Servicio específico de prevención de brechas de seguridad

Este mes de agosto, y a pesar de los turnos organizados, hemos tenido que alternar las vacaciones con la gestión de las brechas de seguridad que han sufrido algunos de nuestros clientes.

El crecimiento experimentado en el número de brechas gestionado se debe, principalmente, al incremento del reporte interno de incidentes ocasionados por la pérdida o el robo de ordenadores portátiles y teléfonos móviles que antes no se llegaban a conocer.

La aplicación del RGPD ha obligado a realizar acciones de formación y concienciación, y a establecer la obligación de comunicar internamente cualquier incidente de seguridad, incluida la pérdida y el robo de dispositivos informáticos, por lo que las empresas están recibiendo más información de incidentes que antes no se reportaban.

Teniendo en cuenta que en todas las empresas se pierden o se producen robos de dispositivos móviles, podríamos decir que, en relación a este aspecto, este tipo de incidentes se dividen en dos categorías:

  1. Los que son gestionados como un incidente de seguridad.
  2. Los que simplemente son tratados como un activo informático a reponer.

La diferencia entre ambos enfoques puede tener efectos jurídicos y económicos importantes, ya que, ignorar este tipo de incidentes ayuda a tener unas estadísticas saneadas en materia de seguridad, pero impide realizar un tratamiento adecuado de los riesgos asociados y de la actividad preventiva.

En otras palabras, tener pocos incidentes de seguridad no es un indicador de la eficacia de las medidas de seguridad. Es muy probable que sea un indicador del nivel de desconocimiento de los incidentes que se producen en la empresa.

Otra causa importante de brechas de seguridad han sido los ciberataques en general y los ataques de phishing en especial. El perfeccionamiento de las técnicas de suplantación de identidad, los clics realizados sin un mínimo de reflexión previa y la falta de experiencia en la identificación de los mensajes fraudulentos están haciendo que este tipo de ataques sigan triunfando.

Gracias a la aplicación de un protocolo que permite excluir los incidentes que no han generado una violación de la confidencialidad, la integridad y la disponibilidad de los datos, así como los que no han supuesto un riesgo para los derechos y libertades de los afectados, sólo un pequeño porcentaje de los incidentes gestionados se ha tenido que comunicar a la Agencia Española de Protección de Datos.

En cualquier caso, si unimos la experiencia adquirida en la gestión de brechas a la información suministrada por los incidentes de seguridad publicados y las estadísticas y las resoluciones de la AEPD, podemos decir que existe conocimiento suficiente para identificar:

  1. Las causas más habituales de las brechas de seguridad.
  2. Los errores más habitualmente cometidos por las empresas.
  3. Las medidas concretas que habrían evitado la brecha, pero no se aplicaron.
  4. Las medidas y argumentos en los que la AEPD se ha basado para archivar el expediente sancionador de una brecha.

Con este conocimiento hemos diseñado un servicio específico de prevención de brechas de seguridad que se une al protocolo de gestión de incidentes de seguridad que ya incluía  nuestra aplicación Compliance 3.0.

Si deseas más información sobre este servicio, puedes enviarme un mensaje a xavier.ribas@ribastic.com

Controles de la nueva ISO 27701 sobre seguridad de los datos personales

Hemos introducido en el apartado Certificaciones de nuestra aplicación Compliance 3.0 los 263 controles de la nueva ISO 27701.

Esta ISO está específicamente destinada a la seguridad de los datos personales, y se basa directamente en el RGPD y en una ISO anterior.

Por ello, se convierte en el marco de referencia ideal para las medidas de seguridad de la empresa. Aunque no se obtenga la certificación, recomendamos que la política de seguridad de la empresa en materia de datos personales se base en los criterios de esta ISO.

Estas medidas también son válidas para la protección de los secretos empresariales.

Si la empresa ya tiene la ISO 27001, o estaba pensando en obtenerla, esta ISO es un desarrollo de la ISO 27001 y de la ISO 27002, pero específicamente orientada a la seguridad de los datos personales.

También recomendamos exigirla a los proveedores críticos que realizan funciones de encargado del tratamiento. Si hasta ahora la ISO 27001 se trataba en el contrato como una de las garantías previstas en el artículo 32 del RGPD, a partir de ahora esta ISO se puede convertir en la mejor garantía en materia de seguridad de los datos personales.

En el caso de que se produzca una brecha de seguridad, tener esta certificación o acreditar que se ha seguido este marco de referencia puede ser utilizado como evidencia del esfuerzo realizado por la empresa para la prevención de incidentes de seguridad.

Una pequeña muestra de los errores cometidos durante el primer año de RGPD

  1. Contratar a encargados del tratamiento que no ofrecen garantías suficientes.
  2. Aceptar cláusulas de limitación de responsabilidad de los encargados del tratamiento.
  3. Delegar la selección y homologación de encargados del tratamiento a Compras sin las instrucciones adecuadas.
  4. Seleccionar a los encargados del tratamiento tomando como único criterio el coste del servicio.
  5. Aceptar que un encargado del tratamiento tiene la ISO 27001 sin verificar su alcance real.
  6. Solicitar el consentimiento a los clientes y a los interesados con contrato.
  7. Solicitar el consentimiento a los trabajadores.
  8. Facilitar información incompleta a los trabajadores sobre los datos que la empresa trata y sobre todas las finalidades de los tratamientos que realiza con sus datos.
  9. Aplicar una política de uso de dispositivos móviles basada en el BYOD.
  10. Nombrar a un DPO y no dotarlo de recursos suficientes.
  11. Aplicar el interés legítimo como base de legitimación sin la debida ponderación.
  12. Realizar la ponderación del interés legítimo de manera inadecuada.
  13. No conservar una prueba documental de la ponderación del interés legítimo.
  14. Notificar como brecha un incidente de seguridad que no ha generado riesgos para los interesados.
  15. Desarrollar un detallado protocolo de notificación de brechas y no disponer de un protocolo para verificar si realmente hay que notificar la brecha.
  16. Elaborar un registro de actividades del tratamiento excesivamente extenso, sin agrupar e imposible de gestionar y actualizar.
  17. Aplicar un proceso de desvinculación de trabajadores inadecuado, especialmente en los departamentos comerciales y de marketing, sin ningún tipo de control sobre los datos que se llevan o se han llevado.
  18. Devolver los equipos informáticos al finalizar el renting sin un procedimiento adecuado de eliminación de los datos, y, en la medida de lo posible, mediante la extracción del disco duro.
  19. Aceptar el certificado de destrucción de documentos o soportes con datos como única prueba de su destrucción.
  20. Aceptar que todavía haya departamentos de Marketing que inician campañas de marketing directo sin aplicar el procedimiento de privacy by design y sin contar con la validación jurídica correspondiente. O solicitándola el día antes del lanzamiento de la campaña.

Publicado el Real Decreto-ley de seguridad de las redes y sistemas de información

El BOE de hoy publica el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea. Se trata de la Directiva NIS, o de ciberseguridad.

El objeto de este real decreto-ley es regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

Ámbito de aplicación

a) Servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

b) Servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de cloud computing.

Obligaciones de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios prestados.

Tendrán también deber de notificar incidentes de seguridad, y deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.

El desarrollo reglamentario del real decreto-ley preverá las medidas necesarias para el cumplimiento de las obligaciones de seguridad.

Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos:

a) La seguridad de los sistemas e instalaciones;

b) La gestión de incidentes;

c) La gestión de la continuidad de las actividades;

d) La supervisión, auditorías y pruebas;

e) El cumplimiento de las normas internacionales.

Acceso a la norma: 

https://www.boe.es/diario_boe/txt.php?id=BOE-A-2018-12257

La seguridad informática en la nueva Ley de Seguridad Privada

La nueva Ley de seguridad privada, publicada hoy en el BOE, y que entrará en vigor dentro de dos meses, contiene dos definiciones de seguridad informática.

En el artículo 6.6 se define la seguridad informática como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan.

En dicho artículo se establece que, a las empresas que se dediquen a las actividades de seguridad informática se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten. El legislador justifica esta regulación por la incidencia directa de estos servicios en la seguridad de las entidades públicas y privadas.

Las empresas que realicen actividades de seguridad informática deberán anotar sus datos en el Registro Nacional de Seguridad Privada y en los registros autonómicos, de acuerdo con lo que reglamentariamente se determine.

Por otro lado, el artículo 52.c establece que las medidas de seguridad informática tienen por objeto la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida.

Dado que entre las dos definiciones se aprecian ciertas discrepancias, ya que la primera extiende la protección a los servicios, y la segunda no, mientras la segunda extiende la protección a los sistemas de comunicación y la primera no, entendemos que la definición legal de la seguridad informática debe ser la suma de las dos, y que, por lo tanto, quedará configurada de la siguiente manera:

  1. Conjunto de medidas
  2. Encaminadas a proteger y salvaguardar los sistemas de información y comunicación
  3. A fin de garantizar la confidencialidad, integridad y disponibilidad
  4. De la información en ellos contenida
  5. O del servicio que dichos sistemas prestan

Es importante reseñar que el artículo 57 establece como infracción muy grave, con sanciones de hasta 600.000 euros, la falta de comunicación por parte de las empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.

Los sistemas de seguridad y los elementos de seguridad física, electrónica e informática que se instalen a partir del 5 de junio de 2014 deberán cumplir todas las exigencias y requisitos establecidos en la Ley de seguridad privada y en su normativa de desarrollo.

Queda por lo tanto pendiente el desarrollo reglamentario, que deberá tener lugar antes de la fecha de entrada en vigor de la ley, para posibilitar el cumplimiento de los requisitos que serán obligatorios a partir de dicha fecha.

 

Prevención de riesgos jurídicos en el uso corporativo de dispositivos personales

1. La privatización de los dispositivos móviles

Si hasta ahora los CIOs y los CISOs tenían que lidiar con el uso privado de los dispositivos corporativos por parte de los usuarios, ahora tienen que hacer frente al uso corporativo de los dispositivos privados, mucho más potentes y versátiles que los que la empresa pone a su disposición.

¿Qué genera más riesgo para una empresa? ¿Que el usuario instale la aplicación de Facebook en la BlackBerry corporativa o que sus hijos jueguen con el iPhone o el iPad privado con aplicaciones y datos corporativos?

La conclusión a la que han llegado muchas empresas es que el mayor riesgo radica en que el usuario corporativo no haga ni una cosa ni otra, es decir, que esté desconectado de la empresa y desaproveche el potencial de sus aplicaciones y comunicaciones para su trabajo. Por ello un buen número de empresas han decidido aceptar que el usuario utilice su propio dispositivo móvil para fines corporativos.

Esta es la tendencia que se esconde tras las siglas BYOD (Bring Your Own Device), que invitan al usuario a llevar su propio dispositivo móvil a la empresa. Esta estrategia se suma a otra que recibe el nombre de “consumerización” y que consiste en que la empresa integra como propios dispositivos diseñados para el consumidor final.

2. La entrada de los nativos digitales en las empresas

Las empresas son conscientes de que será muy difícil eliminar los hábitos de comunicación, multitarea, mensajería instantánea, trabajo en grupo y networking adquiridos por los nativos digitales, intentando que se adapten a aplicaciones que consideran obsoletas y aburridas.

Pero lo más difícil será pedirles que se olviden de sus preciados smartphones. La primera pregunta que harán cuando reciban su dispositivo móvil corporativo será: ¿Dónde están mi Facebook y mis amigos?

Las empresas tendrán que aceptar que sus usuarios tengan dos dispositivos móviles o apostar por la alternativa de integrar las aplicaciones corporativas en los smartphones privados de los usuarios. Y si la empresa no los seduce con sus aplicaciones, los usuarios pueden llegar a comunicarse más entre ellos con redes y entornos externos que con el correo corporativo.

Cisco ha reconocido recientemente que el secreto está en los contenidos y en la aplicaciones que entusiasman a los usuarios de las redes digitales. En julio de 2010 lanzó Cius, un tablet destinado a usos corporativos que cumplía los estándares de seguridad más habituales en las empresas y ofrecía compatibilidad con los protocolos de videoconferencia y los entornos de colaboración corporativos. Antes de cumplir los dos años de vida, Cisco anunció la retirada de este tablet del mercado, siguiendo el mismo camino que han seguido o seguirán otros fabricantes de dispositivos móviles que no responden al criterio dominante de consumo de contenidos, uso aplicaciones y acceso a redes sociales.

Ante la irrupción de los Android, los iPhone y los iPad en los entornos corporativos, la conclusión parece ser que, si la empresa no ayuda a sus usuarios a tratar datos corporativos en estos dispositivos con la debida seguridad, acabarán tratándolos igualmente de forma no segura creando situaciones de riesgo.

3. Normas técnicas y de seguridad

Una de las primeras medidas que deberán adoptar las empresas será incluir en sus políticas, los requisitos técnicos y de seguridad que deberán cumplir los dispositivos privados que alojen aplicaciones y datos corporativos. Estos cambios tendrán que reproducirse en las normas y procedimientos y en el documento de seguridad, dado que estamos hablando de terminales que tendrán acceso a ficheros con datos personales. La empresa deberá destinar un capítulo específico en estos documentos para los dispositivos privados.

También tendrá que regular el procedimiento de homologación de los distintos modelos de tablets y smartphones que existen en el mercado, la actualización periódica de la lista de dispositivos homologados por la empresa y las personas autorizadas para realizar esta función.

Deberán instalarse en los dispositivos certificados electrónicos que los identifiquen y autentifiquen dentro de la red corporativa, ayudando a gestionar la identidad y los privilegios de cada usuario y aplicación móvil. Ello permitirá, y de hecho ya permite, el uso de firma electrónica en el caso de directivos que deben autorizar constantemente operaciones y transacciones que antes les exigían una firma manuscrita.

La configuración remota deberá permitir alterar parámetros básicos como la longitud de las contraseñas, su nivel de complejidad o robustez y la exigencia de un salvapantallas con contraseña, entre otras.

Los terminales deben disponer de acceso mediante a VPN a los servidores de la empresa, con un nivel de cifrado que garantice el flujo información confidencial e incluso de datos personales de nivel alto. En el caso de cloud computing, deberá analizarse la conveniencia del uso de VPN o protocolos SSL.

También habrá que crear en los terminales áreas seguras o contenedores cifrados en los que se alojen los datos corporativos, añadiendo la posibilidad de borrarlos remotamente en el caso de que el dispositivo se pierda o el usuario cause baja en la empresa. Ello obligará a las empresas al uso de aplicaciones multiplataforma o de soluciones cloud, para evitar el mantenimiento remoto y el esfuerzo de integración de los distintos sistemas operativos, modelos y marcas de dispositivo.

4. Normas de uso

Especial atención merece la redacción de las normas que los usuarios deberán cumplir, ya que hasta ahora todas las normas aceptadas se referían a dispositivos que eran propiedad de la empresa y puede causar extrañeza al usuario tener que aceptar normas para el uso de dispositivos que son suyos. En cualquier caso, esta obligación puede verse como la contrapartida a la enorme ventaja de no tener que llevar dos dispositivos móviles encima y es coherente con el hecho de que, a pesar de tratarse de un equipo propio, puede alojar datos personales de clientes e información crítica de la empresa.

Estas normas deberán ser aceptadas antes de la instalación de las aplicaciones corporativas en el dispositivo privado, sin perjuicio de la eventual aceptación a través de correo electrónico, en el momento de la instalación o a través del tradicional popup que ya incorporan algunas empresas en los ordenadores portátiles y de sobremesa para aceptar las normas en el momento del login.

Entre las obligaciones del usuario figurará la no modificación de los parámetros de seguridad, el mantenimiento y actualización del sistema operativo y de las aplicaciones, las limitaciones de uso, la realización de copias de seguridad y el cumplimiento de la normativa de protección de datos, entre otras. Si la empresa ha apostado fuertemente por el cloud computing será posible simplificar algunas obligaciones ya que, salvo en el caso de aplicaciones con sincronización en local, como el correo electrónico, la agenda y los contactos, el dispositivo carecerá de datos corporativos críticos, como los alojados en el ERP de la empresa. Pero ello obligará a seguir dando importancia a la prevención de la ingeniería social, mediante recomendaciones y formación que reduzcan los riesgos de phishing, pharming y cualquier otro engaño orientado a la obtención de contraseñas.

Las normas de uso deberán alertar al usuario sobre los posibles ataques a su privacidad que puedan afectar también a datos corporativos. El usuario tendrá la obligación de extremar la precaución en la descarga de aplicaciones para impedir la entrada de malware que pueda vulnerar la seguridad del dispositivo en sus cuatro capas: la propia aplicación, el hardware, la red y el sistema operativo. Las normas deben prohibir por lo tanto el jailbreak del dispositivo, es decir, la retirada de las limitaciones del sistema operativo para utilizar kernels modificados que posibiliten descargar aplicaciones no homologadas y alterar las medidas de seguridad establecidas por la empresa.

También deberá tenerse en cuenta que si el usuario le deja el iPad a sus hijos para que jueguen es muy probable que naveguen por Internet con criterios de prudencia muy distintos a los del usuario principal, lo cual tendrá sus consecuencias en materia de cookies y publicidad basada en el comportamiento (por ejemplo, el usuario empezará a recibir publicidad de videojuegos), pero también en materia de aceptación de condiciones generales de contratación, spam, malware y otras imprudencias propias de la cibercandidez.

5. Inspección de dispositivos móviles y obtención de pruebas

Otra cuestión a tener en cuenta es el progresivo traslado de los actos desleales, las infracciones y los delitos a los dispositivos móviles. Si un usuario ha decidido suministrar información confidencial a un competidor ya no tiene que extraerla de la empresa mediante acciones que pueden ser rastreadas. Sólo tiene que mostrar los datos en la pantalla de su tablet al comprador de la información.

La movilidad de los usuarios y de la información puede comportar nuevas amenazas y oportunidades. Actualmente, la localización de la información ha pasado a ser irrelevante. Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar sino un flujo a optimizar.

Las características actuales de la información son, a los efectos de este apartado, las siguientes:

1. Puede ser generada en cualquier lugar y momento
2. Puede encontrarse en cualquier lugar: en la nube, en la empresa o en los dispositivos móviles
3. Puede ser compartida y reutilizada con mayor facilidad

Debido a estas características, el control y los esfuerzos destinados a la prevención e investigación de delitos e infracciones ya no recaerá tanto en los dispositivos como en la propia información, esté donde esté.

Un ejemplo claro de ello es la información que está en la nube. El cloud computing puede definir el escenario ideal de control e intervención, con un protocolo sencillo y unas medidas compatibles con el juicio de proporcionalidad. Sin embargo, la característica esencial de la dispersión hace difícil planificar que las pruebas de un delito estén en un entorno único y ordenado. Las pruebas pueden encontrarse en los servidores del proveedor, en los servidores del cliente, en los servidores del proveedor del cliente, en los servidores de la empresa y en los dispositivos de los usuarios. Por ello, habrá de actualizar los protocolos de investigación y obtención de pruebas para adaptarlos a este nuevo escenario, móvil, distribuido y cambiante.

El artículo 20 del Estatuto de los Trabajadores y la doctrina unificada del Tribunal Supremo permiten a la empresa aplicar su actividad de control a los recursos TIC corporativos utilizados por sus usuarios, pero habrá que ser muy prudentes en la extensión de este control a los dispositivos que son propiedad de los usuarios. La capacidad de control de la empresa deberá quedar limitada exclusivamente a las áreas, aplicaciones y contenedores de información corporativa, sin perjuicio del posible análisis forense de todo el contenido del terminal en el seno de una investigación judicial, o con el consentimiento del usuario.

La actividad de prevención y control de la empresa puede tener distintos niveles de proactividad, que van desde la simple conservación de logs hasta la captura secuencial de pantallas sin intervención humana. Esta actividad deberá ser informada a los usuarios y deberá ser proporcional, idónea y necesaria para las finalidades de control previstas en las normas internas y en el ordenamiento jurídico. Los últimos cambios legislativos, entre los que destaca la reforma del Código Penal para dar cabida a la responsabilidad penal de las personas jurídicas, así como las tendencias modernas en materia de seguridad, inspiradas por un criterio de “confianza cero” hacen prever un incremento del control de las empresas sobre sus usuarios y una mayor exigencia de información sobre dicho control.

6. Otras implicaciones jurídicas

Como epílogo a estas reflexiones sobre el uso de dispositivos privados en entornos corporativos cabe enumerar otras consecuencias de la consumerización y del BYOD.

– El cloud computing ofrece mayores garantías para la continuidad del trabajo del usuario, a pesar de que el terminal utilizado no sea de la empresa. Si el usuario ha hecho sus deberes, toda la información estará en el servidor y la baja del trabajador o la pérdida del terminal no impedirán que el trabajo pueda ser continuado por otro usuario. Ello obliga a informar previamente a los usuarios sobre esta posibilidad y a actualizar los protocolos orientados a garantizar la continuidad del trabajo.

– En algunas funciones basadas en la movilidad, las empresas han explotado la capacidad de saber la localización exacta del usuario en cada momento, e incluso de conocer en tiempo real lo que está haciendo. En el caso de dispositivos propios, los usuarios mantienen el control sobre el GPS y pueden gestionar los privilegios de acceso de cada aplicación a los datos de localización. Ello puede exigir la inclusión en las normas de uso de una obligación de permanecer localizables dentro del horario laboral. Esta obligación debe ir acompañada de la necesaria información sobre las posibles finalidades de la geolocalización: optimización de rutas, control de flotas, tracking del transporte de productos y pasajeros, control del absentismo laboral, detección de incumplimientos contractuales, etc.

– Las empresas van creando progresivamente manuales o guías donde recogen buenas prácticas en el uso de las redes sociales. El comportamiento de un usuario en las redes sociales puede cambiar en función de si el dispositivo utilizado es propio o de la empresa. Estos manuales deberán recordar que las obligaciones de confidencialidad respecto a información de la empresa y de sus clientes, no denigración de competidores, etc. no deben relajarse en ningún entorno.

– También hay que limitar la responsabilidad de la empresa respecto a los contenidos y aplicaciones que el usuario pueda alojar en la zona privada de su dispositivo personal. La empresa no tiene control sobre dicha área, pero el usuario debe ser consciente de que sus contenidos pueden llegar a ser asociados a la empresa, al coexistir con aplicaciones corporativas y al compartir una misma dirección IP. Puede ser recomendable pedir al usuario que respete en todo el dispositivo la normativa de propiedad intelectual e industrial y cualquier otra norma cuyo incumplimiento pueda generar responsabilidad para la empresa.

– En empresas multinacionales o en el caso de usuarios que viajen al extranjero, habrá que delimitar claramente las responsabilidades del usuario en relación al contrato que les une al operador, con el fin de evitar sorpresas por facturación adicional derivada de la itinerancia de datos.

Finalmente, y a pesar se ser algo ya mencionado en este artículo y presente en las medidas de los responsables de seguridad, es importante tener siempre a mano el “botón rojo”, es decir, la opción que va a permitir a la empresa desvincularse del dispositivo privado del usuario, borrando toda la información corporativa en el caso de pérdida, sustracción, baja del usuario en la empresa o mal uso del terminal.

Artículo publicado en e-Penteo

 


Resumen de la nueva ISO 22301 sobre gestión de la continuidad del negocio

La ISO 22301:2012 es el nuevo estándar internacional que especifica los requisitos para configurar y gestionar de forma eficaz un Sistema de Gestión de la Continuidad de Negocio (BCMS por sus siglas en inglés).

Podríamos decir que el BCMS es para la continuidad del negocio lo que el SGSI de la ISO 17799 y la ISO 27001 es la para la seguridad de la información. De hecho, el BCMS y el SGSI comparten el típico proceso continuado de mejora Plan-Do-Check-Act (PDCA) entre otros muchos puntos en común.

Con la implantación de un BCMS una empresa se planteará las siguientes metas:

1. Entender las necesidad de establecer una política y unos objetivos en relación a la gestión de la continuidad del negocio

2. Implantar controles y medidas dirigidas a gestionar la capacidad de la organización para atender incidentes que puedan tener un impacto significativo en la continuidad de su negocio

3. Monitorizar y revisar el rendimiento y la eficacia del BCMS

4. Mejorar continuamente el modelo de acuerdo con una medición objetiva de los resultados

El BCMS, como cualquier otro sistema de gestión, tiene los siguientes componentes:

1. Una política

2. Unas personas con responsabilidades definidas

3. Unos procesos de gestión relacionados con la política, la planificación, la implantación, la operativa, la valoración del rendimiento, la revisión de la gestión y la mejora contínua.

4. Unos documentos que suministren evidencias auditables

5. Cualquier proceso de gestión de la continuidad del negocio que sea relevante para la organización

La ISO 22301:2012 es aplicable a organizaciones de cualquier tipo y tamaño que deseen:

1. Establecer, implantar, mantener y mejorar un BCMS,

2. Asegurar la conformidad con políticas declaradas de continuidad de negocio

3. Demostrar la conformidad a terceros

4. Solicitar la certificación o registro de su BCMS por parte de una entidad de certificación

5. Realizar una autoevaluación o una autodeclaración de conformidad con este estándar internacional.

En mi opinión, la implantación de un BCMS conforme con esta ISO supone una prueba inequívoca de la diligencia debida y del esfuerzo realizado por una empresa para garantizar la continuidad de su negocio, contribuyendo al objetivo de minorar su responsabilidad por los daños causados a terceros a causa de la interrupción de su actividad, prestación de servicios o suministro de productos.

Al mismo tiempo, genera evidencias de la existencia de controles preventivos que pueden permitir enervar la responsabilidad penal en el caso de delitos directamente relacionados con la continuidad del negocio, como los delitos medioambientales, el delito de daños o los delitos los relacionados con la seguridad de la información.

Esta ISO es altamente recomendable para los proveedores de outsourcing, cloud computing y hosting, así como para las empresas que gestionan infraestructuras críticas.

Primer ciberataque a una infraestructura crítica

El servicio de distribución de agua de Illinois puede haber sido la primera infraestructura crítica norteamericana en sufrir un ciberataque desde el extranjero.

Los atacantes, que presumiblemente habrían utilizado un servidor ubicado en Rusia para acceder al sistema, utilizaron las claves de acceso que previamente habían obtenido de un proveedor relacionado con el sistema de control industrial que permite la automatización y la gestión remota de este tipo de infraestructuras.

El resultado del ataque fue la desactivación de una bomba del servicio de distribución de agua.

El proceso seguido para el ataque se aprovechó, supuestamente, de los eslabones más débiles de la cadena de seguridad siguiendo un plan que podría ser probablemente el siguiente:

1. Identificación de los proveedores que tienen acceso al sistema de control industrial (SCADA) o prestan servicios que exigen tener dicho acceso. A través de cualquier buscador se pueden localizar las páginas web de los proveedores que ofrecen estos servicios o productos.

2. Selección de los proveedores que pueden ser más vulnerables a un acceso no autorizado o a una estrategia de ingeniería social. Algunos indicadores externos pueden ser el haber realizado recientemente un ajuste de plantilla o haber aplicado un severo plan de austeridad presupuestaria (aunque ello no debería afectar teóricamente a la seguridad de sus sistemas).

3. Obtención de las claves de acceso mediante un ataque al sistema del proveedor o un engaño a sus empleados.

4. Selección de un servicio público como vía de acceso al sistema de control industrial por considerar que, al depender del sector público, estará afectado por restricciones presupuestarias y los sistemas de seguridad no estarán actualizados.

5. Acceso al sistema de la infraestructura crítica y obtención de los privilegios necesarios para actuar sobre los controles que permiten gestionar local y remotamente la infraestructura.

De confirmarse las características del ataque, el método utilizado y las vulnerabilidades explotadas por los atacantes, las conclusiones son obvias, y las recomendaciones a los operadores de infraestructuras, también:

1. La seguridad debe estar al margen de cualquier restricción presupuestaria, pública o privada.

2. El control en materia de seguridad debe extenderse a los proveedores, aplicando un estricto sistema de homologación y auditoría continuada.

3. El sistema de control SCADA debe ser objeto de una profunda revisión y actualización continuada en materia de seguridad, si se confirman sus posibles vulnerabilidades en relación al protocolo TCP/IP.

4. Debe acelerarse el desarrollo y la aplicación de los planes de protección de infraestructuras críticas.

5. Los operadores de infraestructuras críticas y sus proveedores deben aplicar normas internas y ampliar la formación de sus empleados en materia de seguridad e ingeniería social

Normas relacionadas

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas

Resolución de la Secretaría de Estado de Seguridad por la que se acuerda la apertura del trámite de información pública respecto a las guías de contenidos mínimos del Plan de Seguridad del Operador y del Plan de Protección Específico como instrumentos de planificación del Sistema de Protección de Infraestructuras Críticas

Checklist para revisar las cámaras corporativas de videovigilancia

La sanción de 60.000 euros impuesta por la AEPD a unos grandes almacenes, confirmada por la Audiencia Nacional, obliga a recordar las condiciones en las que las empresas pueden hacer uso de videocámaras para realizar funciones de vigilancia y seguridad.

Para comprobar si una cámara o un sistema de videovigilancia cumple los requisitos legales y los criterios jurisprudenciales establecidos para esta actividad, deben realizarse las siguientes comprobaciones:

  1. IDONEIDAD: ¿Se consigue con la cámara el objetivo propuesto en materia de seguridad?
  2. NECESIDAD: ¿Existe otra medida más moderada para conseguir el objetivo propuesto con la misma eficacia?
  3. PROPORCIONALIDAD: ¿Existe un equilibrio entre el objetivo propuesto y los derechos de los afectados?
  4. INFORMACIÓN 1: ¿Se ha colocado en la zona un distintivo informativo con el contenido exigido por la ley?
  5. INFORMACIÓN 2: ¿Dispone la empresa de impresos informativos para los interesados que lo soliciten?
  6. CONTROL: ¿Dispone la empresa de un plano en el que se indique la situación de cada una de las cámaras?
  7. SITUACIÓN: ¿Está situada la cámara en la vía pública?
  8. RANGO 1: ¿Es adecuado el rango de acción de la cámara? (Un rango de 360 grados puede ser excesivo)
  9. RANGO 2: ¿La cámara obtiene imágenes de la vía pública?
  10. RANGO 3: En caso afirmativo, ¿es ello imprescindible para la finalidad propuesta?
  11. RANGO 4: En caso afirmativo, ¿resulta imposible evitarlo?
  12. RANGO 5: En caso afirmativo, ¿qué porcentaje ocupa la vía pública en el encuadre?
  13. ZOOM: ¿Dispone la cámara de zoom? (En algunos casos puede ser excesivo para la finalidad prevista)
  14. FICHERO: ¿La empresa ha inscrito el fichero de videovigilancia en el Registro General de la AEPD?
  15. TRATAMIENTO 1: ¿La empresa ha contratado a una empresa de seguridad para tratar o visualizar los datos?
  16. TRATAMIENTO 2: En caso afirmativo, ¿ha firmado un contrato de encargado del tratamiento?
  17. SEGURIDAD: ¿Se han aplicado medidas de seguridad en relación al fichero de videovigilancia?
  18. SECRETO: ¿Están identificadas y han suscrito un pacto de confidencialidad las personas con acceso a los datos?
  19. ACCESO: ¿Dispone la empresa de un procedimiento que facilite el derecho de acceso de los interesados?
  20. CANCELACIÓN: ¿Los datos son cancelados en el plazo máximo de un mes después de su captación?
  21. PRUEBA: ¿Dispone la empresa de las correspondientes evidencias de cumplimiento en materia de videovigilancia?