lunes, 8 de enero de 2018

Metodologías para gestión de riesgos en materia de protección de datos en trajes de super héroes


Esta es una versión alternativa de un post menos friki que he publicado hoy en Linkedin. Lo que añado aquí en azul son las aclaraciones fundamentales para que se entienda en el contexto de este blog :)
La aplicación del RGPD y el concepto de la privacidad por defecto y desde el diseño nos va a meter de lleno en la aplicación de metodologías de análisis de riesgo que nos pillará de nuevas a aquellos que venimos aplicando desde hace tiempo normas estándares de seguridad que vienen de la línea de las 27K.
Cuando Cisco tiene que hacer un traje para The Flash sabiendo que va a enfrentarse a metahumanos que tienen poderes desconocidos, por defecto y desde el diseño, introduce toda una serie de funcionalidades al traje para evitar riesgos que pueda sufrir The Flash al enfrentarse a los malos. Para ello ha aplicado una análisis de posibles maldades que le pueden hacer los malos.

¿Qué es un análisis de riesgos? Es un proceso sistemático que nos permite identificar los riesgos a los que está expuesta, por ejemplo, una organización. En definitiva, en líneas generales, un análisis de riesgo implica:

  • Definir un alcance, es decir, el ámbito sobre el cual se va a llevar a cabo el análisis de riesgos.
  • Identificar los activos que quedan incluidos dentro de dicho alcance.
  • Identificar las amenazas que afectan a dichos activos.
  • Identificar vulnerabilidades
  • Identificar salvaguardas
  • Evaluar el riesgo
  • Tratar el riesgo.
El INCIBE publicó un post en el que resumía éstos pasos aplicados al ámbito de la seguridad de la información que pueden servir como punto de partida para tener un contexto de ejemplo. Puede consultarse aquí.
Por ejemplo, si el alcance del análisis es "tipos de malos a los que puede enfrentarse Ironman teniendo en cuenta las capacidades de su traje". El activo incluido en el alcance es: el propio Tony Stark, es decir, su supervivencia a la hora de enfrentarse a un villano. 
Las amenazas posibles: ataque por visión láser; ataque por lanzamiento de meteorito; ataque por objeto contundente. 
Las vulnerabilidades posibles pueden ser: resaca por ingesta de alcohol de Tony Stark, Tony Stark está descentrado porque Pepper Post no le entiende; Tony Stark tiene un mal día porque le han pinchado las ruedas del coche. 
Las salvaguardas posibles pueden ser: Jarvis tiene todos los parches de seguridad actualizados; Jarvis tiene a punto el piloto automático; Jarvis tiene los mapas del GPS actualizados; Jarvis se encarga de mandar flores a Pepper. 
A la hora de evaluar el riesgo ya contamos con los elementos anteriores para poder evaluar la probabilidad y el impacto, por ejemplo:
  • La amenaza de que Iron Man sea atacado con un objeto contundente se materializa 3 veces al mes.
  • El impacto, es decir, el daño derivado de la materialización de la amenaza implica un gasto en reparaciones del traje de Iron Man que tiene consecuencias leves porque Tony Stark es multimillonario.
  • Calculamos el riesgo con las variables de la probalidad y el impacto.
Y a partir de ahí tratamos el riesgo que implica, por ejemplo, añadir funcionalidades nuevas al traje de Iron Man para que el objeto contundente no destroce el traje.

Si nos llevamos el análisis de riesgos al ámbito de la protección de datos el alcance aplica a la identificación de riesgos, en las operaciones de tratamiento de datos personales que se van a llevar a cabo por parte de una organización. ¿Fácil no? :D

¿Qué es un análisis de evaluación de impacto en materia de protección de datos?
Está precisamente relacionado con la realización de un análisis de riesgos. La Agencia Española de Protección publicó en el año 2014 una “Guía para la evaluación de impacto en la protección de datos personales” en la que establece: "Y entre las herramientas más útiles para avanzar en la privacidad desde el diseño se encuentran las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos, más conocidas como PIAs, por sus siglas en inglés (Privacy Impact Assessments), que se han desarrollado fundamentalmente en países anglosajones, donde ya existen metodologías consolidadas para su realización. Una PIA o una Evaluación de Impacto en la Protección de los Datos Personales (EIPD) es, en esencia, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos."
Por ejemplo, si detectamos que el riesgos de que Jean Grey siga siendo un miembro de la patrulla X es muy peligroso porque es muy posible que se le vaya la pinza y, por tanto, implica un alto riesgo para el resto de sus compañeros, tendríamos que hacer un análisis de evaluación de impacto para establecer qué medidas de seguridad son necesarias para que Jean Grey pueda seguir siendo parte del grupo, o bien, determinar que no puede seguir siendo miembro de la Patrulla X

Lo que también añade la Guía de la Agencia es que: "no es ni puede ser el objetivo de esta Guía el proporcionar criterios ni metodologías para definir cuantitativamente los niveles de riesgo de cada una de las situaciones descritas y de cualesquiera otras que pudieran aparecer como fuentes de riesgo para la privacidad al realizar una EIPD. Estas valoraciones han de ser llevadas a cabo en función del producto o servicio de que se trate, de las circunstancias de tratamiento de los datos, de los destinatarios de los mismos, de las tecnologías utilizadas, etc."
Esto quiere decir que Cisco no puede saber de entrada todas las contramedidas que puede poner en el traje de The Flash. Sólo cuando sabe a qué metahumano va a enfrentarse puede poner las medidas en el traje.

¡Andá! ¿Y entonces? ¿Se puede entender que las actuales medidas que establece el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos y las clasificación en niveles de medidas de seguridad básico, medio y alto es una metodología de análisis de riesgos aplicable para la protección de datos de carácter personal? ¡No! las medidas del RDLOPD no son una metodología. Lo que viene al recoger el RDLOPD es la enumeración de medidas, pero no especifica el enfoque basado en el riesgo que está recogido en el RGPD. Esta pregunta se la han hecho también directamente a la Agencia Española de Protección de Datos en la 9ª sesión anual abierta. Ante la pregunta: ¿Puede considerarse el Título VIII del RLOPD como metodología de análisis de riesgo? La respuesta de la Agencia fue: "Si lo que se plantea es si la división en tres niveles de seguridad efectuada por el artículo 81 del RLOPD es suficiente para valorar el riesgo la respuesta debe ser negativa. Este “enfoque” únicamente atiende a la tipología del responsable o de los datos tratados, pero no atiende a los riegos concretos que pueden afectar a los derechos de las personas ni tiene en cuenta (salvo alguna excepción, como la referida a los datos especialmente protegidos) los riesgos potenciales a los que se refiere el RGPD Luego, efectivamente, las medidas del RDLOPD no son una metodología de análisis de riesgo para analizar el impacto en materia de privacidad.
Es decir, que aunque Cisco tenga una imaginación desbordante en la que pueda imaginarse todas los posibles metahumanos a los que va a enfretarse The Flash, no puede saber a qué riesgos concretos se va a enfrentar hasta que aparece el malo de turno en el capítulo para poder meterle los juguetes al traje.

La Agencia de Protección de Datos, en la guía comentada menciona algunas metodologías cuya aplicación puede ser posible: "Por su relevancia y adaptación al caso específico de la privacidad, se puede hacer mención a la publicación Methodology for Privacy Risk Management de la Commission Nationale de l’Informatique et des Libertés (CNIL); a MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), he- rramienta creada por el Consejo Superior de Administración Electrónica para asistir a los distintos organismos públicos en este ámbito pero que es perfectamente utilizable también por el sector privado; Risk IT (ISACA) o ISO 27005" En principio, según uno de los post relacionados con el análisis de riesgos publicados por la Agencia Española de Protección de datos: "En este sentido, la Agencia está ultimando una Guía de análisis de riesgo que se publicará en breve junto a un catálogo de cumplimiento normativo.” En cualquier caso, la herramienta Pilar basada en la metodología Magerit ya incluye un módulo específico para el RGPD desde el pasado 12 de diciembre. Y quien sí se ha puesto mucho las pilas desde hace muchos años para facilitar el análisis de riesgos y ahora aplicado a la privacidad es el CNIL, el equivalente a la Agencia de Protección de Datos en Francia. En este caso la metodología de análisis de riesgos está basada en EBIOS. Además han liberado una aplicación bajo licencia GPL 3 (mola mucho el CNIL ;)) para la elaboración de análisis de evaluación de impacto por si tenéis curiosidad.

No hay comentarios:

Publicar un comentario