Brechas de datos personales marzo: más del 50% fueron de origen interno

Como cada mes, la AEPD publica su Informe de Notificaciones de Brechas de Datos Personales. Tras analizarlo, determinamos que más del 50% de las brechas de datos personales del mes de marzo fueron de origen interno.

Esto significa que son los propios trabajadores y los protocolos de seguridad de las empresas los causantes de la mayoría de las brechas de datos personales, y lo que es aún más importante: se podrían haber evitado fácilmente.

Brechas de seguridad AEPD y RGPD ¿Qué es?

Una brecha de seguridad en el ámbito de la protección de datos personales, tal como lo definen la AEPD y el RGPD, es un incidente de seguridad que lleva a la destrucción, pérdida o alteración accidental o ilícita, o a la divulgación o acceso no autorizado a datos personales transmitidos, almacenados o tratados de otra manera.

La Agencia Española de Protección de Datos (AEPD) publicó recientemente un informe detallado acerca de las aepd brechas de seguridad. Este informe destacaba que más del 50% de las brechas de datos personales ocurridas en marzo fueron de origen interno, lo que pone de relieve la necesidad de tomar medidas preventivas dentro de las organizaciones. Frecuentemente, se tiende a centrarse en los ataques externos, pero estos datos subrayan la importancia de también prestar atención a los posibles riesgos internos.

Cabe destacar que el Reglamento General de Protección de Datos (RGPD) establece la obligación para las empresas de notificar a la AEPD en caso de cualquier brecha seguridad que pueda comprometer los datos personales que manejan. Este mandato legal tiene como objetivo principal garantizar que las brechas de seguridad rgpd sean correctamente gestionadas y mitigadas, protegiendo así los derechos y libertades de los individuos afectados.

Estas brechas pueden ocurrir por diferentes razones:

1. Ataques Cibernéticos: Hackers pueden emplear diversas técnicas como el phishing, ransomware, o ataques de fuerza bruta para acceder ilegalmente a los datos personales.
2. Malware y Virus: Software malicioso que infecta sistemas y puede llevar a la pérdida o robo de datos.
3. Errores Humanos: Errores como enviar información a la persona equivocada, configuración incorrecta de las bases de datos o pérdida de dispositivos de almacenamiento pueden resultar en brechas de seguridad.
4. Negligencia: Falta de medidas de seguridad adecuadas, como la actualización de software o la gestión de contraseñas fuertes.
5. Robo de Datos: El robo físico de dispositivos o documentos que contienen datos personales.
6. Fallos de Seguridad Tecnológica: Como sistemas obsoletos, fallos en la encriptación, o deficiencias en la infraestructura de TI.

Consecuencias de las Brechas de Seguridad

Las consecuencias de estas brechas pueden ser significativas:

• Daño a los Afectados: Riesgo para los derechos y libertades de las personas cuyos datos han sido comprometidos.
• Sanciones Legales: Incumplimiento del RGPD puede resultar en sanciones económicas sustanciales.
• Daño Reputacional: Pérdida de confianza de los clientes y daño a la imagen de la empresa.
• Pérdidas Financieras: Costos asociados con la gestión de la brecha, como la notificación a los afectados, investigaciones y medidas correctivas.

Respuesta y Prevención

Para responder a una brecha de seguridad, las organizaciones deben:

1. Notificar a la AEPD: Si la brecha supone un riesgo para los derechos y libertades de las personas, debe notificarse a la AEPD dentro de las 72 horas siguientes a su detección.
2. Informar a los Afectados: Si existe un alto riesgo para los derechos y libertades de los individuos, deben ser informados sin demoras indebidas.
3. Tomar Medidas Correctivas: Identificar la causa de la brecha y tomar medidas para evitar que vuelva a ocurrir.

Prevenir estas brechas implica implementar medidas de seguridad adecuadas, formación continua del personal, y una gestión proactiva de los riesgos de seguridad de la información.

Las brechas de seguridad pueden tener varias consecuencias negativas, incluyendo:

1. Pérdida de datos confidenciales: Los atacantes pueden acceder, robar o dañar información sensible o confidencial, como datos de clientes, contraseñas, información financiera o secretos comerciales.
2. Daño a la reputación: Las brechas de seguridad pueden socavar la confianza de los clientes y socios comerciales en una organización, lo que puede tener un impacto duradero en su reputación.
3. Pérdida financiera: Las empresas pueden enfrentar costos significativos en la recuperación de una brecha de seguridad, incluyendo la investigación, la restauración de sistemas y la compensación a las víctimas.
4. Riesgos legales y regulatorios: Dependiendo de la ubicación y la naturaleza de la brecha, una organización puede enfrentar acciones legales, multas y sanciones regulatorias por no proteger adecuadamente los datos y la privacidad de los individuos.
5. Interrupción de operaciones: Las brechas de seguridad pueden interrumpir las operaciones normales de una organización, causando pérdidas de productividad y servicios no disponibles.

Para prevenir y gestionar las brechas de seguridad, las organizaciones implementan medidas de seguridad cibernética, políticas de seguridad de la información, procedimientos de respuesta a incidentes y programas de concienciación y capacitación en seguridad para sus empleados.

La prevención y la respuesta efectiva a las brechas de seguridad son fundamentales para proteger la integridad, la confidencialidad y la disponibilidad de los datos y sistemas de una organización.

Origen de las brechas de datos personales (marzo 2022)

• Interno, accidental o malintencionado         55,5%
• Externo                                                        36%
• Desconocido                                                8,5%

Cómo se produjeron las brechas de datos personales (marzo 2022)

• Ciberincidente: Acceso no autorizado a datos en SI                      20%
• Ciberincidente: Suplantación de identidad (phishing)                    18%
• Ciberincidente: Dispositivo cifrado / secuestro de información      15%
• Documentación perdida o robada                                                  10%
• Dispositivo perdido o robado                                                          8,5%
• Datos personales mostrados al individuo incorrecto                      5,5%
• Datos enviados por error (postal o electrónicamente)                    4%
• Envío de correo electrónico a múltiples destinatarios sin CCO      4%
• Incidencia técnica                                                                            4%
• Abuso de privilegios de acceso                                                       3%
• Otros                                                                                                8,5%

Evita la mayoría de brechas de datos personales con un software DLP (Data Loss Prevention)

Los errores humanos, excesos de confianza, abusos de privilegios y medidas de seguridad insuficientes están entre las principales causas:

• Los ciberincidentes por phishing se pueden evitar formando a tus profesionales en protocolos de ciberseguridad.
• Los accesos no autorizados y abuso de privilegios se pueden controlar y registrar con un software de monitorización (Edorteam DLP).
• Ante secuestros de información, la única garantía 100% segura es un buen sistema de copias de seguridad (ET Backup).
• Si toda la organización cifra preventivamente cualquier información de carácter personal, estará protegida ante robos, secuestros, pérdidas y envíos erróneos (ET Encrypt) además, no estará obligada a notificar a la AEPD.

Si no tienes las medidas de seguridad adecuadas, es cuestión de probabilidad que en tu negocio se produzca una brecha de datos personales tarde o temprano. Edorteam DLP incluye una aplicación de cifrado AES 256, y es una solución global para cumplir con la mayoría de las medidas de seguridad que exigen la LOPD y RGPD.