la empresa.

Otra causa importante de brechas de seguridad han sido los ciberataques en general y los ataques de phishing en especial. El perfeccionamiento de las técnicas de suplantación de identidad, los clics realizados sin un mínimo de reflexión previa y la falta de experiencia en la identificación de los mensajes fraudulentos están haciendo que este tipo de ataques sigan triunfando.

Gracias a la aplicación de un protocolo que permite excluir los incidentes que no han generado una violación de la confidencialidad, la integridad y la disponibilidad de los datos, así como los que no han supuesto un riesgo para los derechos y libertades de los afectados, sólo un pequeño porcentaje de los incidentes gestionados se ha tenido que comunicar a la Agencia Española de Protección de Datos.

En cualquier caso, si unimos la experiencia adquirida en la gestión de brechas a la información suministrada por los incidentes de seguridad publicados y las estadísticas y las resoluciones de la AEPD, podemos decir que existe conocimiento suficiente para identificar:

  1. Las causas más habituales de las brechas de seguridad.
  2. Los errores más habitualmente cometidos por las empresas.
  3. Las medidas concretas que habrían evitado la brecha, pero no se aplicaron.
  4. Las medidas y argumentos en los que la AEPD se ha basado para archivar el expediente sancionador de una brecha.

Con este conocimiento hemos diseñado un servicio específico de prevención de brechas de seguridad que se une al protocolo de gestión de incidentes de seguridad que ya incluía  nuestra aplicación Compliance 3.0.

Si deseas más información sobre este servicio, puedes enviarme un mensaje a xavier.ribas@ribastic.com

Una pequeña muestra de los errores cometidos durante el primer año de RGPD

  1. Contratar a encargados del tratamiento que no ofrecen garantías suficientes.
  2. Aceptar cláusulas de limitación de responsabilidad de los encargados del tratamiento.
  3. Delegar la selección y homologación de encargados del tratamiento a Compras sin las instrucciones adecuadas.
  4. Seleccionar a los encargados del tratamiento tomando como único criterio el coste del servicio.
  5. Aceptar que un encargado del tratamiento tiene la ISO 27001 sin verificar su alcance real.
  6. Solicitar el consentimiento a los clientes y a los interesados con contrato.
  7. Solicitar el consentimiento a los trabajadores.
  8. Facilitar información incompleta a los trabajadores sobre los datos que la empresa trata y sobre todas las finalidades de los tratamientos que realiza con sus datos.
  9. Aplicar una política de uso de dispositivos móviles basada en el BYOD.
  10. Nombrar a un DPO y no dotarlo de recursos suficientes.
  11. Aplicar el interés legítimo como base de legitimación sin la debida ponderación.
  12. Realizar la ponderación del interés legítimo de manera inadecuada.
  13. No conservar una prueba documental de la ponderación del interés legítimo.
  14. Notificar como brecha un incidente de seguridad que no ha generado riesgos para los interesados.
  15. Desarrollar un detallado protocolo de notificación de brechas y no disponer de un protocolo para verificar si realmente hay que notificar la brecha.
  16. Elaborar un registro de actividades del tratamiento excesivamente extenso, sin agrupar e imposible de gestionar y actualizar.
  17. Aplicar un proceso de desvinculación de trabajadores inadecuado, especialmente en los departamentos comerciales y de marketing, sin ningún tipo de control sobre los datos que se llevan o se han llevado.
  18. Devolver los equipos informáticos al finalizar el renting sin un procedimiento adecuado de eliminación de los datos, y, en la medida de lo posible, mediante la extracción del disco duro.
  19. Aceptar el certificado de destrucción de documentos o soportes con datos como única prueba de su destrucción.
  20. Aceptar que todavía haya departamentos de Marketing que inician campañas de marketing directo sin aplicar el procedimiento de privacy by design y sin contar con la validación jurídica correspondiente. O solicitándola el día antes del lanzamiento de la campaña.

Datos y conclusiones de las notificaciones relativas a brechas de seguridad realizadas a la AEPD desde el 25/05/18

Analizar los datos relativos a las brechas de seguridad que se han notificado hasta ahora a la AEPD puede ayudarnos a conocer las causas más habituales de los incidentes de seguridad y a identificar las medidas más eficaces para prevenirlas.

Desde el 25 de mayo de 2018 hasta el 31 de marzo de 2019, los datos publicados por la AEPD indican que el número de notificaciones relativas a brechas de seguridad recibidas por dicha Agencia superan las 800. Este número parece bajo si tienen en cuenta los siguientes escenarios que pueden ser considerados como una brecha de seguridad con violación de la confidencialidad de los datos:

  1. Cada vez que se pierde o es objeto de hurto o robo un dispositivo informático, la probabilidad de que contenga datos personales es alta.
  2. Cada vez que un empleado es víctima de un ataque que utiliza la ingeniería social, incluyendo el engaño, la suplantación de identidad, el phishing para acceder a datos o para instalar malware, la probabilidad de que este ataque genere una brecha de seguridad es alta.
  3. Cada vez que un empleado causa baja en una organización, especialmente en las áreas de marketing y comercial, la probabilidad de que conserve datos en su poder de forma no autorizada es alta.

Origen de las notificaciones

De acuerdo con los datos de la AEPD, el número de notificaciones realizadas por organizaciones privadas es muy superior al de las realizadas por organizaciones públicas.

Tipología de las brechas de seguridad

Podemos apreciar que la gran mayoría de las notificaciones se refieren a violaciones de la confidencialidad de los datos, es decir, a incidentes de seguridad que han permitido un acceso no autorizado o una divulgación no autorizada de los datos personales. Ello permite actualizar el mapa de riesgos y optimizar el esfuerzo realizado en medidas de seguridad, confirmando que los riesgos que tienen mayor probabilidad son los relacionados con la confidencialidad de los datos. También permite acumular los esfuerzos realizados en materia de protección de los activos intangibles a las medidas derivadas de la reciente normativa relativa a los secretos empresariales.

Medios de materialización de las brechas de seguridad

Se confirma la sospecha de que el usuario sigue siendo el elemento más débil de la seguridad. Si analizamos los medios de materialización de las brechas de seguridad y agrupamos los que se tienen como origen un descuido, un engaño o cualquier otro escenario en la que la actuación del usuario puede provocar o facilitar la brecha de seguridad, veremos que son la mayoría. Por ello es necesario seguir reforzando la inversión en formación y concienciación. También es importante tener en cuenta que la violación de la confidencialidad puede producirse de manera verbal.

Contexto y nivel de intencionalidad

Se puede comprobar que cuando el origen es interno, los incidentes provienen generalmente de un descuido o de otras causas no intencionadas. Por el contrario, cuando el origen es externo, la mayor parte de los incidentes son intencionados. Entendemos que los incidentes externos no intencionados provienen en su mayoría de los encargados del tratamiento que no han invertido suficientes medidas de seguridad para la protección de los datos tratados. Ello confirma la necesidad de extremar el control sobre los proveedores críticos y de verificar el alcance real de las certificaciones ISO 27001 aportadas.

NOTA: pueden producirse pequeñas discrepancias en la suma de cada tabla a causa de la conversión de porcentajes a unidades en relación a los datos de origen del año 2018.

FUENTE DE LOS DATOS: Agencia Española de Protección de Datos.