Así se recoge en un reciente artículo de Visual Capitalist titulado «Visualizing The 50 Biggest Data Breaches From 2004–2021«. La verdad es que el dato objetivamente resulta impresionante. Claro que si la ponemos en el contexto del total de datos que se gestionan en el mundo, probablemente se podrá relativizar. En cualquier caso, el titular es lo suficientemente llamativo para hacer algunas reflexiones en torno a la privacidad y su corolario, la ciberseguridad.
¿Qué es una brecha de seguridad?
Empecemos por el principio. Una brecha de seguridad es un incidente por el que información sensible o confidencial es copiada, transmitida o robada por una entidad no autorizada. Esto puede ocurrir como resultado de ataques de malware, fraude en pagos, filtraciones internas o divulgación no intencionada.
Entendiendo los fundamentos de las Brechas de Seguridad
La brecha de seguridad consiste en todo acto de intromisión, ilícito o no autorizado que:
- Puede ocasionar la destrucción, pérdida o alteración accidental de los datos personales.
- Puede permitir la comunicación, revelación o acceso no autorizados a ficheros o tratamientos de datos personales.
Medidas de seguridad
El RGPD exige a los responsables de tratamiento de datos que apliquen las medidas jurídicas, técnicas y organizativas necesarias para garantizar la seguridad de las mismas.
Pero la seguridad debe ampliarse más allá de la protección de datos y debe rodear todos los activos de la empresa, empezando por los activos intangibles que son muchos y muy valiosos: planes de marketing, patentes, relaciones con clientes, proveedores, partners e instituciones, datos (por ejemplo, listas de clientes potenciales), desarrollo de software, marcas y un largo etcétera. Este patrimonio se puede proteger ampliando las medidas de seguridad que aplicamos a los datos.
Privacidad, ciberseguridad y el factor humano.
La ciberseguridad es un medio para proteger a las organizaciones y a las personas. Las medidas son, como decíamos, jurídicas, organizativas y técnicas. Y el factor clave es, como siempre, el humano. Porque está en su mano implementar las medidas y, al mismo tiempo, es el activo final a proteger. Las medidas de ciberseguridad son del todo imprescindibles pero, del mismo modo, las personas debemos ser conscientes de la necesidad de protegernos ante prácticas como la ingeniería social, el phishing, la explotación de las redes sociales y tantas otras prácticas que solo buscan hacerse con nuestros datos para obtener un beneficio ilícito. Según el 2022 Data Breach Investigations Report de Verizon, en el 82% de las brechas estuvo implicado el factor humano, incluidos ataques sociales, errores y mal uso.
Medidas técnicas básicas
- Uso de contraseñas seguras y doble factor de autenticación
- Copias de seguridad
- Sistemas actualizados
- Exposición de servicios en Internet
- Cifrado de dispositivos
¿Qué tenemos que hacer si sufrimos una brecha de seguridad en la empresa? Protocolo AEPD
Partiendo del supuesto de que nuestra empresa está adecuada al RGPD, el artículo 33 nos impone la obligación de notificar el incidente a la autoridad de control cuando sea probable que éste constituya un riesgo para los derechos y libertades de las personas, en un plazo inferior a las 72h. desde que tengamos constancia.
La AEPD tiene publicada una Guía para la notificación de brechas de datos personales.
¡Vigilemos nuestros datos y, como siempre, cuidémonos!