Latest news

Ciberseguridad práctica. Violaciones de seguridad

No comments

En cuanto al tema de la CIBERSEGURIDAD En el pasado V Congreso Nacional de Privacidad, Javier Cao, Cybersegurity, Privacy and IT Risk Leader en Govertis, presentó las principales características que debe reunir una respuesta adecuada a la luz del nuevo Reglamento Europeo de Protección de Datos (RGPD), que va a ser una de las normas de referencia en esta materia.

Los recientes incidentes globales de ciberseguridad han vuelto a poner de manifiesto la importancia de que todo tipo de empresas y entidades tengan preparado un plan de respuesta frente a los que puedan sufrir.

 

El concepto de incidente de Ciberseguridad

La primera dificultad en materia de ciberseguridad es poder detectar que se ha sido o se está siendo víctima de un ataque de este tipo, para lo cual hay que estar a lo dispuesto tanto en la ISO/EIC 27035:11 que establece el Estándar para la Gestión de Incidentes de Seguridad de la Información como al concepto de “violación de datos personales” contenida en el art. 4, ap. 12 del Reglamento (“toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”).

Definición que, puesto en relación con el contenido del art 32 del RGDP, significa cualquier incidente que afecte a la seudonimización y el cifrado de datos personales; la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento o la capacidad de restaurar la disponibilidad y el acceso a los datos personales.

En estos casos, según el art. 55 del RGPD, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas, la consecuencia de esta violación será la obligación de informar a la autoridad de control competente, de conformidad con el artículo 55, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que se haya tenido constancia de ella.

Por ello, cabe diferenciar entre eventos e incidentes de seguridad. Estos se producirán cuando se genere un impacto en la seguridad, cuando alcance su objetivo.

A este respecto resulta muy útil la taxonomía de incidentes de seguridad elaborada por Enisa, la agencia europea para la seguridad de las redes y la información.

 

El reto de detectar y valorar un evento de seguridad

El art. 32 RGPD describe el contenido de la notificación que habrá que remitir a la autoridad de cuestión en caso violación de datos personales.

Pero ello implica que la primera dificultad es identificar que se ha producido esa violación. Una vez detectadad, habrá que proceder a valorarla y definir su alcance, ya que, según el mismo art. 32, la notificación deberá describir la naturaleza de la violación de la seguridad de los datos personales, “incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados”, así como las posibles consecuencias de la violación de la seguridad de los datos personales.

Para realizar ese diagnóstico, deben tenerse en cuenta factores como el contexto (pues unos mismos datos pueden suponer diferentes impactos, según los casos); el tiempo de respuesta (pues a mayor tiempo de respuesta, mayor impacto); la organización interna de la empresa o entidad (Dirección, DPO, IT, Legal…); la severidad del ataque (para lo que existen escalas elaboradas por ENISA a nivel europeo, o por el CNIL en Francia) y los criterios de escalado (que suponen la aplicación de un protocolo diferente dependiendo del umbral del alcance).

También habrá que valorar el ciclo de vida del incidente, para lo que existen protocolos como el del Método NIST de los EEUU (NIST 800-61); ENISA y el de la ISO 27035.

 

El rol del  Delegado de Protección de Datos (DPO)

¿Cuál es el papel del Delegado de Protección de Datos en estas situaciones?

  • Definir y documentar la política de gestión de incidentes y el protocolo interno de gestión de incidentes.
  • Detectar e informar de las incidencias producidas. Si bien en este caso existe la duda de qué información hay que conservar y durante cuánto tiempo.
  • Responder a la violación, comenzando por la aplicación de las medidas de contención y continuando con la notificación de la misma (para lo que hay formularios como los del CNIL, ICO y la ISO 27035).
  • Conocer el contenido de la violación y adoptar las medidas adecuadas para paliar sus efectos. Para ello puede ser útil aplicar la técnica OODA Loop, basada en los principios de observar, orientarse, decidir y actuar.
  • Identificar las lecciones aprendidas, evaluando qué se ha hecho mal y qué ha fallado, para depurar errores y establecer sistemas que los eviten o palíen en el futuro.

En la gestión de estas situaciones es importante que exista una buena relación entre el DPO y el responsable de seguridad de la empresa (CSO), pues su papel no es el enfrentamiento por las responsabilidades respectivas, sino la solución de los problemas que puedan surgir.

 

El caso Ashley Madison

Cao puso como ejemplo de mala gestión de un incidente de ciberseguridad el ataque sufrido por la página de contactos Ashley Madison en 2015. Tras ser advertida del robo por parte de un grupo de piratas informáticos de los datos de más de 30 millones de usuarios de la página, la empresa no adoptó las medidas de respuesta adoptadas.

El incidente cobró vida propia, se transformó de incidente en brecha de seguridad por la adopción de decisiones incorrectas y generó las peores consecuencias reputacionales cuando se descubrió que la empresa ni siquiera había implantado previamente las medidas de seguridad adecuadas y, además, que había seguido prácticas de seguridad deficientes.

El daño fue tremendo y los costes económicos necesarios para reparar la brecha y reconstruir la confianza en el producto, muy superiores a los de haber implantado en su momento las medidas adecuada

 

Fuente: diariolaley

Harvey LluchCiberseguridad práctica. Violaciones de seguridad

Related Posts

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *