Utilizamos cookies de terceros para realizar un análisis de las visitas con fines estadísticos. Al pulsar Aceptar consiente dichas cookies. Puede obtener más información en nuestra política de cookies, o bien conocer cómo cambiar la configuración, clicando en Configurar cookies.

Configurar cookies Aceptar

Tu privacidad es importante para nosotros

Las cookies son pequeños archivos de texto que se almacenan en tu navegador cuando visitas nuestra web. Utilizamos cookies para diferentes objetivos y para mejorar tu experiencia en nuestro sitio web (por ejemplo, para recordar tus detalles de acceso).

Puedes cambiar tus preferencias y rechazar que algunos tipos de cookies sean almacenados mientras estás navegando en nuestra web. También puedes cancelar cualquier cookie ya almacenada en tu navegador, pero recuerda que cancelar las cookies puede impedirte utilizar algunas partes de nuestra web.

Funcionales

daxia-privacy-bar y daxia-gdpr-preferences
Necesarias para cumplir con la ley vigente sobre el manejo de cookies.

Obligatorias
Analíticas

Usamos Analytics para mejorar la estructura de nuestros contenidos.

Política de privacidad
Gestin de brechas de seguridad
22 Feb

Qué hacer ante una brecha de seguridad (y cómo evitar una sanción)

¿Qué harías si mañana descubres que han accedido a tu correo corporativo?

Hace unas semanas, una empresa detectó accesos no autorizados a una cuenta de Microsoft 365 desde ubicaciones geográficas completamente ajenas a su actividad habitual.

En cuestión de horas, se estaban intentando enviar correos suplantando su identidad a clientes y proveedores.

No es un caso aislado. Es un escenario cada vez más frecuente.

Y cuando ocurre, el problema no es solo técnico. Es también legal.

Cuando hay una brecha, el tiempo empieza a correr

El Reglamento General de Protección de Datos (RGPD) establece que, si existe riesgo para los derechos y libertades de las personas afectadas, la brecha debe notificarse a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas.

Eso implica tomar decisiones rápidas y fundamentadas:

  • ¿Qué ha ocurrido exactamente?
  • ¿Durante cuánto tiempo?
  • ¿Qué datos han podido verse comprometidos?
  • ¿Se ha producido difusión efectiva?
  • ¿Existe riesgo real para los afectados?

Responder mal —o tarde— puede tener consecuencias económicas importantes.

Cómo se gestiona correctamente una brecha

En este caso concreto, el trabajo se estructuró en tres fases:

1. Análisis técnico

  • Revisión de logs de acceso.
  • Delimitación de la ventana de compromiso.
  • Verificación de intentos de envío.
  • Identificación de posibles datos accesibles.
  • Determinación del número de afectados.

2. Valoración jurídica del riesgo

No toda brecha implica sanción. No toda brecha obliga a comunicar a los interesados.

La clave está en la evaluación del riesgo:

  • Tipo de datos afectados.
  • Volumen.
  • Perfil de los interesados.
  • Existencia de medidas de seguridad previas.
  • Capacidad de contención del incidente.

3. Documentación y notificación

Se elaboró la documentación técnica completa, se notificó a la AEPD dentro del plazo legal y se comunicó a los afectados de forma preventiva y transparente.

Días después, la Agencia confirmó que no iniciaría actuaciones adicionales.

Sin expediente.
Sin sanción.

No porque no hubiera incidente, sino porque se gestionó correctamente.

Las brechas no siempre se pueden evitar

Pero sí se puede:

  • Reducir la superficie de exposición.
  • Tener protocolos claros.
  • Documentar adecuadamente.
  • Tomar decisiones fundamentadas en las primeras 72 horas.

La diferencia entre una incidencia técnica y un problema regulatorio suele estar en cómo se actúa desde el primer momento.

¿Está tu empresa preparada?

Si tu organización trabaja con datos de clientes, empleados o proveedores y utiliza herramientas como Microsoft 365, es importante tener claro:

  • Quién analiza los logs.
  • Quién valora el riesgo.
  • Quién decide si se notifica.
  • Cómo se documenta el incidente.

Porque cuando ocurre, no hay tiempo para improvisar.

En DAXIA podemos ayudarte a:

  • Gestionar brechas de seguridad.
  • Evaluar el riesgo conforme al RGPD.
  • Notificar correctamente a la AEPD.
  • Reforzar sus sistemas para reducir la probabilidad de repetición.

Si quieres revisar el nivel de preparación de tu organización ante una posible brecha, contacta con nosotros.

Comparte este artículo