Ante la inminente entrada en vigor (25 de mayo de 2018) del Reglamento General de Protección de Datos (RGPD) y para dar cumplimiento a las medidas de seguridad técnicas o de ciberseguridad a aplicar sobre los datos personales (Art. 32), las organizaciones deben tomar una serie de decisiones relacionadas con la seguridad de sus datos, planificando las acciones a realizar, de acuerdo con el nivel de riesgo existente y el asumido.
Para ello, se deberá analizar el nivel actual de riesgos asociados a los datos personales desde las dimensiones de confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento que intervengan en el ciclo de vida del dato, para posteriormente definir y diseñar el modelo de seguridad que se desea conseguir y las acciones necesarias para ajustarse a ese modelo.
Este modelo de seguridad viene a sustituir a las archiconocidas medidas de seguridad en función de los niveles de seguridad, los ficheros que venían recogidas en el Título VIII del “antiguo” RD 1720/2007.
Para llevar un análisis de riesgos puramente tecnológico (necesario para alimentar o complementar a la EIPD o Evaluación de Impacto en la Protección de Datos), se debería utilizar un método reproducible y reconocido, y para ello existen una serie de metodologías reconocidas que se vienen empleando de manera habitual a nivel internacional para estos propósitos (CRAMM, OCTAVE, etc.). Adicionalmente, existe una metodología de origen nacional, MAGERIT, elaborada por el CSAE (Consejo Superior de Administración Electrónica), siendo la metodología de análisis y gestión de riesgos recomendada para las Administraciones Públicas como instrumento para cumplimiento del Esquema Nacional de Seguridad (RD 3/2010), donde este punto es un aspecto clave. Así pues, existe un gran alineamiento entre los requisitos del RGPD y el ENS lo cual facilitará en gran medida su adopción por parte de las AAPP con un enfoque integrado.
En general, con este método, el riesgo en entornos TIC, está determinado por la ocurrencia de un evento (amenaza) basado en la frecuencia y el impacto que genera. En algunas situaciones, el riesgo proviene de la posibilidad de una desviación de los resultados esperados o la ocurrencia de un determinado evento. A tal efecto hay que identificar qué debe ser protegido, de qué hay que protegerlos, cómo le afecta y qué aspectos lo mitigan (salvaguardas).
Como resultado, se obtendrá un Mapa de Riesgos de Seguridad de la Información. Tras este proceso de evaluación de riesgos se establecerán las medidas y controles de seguridad a aplicar para tratar (en la mayoría de casos, mitigar) los riesgos identificados.
En cuanto al marco de referencia para establecer estas medidas y controles de seguridad, la mejor recomendación es utilizar alguno de los principales estándares internacionales vigentes en buenas prácticas a nivel internacional, bien de manera individual o combinada (ISO/IEC 27002, COBIT, NIST, etc.), contra el que previamente habremos tenido que evaluar a nuestra organización para ver el nivel de alineamiento con el mismo y tener el punto de partida al respecto de ese marco de referencia.
Como resultado del análisis y gestión de riesgos, y el análisis diferencial frente al marco de referencia seleccionado, se tendrá un Plan de Seguridad a implantar, en el que la priorización de la implantación de los controles permite centrar los esfuerzos y recursos en los activos expuestos a un riesgo mayor, siendo éste, y de manera totalmente lógica, el criterio prioritario que nos exige el RGPD. Algunas de las medidas de este plan podrían ser, por ejemplo: seudonimización, cifrado de datos, mecanismos robustos de control de acceso, procesos operacionales de backup y seguridad de red, planes de continuidad de negocio o de recuperación frente a desastres, pruebas de penetración y auditorías técnicas periódicas, formación y concienciación, y un largo etcétera.
Posteriormente, y una vez seleccionadas las medidas de seguridad que se deberán aplicar en función del nivel de riesgo identificado, se tendrá que definir, priorizar y planificar el conjunto de acciones a realizar en el ámbito temporal establecido, y se tendrá que revisar el grado de avance de la correcta implantación de las mismas.
Finalmente, sería conveniente obtener una opinión externa en un punto de tiempo, a disposición de terceros, para dar cumplimiento a las exigencias del RGPD en lo que se refiere a disponer de un proceso de verificación, evaluación y valoración la eficacia de las medidas técnicas y organizativas
A partir de ese momento, estas revisiones deberían llevarse a cabo regularmente.
Este enfoque, también presenta un gran alineamiento con la implantación de un Sistema de Gestión de Seguridad (SGSI) basado en la ISO 27001 y la ISO 27002, y tal y como se ha indicado anteriormente, con el ENS para las AAPP, aplicando el ciclo de Deming de mejora continua a la “ciberprotección” de los datos personales (Planificar, Hacer, Verificar y Actuar).
José Miguel Cardona, Socio. Director de la División de Seguridad de la Información de Auren.
Josemiguel.cardona@mad.auren.es