Siguiendo con el post anterior, analizaremos qué pasó con los datos afectados y las medidas de seguridad implementadas antes de que ocurriera la brecha de seguridad.
Respecto de los datos afectados
Los datos que se vieron vulnerados fueron el identificador de usuario y contraseña de acceso a los sistemas de información de la EMPRESA por lo que se trató de datos básicos.
El volumen de Datos se encontró en el rango de menos de 100.
La EMPRESA manifestó que el impacto fue prácticamente nulo, dado el periodo vacacional en que sucedió.
Los atacantes tuvieron acceso a dos identificadores personales de usuarios, que fueron utilizados únicamente para acceder y moverse por los sistemas de la compañía y, mediante herramientas sofisticadas de hacking, realizar el escalado de privilegios dentro de la red y distribuir el malware específicamente desarrollado para la EMPRESA. Esos identificadores de usuarios no tienen aplicación fuera del entorno de sistemas de la EMPRESA y quedaron inutilizados tras su bloqueo y el cambio de contraseñas asociadas a los mismos.
La EMPRESA comunicó públicamente esta situación a las pocas horas de conocerla, los cual, según manifiestan, demostró ser uno de los aspectos que permitió minorar también el impacto del ciberataque ya que tanto clientes, como colaboradores, empleados y proveedores tuvieron una actitud y actuación crucial en la gestión de la crisis.
Comunicados realizados al efecto:
o Comunicado publicado en la web
o Locución que se puso en el Contact Center y que informaba a todo aquel que llamaba sobre lo ocurrido.
o Mensaje utilizado en las redes sociales.
o Comunicados realizados a la AEPD.
Respecto de las medidas de seguridad implantadas con anterioridad la brecha:
- La gestión de estos identificadores de usuarios estaba recogida en el Tratamiento “Gestión de los datos personales utilizados para generar los Usuarios para el acceso a los sistemas de LA EMPRESA”. Este tratamiento se realiza por LA EMPRSA, en particular por el COAS (Centro Operaciones de Accesos e Identidades), órgano integrado en el SOC GLOBAL para distintas entidades del Grupo de la EMPRESA, entre ellas LA EMPRESA PRINCIPAL, el cual se encuentra descrito en detalle en los documentos asociados a la Evaluación de Impacto.
2. Para el Tratamiento “Gestión de los datos personales utilizados para generar los Usuarios para el acceso a los sistemas de la EMPRESA, al ser uno de los tratamientos que existían antes de la entrada en aplicación del RGPD, se realizó el análisis asociado a la regularización del Impacto de Seguridad y Privacidad del cual adjuntan copia y donde se efectúa una evaluación de los distintos aspectos, así como de las medidas de seguridad a fin de confirmar que dicho tratamiento de datos no supone un impacto alto.
3. Aportaron hoja Excel de detalle con la descripción del tratamiento y las medidas de seguridad.
4. Posteriormente, se procedió a elaborar una Evaluación de Impacto en la protección de datos personales de este tratamiento, incluyendo la identificación de los riesgos asociados al mismo del cual adjuntan copia.
5. Por otra parte, con motivo de la crisis del Coronavirus, y la necesidad de posibilitar el trabajo en remoto a la práctica totalidad de la plantilla de la EMPRESA, se realizó una reevaluación del riesgo y se definió un plan específico de refuerzo de la ciberseguridad, denominado Plan de Reconfiguración de CiberSeguridad, que es de aplicación a todos los tratamientos realizados y, en particular está asociado al tratamiento que nos ocupa (Tratamiento “Gestión de los datos personales utilizados para generar los Usuarios para el acceso a los sistemas de la EMPRESA»).
6. Aportaron extracto de la presentación realizada al Comité Ejecutivo de la EMPRESA. Adicionalmente se estableció un plan de concienciación específico asociado a esta situación.
7. En abril del 2018 se aprobó, la realización de las auditorías de cumplimiento del RGPD y se definió un Plan de Auditorías que cubriera a todas las entidades la EMPRESA sujetas al RGPD. Para llevar a cabo estas auditorías en el marco antes definido, que son de cumplimiento del RGPD y no únicamente de cumplimiento de las Medidas de Seguridad, la Dirección General de Auditoría Interna de la EMPRESA se apoyó en un tercero especializado en la materia.
8. La EMPRESA se encuentra adherida, tras participar activamente en su elaboración, a la “Guía para el tratamiento de los datos personales por aseguradoras” elaborada por UNESPA que, aunque no es un código de conducta propiamente dicho, es un mecanismo de autorregulación y contempla la necesidad de cumplir con una serie de principios específicos en materia de privacidad y protección de datos.
9. La EMPRESA ha decidido adoptar el RGPD como norma de referencia en materia de Privacidad y Protección de Datos y disponer de unas BCRs en el Grupo. Para ello, en julio pasado se aprobó tanto la licitación del proyecto como la creación de un Grupo de Trabajo específico para el desarrollo de estas BCRs.
La AEPD calificó como diligente y proporcional con la normativa sobre protección de datos personales a la actuación de La EMPRESA tras la identificación de la amenaza, con una rápida notificación tanto al Incibe como al CCN-CERT y a la Guardia Civil, así como una serie de notificaciones sobre la evolución de la incidencia a la AEPD, junto a una rápida comunicación con clientes, colaboradores, proveedores y empleados que posibilitó una eficaz reacción contra el ataque.
La investigación del incidente constató que la EMPRESA disponía de medidas técnicas y organizativas razonables para evitar este tipo de incidente, lo que ha permitido la rápida identificación, análisis y clasificación de la brecha de seguridad.
Fotos: thommas68, TheDigitalWay y TheDigitalArtist
