Loading...
  • Susana Gonzalez Derecho Digital y Tecnológico

    Susana Gonzalez

Medidas técnicas y organizativas ¿Cuáles?

Medidas técnicas y organizativas por todas partes, pero…. ¿sabemos las opciones que tenemos?

Es habitual que, cada vez que desarrollamos un proyecto de adaptación al Reglamento Europeo de Protección de Datos; un análisis de riesgos de seguridad de red, de sistemas, de web o de aplicaciones; o cada vez que hacemos un análisis de riesgos, diagnóstico y diseño de un sistema de seguridad de la información certificable (ISO 27001), los clientes nos oyen de forma reiterada hablar de “Medidas y contramedidas”, “controles”, “medidas técnicas y organizativas” pero…. excepto los CISO acostrumbrados ya a tratar con los sistemas de prevención de riesgos de seguridad, el resto por lo general nos pregunta de qué medidas podemos estar hablando concretamente.

A nivel práctico, muchas empresas – sobre todo Pymes – buscan una solución de seguridad integral que les cubra todo, aun cuando otras muchas tienen ya sus proveedores de una capa de seguridad, buscan al mejor para otra capa y, no parece factible ofrecer ese sistema de seguridad integral. De hecho, la seguridad por capas es perfecta como control de contingencias o eventos de seguridad porque, cuando algo falla, lo normal es que el resto pueda estar funcionando y no dependemos del fallo de una única solución.

Cuando hablamos de seguridad por capas hablamos de soluciones de seguridad en las que cada una se encarga de determinadas funciones autónomas enfocadas a objetivos distintos (capa de aplicación o usuarios; capa de transporte o transferencia de información o conexiones de equipos de extremo a extremo; capa de red, capa de enlaces y capa física).

Medidas técnicas y organizativas Protección de Datos Seguridad Información

¿Nos da alguna pista la regulación?

En sede de datos de carácter personal, el artículo 9 de la Ley Orgánica 15/1999, establece el principio de seguridad de datos, e impone al responsable del fichero adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas son desarrolladas en el Título VIII del Reglamento de desarrollo de la LOPD, Real Decreto 1720/2007, de 21 de diciembre.

También el Reglamento Europeo de Protección de Datos obliga a las empresas a implementar medidas técnicas y organizativas apropiadas a fin de que se puedan acreditar y garantizar su cumplimiento. El reglamento nos avanza medidas pero no nos dice cuáles o cuáles de las existentes las considera óptimas “apropiadas para acreditar y garantizar” la protección. Algunas de ellas son, por ejemplo:

  • Cifrado de soportes y bases de datos,
  • Identificación, autentificación y control de acceso de los usuarios a los datos estrictamente necesarios.
  • Seudonimización/minimización/disociación de los datos.
  • Copias de seguridad.
  • Registro de actividades del tratamiento y operaciones de tratamiento.
  • Información a los titulares de los datos y actualización de avisos legales y forma de recabar el consentimiento explícito.
  • Proporcionar los derechos reconocidos a los usuarios.

Ya no se trata de que nos digan lo que debemos hacer para garantizar la adecuada o apropiada protección en cada caso. Esto es un sutil recordatorio del principio máximo de accountability: “Ud verá qué riesgo tiene. Presuponemos que ha evaluado el tratamiento del dato y sabrá qué medidas toma de forma consecuente para que puedan considerarse “apropiadas” y, además, olvídese de invertir en medidas técnicas ahí puestas sin la debida gestión, porque eso no es cumplimiento proactivo”.

Entre tanto decir sin decir nada en concreto y entre tanta sigla indescifrable en la denominación de las soluciones existentes en el mercado, mucha empresas se encuentran en este momento confusas. Creo que es importante aterrizar en la multitud de siglas que bombardean el mercado de soluciones de seguridad para aquellas personas que no alcanzan a hacerse un esquema básico de por dónde empezar a buscar qué solución pueden planificar implementar para cumplir.

Las medidas técnicas y organizativas de protección de la información (personal o no) pueden ser preventivas y reactivas y, siempre tienen como fin último asegurar (y obstaculizar una fuga de datos o brecha de seguridad) la confidencialidad, la disponibilidad y la integridad de de la información (personal o no).

A cada riesgo previamente identificado y evaluado debemos establecerle un control que nos lleve a poder medir – y acreditar – que hemos puesto esa medida de control y que funciona (o si no funciona la mejoramos) al objeto de minimizar la probabilidad de que el riesgo ocurra y el impacto en caso de producirse.

Obviamente existen medidas técnicas excelentes, en el sentido de soluciones o sistemas de seguridad gestionada, que nos van a ayudar a tener determinados riesgos bajo control. Muchas medidas técnicas requieren, además, medidas organizativas para su configuración (por ejemplo, las políticas o los procedimientos, según los casos. Para configurar un sistema de back up remoto a medida de los requerimientos de la empresa, precisamos una política de copias de seguridad previa y debidamente aprobada y comunicada para su implementación en toda la empresa. Dicho de otro modo, el sistema de back up en remoto se configurará y funcionará siguiendo la decisión que la empresa tome al respecto en su política de copias de seguridad). Medidas técnicas y organizativas deben correr en paralelo y, por tanto, mantenerse actualizadas de forma idéntica o incumpliremos el principio de Accountability y, además, se notará mucho que todo se hace para cubrir el expediente.

No pretendo ser exhaustiva en este post enumerando todas las posibles medidas técnicas y organizativas existentes, sino tan solo acercar un poco la terminología y opciones que se están barajando y que, dicho sea de paso, avanzan y mejoran de forma constante gracias a que los proveedores de soluciones de seguridad no paran de investigar e innovar.

Medidas técnicas. ¿Qué medidas técnicas?

Pues por ejemplo podemos enumerar las siguientes de forma muy esquemática, como soluciones o sistemas de seguridad aplicadas a la información o al ciclo de vida del dato, que nos van a ayudar a controlar, prevenir y reaccionar a tiempo.

Protección del correo electrónico (Anti-spam, anti-phising con análisis dinámico de comportamiento de programas maliciosos (APT) y sandboxing).

Protección web (Filtrado de acceso a sitios maliciosos, descargas de código, detección y alerta de tráfico malicioso, sandboxing; bloqueo de protocolos “anónimos” como Tor).

Gestión de parches y detección de vulnerabilidades (Gestión de parches, escaner y reporting de vulnerabilidades, actualizaciones de seguridad, información y gestión proactiva de riesgos).

Protección avanzada del endpoint (Seguridad del endpoint con mecanismos específicos anti-exploits que van más allá del antivirus tradicional).

Realización de copias de seguridad y actualizaciones de sistemas operativos, aplicaciones, parches de seguridad (Backup, Automatización de actualizaciones, Continuidad de negocio y Recuperación ante desastres)

Cifrado de ficheros (File Encryption)

Cifrado de discos (Full Disk Encryption)

Cifrado de dispositivos USB

Cortafuegos y otras soluciones de Seguridad Perimetral – Protección de la red frente a amenazas (El cortafuegos o firewall es el escudo que protege la red de amenazas externas no legítimas o autorizadas y bloquea las conexiones no autorizadas o no deseadas. Las soluciones UTM son soluciones evolucionadas o avanzadas del cortafuegos tradicional que incluyen además del firewall, la detección y prevención de intrusos, antivirus y antispyware de red, VPN, Proxy, control de contenido, balanceo de cargas, QoS y reportes). Las soluciones WAF ofrecen una protección específica para servidores de aplicaciones)

DLP (Las soluciones Data Loss Prevention permiten monitorizar, analizar y controlar la actividad del usuario en el envío de información al exterior desde el puesto de trabajo en medios como el correo electrónico, web, mensajería instantánea, USB, y otros puertos de salida. Esta solución es efectiva para detectar una posible fuga de información de las que vamos a tener que reportar en 72 horas a la autoridad de control ¿Cómo notificarla si no monitorizamos e ignoramos si se produce?

Endpoint Security (Soluciones de seguridad del puesto de trabajo que incluyen antivirus, protección de correo electrónico y navegación web, gestión de dispositivos móviles (MDM Mobile Device Management para la monitorización y administración de dispositivos móviles), protección avanzada de servidores, gestión de puntos de acceso Wi-Fi , Secure Web Gateway (protección avanzada y control de navegación web).

Gestión centralizada de contraseñas, control de accesos y sesiones (permite controlar quién tiene acceso a cada recurso en todo momento. Flujos automáticos permiten en cumplimiento de las políticas de contraseñas).

Gestión de usuarios, roles y privilegios (gestión de usuarios, contraseñas y accesos para gestionar altas, bajas y modificaciones de los usuarios en sus diferentes sistemas).

NAC (soluciones Network Access Control para establecer políticas obligatorias para el acceso y conexión de los dispositivos a la red corporativa, de tal manera que bloquea el dispositivo que incumple hasta que resuelva el incumplimiento).

Seguridad de la navegación web y correo electrónico (permiten establecer políticas de seguridad y de uso aceptable para estos recursos). SIEM (Security Infrastructure Event Management para la gestión de eventos y logs de seguridad en tiempo real y detectando amenazas). Seguridad para redes Wi-Fi  para evitar accesos no autorizados, dispositivos no controlados y ataques.

Allá donde haya una medida técnica implementada tiene que haber una política o procedimiento interno aprobados por la dirección de la empresa, no sólo en cuanto que asignación de recursos económicos y humanos para gestionarla, sino para establecer precisamente cómo se va a configurar asumiendo esa responsabilidad.

Medidas organizativas.

Además, donde no llegan las medidas técnicas por imposibilidad actual, contamos con medidas organizativas en búsqueda de prevención o prohibición, dependiendo de las decisiones empresariales en cada caso.

Y, siempre y en todo caso, la concienciación, sensibilización y formación a los trabajadores de la empresa será la medida organizativa óptima a realizar de forma periódica respecto del resto de medidas, ya que en seguridad muchas circunstancias dependen de forma directa del grado de concienciación del usuario sobre el riesgo y las consecuencias para la empresa. Además, de nada nos sirve tener una política con una solución que la propicie, si luego a nivel usuario, el trabajador la desconoce.

Algunas medidas organizativas trasladadas a políticas y procedimientos pueden ser:

  • Política de seguridad y Plan de tratamiento de riesgos
  • Inventario de activos
  • Política de uso aceptable de los activos
  • Procedimiento para control de documentos y registros
  • Procedimiento de evaluación y tratamiento de riesgos
  • Política para manejo de información clasificada
  • Cláusulas de seguridad para proveedores y socios
  • Política de gestión de cambio
  • Política de creación de copias de seguridad
  • Política de eliminación y destrucción
  • Política de intercambio de información
  • Política de control de acceso
  • Política de contraseñas
  • Política de pantalla y escritorio limpios
  • Política sobre el uso de los servicios en red
  • Política sobre uso de dispositivos móviles y tele-trabajo
  • Política del uso de controles criptográficos
  • Procedimiento para gestión de incidentes y registro de incidentes
  • Procedimiento para actualizaciones
  • Procedimiento para acciones correctivas y preventivas

Ok, pero todas a la vez es mucha inversión ¿Cómo priorizo?

Como imaginaréis, los servicios de análisis de riesgos e implementación de medidas técnicas y organizativas de seguridad de la información en una empresa han dejado de ser “la carpeta con cuatro plantillas para todos lentejas que ha venido vendiéndose a 150 €/año a cargo de la Tripartita” y que permanece cogiendo kilos de polvo en algún armario sin llave de las empresas que cada año pagan por ello sin gestionarlo, sin asumir el control y sin conocer realmente por lo que están pagando. A mi sinceramente…. caro me parece.

Mi recomendación es que para conocer qué medidas técnicas y organizativas implementar con prioridad, previamente debemos conocer nuestro mapa de exposición o de riesgo y, para ello, debemos contar con una evaluación o análisis de nuestra situación en seguridad de la información y datos personales (test de intrusión o penetración incluidos), tras lo que conocer nuestras carencias y medir el grado de nuestra vulnerabilidad ante una fuga de información interna o de un ataque. Ya sabemos además que es mejor prevenir que tener que reportar en 72 horas una fuga de datos personales o una brecha de seguridad. Pero también sabemos que para poderla reportar sobre todo debemos ser capaces de poderla detectar.

De dicho análisis o evaluación resultará qué riesgos pueden ser aceptables y cuales no para la empresa (dependiendo de su concreta actividad, sus compromisos con terceros, su estructura de datos críticos o no, etc). Será a los riesgos no aceptables, de probabilidad e impacto altos, sobre los que habrá que priorizar las acciones y los recursos para prevenir y , además, para poder acreditar una responsabilidad proactiva en el cumplimiento normativo en garantía de la protección de los datos personales.

By | 2017-06-05T11:44:17+00:00 mayo 28th, 2017|Blog, ciberseguridad, Seguridad|0 Comments

About the Author:

Abogado especialista en Derecho Digital y Tecnológico, seguridad de la información, Auditora jefe ISO 27000, protección de datos y Ciberseguridad, innovación, estrategia digital, marketing y comunicación #AlwaysON©

Deja un comentario