web analytics

El GDPR y los incidentes de seguridad

Según indicó Alberto Hernández, Director General de INCIBE, en el encuentro informativo EFE-Forum, España registró más de 120.000 incidentes de seguridad en 2017, cifra que es casi 9 veces los registrados en 2014. Estas son cifras en España, pero los incidentes de seguridad afectan a importantes empresas a  nivel mundial. Casos como los de Equifax, Uber o los papeles de Panamá, han sido portada de múltiples medios de comunicación de todo el mundo.

A estas alturas del partido, quienes nos dedicamos profesionalmente a este sector tenemos el 25 de Mayo de 2018 marcado a fuego en el calendario. Es el día en el que será aplicable y de obligado cumplimiento la normativa europea que regulará el comportamiento de las empresas y organizaciones con respecto los datos personales, conocida como GDPR o General Data Protection Regulation.

Según la guía publicada por la Agencia Española de Protección de Datos, en la sección en la que se habla de la notificación de “violaciones de seguridad de los datos” dice textualmente:

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “quiebras de seguridad”, de una forma muy amplia, que incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento establece.

La sucesora de nuestra actual LOPD, incluye varias novedades sobre la forma de proceder que tenemos que tener ante un incidente de seguridad en el que haya afectación a datos personales de por medio.

Entre otras obligaciones que tiene la organización que haya sufrido un incidente de estas características, podemos ver las siguientes:

 

Llama la atención que, en caso de producirse un incidente de seguridad de este tipo, se establezca un límite máximo de 72 horas en las que habrá que notificar a la Agencia Española de Protección de Datos (en el caso de España), indicando qué ha pasado, qué medidas de seguridad disponías y, si procede, cuáles has tomado para que no vuelva a suceder algo similar. Dicho tiempo no empieza a correr desde que se produce el incidente, sino desde que somos conscientes de que algo ha sucedido.

Quienes nos dedicamos a la respuesta ante incidentes, sabemos que si éste ha tenido la suficiente envergadura, y ha conllevado un ataque a diferentes sistemas dentro de una red, puede llegar a ser sumamente difícil dar una respuesta en menos de 72 horas. Por ello en la propia normativa se contemplan excepciones por las que si no es posible notificar en dicho tiempo con detalle, se podrá prolongar si el retraso está justificado.

El problema que veo es que si va a haber gente preparada en todas las organizaciones, puesto que GDPR es algo que debemos cumplir de forma general, a la hora de detectar y posteriormente analizar un incidente de seguridad. ¿Tienen las organizaciones personal suficientemente formado en llevar a cabo la respuesta ante un incidente de seguridad? ¿Tienen una política de respuesta ante incidentes? ¿Tienen la seguridad de que quien les ayude a recabar la información y/o el posterior análisis de las evidencias sabe lo que está haciendo?

En Securízame, hemos detectado esta problemática y hemos propuesto una solución. Crear IRCP (Incident Response Certified Professional), nuestra propia certificación de Respuesta ante Incidentes y Análisis Forense (DFIR) de manera que las organizaciones puedan tener la garantía de que, tanto su propio personal interno como quien les da este servicio en caso necesario, sí que tiene los conocimientos prácticos necesarios para poder ser eficientes ante un incidente de seguridad.

Certificaciones de seguridad hay muchas. Sin embargo, especializadas en análisis forense, no hay tantas. Y las que hay, según las referencias que tengo, sólo miden conocimientos teóricos, no contemplando ninguna de ellas un sistema de evaluación que permita asegurar que el poseedor ha pasado por un entorno práctico comprometido.

Si estás interesado en que tu personal técnico tenga dicha certificación, contacta con nosotros en contacto@securizame.com y te explicaremos qué conocimientos mínimos son los necesarios para poder obtenerla.

Si quieres prepararte para poder responder ante los incidentes de seguridad que puedan suceder en tu empresa, o dar este servicio a tus clientes, en Securízame también hemos preparado un calendario de formación presencial de 65 horas de duración, en el que formaremos de forma teórico-práctica, y entrenaremos de forma 100% práctica a los integrantes de tu organización. Así les aseguras más horas de vuelo a quienes tendrán que pilotar el avión en medio de la tempestad, y si se animan, pueden probar a sí mismos que son capaces de superar la certificación IRCP, la primera certificación propia de una empresa española ,que mide de forma 100% práctica la efectividad de la respuesta ante un incidente de seguridad.

 

Lorenzo Martínez Rodríguez

CTO de Securízame