Incidències de seguretat: què fer?

Qualsevol negoci que, en major o menor mesura, hagi iniciat o tingui pensat iniciar, el seu procés de digitalització, pot ser víctima d’un atac informàtic. Què fer si tinc incidències de seguretat?

Les webs, les apps o els ecommerce que els negocis gestionen, es troben, gairebé sempre, en servidors de tercers i per tant per més petit que sigui el nostre negoci, si l’objectiu de l’atac son els servidors de grans empreses que allotgen continguts dels seus clients, ningú estem exempts de poder ser víctima d’un atac.

Aquestes grans companyies solen disposar de mesures per minimitzar els riscos però mai n’estan 100% salvaguardades, però què passa si en aquest atac es posen en risc dades personals dels nostres clients, treballadors o dels receptors del nostre Newletter…?

Què diu la normativa de protecció de dades sobre les incidències de seguretat?

Fins l’entrada en vigor del RGPD (maig del 2018), existia una obligació de controlar i registrar internament qualsevol incidència que pogués afectar a la seguretat de les dades personals. Calia identificar la incidència, prendre passes per minimitzar o eliminar-la i tancar la incidència de manera formal. Des de 2018 aquesta obligació formal inclou dos passos més:

• Informar a l’Agència de Protecció de Dades de la incidència.
• Informar a les persones afectades.

Informació a l’AEPD

L’AEPD ha publicat una extensa Guia sobre com gestionar les incidències de seguretat. En aquesta Guia i la normativa vigent s’estableix clarament l’obligació de comunicar a l’AEPD qualsevol incidència de seguretat en un termini màxim de 72 hores. També s’habilita un canal per fer-ho de manera telemàtica. L’única excepció a la comunicació és quan es pugui demostrar que la incidència no genera cap risc per les persones afectades.

Entre els exemples que l’AEPD dona de no comunicació, és quan les dades personals afectades per la incidència, ja eren públiques per algun altre canal, pel que si no es dona aquest supòsit, la comunicació serà obligatòria.

Informació als afectats

Quan es determini un alt risc per les persones afectades per la incidència (per exemple robatori de contrasenyes), també se’ls hi haurà de comunicar personalment indicant a més, les mesures que poden prendre per minimitzar els riscos (per exemple canvi immediat de la contrasenya).

Recomanacions enfront de les incidències de seguretat

Qualsevol empresa o autònom, pot ser objecte d’una incidència de seguretat (qui no ha perdut un USB?), per tant és imprescindible disposar d’uns mínims per complir amb aquesta obligació:

• Que el teu personal sàpiga què és una incidència i què fer si la coneix, així com una mínima informació sobre tècniques d’atac més comuns (enginyeria social).
• Assegurar-se de disposar de les darreres versions d’anti-virus i anti-malware.
• Actualitzar el programari de l’empresa de manera regular.
• Assegurar-te que els teus proveïdors, t’informaran si tenen coneixement d’una incidència que afecti les dades del teu negoci.

En resum, tot i que els negocis petits cada vegada més posen el seu negoci en mans de tercers (o precisament per això), això no els lliura de ser víctimes d’atacs i en cas de ser-ho, de l’obligació de complir amb la normativa de protecció de dades.

Si tens dubtes sobre aquest o un altre tema, no dubtis en contactar-nos!

Informació sobre protecció de dades

Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Boletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentiment.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
Més informació
Consulta la Política de Privacitat.