La importancia de una gestión diligente de incidentes y brechas ¿qué hacer y qué no hacer?

  • Inicio
  • Blog
  • La importancia de una gestión diligente de incidentes y brechas ¿qué hacer y qué no hacer?

La importancia de una gestión diligente de incidentes y brechas ¿qué hacer y qué no hacer?

In marzo 30, 2021
On Blog
Comments off
655 Views

Prensa, medios de comunicación y RRSS se han hecho eco del ciberataque sufrido por el Servicio de Empleo Público Estatal (SEPE) con un ransomware, denominado Ryuk, que ha hecho dudar a los ciudadanos sobre las garantías de seguridad que ofrece el Estado ante amenazas cibernéticas.

El incidente de seguridad, tal y como, informa el SEPE en su página web afectó a la “disponibilidad de sus sistemas de información y comunicaciones” y, al parecer, sus sistemas todavía no se han visto totalmente restaurados.

El sector privado tampoco queda exento de este tipo de ciberataques. A continuación, un par de ejemplos de cómo se ha gestionado una brecha de seguridad.

El pasado 18 de marzo de 2021 la Agencia Española de Protección de Datos (AEPD) acordó imponer una multa a AIR EUROPA por importe de: (i) 500.000 euros por no adoptar las medidas de seguridad necesarias para impedir el acceso no autorizado a datos personales de sus clientes; y de (ii) 100.000 euros por una comunicación tardía a la AEPD, en concreto, de 41 días. Puede consultar la Resolución aquí.

La multa impuesta a la aerolínea, hasta la fecha, es la cuarta más alta en España por incumplimiento de la normativa de Protección de datos, por detrás Vodafone (8,15 millones de euros), Caixabank (6 millones de euros) y BBVA (5 millones de euros).

Otro ejemplo, de ciberataque es el sufrido por MAPFRE a consecuencia de un ransomware que afecto a sus servidores. La brecha de seguridad fue puesta en conocimiento de la AEPD. Puede consultar la Resolución aquí.

En este caso, el desenlace fue favorable para la aseguradora, ya que la AEPD procedió al archivo de las actuaciones al considerar que su actuación fue diligente y proporcional con la normativa sobre Protección de Datos personales.

Algunas de las medidas de minimización, previas y posteriores que fueron adoptadas por MAPFRE son las siguientes: (i) aislamiento de la parte de red para evitar la propagación del ransomware; (ii) activación del Plan de Continuidad de Negocio; (iii) restauración de sistemas y aplicaciones; (iv) investigación del ciberataque y comunicación a INCIBE; (v) análisis asociado a la regularización del impacto de seguridad y privacidad del tratamiento; (vi) auditorías de cumplimiento; (vii) adhesión a mecanismos de autorregulación; (viii) ejecución de protocolos para garantizar la erradicación de cualquier “puerta trasera” etc.

A través de las anteriores resoluciones, se pretende poner de relieve la importancia de cumplir con el principio de responsabilidad proactiva en materia de Compliance, Protección de Datos Personales y ciberseguridad antes, durante y después de la detección de cualquier incidente o brecha de seguridad.

 

Marta Serrano Carnicer

Consultor de Helas Consultores

       

 

 

#Helas #entiendelaprivacidad #brechasdeseguridad #sanciones #AEPD #compliance #legaltech

Jose Helguero

Comments are closed.