Així és recull en un recent article de Visual Capitalist titulat “Visualizing The 50 Biggest Data Breaches From 2004–2021”. La veritat és que la dada objectivament resulta impressionant. És clar que si la posem en el context del total de dades que es gestionen en el món, probablement es podrà relativitzar. En qualsevol cas, el titular és prou cridaner per fer algunes reflexions al voltant de la privacitat i el seu corol·lari, la ciberseguretat.
Què és una bretxa de seguretat?
Comencem per el principi. Una bretxa de seguretat és un incident per el qual informació sensible o confidencial es copiada, transmesa o robada per un entitat no autoritzada. Això pot ocórrer com a resultat de atacs de malware, frau en pagaments, filtracions internes o divulgació no intencionada.
Entenent els fonaments de les Bretxes de Seguretat
La bretxa de seguretat consisteix en tot acte d’intromissió, il·lícit o no autoritzat que:
- Pot ocasionar la destrucció, pèrdua o alteració accidental de les dades personals.
- Pot permetre la comunicació, revelació o accés no autoritzats a fitxers o tractaments de dades personals.
Mesures de seguretat
El RGPD exigeix als responsables de tractament de dades que apliquin les mesures jurídiques, tècniques i organitzatives necessàries per garantir la seguretat de les mateixes.
Però la seguretat ha d’ampliar-se més enllà de la protecció de dades i ha d’envoltar tots els actius de l’empresa, començant per els actius intangibles que són molts i molt valuosos: plans de màrqueting, patents, relacions amb clients, proveïdors, partners i institucions, dades (per exemple, llistes de clients potencials), desenvolupament de software, marques i un llarg etcètera. Aquest patrimoni es pot protegir ampliant les mesures de seguretat que apliquem a les dades.
Privacitat, ciberseguretat i el factor humà.
La ciberseguretat és un mitjà per protegir a les organitzacions i a les persones. Les mesures són, com dèiem, jurídiques, organitzatives i tècniques. I el factor clau és, com sempre, l’humà. Perquè està a la seva mà implementar les mesures i, alhora, és l’actiu final a protegir. Les mesures de ciberseguretat són del tot imprescindibles però, de la mateixa manera, les persones hem de de ser conscients de la necessitat de protegir-nos davant de pràctiques com l’enginyeria social, el phishing, l’explotació de les xarxes socials i tantes altres pràctiques que només busquen fer-se amb les nostres dades per obtenir un benefici il·licit. Segons el 2022 Data Breach Investigations Report de Verizon, en el 82% de les bretxes va estar implicat el factor humà, inclosos atacs socials, errors i mal ús.
Mesures tècniques bàsiques
- Ús de contrasenyes segures i doble factor d’autenticació
- Còpies de seguretat
- Sistemes actualitzats
- Exposició de serveis a Internet
- Xifrat de dispositius
¿Què hem de fer si patim una bretxa de seguretat a ? Protocol AEPD
Partint del supòsit que la nostra empresa està adequada al RGPD, l’article 33 ens imposa l’obligació de notificar l’incident a l’autoritat de control quan sigui probable que aquest constitueixi un risc per els drets i llibertats de les persones, en un termini inferior a les 72h. des de que en tinguem constància.
L’AEPD té publicada una Guia per la notificació de bretxes de dades personals.
Vigilem les nostres dades i, com sempre, cuideu-vos!