jueves, 28 de agosto de 2014

App eventos PRIBATUA (I)

Como ya es conocido, al menos por la web corporativa, por este blog y porque nos encargamos de machacar sobre ello en todas las redes sociales y profesionales :-), PRIBATUA (Asociación Vasca de Privacidad y Seguridad de la Información / Pribatutasun eta Informazio Segurtasuneko Euskal Elkartea) viene celebrando una serie de congresos, jornadas, talleres, etc. con objeto de presentar, someter a debate y difundir muy diversos aspectos sobre la privacidad, la protección de datos y la seguridad de la información. Todo ello sin ningún ánimo de lucro y en beneficio de nuestros asociados, los profesionales interesados en estas materias y la sociedad en general.

Pues bien, en mi opinión, mucha e importante la labor realizada hasta la fecha, y, para mantener informados puntualmente a todos los interesados sobre los eventos que organizamos y en los que participamos,
estamos pensando en poner a tu disposición una App para que te puedas llevar a PRIBATUA en tu móvil.




De momento es sólo una idea y esperamos sacar tiempo para hacerla realidad en breve.

martes, 19 de agosto de 2014

Medidas de seguridad LOPD (II): La auditoría de cumplimiento

Después del primer post de esta serie, "Medidas de seguridad LOPD (I): Funciones y obligaciones del personal", continúo con otra de las medidas de seguridad a la que en mi opinión no se le concede la importancia que se merece por parte de las organizaciones: la auditoría de cumplimiento.

¿Por qué digo esto?, porque, basado en mi experiencia, en la mayor parte de las organizaciones y si es que se lleva a cabo, sólo se realiza para cumplir formalmente con otro de lo requerimientos de la dichosa normativa de protección de datos de carácter personal, que, en su opinión, no aporta nada al negocio o actividad y que, por tanto, sólo supone un gasto totalmente innecesario.

En consecuencia:

1.- Se dedica el mínimo esfuerzo, bien se realice por personal interno y/o externo, en cuanto a: recursos, tiempo y coste, dando como resultado un informe que no contempla ni un ámbito ni un alcance adecuados para los trabajos de auditoría a abordar.

2.- El objetivo principal, aparte del cumplimiento formal ya indicado, consiste en "salir bien en la foto", porque sino a ver quién le cuenta al jefe que no cumplimos adecuadamente. Cosa que nunca he comprendido muy bien, ya que al jefe es al primero al que le suele importar entre poco o nada si existe un cumplimiento idóneo y efectivo de la normativa, es decir, al igual que al personal interno a quien encarga supervisar su realización, sólo le importa que salga barato y "parecer honrado", lo de serlo (detectar deficiencias y adoptar las  medidas correctoras y/o complementarias pertinentes) es una cuestión sin importancia.

Pues bien, tal y como indiqué en el citado primer post de esta serie:

"La seguridad no es es un producto, es un proceso".
- Bruce Schneier -


Y de ahí la importancia que yo creo que tiene la auditoría para la supervisión y mejora continua en esta materia (verificación del cumplimiento, detección y corrección de incidencias o fallos en el sistema de seguridad implantado, permanente actualización y adecuación en base a la evolución de la organización, de la tecnología y de las amenazas, y ante cambios en la normativa, etc.).

a) ¿Qué dice la normativa vigente en materia de protección de datos de carácter personal?:

La obligatoriedad de realizar auditorías de cumplimiento se recoge en el Reglamento de Desarrollo de la LOPD (RDLOPD) como una medida de seguridad de nivel medio en:

- El artículo 96, caso de ficheros y tratamiento automatizados.

- El artículo 110, caso de ficheros y tratamientos no automatizados.

En resumen:

1.- Debe realizarse tanto sobre ficheros y tratamientos automatizados como no automatizados a los que les sean de aplicación las medidas de seguridad a partir del nivel medio.

Para estos ficheros y tratamientos deben auditarse todas las medidas de seguridad que les sean de aplicación, es decir, al ser los niveles acumulativos, todas (básico, medio y alto) para los ficheros y tratamientos a los que sean de aplicación las medidas de nivel alto, y las de nivel básico y medio para los ficheros y tratamientos a los que no les sean de aplicación las de nivel alto.

2.- Puede ser interna o externa.

3.- Debe realizarse al menos cada dos años, salvo que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, momento en el que también es obligatorio realizar la auditoría.

4.- El objetivo debe consistir en la verificación del cumplimiento de lo dispuesto en el Título VIII del RDLOPD, "De las medidas de seguridad en el tratamiento de los datos de carácter personal".

5.- El informe debe: dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias, e incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

6.- El responsable de seguridad debe analizar el informe y elevar las conclusiones al responsable de fichero o tratamiento para que adopte las medidas correctoras o complementarias adecuadas, quedando el informe a disposición de la autoridad de control competente.

b) Recomendaciones para su efectiva implantación:

Como siempre y en base a mi experiencia, me permito dar una serie de pautas sobre la implementación de esta medida en las organizaciones.

También como siempre, hay que tener en cuenta que la implementación idónea de esta medida depende de diversos factores, tales como: el tamaño y complejidad de la organización; el volumen, variedad y tipo (sensibilidad) de los datos manejados por la misma; el grado de automatización de los procesos, etc., por lo que las pautas que se indican a continuación tienen un carácter meramente orientativo y están pensadas para organizaciones de tamaño medio o grande con una cierta complejidad de los tratamientos de datos de carácter personal efectuados (para el caso de autónomos, pymes y micropymes cuya problemática no sea compleja en esta materia y en cuyo objeto de negocio no se vean involucrados datos sensibles, la implantación de esta medida, cuando sea necesaria - sólo es exigible para ficheros y tratamientos a partir del nivel medio de seguridad,  y, por tanto, sólo si éstos existen -, será mucho más llevadera y, en estos casos, mi recomendación, aunque me dedique a esto y "tire piedras sobre mi propio tejado", consiste en realizar pequeñas auditorías internas con un coste mínimo (el de los recursos internos que se asignen).

Antes que nada, en base a ciertas definiciones que he leído por ahí, indicar la que entiendo más adecuada para una definición de auditoría y, por extensión, para una auditoría reglamentaria de la LOPD:

"Cualquier actividad tendente a verificar, de forma objetiva, calificada e independiente, que el objeto de análisis refleja fielmente la realidad que pretende recoger y/o cumple con las condiciones que tiene prescritas". 

b.1) De forma objetiva y calificada:

Evidentemente, los dictámenes alcanzados y las medidas correctoras y/o complementarias propuestas deben partir de la objetividad, basándose en la previa recopilación de evidencias reales, relevantes, suficientes y útiles sobre el entorno auditado, con lo que lo de la cualificación de las personas que intervengan también cae por su propio peso, teniendo en cuenta además que lo ideal para mí es que el equipo de auditoría tenga un carácter multidisciplinar.

b.2) De forma independiente:

Aunque las auditorías reglamentarias de la LOPD pueden ser internas o externas, es un principio básico (verdad de Perogrullo) que esta tarea debe recaer en personas ajenas al día a día del objeto auditado.

Por tanto, aunque en esta ocasión se me acusará de tener intereses comerciales (me dedico a ello), mi propuesta para organizaciones de tamaño medio o grande o con una cierta complejidad de los tratamientos de datos de carácter personal realizados consiste en que sea una auditoría externa.

b.3) Fases de la auditoría:

Las fases que propongo para la realización de una auditoría de este tipo, indicando los principales productos a obtener tras la realización de cada una de ellas, son las siguientes:


b.3.1) Organización e inicio:

Se trata de una fase previa con objeto de establecer el marco de ejecución de los trabajos de auditoría.

En esta fase se presentan los objetivos de la auditoría (que como ya he indicado son:  dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias) y, en función de la organización concreta y de su problemática en materia de protección de datos:

a) Determinar el ámbito de la auditoría.

Este ámbito debe contemplar necesariamente:

- Los ficheros y tratamientos a los que les sean de aplicación las medidas de seguridad a partir del nivel medio  y para los que la organización es responsable de fichero o tratamiento, y, si es el caso (se utilizan medios propios, etc.), para los que se actúe como encargado de tratamiento, ya sean éstos automatizados o no automatizados.

- Las medidas de seguridad aplicables a los ficheros y tratamientos indicados en el punto anterior.

- Los centros de tratamiento, locales, equipos, sistemas, programas, procedimientos, etc. con relación a dichos ficheros y tratamientos.

- El personal que acceda o pueda acceder a los datos de carácter personal.

Como ya se ha dicho, la auditoría sólo es obligatoria a partir del nivel medio de seguridad, pero yo suelo recomendar ampliar este ámbito a todos los ficheros y tratamientos existentes en la organización, es decir, con independencia del nivel de las medidas de seguridad que les sean de aplicación, ya que de esta forma se obtiene una "foto" global de la situación en esta materia.

b) Establecer el alcance de los trabajos de auditoría a realizar:

El alcance de la auditoría viene determinado por lo dispuesto en los artículos del Título VIII del RDLOPD.

No obstante, yo suelo recomendar también ampliar este alcance a otros aspectos de la normativa legal y reglamentaria, tales como verificar el cumplimiento de lo dispuesto sobre: notificación de ficheros y tratamientos e inscripción registral, calidad de los datos, legitimidad de los tratamientos y cesiones de datos realizados, deber de informar, consentimiento del interesado, ..., e incluso y si es el caso, videovigilancia y transferencias internacionales de datos.

Además, también suelo recomendar verificar otras medidas de seguridad y controles para evitar, o al menos mitigar, otros riegos, tales como: alarmas, sistemas contra incendios, sistemas de refrigeración, sistemas de alimentación ininterrumpida, redundancia de componentes críticos en los sistemas automatizados, etc.

Todo ello con el mismo objetivo que el indicado para la ampliación del ámbito de la auditoría, es decir, para obtener unos resultados lo más globales posibles sobre la situación de la protección de datos en la organización y aportar un mayor valor añadido a la auditoría.  

c) Detallar las tareas a ejecutar, los responsables de las mismas y las necesidades para llevarlas a cabo, los perfiles y personas intervinientes y su grado de participación, la planificación prevista y, en general, cualquier aspecto que se considere relevante de cara a obtener una base sólida para la ejecución, control y seguimiento de los trabajos de auditoría a abordar.

Como resultado de esta fase propongo obtener el documento "Plan de proyecto detallado", en el que recoger todos los aspectos indicados.

b.3.2) Planificación del trabajo y toma de datos:

Esta fase consiste en la realización de las siguientes actividades principales:

a) Elaboración del calendario de las entrevistas a mantener, indicando los interlocutores de cada una de ellas.

b) Elaboración de la documentación de soporte para la recogida de datos (guiones de entrevistas, check list,...).

c) Recopilación de la información y documentación base del proyecto (Documento/s de Seguridad, normativa interna asociada, catálogos, registros e inventarios, formularios de recogida de datos, páginas web, contratos con encargados de tratamiento, contratos de prestación de servicios sin acceso a datos de carácter personal, información sobre las infraestructuras y sistemas de información automatizados, informes de las auditorías anteriores,..., y, en general. cualquier información y documentación que deba ser analizada).

d) Estudio exhaustivo de toda la información y documentación recopilada.

e) Documentar la toma de datos efectuada, con objeto de contrastar los resultados obtenidos con los responsables de las áreas de la organización auditadas.

Como resultado de esta fase propongo obtener, al menos, los siguientes documentos: "Plan de entrevistas", guiones de entrevistas y check list de auditoría, "Inventario de documentación recopilada y objeto de análisis" e "Informe de la toma de datos".

b.3.3) Verificación cumplimiento:

En esta fase se llevan a cabo las siguientes actividades principales:

- Elaboración del calendario de visitas a realizar para realizar las verificaciones pertinentes y, si es necesario en base a los resultados obtenidos en la fase anterior, completar el check list de auditoría con las verificaciones que proceda.

- Realización de las verificaciones, mediciones y controles necesarios para completar los trabajos de auditoría, con objeto de recolectar las evidencias reales, relevantes, suficientes y útiles sobre el entorno auditado.

- Analizar la información obtenida y confrontar las evidencias con la información y documentación suministradas en las entrevistas.

Como resultado de esta fase propongo obtener la documentación de trabajo con las verificaciones, mediciones y controles efectuados, y su contraste con la información y documentación obtenida.

b.3.4) Informe final:

Finalmente, en esta fase se realizan las siguientes actividades principales:

- Identificar aspectos en los que se incumplen obligaciones, deficiencias y otros aspectos mejorables.

- Valorar el grado de adecuación de las medidas y controles establecidos por la organización en materia de protección de datos a la Ley y su desarrollo reglamentario.

- Obtener las conclusiones y las propuestas de medidas correctoras y/o complementarias pertinentes.

- Elaborar y presentar el informe de auditoría .

- Elaborar y presentar un informe ejecutivo para la Dirección con un resumen de los resultados más relevantes de la auditoría realizada.

Lógicamente los dos últimos informes citados constituyen los productos finales más importantes de esta fase y de la propia auditoría.



Hasta aquí este post, por no hacerlo excesivamente largo, aunque se podría profundizar mucho más (objetivos de control y controles a verificar, etc.), pero lo que es evidente es que nada de esto servirá para nada, excepto para acreditar el cumplimiento formal de otro de los requerimientos de la dichosa normativa que comentaba al principio y para tener un bonito informe de auditoría perfectamente inútil, sino existe el compromiso decidido por la parte de la organización y por ende de la propia Dirección para abordar un proyecto de implantación de las medidas y controles pertinentes para corregir las deficiencias detectadas.

sábado, 9 de agosto de 2014

III euskal securiTIConference (III)


Además de las dos ponencias ya confirmadas (sobre continuidad de negocio y transparencia y protección de datos, respectivamente) ya tenemos propuestas para otras ponencias y mesas redondas para la III euskal securiTIConference: la inseguridad del software antivirus (y software de seguridad en general), el valor de la privacidad en la era digital, Big Data,...

Todas ellas, más que interesantes. Esperaremos a finales de septiembre, con objeto de recibir más propuestas, para tomar las también más que difíciles decisiones en cuanto a ponencias y mesas redondas seleccionadas.

Muchísimas gracias a todos por vuestra participación.
"Y a ti, ¿Qué temas te interesa que se traten en esta nueva edición?. Participa enviando un e-mail a info@pribatua.org".
Además, puedes votar también los temas que más te interese que se traten en este blog (si no están en la lista inclúyelos como comentario en este post).

Toda la información sobre la tercera edición de la euskal securiTIConference en la página de "Eventos".

viernes, 1 de agosto de 2014

III euskal securiTIConference (II)


Segunda ponencia confirmada para la tercera edición de la euskal securiTIConference.

En este caso la ponencia tratará sobre Transparencia y Protección de Datos, para lo que contaremos con uno de los mayores expertos de Euskadi en ambas materias.

El ponente será Iñaki Vicuña de Nicolás (@vicuina).




Director del Centro de Documentación Judicial (CENDOJ) del Consejo General del Poder Judicial y Socio de Honor de Pribatua.



En el desempeño de sus actuales responsabilidades profesionales, Iñaki Vicuña de Nicolás ha sido el encargado de poner en marcha el nuevo Portal de Transparencia del CGPJ, siendo la primera Institución del Estado en cumplir con la Ley en esta materia, firmando el correspondiente Convenio con Transparencia Internacional y liderando colaboraciones al respecto, contando además con una dilatada trayectoria profesional en cargos relevantes, entre otros, en materia de protección de datos de carácter personal (Director de la Agencia Vasca de Protección de Datos de 2004 a 2012).

En breve la información inicial de otras ponencias que vayan confirmándose (toda la información en la página de "Eventos").