DIEZ GRANDES ÉXITOS CINEMALOPDGRÁFICOS
LO QUE EL INCIDENTE DE SEGURIDAD SE LLEVÓ
En un pueblo al sur de España, llamado Malagatlanta, años há, vivía cómodamente la Señorita Escarchata.
Escarchata era dueña de un fructífero negocio de fabricación y venta de peladillas magentas, y cuando la vida más le sonreía, justo entonces, sufrió un indecente de seguridad.
Una noche, cuando ya todos los obreros se habían marchado y vuelto a casa, Escarchata invitó a un champán a su amigo –indecente-, el de seguridad (un vigilante, vamos), Rhett Burlete, dentro de la sala de servidores, donde tres potentes ordenadores procesaban miles y miles de datos de clientes, de proveedores de almendra, de personas y de obreros.
En un momento de sensual distracción, el contenido de una de las copas de champán, cayó sobre uno de los equipos informáticos, lo que inmediatamente provocó un cortocircuito, que a su vez originó un incendio que asoló la sala de servidores y 3/5 partes de la fábrica.
Y lo peor es que ni siquiera tenían copia de seguridad…
A la mañana siguiente, erguida sobre un páramo, la señorita Escarchata lloraba desconsolada viendo aquel panorama desolador, y entonces pronunció aquella famosa frase que pasaría a la historia:
– Aunque tenga que matar, engañar, aprender a bailar salsa con el hijoputa de Antonio o contratar a Vanesa Lopd de LOPD DIRECTA, a Dios pongo por testigo de que jamás volveré a traerme mis ligues a la sala de servidores para tener eso de un indecente de seguridad…
FIN
Epílogo.
Las indecencias se pagan caras.
Y los incidentes de seguridad en tu empresa, también.
Con independencia de lo que la normativa de protección de datos establezca sobre estas materias…: ¿por casualidad te has parado a pensar la catástrofe que podría ser para tu negocio perder miles de datos de tus clientes, contactos, empleados, etc…?
La idea de continuidad del negocio, de la que se habla con insistencia en la ISO 27001 y en la que tanto se centran los SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, adquiere hoy especial sentido, pues nos movemos en un mundo digital donde importantes cantidades de información se encuentran almacenadas en equipos informáticos propios o de terceros. Así, recuerdo con especial intensidad lo mucho que insistían los auditores de la 27001 en el tema de los planes de continuidad del negocio, cuya elaboración, desarrollo y puesta en práctica son obligatorios para obtener un certificado de la referido ISO.
No es sólo la Ley, sino el sentido común lo que debería obligarte a preparar algún sistema de respuesta ante una incidencia de seguridad que provoque una pérdida de datos en tu negocio.
Mas curiosamente, es este un tema que la mayoría de mis clientes pretenden eludir o al que no le dan la menor importancia.
Centrándonos ya en la legislación de protección de datos, debes saber que el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se refiere a la problemática de los incidentes de seguridad en su artículo 90, por una parte.
Dice este precepto que:
Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
Además, si tienes datos de nivel medio o alto, a esta obligación tendrás que añadirle la de incluir en el registro de incidencias, la información relativa a los procesos de recuperación que se hayan llevado a cabo, y la de autorizar expresamente dichos procesos.
Estas normas, además, se completan con las relativas la imposición de realizar copias de seguridad, con lo que la ley pretende que seas en todo momento capaz de reconstruir tus sistemas de información al momento anterior a haberse producido el incidente.
Se trata de que lo antes posible, puedas seguir prestando tus servicios profesionales o desarrollando tu actividad, tras un incidente se seguridad, como puede ser la pérdida de datos tras un incendio o un robo en tus oficinas.