Una brecha es un «resquicio por donde algo empieza a perder su seguridad».
Las brechas de seguridad pueden ser peligrosas en función de lo que se escape por ese «algo» que pierde su seguridad.
Por ejemplo, atravesar multiversos por el Vacío puede hacerse sin riesgos o puede causar una brecha de seguridad.
El Vacío es un velo invisible que separa distintos multiversos. Un mago como Ingold Inglorion es perfectamente capaz de atravesar el Vacío sin causar brechas de seguridad en el multiverso de origen o en el de destino. Pero, si los multiversos están en un momento especialmente cercano, puede existir el riesgo de que los Seres Oscuros encuentren el modo de colarse por el Vacío mientras es atravesado. Eso, causaría una brecha de seguridad en el multiverso de destino y nadie quiere una invasión de los Seres Oscuros.
Una brecha de seguridad puede ser accidental o intencionada. Sabemos, por ejemplo, que nuestro mago nunca consentiría que los Seres Oscuros atravesaran desde su multiverso de origen a otro.
Es un buen mago. Se le ve a la legua. Y si nos fiamos de la descripción que hace Barbara Hambly en la trilogía del Reino de Darwath (y nos fiamos, que para eso es su libro): «en sus ojos azules intensos no hay asomo de soberbia, ni crueldad». Ingold es un buen tipo, en definitiva.
Las brechas de seguridad también pueden ocurrir sobre datos personales. No sólo sobre multiversos.
Igual que sucede en el caso de los Seres Oscuros, la brecha sobre datos de carácter personal puede ser accidental: algo tan simple como perder un pendrive que contiene datos personales.
O la brecha puede ser intencionada, como un ataque ransomware a los sistemas de la información de una organización porque alguien recibió un email y pinchó en un enlace que los malos habían preparado para secuestrar datos.
Tanto si lidiamos con Seres Oscuros, como con datos de carácter personal, es importante que existan procedimientos para estar preparados ante la posibilidad de que algo malo suceda. Se llaman «medidas preventivas» y también las hay «reactivas» cuando el suceso ya ha ocurrido.
Por ejemplo, Ingold tiene un procedimiento que consiste en no atravesar el Vacío cuando los multiversos se encuentran demasiado cercanos. (La cercanía de los multiversos depende de la fase lunar en que se encuentren).
Y, aún así, cuando no le queda más remedio y tiene que atravesar el Vacío, cuenta con un protocolo para hacer frente a los Seres Oscuros. Si queréis saber cuál es el protocolo, podéis consultarlo en la trilogía de «El Reino de Darwarth».
Sobre lo que quiero hacer hincapié, es sobre el hecho de que Ingold está preparado para una potencial brecha porque sabe:
- Qué puede pasar si atraviesa el Vacío en cierto momento.
- Qué le puede perseguir si lo hace.
- Cómo debe actuar si ese «qué» le persigue.
Y eso es, precisamente, lo que tienen que hacer las organizaciones que tratan datos de carácter personal para gestionar brechas de seguridad y tratar de evitarlas.
Es muy, pero muy importante, que las organizaciones estén preparadas y que cuenten con procedimientos de brechas de seguridad.
Igual que Ingold sabe que el riesgo está en los Seres Oscuros, las organizaciones, para poder definir un buen procedimiento de brechas de seguridad, tienen que saber:
- Qué datos personales están tratando.
- Qué medios utilizan para tratar esos datos personales:
- ¿Medios digitales? ¿En qué aplicaciones? ¿Dónde están alojados?
- ¿Medios en papel? ¿Quién los custodia? ¿Se extraen de la organización.
- Qué riesgos pueden existir sobre dichos datos personales.
Por tanto, un buen procedimiento de brechas de seguridad, implica implantar medios y mecanismos que permitan detectar si se ha producido alguna brecha sobre los datos de carácter personal y cómo actuar cuando ocurra.
Porque, cuando se produzca esa brecha, hay que tener muy claro qué hacer. Esto es muy importante. Si Ingold atravesara multiversos sin tener planificado qué hacer si lo siguen los Seres Oscuros, os aseguro que ya tendríamos en otro multiverso una invasión imparable de esos seres. Y eso es algo malo, muy malo.
Si una organización no tiene identificado qué hacer cuando se produce una brecha de seguridad, improvisar en una situación así, será como luchar con los Seres Oscuros pero sin espada llameante.
Así que, ese plan de brechas de seguridad, tiene que especificar tareas y personas para ejecutar esas tareas. De manera que permita gestionar la brecha de seguridad, poner medios para que no vuelva a suceder en el futuro y activar acciones para minimizar sus impactos. Además de analizar si deben ser informadas las partes interesadas, es decir, los propios titulares de los datos de carácter personal, y la Agencia de Protección de Datos. Y para eso, los plazos son importantes.
En este procedimiento de brechas de seguridad es necesario, además, tener establecidas unas pautas para poder valorar la gravedad de la brecha.
Igual que no es lo mismo que se te cuele por el Vacío un solo Ser Oscuro a que se te cuele un regimiento, tampoco es lo mismo que la brecha de seguridad sea sobre datos poco sensibles como nombres y apellidos y que sea sobre pocas personas, a que sea sobre datos de salud y/o muchas personas.
Para poder valorar y tomar decisiones, es fundamental tener todos los datos relacionados con la brecha de seguridad. Por eso es importante contar con un procedimiento. En una situación excepcional, arriesgada y generalmente estresante para las organizaciones, es mejor contar con un manual (el procedimiento) de lo que hay que hacer paso a paso para poder solucionar la brecha; para saber quién participa en la solución; para decidir si hay que notificar a los titulares y a la propia Agencia de Protección de Datos.
Y toda esa cadenas de acciones y reacciones deben quedar registradas en lo que se llama un «registro de incidencias».
El registro de incidencias es un instrumento muy importante en toda gestión de incidentes y brechas de seguridad de una organización.
Aquí los magos, por ejemplo, manejan este registro con el boca a oído. Ingold se lo cuenta a su discípulo quien, a su vez, se lo contará a sucesivos magos. Y así hacen los procedimientos. Pero los magos son pocos, además de peculiares, y pueden hacer una gestión de conocimiento por boca a oído.
En las organizaciones, eso no es un buen plan. Una buena gestión de incidentes, además del procedimiento definido, debe contar con un registro de incidentes y brechas de seguridad por escrito. Nada de boca a oído. Ese registro va a permitir varias cosas:
- En primer lugar, va a ser una evidencia del sistema de cumplimiento de privacidad (o Privacy Compliance, si os gusta más) de la organización. Y es donde va a quedar constancia de las decisiones que se han tomado ante la brecha de seguridad o el incidente ocurrido, así como los motivos de esas decisiones. A la Agencia de Protección de Datos no se le puede decir: «Este conocimiento ha pasado de generación en generación de magos durante eones y forma parte de nuestra conciencia colectiva».
- En segundo lugar, permitirá a la organización verificar el funcionamiento de las medidas paliativas implantadas.
- En tercer lugar, permitirá aprender a la organización. Es una fuente de gestión de conocimiento para el análisis de futuras medidas preventivas.
En conclusión, tan importante como evitar que los Seres Oscuros atraviesen multiversos, es que las organizaciones cuenten con procedimientos de brechas de seguridad sobre datos de carácter personal.
Y recuerda:
- No permitas que los Seres Oscuros te sigan cuando atravieses multiversos.
- No utilices pendrives u otros dispositivos externos sin cifrar.
- No dejes que los Seres Oscuros te toquen.
- No compartas contraseñas con nadie y establece segundos factores de autenticación.
- No te fíes de cierta realeza del Reino de Darwath.
- No dejes tu sistema operativo desactualizado.
- No pinches en enlaces raros de correos electrónicos y mucho menos si no conoces al remitente del correo electrónico.
