Qué hemos presentado en Security Day 2017 (VI): La solución de Telefónica para el cumplimiento de RGPD

martes, 27 de junio de 2017

Durante el Security Day, ElevenPaths, la unidad de ciberseguridad de Telefónica, presentó la solución que ayuda al cumplimiento del nuevo reglamento de protección de datos que el 25 de mayo de 2018 entrará en vigor. En un artículo anterior describimos en detalle las novedades del reglamento, así como la norma completa.

Vídeo de la ponencia de David Prieto, Responsable Global de los Servicios de Seguridad Gestionada y Seguridad de Red de ElevenPaths, durante el Security Day:


El proceso de construcción de una solución de RGPD que cubra todas las coyunturas del articulado no es tarea fácil. Esto se deriva a dos razones: la complejidad y exigencia del propio reglamento y la necesidad de adecuarlo a la idiosincrasia de cada organización. Por esta razón, partimos del convencimiento de que no existe la poción mágica de Panoramix que nos otorgue una fuerza sobrenatural, sino que el cumplimiento normativo solo puede construirse mediante una detallada planificación, una ejecución comprometida y la selección justa y necesaria de los servicios de protección del dato y la seguridad.

En ElevenPaths, tras un concienzudo análisis de la norma, hemos concluido que lo más adecuado es un plan de entrenamiento en cuatro fases que nos conduzca en último término a poder llegar a la meta del RGPD.

Este modelo se inicia con un proceso de reconocimiento previo de las facultades internas sobre protección de datos para descubrir cuanto de lejos estamos de la forma física necesaria para terminar la maratón. Tras este análisis, se debe proceder a definir un plan de entrenamiento e implantar las herramientas que faciliten el seguimiento diario de este. A partir de este momento ya estamos listos para comenzar a entrenar las dos facultades necesarias para la carrera de RGPD: la privacidad y la seguridad.


Evaluación
Esta primera fase del proceso consiste en la comprensión de la norma y de cómo afecta de manera particular a la empresa. La primera tarea es inferir el gap regulatorio a partir de las medidas ya implantadas para la protección de datos.

Es imprescindible averiguar cuáles son los tratamientos de datos personales que se llevan a cabo en la organización y una vez conocidos los datos que se están procesando y cómo se realiza el procesamiento, podremos identificar:
  • Los incumplimientos respecto a la norma
  • Si existe la necesidad de elaborar una EIPD (Evaluación del Impacto en la Protección de los Datos Personales) para el tratamiento
  • Si existe la necesidad de contar con un DPD (Delegado de Protección de Datos Personales)
La consecuencia de esta evaluación será un plan de acción compuesto por las tareas necesarias para alcanzar un nivel de cumplimiento óptimo. El plan de acción nos facilitará la construcción de un caso de negocio, que sirva a la organización para estimar el coste de cumplir la norma, el cual ha de incluir, entre otras cosas, los recursos que se deben incorporar, la formación al personal y los servicios de protección y seguridad que se requiere contratar.

Puesto que RGPD presenta numerosas dificultades, colegimos que la mejor aproximación es contratar una asesoría experta que colabore con el DPD en el discernimiento de las necesidades inmediatas, de las de más largo plazo y, por último, a construir el plan de adecuación. De esta manera, es posible ahorrar costes de formación específica a personal interno y conseguir las máximas garantías de calidad.

De acuerdo a este principio, Telefónica ofrece un equipo experto de consultoría multidisciplinar para cumplimiento normativo a través de Govertis, que con la colaboración de las oficinas técnicas de Telefónica podrán garantizar que las organizaciones instauren y ejecuten la protección de datos de la manera más efectiva y adecuada a sus obligaciones particulares. Este equipo multidisciplinar incluye tanto consultores, técnicos expertos en la implantación de Sistemas de Gestión de la Seguridad y abogados especializados en TI con una gran experiencia en privacidad y protección de datos.

Gobernanza
Tras el análisis previo, el siguiente paso es definir e implantar los procesos necesarios para lograr el cumplimiento continuo de la norma.

El cumplimiento no puede ser una actividad puntual que se desarrolle dentro de una ventana de tiempo y que posteriormente se abandone. Debe formar parte de los procesos de la organización y ser tenido en cuenta desde la misma concepción del proceso productivo de la organización. Este concepto se conoce en el nuevo reglamento como protección de datos desde el diseño y por defecto. Además, el cumplimiento debe ser revisado periódicamente ya que las organizaciones no son entidades estáticas. Los objetivos de negocio cambian, cambian los procesos internos, las tecnologías utilizadas y también las personas implicadas. Además, los propios textos normativos están vivos y son modificados con regularidad.

Por lo tanto, la utilización de un sistema de gestión permite estructurar las actividades de cumplimiento y facilitar iteraciones sobre el mismo para implantar un plan de mejora continua y también evidenciar frente al regulador que se cumple el reglamento.

SandaS GRC es la plataforma de gestión del cumplimiento que permitirá desarrollar este sistema de gestión dentro de una secuencia iterable en las fases Plan, Do, Check y Act. Dentro de este esquema, la fase de Plan está alineada con la etapa de evaluación y, como hemos visto anteriormente, se trata de identificar el gap de cumplimiento para planificar las actividades de adecuación dentro.

Ese plan de acción se ejecuta en la fase de Do. El registro de actividades del tratamiento se obtendrá directamente desde SandaS GRC con toda la información registrada en la fase de Plan. Además, en esta fase se elaborarán y aprobarán los procedimientos pertinentes y se implantarán las medidas de seguridad planificadas incluyendo, entre otros, los servicios de monitorización de seguridad para identificar las brechas de seguridad.

Regularmente, y aunque la nueva norma ya no prescribe una periodicidad mínima para las auditorías de cumplimiento, convendrá comprobar si los controles (medidas de seguridad implementadas) siguen en vigor y su nivel de efectividad. También este será el momento de comprobar si ha habido cambios significativos en la organización que hayan quedado fuera de la huella del cumplimiento (nuevos servicios, nuevas sedes, nuevos procesos, etcétera).

SandaS GRC ofrece un módulo de evaluación del cumplimiento que facilita la fase de Check de cada control de la norma a cualquier nivel (global a la organización, para un conjunto de tratamientos o para un tratamiento individual). También permite seleccionar un conjunto de controles y enviar un formulario de evaluación a la persona que encargada de responder. Como resultado de estos controles periódicos obtenemos:
  • Una actualización del nivel de cumplimiento
  • Un plan de mejora
En la última fase Act, ejecutamos el plan de mejora prescrito en la fase anterior de Check.

Para conseguir una mejora continua del sistema de gestión, este ciclo se ha de repetir, normalmente con una periodicidad anual, aunque dependerá de las circunstancias particulares de cada organización.


Privacidad
Esta fase conlleva la implantación de procesos y servicios que permitan a la organización garantizar la legitimidad del proceso y los derechos del ciudadano (acceso, migración y olvido) y cumplir con lo que se conoce como seguridad del proceso, que se corresponde con la confidencialidad de los datos de los ciudadanos.

Está íntimamente ligada con el desarrollo de la EIPD acometido en la fase de evaluación, puesto que los tratamientos de datos de carácter personal identificados en esa fase previa deben ser supervisados en este momento para garantizar que, en ningún momento, los datos de carácter personal sean utilizados para algo que no se haya explícitamente informado al ciudadano. Es lo que se conoce como legitimidad del proceso.

Por tanto, es necesario implantar unas medidas de vigilancia tanto de los procesos como sobre los datos para detectar posibles deficiencias del propio proceso, descubrir otros tratamientos que no han sido previamente identificados o incluso actuaciones que por despiste o mala fe impliquen una utilización de los datos más allá del conocimiento del DPO y no contemplados por el EIPD. En detalle, estas medidas incluyen el descubrimiento, para identificar datos personales que han escapado del proceso de análisis y el posible proceso asociado, o tratamientos no autorizados para datos ya registrados (Data Discovery), y también la trazabilidad para conocer en todo momento donde se está almacenando la información (Data Traceability) para que en el momento que el ciudadano solicite ejercer sus derechos sobre los datos, la organización pueda proporcionarlos sin dilación alguna.

Para dar solución a esta problemática, Telefónica incluye en su portafolio el servicio de Data Management, el cual permite la recolección y almacenaje en una plataforma centralizada de cualquier tipo de eventos generados por dispositivos finales, sistemas de TI, equipamiento de seguridad o aplicaciones. Con el servicio de Data Management, puesto que incluye funcionalidades de correlación y un motor de creación de indicadores, se facilita la visibilidad, trazabilidad y control sobre los datos personales involucrados en los procesos de la organización. Este servicio se integra con SandaS GRC para poder hacer un seguimiento con datos reales y de cómo se están aplicando las políticas de cumplimiento.

Así, a partir de la información generada por los sistemas de información donde tienen lugar los tratamientos de datos, Data Management da respuesta a preguntas como: ¿qué datos personales tengo en mis sistemas?, ¿dónde se encuentran?, ¿quién es el responsable?, ¿cómo se utilizan? En definitiva, detectar usos incorrectos, información redundante o fuera del sistema de cumplimiento.

En segundo lugar, la norma también determina que las organizaciones deben implementar las medidas técnicas y organizativas para asegurar un apropiado nivel de seguridad de acuerdo con el riesgo, y entre las cuales se incluye: la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Estas medidas comprenden una amplia gama de situaciones, por lo que una vez más vemos la necesidad imperiosa de realizar una adecuada evaluación (EIPD si se dan las circunstancias de que así se requiera) de las condiciones de la empresa para así concluir cuales son las medidas apropiadas según el riesgo. Telefónica ofrece servicios muy variados en su portafolio para cubrir la mayor parte de estas medidas, desde seguridad en la red, protección de entornos y aplicaciones en la nube y datacenters, hasta protección del puesto de trabajo, servicios de cifrado de correo electrónico o Data Loss protection. El procedimiento adecuado es identificar en la fase de análisis cuales son las medidas necesarias de acuerdo al riesgo y la idiosincrasia de la empresa y después buscar la solución del mercado que mejor se adecúe.

Seguridad
Uno de los aspectos novedosos de la norma es el tratamiento de las brechas y filtraciones de datos de carácter personal, los cuales deben de ser notificados en unos plazos extremadamente cortos tanto al regulador como al ciudadano. Esta fase está íntimamente relacionada con el análisis de riesgos realizado en la fase de assessment el cual determina las medidas de seguridad adecuadas. De acuerdo al tipo de datos que la organización maneje, su volumen, el riesgo de ser un blanco de ataques las medidas de protección son diferentes, desde las más básicas hasta sistemas avanzados basados en big data o machine learning. Se debe entender que el reglamento no especifica si se ha de instalar un cortafuego o un SIEM, sino que las medidas deben estar de acuerdo a la Evaluación de Impacto relativa a la Protección de Datos (EIPD) realizado.

Telefónica cuenta con una amplia experiencia en esta área de prevención, detección de brechas y monitorización continua y por tanto dispone de una serie de servicios que se adecúan a las posibles necesidades identificadas en la fase de evaluación.

Por un lado, ofrece un conjunto de servicios de ciberseguridad, entre los cuales se incluyen los sistemas de prevención –como auditorias de seguridad y análisis de vulnerabilidades de infraestructuras o aplicaciones–, así como los sistemas detección avanzada, el control de la cadena de proveedores y el análisis continuo del ciberespacio para detectar filtraciones de datos.

Y por otro lado, los servicios de seguridad gestionada, para la monitorización y notificación inmediata de incidentes de seguridad, soportados mediante la plataforma SandaS y operados por los SOCs de Telefónica, y de los cuales es posible encontrar información adicional en el siguiente enlace.

*También te puede interesar:




Juan Antonio Gil Belles 
Jefe de producto en Riesgo y Cumplimiento

Francisco Oteiza Lacalle 
Jefe de producto en Seguridad Gestionada 

David Prieto Marqués 
Gerente de Seguridad Gestionada y Seguridad en red 

No hay comentarios:

Publicar un comentario