domingo, 19 de abril de 2020

Brechas de seguridad en el multiverso y brechas de seguridad sobre datos de carácter personal

Una brecha es un resquicio por donde algo empieza a perder su seguridad. Esa es la tercera definición de la RAE y es sobre lo que voy a tratar yo en este post.

Las brechas de seguridad pueden ser peligrosas en función de lo que se escape por ese “algo” que pierde su seguridad.
Por ejemplo, atravesar multiversos por el Vacío puede hacerse sin riesgos o puede causar una brecha de seguridad.
Para quien no lo sepa, el Vacío es un velo invisible que separa distintos multiversos. Un mago como Ingold Inglorion es perfectamente capaz de atravesar el Vacío sin causar brechas de seguridad en el multiverso de origen o en el de destino. Pero si los multiversos están en un momento especialmente cercano, puede existir el riesgo de que los Seres Oscuros encuentren el modo de colarse por el Vacío mientras Ingold lo atraviesa. Y eso causaría una brecha de seguridad en el multiverso de destino del mago porque nadie quiere una invasión de los Seres Oscuros en su lado del multiverso.

Una brecha de seguridad puede ser accidental o intencionada. Sabemos, por ejemplo, que Ingold nunca consentiría que los Seres Oscuros atravesaran desde su multiverso de origen a otro.
Es un buen mago. Se le ve a la legua. Si nos atenemos a la descripción que hace Barbara Hambly en la trilogía del Reino de Darwath donde se cuenta su historia, Ingold es el clásico mago de túnica marrón, barba poblada y espada llameante. Pero eso sí, y aquí es donde está lo importante, “en sus ojos azules intensos” no hay “asomo de soberbia, ni crueldad”. Así que no estamos aquí tratando con Saruman. Si atraviesan de un multiverso a otro los Seres Oscuros con Ingold, sabemos que va a ser una brecha de seguridad accidental.

Si en vez brechas de seguridad por cruzar multiversos, estamos ante brechas de seguridad sobre los datos de carácter personal que tratan las organizaciones, existen incluso más variables que las que maneja Ingold. Porque esas brechas pueden ocurrir sobre datos personales que se tratan en soporte digital, o sobre datos personales que se tratan en soporte papel.
Igual que sucede en el caso de los Seres Oscuros, también con los datos de carácter personal la brecha puede ser accidental. Como que alguien pierda un pendrive que contiene datos personales. O la brecha puede ser intencionada, como que las redes y sistemas informáticos de la organización sufran un ataque porque alguien recibió un email raro y pinchó en un enlace que los malos habían preparado para hacer maldades en los sistemas informáticos de la organización.

Tanto si lidiamos con Seres Oscuros, como si lo hacemos con potenciales brechas sobre datos de carácter personal, es importante que existan procedimientos para estar preparados ante la posibilidad de que algo malo (la brecha de seguridad) ocurra.

Por ejemplo Ingold tiene un procedimiento que consiste en no atravesar el Vacío cuando los multiversos se encuentran demasiados cercanos.  La cercanía de los multiversos depende de la fase lunar en que se encuentren.

Y, aún así, cuando no le queda más remedio y tiene que atravesar el Vacío, cuenta con un protocolo para hacer frente a los Seres Oscuros. Si queréis saber cuál es el protocolo, podéis consultarlo en la trilogía de El Reino de Darwarth. O me escribís por email o por DM en Twitter por evitar los spoilers. Estoy segura de que aplican como consultas jurídicas y además serán probono.

Pero aquí, sobre lo que quiero hacer hincapié, es sobre el hecho de que Ingold está preparado para una potencial brecha porque sabe:
    • Qué puede pasar si atraviesa el Vacío en cierto momento.
    • Qué le puede perseguir si le hace.
    • Cómo debe actuar si ese “qué” le persigue.

¿Se me ve por dónde voy? Porque eso es precisamente lo que tienen que hacer las organizaciones que tratan datos personal para evitar brechas de seguridad. Es muy importante que, igual que Ingold, estén preparadas y que cuenten con un procedimiento de brechas de seguridad. Lo mismo que Ingold sabe que el riesgo está en los Seres Oscuros, las organizaciones, para poder definir un buen procedimiento de brechas de seguridad, tienen que saber:
    • Qué datos personales están tratando.
    • Qué medios utilizan para tratar esos datos personales:
        ◦ ¿Medios digitales? ¿En qué aplicaciones? ¿Dónde están alojados?
        ◦ ¿Medios en papel? ¿Quién los custodia? ¿Se extraen de la organización.
    • Qué riesgos pueden existir sobre dichos datos personales.

Por tanto, un buen procedimiento de brechas de seguridad, implica implantar medios y mecanismos que permitan detectar si se ha producido alguna brecha sobre los datos de carácter personal y cómo actuar cuando ocurra. Porque, cuando se produzca esa brecha, hay que tener muy claro qué hacer. Esto es muy importante. Si Ingold atravesara multiversos sin tener planificado qué hacer si le siguen los Seres Oscuros, os aseguro que ya tendríamos en este multiverso una invasión imparable de Seres Oscuros. Y eso es algo malo, muy malo.

Si una organización no tiene identificado qué hacer cuando se produzca una brecha de seguridad, improvisar en una situación así, será como luchar con los Seres Oscuros pero sin espada llameante.

Así que, ese plan de brechas de seguridad, tiene que especificar tareas y personas para ejecutar esas tareas. De manera que permita solucionar la brecha de seguridad, poner medios para que no vuelva a suceder en el futuro y activar acciones para minimizar sus impactos. Entre las distintas acciones está la comunicación a los titulares de los datos de carácter personal. Además de la comunicación a la propia Agencia de Protección de Datos en un plazo máximo de 72 horas.

En este procedimiento de brechas de seguridad es necesario, además, tener establecidas unas pautas para poder valorar la gravedad de la brecha. Igual que no es lo mismo que se te cuele por el Vacío un solo Ser Oscuro a que se te cuele un regimiento,  tampoco es lo mismo que la brecha de seguridad sea sobre datos poco sensibles como nombres y apellidos, a que sea sobre datos de salud. Ni que la brecha sea sobre datos de cinco personas o sobre cien mil personas.

Así que, para poder valorar y tomar decisiones, es fundamental tener todos los datos relacionados con la brecha de seguridad. Por eso es importante contar con un procedimiento. En una situación excepcional, arriesgada y generalmente estresante para las organizaciones, es mejor contar con un manual (el procedimiento) de lo que hay que hacer paso a paso para poder solucionar la brecha; para saber quién participa en la solución; para decidir si hay que notificar a los titulares y a la propia Agencia de Protección de Datos.

Y toda esa cadenas de acciones y reacciones deben quedar registradas en lo que se llama un “registro de brechas de seguridad”.
El registro de brechas de seguridad es un instrumento muy importante en toda gestión de incidentes y brechas de seguridad de una organización.
Aquí los magos, por ejemplo, manejan este registro con el boca a oído. Ingold se lo cuenta a su discípulo Rudy Solis, quien a su vez, se lo contará a sucesivos magos. Y así hacen los procedimientos. Pero los magos son pocos y pueden hacer una gestión de conocimiento por boca a oído.
En las organizaciones, eso no es un buen plan. Una buena gestión de incidentes, además del procedimiento definido, debe contar con un registro de incidentes y brechas de seguridad por escrito. Nada de boca a oído. Ese registro va a permitir varias cosas:

    • En primer lugar, va a ser una evidencia del sistema de cumplimiento de privacidad (o Privacy Compliance, si os gusta más) de la organización. Y es donde va a quedar constancia de las decisiones que se han tomado ante la brecha de seguridad o el incidente ocurrido, así como los motivos de esas decisiones.  Entre otras cosas, la Agencia de Protección de Datos puede pedir la evidencia del registro. Y a la Agencia no se le puede decir: “Este conocimiento ha pasado de generación en generación de magos durante eones y forma parte de nuestra conciencia colectiva”. Quedaría feo y además de potencialmente sancionable.
    • En segundo lugar, permitirá a la organización verificar el funcionamiento de las medidas paliativas implantadas.
    • En tercer lugar, permitirá aprender a la organización. Es una fuente de gestión de conocimiento para el análisis de futuras medidas preventivas.


En conclusión, tan importante como evitar que los Seres Oscuros atraviesen multiversos, es que la organizaciones cuenten con procedimientos de brechas de seguridad sobre datos de carácter personal.

Y recuerda:
    • No permitas que los Seres Oscuros te sigan cuando atravieses multiversos.
    • No utilices pendrives u otros dispositivos externos sin cifrar.
    • No dejes que los Seres Oscuros te toquen.
    • No compartas contraseñas con nadie y establece segundos factores de autenticación.
    • No te fies de cierta realeza del Reino de Darwath.
    • No dejes tu sistema operativo desactualizado.
    • No pienses mal de los jóvenes con pinta de moteros porque pueden esconder un buen mago en su interior.
    • No pinches en enlaces raros de correos electrónicos y mucho menos si no conoces al remitente del correo electrónico.


Para ti.

No hay comentarios:

Publicar un comentario