En el artículo 4.12 del RGPD (Reglamento General de Protección de Datos) o GDPR en inglés, se define brecha de seguridad como todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, la conservación o tratamiento de forma ilícita, así como la comunicación o el acceso no autorizado a los datos, para que sea tenida en cuenta como brecha de seguridad, debe afectar a datos de carácter personal.
Cada vez son más los ataques que sufren las empresas y que van totalmente relacionados con los datos de estas o de sus propios empleados. Este tipo de fugas de información pueden ser conseguidos de diversas maneras, desde pruebas de ingeniería social a sus empleados hasta posibles ataques a sus aplicaciones o infraestructura.
Este dato no es directamente proporcional al tamaño de la empresa o a la cantidad de medidas de seguridad de la compañía. Obviamente todas las barreras que se pongan en todos sus focos ayudan a poder disminuir el riesgo de sufrir este tipo de acciones, pero bien es cierto que no implican el no estar expuestos.
De hecho, se estima que el 70% de las pymes han sufrido algún tipo de acceso no autorizado contra ellas que ha implicado una brecha de seguridad, pero como comentábamos también a grandes empresas, de hecho, casi semanalmente sale una noticia que afecta a las mismas. A continuación vamos a ver algún ejemplo de alguna de las noticias en este aspecto que se han hecho públicas (solo en lo que llevamos de 2020):
- GoDaddy – La plataforma de gestión de hostings ha reconocido una brecha de seguridad en sus sistemas que permitió el acceso a ciberdelincuentes afectando a los datos de 28.000 de sus clientes.
- Easy Jet – La aerolínea británica ha hecho pública una brecha de seguridad que ha afectado a datos de nueve millones de clientes robando direcciones de correo electrónico y detalles de sus viajes. Además de esa gran cantidad en más de 2.000 de ellos también les han robado datos de tarjetas de crédito (incluido sus CVV).
- Marriott – La cadena de hoteles reconoce una brecha de seguridad que afecta a más de 5 millones de clientes filtrar información personal, de contacto y de sus programas de fidelización. Además, en este caso no es la primera vez que les ocurre en los últimos tiempos.
- Decathlon España – La filial ha reconocido una brecha de seguridad que ha expuesto más de 123 millones de registros de un servidor de su propiedad, con datos de tiendas, empleados y usuarios.
- Nintendo confirma que hasta 160.000 cuentas han sufrido accesos no autorizados tras sufrir una brecha de seguridad en la que se filtraron los ids y las contraseñas de sus clientes.
Como se ha podido comprobar en estos casos el tamaño de las compañías no es un freno para los ciberdelincuentes, que son conscientes de que los datos se traducen de manera proporcional en beneficios económicos.
A nivel empresa, si somos conscientes de que hemos sufrido algún tipo de incidente de esta índole, la AEPD (Agencia Española de Protección de Datos) nos dice que si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante la misma en un plazo máximo de 72 horas desde que se tenga constancia a través del enlace habilitado en la Sede electrónica de la agencia.
En cualquier caso, en la línea de proactividad y transparencia que marca el RGPD siempre es recomendable notificar ante la AEPD una brecha de seguridad en los datos personales que sufra un responsable del tratamiento.
No obstante, en el siguiente enlace la AEPD pone a disposición de descarga la siguiente “Guía para la gestión y notificación de brechas de seguridad” en la que se puede ver todas las casuísticas y situaciones que se pueden dar en una situación como las comentadas.
Aunque como se ha comentado en la presente publicación, aunque tengas una seguridad muy avanzada no estas exento de sufrir este tipo de situación pero siempre es de gran ayuda tenerla y no poner las cosas fáciles a los ciberdelincuentes, por ello desde MTP apostamos por cubrir todas las necesidades que nuestros clientes puedan tener para securizar sus empresas ofreciendo nuestros Servicios de Ciberseguridad.