El caso RTVE

La pérdida de 6 pendrives sin cifrar por parte de la gestora del plan de pensiones de los empleados de RTVE, ha supuesto una multa de 60.000€ por parte de la AEPD.

Esta brecha de seguridad, ocasionada por un descuido humano, habría sido comunicada el 25 de enero de 2019 por pate del propio Delegado de Protección de Datos (DPD), tal y como se exige en estas situaciones.

Estos dispositivos se encontraban sin ningún tipo de protección dentro de un pequeño monedero. Los datos contenidos pertenecían a aproximadamente 11.000 personas y entre ellos figuraban datos de tipo identificativo, circunstancias personales, detalles de empleo, afiliación sindical, datos de salud e infracciones penales o condenas en caso de haberlas.

En cuanto al número de afectados es muy elevado ya que los datos de partícipes del plan de pensiones se remontan a la fecha de inicio de este en 1995, y los datos del Censo de RTVE son de todos los empleados de esta, siendo muchos de ellos también participes del Plan de Pensiones.

Puede consultar la resolución del procedimiento sancionador en cuestión en el siguiente enlace:
https://www.aepd.es/resoluciones/PS-00305-2019_ORI.pdf

 

El caso Ambar

El pasado noviembre saltaba la noticia que la cervecera Ágora en la que se integra la marca Ámbar fue víctima de software ransomware en el que se secuestraron los datos de la sección logística y comercial.
Este ataque, que no tiene por que haber sido dirigido directamente hacia la empresa en sí, es la forma más común que una empresa puede encontrarse totalmente desamparada.

Hoy en día las empresas tienen una gran parte y dependencia de sus sistemas informáticos, pero parece que no se tiene el cuidado ni se le da el valor que merece esta parte tan fundamental del proceso productivo.

Es muy importante que el servicio informático que tengamos contratado, ya sea interno o externo, implemente las medidas preventivas y de contención necesarias para evitar estas situaciones.

¿Podría su empresa recuperarse de uno de estos percances?

Nuestras conclusiones:

Este procedimiento sancionador ha resultado ser un grave problema para RTVE al extraviarse un elemento tan volátil, como un pequeño monedero que contenía 6 unidades USB. Citamos a continuación un extracto del documento enlazado:

“Los motivos en que basa la reclamación son que se ha producido una brecha de seguridad tras la desaparición de dispositivos extraíbles sin cifrar de la Oficina de atención al Participe del Plan de Pensiones (en adelante OPP) en el Edificio de Corporación RTVE (en adelante RTVE) en Prado del Rey, que contenían datos personales.”

De haberse implementado las medidas necesarias y fundamentales para impedir el acceso a estos datos personales, el DPD, no se hubiera visto obligado a iniciar los trámites de denuncia tal y como se indica en el artículo 33, ante la Agencia de Protección de Datos, con el perjuicio que finalmente les ha ocasionado.

De haber utilizado el sistema de cifrado, ET-Encrypt incluido en ET-Seguridad, la perdida de esos dispositivos USB no hubiera sido necesaria la notificación a la agencia de protección de datos y a los afectados por esta brecha de seguridad, según lo establecido en el artículo 34 de esta misma ley.

Este hecho no evitaría que en caso que fuese la única copia existente de esos datos, se hubiesen perdido para siempre. Un pilar básico de la informática es tener asegurada una copia de todo dato.

Para salvaguardar los datos en estos casos, disponemos de nuestro servicio de gestión documental GDocumental. Proporciona tanto la funcionalidad de almacenar los datos como la posibilidad de poderlos recuperar en cualquier momento. Independientemente de nuestra ubicación, seremos capaces de recuperar y aportar datos a la gestión documental.

Si no deseamos disponer de un acceso remoto en cualquier momento a la documentación, si es importante remarcar que debemos garantizar la perduración en el tiempo de los datos con los que trabajamos. Por ello, nuestro sistema de copias de seguridad ET-Backup, permite salvaguardar los datos en un entorno seguro, externos a nuestra organización y sin pérdida de estos en caso de un fallo del sistema o una intrusión externa.

Todos estos servicios se ofrecen des de territorio nacional y dentro de la UE, con lo que cumplen todos los requisitos de la LOPD y RGPD.

Queremos adicionalmente anotar, que dada la fragilidad de los dispositivos USB extraíbles (susceptibles a ser golpeados de una forma más directa), no es el mejor soporte para almacenar datos de este nivel de importancia.

Más información:
ET-Seguridad
GDocumental
ET-Backup Online