Breach Playbook — Guía de Actuación
Un breach no es si ocurre, es cuándo ocurre.
Las primeras 72 horas — La cuenta atrás
HORA 0 HORA 72
│ │
▼ ▼
DETECTAS ──► CONTENER ──► EVALUAR ──► NOTIFICAR AEPD
│
▼
INFORMAR AFECTADOS
(si alto riesgo)
Fase 1: Detección (Hora 0)
¿Cómo te enteras normalmente?
| Canal | % casos |
|---|---|
| Empleado reporta | 40% |
| Sistema de seguridad (log, SIEM) | 25% |
| Paciente lo notifica | 20% |
| AEPD te lo dice | 10% |
| Redes sociales / prensa | 5% |
🔑 Truco: Ten un canal único para reportar breaches (email: [email protected], teléfono 24h). Todo el personal debe saberlo.
Fase 2: Contener (Hora 0-2)
□ Aislar el sistema afectado (desconectar de red si es grave)
□ Cambiar contraseñas comprometidas
□ Revocar accesos sospechosos
□ Hacer copia forense de logs
□ No apagar el sistema si puedes aislarlo (para forense)
□ Contactar al DPO (inmediatamente)
Fase 3: Evaluar (Hora 2-12)
Determinar si es breach:
¿Hay violación de seguridad?
├── Destrucción de datos?
├── Pérdida?
├── Alteración?
├── Acceso no autorizado?
└── Comunicación no autorizada?
Evaluar el riesgo:
| Factor | Bajo riesgo | Alto riesgo |
|---|---|---|
| Tipo de dato | Datos de contacto | Datos de salud, genéticos |
| Volumen | 1 paciente | >100 pacientes |
| Sensibilidad | Nombre+email | HC completa, diagnóstico |
| Facilidad de abuso | Difícil vincular | Fácil identificar persona |
| Medidas de protección | Cifrado + seudonimización | Datos en claro |
Si hay datos de salud comprometidos: casi siempre es ALTO RIESGO.
Fase 4: Notificar a la AEPD (Hora 12-72)
Contenido de la notificación:
A LA ATENCIÓN DE: Agencia Española de Protección de Datos
1. DATOS DEL RESPONSABLE
- Nombre: [empresa]
- DPO: [nombre, email, teléfono]
2. DESCRIPCIÓN DEL BREACH
- Fecha: [cuándo ocurrió]
- Circunstancias: [cómo se detectó, qué pasó]
- Categorías de datos afectados: [salud, genéticos, etc.]
- Número aproximado de afectados: [X]
- Número de registros: [Y]
3. CONSECUENCIAS
- Posibles efectos: [ej: discriminación, fraude, daño moral]
4. MEDIDAS
- Medidas adoptadas: [contener, resolver]
- Medidas propuestas: [evitar que vuelva a pasar]
5. ADJUNTOS
- [logs, informe pericial, etc.] ← si se tiene ya
🔑 Truco: Si no tienes toda la info en 72h, envía lo que tengas. Puedes completar después. La AEPD valora más la rapidez que la perfección.
Fase 5: Informar a los afectados (si alto riesgo)
Estimado/a paciente,
Le informamos que hemos detectado un incidente de seguridad
que ha afectado a sus datos de salud.
Qué ha pasado: [explicación clara y honesta]
Qué datos: [especificar]
Qué hemos hecho: [medidas tomadas]
Qué puede hacer usted:
- Contactar con nuestro DPO: [email]
- Cambiar contraseñas (si aplica)
- Presentar reclamación ante la AEPD
Pedimos disculpas por las molestias.
Atentamente,
[DPO]
Plan de comunicación del breach
Interno:
□ Dirección informada (1h)
□ DPO contactado (inmediato)
□ IT/seguridad activados (inmediato)
□ Equipo legal informado (2h)
□ Comunicado interno al personal (4h)
Externo:
□ AEPD notificada (72h)
□ Afectados informados (si alto riesgo)
□ Aseguradora notificada (si aplica)
□ Proveedores afectados informados
□ ¿Comunicado público? (si impacto mediático)
Post-breach: Lecciones aprendidas
□ Análisis de causa raíz (¿cómo ocurrió?)
□ Mejoras de seguridad implementadas
□ Formación adicional al personal
□ Actualización de procedimientos
□ Revisión de la EIPD si aplica
□ Seguro de ciber-responsabilidad revisado
La caja de herramientas anti-breach
□ Cifrado de dispositivos (BitLocker, FileVault)
□ 2FA en todos los accesos externos
□ Control de accesos RBAC (rol: médico, enfermera, admin)
□ Logs de auditoría de accesos a HC
□ Formación anual en protección de datos
□ Seguro de ciber-responsabilidad
□ Plan de respuesta a incidentes probado
□ Copias de seguridad cifradas y off-site
□ Actualizaciones de seguridad automáticas
□ Contrato con empresa de forense digital
Referencias
- ^[raw/papers/reglamento-gdpr-ue-2016-679-es.pdf] Art. 33-34
- breach-notification
- compliance-roadmap
- eipd