Resumen: En unas declaraciones
Neelie Kroes, Vicepresidenta y Comisaria de la Agenda Digital de la Comisión
Europea, considera que la EU y el mundo en general necesitan: Un Cloud Computing
fuerte y de confianza; Una cultura de Open Data (Datos Abiertos por parte de
las AA.PP.); Y compromiso compartido con la ciberseguridad. En base a dicho
hilo conductor es que he vertebrado este artículo, incidiendo principalmente en
aspectos de seguridad de la información y privacidad.
Autor del artículo
|
Colaboración
|
|
JOSÉ
LUIS COLOM PLANAS
|
||
Actualizado
|
5 de abril de 2014
|
|
ÍNDICE
2. RIESGOS A EVALUAR
3. EL CAMINO A SEGUIR
4. LA AGENDA DIGITAL DE LA COMISIÓN EUROPEA
4.1. Introducción
4.2. Un Cloud Computing fuerte y de confianza
4.2.1. Dictamen 05/2012 sobre Cloud Computing
4.2.2. Certificaciones del CSP (Cloud Services Provider)
4.3. Una cultura de Open Data
4.3.1. Ley 19/2013, de 9 de diciembre, en España
4.3.2. Artículos relacionados con la protección de datos
4.3.3. La opinión del Director de la AEPD
4.4. Compromiso compartido con la ciberseguridad
4.4.1. La seguridad no es simplemente comprar artilugios
4.4.2. Estrategia de Ciberseguridad Nacional en España
5. BIBLIOGRAFÍA CONSULTADA
6. DERECHOS DE AUTOR
1. INTRODUCCIÓN
Como decía en la introducción de una de mis ponencias sobre Big Data:
“el mundo está inmerso en la
revolución de la información y el conocimiento, por lo que tiene una clara
tendencia a centrarse en los datos. Unos
para obtener, de forma legítima, el máximo rendimiento y conocimiento de ellos
(como por ejemplo lo hacen Big Data y las técnicas analíticas) y, otros, para
preservarlos y proteger la esfera de privacidad de las personas. En
consecuencia, es esencial encontrar un equilibrio entre los beneficios de las
tendencias innovadoras y los riesgos relacionados con la privacidad”.
Es un concepto que introdujo Ann Cavoukian (Comisionada de información y
privacidad de Ontario) que se conoce por PbD (Privacy by Design – Privacidad
desde el Diseño), que busca una relación win-win (ganar-ganar) en los nuevos
proyectos que sean susceptibles de incorporar o tratar datos personales. No es
de extrañar que en el borrador del nuevo RGPDUE (Reglamento General de Protección
de Datos de la Unión Europea)[5] la PbD tenga un papel sustancial.
Podríamos decir que, buscando un paralelismo didáctico,
mientras la revolución industrial se
basaba en la obtención de valor
y ventajas competitivas a partir de la automatización
de los procesos productivos industriales, la revolución digital se basa en conseguirlas a partir de los datos y
el conocimiento que puede obtenerse de ellos.
2. RIESGOS A
EVALUAR
Van
apareciendo nuevos riesgos que amenazan los posibles logros de la humanidad
mediante las tendencias emergentes.
Un
claro ejemplo son los programas de espionaje tipo PRISM, de la NSA y por
supuesto también de otros países que dispongan del despliegue de medios
necesarios, que tanto daño conceptual han hecho al progreso tecnológico.
La
opinión pública puede verse tentada a asociar Big Data a robo y tratamiento de
información por parte de ciertos
gobiernos y organizaciones, lo que equivale a poner palos a la rueda del carro
que representa el progreso y la evolución de la humanidad.
También
coarta la migración de servicios de TI al nuevo modelo de Cloud Computing, ya
que se asocia a poner los datos “en bandeja” a esos gobiernos y organizaciones.
Muchos
estrategas de inteligencia, ya hablan de combates en el quinto dominio.
NOTA
DEL EDITOR: La relación de dominios militares se ha visto ampliada. En la
actualidad se consideran: 1. Tierra; 2. Mar; 3. Aire; 4. Espacio; 5.
Ciberespacio. Algunos ejércitos ya están creando unidades especiales preparadas
para su intervención en el quinto dominio (Ciberespacio).
El
hecho de que incluso los aliados se espíen unos a otros no
ha hecho más que acentuar los temores de
la gente.
Pero además de los gobiernos, están los grupos delincuentes
organizados.
La ciber-delincuencia es la piratería del siglo XXI. Entre
los siglos XVI y XVIII los piratas navegaban los mares usurpando bienes
materiales de los barcos que asaltaban por la fuerza, mientras que ahora
navegan por Internet buscando objetivos con información de alto valor que
puedan obtener subrepticiamente.
3. EL CAMINO A
SEGUIR
No
se pueden combatir de forma aislada los riesgos que hemos visto en el apartado
anterior.
Las
iniciativas deben liderarse desde la UE y los diferentes gobiernos que la
conforman, así como de las organizaciones transnacionales tipo la CSA (Cloud
Security Alliance). La línea de actuación podría definirse:
- Promocionar la elaboración y adopción de normas relacionadas con la seguridad de la información en general y específicas para diferentes entornos.
- Regular las cláusulas de contratación para los servicios de Cloud Computing y demás servicios de datos de manera que aporten transparencia, confianza y seguridad tanto a los usuarios como a los prestadores de esos servicios.
- Formar y concienciar a las personas que en un mundo en línea pagan siempre por los servicios de datos, ya sea con dinero en efectivo o mediante la cesión de los propios datos.
- Establecer la regulación adecuada, en el ámbito de las empresas privadas y las administraciones públicas, de modo que se tomen en serio los riesgos cibernéticos.
4. LA AGENDA DIGITAL DE LA COMISIÓN EUROPEA
4.1. Introducción
No
debemos olvidar una realidad: “Nadie usa los servicios en los que no confía”. En
consecuencia, además de regular su utilización, es necesario asegurarlos.
La seguridad de la información tratada por los nuevos servicios ha de ser un
objetivo prioritario.
Neelie
Kroes, Vicepresidenta y Comisaria de la Agenda
Digital de la Comisión Europea, considera que la EU y el mundo en general necesitan:
- Un Cloud Computing fuerte y de confianza, con reglas claras. Dado que la nube no va a desaparecer, será mejor que sea un modelo de entrega de servicios seguro.
- Una cultura de Open Data - datos abiertos por parte de las AA.PP. - y el libre acceso a los resultados científicos. Se puede obtener mucho más valor cuando accedemos directamente a los datos originales.
- Compromiso compartido con la ciberseguridad. Necesitamos mejores capacidades, una cultura que comparta la responsabilidad de este problema, y más cooperación entre los países y las empresas.
La frase célebre de
Neelie es: “Europa necesita protección de datos, no proteccionismo”.
4.2. Un Cloud
Computing fuerte y de confianza
4.2.1. Dictamen 05/2012 sobre Cloud Computing
El GT29 (Grupo de protección de
datos del artículo 29) en su dictamen [1] 05/2012, de 1 de julio sobre la
computación en la nube, analiza todas las cuestiones pertinentes en materia de
proveedores de servicios de computación en nube que operan en el EEE (Espacio
Económico Europeo) y sus clientes, especificando todos los principios aplicables
de la 95/46/CE (Directiva europea sobre protección de datos) y de la 2002/58/CE
(Directiva sobre privacidad modificada por la Directiva 2009/136/CE), según
proceda.
A pesar de las claras ventajas de la computación en nube, tanto en
términos económicos como sociales, el presente dictamen explica de qué manera
el despliegue a gran escala de los servicios de computación en nube puede
provocar diversos riesgos para la protección de datos, principalmente:
- La falta de control sobre los datos personales.
- La insuficiente información en relación a cómo, dónde y por quién son los datos tratados o sub-tratados.
Los organismos públicos y las empresas privadas deben evaluar estos
riesgos cuidadosamente al contratar los servicios de un proveedor de servicios
de computación en nube.
El presente dictamen examina cuestiones relacionadas con:
- La puesta en común de recursos con otras partes.
- La falta de transparencia de una cadena de externalización compuesta por múltiples encargados del tratamiento y subcontratistas.
- La inexistencia de un marco común general de portabilidad de datos.
- La incertidumbre con respecto a la admisibilidad de la transferencia de datos personales a los proveedores establecidos fuera del EEE.
Del mismo modo, el dictamen aborda, como cuestión preocupante, la
falta de transparencia en cuanto a la información que un responsable del
tratamiento puede proporcionar a los interesados sobre la manera en que se
tratan sus datos personales. Los interesados deben ser informados de quién
trata sus datos y para qué fines, a fin de poder ejercer los derechos que
tienen a este respecto.
Una de las principales conclusiones del presente dictamen es que las
empresas y las administraciones que deseen utilizar la computación en nube
deben efectuar, como un primer paso, un
análisis de riesgos completo y riguroso. Los proveedores en el EEE deben proporcionar
al cliente toda la información necesaria para evaluar adecuadamente los pros y
los contras de la adopción de tal servicio.
La seguridad, transparencia y seguridad jurídica para los clientes deberán ser los principales
impulsores de la oferta de servicios de computación en nube.
Por lo que respecta a las recomendaciones contenidas en el presente
dictamen, se subrayan las responsabilidades de un cliente de servicios de
computación en nube (como responsable del tratamiento) y se recomienda, por
tanto, que el cliente seleccione un proveedor de servicios de computación en
nube que garantice el cumplimiento de la legislación de la UE sobre protección
de datos.
El dictamen aborda las salvaguardias contractuales apropiadas
estableciendo la condición de que todo contrato entre el cliente y el
proveedor deberá ofrecer garantías suficientes en términos de medidas técnicas
y de organización. También es importante la recomendación de que el cliente
de servicios computación en nube deberá verificar si el proveedor de tales
servicios puede garantizar la legalidad de las transferencias internacionales
de datos.
Como cualquier proceso evolutivo, el avance de la computación en nube
como paradigma tecnológico mundial representa un desafío. El presente dictamen,
en su estado actual, puede considerarse un paso importante para definir las
tareas que debe asumir en este sentido los responsables de la protección de
datos en los próximos años.
4.2.2.
Certificaciones del CSP (Cloud Services Provider)
En Julio de 2013,
BSI y CSA (Cloud Security Alliance) han anunciado la finalización con
éxito de las certificaciones piloto en el marco de la certificación abierta con
Alibaba y el Gobierno de New Taipei City (NTCP).
El Marco de
Certificación Abierto (OCF, Open Certification Framework) ha sido desarrollado
por la CSA para ofrecer a los proveedores de la nube un sistema mundial de
certificación de confianza. La Certificación STAR es uno de los componentes de
la iniciativa OCF, y comprende una auditoría independiente “de tercera parte”
sobre la base de la CCM (Cloud Control Matrix) - Matriz de Control
del Cloud - y la ISO 27001.
La Certificación
STAR ha sido desarrollada en colaboración entre BSI (British Standards
Institution) y CSA.
La Certificación
STAR es uno de los componentes del Marco de Certificación Abierto (OCF, Open
Certification Framework) desarrollado por BSI y CSA. Si una organización cumple
con los dos requisitos, BSI puede emitir dos certificados simultáneos: ISO 27001
y STAR.
4.3. Una cultura de Open Data
4.3.1. Ley 19/2013, de 9 de diciembre, en España
El martes, 10 de diciembre
de 2013 se publicó en el BOE número 295 la Ley
19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y
buen gobierno [2], que en una de sus
vertientes se refiere a Open Data por parte de las Administraciones del
Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran
la Administración Local, entre otras.
El Capítulo III de dicha Ley configura de forma amplia el
derecho de acceso a la información pública, del que son titulares todas las
personas y que podrá ejercerse sin necesidad de motivar la solicitud.
Este derecho solamente se verá limitado en aquellos casos en que así sea
necesario por la propia naturaleza de la información —derivado de lo dispuesto
en la Constitución Española— o por su entrada en conflicto con otros intereses
protegidos. En todo caso, los límites previstos se aplicarán atendiendo a un
test de daño (del interés que se salvaguarda con el límite) y de interés
público en la divulgación (que en el caso concreto no prevalezca el interés
público en la divulgación de la información) y de forma proporcionada y limitada
por su objeto y finalidad.
Asimismo, dado que el acceso a la
información puede afectar de forma directa a la protección de los datos personales,
la Ley aclara la relación entre ambos derechos estableciendo los mecanismos de
equilibrio necesarios. Así, por un lado, en la medida en que la información
afecte directamente a la organización o actividad pública del órgano
prevalecerá el acceso, mientras que, por otro, se protegen —como no puede ser
de otra manera— los datos que la normativa califica como especialmente
protegidos, para cuyo acceso se requerirá, con carácter general, el
consentimiento de su titular.
4.3.2.
Artículos relacionados con la protección de datos
En el proyecto de Ley
de transparencia, las disposiciones adicionales abordan diversas cuestiones
como la aplicación de regulaciones especiales del derecho de acceso, la
revisión y simplificación normativa —en el entendido de que también es un
ejercicio de buen gobierno y una manifestación más de la transparencia el
clarificar la normativa que está vigente y es de aplicación— y la
colaboración entre el Consejo de Transparencia y Buen Gobierno y la Agencia Española de Protección de Datos
en la determinación de criterios para la aplicación de los preceptos de la ley
en lo relativo a la protección de datos personales.
Artículo 5. Principios generales.
3. Serán de aplicación,
en su caso, los límites al derecho de acceso a la información pública
previstos en el artículo 14 y, especialmente, el derivado de la protección de
datos de carácter personal, regulado en el artículo 15. A este respecto,
cuando la información contuviera datos especialmente protegidos, la publicidad
sólo se llevará a cabo previa disociación de los mismos.
Artículo 14. Límites al derecho de acceso.
3. Las resoluciones que
de conformidad con lo previsto en la sección 2.ª se dicten en aplicación de
este artículo serán objeto de publicidad previa disociación de los datos de
carácter personal que contuvieran y sin perjuicio de lo dispuesto en el
apartado 3 del artículo 20, una vez hayan sido notificadas a los interesados.
Artículo 15. Protección de datos personales.
1. Cuando la solicitud
de acceso se refiera a información pública que contenga datos de carácter
personal se aplicarán las disposiciones previstas en esta Ley. No obstante, se
aplicará la normativa de protección de datos personales cuando los que contenga
la información se refieran únicamente al solicitante, sin perjuicio de que, en
este caso, el otorgamiento del acceso permita el conocimiento por el
solicitante no sólo de los datos que contenga la información de los que sea
titular, sino de ésta en su totalidad.
2. Si la información
solicitada contuviera datos especialmente protegidos a los que se
refiere el apartado 2 del artículo 7 de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de
carácter personal, el acceso únicamente se podrá autorizar en caso de que se
contase con el consentimiento expreso y por escrito del afectado, a menos
que dicho afectado hubiese hecho manifiestamente públicos los datos con
anterioridad a que se solicitase el acceso.
Si la información
incluyese datos especialmente protegidos a los que se refiere el apartado 3
del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, o datos
relativos a la comisión de infracciones penales o administrativas que no
conllevasen la amonestación pública al infractor, el acceso sólo se podrá
autorizar en caso de que se cuente con el consentimiento expreso del afectado o
si aquél estuviera amparado por una norma con rango de Ley.
3. Con carácter
general, y salvo que en el caso concreto prevalezca la protección de datos
personales u otros derechos constitucionalmente protegidos sobre el interés
público en la divulgación que lo impida, se concederá el acceso a información
que contenga datos meramente identificativos relacionados con la organización,
funcionamiento o actividad pública del órgano.
4. Cuando la
información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud
concederá el acceso previa ponderación
suficientemente razonada del interés público en la divulgación de la
información y los derechos de los afectados cuyos datos aparezcan en la
información solicitada, en particular su derecho fundamental a la protección
de datos de carácter personal.
Para la realización de la citada ponderación, el órgano tomará particularmente en consideración los siguientes criterios:
a) El menor perjuicio a
los afectados derivado del transcurso de los plazos establecidos en el artículo
57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.
b) La justificación por
los solicitantes de su petición en el ejercicio de un derecho o el hecho de que
tengan la condición de investigadores y motiven el acceso en fines históricos,
científicos o estadísticos.
c) El menor perjuicio
de los derechos de los afectados en caso de que los documentos únicamente
contuviesen datos de carácter meramente identificativo de aquéllos.
d) La mayor garantía de
los derechos de los afectados en caso de que los datos contenidos en el
documento puedan afectar a su intimidad o a su seguridad, o se refieran a
menores de edad.
5. No será aplicable lo
establecido en los apartados anteriores si el acceso se efectúa previa
disociación de los datos de carácter personal de modo que se impida la
identificación de las personas afectadas.
6. La normativa de
protección de datos personales será de aplicación al tratamiento posterior de
los obtenidos a través del ejercicio del derecho de acceso.
Artículo 16. Acceso parcial.
En los casos en que la
aplicación de alguno de los límites previstos en el artículo 14 no afecte a la
totalidad de la información, se concederá el acceso parcial previa omisión de
la información afectada por el límite salvo que de ello resulte una información
distorsionada o que carezca de sentido. En este caso, deberá indicarse al
solicitante que parte de la información ha sido omitida.
Artículo 20. Resolución.
3. Cuando la mera indicación de la
existencia o no de la información supusiera la vulneración de alguno de los
límites al acceso se indicará esta circunstancia al desestimarse la solicitud.
Disposición adicional
quinta. Colaboración con la Agencia Española de Protección de Datos.
El Consejo de Transparencia y Buen Gobierno y la Agencia Española de
Protección de Datos adoptarán conjuntamente los criterios de aplicación,
en su ámbito de actuación, de las reglas contenidas en el artículo 15 de esta
Ley, en particular en lo que respecta a la ponderación del interés público en
el acceso a la información y la garantía de los derechos de los interesados
cuyos datos se contuviesen en la misma, de conformidad con lo dispuesto en esta
Ley y en la Ley Orgánica 15/1999, de 13 de diciembre.
4.3.3. La
opinión del Director de la AEPD
Extractamos
algunas de las reflexiones que aportó el director de la AEPD - José Luis
Rodríguez Álvarez –, en su comparecencia en el Congreso de los Diputados el 23 de
enero de 2013,
[3] para hablar sobre el, por entonces, proyecto de Ley de
transparencia, [6] quién
afirma que considera necesaria la Ley de transparencia, aunque a su juicio, el
derecho de transparencia y de acceso a la información limita con otros
derechos, entre ellos el derecho a la protección de datos de carácter personal.
Para el director de la AEPD no hay limitación a la
información si se disocian los datos de carácter personal, de modo que no sea
posible identificar a las personas afectadas. Considera que esa fórmula, la
disociación, debería ser la regla siempre que los datos personales no sean
relevantes, y que este punto debería recogerse en el texto de la ley. (Como así
ha sido en el artículo 14. Ésta entrevista le fue realizada en enero de éste
año).
Para Rodríguez Álvarez, la relación entre la Ley de
protección de datos y la de transparencia no ha de ser conflictiva ni
resolverse siempre a favor de la protección de datos, sino que debe haber un
ponderación razonada de cada caso que lleven a cabo órganos administrativos
competentes.
Cree que la aprobación de este proyecto de Ley tendrá efectos
positivos para la protección de datos, al impedir una práctica frecuente: la
denegación de datos amparándose sin fundamento en la LOPD.
- En primer lugar, enunció José Luis Rodríguez Álvarez, es un problema la redacción del primer párrafo del artículo 15.1. Según está redactado, explicó, da a entender que el acceso a la información pública que contenga datos de carácter personal se haría excepcionando, aparentemente, la LOPD. A su juicio, eso condiciona o altera el régimen de aplicación de la Ley Orgánica de Protección de Datos (situación que no puede darse ante una ley de rango inferior).
- En segundo lugar, el segundo párrafo del mismo artículo remite, a los interesados en documentos que contengan sus propios datos, a la LOPD (una normativa con contenido distinto y más limitado que la ley de transparencia). Es decir, que se crearían dos sistemas normativos, uno para quienes soliciten información que afecten a terceros y otro para quienes quieran acceder a información en que se vean afectados, siendo más restrictiva, paradójicamente, la normativa de este último caso.
Rodríguez Álvarez remata su exposición destacando que es muy
adecuada la mención en la ley de la coordinación de criterios entre la AEPD y
la Agencia Estatal de Transparencia [Véase
la disposición adicional quinta].
Al responder, el director de la AEPD, sostiene que su aportación puede tener valor en lo
relativo a la articulación entre transparencia y protección de datos, pero no
se siente legitimado para tratar otros aspectos de la nueva ley.
Sobre la relación entre la Ley de Transparencia y la Ley de
Protección de Datos afirma que es imposible predeterminar en un proyecto todos
los elementos a considerar en caso de conflicto; y que revisando las
regulaciones ya acreditadas se reduce finalmente a un criterio de ponderación,
tomando en cuenta las circunstancias.
Comenta que la LOPD ya prevé que otra ley pueda determinar
los supuestos en que se podrá ceder información, en consecuencia no es
necesario tensar la articulación entre las dos normas y no ve necesario modificar la LOPD.
Sobre el estatuto jurídico de la ley, entiende que el derecho
de acceso a la información debería ser un derecho fundamental contemplado a la
hora de elaborar la constitución. Pero también existen a su juicio “serias
dudas”, respecto a cómo se elaboró la Constitución Española en su momento, de
que el acceso a la información pueda considerarse un derecho fundamental.
Sugiere que podría vincularse a alguno de los derechos
fundamentales reconocidos en aquella, pero independientemente de ello no
considera que la protección de datos sea ni vaya a ser un obstáculo a la
transparencia. Lo que sí remarca es que la ley de transparencia tiene que
articular los mecanismos de acceso a la información y que, si se deniega este
acceso en aras de la protección de datos, deberá hacerse justificadamente.
Respecto a la gestión en otros países de los problemas en
ciertas peticiones de datos, señala que existen dos modelos:
- Uno en el que es la Agencia de protección de Datos se hace cargo.
- Otros países, en los que es una agencia independiente.
Afirma que corresponde al legislador elegir, pero que lo
esencial es que se articule de manera coherente y consecuente.
4.4.
Compromiso compartido con la ciberseguridad
4.4.1. La seguridad no es simplemente comprar
artilugios
La Información es
un bien preciado, por lo que debemos tomar las debidas precauciones en su
protección. La interconexión global a través de Internet ha multiplicado las
amenazas.
El principal
error es subestimar el riesgo o aplicar soluciones tipo “café para todos”. Por
ejemplo de qué sirve disponer del firewall tecnológicamente más avanzado del
mundo, para proteger de las amenazas de Internet, si:
- Quienes lo precisan van creando en él reglas sobre la marcha, cada vez que se necesitan implementar servicios nuevos, sin evaluar su interacción y sin auditorías periódicas.
- Nunca se actualiza su firmware y consecuentemente se arrastran vulnerabilidades existentes desde el origen.
- Los dispositivos y ordenadores portátiles se conectan alternativamente desde fuera de la empresa a Internet sin firewall y también desde dentro de la red segura empresarial cuando quizá ya están infectados con un troyano.
- Existen otros routers o elementos de conectividad en la red local empresarial que, al no estar inventariados, no se encuentran bajo el paraguas de la seguridad perimetral.
- Etc. Etc. Etc.
Para ello
implantar un SGSI (Sistema de Gestión de la Seguridad de la Información) basado
en la norma ISO 27001:2013, con un alcance y unos objetivos bien definidos, es
la única forma de garantizar una seguridad adaptada a las necesidades de la
empresa y a los cambios de contexto.
La norma se basa
en un análisis de riesgos para poder
aplicar controles que mitiguen el riesgo de que las amenazas aprovechen las
vulnerabilidades detectadas.
Para hacernos una
idea, los 114 controles de la norma ISO 27001:2013 se dividen en los siguientes
dominios y objetivos de control:
A.5 Políticas de
seguridad de la información
A.5.1. Dirección de la gestión de seguridad de la
informaciónA.6. Organización de la información de seguridad
A.6.1. Organización interna
A.6.2. Dispositivos móviles y teletrabajo
A.7. Seguridad de los Recursos Humanos
A.7.1. Antes del empleo
A.7.2. Durante el empleo
A.7.3. Finalización y cambio de empleo
A.8. Gestión de activos
A.8.1. Responsabilidad para con los activos
A.8.2. Clasificación de la información
A.8.3. Manejo de medios
A.9. Control de accesos
A.9.1. Requerimientos del negocio de control de accesos
A.9.2. Gestión de accesos de usuario
A.9.3. Responsabilidades de usuario
A.9.4. Control de accesos en sistemas y aplicaciones
A.10. Criptografía
A.10.1. Controles de criptografía
A.11. Seguridad física y ambiental
A.11.1. Áreas seguras
A.11.2. Equipos
A.12. Seguridad en las operaciones
A.12.1. Procesos y responsabilidades operativas
A.12.2. Protección de malware
A.12.3. Backup
A.12.4. Monitorización y logs
A.12.5. Control del software operativo
A.12.6. Gestión de vulnerabilidades técnicas
A.12.7. Consideraciones de auditoría en sistemas de información
A.13. Seguridad en las comunicaciones
A.13.1. Gestión de la seguridad en la red
A.13.2. Transferencia de información
A.14. Adquisición, desarrollo y mantenimiento de sistemas
A.14.1. Requisitos de seguridad de los sistemas de información
A.14.2. Seguridad en desarrollo y procesos de soporte
A.14.3. Testeo de datos
A.15. Relaciones con proveedores
A.15.1. Seguridad de la información en las relaciones con el proveedor
A.15.2. Gestión de la entrega de servicios del proveedor
A.16. Gestión de incidentes de seguridad de la información
A.16.1. Gestión de los incidentes y mejoras de seguridad de la información
A.17. Aspectos de seguridad de la información sobre gestión de la continuidad del negocio
A.17.1. Continuidad de la seguridad de la información
A.17.2. Redundancias
A.18. Cumplimiento
A.18.1. Cumplimiento con los requerimientos legales y contractuales
A.18.2. Opiniones de seguridad de la información
4.4.2. Estrategia
de Ciberseguridad Nacional en España
Se ha presentado la “Estrategia de Ciberseguridad Nacional
2013”. Seguramente no es la mejor de las estrategias, pero es la primera
estrategia a nivel nacional en España. Cualquier sistema de seguridad de la
información, a cualquier escala, debe basarse en la mejora continua. En
consecuencia lo importante no es la utopía de ser perfecto de entrada, sino la
capacidad de evolucionar en positivo a lo largo del tiempo. Al fin y al cabo,
el contexto, los diferentes actores y las amenazas, también variarán.
En cuanto a las líneas de acción, como no podía ser de otra
manera, cita también al sector privado: “Ampliar y fortalecer
las capacidades de detección y respuesta ante
ciber-ataques dirigidos contra objetivos de carácter nacional, regional
o sectorial, incluyendo a ciudadanos y empresas”
Concretamente la LÍNEA
DE ACCIÓN 5 (Seguridad y resiliencia de las TIC en el sector privado) “tiene como objeto la mejora de la seguridad
y la resiliencia de las redes, productos y servicios que emplea el sector
industrial en el desarrollo de su actividad reforzando la colaboración
público-privada con el sector industrial y en particular con el de la seguridad
TIC. Se valorará, entre otros, la participación de los Colegios y Asociaciones
profesionales.
- El Gobierno desarrollará, entre otras, las siguientes medidas: Impulsar la cooperación entre los sectores público y privado, promoviendo el intercambio de información sobre vulnerabilidades, ciberamenazas y sus posibles consecuencias, especialmente en lo relativo a la protección de los sistemas de interés nacional.
- Promover la cooperación con los sectores de la industria y los servicios de la ciberseguridad, con el fin de mejorar conjuntamente las capacidades de detección, prevención, respuesta y recuperación frente a los riesgos de seguridad del ciberespacio, impulsando la participación activa de los proveedores de servicios así como el desarrollo y adopción de códigos de conducta y buenas prácticas.
- Impulsar el desarrollo de estándares en ciberseguridad a través de los organismos y entidades de normalización y certificación nacionales e internacionales, y promover su adopción”.
De la LÍNEA DE ACCIÓN
6 (Conocimientos, Competencias e I+D+i), destacaría: “(…) Desarrollar un Marco de Conocimientos de Ciberseguridad en los ámbitos técnico,
operativo y jurídico (…)”.
El Presidente del Gobierno, en la introducción del documento Estrategia de Ciberseguridad Nacional 2013,
[4] cita
textualmente:
“El uso de las Tecnologías de
la Información y de la Comunicación se ha incorporado de forma general a la
vida cotidiana de nuestra nación. Este nuevo escenario facilita un
desarrollo sin precedentes en el intercambio de información y comunicaciones,
pero, al mismo tiempo, conlleva serios riesgos y amenazas que pueden afectar a
la Seguridad Nacional.
Varios son los factores que
contribuyen a la proliferación de acciones delictivas en el ciberespacio:
- La rentabilidad que ofrece su explotación en términos económicos, políticos o de otro tipo.
- La facilidad y el bajo coste de empleo de las herramientas utilizadas para la consecución de ataques.
- La facilidad de ocultación del atacante.
Hacen posible que estas
actividades se lleven a cabo de forma anónima y desde cualquier lugar del
mundo, con impactos transversales sobre los sectores público y privado y los
propios ciudadanos.
Los distintos perfiles de
atacantes que explotan las vulnerabilidades tecnológicas con el objeto de
recabar información, sustraer activos de gran valor y amenazar los servicios
básicos, pueden afectar al normal funcionamiento de nuestro país.
El disfrute pacífico de
ciertos derechos fundamentales consagrados en nuestra Constitución y en el
ordenamiento jurídico internacional puede verse seriamente comprometido como
consecuencia de este tipo de acciones.
Plenamente consciente de la
importancia de la cuestión y comprometido con el desarrollo de la Sociedad
Digital, el Consejo de Seguridad Nacional ha impulsado la elaboración de la
Estrategia de Ciberseguridad Nacional con el fin de dar respuesta al enorme desafío
que supone la preservación del ciberespacio de los riesgos y amenazas que se
ciernen sobre él.
La Estrategia de
Ciberseguridad Nacional se adopta al amparo y alineada con la Estrategia de
Seguridad Nacional de 2013, que contempla la ciberseguridad dentro de sus doce
ámbitos de actuación.
La aprobación del presente
documento de carácter estratégico pone de manifiesto las capacidades colectivas
y el compromiso de una nación que apuesta en firme por garantizar su seguridad
en el ciberespacio. Para España, los avances en el ámbito de la ciberseguridad contribuyen además aincrementar nuestro potencial económico, ya que promueven un entorno más seguro
para la inversión, la generación de empleo y la competitividad.
La Estrategia de
Ciberseguridad Nacional es el marco de referencia de un modelo integrado basado
en la implicación, coordinación y armonización de todos los actores y recursos
del Estado, en la colaboración público-privada, y en la participación de la
ciudadanía. Asimismo, dado el carácter transnacional de la ciberseguridad,
la cooperación con la Unión Europea
y con otros organismos de ámbito internacional o regional con competencias en
la materia, forma parte esencial de este modelo.
Para el logro de sus
objetivos, la Estrategia crea una estructura orgánica que se integra en el
marco del Sistema de Seguridad Nacional. Esta estructura servirá para articular
la acción única del Estado conforme a unos principios compartidos por los
actores concernidos y en un marco institucional adecuado.
Esta dependencia del
ciberespacio nos obliga a dedicar todos los medios necesarios a la hora de
poner nuestras capacidades al servicio de la ciberseguridad. El
entorno es dinámico y son muchas las incertidumbres y retos que afrontamos. Únicamente
si nos comprometemos de forma decidida con la seguridad del ciberespacio, la
competitividad de nuestra economía y la prosperidad de España serán una
realidad posible”.
5. BIBLIOGRAFÍA CONSULTADA
- Neelie Kroes (Vice-President of the
European Commission responsible for the Digital Agenda). “How to make Europe
the world's safest online environment”. 11 November 2013. European Commission.
- [1]
Grupo de protección de datos del artículo 29. “Dictamen 05/2012 sobre la computación en nube”. 1 de
Julio de 2012. WP196. 01037/12/ES. Dirección
General de Justicia de la Comisión
Europea.
- [2]
BOE número 295. “Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la
información pública y buen gobierno”. Martes 10 de diciembre de 2013. 12887.
- [3]
AEPD. “Vídeo de la comparecencia en el Congreso del director
de la AEPD para informar en relación con el Proyecto de Ley de transparencia”.
23 de enero de 2013. Congreso de los
Diputados.
- [4]
Gobierno de España. Presidencia del Gobierno. Departamento de Seguridad
Nacional. “Estrategia de
Ciberseguridad Nacional”. 5 de diciembre 2013. lamoncloa.gob.es
- INTECO. “Guía para la gestión de fuga de información”. 30 de mayo
de 2012. Ministerio de Industria,
Energía y Turismo.
- INTECO. “Guía para entidades locales: cómo ahorrar costes y
mejorar la productividad con Cloud Computing”. 3 de enero de 2013. Ministerio de Industria, Energía y Turismo.
- INTECO (CERT). “El puesto del operador – Guía básica de protección de
infraestructuras críticas”. 14 de noviembre de 2013. CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).
- [5] DPI. ISMS Forum Spain. “Reflexiones sobre el futuro de la
Privacidad en Europa – II Edición
del Estudio de la propuesta de Reglamento de Protección de Datos de la UE”.
Noviembre de 2013. Varios autores
coordinados por Francisco Javier Carbayo y Carlos Alberto Saiz.
- [6]
SENADO. X Legislatura. “Proyecto de Ley de transparencia, acceso a la información pública y
buen gobierno”. TEXTO REMITIDO POR EL CONGRESO DE LOS DIPUTADOS. 20 de
septiembre de 2013. Boletín Oficial de las Cortes Generales número 236.
Imágenes bajo licencia 123RF
internacional.
La presente obra y su título
están protegidos por el derecho de autor.
Las denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
José Luis
Colom Planas Posee un doble
perfil, jurídico y tecnológico, que le facilita el desempeño profesional en el
ámbito del derecho de las nuevas tecnologías: Ha realizado el postgrado de
Especialista Universitario en Protección de Datos y Privacidad en la Facultad
de Derecho de la Universidad de Murcia y ha cursado Ingeniería técnica de
Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación
Española de Graduados e Ingenieros Técnicos de Telecomunicación).Ha
superado el programa superior de especialización como Compliance Officer
(Controller jurídico) en la Escuela Legal WKE y ha estudiado “El delito de
blanqueo de capitales en nuestro Código Penal” en la UOC, en colaboración con
el Ilustre Colegio de Abogados de Barcelona (ICAB). Ha participado en la I
Jornada internacional sobre blanqueo de capitales organizada por la Escuela de
Postgrado; Facultad de Derecho de la UB.Es
consultor empresarial especializado en GRC (Governance, Risk and Compliance) en
GESCONSULTOR, con incidencia en cumplimiento normativo y regulatorio, privacidad y gestión de la seguridad de la
información. A partir de su dilatada
experiencia, edita el Blog temático “Aspectos Profesionales”.Dispone
de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum
Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la
Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO
27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para
prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha
obtenido la certificación internacional CISA (Certified Information Systems
Auditor) by ISACA (Information Systems Audit and Control Association). Dispone
de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL
Service Management by EXIN (Examination Institute for Information Science).
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.