Incidentes de seguridad LOPD


DIEZ GRANDES ÉXITOS CINEMALOPDGRÁFICOS

LO QUE EL INCIDENTE DE SEGURIDAD SE LLEVÓ

En un pueblo al sur de España, llamado Malagatlanta, años há, vivía cómodamente la Señorita Escarchata.

Escarchata era dueña de un fructífero negocio de fabricación y venta de peladillas magentas, y cuando la vida más le sonreía, justo entonces, sufrió un indecente de seguridad.

Una noche, cuando ya todos los obreros se habían marchado y vuelto a casa, Escarchata invitó a un champán a su amigo –indecente-, el de seguridad (un vigilante, vamos), Rhett Burlete, dentro de la sala de servidores, donde tres potentes ordenadores procesaban miles y miles de datos de clientes, de proveedores de almendra, de personas y de obreros.

En un momento de sensual distracción, el contenido de una de las copas de champán, cayó sobre uno de los equipos informáticos, lo que inmediatamente provocó un cortocircuito, que a su vez originó un incendio que asoló la sala de servidores y 3/5 partes de la fábrica.

Y lo peor es que ni siquiera tenían copia de seguridad…

A la mañana siguiente, erguida sobre un páramo, la señorita Escarchata lloraba desconsolada viendo aquel panorama desolador, y entonces pronunció aquella famosa frase que pasaría a la historia:

Aunque tenga que matar, engañar, aprender a bailar salsa con el hijoputa de Antonio  o contratar a Vanesa Lopd de LOPD DIRECTA, a Dios pongo por testigo de que jamás volveré a traerme mis ligues a la sala de servidores para tener eso de un indecente de seguridad…

FIN

Epílogo.

Las indecencias se pagan caras.

Y los incidentes de seguridad en tu empresa, también.

Con independencia de lo que la normativa de protección de datos establezca sobre estas materias…: ¿por casualidad te has parado a pensar la catástrofe que podría ser para tu negocio perder miles de datos de tus clientes, contactos, empleados, etc…?

La idea de continuidad del negocio, de la que se habla con insistencia en la ISO 27001 y en la que tanto se centran los SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, adquiere hoy especial sentido, pues nos movemos en un mundo digital donde importantes cantidades de información se encuentran almacenadas en equipos informáticos propios o de terceros. Así, recuerdo con especial intensidad lo mucho que insistían los auditores de la 27001 en el tema de los planes de continuidad del negocio, cuya elaboración, desarrollo y puesta en práctica son obligatorios para obtener un certificado de la referido ISO.

No es sólo la Ley, sino el sentido común lo que debería obligarte a preparar algún sistema de respuesta ante una incidencia de seguridad que provoque una pérdida de datos en tu negocio.

Mas curiosamente, es este un tema que la mayoría de mis clientes pretenden eludir o al que no le dan la menor importancia.

Centrándonos ya en la legislación de protección de datos, debes saber que el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se refiere a la problemática de los incidentes de seguridad en su artículo 90, por una parte.

Dice este precepto que:

Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.


Además, si tienes datos de nivel medio o alto, a esta obligación tendrás que añadirle la de incluir en el registro de incidencias, la información relativa a los procesos de recuperación que se hayan llevado a cabo, y la de autorizar expresamente dichos procesos.

Estas normas, además, se completan con las relativas la imposición de realizar copias de seguridad, con lo que la ley pretende que seas en todo momento capaz de reconstruir tus sistemas de información al momento anterior a haberse producido el incidente.

Se trata de que lo antes posible, puedas seguir prestando tus servicios profesionales o desarrollando tu actividad, tras un incidente se seguridad, como puede ser la pérdida de datos tras un incendio o un robo en tus oficinas.

Los troyanos de Gallardón



Ha saltado en estos días a todos los medios de comunicación la noticia de los troyanos de la policía, los troyanos de Gallardón o troyanos buenos.

En definitiva, lo que se ha planteado es la introducción en el borrador del nuevo Código Procesal Penal español  de medidas que permitan la instalación de software en ordenadores –por parte de la policía y previa autorización judicial- de sujetos sospechosos de ciertos delitos, para poder hacer un seguimiento remoto de su actividad.

Desde luego, la utilización de troyanos (ya sea por policías buenos, malos, de verdad, de mentira, por delincuentes, por detectives privados, etc…) no es nueva y ha habido unos cuantos  “escándalos” por su utilización.

La cuestión es que hoy día, con la LOPD y normativa de desarrollo en la mano, yo concluyo básicamente dos cosas:

1ª. Si tu ordenador tiene un troyano, estás incumpliendo la LOPD y su Reglamento de desarrollo (RD 1720/2007, de 21 de diciembre).

2ª. Si has permitido que coloquen un troyano en tu ordenador, la verdad: eres un poquito tonto.

No olvidemos que nuestra famosa LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) es eso: una Ley Orgánica. Además, es una Ley que desarrolla un Derecho Constitucional, como así lo ha declarado el Tribunal Constitucional en su Sentencia nº 292/2000, de 30 de noviembre, que ubica este Derecho dentro del artículo 18 de la Constitución Española. Con todo esto quiero decir que no estamos hablando de una ordenanza municipal sobre caquitas de perro, ni de cualquier normativa administrativa secundaria, sino de las normas más básicas y esenciales de nuestro ordenamiento jurídico, de derechos que gozan de la más suprema protección.

Por ello, difícilmente puede casar el troyano del amigo Gallardón (ni ningún otro) con todo eso.

Veamos qué nos dice exactamente la LOPD:

Artículo 9 Seguridad de los datos 

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Si nos dirigimos al Reglamento de desarrollo de la LOPD, encontramos las siguientes normas (y me centro sólo en las medidas de seguridad de nivel básico, porque son aplicables a TODOS los sujetos que estén bajo el ámbito de aplicación de la Ley):

Artículo 91 Control de acceso 

1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. 

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. 

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. 

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero. 

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Artículo 93 Identificación y autenticación 

1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. 

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 

3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 

4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

Es decir, que como responsable de los datos que almacenas en tus equipos informáticos, tienes la obligación legal de adoptar todas las medidas técnicas y organizativas de seguridad necesarias para garantizar la seguridad de la información, evitando con ello su pérdida, alteración, accesos no autorizados, etc… Las medidas que cito en los artículos de arriba, son las medidas mínimas que tienes que aplicar siempre y en todo caso.

El de la Seguridad es uno de los principios básicos y esenciales de la normativa de protección de datos. De ahí que haya dicho anteriormente que, además de ser un poco tonto si permites que te metan un troyano,  también estarías incumpliendo la Ley Orgánica y su Reglamento.

Pues ya me dirás qué tipo de medidas de seguridad tienes  implantadas en tu negocio que permiten que los troyanos se paseen felizmente por tus datos de carácter personal…

Y si tuvieras un troyano o la menor sospecha de que pudieras tenerlo, más te vale que, con carácter inmediato, te asegures de que no lo tienes o procedas a su eliminación.

De estos asuntos (y de muchos otros) sabe un montón mi amigo Antonio el de la salsa. A pesar del “apellido” que le pongo, es informático y experto en seguridad de la información y casi abogado. Puedes leer su peculiar parecer sobre estas cuestiones en su blog, aquí:

La verdad, sobran comentarios: mejor léelo.

Incidencias de seguridad y LOPD


Veamos hoy otro de los cambios proyectados en la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en los que respecta al tratamiento de datos personales y a la libre circulación estos datos (Reglamento general de protección de datos.
En España, actualmente, existe una regulación sobre las incidencias de seguridad que afectan a datos de carácter personal. Así, en el artículo 90 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, se exige que exista un procedimiento de registro de notificación y gestión de las incidencias que afecten a datos de carácter personal. El Reglamento añade algunas exigencias más en el artículo 100 para los datos de nivel medio.
La cuestión es que se trata de un procedimiento básicamente de carácter interno, donde se realiza una comunicación interna de lo ocurrido.
La novedad del Reglamento Europeo de protección de datos es precisamente que la comunicación de la incidencia se dirigirá y hará llegar a una Autoridad de control (autoridad pública en materia de protección de datos: la AEPD, por ejemplo).
Esto es lo que plantea el artículo 31 de la propuesta de Reglamento:
Artículo 31

Notificación de una violación de datos personales a la autoridad de control.

1. En caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada y, de ser posible, a más tardar veinticuatro horas después de que haya tenido constancia de ella. Si no se hace en el plazo de veinticuatro horas, la notificación a la autoridad de control irá acompañada de una justificación motivada.

2. Con arreglo a lo dispuesto en el artículo 26, apartado 2, letra f), el encargado del tratamiento alertará e informará al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales.

3. La notificación contemplada en el apartado 1 deberá, al menos:

a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate;

b) comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales;

d) describir las consecuencias de la violación de datos personales;

e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales.

(…)
Y la incidencia de seguridad no sólo será notificada a esa Autoridad de control, sino que también se comunicará al interesado, a la persona afectada. Así lo propone el artículo 32 de la Propuesta de Reglamento:
Artículo 32

Comunicación de una violación de datos personales al interesado.

1. Cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales o a la privacidad del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 31, comunicará al interesado, sin demora injustificada, la violación de datos personales.

2. La comunicación al interesado contemplada en el apartado 1 describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas el artículo 31, apartado 3, letras b) y c).

(…)

Llama la atención de entrada, la brevedad extrema del plazo que se concede para hacer la notificación a la Autoridad de Control. Habrá que estar al plazo que finalmente se apruebe, pero probablemente se mantenga ese mismo.
Todo esto implicará la necesidad de que las empresas cambien su planteamiento de la gestión de incidencias que afecten a datos personales, con objeto de adecuarla a las nuevas exigencias legales.