¿Qué son las brechas de seguridad y cómo actuar frente a ellas?

El nivel de respuesta a una brecha de seguridad dependerá del tamaño de la organización, los datos comprometidos y la complejidad del tratamiento por lo cual se deben establecer procedimientos para hacer frente a el incidente analizando los riesgos y valoración del impacto.

Una brecha de seguridad es un incidente que ocasiona la destrucción, perdida, alteración, comunicación o acceso no autorizado de datos de carácter personal ya sea de forma accidental o intencionado. El termino brecha de seguridad se encuentra definido en el artículo 14 del GDPR, por sus siglas en inglés (General Data Protection Regulation) y es una normativa que regula la protección de datos personales de los ciudadanos de la Unión Europea.

En España, la autoridad que regula y garantiza la protección de datos personales es la AEPD, por sus siglas en español (Agencia Española de Protección de Datos) y clasifica las brechas de seguridad en una o varias de las siguientes categorías:

  • Brecha de confidencialidad: Acceso a información por entidades no autorizadas o que no tienen un propósito legitimo para acceder a ella. La severidad del incidente varía según el alcance o difusión de la información.
  • Brecha de integridad: Se produce cuando se altera información original y se sustituyen por datos impropios y perjudiciales para el individuo.
  • Brecha de disponibilidad: Cuando no se puede acceder a los datos originales cuando es necesario y puede ser de manera temporal o permanente.

¿Cómo actuar frente a una brecha de seguridad?

El nivel de respuesta a una brecha de seguridad dependerá del tamaño de la organización, los datos comprometidos y la complejidad del tratamiento por lo cual se deben establecer procedimientos para hacer frente a el incidente analizando los riesgos y valoración del impacto.

De manera general se puede listar el procedimiento recomendado por la AEPD para la actuar ante las brechas de seguridad:

Preparación: Se decidirán las medidas técnicas, organizativas, así como la identificación de los agentes implicados a los que les corresponda reaccionar ante la brecha de seguridad.

Identificar y detectar: Consiste en detectar los incidentes de seguridad y determinar su fuente (interna / externa)

Análisis / Clasificación: Recopilar la información relacionada a la brecha de seguridad y valorar el impacto y tipo de amenaza (Código malicioso, intrusión, fraude, etc.)

Proceso de Respuesta: Definir los planes de respuesta para limitar lo mayormente posible los daños. Se debe tomar en cuenta la recolección y custodia de evidencias que permitan la elaboración de un informe de respuesta final que describa los elementos destacados en el proceso que causaron la brecha de seguridad.

  • Fase 1: Contención del incidente:
    • Se obtiene tiempo para desarrollar una estrategia de respuesta.
  • Fase 2: Erradicación
    • Identificar y mitigar vulnerabilidades explotadas
    • Eliminación de malware
    • Eliminación de cuentas de usuario comprometidas
    • Comprobar la integridad de todos los datos del sistema
  • Fase3: Recuperación
    • Restablecimiento total de servicios
    • Adopción de medidas y controles a los activos de mayor riesgo
    • Identificación y análisis de soluciones para evitar nuevos incidentes basados en la misma causa

Proceso de notificación: La RGPD establece que en caso de una brecha de seguridad de datos personales se deberá notificar a la autoridad de control competente y en casos graves al afectado a más tardar 72 horas después de identificado el incidente de seguridad.

Seguimiento y cierre: Se requieren de determinadas tareas de seguimiento como parte del plan de actuación para la gestión de brechas de seguridad.

  • Realizar un análisis forense digital para analizar y recopilar evidencia precisa para evidenciar lo sucedido tanto administrativa como judicialmente.
  • Valorar un procedimiento judicial a fines de imputación de hechos y reparación de daños tomando en cuenta los riesgos y consecuencias que pudiera derivar, como la reputación de la organización.
  • Generar un informe final con la documentación recopilada en relación con el incidente.
  • Una vez que las acciones derivadas de los procesos del plan de actuación han finalizado y se han alcanzado los objetivos, se procede al cierre de la brecha de seguridad.

Es conveniente que una organización establezca un plan para gestionar las brechas de seguridad y tomar los procesos y medidas necesarias para minimizar la exposición de datos personales ya que es el activo más importante en una organización y aun que los daños materiales no sean muy altos, está en juego tanto el prestigio de la organización afectada así como la confiabilidad de los usuarios a la misma.

Fuente:

Rgpd, C. (2019, 29 noviembre). Datos personales: ¿qué son las brechas de seguridad y cómo actuar ante ellas? Recuperado 17 de junio de 2020, de https://clickdatos.es/datos-personales-que-son-las-brechas-de-seguridad-y-como-actuar-ante-ellas/

Equipo Editorial. (2019, 9 agosto). Brecha de seguridad: ¿Cómo actuar? Recuperado 17 de junio de 2020, de https://reportedigital.com/seguridad/brecha-de-seguridad/

Rgpd, A. (2019, 24 agosto). ¿Qué son Las brechas de seguridad? (I). Recuperado 17 de junio de 2020, de https://www.adaptacion-rgpd.eu/que-son-las-brechas-de-seguridad-i/

Pineda, M. (s. f.). ¿Cómo gestionar una brecha de seguridad en tu compañía? Recuperado 17 de junio de 2020, de https://www.audea.com/gestionar-una-brecha-seguridad-compania/

<strong>Eduardo Espinoza</strong>
Eduardo Espinoza

Analista Blue Team, Global Cybersec

Autor



twitter facebook youtube