Cómo demostrar el cumplimiento del artículo 33 del RGPD

Comentario técnico

Además de documentar exhaustivamente todos los eventos relacionados con una infracción, las organizaciones deben considerar seis factores gobernantes al actuar ante una violación de datos:

1. La definición de violación: "una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a datos personales transmitidos, almacenados o procesados ​​de otro modo".
2. Mantener una aguda conciencia de una infracción y obtener un "grado razonable de escrutinio" cuando se sospecha que se ha producido una infracción.
3. Ser consciente de los riesgos para las libertades individuales que puede causar una violación de datos y de la probabilidad de que se presenten estos riesgos.
4. La gravedad del riesgo, incluido.
• La categoría de riesgo.
• La cantidad de datos afectados y el tamaño de la violación.
• Cómo pueden identificar a las personas afectadas.
• Qué tan grave es la infracción en términos de consecuencias tangibles para las personas afectadas por ella (y qué tan vulnerables son).
• La naturaleza del negocio de la organización y si eso constituye un riesgo mayor (por ejemplo, datos financieros).
5. Cuando sea posible, la necesidad de notificar a las autoridades gobernantes. en 72 horas.
6. La necesidad de proporcionar una razón válida para contactar a las autoridades. después de que hayan transcurrido 72 horas, si esto ocurre.

Al notificar a la autoridad supervisora, las organizaciones deben:

• Describa la naturaleza de la infracción.
• Designe un punto de contacto.
• Describe la probabilidad de cualquier consecuencia.
• Describa cualquier acción tomada en respuesta a la infracción.
• Proporcione cualquier detalle adicional que sea relevante para la infracción.

ISO 27701 Cláusula 6.13.1.1 (Responsabilidades y procedimientos) y Artículos 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) y 34 del RGPD UE (4)

Para crear una política de gestión de incidentes cohesiva y altamente funcional que salvaguarde la disponibilidad y la integridad de la información privada durante incidentes críticos, las organizaciones deben:

1. Adherirse a un método para informar eventos de seguridad de la información de privacidad.
2. Establecer una serie de procesos que gestionen los incidentes relacionados con la seguridad de la información de privacidad en toda la empresa, que incluyen:
• Administración.
• Documentación.
• Detección.
• Triaje.
• Priorización.
• Análisis.
• Comunicación.
3. Redactar un procedimiento de respuesta a incidentes que permita a la organización evaluar, responder y aprender de los incidentes.
4. Garantizar que los incidentes sean gestionados por personal capacitado y competente que se beneficie de programas continuos de capacitación y certificación en el lugar de trabajo.

El personal involucrado en incidentes de seguridad de la información privada debe comprender:

• El tiempo que debería llevar resolver una incidencia.
• Cualquier posible consecuencia.
• La gravedad del incidente.

Al abordar eventos de seguridad de la información de privacidad, el personal debe:

1. Evaluar los eventos de acuerdo con un estricto criterio que los valide como incidentes aprobados.
2. Clasifique los eventos de seguridad de la información de privacidad en 5 subtemas:
• Monitoreo (ver ISO 27002 Controles 8.15 y 8.16).
• Detección (ver Control ISO 27002 8.16).
• Clasificación (ver ISO 27002 Control 5.25).
• Análisis.
• Informes (ver Control ISO 27002 6.8).
3. Al resolver incidentes de seguridad de la información de privacidad, las organizaciones deben:
• Responder y escalar problemas (ver Control ISO 27002 5.26) de acuerdo con el tipo de incidente.
• Activar planes de gestión de crisis y continuidad del negocio.
• Afectar una recuperación gestionada de un incidente que mitigue el daño operativo y/o financiero.
• Garantizar una comunicación exhaustiva de los eventos relacionados con incidentes a todo el personal relevante.
4. Participar en el trabajo colaborativo (consulte los controles 27002 y 5.5 de ISO 5.6).
5. Registre todas las actividades basadas en gestión de incidentes.
6. Ser responsable del manejo de la evidencia relacionada con el incidente (ver Control ISO 27002 5.28).
7. Lleve a cabo un análisis exhaustivo de la causa raíz para minimizar el riesgo de que el incidente vuelva a ocurrir, incluidas las modificaciones sugeridas a cualquier proceso.

Las actividades de presentación de informes deben centrarse en cuatro áreas clave:

• Acciones que deben tomarse una vez que ocurre un evento de seguridad de la información.
• Formularios de incidentes que registran información a lo largo de un incidente.
• Procesos de retroalimentación de extremo a extremo a todo el personal relevante.
• Informes de incidentes que detallan lo que ocurrió una vez que se resolvió el incidente.

Compatible con controles ISO 27002

• ISO 27002 5.25
• ISO 27002 5.26
• ISO 27002 5.5
• ISO 27002 5.6
• ISO 27002 6.8
• ISO 27002 8.15
• ISO 27002 8.16

ISO 27701 Cláusula 6.13.1.5 (Respuesta a incidentes de seguridad de la información) y artículos 34 (1) y 34 (2) del RGPD UE

Las organizaciones deben garantizar que los incidentes de seguridad de la información privada sean tratados por un equipo técnico dedicado con las habilidades y recursos para lograr una resolución rápida (consulte ISO 27002 Control 5.24).

Las organizaciones deberían:

• contener cualquier amenaza relacionada con la privacidad que surja del problema original.
• recopilar un conjunto de pruebas a lo largo del proceso de resolución.
• incluir escalamiento, actividades BUDR y planificación de continuidad en cualquier esfuerzo de resolución (ver Controles ISO 27002 5.29 y 5.30).
• registrar toda la actividad relacionada con el incidente.
• garantizar que el personal opere según la “necesidad de saber” cuando se trate de incidentes de información de privacidad.
• ser continuamente conscientes de sus responsabilidades hacia sus clientes y organizaciones externas al comunicar incidentes de información de privacidad y violaciones de datos.
• cerrar incidentes a un conjunto rígido de criterios de resolución.
• realizar análisis forenses (ver ISO 27002 Control 5.28), cuando sea necesario.
• buscar establecer la causa subyacente de un incidente, una vez que se ha resuelto (ver Control ISO 27002 5.27).
• tomar medidas correctivas sobre cualquier proceso, control, política y procedimiento asociado, para reforzar la protección de la privacidad de la organización una vez que se haya resuelto un incidente.

Compatible con controles ISO 27002

• ISO 27002 5.24
• ISO 27002 5.27
• ISO 27002 5.28
• ISO 27002 5.29
• ISO 27002 5.30

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Cómo ayuda ISMS.online

Una infracción del RGPD puede dar lugar a multas importantes, lo que la convierte en una de las normas de privacidad y seguridad más estrictas del mundo. Como resultado, implica que las organizaciones deben proteger los datos personales en un grado "razonable".

Pero he aquí las buenas noticias.

En una ubicación segura y siempre activa, ISMS.online le facilita acceder directamente al cumplimiento del RGPD y demostrar un nivel de protección que va más allá de lo "razonable".

Hacemos que el mapeo de datos sea una tarea sencilla. Al agregar los detalles de su organización a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento, puede registrarlo y revisarlo todo fácilmente.

Si sucede lo peor, estarás preparado.

Con nuestras herramientas, puede planificar, comunicar, documentar y aprender de cada infracción.

Descubre más por reservando una breve demostración de 30 minutos.