La Autoridad Vasca de Protección de Datos y la Agencia Vasca de Ciberseguridad presentan una guía conjunta para reforzar la gestión de incidentes de ciberseguridad en el sector público vasco

La guía nace en un contexto de creciente preocupación por la ciberseguridad, tras constatarse un aumento del 72% en las denuncias por delitos informáticos en Euskadi en los últimos tres años, según la “Memoria Delincuencial de la Euskal Polizia”. Asimismo, se ha detectado un incremento significativo en las notificaciones de brechas de seguridad a la AVPD.

Javier Diéguez, director general de la Agencia Vasca de Ciberseguridad, Cyberzaintza, ha señalado que "las instituciones públicas, entidades privadas y ciudadanía han visto incrementado el riesgo de sufrir un incidente como consecuencia de diferentes factores como la profesionalización de los cibercriminales, el aumento descontrolado de la superficie de exposición o la adopción de nuevas tecnologías." por ello, Diéguez ha recalcado que "esta guía surge con el objetivo de servir de ayuda básica a las entidades del sector público vasco para prepararse y responder de manera adecuada a los incidentes de ciberseguridad cuando estos se produzcan."

Por su parte, Unai Aberasturi, Presidente de la Autoridad Vasca de Protección de Datos, ha resaltado que “la ciberdelincuencia es un tema que se ha situado en el debate público de manera justificada, debido al aumento del número de incidentes que se registran año tras año.”. A su vez, ha mencionado que “Esta realidad se refleja en nuestra institución, en el incremento del número de brechas de seguridad notificadas a la Autoridad por parte de los entes que componen el sector público vasco”. “La guía que se presenta, fruto de la colaboración entre dos instituciones que directamente gestionan en Euskadi los incidentes de ciberseguridad, nace para dar respuesta a la necesidad de quienes sufren este tipo de incidentes de resolver esa situación de la manera más eficaz posible”, ha insistido el Presidente de la Autoridad.

Objetivos

Esta guía se ha desarrollado con el fin de cumplir cuatro objetivos esenciales:

- Proporcionar a las entidades del sector público vasco una herramienta práctica para prepararse y responder eficazmente ante incidentes de ciberseguridad.

- Integrar la perspectiva de la protección de datos personales en todas las fases de la gestión de incidentes.

- Fomentar una cultura de prevención, preparación y respuesta proactiva, alineada con el Reglamento General de Protección de Datos (RGPD) y el Esquema Nacional de Seguridad (ENS).

- Establecer un marco común de actuación, con roles definidos, procedimientos claros y criterios de impacto para una gestión eficaz y coordinada.

La guía aborda el ciclo completo de respuesta a incidentes, desde la preparación y detección hasta la recuperación y las actividades post-incidente, incluyendo la notificación de brechas de seguridad a la AVPD y a Cyberzaintza, así como la comunicación a las personas afectadas cuando sea necesario.

En este sentido, Javier Dieguez ha destacado que "tras llevar a cabo una revisión exhaustiva del incidente es fundamental que las lecciones aprendidas se conviertan en un plan de acción, en el que se identifiquen las acciones de mejora, se fijen hitos y se realice un seguimiento de consecución de estos". Por último, el director general de Cyberzaintza, ha recordado que "durante la gestión del incidente sería importante que las entidades afectadas notificaran la situación a Cyberzaintza, para que podamos tomar las medidas necesarias para proteger al resto de entidades del sector público (900104891 - incidencias@cyberzaintza.eus), siendo obligatorio en los casos en los que afecte la Norma Vasca de Autoprotección."

A su vez, Unai Aberasturi ha señalado que “en la mayoría de ocasiones los ciberataques comprometen la privacidad de las personas, porque suponen un riesgo para la integridad y confidencialidad de los datos de carácter personal, con lo que el papel de las Autoridades de Protección de Datos es esencial en la gestión de los incidentes de ciberseguridad”. Aberasturi ha subrayado que “resulta fundamental que las entidades que componen el sector público vasco, Gobierno Vasco, Osakidetza, Ayuntamientos, Diputaciones, Parlamento, etc., cumplan con las medidas que prevé la normativa de protección de datos y, cuando se vean afectadas por un ciberataque notifiquen debidamente a la Autoridad, así como, de ser necesario, a las posibles personas afectadas, ese hecho, para poder gestionar adecuadamente y de manera efectiva el incidente”.

Este trabajo conjunto entre la AVPD y Cyberzaintza refuerza el compromiso institucional con la seguridad digital y la protección de los derechos fundamentales de la ciudadanía en el entorno digital.

La guía estará disponible para su consulta y descarga en las páginas web de ambas instituciones:

Enlace directo a la guía

Comentarios