Jornada sobre ciberseguridad en ESADE

Jornada “Ciberseguridad: cómo actuar antes, durante y después de un ciberataque”
Viernes, 27 de abril de 2018, de 9:00 a 14:00 horas
Esta jornada está diseñada desde el Master IT+IP de ESADE Law School con el fin de analizar la creciente amenaza de los ciberataques y las contramedidas que las empresas y los organismos públicos pueden aplicar.
La jornada se estructura en una línea de tiempo de tres fases, que comprenden las estrategias a aplicar antes, durante y después del ciberataque.
El objetivo de la jornada es actualizar los conocimientos sobre ciberseguridad con los últimos datos y tendencias, con el fin de conocer las distintas opciones existentes para mejorar la defensa de los sistemas, en un formato orientado al intercambio de conocimientos entre los asistentes.
PROGRAMA

9:00 h Llegada de los asistentes y acreditaciones

9:15 h Bienvenida e inauguración
Xavier Ribas, co-director del Master IT+IP de ESADE Law School

9:30 h Antes del ciberataque: medidas preventivas y formación
Tim Caps, responsable del ProSOC (Lab de alerta temprana) de Proficio
Agustín Corredera, especialista de transformación digital de Microsoft
Antonio Cañada, enterprise account manager de FireEye

10:30 h Debate y turno de preguntas

Moderador: Xavier Ribas

10:45 h Durante el ciberataque: gestión, notificación y mitigación del impacto del ataque
Teniente Coronel Daniel Baena, Guardia Civil
Carlos Valderrama, responsable de respuestas ante ataques de Necsia
Xavier Serrano
, responsable de seguridad tecnológica de Banco Sabadell

11:30 h Debate y turno de preguntas

Moderador: Mario Sol, co-director del Master IT+IP de ESADE Law School

11:45 h  Coffee break

12:15 h Después del ataque – Continuidad del negocio y ciberseguros
Nelia Argaz, líder de Ciberseguridad y Business Resilience de Marsh Risk Consulting
Xavier Morrus, director de Mediacloud
Martí de Riquer, CISO de Médicos sin Fronteras

13:30 h Debate y turno de preguntas

Moderadora: Rebeca Velasco, abogada de Ribas y Asociados y colaboradora académica de ESADE Law School

14:00 h Clausura de la jornada

Viernes, 27 de abril de 2018
De 9:00 a 14:00 horas
ESADEFORUM
Av. Pedralbes, 60-62
Barcelona
Importe:300€

255€ (miembros de ESADE Alumni, de la Asamblea de la Fundación ESADE y del Consejo Profesional de ESADE Law School)

INSCRIPCIÓN

#ESADELaw
Comenta el acto vía Twitter
Para más información:
Neus Casajuana
neus.casajuana@esade.edu
Tel: 93 553 02 26
www.esade.edu

 

Jornada en Barcelona sobre el RGPD y la nueva LOPD

El próximo 8 de marzo participaré en una jornada de Thomson Reuters sobre aspectos concretos del RGPD y la nueva LOPD, de acuerdo con los detalles de la convocatoria que aparece a continuación.

TRRGPDBCN

Formulario de inscripción:

https://www.thomsonreuters.es/es/formulario/evento-dpo-barcelona-marzo.html

Programa completo:

http://app.engage.es-pt.thomsonreuters.com/e/es?s=570777387&e=324674&elqTrackId=737d279007ef425f800bd0eff6dcff07&elq=85674359140244e5be44f385d1caca39&elqaid=21854&elqat=1

Inicio del proceso de selección de DPOs

Hoy damos inicio al proceso de selección de DPOs (Data Protection Officer) o DPDs (Delegado de Protección de Datos) para nuestros clientes.

Las formas de contratación dependen de la modalidad elegida por cada cliente, habiendo identificado hasta ahora las siguientes:

  1. Contratación por parte de nuestro despacho con alta en el régimen general de la Seguridad Social con el fin de realizar la función de DPO de manera externalizada para varios clientes.
  2. Contratación por parte del cliente con alta en el régimen general de la Seguridad Social con el fin de realizar la función de DPO a jornada completa, o a tiempo parcial, en la empresa.

En ambos casos la formación, el seguimiento y el soporte continuado lo realizará nuestro despacho, con el fin de conseguir la máxima unificación de criterios.

Si te interesa participar en este proceso, puedes enviar un mensaje indicándolo a montse.otalora@ribastic.com.

Muchas gracias.

Jornada de actualización sobre el RGPD y la nueva LOPD (Presencial en Madrid + Streaming)

El próximo jueves participaré en una jornada de Thomson Reuters sobre aspectos concretos del RGPD y la nueva LOPD, de acuerdo con los detalles de la convocatoria que aparece a continuación.

TRRGPD

Más información y confirmación de asistencia en el siguiente enlace:

http://app.engage.es-pt.thomsonreuters.com/e/es?s=570777387&e=319834&elqTrackId=737d279007ef425f800bd0eff6dcff07&elq=21cf6efa513448d09045fa905cc25f68&elqaid=21616&elqat=1

Jornada RGPD y RRHH – Los tres grandes riesgos del tratamiento de los datos de los trabajadores

El próximo viernes participaré en esta jornada sobre RRHH y RGPD organizada por la Asociación Catalana de Dirección de Recursos Humanos, en la que hablaremos de los datos que una empresa trata durante el ciclo de vida de la relación laboral y los tres grandes riesgos que ello genera:

  1. Tratar datos sin informar al trabajador.
  2. Aplicar los datos a finalidades distintas de las informadas.
  3. No identificar a las más de 80 categorías de proveedores con acceso a los datos.

Todo ello desde la óptica del Reglamento General de Protección de Datos.

Más información e inscripciones:

https://www.aedipecatalunya.com/es/els-tres-grans-riscos-del-tractament-de-les-dades-dels-treballadors-per-rh-23022018/

 

“Tras 6 meses de proyecto RGPD, todavía aparecen tratamientos”

La frase que da título a este artículo fue pronunciada por un amiga que trabaja en una gran consultora. Estaba desesperada porque, después de 6 meses de proyecto, todavía descubría tratamientos.

Este problema ya surgió en 1992 con la aprobación de la LORTAD y se reprodujo en 1999 con la aprobación de la LOPD. Las preguntas típicas eran: “¿Cómo puedo conocer todos los datos que tratan los departamentos y cuándo tengo que dejar de buscar?”. Pensando que éramos nostros los que teníamos que encontrar el dato, y no al revés, en 1992 empezamos a utilizar programas de búsqueda de texto en el que introducíamos varios apellidos con operadores booleanos. Primero en cada ordenador, después en los servidores y finalmente, con herramientas de red.

Pero pronto nos dimos cuenta de que la solución no pasaba por monitorizar constantemente lo que hacía el negocio, ya que ello tendía a la saturación de información, al caos, a la paranoia y a la frustración. Era mucho más eficaz analizar las necesidades reales de la empresa, definir un modelo de datos, aplicarlo y exigir su cumplimiento. Es decir, pasar de una metodología “pull” a una metodología “push”.

En la actualidad, las herramientas de descubrimiento de datos se han perfeccionado hasta el punto de llegar a terminales remotos, detectar ordenadores apagados y volver a revisarlos cuando están operativos, gestionar correctamente los falsos positivos… Pero el objetivo no es tratar el dato personal como si fuese un virus, alertando sobre cada CV que llegue por correo electrónico, sino completar y actualizar el modelo de datos acordado, con una frecuencia que se estime razonable. Además, estas herramientas no detectan los tratamientos no automatizados realizados en papel y en otros soportes.

Como siempre, las mejores soluciones incorporan elementos de varias metodologías. Los proyectos de Compliance son un ejemplo de ello, al combinar el canal ético, los controles de prevención y detección y la verificación periódica. Es decir, se espera que el negocio se autorregule, cumpla la ley y comunique los riesgos y los incumplimientos a través del canal ético, pero de forma complementaria también se implantan medidas preventivas, se verifica el funcionamiento de los controles y se realizan investigaciones internas.

En el RGPD se establecen principios como el de la privacidad desde el diseño y por defecto y el de responsabilidad proactiva, que permiten exigir a los departamentos que realizan tratamientos un mayor grado de colaboración que el que podrían mostrar con la simple asistencia a una entrevista de análisis de tratamientos o a la disposición a dejarse monitorizar con herramientas de descubrimiento de datos.

La experiencia de 1992, perfectamente vigente en la actualidad, nos demuestra que la eficacia en la gestión de los tratamientos es mayor cuando los departamentos pasan de la colaboración a la implicación. Y ello se puede conseguir en un proyecto de RGPD aplicando un sencillo protocolo de 5 pasos:

  1. Análisis de tratamientos
  2. Definición del modelo de datos
  3. Confirmación y aprobación del modelo de datos
  4. Comunicación del modelo de datos a los departamentos
  5. Firma del modelo de datos

El punto 5 consiste en un compromiso de transparencia total, una declaración firmada en la que aparece la lista de datos tratados y la lista de finalidades del tratamiento. En este documento el firmante declara que se obliga a aplicar el modelo de datos y finalidades y a comunicar cualquier propuesta de modificación al Comité de Protección de Datos y Seguridad de la Información.

Mientras el incumplimiento de esta obligación supone una infracción muy grave de la política de protección de datos de la empresa, el cumplimiento permite al solicitante tener la tranquilidad de que los tratamientos que realice estarán plenamente reflejados en el registro de tratamientos y quedará acreditada su diligencia y la de la empresa.

El modelo de datos puede complemetarse y actualizarse con herramientas de discovery, pero lo que resulta evidente es que ni la empresa ni el DPO pueden estar permanentemente vigilando al negocio. Éste debe alcanzar un nivel de madurez y responsabilidad que no sólo es necesario, sino también exigible, desde el momento del diseño de cualquier nueva campaña, producto o servicio.

Pensemos que el riesgo de no informar del tratamiento de un dato o aplicarlo a una finalidad no informada es uno de los más altos de todo el RGPD, tanto en probabilidad como en impacto. Ello exige actuar en proporción a la cuantía de la sanción, que es también la más alta.

Incluso en los casos en que es imposible realizar todas las entrevistas en los tres primeros meses, debido a la complejidad de la estructura corporativa y de las agendas de los interlocutores, descubrir tratamientos a los 6 meses de un proyecto de adecuación al RGPD invita a revisar la metodología o el nivel de autoridad del responsable del proyecto.


Los documentos de base correspondientes a los puntos 1 a 5 de este artículo son cinco de los 103 entregables de nuestra metodología RGPD.

La seguridad es el 20% de un proyecto RGPD

La gran demanda de servicios de adecuación al RGPD (GDPR por sus siglas en inglés) experimentada este año en la Unión Europea está teniendo una respuesta absolutamente heterogénea por parte de las empresas consultoras y los despachos de abogados.  Mientras las primeras dan más importancia a la seguridad en el alcance de la propuesta, los segundos dan mayor protagonismo a las obligaciones de contenido jurídico.

Es absolutamente normal y legítimo que cada uno defienda el alcance que considera más adecuado para satisfacer una necesidad de cumplimiento normativo que comporta importantes sanciones, especialmente en relación a una norma que el cliente medio no conoce a fondo debido a la situación de hiperregulación existente en la actualidad en la Europa continental.

Todos estamos de acuerdo en que los proyectos RGPD deben tener un enfoque multidisciplinar que incluya e integre los conocimientos jurídicos y los conocimientos tecnológicos, estructurados habitualmente en medidas organizativas, jurídicas y de seguridad. En lo que no hay un criterio uniforme es en la proporción de cada área.

Por ello, en el mercado actual podemos encontrar multiples combinaciones que configuran diversas modalidades de enfoque que escoran hacia una u otra disciplina en función de quién lidere el proyecto.

Siguiendo la regla del 80-20, es habitual que los proyectos impulsados por consultoras de seguridad dediquen un 80% a la seguridad y un 20% a las cuestiones jurídicas. Y también es habitual que los proyectos impulsados por despachos de abogados dediquen un 80% a las cuestiones jurídicas y un 20% a la seguridad. Estos porcentajes variarán en función de los acuerdos de colaboración externa o de organización interna, y del peso que cada disciplina tenga en esos acuerdos, llegando, en algunos casos, a la proporción aparentemente ideal del 50-50.

Los argumentos comerciales han coincidido en resaltar la cuantía de las sanciones en ambas disiciplinas, aunque en materia de seguridad el argumento principal se ha centrado en el impacto reputacional de tener que comunicar una brecha de seguridad o una fuga de datos.

En cuanto a los entregables, las consultoras acostumbran a dividir las fases de análisis de gap, disgnóstico, plan de acción e implantación, con una clara separación de esta última fase, que es opcional, de las anteriores fases. Los despachos de abogados se centran más en la adaptación, por lo que aunque las fases coincidan, los entregables incluyen más políticas, normas, procedimientos y aspectos organizativos relacionados con los principios del RGPD.

Para realizar un análisis objetivo del peso real de cada disciplina en un proyecto RGPD habría que valorar los siguientes elementos:

  1. Número de obligaciones del RGPD que guardan relación con cada una de las dos disciplinas.
  2. Número de infracciones del RGPD que guardan relación con cada una de las dos disciplinas
  3. Probabilidad de que se produzca una infracción de las obligaciones jurídicas y de las obligaciones de seguridad.
  4. Probabilidad de que una infracción del RGPD llegue a ser conocida, denunciada y sancionada.
  5. Cuantía de las sanciones impuestas en el RGPD a las infracciones relacionadas con obligaciones jurídicas y de seguridad.
  6. Carga de trabajo que supone el análisis del riesgo y la actividad preventiva en relación a los riesgos jurídicos y de seguridad del RGPD.
  7. La certeza de que no todos los incidentes de seguridad que se produzcan constituirán una violación de datos que tenga que ser notificada o comunicada.

Una primera aproximación a estos seis elementos de valoración nos da los resultados que aparecen reseñados en los artículos enlazados en la lista anterior.

CONCLUSIONES

Tras analizar los datos objetivos que ofrece el RGPD y las estadísticas analizadas, se puede llegar a las siguientes conclusiones:

  1. Los proyectos RGPD deben dar prioridad a las medidas destinadas a prevenir las infracciones graves y muy graves.
  2. La mayor parte de estas medidas son jurídicas.
  3. Las obligaciones de contenido jurídico constituyen el 84% de las obligaciones establecidas en el RGPD.
  4. Las medidas de seguridad constituyen el 6% de las obligaciones establecidas en el RGPD.
  5. Las infracciones relativas a las medidas de contenido jurídico pueden tener una sanción máxima de 20 millones.
  6. Las infracciones relativas a las medidas de seguridad pueden tener una infracción máxima de 10 millones.
  7. El 99% infracciones más sancionadas en España en 2016 estaban relacionadas con obligaciones jurídicas.
  8. El 1% de las infracciones más sancionadas en España en 2016 estaban relacionadas con medidas de seguridad.
  9. La obligación de comunicar las violaciones de datos pude producir un incremento en la comunicación de las violaciones de la confidencialidad de los datos que tengan sus efectos fuera del perímetro de la empresa, pero es muy probable que las violaciones de la integridad y la disponibilidad de los datos que sólo tengan efectos en el interior de la empresa, sigan sin ser comunicadas.

Las dos disciplinas, la jurídica y la relativa a la seguridad son absolutamente complementarias y deben trabajar juntas en los proyectos RGPD, pero el miedo a tener que comunicar una violación de datos no puede hacer perder la atención en el objetivo principal del proyecto, que es prevenir las infracciones que realmente tengan más probabilidad y más impacto económico en función de las estadísticas analizadas, las tendencias previsibles, las obligaciones establecidas en el RGPD y la cuantía de las sanciones.

Probabilidad de que se produzca una infracción de las obligaciones jurídicas y de las obligaciones de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

Teniendo en cuenta que las características esenciales de las obligaciones establecidas en la LOPD y en el RGPD en materia de protección de datos son bastante parecidas, podemos acudir a las estadísticas publicadas anualmente por la Agencia Española de Protección de Datos (AEPD) para ver cuáles son los incumplimientos más frecuentes.

De acuerdo con la última memoria anual publicada por la AEPD, que corresponde a 2016, los datos relativos a las sanciones impuestas a empresas son los siguientes:

  • Videovigilancia: 170 sanciones
  • Ficheros de morosidad: 141 sanciones
  • Comunicaciones electrónicas (Spam): 77 sanciones
  • Contratación fraudulenta: 74 sanciones
  • Publicidad y marketing (Excepto spam): 54 sanciones
  • Información insuficiente: 1 sanción
  • Cookies: 9 sanciones
  • Documentación desechada sin destruir o borrar: 3 sanciones

Como podemos ver, de un total de 529 sanciones analizadas, sólo 3 tendrían relación con un incumplimiento de las medidas de seguridad. Es decir, un 1%.

Acceso a las conclusiones del análisis

 

“Data breach” y RGPD: la realidad de un concepto mal traducido

La traducción oficial al español de “data breach” en el Reglamento General de Protección de Datos es “violación de la seguridad de los datos personales”. Sin tener en cuenta artículos y preposiciones, el traductor oficial convierte dos palabras en cuatro.

Añadir “personales” no me parece mal, ya que confirma que el RGPD no se refiere a cualquier violación de datos, sino que ésta tiene que referirse a datos personales.

El problema surge al añadir la palabra seguridad, ya que ello puede generar la errónea interpretación de que el concepto “data breach” se refiere a cualquier incidente de seguridad en un entorno en el que haya datos personales. Y del texto de los artículos 33 y 34 del RGPD se deduce claramente que esto no es así.

Esta traducción ha provocado que, por economía de palabras, buena parte de las referencias al concepto “data breach” aparezcan en la práctica como “brechas de seguridad” o como “violaciones de seguridad”, con la consiguiente interpretación por parte de los profanos en la materia, de que todos los incidentes de seguridad que afecten a un sistema en el que haya datos personales serán un “data breach” y deberán ser objeto de notificación a la autoridad de control o de comunicación a los interesados. De ahí la pregunta habitual: “¿Cada vez que se pierda un móvil tendré que notificarlo a la Agencia?”

Para analizar el alcance real de un incidente de seguridad deberán tenerse en cuenta todas las circunstancias que lo rodean, así como las medidas anteriores, coetáneas y posteriores al incidente, que el responsable del tratamiento haya adoptado.

Entre las cuestiones conceptuales que deberán tenerse en cuenta destacan las siguientes:

  1. No todos los incidentes de seguridad constituirán una violación de la seguridad de los datos personales.
  2. No todas las violaciones de la seguridad de los datos personales serán una violación de los datos personales.
  3. La seguridad se representa gráficamente como un escudo de protección del sistema que alberga los datos personales, pero este escudo puede tener varias capas y formatos, de manera que un incidente en la primera capa de seguridad no implica forzosamente que exista un alto riesgo para los datos personales, ya que estos pueden encontrarse protegidos por varias capas de seguridad.
  4. Por ejemplo, un incidente en el firewall perimetral de una empresa puede no afectar a los datos que se encuentran cifrados dentro de una aplicación protegida con contraseña, en una máquina virtual protegida por un firewall propio albergada en un servidor interno, protegido a su vez por su propio firewall.

De manera similar a una ciudadela o a una fortaleza militar, el sistema informático de una empresa cuenta con varias líneas de defensa que permiten afirmar que un incidente de seguridad perimetral puede llegar a ser absolutamente irrelevante para los datos personales que alberga el sistema.

Si hablamos concretamente de una violación de la seguridad de los datos personales, igualmente debemos tener en cuenta que dicha seguridad puede estar compuesta por distintas capas y metodologías de protección, tanto físicas, como lógicas, como organizativas.

Por todo ello, y tal como puede verse en los dos gráficos que acompañan a este artículo, y que han sido incluidos en el nuevo curso de DPO de Thomson Reuters, una empresa debe contar con un protocolo de actuación ante incidentes de seguridad y con un protocolo de evaluación de la violación de los datos personales.

En el primer gráfico podemos ver que, antes del incidente, la empresa tiene que haber aplicado las medidas de seguridad necesarias para reducir la probabilidad de que se produzcan incidentes de seguridad y para mitigar los efectos de los que lleguen a producirse a pesar de las medidas aplicadas.

En relación al cifrado de datos, el Grupo de Trabajo del Artículo 29, en la guía que recientemente ha publicado sobre esta materia, ha manifestado que, si la confidencialidad de la clave de cifrado está intacta, los datos personales son en principio ininteligibles, y por lo tanto no se deberá realizar la notificación. Por ello es muy importante que las medidas adoptadas antes, durante y después del incidente vayan orientadas a asegurar la custodia de dicha clave.

También será necesario disponer de un plan de actuación ante un incidente, en el que se asignen funciones específicas a los responsables y se establezcan tiempos de respuesta en los contratos con los proveedores.

Durante y después del incidente, deberá realizarse un análisis de su alcance, del número de afectados, el origen (interno o externo) y el nivel de intencionalidad, así como cualquier otra circunstancia que permita determinar las medidas a aplicar y evaluar los riesgos.

La evaluación del riesgo deberá tener en cuenta, entre otras cuestiones, el tipo de incidente, su alcance en relación a los derechos fundamentales de los afectados, la sensibilidad de los datos, la gravedad del impacto para los afectados y la facilidad de identificación de los mismos. En esta fase será fundamental disponer de una checklist completa que permita evaluar el riego desde la óptica de los derechos y libertades fundamentales de los interesados.

El protocolo de actuación acabará con una decisión final en relación a la notificación y a la comunicación a realizar en función del riesgo evaluado. Si el riesgo es bajo, el incidente podrá ser registrado y archivado. Si el riesgo es alto, deberá realizarse la notificación a la AEPD y si el riesgo es muy alto, deberá realizarse la comunicación a los afectados.

En el segundo gráfico puede verse el protocolo de actuación que propongo aplicar para evaluar si se ha producido una violación de datos que deba ser notificada o comunicada.

Para ello habrá que recopilar información completa del incidente, evaluar la probabilidad y el impacto del riesgo, verificar si las medidas anteriores, coetáneas y posteriores al incidente han protegido de forma suficiente los datos, o si, por el contrario, se ha producido una violación.

De acuerdo con la guía del Grupo de Trabajo del Artículo 29, dicha violación puede referirse a la confidencialidad, a la disponibilidad y a la integridad de los datos. La violación de la confidencialidad permitiría que se produjese una comunicación o un acceso no autorizado a los datos. La violación de la disponibilidad podría provocar una pérdida de acceso a los datos o una destrucción de los mismos. La violación de la integridad supondría una alteración no autorizada de los datos.

Por lo tanto, y como conclusión final, para que un incidente de seguridad se convierta en una violación de datos, se tiene que haber producido una violación de la confidencialidad, la disponibilidad o la integridad de los datos. Si el riesgo de que esta violación afecte a los derechos y libertades de los interesados es alto, habrá que notificarla a la AEPD y si es muy alto, habrá que comunicarla a los interesados.

La diferencia entre riesgo alto y riesgo muy alto no queda definida en el RGPD, pero lo que sí queda claro es que, si una empresa ha cumplido sus obligaciones en materia de seguridad, consiguiendo un umbral razonable de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales, tiene más posibilidades de que una violación de la seguridad no se convierta en una violación de datos, y, por lo tanto, consiga no tener que notificar ni comunicar el incidente.

El objetivo del DPO y del responsable del tratamiento es que ese umbral de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales sea lo más alto posible.

Las violaciones de datos y las evaluaciones de impacto son dos puntos del RGPD que preocupan a las empresas por su operativa y por su contenido. En el nuevo curso de DPO de Thomson Reuters hemos dedicado especial atención a estos dos puntos, con una amplia descripción de los protocolos a seguir y, en el caso de las evaluaciones de impacto, al contenido detallado del informe que debe describir las procesos sedigos para realizar la evaluación y la justificación de la decisión final adoptada.