Metodologías para gestión de riesgos en materia de protección de datos en trajes de super héroes


Esta es una versión alternativa de un post menos friki que he publicado hoy en Linkedin. Lo que añado aquí en azul son las aclaraciones fundamentales para que se entienda en el contexto de este blog :)
La aplicación del RGPD y el concepto de la privacidad por defecto y desde el diseño nos va a meter de lleno en la aplicación de metodologías de análisis de riesgo que no nos pillará de nuevas a aquellos que venimos aplicando desde hace tiempo normas estándares de seguridad que vienen de la línea de las 27K.
Cuando Cisco tiene que hacer un traje para The Flash sabiendo que va a enfrentarse a metahumanos que tienen poderes desconocidos, por defecto y desde el diseño, introduce toda una serie de funcionalidades al traje para evitar riesgos que pueda sufrir The Flash al enfrentarse a los malos. Para ello ha aplicado una análisis de posibles maldades que le pueden hacer los malos.
¿Qué es un análisis de riesgos? Es un proceso sistemático que nos permite identificar los riesgos a los que está expuesta, por ejemplo, una organización. En definitiva, en líneas generales, un análisis de riesgo implica:
  • Definir un alcance, es decir, el ámbito sobre el cual se va a llevar a cabo el análisis de riesgos.
  • Identificar los activos que quedan incluidos dentro de dicho alcance.
  • Identificar las amenazas que afectan a dichos activos.
  • Identificar vulnerabilidades
  • Identificar salvaguardas
  • Evaluar el riesgo
  • Tratar el riesgo.
El INCIBE publicó un post en el que resumía éstos pasos aplicados al ámbito de la seguridad de la información que pueden servir como punto de partida para tener un contexto de ejemplo. Puede consultarse aquí.
Por ejemplo, si el alcance del análisis es "tipos de malos a los que puede enfrentarse Ironman teniendo en cuenta las capacidades de su traje". El activo incluido en el alcance es: el propio Tony Stark, es decir, su supervivencia a la hora de enfrentarse a un villano. 
Las amenazas posibles: ataque por visión láser; ataque por lanzamiento de meteorito; ataque por objeto contundente. 
Las vulnerabilidades posibles pueden ser: resaca por ingesta de alcohol de Tony Stark, Tony Stark está descentrado porque Pepper Post no le entiende; Tony Stark tiene un mal día porque le han pinchado las ruedas del coche. 
Las salvaguardas posibles pueden ser: Jarvis tiene todos los parches de seguridad actualizados; Jarvis tiene a punto el piloto automático; Jarvis tiene los mapas del GPS actualizados; Jarvis se encarga de mandar flores a Pepper. 
A la hora de evaluar el riesgo ya contamos con los elementos anteriores para poder evaluar la probabilidad y el impacto, por ejemplo:
  • La amenaza de que Iron Man sea atacado con un objeto contundente se materializa 3 veces al mes.
  • El impacto, es decir, el daño derivado de la materialización de la amenaza implica un gasto en reparaciones del traje de Iron Man que tiene consecuencias leves porque Tony Stark es multimillonario.
  • Calculamos el riesgo con las variables de la probalidad y el impacto.
Y a partir de ahí tratamos el riesgo que implica, por ejemplo, añadir funcionalidades nuevas al traje de Iron Man para que el objeto contundente no destroce el traje.
Si nos llevamos el análisis de riesgos al ámbito de la protección de datos el alcance aplica a la identificación de riesgos, en las operaciones de tratamiento de datos personales que se van a llevar a cabo por parte de una organización. ¿Fácil no? :D

¿Qué es un análisis de evaluación de impacto en materia de protección de datos?
Está precisamente relacionado con la realización de un análisis de riesgos. La Agencia Española de Protección publicó en el año 2014 una “Guía para la evaluación de impacto en la protección de datos personales” en la que establece: "Y entre las herramientas más útiles para avanzar en la privacidad desde el diseño se encuentran las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos, más conocidas como PIAs, por sus siglas en inglés (Privacy Impact Assessments), que se han desarrollado fundamentalmente en países anglosajones, donde ya existen metodologías consolidadas para su realización. Una PIA o una Evaluación de Impacto en la Protección de los Datos Personales (EIPD) es, en esencia, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos."
Por ejemplo, si detectamos que el riesgo de que Jean Grey siga siendo un miembro de la patrulla X es muy peligroso porque es muy posible que se le vaya la pinza y, por tanto, implica un alto riesgo para el resto de sus compañeros, tendríamos que hacer un análisis de evaluación de impacto para establecer qué medidas de seguridad son necesarias para que Jean Grey pueda seguir siendo parte del grupo, o bien, determinar que no puede seguir siendo miembro de la Patrulla X

Lo que también añade la Guía de la Agencia es que: "no es ni puede ser el objetivo de esta Guía el proporcionar criterios ni metodologías para definir cuantitativamente los niveles de riesgo de cada una de las situaciones descritas y de cualesquiera otras que pudieran aparecer como fuentes de riesgo para la privacidad al realizar una EIPD. Estas valoraciones han de ser llevadas a cabo en función del producto o servicio de que se trate, de las circunstancias de tratamiento de los datos, de los destinatarios de los mismos, de las tecnologías utilizadas, etc."
Esto quiere decir que Cisco no puede saber de entrada todas las contramedidas que puede poner en el traje de The Flash. Sólo cuando sabe a qué metahumano va a enfrentarse puede poner las medidas en el traje.

¡Andá! ¿Y entonces? ¿Se puede entender que las actuales medidas que establece el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos y las clasificación en niveles de medidas de seguridad básico, medio y alto es una metodología de análisis de riesgos aplicable para la protección de datos de carácter personal? ¡No! las medidas del RDLOPD no son una metodología. Lo que viene al recoger el RDLOPD es la enumeración de medidas, pero no especifica el enfoque basado en el riesgo que está recogido en el RGPD. Esta pregunta se la han hecho también directamente a la Agencia Española de Protección de Datos en la 9ª sesión anual abierta. Ante la pregunta: ¿Puede considerarse el Título VIII del RLOPD como metodología de análisis de riesgo? La respuesta de la Agencia fue: "Si lo que se plantea es si la división en tres niveles de seguridad efectuada por el artículo 81 del RLOPD es suficiente para valorar el riesgo la respuesta debe ser negativa. Este “enfoque” únicamente atiende a la tipología del responsable o de los datos tratados, pero no atiende a los riegos concretos que pueden afectar a los derechos de las personas ni tiene en cuenta (salvo alguna excepción, como la referida a los datos especialmente protegidos) los riesgos potenciales a los que se refiere el RGPD Luego, efectivamente, las medidas del RDLOPD no son una metodología de análisis de riesgo para analizar el impacto en materia de privacidad.
Es decir, que aunque Cisco tenga una imaginación desbordante en la que pueda imaginarse todas los posibles metahumanos a los que va a enfretarse The Flash, no puede saber a qué riesgos concretos se va a enfrentar hasta que aparece el malo de turno en el capítulo para poder meterle los juguetes al traje.

La Agencia de Protección de Datos, en la guía comentada menciona algunas metodologías cuya aplicación puede ser posible: "Por su relevancia y adaptación al caso específico de la privacidad, se puede hacer mención a la publicación Methodology for Privacy Risk Management de la Commission Nationale de l’Informatique et des Libertés (CNIL); a MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), he- rramienta creada por el Consejo Superior de Administración Electrónica para asistir a los distintos organismos públicos en este ámbito pero que es perfectamente utilizable también por el sector privado; Risk IT (ISACA) o ISO 27005" En principio, según uno de los post relacionados con el análisis de riesgos publicados por la Agencia Española de Protección de datos: "En este sentido, la Agencia está ultimando una Guía de análisis de riesgo que se publicará en breve junto a un catálogo de cumplimiento normativo.” En cualquier caso, la herramienta Pilar basada en la metodología Magerit ya incluye un módulo específico para el RGPD desde el pasado 12 de diciembre. Y quien sí se ha puesto mucho las pilas desde hace muchos años para facilitar el análisis de riesgos y ahora aplicado a la privacidad es el CNIL, el equivalente a la Agencia de Protección de Datos en Francia. En este caso la metodología de análisis de riesgos está basada en EBIOS. Además han liberado una aplicación bajo licencia GPL 3 (mola mucho el CNIL ;)) para la elaboración de análisis de evaluación de impacto por si tenéis curiosidad.

Comentarios

Publicar un comentario

Entradas populares de este blog

La televisión a plazos en el banco

Acompañadme en esta película de terror en la que mi tía va al banco a solicitar unas transferencias bancarias y termina con una televisión que acaba siendo un contrato de tarjeta revolving con un interés de casi un 21%. Me paso los días avisando a mi gente para tenga cuidado con fraudes de phising. Para tratar de evitar que pinchen por error en enlaces de mensajes que les llegan con pinta de legítimos y que acaben siendo un fraude simulando ser de la entidad bancaria. Hoy voy a contar lo que sí ha hecho una sucursal bancaria. A ver si, en la medida de lo posible, puedo evitar que le suceda a más gente.  Por dar un poco de contexto, la hermana de mi madre es una persona de 70 años que tiene que utilizar silla de ruedas en la calle y andador en casa porque en 1.999 le dio un infarto cerebral que dejó la mitad izquierda de su cuerpo afectado y el habla. Se la entiende, en cualquier caso. Habla más lento, con esfuerzo, pero se la entiende.  Es una persona con un bagaje cultural amplio. Su
Leer más

La anulación del acuerdo Privacy Shield explicada con mutantes

Hace unos días supimos que el acuerdo Privacy Shield entre Estados Unidos y la Unión Europea ha sido anulado por el Tribunal de Justicia de la Unión Europea.  Lo primero es entender para qué servía el acuerdo Privacy Shield. Para explicarlo voy a partir de la hipótesis de un mutante llamado Javier, que tiene una escuela para jóvenes mutantes, ubicada en un pueblo a la orilla del río Alberche. Ahí los jóvenes mutantes reciben formación y aprenden a controlar sus poderes y a manejarlos.  La infraestructura tecnológica de la escuela está desplegada en servidores ubicados en EEUU. Por ningún motivo en concreto, simplemente a Forjador, el CTO de la escuela, le cuadró la oferta que le hicieron.  En esa infraestructura, la escuela tiene desplegadas diversas herramientas y aplicaciones. Quizás la más relevante, sea una base de datos que contiene las instrucciones para neutralizar a cualquier mutante que pierda el control de sus poderes, incluido al propio Javier.  El hecho de que una
Leer más

Cookies, vampiros y una tabla resumen

Imagen
Hace un par de meses la Agencia Española de Protección de Datos publicó una actualización de su guía de cookies que implica cambios para los sitios webs de las organizaciones y que tendrán que adaptar antes del 31 de octubre. Las principales modificaciones tienen que ver con la forma de recabar el consentimiento. A partir del 1 de noviembre debe recabarse mediante una acción afirmativa por parte del usuario. No serán ya válidas afirmaciones del tipo "si sigues navegando, entendemos que aceptas las cookies".   Lo cierto es que la mayoría de los sitios webs todavía no cumplen algo que ya era necesario antes de la actualización de esta guía. Y es que instalan las cookies que requieren consentimiento antes de que el usuario interaccione con el sitio o marque la aceptación del aviso de cookies. Es decir, cuando el usuario resuelve la dirección del sitio, y sin que haya interactuado con la web ni aceptado el banner, ya se le han instalado las cookies que requieren consentimiento.
Leer más