La Asociación
Española de Protección de Datos (AEPD) ha presentado la 'Guía para la gestión y
notificación de brechas de seguridad', que recoge en una serie de
recomendaciones preventivas y planes de actuación, y está dirigida
principalmente a los responsables del tratamiento de datos en las empresas, con
el objetivo de facilitar la aplicación del nuevo Reglamento General de
Protección de Datos (RGPD) de la Unión Europea.
La 'Guía para la
gestión y notificación de brechas de seguridad' es un documento orientado a
ofrecer consejos de prevención y dispositivos de actuación a quien maneja datos
dentro de una empresa. A la elaboración de este documento también han
contribuido el Centro Criptológico Nacional (CCN), el Instituto Nacional de
Ciberseguridad (INCIBE) y el ISMS Forum de empresas, como han informado en un
encuentro con la prensa, celebrado este martes.
La guía consta de
cinco bloques relacionados cada uno de ellos con una etapa del proceso de
gestión de brechas. En primer lugar, la detección e identificación ofrece
detalles sobre cómo estar preparado, que incluyen sistemas de software de
antivirus, de alertas o la existencia de un soporte documental para canalizar
las respuestas.
El plan de actuación
comprende los aspectos relativos a cómo proceder en caso de incidente teniendo
en cuenta los organismos y autoridades implicadas en la brecha y medidas de
contención. La clasificación, por su parte, permite analizar con precisión el
problema basándose en su peligrosidad y el impacto que pueda tener sobre los
derechos y libertades de la gente.
Una vez delimitada e
identificada la brecha, se procede a efectuar una respuesta para solucionar el
problema. Tras la puesta en práctica de la solución, el proceso acaba con la
obligada notificación a la autoridad de control. Dentro de la guía se incluyen
dos anexos en los cuales se muestran modelos de notificación, entre ellos el
utilizado por la sede electrónica de la AEPD.
El documento apoya
los cambios que introdujo el RGPD en mayo de este año y fomenta la colaboración
público-privada en la gestión de brechas. Cualquier responsable de datos en una
empresa está obligado a notificar una quiebra de seguridad, en caso de que esta
suponga un riesgo para los derechos y libertades de las personas, en un plazo
máximo de 72 horas desde su identificación. Además, el reglamento introduce
medidas para acreditar la responsabilidad de las empresas.
Fuente: Europa Press