Guía AEPD para la gestión y notificación de brechas, pero, ¿cómo detectarlas? – Parte 1

miércoles, 25 de julio de 2018

GDPR image

¿Confundido sobre qué medidas debes adoptar para detectar y notificar brechas de seguridad de tu organización y cumplir con el Reglamento General de Protección de Datos (RGPD)? El pasado 19 de junio la Agencia Española de Protección de Datos (AEPD) presentó la Guía para la gestión y notificación de brechas de seguridad junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE, con el objetivo de facilitar la interpretación del RGPD en lo relativo a la obligación de notificar las brechas de seguridad, ofrecer recomendaciones sobre la gestión, tratamiento y resolución de este tipo de incidentes, así como las medidas para su prevención, y ofrecer un plan de actuación para las organizaciones de cualquier tamaño que puedan estar afectados por brechas de seguridad de los datos. 

La AEPD indica que el primer paso en la gestión de brechas de seguridad es ser conscientes de que en todas las organizaciones se tienen incidentes de seguridad y, por tanto, se debe proceder a gestionar este tipo de incidentes en mayor o menor grado. Las políticas de seguridad de la información y protección de datos deben incluir una parte relativa a la gestión de brechas, con la consiguiente asignación de recursos humanos y medios materiales proporcionales a los tratamientos que se realizan. En definitiva, independientemente del tamaño y complejidad, las organizaciones deben tener claramente establecido cómo van a proceder ante una brecha de seguridad. Es recomendable, y en algunos casos obligatorio, que los responsables elaboren guías y planes de actuación, o los denominados “procedimientos de respuesta a incidentes”

Creemos que nuestros servicios de MDR (Detección y Respuesta Gestionada) y de Exposición Digital son el complemento perfecto a tu “procedimiento de respuesta a incidentes”, al ayudarte a comprender la exposición de tus activos a los riesgos digitales, y a identificar y responder de forma rápida y eficaz a posibles compromisos y brechas de seguridad, minimizando sus consecuencias e impacto sobre la propia organización y terceras partes implicadas. Veamos por qué.

Guía para la gestión y notificación de incidentes
La AEPD espera que esta “Guía para la gestión y notificación de brechas de seguridad” sea una ayuda para la gestión integral de las brechas de seguridad, elemento que debe entenderse como parte de su proactividad y no exclusivamente una forma de dar cumplimiento a la obligación de mantener un registro documental de las incidencias y las notificaciones. Aunque la guía incluye distintos apartados con indicaciones sobre el procedimiento de gestión de brechas de seguridad, vamos a centrar el análisis de la misma únicamente en los controles y medidas de seguridad descritos para la fase de Detección e Identificación (figura 1). Si careces de la capacidad de detectar los incidentes de seguridad, el resto de procesos no tendrían sentido. 

Proceso Gestión Incidentes image

Figura 1: Proceso Gestión de Incidentes – Detección e Identificación (Guía AEPD) 

Recordemos que, según el RGPD (1), en relación con la seguridad del tratamiento, se deben aplicar medidas técnicas y organizativas apropiadas, entre otras cosas, “teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza …” y con “la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”. También debe notificarse una brecha de seguridad sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella. 

Tal y como se indica en la guía de la AEPD, el proceso de detección debe funcionar de manera continua dentro de la operativa habitual de la organización, y se deberán concretar las herramientas, mecanismos de detección o sistemas de alerta con los que el responsable (bien por su cuenta, bien por cuenta de un encargado del tratamiento) va a contar para detectar un incidente, así como el análisis de la información que proporcionen dichas herramientas o sistemas de alerta. Estos mecanismos permitirán a la organización identificar una brecha de seguridad en caso de que se produzca. 

¿Qué herramientas emplear para detectar una brecha de seguridad?
En relación a estos mecanismos y componentes tecnológicos de detección, no encontrarás en esta guía de la AEPD - ni tampoco en la guía CCN-STIC-817 Gestión de Ciberincidentes del Centro Criptológico Nacional (CCN) – un gran nivel de concreción sobre qué herramientas exactamente debes implantar en tu negocio, más allá de la mención (sin ánimo de exhaustividad) de formas de detección basadas en lo que denominan fuentes internas (desde software antivirus hasta analizadores de logs (SIEM) y fuentes externas (comunicación de un tercero (proveedores de servicios informáticos, proveedores de servicios de internet o fabricantes de soluciones de seguridad), por un cliente o por notificaciones generadas por los distintos organismos públicos como el Instituto Nacional de Ciberseguridad (INCIBE), el Centro Criptológico Nacional (CCN), Fuerzas y Cuerpos de Seguridad del Estado). Si te encuentras actualmente en fase de búsqueda de alguna solución de seguridad y selección de fabricantes, y necesitas un mayor nivel de concreción, podría resultarte de interés esta otra guía de reciente publicación del Centro Criptológico Nacional, ya que en Junio 2018 actualizó la guía CCN-STIC-105 Catálogo de Productos de Seguridad de las Tecnologías de la Información y la Comunicación. Esta guía pretende ayudar a las entidades públicas del ámbito de aplicación del Esquema Nacional de Seguridad (ENS) al establecimiento de las capacidades de respuesta a ciberincidentes y su adecuado tratamiento. En su apartado 7 encontrarás distintos productos cualificados, pero el problema es que el plazo de inclusión y revisión de validez de dichas cualificaciones de producto es muy largo, pudiendo transcurrir más de un año (incluso 3) entre uno y otro. Salvo que se actualicen estas guías de referencia de la tecnología de forma continua, puede ocurrir que las soluciones tecnológicas que se incluyan no sean ya conformes al “estado de la técnica”. 

Estas guías de la AEPD y del CCN no incluyen los productos, servicios y capacidades de ciberinteligencia que en ElevenPaths entendemos constituyen hoy en día los pilares básicos que toda organización debe contemplar para detectar, responder y ser ciber-resiliente: las soluciones EDR (Endpoint Detection & Response), la inteligencia de amenazas, la recolección y analítica sobre el tráfico de red (Network Threat Analysis), así como la utilización de indicadores de compromiso (IoCs), técnicas de threat hunting, sistemas de Deception, o los sistemas de analítica avanzada (UEBA (User and Entity Behavior Analytics)), y Respuesta a Incidentes (CSIRT). Pero incluso algunas de las tecnologías de seguridad que consideramos ahora punteras, pueden quedar obsoletas dentro del próximo año. 

Las organizaciones deben por tanto evaluar continuamente y concretar “teniendo en cuenta el estado de la técnica” qué herramientas, mecanismos de detección o sistemas de alerta van a emplear, e incluso el coste de implantación y/o externalización de las mismas, ya que una solución que inicialmente parecía prohibitiva puede justificar los costes en comparación con el riesgo involucrado en una brecha de seguridad. Su “procedimiento de respuesta a incidentes” debería contemplar cómo se va a evaluar las distintas posibilidades que ofrece el mercado.

» Guía AEPD para la gestión y notificación de brechas, pero, ¿cómo detectarlas? – Parte 2

1: Arts. 25, 32.1 y 33 RGPD 

Pablo Alarcón Padellano
Responsable de Alianzas Estratégicas
pablo.alarcon@11paths.com 

No hay comentarios:

Publicar un comentario