Javier Cao Avellaneda: El impacto de la notificación de violaciones de seguridad del Nuevo Reglamento.


 

APEP - Logo

Día Europeo de Protección de Datos 2016

Monográfico de la Asociación Profesional Española de Privacidad

+

+

Javier Cao Avellaneda

Responsable de ciberseguridad en Firma, Proyectos y Formación, S.L.

+

Como todos los años, toca celebrar en APEP el Día Europeo de Protección de Datos y quiero plantear reflexiones sobre el impacto que puede tener la regulación sobre la obligación de notificar las violaciones de información en materia de protección de datos y sus posibles beneficios.

Toda organización que se precie debiera tener control sobre sus sistemas de información. En este sentido, la monitorización del funcionamiento es una actividad básica para la gestión y control de los sistemas de información. Sin embargo, en materia de seguridad esta es una tarea no muy común en muchas grandes organizaciones que siguen como máxima de protección aquello de “no news, good news”. Este es precisamente uno de los axiomas corporativos que más daño hacen a la gestión de la seguridad de la información. ¿Por qué? Las tres dimensiones de la seguridad no se comportan igual frente a los daños. En cada caso, el proceso de gestión de incidentes requiere acciones muy diferentes según el tipo de amenaza y sobre qué dimensión se produce pero no siempre la ausencia de efectos o daños no implica que no estén ocurriendo cosas.

Para un profesional de la protección todo incidente de seguridad debe ser visto como un fracaso y debe hacernos plantear qué no ha funcionado o qué no hemos contemplado como amenaza. Se convierte en un doble fracaso si del incidente no aprendemos nada que nos lleve a evitar una nueva ocurrencia.

El nuevo reglamento establece ahora la definición de las violaciones de seguridad como cualquier incidente que ocasione la destrucción accidental o ilícita, la pérdida, alteración, comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma. Esta definición contempla como vemos cualquier incidente que afecte a la disponibilidad, integridad o confidencialidad.

Centrándonos ya en la nueva exigencia respecto a la notificación de incidentes, para que pueda ser realizada y se pueda proporcionar la información que establece el artículo 31, la organización debe tener implantado un proceso de gestión de incidentes1 completo. Ello implica que la organización, ante una violación de seguridad, contempla las siguientes actividades:

  • Detección y notificación del incidente: se tiene establecido un protocolo interno para recibir este tipo de incidencias y un proceso de escalado que informa a los diferentes actores que deben estar preparados o participarán en la respuesta.

  • Triaje: cuyo objetivo es la valoración de los hechos, su categorización, prioridad y asignar los responsables encargados de gestionar la respuesta. Esta actividad es clave para una gestión eficaz puesto que en muchos casos, cuanto menor es el tiempo en que la amenaza nos afecta, menores son los impactos. En muchos informes forenses de los incidentes más notorios de estos últimos tiempos relacionados con fugas de información, el atacante ha estado durante meses dentro de los sistemas sin ser detectado. Es por ello que se añade ahora la persistencia a este nuevo tipo de amenazas denominadas APT (Advanced Persistent Threat).

  • Análisis: se centra en el intento de determinar qué ha podido suceder, qué impacto ha causado o podría causar y establecer las acciones a emprender como respuesta.

  • Respuesta: supone ya ejecutar, una vez focalizado el problema, una serie de tareas o iniciar un conjunto de protocolos que tengan como efecto la mitigación del incidente y la recuperación de la normalidad. Siempre deben incluir un análisis de causas y una incorporación de mejoras para evitar que el incidente pudiera repetirse.

El hecho de tener que notificar con detalles un incidente tendrá varios efectos colaterales que presumiblemente serán positivos:

  • El contenido de las notificaciones de violaciones de seguridad va a tener que responder a qué tipo de datos se ven afectados, suministrar una persona de contacto que pueda dar detalles del incidente, recomendar acciones para evitar los posibles efectos adversos y describir las consecuencias que el incidente podría tener. Ello no es posible sin un proceso maduro y definido de gestión de incidentes. Y para llegar a él, primero hay que establecer un criterio de triaje que implica calibrar todos los posibles escenarios negativos que la organización podría tener que afrontar. Este tipo de “catarsis simulada” podrá seguramente hacer ver a muchos departamentos o áreas la importancia que tiene la prevención de incidentes y cómo la información es un activo esencial cuando hablamos de reputación, confianza o la credibilidad de una organización.

  • Tener que comunicar el incidente también introduce un cambio respecto a la estrategia del avestruz (Meter la cabeza bajo tierra y esperar a que todo pase) que emplean muchas organizaciones. Los incidentes suceden 2pero si no llegan a ser mediáticos, todo queda en sustos que normalmente no generan cambios preventivos. Ahora, el hecho de saber que los incidentes serán conocidos antes o después, introduce un elemento de presión para evitar daños reputacionales que seguramente planteen si es más rentable acudir a estrategias basadas en la prevención y detección temprana o seguir actuando a base de respuestas cuando los daños ya se han producido.

  • Como tercer factor, va a permitirnos a nosotros, los potenciales usuarios y afectados conocer de forma más transparente cual es la fiabilidad de un proveedor respecto a la custodia de datos. Sitios Web como Datalossdb (http://datalossdb.org/) o Identity Theft Resource Center (http://www.idtheftcenter.org/) contarán con unas mejores fuentes de información y permitirán establecer baremos mas fiables. Además, también podrá hacer ver que esas “sensaciones” de tranquilidad no se basan en datos fiables y muchas empresas reaccionarán seguramente cuando vean “las barbas de su vecino pelar”.

Los que llevamos muchos años en la materia de la seguridad de la información sabemos que es complejo definir cuál es el retorno de inversión en prevención. Tenemos que cuantificar riesgos y sugerir medidas a implantar basándonos en hechos que potencialmente podrían suceder pero que no sabemos si llegarán a ocurrir. Para la Dirección de una organización es tentador hacer caso omiso a los riesgos cuando no está muy claro el retorno de inversión y cuando además, son amenazas no tangibles que siempre parecen de ciencia ficción. El “nunca pasa nada” es una respuesta habitual con la confianza de que aunque pase, probablemente no será conocido. Este nuevo escenario introducido por la notificación obligatoria, que ya funciona en otros ámbitos de la seguridad ahora podrá forzar a replantearse las estrategias de muchas organizaciones.

+

Javier Cao Avellaneda

Responsable de ciberseguridad en Firma, Proyectos y Formación, S.L.

Notas:

1 Detalles en Defining Incident Management Processes for CSIRTs (http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=7153)

2 Zone-H, Web que recoge páginas que han sido hackeadas con entradas a diario. http://www.zone-h.org/archive/special=1

+

+

Puedes acceder al Monografíco de APEP por el Día Europeo de Protección de Datos 2016 en este enlace.