¿Qué debe preocuparnos de la notificación de incidentes de seguridad?
14 de febrero de 2019
¿Qué debe preocuparnos de la notificación de incidentes de seguridad?
Es fundamental normalicemos el concepto de incidente de seguridad e interioricemos algunas cuestiones relevantes.
El Día de Internet Segura viene precedido de un intenso año de incidentes. Baste con recordar el último ejemplo sobre el que advierte la Oficina de Seguridad del Internauta con millones de correos electrónicos filtrados. Estas noticias podrían llegar a convertirse en rutinarias. El crecimiento exponencial de los objetos conectados, ─smartphones, wearables, asistentes domóticos, electrodomésticos, smart cities…─, y la propia digitalización de empresas y sector público no hacen sino multiplicar el volumen de entornos susceptibles de ser vulnerados.
Debemos ir acostumbrándonos a recibir noticias de este estilo con regularidad. El crecimiento de las oportunidades para la ciberdelincuencia, y el diseño de escenarios de ciberguerra han multiplicado las amenazas y obligado a adoptar estrategias firmes en el plano material, y también en el normativo. En la Unión Europea la Directiva NIS ha diseñado un marco de cooperación que implica disponer de una estrategia nacional de ciberseguridad.
Por otra parte, los artículos 33 y 34 del Reglamento General de Protección de Datos obligan a notificar violaciones de seguridad graves a la Agencia Española de Protección de Datos y bajo ciertas condiciones a las personas afectadas. En efecto, cuando una violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas hay que notificarla en 72 horas al Regulador, y cuando entrañe un alto riesgo para estos bienes jurídicos a las propias personas afectadas.
Estas notificaciones resultan antipáticas cuando no despiertan directamente el horror en quienes deben hacerlas, y en sus receptores. Ciertamente no ayuda nada la desgraciada traducción a nuestro idioma del concepto personal data breach. La palabra violación comporta una carga emocional de la que conviene desembarazarse, y es uno de esos casos en lo que alguien no ha hecho bien su trabajo al pilotar el desarrollo normativo y su traducción. En el Día de Internet segura es fundamental que quienes tratan datos personales y el público normalicemos de una vez el concepto de incidente de seguridad e interioricemos algunas cuestiones relevantes.
Primero, entendamos que notificar el incidente de seguridad es algo natural y va a ocurrir cada vez más. Y puesto que los incidentes, los delincuentes, las potencias gamberras, y hasta los errores, existen debemos aprender a normalizarlos. Y, el primer gran esfuerzo consiste en que notificar un incidente no puede ser concebido como un castigo sino como una oportunidad. Si la entidad que la padece hizo sus deberes, diseñó una estrategia de seguridad, adoptó medidas técnicas y organizativas, la notificación no es otra cosa que un aspecto más, aunque ciertamente doloroso-, de su plan de contingencia.
En segundo lugar, notificar una violación y hacerlo con rapidez puede ser un modo de apoyarse en el cliente o el administrado. Coincidirán nuestros lectores en que es preferible cambiar la numeración de nuestra tarjeta de crédito, o revisar nuestra cuenta bancaria 'por si acaso', que encontrarse con una cuenta 'vaciada'. Y, desde este lado de la barrera deberíamos aprender que cuando se nos notifica un incidente nuestro grado de confianza debería aumentar. Sin embargo, para ganar esta confianza, empresas y administraciones deben ser diligentes en el despliegue de las medidas de seguridad. Y existe un reto para el Regulador: operar como un agente constructivo no generando la percepción de ser un ente puramente sancionador.
El Reglamento subraya algo sustancial: cuando se accede a nuestra información se afecta a nuestros derechos. Y ello obliga sin duda a un profundo cambio cultural, cada uno de nosotros debe ser un protagonista activo en la seguridad. No podemos mirar desde la barrera, como si los incidentes fuesen algo ajeno. Piénselo bien, ¿cuántas contraseñas fáciles usa en su red social o en su comercio electrónico? ¿No estar utilizando su cuenta de correo del trabajo y la misma contraseña para registrarse en según qué sitios? ¿Protege la cámara y el micro de su móvil, tablet o smart-tv? La seguridad concierne a todos, también a los clientes.
Y del lado de las organizaciones, ha llegado el momento de empoderar a todo nuestro equipo. Y ello implica promover cultura de seguridad, poner en valor nuestros activos, y comprometer emocionalmente a las personas. La seguridad no es un decálogo que firmar cuando se firma un contrato, exige empoderar a los usuarios de los sistemas de información. Por otra parte, cabe intuir que en muy breve plazo la reputación de las empresas y organizaciones públicas se pondrá en juego cuando no notifiquen una violación de seguridad. Debemos aprender que todos podemos ser víctimas y que la seguridad es un esfuerzo colectivo, solidario y compartido. Y que no es un esfuerzo meramente formal, obligado por una norma. Su objetivo es crucial: proteger personas.