Esta mañana he leído en la edición digital de Canariasahora.es esta noticia. Al parecer después de las pasadas elecciones municipales del 2011, de realizó un inventario de equipos informáticos y el resultado del mismo no coincidió con el inventario anterior, faltando un ordenador portátil y un equipo de sobremesa.
Independientemente de los posibles tintes electorales de esta desaparición misteriosa, lo cierto es que desde el punto de vista de la normativa de protección de datos personales nos encontramos ante un incidente de seguridad en toda regla con todas sus derivadas.
No solo no aparecen los mismos, sino que no se tiene noción de su posible ubicación, ni si han sido sustraidos, trasladados o reubicados en algún otro sitio. Tampoco se puede saber quién lo hizo ni por qué.
Además de la desaparición de los equipos, de los cuales se desconoce que información y/o datos contenían, algunos discos duros aparecieron sin datos, lo que viene a resaltar la gravedad de este hecho.
Si nos encontráramos en una situación similar, ¿cómo deberíamos actuar? ¿qué obligaciones nos viene impuesta en la normativa española de protección de datos personales?.
Es evidente que si nos encontráramos en una situación similar a la comentada, la forma de actuar variará dependiendo del papel que ocupemos en esa organización o entidad responsable del fichero. En función del papel a ocupar, los pasos podrían ser:
1.- Como usuario del sistema de información.
Como usuario nuestra primera obligación es informar del incidente de seguridad. La organización habrá tenido que dotar de un protocolo de actuación para notificación de incidencia, en función de las instrucción ahí recibidas, debemos redactar el pertinente informe de incidencia y comunicarlo a la dirección y/o al responsable de seguridad señalado en dicho protocolo. En el mismo, habrá que incluir algunos campos como fecha en que se produjo la incidencia, fecha en la tuvimos conocimiento del incidente, tipología del incidente, explicación detallada del mismo, así como las posibles consecuencias del mismo.
2.- Como responsable de seguridad.
Una vez que hemos tenido recibido la notificación de la incidencia habrá que actuar en consecuencia, según el procedimiento que la organización tenga establecido. Resulta evidente que una situación como la comentada, deberá ser remitida inmediatamente a la dirección; indicando en el informe el posible impacto en la seguridad de la información (grado de afectación a la confidencialidad, disponibilidad e integridad de la misma); medidas de seguridad encaminadas a la recuperación de los datos; medidas para restablecer el pleno funcionamiento del sistema informático de la organización; pasos dados para identificar al responsable o posibles responsables del incidente; etc..
3.- Como responsable del fichero.
La entidad titular del sistema de información que gestiona los ficheros que contienen los datos personales también deberá asumir su cuota de protagonismo en la gestión del incidente de seguridad. Esa cuota de protagonismo va desde la iniciación de los protocolos de incidencia; la supervisión de los mismos; las actuaciones legales previstas; la dotación de medios materiales y económicos para que el responsable de seguridad junto con el responsable o administrador de sistemas pueda dejar en funcionamiento nuevamente el sistema informático dando lugar a la aplicación del plan de contingencias y continuidad del negocio esbozado en el plan de riesgos; etc..
Una vez analizada la incidencia y puesto en funcionamiento el resto del sistema, bien por la localización de los equipos y datos o bien por su sustitución, se podrá dar por cerrada el parte de incidencia. Además, deberá contener las posibles medidas de seguridad y recomendaciones futuras a fin de evitar que vuelva a darse una situación como esta.
Comentarios
Aún no hay comentarios.