Salta el contingut

Documentació i Notificació d'Incidents

Introducció

Un incident de ciberseguretat no acaba quan es recupera el sistema: cal documentar-lo correctament i, en molts casos, notificar-lo a les autoritats competents i als afectats. Incomplir les obligacions de notificació pot resultar en sancions significatives (fins a 10 milions d'euros o el 2% de la facturació global sota el RGPD).

RGPD: Notificació en 72 hores

L'article 33 del RGPD (Reglament General de Protecció de Dades) estableix que, quan es produeixi una violació de seguretat que afecti dades personals, el responsable del tractament ha de notificar-ho a l'autoritat de control (AEPD a Espanya) en un termini màxim de 72 hores des que en tingui coneixement.

flowchart TD
    A[Incident detectat] --> B{Afecta dades personals?}
    B -->|No| C[Gestió interna]
    B -->|Sí| D{Risc per als afectats?}
    D -->|Risc baix| E[Documentar internament\nRegistre de violacions]
    D -->|Risc alt| F[Notificar AEPD\nmàxim 72h]
    F --> G{Risc molt alt?}
    G -->|Sí| H[Notificar als afectats\nsense dilació]
    G -->|No| I[No cal notificar afectats]
    style F fill:#FF5722
    style H fill:#F44336

Contingut de la notificació a l'AEPD (art. 33.3 RGPD): 1. Naturalesa de la violació (tipus, categories, nombre d'afectats) 2. Dades de contacte del DPO 3. Conseqüències probables 4. Mesures adoptades o propostes

72 hores: el rellotge corre

Les 72 hores compten des que el responsable (no l'empresa que processa) té coneixement. Si un proveïdor de serveis (processador) pateix un incident, ha de notificar-ho al responsable immediatament perquè el rellotge comenci.

La notificació pot ser escalonada: primer notificació inicial amb la informació disponible, i posteriorment ampliació amb més detalls.

NIS2: Notificació per a operadors essencials

La Directiva NIS2 (2022/2555), en vigor des de l'octubre 2024, estableix terminis més estrictes per a entitats essencials (energia, transport, salut, infraestructures digitals, etc.):

Termini Obligació
24 hores Alerta primerenca (early warning)
72 hores Notificació d'incident (informació completa)
1 mes Informe final

CCN-CERT i INCIBE: Notificació voluntària i obligatòria

  • CCN-CERT (Centro Criptológico Nacional): per a les Administracions Públiques (ENS)
  • INCIBE-CERT: per a empreses privades i ciutadans (notificació voluntària però recomanada)
  • Formulari de notificació: disponible a incibe.es/empresas-y-profesionales/notifica

Procediment de notificació intern

Cadena de notificació interna

flowchart LR
    A[Analista L1\nDetecta incident] -->|Notifica| B[Incident Manager\nClassifica severitat]
    B -->|Severitat ALTA/CRÍTICA| C[CISO\nPren decisions executives]
    C -->|Si cal| D[CEO/Direcció\nAutoritza comunicació]
    C -->|Si afecta dades personals| E[DPO\nAssessora i notifica AEPD]
    C -->|Si és infraestructura crítica| F[Departament Legal\nNotifica autoritats]

Matriu d'escalat per severitat

Severitat Definició Qui notificar Temps màxim
P1 - Crític Sistemes crítics caiguts, dades exfiltrades Incident Manager + CISO + CEO + DPO 15 minuts
P2 - Alt Servei degradat, sospita de compromís Incident Manager + CISO 1 hora
P3 - Mig Incident aïllat, impacte limitat Incident Manager 4 hores
P4 - Baix Alerta menor, sense impacte operatiu Registrar i monitorar 24 hores

Notificació als afectats

L'article 34 del RGPD obliga a notificar directament als afectats quan la violació de dades pugui suposar un alt risc per als seus drets i llibertats.

Com s'ha de fer la notificació als afectats?

  1. Llengua: en la llengua dels afectats, clara i senzilla
  2. Canals: email, carta postal, anunci web destacat (si el volum és massa gran)
  3. Contingut obligatori:
  4. Descripció de la violació
  5. Nom i dades de contacte del DPO
  6. Probables conseqüències
  7. Mesures adoptades i recomanacions als afectats

Exemple de comunicació als afectats (plantilla):

Assumpte: Comunicació important sobre la seguretat del teu compte

Estimat/da [NOM],

T'informem que el dia [DATA] vam detectar un accés no autoritzat als nostres sistemes
que podria haver afectat les teves dades personals.

**Dades potencialment afectades:**
- Nom i cognoms
- Adreça de correu electrònic
- [Altres categories si escau]

**Dades NO afectades:**
- Contrasenyes (emmagatzemades amb hash)
- Dades bancàries (no emmagatzemem)

**Mesures que hem adoptat:**
- Hem tancat l'accés no autoritzat
- Hem notificat a l'AEPD
- Hem reforçat les nostres mesures de seguretat

**Recomanacions per a tu:**
- Canvia la teva contrasenya a la nostra plataforma
- Activa l'autenticació en dos factors
- Estigues alerta de correus de phishing relacionats

Per a qualsevol dubte, contacta amb el nostre DPO: dpo@empresa.cat

Disculpa els inconvenients causats.
[Signatura]

Bones pràctiques en la comunicació als afectats

  • Proactiu > reactiu: no esperar a que els afectats es queixin
  • Concret: dir exactament quines dades s'han vist afectades
  • Honest: no minimitzar l'incident
  • Útil: donar consells pràctics, no sols disculpes

Notificació als mitjans de comunicació

En incidents de gran impacte (milers d'afectats, empreses cotitzades, infraestructures crítiques), pot ser necessari comunicar l'incident als mitjans.

Principis de comunicació de crisi

  1. Velocitat: primer comunicar, després explicar
  2. Transparència: no amagar informació (el que s'amaga sol sortir pitjor)
  3. Consistència: un únic portaveu, un únic missatge
  4. Empatia: mostrar que l'empresa es preocupa pels afectats

Exemple de nota de premsa:

COMUNICAT DE PREMSA
[Empresa X] informa sobre incident de seguretat

[Ciutat], [Data] — [Empresa X] ha detectat i neutralitzat un incident
de ciberseguretat que va afectar [X] usuaris el passat [data].

L'empresa ha notificat immediatament a les autoritats competents
(AEPD, CCN-CERT) i ha contactat directament amb els afectats.

No s'han vist compromeses dades financeres ni contrasenyes.

[Empresa X] ha reforçat les seves mesures de seguretat i ha contractat
una empresa externa per auditar els seus sistemes.

Per a més informació: comunicacio@empresa.cat

Documentació del post-incident

Registre de violacions de dades (RGPD, art. 33.5)

El RGPD obliga a mantenir un registre intern de violacions independentment de si es notifica o no a l'AEPD:

Camp Descripció
Data/hora detecció Quan es va detectar
Descripció Naturalesa de l'incident
Categories de dades Quines dades es van veure afectades
Nombre d'afectats Registres i persones
Causes probables Vector d'entrada
Conseqüències Impacte real
Mesures adoptades Resposta tècnica i organitzativa
Notificació AEPD Sí/No, data, referència
Notificació afectats Sí/No, data, canal

Informe post-incident complet

A diferència de la notificació legal (que és obligatòria i urgent), l'informe post-incident és un document intern detallat que es prepara un cop tancat l'incident:

ESTRUCTURA DE L'INFORME POST-INCIDENT

1. RESUM EXECUTIU (1 pàgina)
   - Que va passar
   - Impacte
   - Accions preses
   - Estat actual

2. CRONOLOGIA DETALLADA
   - Timeline complet amb timestamps

3. ANÀLISI TÈCNICA
   - Vector d'entrada
   - Metodologia de l'atacant
   - Sistemes afectats
   - Dades compromeses

4. ANÀLISI DE CAUSES ARREL
   - 5 Whys o causa-arrel equivalent

5. IMPACTE
   - Operatiu
   - Financer
   - Reputacional
   - Legal/regulatori

6. RESPOSTA ADOPTADA
   - Accions de contenció
   - Accions d'erradicació
   - Accions de recuperació

7. LLIÇONS APRESES
   - Que ha funcionat bé
   - Que ha funcionat malament
   - Recomanacions de millora

8. PLA D'ACCIÓ
   - Mesures correctores amb responsable i data

9. ANNEXOS
   - Logs rellevants
   - Captures de pantalla
   - Comunicacions enviades
   - Cadena de custòdia d'evidències

Miniactivitat

Un hospital ha patit un atac de ransomware. S'han xifrat fitxers d'historials clínics de 3.000 pacients. L'hospital triga 30 hores en detectar-ho.

Respon: 1. Quines obligacions legals de notificació té l'hospital i en quins terminis? 2. A qui ha de notificar? 3. Cal notificar als 3.000 pacients? Per quin motiu? 4. Quin és el risc de sancions si no notifica a temps?

Activitats

AC5017 — Simulació de notificació d'incident RGPD Donada una descripció d'un incident fictici (violació de dades d'una botiga online), redacta: 1. La notificació a l'AEPD (formulari oficial) 2. La comunicació als clients afectats 3. L'entrada al registre intern de violacions