La Guía para la gestión y notificación de brechas de seguridad es un documento que re-copila los principales consejos tanto a nivel de prevención antes de que un incidente en materia de seguridad se produzca, como a nivel de actuación cuando ya se ha producido. Ha sido elaborado por la Asociación Española de Protección de Datos (AEPD) y está específicamente planteado para cubrir las necesidades de las instituciones
Está dirigido para todos aquellos profesionales responsables en el tratamiento de datos en las empresas para facilitar su adaptación al nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea. En el desarrollo de esta guía han participado el Centro Criptológico Nacional (CCN), el ISMS Forum de empresas o el Instituto Nacional de Ciberseguridad (INCIBE). El documento se estructura en cinco secciones, cada una de ellas destinada a una fase del proceso en la gestión de brechas de seguridad.
Se ofrece formación a nivel integral durante todo el proceso que parte de la detección y ofrece información preventiva que incluye softwares de escaneo así como los procesos requeridos para canalizar las acciones. Además subraya la importancia del plan de actuación y el método a seguir cuando se ha producido el incidente prestando atención a los organismos implicados en el mismo. Dentro del plan de actuación, resulta importante tener en cuenta el proceso de análisis para poder clasificar la naturaleza de la brecha y las consecuencias que puede provocar sobre la integridad de la empresa. Una vez identificada y catalogada, se debe proceder a notificar el incidente a la autoridad de control.
Esta guía incluye anexos que indican cómo hacer las notificaciones y cuáles son los mo-delos que se pueden utilizar para ello. Por otra parte, incluye información sobre cómo acreditar la responsabilidad de todas las empresas implicadas en la brecha.