Ante la inminente entrada en vigor (25 de mayo de 2018) del Reglamento General de Protecci\u00f3n de Datos (RGPD) y para dar cumplimiento a las medidas de seguridad t\u00e9cnicas o de ciberseguridad a aplicar sobre los datos personales (Art. 32), las organizaciones deben tomar una serie de decisiones relacionadas con la seguridad de sus datos, planificando las acciones a realizar, de acuerdo con el nivel de riesgo existente y el asumido.<\/p>\n
Para ello, se deber\u00e1 analizar el nivel actual de riesgos asociados a los datos personales desde las dimensiones de confidencialidad, integridad, disponibilidad y resiliencia<\/b> de los sistemas y servicios de tratamiento que intervengan en el ciclo de vida del dato, para posteriormente definir y dise\u00f1ar el modelo de seguridad que se desea conseguir y las acciones necesarias para ajustarse a ese modelo. <\/p>\n
Este modelo de seguridad viene a sustituir a las archiconocidas medidas de seguridad en funci\u00f3n de los niveles de seguridad, los ficheros que ven\u00edan recogidas en el T\u00edtulo VIII del \u0093antiguo\u0094 RD 1720\/2007. <\/p>\n
Para llevar un an\u00e1lisis de riesgos puramente tecnol\u00f3gico (necesario para alimentar o complementar a la EIPD o Evaluaci\u00f3n de Impacto en la Protecci\u00f3n de Datos), se deber\u00eda utilizar un m\u00e9todo reproducible y reconocido, y para ello existen una serie de metodolog\u00edas reconocidas que se vienen empleando de manera habitual a nivel internacional para estos prop\u00f3sitos (CRAMM, OCTAVE, etc.). Adicionalmente, existe una metodolog\u00eda de origen nacional, MAGERIT, elaborada por el CSAE (Consejo Superior de Administraci\u00f3n Electr\u00f3nica), siendo la metodolog\u00eda de an\u00e1lisis y gesti\u00f3n de riesgos recomendada para las Administraciones P\u00fablicas como instrumento para cumplimiento del Esquema Nacional de Seguridad (RD 3\/2010), donde este punto es un aspecto clave. As\u00ed pues, existe un gran alineamiento entre los requisitos del RGPD y el ENS<\/b> lo cual facilitar\u00e1 en gran medida su adopci\u00f3n por parte de las AAPP con un enfoque integrado. <\/p>\n
En general, con este m\u00e9todo, el riesgo en entornos TIC, est\u00e1 determinado por la ocurrencia de un evento (amenaza) basado en la frecuencia y el impacto que genera. En algunas situaciones, el riesgo proviene de la posibilidad de una desviaci\u00f3n de los resultados esperados o la ocurrencia de un determinado evento. A tal efecto hay que identificar qu\u00e9 debe ser protegido, de qu\u00e9 hay que protegerlos, c\u00f3mo le afecta y qu\u00e9 aspectos lo mitigan (salvaguardas). <\/p>\n
Como resultado, se obtendr\u00e1 un Mapa de Riesgos de Seguridad de la Informaci\u00f3n. Tras este proceso de evaluaci\u00f3n de riesgos se establecer\u00e1n las medidas y controles de seguridad a aplicar para tratar (en la mayor\u00eda de casos, mitigar) los riesgos identificados. <\/p>\n
En cuanto al marco de referencia para establecer estas medidas y controles de seguridad, la mejor recomendaci\u00f3n es utilizar alguno de los principales est\u00e1ndares internacionales vigentes en buenas pr\u00e1cticas a nivel internacional, bien de manera individual o combinada (ISO\/IEC 27002, COBIT, NIST, etc.), contra el que previamente habremos tenido que evaluar a nuestra organizaci\u00f3n para ver el nivel de alineamiento con el mismo y tener el punto de partida al respecto de ese marco de referencia. <\/p>\n
Como resultado del an\u00e1lisis y gesti\u00f3n de riesgos, y el an\u00e1lisis diferencial frente al marco de referencia seleccionado, se tendr\u00e1 un Plan de Seguridad a implantar<\/b>, en el que la priorizaci\u00f3n de la implantaci\u00f3n de los controles permite centrar los esfuerzos y recursos en los activos expuestos a un riesgo mayor, siendo \u00e9ste, y de manera totalmente l\u00f3gica, el criterio prioritario que nos exige el RGPD. Algunas de las medidas de este plan podr\u00edan ser, por ejemplo: seudonimizaci\u00f3n, cifrado de datos, mecanismos robustos de control de acceso, procesos operacionales de backup y seguridad de red, planes de continuidad de negocio o de recuperaci\u00f3n frente a desastres, pruebas de penetraci\u00f3n y auditor\u00edas t\u00e9cnicas peri\u00f3dicas, formaci\u00f3n y concienciaci\u00f3n, y un largo etc\u00e9tera. <\/p>\n
Posteriormente, y una vez seleccionadas las medidas de seguridad que se deber\u00e1n aplicar en funci\u00f3n del nivel de riesgo identificado, se tendr\u00e1 que definir, priorizar y planificar el conjunto de acciones a realizar en el \u00e1mbito temporal establecido, y se tendr\u00e1 que revisar el grado de avance de la correcta implantaci\u00f3n de las mismas. <\/p>\n
Finalmente, ser\u00eda conveniente obtener una opini\u00f3n externa en un punto de tiempo, a disposici\u00f3n de terceros, para dar cumplimiento a las exigencias del RGPD en lo que se refiere a disponer de un proceso de verificaci\u00f3n,<\/b> evaluaci\u00f3n y valoraci\u00f3n la eficacia de las medidas t\u00e9cnicas y organizativas<\/b> <\/p>\n
A partir de ese momento, estas revisiones deber\u00edan llevarse a cabo regularmente. <\/p>\n
Este enfoque, tambi\u00e9n presenta un gran alineamiento con la implantaci\u00f3n de un Sistema de Gesti\u00f3n de Seguridad (SGSI) basado en la ISO 27001 y la ISO 27002<\/b>, y tal y como se ha indicado anteriormente, con el ENS para las AAPP, aplicando el ciclo de Deming de mejora continua a la \u0093ciberprotecci\u00f3n\u0094 de los datos personales (Planificar, Hacer, Verificar y Actuar). <\/p>\n
<\/p>\n
Jos\u00e9 Miguel Cardona, Socio. Director de la Divisi\u00f3n de Seguridad de la Informaci\u00f3n de Auren.<\/b><\/p>\n