Reglamento Europeo de Ciberseguridad

9 julio, 2019 | GDPR Legal

El pasado 7 de junio fue publicado el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad»).

Propósitos fundamentales del Reglamento Europeo de Ciberseguridad

Este nuevo marco europeo tiene dos propósitos fundamentales.

  • Por un lado, establece los objetivos, tareas y aspectos organizativos de ENISA (la Agencia Europea en materia de Ciberseguridad)
  • Por otro lado, da soporte al marco para la creación de esquemas europeos de certificación de la ciberseguridad, con el objetivo de garantizar un adecuado nivel de ciberseguridad en los productos, servicios y procesos TIC en la UE.

Impacto del Reglamento Europeo de Ciberseguridad

Este nuevo Reglamento entró en vigor el 27 de junio de 2019 y aunque con menor repercusión mediática que el famoso Reglamento General de Protección de Datos (RGPD), puede tener un impacto muy relevante en el sector tecnológico. Basta leer los considerandos del Reglamento para ver su alcance y cómo supone una apuesta estratégica de la Unión Europea por la ciberseguridad como pilar fundamental para asegurar la resiliencia en la sociedad del siglo XXI.

Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y los ciberataques, requieren unas defensas más sólidas. En el momento en el que las organizaciones se ven inmersas en la transformación digital y se inician los proyectos de despliegue del Internet de las cosas, (IoT o Internet of things), es preciso adoptar todas las medidas necesarias para mejorar la ciberseguridad en la Unión a fin de proteger mejor de las ciberamenazas a las redes y los sistemas de información, las redes de telecomunicaciones y los productos, los servicios y dispositivos digitales utilizados por los ciudadanos, las organizaciones y las empresas, desde las pequeñas y medianas empresas (pymes).

¿Qué determina el Reglamento Europeo de Ciberseguridad?

El Reglamento determina el nuevo papel que debe asumir ENISA y que lo confiere como el actor que va a ser el punto de referencia y conocimiento especializado en la UE.

Las tareas asignadas a ENISA incluyen:

  • Contribuir a la elaboración y ejecución de la política y del derecho de la Unión;
  • Asistir a la creación de capacidades de ciberseguridad;
  • Apoyar la cooperación entre los Estados miembros, las instituciones, órganos y organismos de la Unión y entre las partes interesadas (CERT-UE, red de CSIRT, ejercicios de ciberseguridad, informes sobre la situación de ciberseguridad, respuesta cooperativa);
  • Mercado, certificación de la ciberseguridad y normalización;
  • Conocimiento e información;
  • Sensibilización y educación;
  • Investigación e innovación;
  • Cooperación internacional.

Otros elementos del Reglamento Europeo de Ciberseguridad

El otro gran elemento que este Reglamento aborda tiene por objetivo la construcción de un entorno que permita acreditar la confianza de productos, servicios y procesos de TIC en materia de ciberseguridad. Para ello, se pretende crear un marco europeo de certificación de la ciberseguridad que persigue un planteamiento armonizado de esquemas europeos de certificación de la ciberseguridad en la UE. Este marco europeo de certificación de la ciberseguridad define un mecanismo para establecer esquemas europeos de certificación de la ciberseguridad, y para confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.

La evaluación certificada de la conformidad es el procedimiento por el que se evalúa si se han cumplido los requisitos especificados en relación con un proceso, producto o servicio de TIC. Para llevar a cabo este procedimiento es necesario un tercero independiente, que no sea el fabricante del producto ni el proveedor del producto, servicio o proceso de TIC que está siendo evaluado.

Un certificado europeo de ciberseguridad debe considerarse una confirmación de que la evaluación se ha llevado a cabo de forma apropiada. La evaluación de la conformidad y la certificación no pueden garantizar por sí mismas la ciberseguridad de los productos, servicios y procesos de TIC certificados. Se trata más bien de un procedimiento y una metodología técnica que garantizan que los productos, servicios y procesos de TIC han sido sometidos a ensayo y cumplen determinados requisitos de ciberseguridad establecidos en otro lugar, por ejemplo en las normas técnicas.

Reglamento Europeo de Ciberseguridad y RGPD

Como puede intuirse, este Reglamento Europeo de Ciberseguridad supone un complemento al Reglamento Europeo de Protección de Datos y aclara uno de los aspectos clave que en ambos textos normativos se pretende garantizar: la seguridad por diseño y por defecto. Como vemos, Europa se decanta por el marco de la certificación con dos propuestas claras que deben servir para acreditar la confianza.

  • La certificación RGPD (como desarrollo del artículo 42) que permitirá a las Organizaciones acreditar el conjunto de requisitos organizativos, jurídicos y técnicos para poder demostrar un cumplimiento diligente del RGPD.
  • La certificación en Ciberseguridad (planteada por este Reglamento) que permitirá demostrar las garantías que ofrecen los productos, servicios y procesos TIC de fabricantes y organizaciones.

Inicialmente ambos entornos de certificación se plantean como un valor diferenciador que permite a las organizaciones una diferenciación de excelencia, pero quizás en el futuro, algunos sectores determinen la obligatoriedad de algunos de estos requisitos vinculado a la criticidad del sector en el que operan. Podemos pensar en el sector salud o la gestión de entornos críticos según los criterios establecidos por la Directiva NIS. Se inicia así el camino necesario para evitar situaciones de gran peligro debido a la altísima dependencia que vamos otorgando a las TIC en la gestión de la sociedad del siglo XXI.

Referencias:

Reglamento Europeo de Ciberseguridad.

Agencia Europea de Ciberseguridad (ENISA).

https://www.enisa.europa.eu/

Fuente de la imagen: https://www.enisa.europa.eu/news/enisa-news/the-eu-cybersecurity-act-a-new-era-dawns-on-enisa/@@images/28cf0992-dfa4-40d2-8c9b-d18dd20227e3.png

KEEP READING

MEDIDAS DE CONTROL Y VIGILANCIA POR PARTE DE LA ENTIDAD LOCAL

28 junio, 2019 | GDPR Legal | , , , , , ,

Respecto de si tiene o no potestad de control y vigilancia el empresario o empleador en el ámbito privado, es un tema muy trillado del que se ha hablado en numerosas ocasiones. ¿Pero qué pasa en el ámbito público, concretamente en las entidades locales?

Titularidad de los medios tecnológicos

En primer lugar, partimos de la afirmación, que la titularidad de los medios tecnológicos (correo electrónico, equipos de sobremesa, etc..) es titularidad de la Administración Local siempre y cuando, dichos soportes se hayan puesto a disposición del empleado con la finalidad de desempeño de las funciones encomendadas a este. Son muchos los pronunciamientos de la Agencia Española de Protección de Datos al respecto, resaltamos entre ellos, el Informe 0464/2013.

Legitimación en la adopción de las medidas de control

Asentado lo anterior, debemos analizar la base de legitimación para poder llevar a cabo la adopción de medidas de control por parte de la Entidad local.

En el ámbito público, en primer lugar, debemos diferenciar:

  1. Personal laboral: ya sea, fijo por tiempo indefinido o temporal
  2. Funcionarios de carrera o interinos.

Por lo que se debe diferenciar la normativa aplicable a ambos supuestos:

  1. Para el personal laboral, le sería de aplicación el artículo 20.3 del Estatuto de Trabajadores.

En cuanto a los funcionarios de carrera, dicho control estaría legitimado, en primer lugar atendiendo al  artículo 54 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP), que establece como principio de conducta de los empleados públicos, entre otros, el deber de no utilizar los recursos y bienes públicos en provecho propio, por lo que, los Ayuntamientos, y otros entes públicos, podrían realizar actuaciones de control del ordenador de sus trabajadores con el fin de verificar el cumplimiento de este deber.

En segundo lugar, la Administración como Responsable de Tratamiento, tal y como indica el artículo 32.1 RGPD debe, por un lado, implementar medidas de seguridad en el tratamiento;

<< Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (…)>>

Y por otro, medidas de seguridad de forma integral, tal y como recoge el artículo 5 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica: así como el artículo 41.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. 

Es por ello, que una de las medidas de seguridad que está obligado a adoptar el Responsable, son aquellas medidas de control concretas, para poder preservar la seguridad de los sistemas de información. 

A mayor abundamiento, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales recoge en el artículo 87 el Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral:

“2. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos (…)

En este punto, la Agencia Catalana de Protección de Datos ya puntualizó, en su Dictamen 49/2009, que el Ayuntamiento, en su condición de “empresario”, también podía ejercer un control cuando tuviera como finalidad verificar el cumplimiento por parte de los trabajadores de sus obligaciones laborales, y lo hace en base al artículo 54 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP), anteriormente referenciado.

Juicio de proporcionalidad, idoneidad y necesidad de las medidas de control

Finalmente, pero no menos importante, el Tribunal Constitucional (TC) considera que el ejercicio de cualquier derecho fundamental consagrado en nuestra Constitución no es de carácter absoluto, sino que se debe contraponer con el ejercicio de otros derechos o bienes jurídicos protegidos, siendo la función de los órganos jurisdiccionales y, en concreto del TC, preservar el equilibrio necesario ante una posible colisión de intereses contrapuestos.

Es por ello, que para que una actividad de control sea conforme a la legislación se respeten los principios de Necesidad, Legitimidad, Proporcionalidad y Seguridad.

KEEP READING

Transparencia vs. Protección de Datos para la Publicidad de las Subvenciones y Ayudas Públicas

21 junio, 2019 | GDPR Legal

A los efectos de aplicar el tamiz de la protección de datos personales en la publicidad de las subvenciones y ayudas públicas destinadas a personas físicas, nos encontramos con una serie de disposiciones recogidas de forma dispersa en diferente legislación estatal y, en su caso, autonómica.

Por un lado, nos encontramos con las disposiciones del Real Decreto 130/2019, de 8 de marzo, por el que se regula la Base de Datos Nacional de Subvenciones (BDNS) y la publicidad de las subvenciones y demás ayudas públicas (artículo 7.5), así como la Ley 38/2003, de 17 de noviembre, General de Subvenciones (artículos 18 y 20).

Por otro lado, con la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (artículo 15) y, en su caso, la legislación al respecto que hubiera en la Comunidad Autónoma.

Y, por último, entra en esta conjugación la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (Disposición Adicional Séptima).

Ante el galimatías normativo en lo que respecta a la protección de datos para la publicidad de subvenciones y ayudas públicas, entendemos oportuno aunar los criterios, con los cuales realizar la pertinente publicidad de la subvención o ayuda pública:

No se publicarán las subvenciones o ayudas públicas concedidas a personas físicas cuando:

  • Se trate de datos de categoría especial (artículo 9 RGPD) o datos de condenas e infracciones penales (10 RGPD).
  • La persona física se encuentre en una situación de protección especial que pueda verse agravada con la cesión o publicación de sus datos personales, en particular, cuando sea víctima de violencia de género o de otras formas de violencia contra la mujer. Así como, cuando son “otorgadas por motivos de vulnerabilidad social” según reza, por ejemplo, la legislación catalana (artículo 15 de la Ley 19/2014, de 29 de diciembre).

No tratándose de datos de categoría especial, atenderemos a:

  • Un ejercicio de ponderación, atendiendo a los criterios del artículo 15.3 de la citada Ley 19/2013 y, en su caso, los definidos por la legislación autonómica en transparencia.
  • En todo caso, los datos que se publicarían del beneficiario serían Nombre y Apellidos, más cuatro números aleatorios del DNI/Pasaporte/NIE o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse. A estos efectos, véase la “Orientación para la aplicación provisional de la Disposición Adicional Séptima de la LOPD-GDD”

Esta pauta, también podría aplicarse a subvención o ayuda pública que tenga como destinatario, a persona física, en condición de profesional (autónomo o liberal) o empresario individual (comerciante, industrial o naviero).

KEEP READING

Junio y la Protección de Datos de menores

7 junio, 2019 | GDPR Legal

¿Por qué Junio? Porque es un mes en el que se concentran en colegios actuaciones de fin de curso, graduaciones, pero también es el fin de temporada para clubes deportivos, escuelas de música, academias…. Y el momento de realizar esas representaciones y actuaciones, en las que podemos ver el progreso de nuestros hijos, disfrutando del ambiente en el que han estado durante el año escolar.

Eventos en los que se toman fotografías y realizan vídeos de niños, y en los que no solo los centros educativos y organizadores han de poner especial atención, sino también nosotros puesto que en ocasiones esas imágenes no son solo de nuestros hijos.

Los responsables de estos eventos, directores y hasta profesores se ponen nerviosos cuando ven a padres, abuelos, familiares, amigos y personas ajenas al colegio, realizando los vídeos y/o fotografías. ¿Por qué? Porque saben que la imagen del menor es un dato personal, indicamos en uno de los artículos del blog, uso de fotografías en RRSS, para cuyo tratamiento han solicitado el consentimiento de los padres o tutores del menor, conforme al RGPD y, en el caso de Colegios siguiendo instrucciones de su DPD, pero los asistentes a estos actos no disponen de ese consentimiento para realizar el tratamiento. Aunque una posible propuesta será prohibir realizar vídeos o fotografías, no es la única opción que tienen los organizadores.

¿Qué pueden hacer en estos casos? Como señala la  AEPD  en su Guía para centros educativos: “Cuando los centros educativos organicen y celebren eventos (fiestas de Navidad, fin de curso, eventos deportivos) a los que asistan los familiares de los alumnos, constituye una buena práctica informarles, por ejemplo, al solicitarles la autorización para participar o mediante avisos o carteles, de la posibilidad de grabar imágenes exclusivamente para su uso personal y doméstico (actividades privadas, familiares)”

Para ayudar a los colegios a cumplir con la normativa de privacidad algunas entidades educativas (como Generalitat Valenciana) han publicado directrices entre las que se encuentra un Modelo de cartel de aviso para la captación de imágenes por madres, padres o familiares.

Modelo cartel de aviso padres

Así pues, ¿los padres pueden realizar grabaciones de vídeo y fotografías en estos casos?

  • Sí se podrán tomar fotografías y vídeos de las actividades desarrolladas en colegios, clubes y demás centros, siempre y cuando se trate de imágenes captadas exclusivamente para su uso personal y doméstico.
  • Si las imágenes captadas por los familiares, amigos y asistentes se difunden más allá del ámbito personal, por ejemplo mediante su publicación en Internet accesible en abierto, los familiares asumirían la responsabilidad por la comunicación de las imágenes a terceros que no podrían realizar salvo que hubieran obtenido el consentimiento previo de los interesados.

Antes de difundir imágenes de menores tendremos que consultar a sus padres o tutores si podemos publicar aquellas en las que aparezcan. Incluso si esos menores son nuestros hijos/as deberíamos evitar como señala la AEPD  el sharenting, compartir en redes sociales y/o Internet de manera indiscriminada fotos, vídeos, actividades y anécdotas de la vida de nuestros hijos menores.

 

KEEP READING

Publicación de calificaciones universitarias y la nueva LOPD

31 mayo, 2019 | GDPR Legal | , , , , , , , , ,

Una problemática recurrente en el ámbito universitario es la relativa publicación de las notas de los alumnos. Tradicionalmente, las calificaciones se “colgaban” en el tablón de anuncios de la Universidad, y todo aquel que pasara por allí, ya fuera alumno, progenitor “curioso” o ciudadano anónimo, tenía acceso a las mismas.

Traducido a la normativa de protección de datos, esta publicación supone una comunicación de datos de carácter personal, que debe basarse en una causa de licitud, esto es, uno de los motivos que contempla la Ley para que dicho tratamiento de datos sea válido.

Calificaciones universitarias con la antigua LOPD

Con la antigua LOPD (Ley Orgánica 15/99, de Protección de Datos), la regla general de licitud era el consentimiento del afectado, salvo excepciones, como que una norma con rango de ley contemplara ese tratamiento concreto. Antes de la entrada en vigor de la Ley Orgánica 4/2007, de 12 de abril de Universidades, esa publicación de notas en los tablones era ilegal, salvo que se hubiera recabado previamente el consentimiento de los estudiantes.

La DA 2ª  de la citada Ley Orgánica 4/2007 sí contempló la excepción, y amparó la publicación de las calificaciones de los alumnos sin consentimiento del interesado.

Calificaciones universitarias con el nuevo RGPD

Esta situación no ha cambiado con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y Garantías de Derechos Digitales (LOPD-GDD), que incluye entre sus bases de legitimación para tratar los datos el interés público basado en una norma con rango de ley, como es este caso.

Pero no basta, de acuerdo con el RGPD y la LOPD-GDD, que la publicación sea lícita (PRINCIPIO DE LICITUD DEL TRATAMIENTO), sino que también debe cumplir con el resto de principios generales de la norma, como el de TRANSPARENCIA, MINIMIZACIÓN DE DATOS o LIMITACIÓN DEL PLAZO DE CONSERVACIÓN, entre otros. Esto implica que la publicación debe hacerse de modo que suponga la menor injerencia en los derechos y libertades de los interesados, lo que excluye la posibilidad de un conocimiento generalizado de las calificaciones, como en el caso de que se publicara, por ejemplo, en Internet. Por todo esto se recomienda:

  • Publicación calificaciones en Intranet o aula virtual en la que estuviera limitado el acceso a los profesores y compañeros del grupo, habiendo informado previamente a los alumnos en la matriculación.
  • Si de esta forma no fue posible, publicación en tablones de anuncios del centro, siempre que no se encuentren en las zonas comunes de los centros, se garantice que el acceso a los mismos queda restringido a dichas personas y se adopten las medidas necesarias para evitar su público conocimiento por quienes carecen de interés en el mismo.
  • En cuanto a los datos a publicar:
  • Plazo de conservación de la publicación: calificaciones provisionales mientras transcurre el plazo para presentar reclamaciones, y las calificaciones definitivas durante el tiempo imprescindible que garantice su conocimiento por todos los interesados. 

 

Documentación relacionada:

Informe AEPD 2019-0030

https://www.aepd.es/media/informes/2019-0030-publicacion-calificaciones.pdf

Orientación para la aplicación provisional de la DA 7ª de la LOPDGDD

https://www.aepd.es/media/docs/orientaciones-da7.pdf

KEEP READING

Uso de fotografías en RRSS

24 mayo, 2019 | GDPR Legal | , , , , ,

El uso y compartición de fotografías en las redes sociales es uno de los aspectos que caracterizan dichas comunidades, bien sea para un uso profesional (Linkedin, Xing) o más personal (Facebook, Twitter, Instagram).

Desde el punto de vista jurídico, el hecho de compartir fotografías en redes sociales tiene diversas implicaciones y puede estar sujeto a diferentes normas que regulan desde la propiedad de la fotografía hasta los aspectos relativos a su contenido, con especial atención al contenido cuando en la fotografía aparecen personas físicas.

Propiedad de la imagen en Redes Sociales

Respecto a la propiedad de la imagen, hay que tener en cuenta las disposiciones del Real Decreto legislativo 1/1996 por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (en adelante LPI). Esta ley reconoce una serie de derechos morales y de explotación a los autores de las fotografías, diferenciando en caso de que se consideren obras artísticas, literarias o científicas; o meras fotografías.

Para utilizar en RRSS fotografías de terceros, será necesario ser titular de los derechos necesarios para el uso que se quiere realizar (como por ejemplo un uso comercial o publicitario) y en su caso abonar al titular de los derechos la compensación pactada.

Contenido de la imagen en Redes Sociales

En cuando al contenido, además de que los objetos que aparezcan en la fotografía puedan estar protegidos por la LPI, también podrían estar protegidos por otras normas como la Ley 17/2001 de Marcas, o la Ley 20/2003 de Protección del Diseño Industrial.

Si en el contenido de la fotografía aparecen personas físicas, entran en juego dos marcos normativos de gran relevancia:

  1. Por un lado: el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los.derechos digitales. (en adelante, LOPDGDD).
  2. Por otro lado, la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (en adelante LO 1/1982).

La imagen como Dato Personal

La imagen está considerada como un dato personal de acuerdo a la definición de dato personal proporcionada por el art 4 del RGPD, y como tal, cualquier tratamiento que se realice de imágenes de personas identificadas o identificables ha de cumplir con los requisitos, obligaciones y principios del RGPD y su tratamiento deberá estar legitimado por una de las bases de legitimación del art 6 del RGPD.

Respecto a la LO 1/1982, hay que tener en cuenta que el art 7 de esta Ley considera una intromisión ilegítima en la intimidad de las personas “la captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos”, salvo en los siguientes casos:

  • Que se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.
  • La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
  • La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

Por lo que, conforme a esta Ley, para poder captar, reproducir o publicar la fotografía de una persona es necesario que dicho uso esté expresamente autorizado por ley, o que el titular de los derechos hubiera consentido expresamente. (art 2.2 Ley 1/1982).

En conclusión, para utilizar una fotografía en redes sociales, hay que ostentar los derechos de propiedad intelectual, y si aparecen personas físicas identificadas o identificables obtener la cesión de su imagen y cumplir con las obligaciones en materia de protección de datos.

KEEP READING

Estrategias para combatir ciberataques. ¿Cómo reducir el impacto?

17 mayo, 2019 | GDPR Legal | , ,

Cuando hablamos de ciberseguridad no podemos evitar pensar en los ciberataques que han sufrido reconocidas empresas. Y nos preguntamos: ¿Podemos combatir los ciberataques? Aunque existen diferentes tipos de ciberataques que podemos sufrir, la mayoría de ellos se componen de 4 etapas. A continuación hablamos de cada una de las etapas y de las estrategias a seguir en cada una de ellas para reducir el impacto.

¿Cuáles son las etapas de un ciberataque?

Investigación

  • Investigar y analizar información disponible de la víctima, para identificar posibles vulnerabilidades.

Detección

  • Obtener un fallo en el sistema, donde la vulnerabilidad pueda ser explotada.

Intrusión

  • Aprovechar la vulnerabilidad para obtener el acceso no autorizado.

Afectación

  • Realizar actividades dentro de un sistema objetivo.

Controles de seguridad para cada etapa del ciberataque

Los siguientes controles de seguridad, aplicados en cada etapa de un ataque, puede reducir la exposición de su organización a un ciberataque exitoso.

Investigación

  • Formación y Concienciación

Forme a todos los usuarios, para que evalúen qué tipo de información incluyen en documentos públicamente disponibles y contenido web.

Los usuarios también deben ser conscientes de los riesgos de hablar de asuntos relacionados con el trabajo en las redes sociales. Y el peligro de ser blanco de ataques de Phishing.

Detección

  • Seguridad perimetral

Puede bloquear servicios inseguros o innecesarios, o solo habilitar el acceso a sitios web permitidos.

  • Protección contra código malicioso

Puede bloquear correos electrónicos maliciosos y evitar que se descargue código malicioso de sitios web.

  • Política de contraseñas

Puede evitar que los usuarios utilicen contraseñas poco seguras y bloquear las cuentas después de un número bajo de intentos fallidos.

  • Configuración Segura

Restrinja las funcionalidades de los sistemas al mínimo necesario para las operaciones de la empresa, aplíquela sistemáticamente a todos los dispositivos que se utilizan en ella.

Intrusión

  • Gestión de las vulnerabilidades

Aplique los parches lo antes posible para limitar la exposición a las vulnerabilidades de software conocidas.

  • Supervisión

Supervise y analice toda la actividad de la red para identificar cualquier actividad maliciosa o inusual.

  • Protección contra código malicioso

Protección contra código malicioso en el acceso a internet de la empresa.

  • Configuración Segura

Elimine el software innecesario y las cuentas de usuarios creadas por defecto. Asegurase de cambiar las contraseñas predeterminadas y desactivar los servicios configurados por defecto.

  • Control de Acceso

Un buen mantenimiento del control de acceso de los usuarios, puede restringir a las aplicaciones, los privilegios y los datos que los usuarios puedan acceder.

  • Entrenamiento del Usuario

El entrenamiento del usuario es extremadamente valioso para reducir las probabilidades de producirse un ataque de ingeniería social.

  • Control de dispositivos

Un correcto control de los dispositivos conectados a la red interna, puede prevenir el acceso no autorizado a servicios críticos o inseguros.

Afectación

  • Etapa de afectación

Una vez que un atacante ha logrado su acceso, es mucho más difícil detectar sus acciones y erradicar su presencia.

Aquí es donde puede ayudar un enfoque más profundo y holístico de la seguridad cibernética.

¿Qué medidas tomas para prevenir los ciberataques?

 

KEEP READING

La importancia de actualizar el software y no convertirlo en vulnerabilidad a múltiples amenazas

5 abril, 2019 | GDPR Legal | , , , ,

Utilizar software sin actualizaciones hace que sean vulnerables a múltiples amenazas. Los ciberdelincuentes lo saben y han puesto foco en estas herramientas.

KEEP READING

El ENS como parte del RGPD. Aproximación al Esquema Nacional de Seguridad.

22 marzo, 2019 | GDPR Legal

Hace un año aproximadamente publicábamos un artículo en el que  hacíamos referencia a la  Disposición adicional primera del Proyecto de Ley Orgánica de Protección de Datos relativa a las medidas de seguridad en el ámbito del sector público.

Con la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), los responsables de tratamiento enumerados en el art 77 de la mencionada Ley, -esto es, los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos, los órganos jurisdiccionales, la Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local; los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas; las autoridades administrativas independientes; el Banco de España; las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público; las fundaciones del sector público; las Universidades Públicas; los consorcios y los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales-,  deberán  aplicar a los tratamientos de datos de carácter personal las medidas de seguridad que correspondan de las previstas en el ENS, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

Por otro lado, en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, también se verá obligado a aplicar las medidas de seguridad que se  corresponderán con las de la Administración pública de origen que en todo caso deberán ajustarse al Esquema Nacional de Seguridad.

¿Pero sabemos realmente en qué consiste el ENS?

Ámbito de aplicación

En caso de duda sobre el ámbito de aplicación del ENS, resulta de interés consultar la guía 830 del CCN–STIC.

Regulación

  • Real Decreto 951/2015, de 23 de octubre, de modificación del R.D. 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Normas técnicas de seguridad
  • Guías CCNN-STIC de Seguridad de los Sistemas de Información y Comunicaciones.

¿Cuáles son sus objetivos?

Su objeto principal es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por requisitos mínimos que permitan una protección adecuada de la información. Podemos enumerar los siguientes:

  • Creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas de seguridad que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Establecer una Política de Seguridad en el uso de medios electrónicos, constituida por los requisitos mínimos para una protección adecuada de la información.
  • Introducir elementos comunes para las Administraciones Públicas en materia de seguridad de las tecnologías de la información.
  • Aportar un lenguaje común para facilitar la interacción de las Administraciones Públicas.
  • Aportar un tratamiento homogéneo de la seguridad, cuando participen diversas entidades.
  • Facilitar un tratamiento continuado de la seguridad

¿Qué sistemas, aplicaciones o servicios están comprendidos en el ENS?

  • Sedes electrónicas
  • Registros electrónicos
  • Sistemas de información accesibles electrónicamente por los ciudadanos
  • Sistemas de información para el ejercicio de derechos.
  • Sistemas de Información para el cumplimiento de deberes.
  • Sistemas de Información para recabar información y estado del procedimiento administrativo

 

¿Qué medidas de seguridad recoge el ENS?

De acuerdo con el ENS,  la adopción de medidas de seguridad deberá ser proporcional a la naturaleza de la información, el sistema y los servicios a proteger mediante la determinación de la categoría del sistema, atendiendo a  los riesgos a los que están expuestos.

Medidas ENS

 

Medidas recogidas en el ANEXO II ENS

Medidas de seguridad recogidas en el Anexo II

Así, para saber las medidas de seguridad concretas de carácter organizativo, operacional y de protección de entre las 75 recogidas en el Anexo II que deberemos aplicar al  sistema  en cuestión,  resultará necesario determinar previamente la categoría del sistema (básica, media o alta),  en función de la valoración del impacto que tendrá un incidente que afectará a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, como dimensiones de seguridad, siguiendo el procedimiento establecido para ello en el Anexo I. Las medidas de seguridad a implantar deberán recogerse en la declaración de aplicabilidad o SOA de la organización.

Se puede obtener más información sobre el ENS, así como acceder a las guías técnicas de seguridad en la página web del CCN CERT.

KEEP READING

Contenido del Informe de Evaluación de impacto en Protección de Datos.

8 marzo, 2019 | GDPR Legal

Con la entrada en vigor del RGPD empezamos a familiarizarnos con las evaluaciones de impacto en protección de datos ¿pero conocemos realmente cuál debe ser su contenido?

De acuerdo con lo indicado en el artículo 35.7 RGPD:

7. La evaluación deberá incluir como mínimo:

  1. Una descripción sistemática de las operaciones del tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  2. Una evaluación de la necesidad y la proporcionalidad de las operaciones del tratamiento con respecto a su finalidad.
  3. Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1 y,
  4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

En base a lo anterior, la guía de evaluaciones de impacto de la AEPD propone que el informe contenga al menos:

  • Contexto:
    • Describir el ciclo de vida de los datos: descripción detallada del ciclo de vida y del flujo de datos en el tratamiento. Identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad del tratamiento.
    • Analizar la necesidad y proporcionalidad del tratamiento: análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.
  • Gestión de riesgos:
    • Identificar amenazas y riesgos: Identificación de las amenazas y riesgos potenciales a los que están expuestos las actividades del tratamiento.
    • Evaluar los riesgos: evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
    • Tratar los riesgos: respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas.
  • Conclusión y validación:
    • Plan de acción y conclusiones: Informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.

Además de estos puntos, cada organización podrá incluir otros apartados que considere necesarios o convenientes para una mejor información a la alta dirección y el resto de destinatarios del informe como, por ejemplo, un análisis costes-beneficios de las distintas medidas de seguridad recomendadas en el informe o cualesquiera otros que se juzguen adecuados.

Finalmente, el lenguaje del informe debe ser lo más claro y transparente posible, huyendo de tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los destinatarios del mismo, o al menos, si no es posible evitar ciertos términos jurídicos o tecnológicos, es conveniente incluir un glosario de términos.

 

Equipo de Govertis 

Logotipo de Govertis

KEEP READING