El 2017 acabará con más de 26.500 ciberincidentes en el sector público y empresas estratégicas españolas, un 26% más que el año pasado

El CCN-CERT, del Centro Criptológico Nacional (CCN), prevé cerrar el año 2017 con más de 26.500 ciberincidentes gestionados, frente a los 20.940 de 2016 (un 26,55% más). De ellos, el 5% serán clasificados como de criticidad muy alta o crítica, en base a diversos parámetros (tipo de amenaza, origen, perfil de usuario afectado, número o tipología de sistemas afectados, impacto, …).

El incremento se debe, no sólo a que se produzcan un mayor número de ataques (que también), sino que se ha mejorado la capacidad de detección, monitorización y notificación de ciberincidentes.

Entre los principales ataques detectados en número, las intrusiones (ataques dirigidos a explotar vulnerabilidades e introducirse en el sistema) y el código dañino (troyanos, spyware) fueron los principales vectores de ataque.

Se ha constatado que la instalación de las actualizaciones o parches de seguridad de las diferentes tecnologías que vienen a prevenir las vulnerabilidades, es todavía muy lenta. Así, en dos de las crisis más conocidas de este año (la herramienta de desarrollo de aplicaciones web de Apache Struts o el ransomware WannaCry) se tardaron dos meses desde que se conoció la vulnerabilidad hasta que se produjeron los primeros ataques.

El Reglamento General de Protección de Datos (RGPD) obliga a que los responsables comuniquen a las autoridades las violaciones de seguridad de los datos, es decir, todo incidente (o ciberincidente) que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

Los responsables deben documentar todas las violaciones de seguridad.

En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible.

El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra.

Haga click, si desea conocer nuestros servicios de ciberseguridad o seguridad de la información.