1
00:00:02,350 --> 00:00:07,669
Hola, mi nombre es Nelia Álvarez y en esta sesión hablaremos sobre gestión de incidentes

2
00:00:07,669 --> 00:00:12,109
de seguridad y brechas de datos. ¿Qué es un incidente de seguridad y una brecha de

3
00:00:12,109 --> 00:00:16,929
datos? Un incidente de seguridad es todo evento que comprometa la disponibilidad, autenticidad,

4
00:00:17,170 --> 00:00:22,230
integridad o confidencialidad de la información almacenada, transmitida o tratada de cualquier

5
00:00:22,230 --> 00:00:26,789
forma o que afecta servicios ofrecidos por sistemas de redes de información o accesibles

6
00:00:26,789 --> 00:00:31,410
a través de ellos. Una brecha de seguridad de datos personales es una violación de la

7
00:00:31,410 --> 00:00:36,609
seguridad que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos

8
00:00:36,609 --> 00:00:41,189
personales que son transmitidos, conservados o tratados de otra forma o la comunicación

9
00:00:41,189 --> 00:00:43,170
o acceso no autorizado a dichos datos.

10
00:00:44,310 --> 00:00:49,390
No todos los incidentes de seguridad son necesariamente brechas de datos personales, pero sí todas

11
00:00:49,390 --> 00:00:52,850
las brechas de datos personales entran dentro del marco de un incidente de seguridad.

12
00:00:53,609 --> 00:00:57,549
Por tanto, por brecha de seguridad o brecha de datos debemos entender cualquier incidente

13
00:00:57,549 --> 00:01:01,590
de seguridad que afecta a datos de carácter personal y que impactan alguna de las siguientes

14
00:01:01,590 --> 00:01:07,870
esferas de seguridad. Confidencialidad, es decir, cuando se produce una comunicación o acceso a

15
00:01:07,870 --> 00:01:12,730
datos personales por terceros o personas no autorizadas. Por ejemplo, publicar datos personales

16
00:01:12,730 --> 00:01:17,750
por error en una web en caso de pérdida o sustracción de un pendrive o de una carpeta

17
00:01:17,750 --> 00:01:22,750
física con información sobre los alumnos, lo que podría implicar su acceso y o uso por terceros

18
00:01:22,750 --> 00:01:28,250
no autorizados. Integridad, cuando se produce una alteración o modificación no autorizada de los

19
00:01:28,250 --> 00:01:33,409
datos personales. Por ejemplo, si un tercero no autorizado accede a la base de datos y modifica

20
00:01:33,409 --> 00:01:39,489
la calificación de un alumno o cualquier dato personal. Disponibilidad, cuando por un funcionamiento

21
00:01:39,489 --> 00:01:44,549
defectuoso de los sistemas se impide el acceso o uso de la información por parte de los usuarios

22
00:01:44,549 --> 00:01:49,849
autorizados. Por ejemplo, un ataque de ransomware que encripta una base de datos de alumnos impidiendo

23
00:01:49,849 --> 00:01:54,129
su consulta o uso normal o la destrucción involuntaria de una carpeta física que

24
00:01:54,129 --> 00:01:59,250
contenga pruebas de evaluación o autorizaciones. Una brecha de datos personales puede afectar a

25
00:01:59,250 --> 00:02:03,670
más de uno de estos factores. Por ejemplo, la pérdida de documentación puede afectar tanto

26
00:02:03,670 --> 00:02:08,770
a la disponibilidad como a la confidencialidad de los datos. El acceso a una base de datos y

27
00:02:08,770 --> 00:02:13,050
su manipulación para modificar la información contenida puede afectar a la confidencialidad

28
00:02:13,050 --> 00:02:18,110
e integridad. También debe tenerse en cuenta que una brecha de datos personales puede afectar

29
00:02:18,110 --> 00:02:24,030
tanto información tratada en formato digital como en formato papel. Es importante reaccionar

30
00:02:24,030 --> 00:02:28,889
de manera temprana ante un incidente que pueda afectar a datos de carácter personal y evaluar

31
00:02:28,889 --> 00:02:32,650
su alcance y el riesgo para los derechos y libertades de las personas que hayan podido

32
00:02:32,650 --> 00:02:38,110
verse afectadas. No adoptar a tiempo las medidas adecuadas en caso de brecha de seguridad puede

33
00:02:38,110 --> 00:02:43,449
suponer daños y perjuicios físicos, materiales o inmateriales para las personas físicas como

34
00:02:43,449 --> 00:02:49,229
pérdida de control sobre sus datos, restricción de sus derechos, discriminación, usurpación de

35
00:02:49,229 --> 00:02:54,090
identidad, pérdidas financieras o cualquier otro perjuicio económico o social significativo para

36
00:02:54,090 --> 00:02:59,469
la persona. Para evaluar el riesgo de una brecha debe tenerse en cuenta los siguientes factores.

37
00:03:00,090 --> 00:03:04,610
1. La causa de la brecha. Si ha sido accidental, debido a un error humano, descuido o un fallo en

38
00:03:04,610 --> 00:03:09,969
los sistemas o si ha sido intencionada, debido a un ciberataque, a un robo de documentación,

39
00:03:09,969 --> 00:03:15,250
por ejemplo, o si la causa es externa, provocada por un tercero, o interna, por personal del propio

40
00:03:15,250 --> 00:03:20,610
centro. En segundo lugar, debemos tener en cuenta el tipo de brecha de datos personales. Como

41
00:03:20,610 --> 00:03:25,250
decíamos, las brechas de datos pueden afectar a la disponibilidad, confidencialidad o integridad

42
00:03:25,250 --> 00:03:31,030
de los datos. Para valorar el alcance e impacto de la brecha, es importante identificar qué ha

43
00:03:31,030 --> 00:03:36,389
ocurrido y qué efecto tiene en la seguridad de los datos personales afectados. En tercer lugar,

44
00:03:36,389 --> 00:03:41,110
naturaleza, carácter sensible y volumen de datos personales. Existen diferentes categorías de

45
00:03:41,110 --> 00:03:45,729
datos personales que por su naturaleza requieren una mayor protección o pueden tener un impacto

46
00:03:45,729 --> 00:03:50,310
mayor en los interesados. A la hora de valorar la gravedad de una brecha de datos es relevante

47
00:03:50,310 --> 00:03:55,069
considerar qué datos se han podido ver afectados. Por ejemplo, si los datos afectados se limitan a

48
00:03:55,069 --> 00:03:59,129
datos identificativos como el nombre y los apellidos o si ha afectado a datos que requieren

49
00:03:59,129 --> 00:04:03,409
una protección mayor como datos de categorías sensibles relativos a la salud o a las creencias

50
00:04:03,409 --> 00:04:09,110
religiosas. En cuarto lugar, la facilidad de identificar a las personas afectadas. La

51
00:04:09,110 --> 00:04:12,689
gravedad de una brecha de seguridad dependerá de la facilidad con la que las personas afectadas

52
00:04:12,689 --> 00:04:16,949
pueden ser identificadas a partir de los datos comprometidos. Por ejemplo, una filtración

53
00:04:16,949 --> 00:04:21,029
de nombres y apellidos combinados con números de identificación personal o direcciones

54
00:04:21,029 --> 00:04:25,550
de correo electrónico supone un riesgo mayor que una filtración de datos agregados, por

55
00:04:25,550 --> 00:04:30,089
ejemplo, si afecta a un código de identificación del alumno o a referenciar mediante iniciales

56
00:04:30,089 --> 00:04:35,110
sin mostrar el nombre completo. Por último, el número de personas afectadas. El alcance de la

57
00:04:35,110 --> 00:04:39,589
brecha y su impacto también dependerá del número de personas que puedan verse afectadas. Con todo

58
00:04:39,589 --> 00:04:43,910
lo anterior, deberá valorarse la gravedad de las consecuencias para los derechos y libertades de

59
00:04:43,910 --> 00:04:48,269
las personas. La gravedad y las consecuencias dependen en gran medida de los cinco puntos

60
00:04:48,269 --> 00:04:52,870
previos, especialmente si la información expuesta pertenece a categorías especiales de datos como

61
00:04:52,870 --> 00:04:57,670
los relativos a la salud o a creencias religiosas, pero también de las características de las

62
00:04:57,670 --> 00:05:02,170
personas que pueden verse afectadas por la brecha. En el caso de los centros educativos debe tenerse

63
00:05:02,170 --> 00:05:06,810
en cuenta la especial situación de vulnerabilidad de los interesados si la brecha afecta a datos

64
00:05:06,810 --> 00:05:11,889
personales de menores. Las brechas de seguridad pueden ocurrir de forma accidental o de forma

65
00:05:11,889 --> 00:05:16,829
intencionada. Puede tener su origen en el personal interno, en los sistemas del propio responsable o

66
00:05:16,829 --> 00:05:21,610
un encargado o en una figura externa a ellos. Las brechas más comunes en los centros educativos

67
00:05:21,610 --> 00:05:26,350
ocurren como consecuencia de errores humanos o fallos en los sistemas de información utilizados.

68
00:05:26,350 --> 00:05:30,689
Por ejemplo, el extravío de una carpeta física que contiene los expedientes de los alumnos,

69
00:05:31,089 --> 00:05:35,170
la eliminación de documentación física que contiene datos personales de forma no segura,

70
00:05:35,329 --> 00:05:38,949
por ejemplo no utilizando máquinas trituradoras o contenedores específicos,

71
00:05:39,370 --> 00:05:44,009
o el envío de correo electrónico de información confidencial a un destinatario distinto del intencionado.

72
00:05:44,850 --> 00:05:50,410
Pero también existen casos en los que como origen interno la brecha puede producirse de manera intencionada.

73
00:05:50,810 --> 00:05:55,350
Por ejemplo, un alumno que consigue acceso a las cuentas de los sistemas de información del personal docente

74
00:05:55,350 --> 00:05:58,610
o extrae de manera indebida documentación en formato papel.

75
00:05:59,730 --> 00:06:02,709
Tampoco es infrecuente que sujetos externos al centro educativo

76
00:06:02,709 --> 00:06:05,170
ataquen de manera intencionada sus sistemas de información.

77
00:06:06,290 --> 00:06:10,050
En este sentido, las brechas de seguridad pueden suponer para los centros educativos

78
00:06:10,050 --> 00:06:15,170
riesgos de pérdida de datos, interrupción de sus actividades y daño reputacional elevado.

79
00:06:16,329 --> 00:06:20,089
Si se detecta que se ha producido un evento que pueda afectar a la confidencialidad,

80
00:06:20,329 --> 00:06:22,589
disponibilidad o integridad de los datos personales,

81
00:06:22,589 --> 00:06:25,370
se debe informar al responsable del centro de manera inmediata.

82
00:06:25,990 --> 00:06:31,209
Igualmente, si el personal docente identifica una anomalía en los sistemas, soportes o equipos informáticos

83
00:06:31,209 --> 00:06:35,649
o directamente detecta un posible incidente de seguridad que pueda afectar a datos personales,

84
00:06:35,850 --> 00:06:39,769
debe comunicarlo rápidamente al servicio informático del que disponga el centro,

85
00:06:40,129 --> 00:06:45,470
al delegado de protección de datos o al responsable directo para que el centro pueda actuar de forma temprana

86
00:06:45,470 --> 00:06:49,149
en la valoración de la gravedad del incidente, de acuerdo a unos factores concretos,

87
00:06:49,149 --> 00:06:53,769
determinar su afectación a datos personales y, en su caso, notificar a la autoridad competente

88
00:06:53,769 --> 00:06:57,910
y a los interesados afectados, además de aplicar medidas para mitigar los posibles

89
00:06:57,910 --> 00:06:58,370
riesgos.

90
00:06:59,290 --> 00:07:03,089
Es importante actuar de manera temprana desde que se tiene conocimiento de la brecha de

91
00:07:03,089 --> 00:07:07,110
seguridad para poder mitigar los posibles efectos que ello pueda causar en los interesados.

92
00:07:07,350 --> 00:07:11,790
Pero además, la normativa de protección de datos exige al responsable notificar sin

93
00:07:11,790 --> 00:07:15,970
dilación indebida y en un plazo máximo de 72 horas desde la detección toda brecha

94
00:07:15,970 --> 00:07:20,490
de datos personales, salvo que sea improbable que la misma constituya un riesgo elevado

95
00:07:20,490 --> 00:07:22,470
para los derechos y libertades de los interesados.

96
00:07:23,449 --> 00:07:28,189
En el caso de producirse un incidente en un centro educativo privado o concertado, el

97
00:07:28,189 --> 00:07:32,750
propio centro, como responsable del tratamiento, deberá evaluar el alcance de la brecha y

98
00:07:32,750 --> 00:07:36,089
determinar las consecuencias posibles para los derechos y libertades de las personas

99
00:07:36,089 --> 00:07:36,689
afectadas.

100
00:07:37,750 --> 00:07:42,250
Si tras evaluar la brecha de datos se concluye que es probable que pueda causar riesgos a

101
00:07:42,250 --> 00:07:46,389
los derechos y libertades de los interesados, se deberá poner en conocimiento de la Agencia

102
00:07:46,389 --> 00:07:51,629
Española de Protección de Datos en un plazo máximo de 72 horas. Si además se considera

103
00:07:51,629 --> 00:07:55,769
que la brecha puede afectar de manera significativa a los derechos y libertades de los interesados,

104
00:07:56,250 --> 00:08:00,110
será necesario comunicar el incidente también a los interesados afectados.

105
00:08:00,750 --> 00:08:04,889
El procedimiento de respuesta ante una brecha de seguridad debe enfocarse principalmente

106
00:08:04,889 --> 00:08:09,689
en su contención, erradicación y recuperación. En la fase de contención, el objetivo es

107
00:08:09,689 --> 00:08:14,829
desarrollar una estrategia de respuesta adecuada a la naturaleza del incidente que provocó la brecha,

108
00:08:15,189 --> 00:08:20,550
con medidas que podrán ser aplicadas de forma inmediata o progresiva. En la fase de reivindicación

109
00:08:20,550 --> 00:08:25,329
se toman medidas para identificar y mitigar las vulnerabilidades explotadas, fijándose plazos

110
00:08:25,329 --> 00:08:29,470
para la ejecución de dichas tareas y verificando el correcto funcionamiento de las medidas de

111
00:08:29,470 --> 00:08:35,070
mitigación ejecutadas. La fase de recuperación consiste en restablecer el servicio afectado en

112
00:08:35,070 --> 00:08:40,830
su totalidad, confirmando su normal funcionamiento. Por último, el centro, como responsable del

113
00:08:40,830 --> 00:08:45,090
tratamiento, deberá registrar y documentar cualquier brecha de seguridad que afecte a

114
00:08:45,090 --> 00:08:50,009
datos personales, incluyendo los hechos relacionados con ella, sus efectos y las medidas correctivas

115
00:08:50,009 --> 00:08:54,370
adoptadas en el registro de incidencias. Muchas gracias por vuestra atención.