domingo, 11 de junio de 2017 0 comentarios

CISO y DPO, más que amigos en casos de incidentes.

La aprobación del RGPD (o en ingles GDPR) está planteando, sobre todo en las organizaciones que no pertenecen a la zona Euro y que por tanto no tenían legislaciones en materia de protección de datos, una actividad intensa para este 2017 que será el año de la adecuación. Sorprende ver qué hay más interés y análisis del tema en el extranjero que en nuestro país. Aquí, la maltrechada LOPD, vista como una ley de segunda división, está lejos de alcanzar las cotas de cumplimiento que debieran ser razonables.

Es evidente que la protección de datos de carácter personal es ya vista por muchos modelos de negocio como una ventaja competitiva. Los continuos escándalos relacionados con fugas de información y el alto coste reputacional que ha tenido para muchas de las empresas afectadas ha podido servir para valorar el papel que juega la privacidad. Además, contribuye a ello que la percepción del usuario final sobre las consecuencias que tiene una inadecuada protección de sus datos.

La jueves pasado tuve la oportunidad de poder explicar, en el V Congreso APEP la problemática de la notificación de las violaciones de seguridad y una de las cuestiones que surgió en el turno de preguntas fue precisamente las casuísticas de la toma de decisiones entre DPO y CISO y los posibles conflictos.

En mi modesta opinión, creo que en empresas grandes, ambas figuras van a ser necesarias y complementarias. Cada uno aporta una visión distinta de un mismo problema y por tanto, deben contar con voces propias dentro de un comité de gestión de crisis.

El CISO aporta a ese comité el conocimiento interno de las medidas de seguridad que están implantadas, un detalle de los problemas que puedan existir (Fruto de actividades como los pentesting que se hayan contratado, las tareas de auditoría interna o bien la gestión de vulnerabilidades propia de la organización).

Por su parte, el DPO aporta a ese comité un conocimiento de los distintos tratamientos de datos que se llevan a cabo en la compañía, los niveles de riesgo identificados y una estimación de las consecuencias que pueda acarrear en materia de protección de datos. El DPO, por la condición que tiene el cargo, será el interlocutor en caso de incidentes, con la Agencia Española de Protección de Datos y debe ser el responsable de recabar la información establecida por el Art. 33 respecto a la notificación de las brechas de seguridad.

Como ya comenté en el monográfico dedicado al nuevo reglamento en el día de la protección de datos del 2016 para APEP, la notificación de las violaciones de seguridad supone un proceso de gestión de incidentes maduro.

Existen diferentes criterios que pueden ser válidos. Vamos a ver los tres más importantes.

NIST.
Descrito en el documento 800-61 Computer Security Incident Handling Guide, como siempre, los americanos adoptan un esquema de funcionamiento muy pragmático y que resuelve de forma completa pero sencilla el problema que abordan. Este proceso de gestión de incidentes se centra en las siguientes fases que muestra este gráfico.



ENISA.
Es un ciclo con mas fases y que detalla el documento Good practice for incident management. El ciclo está mas detallado y contempla fases como el triaje para la valoración de acontecimientos y la respuesta proporcional en función de varios parámetros: tipo de evento, severidad, área afectada, etc.


ISO 27035. 
El estándar unifica criterios y establece las fases comunes que deben ser planteadas dentro de un proceso de identificación y gestión de incidentes. 



En todos estos marcos de trabajo es necesario destacar la importancia que tienen las lecciones aprendidas. Se puede tropezar una vez, pero si ocurre, es muy importante aprender para que no vuelva a suceder lo mismo sin haber incorporado alguna mejora.

En cualquier caso, cuando se sospecha que un incidente puede estar ocurriendo o ya ha ocurrido y se está en fase de contención y respuesta del mismo, CISO y DPO juegan en el mismo equipo y su única misión es lograr minimizar en la medida de lo posible, los daños o impactos que pueda causar la brecha de seguridad. En situaciones de contingencia no se está para discusiones internas ni para medir egos. En esos momentos lo primero es salvar al paciente y posteriormente ya se harán los análisis que correspondan para que en las lecciones aprendidas se determinen nuevas decisiones o cambios que afecten al proceso de gestión de incidentes.

El CISO en caso de incidentes será quien tenga que llevar la voz cantante respecto a qué mejoras o medidas paliativas se pueden incorporar para que la crisis se resuelva. Al DPO le debe tocar valorar si con ello, el incidente en materia de protección de datos, se subsana o si se requiere alguna acción más. Además, debe valorarse si además de informar a la Autoridad de control, se requiere la notificación al afectado (válida como respuesta en aquellos casos en donde sea prioritario hacer caducar la información filtrada para que pierda vigencia como los casos donde se filtran usuario y contraseña).

Como creo haber explicado, CISO y DPO son dos remeros de un mismo barco que además deben trabajar coordinados y juntos cuando se trata de salir de una brecha de seguridad.





 
;