La Ciberseguridad en los Despachos de Abogados. Parte 5.
“Gestión de la Fuga de Información”.
Post anterior: Ciberseguridad en Despachos de Abogados. Parte 4
Vamos a analizar el Plan para la Gestión de la Fuga de Información a tener en cuenta en un Despacho de Abogados, para reforzar su capacidad de prevención y de acción ante un incidente de estas características.
1.- Fase Inicial.
Los momentos inmediatamente posteriores a la detección de una Fuga de Información son especialmente críticos.
Una adecuada y rápida gestión en las primeras fases pueden suponer una eficaz reducción del impacto del incidente y una minimización de sus efectos.
Por lo tanto, una vez tengamos conocimiento del incidente, deberemos informar internamente de la situación, activando el Protocolo de Actuación que tengamos diseñado en nuestra organización para estos casos.
Hay que incidir en la “prudencia” y “confidencialidad”.
Si la Fuga de Información conlleva Datos Personales, el Reglamento Europeo de Protección de Datos recoge que el Responsable de Tratamiento tiene obligación de comunicar la violación de seguridad ante la Agencia Española de Protección de Datos en las 72 horas siguientes a haber tenido conocimiento de que se ha producido la misma.
Además deberá comunicar al interesado si ésta entraña un alto riesgo para sus derechos y libertades.
2.- Fase de Lanzamiento.
Habrá que convocar a los miembros del Comité o Gabinete de Crisis, es decir, al equipo de gestión, responsable de tomar las decisiones durante este proceso.
Hay que mantener la calma y actuar de forma coordinada y organizadamente, a fin de evitar decisiones incorrectas o que puedan provocar consecuencias negativas adicionales.
3.- Fase de Auditoría.
En esta Fase se trata de obtener la máxima información posible sobre el incidente.
Por eso es necesario llevar una Auditoría Interna con el objeto de determinar:
A.- Cantidad de Información que ha podido ser sustraída.
B.- El tipo de Datos. Si son datos de carácter personal y de que nivel.
C.- Examinar si la información es de la misma entidad o es externa, con especial consideración a los datos de nuestros clientes.
D.- Establecer y acotar la causa principal de la filtración. Si tiene un origen técnico o humano.
Además de la Auditoría Interna, habrá que realizar una Auditoría Externa, con el objeto de conocer el tamaño, gravedad y nivel de difusión de la filtración en el exterior de la organización.
E.- Determinar el alcance de la información sustraída.
F.- Establecer que información se ha hecho pública.
G.- Recoger las noticias y otros contenidos que hayan aparecido en los medios de comunicación o redes sociales.
H.- Conocer las reacciones.
En esta Fase el tiempo de reacción es crítico. (Plazo no superior a 12 horas desde que se ha conocido el incidente).
4.- Fase de Evaluación.
Es por ello que, con toda la información recopilada, se podrá iniciar el proceso de valoración del incidente, así como sus posibles consecuencias e impacto.
Es recomendable establecer las tareas a emprender, así como una planificación detallada para cada una de ellas.
También se debe de actuar con agilidad.
Dentro de las principales tareas de Ciberseguridad, se encuentran las siguientes:
Actuaciones para cortar la filtración y evitar nuevas Fugas de Información.
- Revisión de la difusión de la Información y mitigación de la misma. En especial si se trata de información confidencial o datos de carácter personal.
- Actuación con los afectados, ya sean internos o externos.
- Tareas para la mitigación de las consecuencias legales o posibles incumplimientos de la normativa de Protección de Datos de carácter Personal o de otra normativa.
- Determinación de consecuencias económicas que puedan afectar a la organización y su posible mitigación.
- Examinar los activos de la organización que hayan podido ser afectados y su alcance.
- Planificación del contacto y la coordinación con los cuerpos y fuerzas de seguridad del estado.
5.- Fase de Mitigación
Esta fase se centra en tratar de reducir la brecha de seguridad y evitar que se produzcan nuevas Fugas de Información en el menor tiempo posible.
También en esta Fase se trata de mitigar la difusión de la información sustraída, en especial si se encuentra publicada en internet.
Se contactará con los sitios que han publicado la información, con los motores de búsqueda, y se solicitará su retirada, en especial si se tratase de información sensible o protegida por el secreto profesional o la Ley de Protección de Datos.
También se pondrá el incidente en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado (Policía y Guardia Civil) o de la Fiscalía de Cibercriminalidad Informática y también hay que ponerlo en conocimiento de la Agencia Española de Protección de Datos (AEPD).
Convendría además que se ponga en conocimiento del propio Colegio de Abogados, si se considerase adecuado por la gravedad del incidente o de la cantidad o calidad de los datos afectados.
6.- Fase de Seguimiento
Una vez completadas las Fases anteriores, se procederá a evaluar el resultado y la efectividad de las acciones realizadas en relación con las consecuencias y su impacto.
Se podrá realizar en esta fase una Auditoría más completa de Ciberseguridad, a partir de la cual se puedan diseñar e implementar medidas definitivas para evitar nuevas Fugas y restablecer el normal funcionamiento de los servicios e infraestructuras que pudieran haberse visto afectadas.
De Legalis Consultores (Ignacio Puig Carles) sobre varios textos jurídicos sobre la materia y en especial de la página web de la Agencia Española de Protección de Datos.
Legalis Consultores
Te agradeceríamos puedas compartir en tus redes sociales este artículo sobre“Ciberseguridad en los Despachos de Abogados. Parte 5”y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es
Síguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es
y en TWITTER: @LegalisConsult
Gracias y…Te esperamos.