InicioBase de conocimientos › Brecha de datos por una memoria USB perdida
RGPD

Brecha de datos por una memoria USB perdida: plan de acción para la primera semana

· 8 min de lectura · DeSnipperaar

Una compañera avisa esta tarde de que no encuentra una memoria USB con datos de clientes. Quizá la dejó ayer en el tren, quizá en el mostrador de un cliente, quizá se le cayó en algún punto del camino. ¿Y ahora qué? Las próximas horas determinan si esto se convierte en un incidente manejable o en un incidente de notificación obligatoria con más dolores de cabeza de los necesarios.

Primera hora: establecer los hechos

  1. ¿Qué contenía? ¿Qué documentos, cuántos registros, qué categorías de datos personales? A menudo el empleado lo sabe a grandes rasgos, no con exactitud.
  2. ¿Estaba cifrada? ¿Con BitLocker To Go, VeraCrypt o una memoria con cifrado por hardware (IronKey, Kingston DT4000, etc.)?
  3. ¿Cuándo se vio por última vez? La cronología ayuda a buscar y a valorar la notificación.
  4. ¿Dónde se vio por última vez? Tren, mostrador de un cliente, en el propio bolso, en el propio escritorio.
  5. ¿Hay copia de seguridad? Para la parte operativa del negocio. ¿Podemos continuar con el trabajo?

¿Cifrada? Entonces a menudo estás exento de notificar

Si la USB tiene cifrado por hardware con buena criptografía y el PIN o la contraseña no se ha perdido junto con la memoria, el cifrado vale como «medida técnica adecuada». La AP ha dictaminado antes que un dispositivo cifrado perdido normalmente no es una brecha de datos notificable, siempre que el cifrado funcione realmente y la clave se guarde aparte.

Documenta:

  • Tipo de cifrado (AES-256 por hardware, BitLocker To Go).
  • Cuándo se cambió la contraseña por última vez.
  • Prueba de que la clave no estaba con la memoria.

¿Sin cifrar? Sigue el deber de notificación

Una USB sin cifrar con datos personales es una brecha que (casi siempre) es de notificación obligatoria. Sigue nuestro detallado plan de acción de brecha de datos en 72 horas:

  1. Determina la naturaleza y el alcance.
  2. Evaluación de riesgo. ¿Hay consecuencias para los afectados?
  3. Notifica a la autoridad neerlandesa de protección de datos en un plazo de 72 horas.
  4. Valora si hay que informar a los afectados (artículo 34 del RGPD).
  5. Documenta todo en el registro de brechas.

Primeras 24 horas: búsqueda y mitigación

Búsqueda

  • Pide al empleado que rehaga el trayecto donde se vio por última vez.
  • Llama al mostrador del cliente donde se usó por última vez.
  • Avisa a objetos perdidos del transporte público si procede.
  • Revisa los propios espacios de oficina.

Mitigación

  • Contraseñas de clientes (si se conocen) avisar o restablecer.
  • Datos bancarios. Avisar al cliente, eventualmente bloquear la tarjeta a través del servicio de fraude.
  • Datos de identidad. Informar al afectado para que esté atento al fraude de identidad.
  • Copias de BSN. Atención extra. Lee sobre datos de BSN y de pacientes para el componente sanitario.

Día 2-3: notificación

  1. Rellenar el formulario en línea en autoriteitpersoonsgegevens.nl.
  2. Actualizar el registro de brechas. Nuevo incidente más pasos.
  3. Comunicación interna a los departamentos implicados.
  4. Valorar si la notificación a los afectados es obligatoria (en caso de alto riesgo para los derechos y libertades).

Día 3-7: lecciones y prevención

Aquí entra el componente de prevención. Una brecha de datos es una ocasión para eliminar riesgos similares en otros lugares:

  1. Inventaria todas las memorias USB de la organización. Muchos empleados tienen una en el cajón que olvidaron hace tiempo.
  2. Define la política. ¿Pueden los empleados seguir teniendo datos personales en USB? ¿O solo memorias cifradas? ¿O nada en absoluto?
  3. Destruye las memorias USB antiguas. Lee sobre cómo eliminar memorias USB para la ruta DIN E.
  4. Haz obligatorio el cifrado mediante política de grupo.
  5. Documenta en el registro de brechas que se ha emprendido una acción preventiva.
El mayor error tras una brecha de datos es solo notificar y no actuar de forma preventiva. Una visita de la AP pregunta «¿qué has hecho para evitar la repetición?».

El papel de la destrucción móvil tras una brecha

Tras una USB perdida, una destrucción en grupo de soportes similares es casi obligatoria. Te aporta dos cosas:

  • Prueba de que has actuado de forma preventiva (para una investigación de la AP).
  • Realmente menos riesgo de repetición.

Nosotros lo hacemos in situ en un plazo de 5 días hábiles tras la solicitud. Los empleados entregan sus memorias USB en una bolsa cerrada y nosotros las destruimos en el sitio a DIN E-4. Para el contexto más amplio de lo que no debe ir a la papelera de papel, consulta qué no tiene su sitio en el contenedor de papel.

Prevenir para la próxima vez

  1. Política. Nada de USB sin cifrar con datos personales.
  2. Memorias con cifrado por hardware repartidas por el empleador.
  3. Promover la alternativa en la nube. SharePoint, OneDrive, Box para compartir archivos en lugar de soportes físicos.
  4. Inventariar las USB cada año y destruir las antiguas.
  5. Al causar baja. De serie, entregar todas las USB como parte del off-boarding.

Cierre: ¿cuál es el riesgo real?

La mayoría de las USB perdidas no acaban en manos de alguien que las lea a propósito. Una USB encontrada en la calle a menudo se tira a un contenedor de basura normal o se usa como hallazgo propio sin mirar el contenido anterior. El escenario real no suele ser «datos en manos del enemigo» sino «destino desconocido». Bajo el RGPD eso último cuenta igual de fuerte. No puedes descartarlo, así que la prudencia es obligada.

¿USB en stock? Destrúyelas en un solo viaje.

Vamos in situ con una trituradora E móvil y destruimos tu colección de memorias USB a DIN E-4 o E-5. Con certificado por memoria.

Solicita un presupuesto

¿Has tenido una brecha de datos? Escríbenos a través de desnipperaar.nl en horario laboral para una planificación urgente de la destrucción de hardware similar.