INTRODUCCIÓN
Traducción literal, no automática, realizada por Privacy Driver del catálogo de medidas de seguridad publicado por la Autoridad Danesa de Protección de Datos (DATATILSYNET):
En este catálogo se proponen una serie de medidas técnicas y organizativas que pueden ser necesarias para garantizar una seguridad adecuada a los riesgos que suponga el tratamiento (art. 5.1.f, 24, 25 y 32 RGPD). El análisis de si las medidas son necesarias y adecuadas lo lleva a cabo la organización basándose en una gestión de riesgos, y dependiendo de igual forma de qué otras medidas se hayan adoptado, por lo que este catálogo no supone una lista exhaustiva de medidas.
Los ejemplos utilizados se basan en gran medida en la experiencia de la DATATILSYNET en la supervisión de empresas públicas y privadas, las brechas de seguridad de datos personales notificadas, las directrices del CEPD y las normas ISO 27001 y 27002.
¿QUÉ ES UNA MEDIDA DE SEGURIDAD?
Son las que previenen y/o modifican un riesgo. Pueden ser preventivas, de detección, correctivas o una combinación de estas. El RGPD sólo diferencia entre:
Pero lo importante no es en qué categoría se puede encuadrar una medida, sino que se hayan adoptado suficientes para garantizar un nivel de seguridad adecuado al tratamiento.
Para que un firewall/cortafuegos sea efectivo, se necesita además de su instalación, configurarse, administrarse y mantenerse actualizado adecuadamente. Por lo tanto, una medida denominada "cortafuegos" constará en realidad de muchas medidas, a menudo una mezcla de algo técnico y algo organizativo. Cada una de estas medidas podría describirse como medidas independientes, pero para evitar confusión se denominan "medidas" en este catálogo.
¿CÓMO SE PRESENTA CADA MEDIDA DE SEGURIDAD EN EL CATÁLOGO?
De cada medida de seguridad se indica:
MEDIDAS DE SEGURIDAD
1. DERECHOS DE ACCESO EN BASE A LAS NECESIDADES DE LAS FUNCIONES DESEMPEÑADAS
1.1. ¿Qué riesgos se abordan?
Si un empleado tiene acceso a un sistema de TI con más derechos de los necesarios para sus funciones, puede representar un riesgo innecesario sobre los datos. Limitar los derechos de acceso (por ejemplo, acceso de lectura sin acceso de escritura) puede evitar errores y usos indebidos. Es por tanto una medida preventiva que puede reducir las consecuencias si el derecho de un usuario se utiliza incorrectamente o se abusa de él.
No suele ocurrir lo mismo con el acceso de un ciudadano/cliente a una solución de autoservicio, ya que las opciones (leer, cambiar, añadir, eliminar datos) generalmente se eligen en función de lo que el usuario de la solución de autoservicio debe poder hacer el mismo, y la responsabilidad del uso incorrecto recae en el propio usuario. Sin embargo, puede haber excepciones a esto, donde no sea apropiado darle al cliente la oportunidad de modificar/eliminar ciertos datos, incluso si se trata de datos personales del propio cliente.
1.2 ¿Qué medidas se pueden considerar?
Los derechos de acceso de los empleados se adaptan a una necesidad relacionada con sus funciones y están limitados, por ejemplo, a las posibilidades de leer, añadir, buscar, cambiar, extraer o eliminar datos.
Si se utiliza una ARP/RPA (Automatización robótica de procesos /Robotic Process Automation) o similar y para ello se conceden derechos de acceso a los usuarios del ARP, su acceso también se restringirá lo más posible. El ahorro económico en licencias de usuario de ARP pueden ser tentadores para otorgarle a un robot tantos derechos de acceso como sea posible, pero un usuario de ARP que tiene muchos derechos puede representar un riesgo mayor si, por ejemplo, un ciberdelincuente tiene la oportunidad de obtener los derechos de acceso de este robot. Al minimizar los derechos de acceso de los usuarios del ARP, también se limita el daño potencial que el usuario puede causar en caso de un error en el código/automatización.
Las opciones para restringir los derechos de acceso suelen depender del diseño de los sistemas informáticos, por lo que hay que tener en cuenta estos aspectos a la hora de diseñar, comprar o actualizar los sistemas informáticos existentes.
Ciertos derechos de acceso pueden dar la oportunidad de causar daños irreparables, por ejemplo, la eliminación, y por lo tanto se conceden al menor número posible de personas y sólo a personas con la cualificación adecuada. Por lo tanto, esta medida debe considerarse en el contexto de la correlación entre competencias de usuario, derechos de acceso y tareas.
1.3. ¿Cuándo es necesaria la medida?
Conforme al art.25 RGPD, al desarrollar, adquirir o actualizar un sistema de TI, se debe considerar la protección de datos desde el diseño y por defecto. La opción de limitar/diferenciar los derechos de acceso a los datos requiere que la opción esté integrada en los sistemas de TI que controlan el acceso.
2. CONCIENCIACIÓN Y FORMACIÓN
2.1.¿Qué riesgos se abordan?
Concienciación se utiliza como término colectivo para todas las iniciativas orientadas a aumentar la concienciación, sensibilización y el conocimiento de los empleados sobre seguridad. Puede versar sobre lo que los empleados no pueden hacer o sobre lo que deberían hacer. Por lo tanto, normalmente se trata de motivar a los empleados a adoptar un comportamiento con menos riesgo o a cambiar de comportamiento al tratar datos. Es por tanto una medida preventiva que puede reducir la probabilidad de muchos escenarios diferentes que pueden afectar la confidencialidad, integridad o disponibilidad de los datos.
Pueden ser medidas que capaciten a los empleados para detectar mensajes de phishing, en los que un ciberdelincuente intenta robar la información de inicio de sesión del empleado por correo electrónico o SMS. Si los empleados no proporcionan dicha información, no hacen clic en enlaces sospechosos o no abren archivos adjuntos, se puede evitar comprometer el acceso de los usuarios o la red de la organización. La concienciación también puede ser información para los empleados de que todas las acciones en los sistemas de TI se registran para evitar abusos.
Si los empleados aprenden qué hacer para bloquear rápidamente una tarjeta de acceso perdida/robada, la concienciación también puede suponer una medida de detección, deteniendo potencialmente un incidente (tarjeta de acceso perdida/robada) antes de que el incidente afecte el tratamiento de datos personales por parte de la organización (la tarjeta se usa indebidamente para acceder a datos/artículos).
2.2. ¿Qué medidas se pueden considerar?
A continuación se muestra una lista de medidas entre las que elegir, dependiendo de lo que sea importante o relevante en cada organización en particular y en relación con el tratamiento de datos personales.
Varias de las medidas también pueden tener soporte técnico, de modo que los usuarios no puedan evitar hacer lo correcto. Las iniciativas que se basan únicamente en procedimientos que deben recordarse y cumplirse implican inherentemente un riesgo de incumplimiento. A menudo, este riesgo se puede minimizar en gran medida mediante soporte técnico.
2.3. ¿Cuándo es necesaria la medida?
Dado que la concienciación puede reducir muchos riesgos muy diferentes, no se puede especificar cuándo es necesaria. La concientización es una medida organizativa (incluida la relacionada con la persona/conductual). Por lo general, constituye un complemento a las amenazas que no pueden gestionarse adecuadamente mediante medidas técnicas (incluidas las físicas). Por lo tanto, la necesidad de concienciación depende de cuánto se puede conseguir de otras formas.
3. SUPRESIÓN AUTOMÁTICA DE ACCESOS INACTIVOS
3.1.¿Qué riesgos se abordan?
Un mayor número de accesos de usuarios proporciona una mayor "superficie de ataque" para los actores maliciosos, por tanto, los accesos inactivos suponen un riesgo innecesario. Esta es por lo tanto una medida preventiva que puede reducir la probabilidad que se haga un mal uso del acceso de un usuario (innecesario).
La inactividad es a menudo una señal de que el acceso es innecesario, y los accesos inactivos pueden ser más fácilmente utilizados indebidamente durante un período de tiempo más largo sin que el usuario legítimo lo descubra, porque él mismo no utiliza el acceso.
3.2. ¿Qué medidas se pueden considerar?
Supresión automática de accesos que no se han utilizado durante un periodo de tiempo (por ejemplo 45 días). Cuando la función está integrada en el sistema informático, se selecciona. Alternativamente, se establece un procedimiento manual. Para garantizar una administración uniforme, en la medida de lo posible se gestiona de forma centralizada desde un sistema de gestión de usuarios, en lugar de localmente en los sistemas temáticos individuales.
3.3. ¿Cuándo es necesaria la medida?
Los accesos innecesarios deben suprimirse lo antes posible para minimizar la mencionada "superficie de ataque". Además, un usuario puede optar por utilizar deliberadamente un acceso a intervalos regulares para evitar el cierre automático.
La gestión de riesgos según el artículo 32 RGPD mostrará qué medidas son las que se deben adoptar. Las medidas por sí solas no garantizan que no se produzca el abuso, y el valor de las medidas depende en gran medida de qué más se haga para garantizar la supresión rápida del acceso innecesario.
Conforme al art. 25 RGPD, al desarrollar, adquirir o actualizar un sistema de TI, se debe considerar la protección de datos desde el diseño y por defecto, por tanto la supresión automática requiere que esté integrada en el sistema informático que controla el acceso.
4.1. ¿Qué riesgos se abordan?
La copia de seguridad se puede utilizar para restablecer el acceso a datos que se han vuelto inaccesibles o se han destruido, es por lo tanto una medida correctiva que puede reducir las consecuencias de la destrucción, pérdida o alteración accidental o ilícita de datos. De esta forma la copia de seguridad:
4.2. ¿Qué medidas se pueden considerar?
Los procedimientos de asignación de acceso garantizan que la misma persona no tenga acceso tanto a los datos de producción como a la copia de estos datos. Cuando esto no se puede evitar, los accesos se comparten, requiriendo diferentes cuentas de usuario para acceder a ellos.
Cuanto más tiempo transcurra entre las copias de seguridad, mayor será la pérdida de datos. El tiempo que transcurre entre cada copia de datos se determina sobre la base de la gestión de riesgos, es decir, una evaluación de cuánto tiempo hace que se debe haber realizado la última copia antes de que las consecuencias puedan ser demasiado graves para los interesados. En una estrategia de copia de seguridad, se especifican los intervalos y el tipo (copias completas/incrementales).
Si la copia de seguridad está automatizada, una alerta garantiza que se detecte si la copia falla.
El hardware y software se deben poder recuperar desde la copia y con rapidez. Esto se aplica, por ejemplo, a servidores físicos, sistemas operativos, software de bases de datos, licencias, claves de cifrado, etc. Alternativamente, garantiza que estos elementos también se encuentren en una copia.
La ubicación física de la copia se determina en base a la gestión de riesgos, es decir, en base a una evaluación de qué amenazas pueden afectar la ubicación física donde se encuentran los datos originales. Si, por ejemplo, existe la posibilidad de que los sistemas informáticos queden destruidos por una inundación, entonces la copia se debe ubicar en un lugar que no pueda verse afectado por las inundaciones.
En lo referente a la ubicación lógica (ubicación de red), la copia de seguridad se debe almacenar en un lugar donde hay un acceso más limitado, ya que solo unos pocos (administradores de TI) necesitan acceso. Las redes que almacenan datos de producción y datos de respaldo no están conectadas a la red, por ejemplo, porque el respaldo lo realiza un proveedor de respaldo. Cuando esto no se puede evitar, las redes se segmentan entre sí mediante cortafuegos, que limitan el acceso a lo absolutamente necesario, por lo que la copia de seguridad está mejor protegida contra ataques de piratas informáticos que pueden afectar a otras partes de la red.
Se debe probar a intervalos regulares si la copia de seguridad se realiza en los intervalos esperados (frecuencia), si la copia de seguridad está disponible, si la copia de seguridad contiene todos los datos necesarias (extensión), si la copia de seguridad es veraz (integridad). Este último puede ser, por ejemplo, un tipo de prueba de integridad (suma de comprobación u otra).
Se deben hacer también pruebas de restauración, si los datos realmente se pueden recuperar y utilizar en un sistema de TI. Esta es una prueba de si la recuperación se puede realizar con guías/procedimientos existentes, (2) que todo lo que tiene copias (hardware, software, datos) puede funcionar en conjunto y (3) que la recuperación puede ocurrir con bastante rapidez en relación con el hecho de que la consecuencia generalmente aumenta con el tiempo (Objetivo de tiempo de recuperación).
Se debe establecer procedimientos para garantizar que los datos que no sean necesarios se eliminen después de utilizar una copia de seguridad, de modo que los datos no se almacenen por más tiempo del necesario.
Se garantiza que el uso de copias de seguridad (y, por tanto, la difusión de datos) no aumente el riesgo para los interesados. Esto se debe a que la transmisión y el almacenamiento de los datos en la copia de seguridad están protegidos contra accesos no autorizados y que el tratamiento de los datos en la copia de seguridad se realiza bajo el control del responsable del tratamiento. Esto se hace a través de acuerdos de tratamiento de datos y cifrando los datos antes de su transferencia y almacenamiento.
4.3. ¿Cuándo es necesaria la medida?
La gestión de riesgos según el artículo 32 RGPD mostrará qué medidas son las que se deben adoptar, ya que los riesgos dependen en gran medida de las consecuencias para los derechos de los interesados, derechos que se ven afectados si sus datos personales dejan de estar disponibles para el responsable.
Si, por ejemplo, se trata de registros de pacientes en un hospital, la falta de disponibilidad puede influir en la posibilidad de que el paciente pueda recibir el tratamiento óptimo; en el peor de los casos, puede tener consecuencias fatales. Si, por el contrario, se trata de un registro de cliente de una tienda online que vende vestidos, presumiblemente las consecuencias para los registrados serán menores o nulas en caso de falta de disponibilidad.
5. GESTIÓN DE DERECHOS CENTRALIZADA
5.1. ¿Qué riesgos se abordan?
La gestión descentralizada (o "autónoma") de derechos puede significar que quien la realiza no la tenga como tarea principal. Puede aumentar la posibilidad de errores por falta de experiencia, conocimiento o falta de enfoque en la seguridad al gestionar los derechos.
Si se producen cambios en un entorno de TI sin que se continúe y se pruebe la gestión de derechos, esto puede, entre otras cosas, hacer desaparecer la restricción de acceso correspondiente, de modo que se produzca inmediatamente un acceso no autorizado. La gestión descentralizada de derechos puede implicar una mayor probabilidad de que se pasen por alto condiciones específicas de importancia para dicha gestión cuando se realicen cambios en los entornos de TI, porque sólo una o unas pocas personas son conscientes de las condiciones en cuestión.
Si, por el contrario, la gestión de derechos la lleva a cabo una unidad central que la tiene como tarea principal, es más fácil garantizar el conocimiento necesario y centrarse en la seguridad. Esto evita errores. Por lo tanto, se trata de una medida preventiva que puede reducir la probabilidad de que se establezca o mantenga un acceso innecesario de usuarios.
La gestión centralizada de derechos normalmente también facilitará el control y, por tanto, la implementación de una revisión periódica de estos derechos de acceso.
5.2. ¿Qué medidas se pueden considerar?
Se garantiza una visión general de todos los accesos de los usuarios y una gestión uniforme de los mismos. La tarea se reúne organizativamente con personas que reciben la formación necesaria para realizar esta tarea en particular.
Mediante directrices y/o medidas técnicas se prohíbe/impide la administración descentralizada de usuarios. Por ejemplo, decidiendo que sólo los empleados de la unidad central de administración de usuarios puedan gestionar los derechos de acceso. Una medida técnica puede, por ejemplo, ser un obstáculo técnico para que los empleados puedan crear carpetas con restricciones de acceso en unidades de red o plataformas de intercambio de archivos basadas en web como SharePoint.
La centralización puede incluir una centralización técnica mediante el uso de inicio de sesión único o un servicio de directorio como Active Directory en Windows. Si es posible, debería haber un enlace a sistemas autorizados, por ejemplo, un sistema de recursos humanos que siempre muestre quién está empleado actualmente y en qué puesto/departamento. Si es posible, debería haber un vínculo con una asignación centralizada de derechos a través de, por ejemplo, un sistema IdM.
Cuando la gestión centralizada de derechos no es posible o apropiada, se establecen procedimientos fijos de ejecución, de modo que se sigan principios uniformes.
5.3. ¿Cuándo es necesaria la medida?
La gestión de riesgos según el artículo 32 RGPD mostrará qué medidas son las que se deben adoptar, ya que los riesgos y las oportunidades dependen en gran medida de la organización específica y de los tipos de sistemas informáticos que se utilizan.
Conforme al art. 25 RGPD, al desarrollar, adquirir o actualizar un sistema de TI, se debe considerar la protección de datos desde el diseño y por defecto. Si los sistemas de TI se seleccionan/ diseñan para ser parte de una gestión central de derechos y posiblemente de inicio de sesión único, se puede evitar una gestión descentralizada con los riesgos antes mencionados.
6. ACCESO SOLO A LOS DATOS NECESARIOS PARA EL EJERCICIO DE LAS FUNCIONES DESEMPEÑADAS
6.1. ¿Qué riesgos se abordan?
Los derechos de acceso deben limitarse al máximo. Cuando un empleado tiene acceso a la información de muchas personas, puede aumentar la tentación de abusar del acceso para fines privados o no relacionados con sus funciones. Al limitar el acceso a los datos para que correspondan a las necesidades relacionadas con sus funciones, se pueden reducir las posibilidades de abuso. Este es por tanto una medida preventiva que puede reducir la probabilidad de uso indebido del acceso de los usuarios, y las consecuencias si se produjese un mal uso.
Lo mismo suele ocurrir con el acceso de un ciudadano/cliente a una solución de autoservicio de una autoridad o de una empresa privada, ya que el acceso a menudo debe limitarse a los propios datos personales del usuario.
6.2. ¿Qué medidas se pueden considerar?
El derecho de acceso a los empleados se otorga según las necesidades relacionadas con sus funciones y puede limitarse, por ejemplo, a la actualidad o antigüedad de los datos, el tipo de datos (por ejemplo, si son datos de clientes, datos de recursos humanos, datos de denunciantes), tipo de caso ( por ejemplo, "casos familiares"), etc.
Los derechos de acceso de los ciudadanos/clientes se adaptan a lo que el individuo tiene derecho a acceder (normalmente sólo sus propios datos personales y posiblemente los de sus familiares cercanos).
Las opciones suelen depender del diseño de los sistemas informáticos, por lo que estos aspectos se tienen en cuenta a la hora de diseñar o comprar sistemas informáticos.
Si se utiliza una ARP/RPA (Automatización robótica de procesos /Robotic Process Automation) o similar y para ello se conceden derechos de acceso a los usuarios del ARP, su acceso también se restringirá lo más posible. El ahorro económico en licencias de usuario de ARP pueden ser