La seguridad en el RGPD.

Transcripción

1 La seguridad en el RGPD. Javier Cao Avellaneda. Cybersecurity, Privacy, and IT Risk Leader en

2 Agenda. La seguridad del tratamiento en el RGPD. Gestión de violaciones de seguridad: Qué hacer.

3 Artículo 32. Seguridad del tratamiento. 1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

4 Artículo 32. Seguridad del tratamiento. 2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo. 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

5 Qué supone la seguridad de los datos. Destrucción o pérdida DISPONIBILIDAD Alteración accidental o ilícita INTEGRIDAD Comunicación o acceso no autorizado CONFIDENCIALIDAD Impactos en la seguridad del tratamiento

6 Nuevo contexto RGPD. 1. Libertad en el marco de medidas de seguridad para la gestión del riesgo. 2. Lograr resultados verificando la eficacia de los controles Trazabilidad de decisiones para justificar Responsabilidad activa. = Sistema de gestión de la seguridad de la información (SGSI).

7 Directrices de la AEPD.

8 Los papeles sólo ya no sirven sólo los resultados.

9 Valorar riesgo y evidenciar decisiones.

10 DPO CEO Tenemos una violación de seguridad Qué era eso del accountability?

11

12 Evitar situaciones del Rey desnudo.

13 Gestión basada en la mejora continua.

14 Confianza basada en resultados no sensaciones. Gestión basada en objetivos e indicadores. Cumpli-Y-NO-MIENTO.

15 Auditoria como garante de eficacia. Ciclo de resolución DEFICIENCIA Ciclo de mejora Acción correctiva Incidencias o carencias Todo en orden Ciclo de mantenimiento OBSERVACIÓN Mantener el Sistema OPORTUNIDAD DE MEJORA Ideas/Mejoras

16 Agenda. La seguridad del tratamiento en el RGPD. Violaciones de seguridad: diagnóstico y tratamiento.

17 Los síntomas. Evento de seguridad : ocurrencia en un sistema, servicio o equipo de red que indica que una posible brecha de seguridad, incumplimiento o fallo de un control o una situación desconocida que pueda ser relevante en seguridad. ISO/IEC 27035: Information security incident management. Incidente de seguridad : uno o varios eventos que seguridad que tengan una probabilidad considerable de comprometer los servicios de negocio o amenazar a la seguridad de la información. ISO/IEC 27035: Information security incident management.

18 Los síntomas. Art. 4. Definiciones RGPD. Violación de la seguridad de los datos personales: Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

19 Los síntomas. Amenaza causa Acción indeseada explota Vulnerabilidad Ocurrencia de Clasificado como Evento de seguridad de la información expone Incidente de seguridad de la información Impacta en Activo de información ISO/IEC 27035: Information security incident management.

20 Los síntomas: Taxonomía de incidentes. Fuente:

21 Los síntomas. Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control 1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. 2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

22 Los síntomas. Es muy improbable que un incidente no deje alguna huella pero requiere de un buen diseño de las trazas de auditoría en el sistema.

23 Primer gran reto: la detección de eventos de seguridad y la valoración para establecer si es o no un incidente que supone una violación de seguridad.

24 El diagnóstico. Factores clave para el diagnóstico. Contexto. Tiempo de respuesta. Organización interna. Severidad. Criterios de escalado.

25 El diagnóstico: contexto. Mismos datos, diferentes impactos. Nombre, apellido, DNI, usuario.

26 El diagnóstico: tiempo de respuesta. A mayor tiempo de detección de la violación y más retardo en la respuesta, mayor impacto.

27 El diagnóstico: organización interna. 1) Toma de decisiones. 2) Gestión de crisis. 3) Comunicación. 1) Detección. 2) Monitorización operativa 3) Reporte y escalado. 1) Contención y respuesta 2) Reporte y escalado. 3) Propuesta de nuevas medidas 1) Valoración jurídica. 2) Gestión mediática.

28 El diagnóstico: severidad del incidente. Se pueden establecer criterios de ponderación para estimar la severidad de un incidente e iniciar los protocolos internos que correspondan. Cada organización debe ajustar sus valores en función de su contexto, sus tratamientos, sus riesgos y su responsabilidad social corporativa. Los parámetros para valorar escenarios pueden variar: Tipos de datos. Volumen de afectados. Tiempo de vida del incidente. Tipo de amenaza que causa el incidente. Causas que han permitido la violación.

29 El diagnóstico: criterios de escalado. Una vez segmentada la severidad, la organización debe tener protocolos o procedimientos internos definidos para establecer el escalado de incidentes y valorar cuándo se superan los umbrales tolerables que transforman en contingencia los hechos acaecidos. DECISIÓN a TOMAR: Iniciar proceso de notificación de la violación de seguridad.

30 Segundo gran reto: Resolver los aspectos organizativos para tener procesos ágiles y eficaces de respuesta frente a incidentes que establezcan cuando es violación de seguridad y cuándo se requiere notificar.

31 Método de trabajo. Ciclo de vida del incidente. ISO 27035:2011. Information security incident management

32 Método de trabajo. Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control. La notificación contemplada en el apartado 1 deberá, como mínimo: a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; c) describir las posibles consecuencias de la violación de la seguridad de los datos personales; d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. 4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

33 ISO Proceso de gestión de incidentes. Preparar y planificar. Detectar e informar. Valorar y decidir. Responder. Lecciones aprendidas.

34 ISO Information security incident management. Los objetivos de un proceso maduro de gestión de incidentes debe ser asegurar: A) Que los eventos sean detectados con eficiencia, en particular, son adecuadamente valorados y clasificados para establecer si son o no un incidente. B) Se responda de forma eficaz a todos los incidentes de seguridad que son identificados. C) Se minimicen los efectos adversos que pueda tener el incidente para la organización mediante controles adecuados como parte de la respuesta frente al incidente o en conjunción con los planes de gestión de crisis o de continuidad de negocio. D) Se identifican e informan las vulnerabilidades detectadas para que sean adecuadamente tratadas y resueltas. E) Se incorporan y gestionan todas aquellas lecciones aprendidas de los incidentes ya acaecidos.

35 ISO Preparar y planificar. Debe definirse y documentar las siguientes cuestiones: Política de gestión de incidentes de la organización. Procedimiento interno de gestión de incidentes, que incluya: Criterios de clasificación y severidad de la organización (Deberá contemplar criterios RGPD). Tipos de informes de eventos, incidentes y vulnerabilidades a contemplar. Protocolos a aplicar en cada caso o por escenarios: eventos, incidentes y vulnerabilidades. Roles operativos que deben intervenir (Deberá incluir DPO). Criterios de escalado de eventos e incidentes. Información de contacto con partes interesadas: internas y externas que se puedan ver afectadas (Deberá incluir AGPD). Programas de formación interna. Plan de pruebas de los procedimientos y protocolos establecidos.

36 ISO Detectar y informar. Se centra en tareas operativas dirigidas a monitorizar los eventos y establecer si existen o no incidentes. De igual forma, debe también identificar posibles vulnerabilidades que en un futuro pudieran ocasionar también incidentes para que se tomen las medidas preventivas que sean necesarias. Debe registrar todo tipo de eventos que tengan que ser valorados. Debe también iniciar la conservación de evidencias digitales cuando el tipo de incidente lo requiera.

37 ISO Valorar y decidir. Fase clave donde se toman decisiones respecto a los eventos o incidentes detectados. Debe recoger información precisa de lo sucedido o que está sucediendo, actualizándola cuando proceda. Debe involucrar al DPO como un rol activo, que tiene que ser capaz de estimar la severidad, desde el punto de vista del RGPD, del incidente según los tratamientos de la organización afectados. Debe escalar los hechos según criterios de clasificación y severidad. Debe coordinar y gestionar la posible crisis y la contención mediática del incidente si se produce.

38 ISO Valorar y decidir. En esta fase, una vez se obtiene información de lo sucedido, deberá valorarse y decidir si el incidente supone o no una violación de seguridad. Establecer si se notifica tanto a la AGPD como al afectado. La trazabilidad del proceso de gestión de incidentes garantiza tener evidencias por si la Autoridad de Control cuestiona las decisiones. Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control. 4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. 5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

39 ISO Valorar y decidir. Crítico el tiempo en obtener respuestas.

40 ISO Responder. Esta fase inicia las tareas de contención, una vez valorado lo sucedido y tomadas las decisiones oportunas. Las actividades de respuesta son: Si el incidente está bajo control. Iniciar la activación de los protocolos de respuesta frente a incidentes que correspondan y la comunicación interna y externa a las autoridades competentes. Es en esta fase cuando se debería notificar la violación de seguridad tanto a la Autoridad de Control, como si procede, al afectado. Si no está bajo control, iniciar las actividades de escalado según los procedimientos de gestión de crisis y el empeoramiento de la situación que vaya produciéndose. Garantizar que se están recogiendo las evidencias suficientes que permitan posteriormente un análisis adecuado o su uso en caso de emprender acciones legales.

41 ISO Responder. La notificación de la violación de seguridad debe satisfacer unos contenidos mínimos. En esta fase se debe disponer de la información necesaria para poder completar en la medida de lo posible los apartados establecidos por el RGPD. a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; c) describir las posibles consecuencias de la violación de la seguridad de los datos personales; d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. El DPO debe canalizar esta notificación y ser el punto de contacto con las autoridades de control.

42 ISO Responder. El CNIL, ICO e ISO proporcionan ya ejemplos de formularios de notificación.

43 ISO Responder. OODA Loop

44 ISO Lecciones aprendidas. Esta fase tiene por objetivo solventar posibles deficiencias en la gestión de incidentes o incorporar mejoras que permitan una mejor respuesta en la siguiente ejecución. De por tanto servir para: Depurar errores o actualizar información que se haya evidenciado obsoleta. Detectar nuevos mecanismos de control que puedan ser necesarios o mejorar los ya existentes. Revisar la eficacia del proceso de gestión. Analizar la información forense que todavía esté pendiente de procesar y que pueda aportar mejoras. Comunicar los resultados del proceso y realizar una valoración final del incidente.

45 Se puede perdonar el ser derrotado, pero nunca el ser sorprendido. Federico I el Grande, de Prusia.