Metodologías para gestión de riesgos en materia de protección de datos en trajes de super héroes
Esta es una versión alternativa de un post menos friki que he publicado hoy en Linkedin. Lo que añado aquí en azul son las aclaraciones fundamentales para que se entienda en el contexto de este blog :) |
Cuando Cisco tiene que hacer un traje para The Flash sabiendo que va a enfrentarse a metahumanos que tienen poderes desconocidos, por defecto y desde el diseño, introduce toda una serie de funcionalidades al traje para evitar riesgos que pueda sufrir The Flash al enfrentarse a los malos. Para ello ha aplicado una análisis de posibles maldades que le pueden hacer los malos. |
- Definir un alcance, es decir, el ámbito sobre el cual se va a llevar a cabo el análisis de riesgos.
- Identificar los activos que quedan incluidos dentro de dicho alcance.
- Identificar las amenazas que afectan a dichos activos.
- Identificar vulnerabilidades
- Identificar salvaguardas
- Evaluar el riesgo
- Tratar el riesgo.
Por ejemplo, si el alcance del análisis es "tipos de malos a los que puede enfrentarse Ironman teniendo en cuenta las capacidades de su traje". El activo incluido en el alcance es: el propio Tony Stark, es decir, su supervivencia a la hora de enfrentarse a un villano. Las amenazas posibles: ataque por visión láser; ataque por lanzamiento de meteorito; ataque por objeto contundente. Las vulnerabilidades posibles pueden ser: resaca por ingesta de alcohol de Tony Stark, Tony Stark está descentrado porque Pepper Post no le entiende; Tony Stark tiene un mal día porque le han pinchado las ruedas del coche. Las salvaguardas posibles pueden ser: Jarvis tiene todos los parches de seguridad actualizados; Jarvis tiene a punto el piloto automático; Jarvis tiene los mapas del GPS actualizados; Jarvis se encarga de mandar flores a Pepper. A la hora de evaluar el riesgo ya contamos con los elementos anteriores para poder evaluar la probabilidad y el impacto, por ejemplo:
|
¿Qué es un análisis de evaluación de impacto en materia de protección de datos?
Está precisamente relacionado con la realización de un análisis de riesgos. La Agencia Española de Protección publicó en el año 2014 una “Guía para la evaluación de impacto en la protección de datos personales” en la que establece: "Y entre las herramientas más útiles para avanzar en la privacidad desde el diseño se encuentran las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos, más conocidas como PIAs, por sus siglas en inglés (Privacy Impact Assessments), que se han desarrollado fundamentalmente en países anglosajones, donde ya existen metodologías consolidadas para su realización. Una PIA o una Evaluación de Impacto en la Protección de los Datos Personales (EIPD) es, en esencia, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos."
Por ejemplo, si detectamos que el riesgo de que Jean Grey siga siendo un miembro de la patrulla X es muy peligroso porque es muy posible que se le vaya la pinza y, por tanto, implica un alto riesgo para el resto de sus compañeros, tendríamos que hacer un análisis de evaluación de impacto para establecer qué medidas de seguridad son necesarias para que Jean Grey pueda seguir siendo parte del grupo, o bien, determinar que no puede seguir siendo miembro de la Patrulla X |
Lo que también añade la Guía de la Agencia es que: "no es ni puede ser el objetivo de esta Guía el proporcionar criterios ni metodologías para definir cuantitativamente los niveles de riesgo de cada una de las situaciones descritas y de cualesquiera otras que pudieran aparecer como fuentes de riesgo para la privacidad al realizar una EIPD. Estas valoraciones han de ser llevadas a cabo en función del producto o servicio de que se trate, de las circunstancias de tratamiento de los datos, de los destinatarios de los mismos, de las tecnologías utilizadas, etc."
Esto quiere decir que Cisco no puede saber de entrada todas las contramedidas que puede poner en el traje de The Flash. Sólo cuando sabe a qué metahumano va a enfrentarse puede poner las medidas en el traje. |
¡Andá! ¿Y entonces? ¿Se puede entender que las actuales medidas que establece el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos y las clasificación en niveles de medidas de seguridad básico, medio y alto es una metodología de análisis de riesgos aplicable para la protección de datos de carácter personal? ¡No! las medidas del RDLOPD no son una metodología. Lo que viene al recoger el RDLOPD es la enumeración de medidas, pero no especifica el enfoque basado en el riesgo que está recogido en el RGPD. Esta pregunta se la han hecho también directamente a la Agencia Española de Protección de Datos en la 9ª sesión anual abierta. Ante la pregunta: ¿Puede considerarse el Título VIII del RLOPD como metodología de análisis de riesgo? La respuesta de la Agencia fue: "Si lo que se plantea es si la división en tres niveles de seguridad efectuada por el artículo 81 del RLOPD es suficiente para valorar el riesgo la respuesta debe ser negativa. Este “enfoque” únicamente atiende a la tipología del responsable o de los datos tratados, pero no atiende a los riegos concretos que pueden afectar a los derechos de las personas ni tiene en cuenta (salvo alguna excepción, como la referida a los datos especialmente protegidos) los riesgos potenciales a los que se refiere el RGPD Luego, efectivamente, las medidas del RDLOPD no son una metodología de análisis de riesgo para analizar el impacto en materia de privacidad.
Es decir, que aunque Cisco tenga una imaginación desbordante en la que pueda imaginarse todas los posibles metahumanos a los que va a enfretarse The Flash, no puede saber a qué riesgos concretos se va a enfrentar hasta que aparece el malo de turno en el capítulo para poder meterle los juguetes al traje. |
La Agencia de Protección de Datos, en la guía comentada menciona algunas metodologías cuya aplicación puede ser posible: "Por su relevancia y adaptación al caso específico de la privacidad, se puede hacer mención a la publicación Methodology for Privacy Risk Management de la Commission Nationale de l’Informatique et des Libertés (CNIL); a MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), he- rramienta creada por el Consejo Superior de Administración Electrónica para asistir a los distintos organismos públicos en este ámbito pero que es perfectamente utilizable también por el sector privado; Risk IT (ISACA) o ISO 27005" En principio, según uno de los post relacionados con el análisis de riesgos publicados por la Agencia Española de Protección de datos: "En este sentido, la Agencia está ultimando una Guía de análisis de riesgo que se publicará en breve junto a un catálogo de cumplimiento normativo.” En cualquier caso, la herramienta Pilar basada en la metodología Magerit ya incluye un módulo específico para el RGPD desde el pasado 12 de diciembre. Y quien sí se ha puesto mucho las pilas desde hace muchos años para facilitar el análisis de riesgos y ahora aplicado a la privacidad es el CNIL, el equivalente a la Agencia de Protección de Datos en Francia. En este caso la metodología de análisis de riesgos está basada en EBIOS. Además han liberado una aplicación bajo licencia GPL 3 (mola mucho el CNIL ;)) para la elaboración de análisis de evaluación de impacto por si tenéis curiosidad.
Comentarios
Publicar un comentario