Madrid > Blog

 ‭(Hidden)‬ Admin Links

Día Europeo de Protección de Datos: ISACA Madrid saluda una nueva era en aseguramiento del derecho fundamental

El 25 de mayo entra en plena aplicación el Reglamento General de Protección de Datos, que conlleva un salto paradigmático en el aseguramiento del derecho fundamental a la protección de datos personales de todos los residentes en la Unión Europea.

Derecho fundamental que queda reflejado en la Constitución Española y que entronca con la Declaración Universal de los Derechos Humanos y también establecido en la Carta de los Derechos Fundamentales de la Unión Europea; Derecho que conviene recordar que salvaguarda el honor y la intimidad personal y familiar de los ciudadanos, entre otros derechos fundamentales, y el pleno ejercicio de los mismos.

La Unión Europea se ha dotado de un nuevo instrumento que potencia la libertad de los ciudadanos a la vez que permite una mayor eficiencia empresarial y la libre circulación de los datos, aplicando una visión moderna basada en la responsabilidad y el rendimiento de cuentas, con un enfoque de eficiencia de recursos. Todas las organizaciones que oferten bienes o servicios a residentes en la Unión, radiquen en ella o en cualquier parte del mundo, deben cumplir con la normativa, directamente aplicable en los mismos términos.

El Reglamento conllevará una transformación radical en la forma de abordar la protección del derecho fundamental, que transmuta de una protección formal, reactiva y prescriptiva a una protección basada en la prevención, proactividad y en medidas eficaces y equilibradas con los riesgos que puedan afectar a los derechos de las persona, lo que va a exigir una gestión continua de la protección de datos en las organizaciones.

Ante esta situación ganar-ganar, donde ganan las personas en un entorno de mayor transparencia y mejor capacidad de decisión sobre cómo se emplearán sus datos, y donde las organizaciones podrán desplegar un comportamiento ético y comprometido, y con mejores capacidades de provisión de bienes y servicios, y con motivo de la celebración del Día Europeo de la Protección de Datos, ISACA Madrid hace un llamamiento al tejido empresarial, sector público y tercer sector a que abracen con intensidad la transformación, planteándose el reto que todo cambio comporta como una oportunidad de progreso, y que avancen a toda velocidad hacia el pleno cumplimiento, que legalmente deberán haber alcanzado para el 25 de mayo. Han de ser conscientes de sus deberes y responsabilidades, tareas que conllevarán un coste y no son banales, y que en todo caso forman parte de sus obligaciones éticas y sociales con para todos sus grupos de interés. Tratar con cariño y cuidado los datos de los clientes, empleados, proveedores, colegas, y demás personas de sus grupos de interés debe ser una prioridad máxima de los órganos de gobierno y parte integral de su responsabilidad social organizativa.

ISACA Madrid propone, en el marco de este día, reconocer una nueva figura, presente pero no enfocada: Responsable de Protección de Datos. Si bien el Reglamento se focaliza en el/la Delegado/a de Protección de Datos, garante de supervisar el cumplimiento, mucha mayor actividad será necesaria para desplegar y operar las medias técnicas y organizativas de cumplimiento y protección. En este binomio, es dicho/a Responsable de Protección de Datos quien “hace” y dicho/a Delegado de Protección de Datos quien supervisa.

ISACA Madrid también hace un llamamiento a la profesionalidad de los expertos en protección de datos, provengan de estudios de derecho o de tecnología, sean expertos en procesos, o en tecnologías de la información y comunicación, o profesionales de control o auditoría, para desarrollar un trabajo multidisciplinar y en equipo que permita efectuar la transformación y mantener operativa la nueva forma de abordar la protección de los datos personales. La labor a efectuar ya es lo suficientemente ingente como para dificultarla con intoxicaciones, desavenencias y conflictos sobre competencia o intrusismo. La realidad, y el Reglamento, es muy clara, tanto para las labores de los Responsables como las de los Delegados de Protección de Datos- se deben tener las competencias, conocimientos y experiencia requeridos pero en ningún caso es necesaria ni exigible una titulación concreta.

En el salto de paradigma tendrán que contribuir todos los expertos involucrados, cada uno aportando sus conocimientos especializados, para la construcción del nuevo marco a emplear, transformando la cultura existente y los procesos de la organización. Ciertamente muchas organizaciones están obligadas a designar un Delegado, sea interno o externo, pero todas deberán contar con un Responsable de Protección de Datos, aunque no sea un requisito una designación formal.

ISACA apuesta de forma estratégica por la formación de profesionales, sean miembros o no de ISACA, y partan de titulación/formación legal o técnica, en la protección de datos personales. A tal efecto propone un curso especializado de formación, que permita dirigir y efectuar las labores de transformación y liderar la protección o supervisión del cumplimiento con el Reglamento, y que les permita fortalecerse con los conocimientos especializados del Derecho y la Tecnología necesarios para superar con éxito pruebas de certificación oficiales. Se puede consultar información detallada de la oferta formativa AQUÍ.

ISACA declara que su formación es neutra en cuanto a organización donde los profesionales puedan decidir certificarse, si bien sus cursos están diseñados para cubren el temario del esquema de la Agencia Española de Protección de Datos.

Opinion de ISACA Madrid acerca del Anteproyecto de la Ley sobre Seguridad de las Redes y Sistemas de Información

Este documento recoge los comentarios de ISACA Madrid al borrador de anteproyecto de Ley sobre seguridad de las redes y sistemas de información (en adelante, borrador NIS) de 29 de noviembre de 2017 respondiendo a la audiencia pública de acuerdo al artículo 26.6 de la Ley 50/1997.

Los comentarios de ISACA Madrid responden al interés de ésta, como asociación de profesionales más representativa del sector, al contar con más de 1.100 profesionales del mundo de la auditoría de sistemas, gestión de la ciberseguridad, gestión de riesgos tecnológicos y gobierno de las tecnologías de la información y las comunicaciones. ISACA Madrid colabora frecuentemente con la SESIAD en las iniciativas en las que requiere la participación del sector privado, como el Foro Nacional de Confianza Digital o en actividades, eventos y otras colaboraciones con organismos como INCIBE o CNPIC.

Adicionalmente, a nivel internacional, ISACA Madrid forma parte de la asociación global, ISACA, que cuenta con más de 160.000 asociados en más de 90 países, organizados mediante más de 200 capítulos.

ISACA Madrid está firmemente convencida de la necesidad de mejorar la seguridad de las redes y sistemas de información utilizando como base un adecuado marco de gobierno de la misma, basado en profesionales adecuadamente formados y preparados para la ejecución de las funciones relevantes en esta materia. Y, en este mismo sentido están enfocados los comentarios recogidos a continuación al borrador NIS.

NOTA: A lo largo de este documento haremos referencia al término “redes y sistemas de información” por el acrónimo TIC correspondiente a “tecnologías de la información y las comunicaciones” para simplificar el texto.

Por otra parte, los tipos de comentarios pueden ser editoriales – ed (hacen referencia a la forma más que al contenido), de contenido – cont (están orientados al sentido de lo recogido en el texto) o sugerencias – sug (no hacen referencia a ningún aspecto concreto del texto, pero suponen un aspecto interesante a ser analizado para su inclusión en el mismo).

Leer documento.

Los retos y cambios del nuevo Reglamento General de Protección de Datos
 
El próximo mes de mayo el Reglamento General de Protección de Datos será de obligado cumplimiento. Ante los retos y cambios que la aplicación de este reglamento supone para los profesionales del sector, ISACA Madrid Chapter ha iniciado un ciclo de un encuentros bajo el lema DPDs @ ISACA con expertos, en la que asociados y profesionales en general plantearon las dudas y cuestiones que hay que resolver cuando estamos a pocos meses de la total implantación de la nueva normativa.

El debate, celebrado el jueves 30 de noviembre, fue presentado por el presidente de ISACA en Madrid, Ricardo Barrasa, y moderado por Carlos Bachmaier, director académico del curso DPD (Delegado de Protección de Datos), labor que comparte con Ruth Benito, Of Counsel del despacho Elzaburu y especializada en protección de datos. Les acompañaban en la mesa Cristina Sirera, Data Protection Officer (DPO) en Colt, y Andrés Calvo, experto en materia de legislación en protección de datos en la Administración.

Los DPOs y su Responsabilidad proactiva
En el debate se pusieron sobre la mesa aspectos que afectan al día a día de los delegados y garantes de la protección de datos, como el de la Responsabilidad proactiva, y los mecanismos y acciones de los DPOs encaminados a ejercer dicha responsabilidad. Así, Ruth Benito habló de la importancia de ser “muy escrupulosos para prever y confirmar que se hace todo lo posible para proteger la información. Cualquier dato (edad, sexo, enfermedades, etc) de cualquier persona que trascienda, puede dar lugar a una situación de discriminación”.

El experto en la materia Andrés Calvo, insistió en que la responsabilidad de cualquier DPO comienza por practicar auditorías, porque es el único mecanismo para saber si los resultados del trabajo realizado son óptimos, y Carlos Bachmaier habló del concepto “revisiones”. “Con ellas puedes confirmar o demostrar que los mecanismos que aplicas están funcionando”.

Cristina Sirera apuntilló que “es interesante que ese control lo realicen auditores externos, porque así nos aseguramos que no nos hacemos un “traje a medida”. Corremos el riesgo de que luego, la autoridad competente, no esté de acuerdo con cómo se ha realizado la medición del riesgo en mi empresa”.  Ese riesgo de que exista un incidente o una fuga de datos hay que atajarlo desde todos los frentes; “hay que proteger los datos de los propios dueños de los mismos (particulares, trabajadores, proveedores), no solo de los dueños de las empresas o de los negocios”.

Los datos, el contexto y el uso que se les dé 
Igual que hay que protegerlos ante cualquiera, hay que proteger cualquier dato. Así, Sirera explicó que “todos tienen suma importancia, porque por muy banal o sencillo que sea, según en el contexto en el que se mire, puede convertirse de inmediato en un dato sensible”.
La mesa puso en común algún ejemplo de este riesgo de conversión de datos sencillos en sensibles. “El caso de cualquier trabajador de una gran empresa que se va a otra, y le preguntan cuál es la razón de su marcha. Para la empresa puede ser una manera de estudiar las razones de sus fugas de talento, pero si esa información trasciende, ese trabajador puede encontrarse con problemas en otra empresa”.

En este sentido Ruth Benito puso un ejemplo más clarificador “según lo que cualquiera contemos en las redes sociales (datos sobre un enfermedad, por ejemplo) se nos puede negar la contratación de un seguro. Debemos ser muy conscientes de los perjuicios que tiene para una persona que se tenga acceso a sus datos y, a la hora de determinar cuál es un dato personal y cuál no, aplicar la debida flexibilidad”.
“Se corre el riesgo –continuó- de que cualquier dato automatizado, termine convertido en un dato personal” Y lo ilustró con el ejemplo de “la IP, que podríamos pensar que no es un dato personal porque lo que identifica es una máquina, pero si lo vinculas con  un log de sesión te puede identificar como persona física””, explicó Ruth.

Cualquier dato, objeto de protección
El reglamento nos ayuda y nos dice que los datos que ayudan a identificarte claramente, son identificadores. Y eso ocurre ya de entrada si son objetos de un tratamiento, (por ejemplo la simple acumulación lo es)  dependiendo de para qué se van a utilizar, o a qué actividad se dedica la entidad que ha realizado esa acumulación.  Un número de empleado no es, por sí solo, un dato personal, pero sí lo es si se asocia a un nombre, a un número de seguridad social, o a cualquier otro dato  con el que se reconoce claramente al trabajador. “Una solución es disociar y encriptar los datos por separado”. 

Y es que el nuevo Reglamento cambia sustancialmente el alcance de lo que se va a considerar datos protegidos. Cristina recordó que “los datos de contacto de la tarjeta de visita se incluyen como protegibles con la nueva reglamentación”. También los datos profesionales se incluyen en la protección, porque se pueden tratar y utilizar de forma que sean tan dañinos para una persona como los personales. “Los datos necesarios para enviar la cesta de Navidad de la empresa son personales… y se entiende que no siempre se facilitan libremente” indicaron los expertos.

Hay muchos más ejemplos que plantearán dudas y retos con el nuevo reglamento. Los datos biométricos, como la huella digital, según Andrés… “ya es protegible, porque con ella se pueden tratar más datos. La firma biométrica puede tratarse igual que una firma sobre el papel, permitir una serie de estudios y obtener datos más profundos y capaces de identificar a cualquiera”.

El concepto de interés legítimo
La protección de datos es un derecho fundamental que surge tras lo ocurrido en la Segunda Guerra Mundial. El exhaustivo censo alemán existente facilitó la identificación religiosa de cualquier ciudadano, y los que fueron masacrados eran marcados e identificados mediante un número tatuado en el brazo. “Estos hechos determinaron que Alemania haya sido precursor y motor en materia de legislación de este derecho”, explicó Carlos.

El concepto de Interés legítimo es el que muchas empresas pueden esgrimir a la hora de obtener, acumular y tratar los datos protegibles. Los profesionales sostienen que se puede hacer de todo, en aras de este interés, pero siempre que se haga bien. Aunque está claro a nadie le van a decir “dame tus datos, que te voy a extorsionar”.

Por esa razón, Bachmaier habló de las causas legitimadoras a la hora de obtener, almacenar y tratar los datos.  “Hay que demostrar que una empresa los trata para trabajar, no para regalarlos por ahí. Por eso debe positivar el mensaje, no solo por legitimidad, también para que se genere confianza. Que podamos decir -tenemos tus datos y te contamos de entrada qué hacemos con ellos-”.

La nueva legislación es muy garantista y dice qué es lo que se puede hacer o no. Está claro, por ejemplo, que no se pueden cambiar datos por dinero, que se pueden tratar si son de interés legítimo, no si  puedes obtener ese interés por otra vía menos invasiva, si cuentas con el conocimiento consentido, si no atenta contra algún derecho fundamental o no entran en juego otros derechos… y si aun así hay dudas, se deben aplicar garantías adicionales.

Consentimiento informado, no solo tácito
En relación con los tratamientos basados en el consentimiento del interesado, “Si éste te dice que no puedes usar sus datos, desde ese instante NO LOS PUEDES USAR”. Además el consentimiento tácito, tan utilizado hasta ahora, ya no sirve. El consentimiento que se debe recabar ha de ser informado, libre, inequívoco, individualizado y que incorpore una acción en sentido positivo de la persona para darlo”.

Así, con el nuevo Reglamento de Protección de Datos en vigor,  que ahora es aplicable pero no exigible, hasta el próximo 25 de mayo, desaparecerá la famosa casilla premarcada de todas las páginas web. “Se va a poder denunciar y pedir las consiguientes indemnizaciones”, aclara Cristina Sirera.

Aplicar las necesarias medidas de seguridad
A los profesionales del sector (o a la empresa para la que trabajan)  les puede caer una multa por no haber impuesto las debidas medidas de seguridad y que finalmente surja un incidente. Entre negligencia e incidente hay un margen que se cubre con la diligencia.

Desde ISACA se recomienda una base de buenas prácticas para no pillarse los dedos. “Se aplican las medidas de seguridad, empezando por lo básico para cumplir la normativa, y se van ajustando para cada uno de los niveles de riesgo. “Si no puedes proteger un dato ¿para qué sigues recogiéndolo?”.Cristina Sirera lo explicó así: “si no sigues escrupulosamente los códigos de conducta que nuestras certificaciones nos indican que debemos seguir, nos ganaremos una multa”.
Tampoco se podrán tratar los datos con cualquier logaritmo, y si van a servir para obtener hasta el más ínfimo perfilado, como saber horarios de mayor consumo o gasto, por ejemplo, en un servicio energético. Los datos que recogemos para ofrecer un servicio no deben ser utilizados para otro servicio distinto o adicional, sin pedir el debido consentimiento.
Ante cualquier crisis, ataque o brecha, “hay que comunicarlo debidamente para que las personas afectadas puedan actuar en consecuencia y se puedan paliar los efectos del incidente, -explicó Carlos Bachmaier- porque va a ser peor no decirlo que decirlo”. Desde la Agencia Española de Protección de datos se recomienda declarar cualquier brecha, porque reconocerla puede significar una multa o puede que no. Sin embargo, no hacerlo va a  acabar en una infracción segura.

Los DPOs van a poder consultar estas y todas las dudas que surjan ante la implantación de la nueva legislación en el Canal de Atención al responsable de Agencia Española de Protección de Datos, donde sus recomendaciones no serán vinculantes, pero sí que tratarán de responder aquellas cuestiones técnicas que se les planteen.
 
La próxima cita de DPDs @ ISACA será el 18 de enero de 2018. +info
Resumen CiberTodos 2017

Cibertodos 2017, un éxito en todos los sentidos

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) celebra este mes de octubre el CyberSecMonth. Se trata de una campaña de concienciación anual, en la que ISACA Madrid ha participado con la conferencia ”Cibertodos”

En esta ocasión la temática central de la jornada ha sido "La gestión integral de crisis", inspirada por la situación vivida durante la propagación masiva en mayo del virus Wannacry, y otros ciberataques de 2017.

 

La conferencia ha resultado un éxito de asistencia ya que se han batido récords con respecto a ediciones anteriores, y también ha estado en los primeros puestos de audiencia en Twitter. Ha habido momentos en que el hashtag #CiberTodos estaba entre los puestos tercero y quinto.

 

A lo largo de la jornada se han celebrado distintas mesas de debate en las que los expertos nos han trasladado sus experiencias, y nos han ofrecido sus recomendaciones para mitigar el impacto de los incidentes de ciberseguridad.

 

Gestión de Crisis

Las ideas que se trasladan en esta mesa son la importancia de la clasificación de los incidentes, el control adecuado de su comunicación, la relevancia de la compartición de información entre los distintos actores, el valor de recoger las lecciones aprendidas, la ausencia de los fabricantes como actores en el plan de gestión de crisis, el papel fundamental que desempeña el CISO, y la falta de capacidades en la pequeña y mediana empresa.

 

Persecución del delito

En este debate compuesto por representantes de la Fiscalía, la Policía y la Judicatura se analiza la gestión de incidentes desde el punto de vista legal y operativo. La representante de la Policía expone su experiencia en el análisis forense y la preparación de informes periciales. Desde la Fiscalía se resume, de forma muy brillante, las aportaciones de la reforma legal del año 2015 sobre delitos informáticos y cómo investigarlos. Y desde la Judicatura se subraya que la ley sólo autoriza investigar con medios tecnológicos en caso de delito a los jueces, los fiscales y las fuerzas del orden. Ningún otro ciudadano, como pueden ser los periodistas, informáticos, empresarios, o detectives pueden hacerlo sin consentimiento del sujeto.

 

Seguimiento forense del incidente

El grupo de expertos de esta mesa, por una parte, examinan los conceptos de informática forense como el indicio, la prueba, la evidencia y la cadena de custodia; y por otro se pone en evidencia la necesidad de emplear testigos validados en la adquisición de evidencias cuando la tecnología u otras circunstancias no lo permiten. Además, se manifiesta la importancia de emplear métodos automatizados con herramientas adecuadas y actualizadas.

 

Comunicación y control de daños

Esta mesa redonda compuesta por representantes del periodismo y empresas de comunicación (a parte del CISO de Bankia) es quizás la que más polémica ha suscitado. Se defiende la necesidad de transparencia en la comunicación de crisis; pero al mismo tiempo se encuentran dificultades en obtener datos fiables y a tiempo.

 

Ciberseguros

A modo de colofón de la jornada, se aborda el tema de los ciberseguros como ayuda en la mitigación del impacto de los incidentes; y en este sentido se aclara que no es una solución ni una medida preventiva, sino un apoyo. Se enumeran las posibles coberturas de las pólizas, entre las que destacan: gastos de abogados, perjuicio financiero, sanciones por incumplimiento de normativa, daño de sistemas informáticos, gastos de consultores, y peritos. Por último, se insiste en el peso del análisis de riesgos, los cuestionarios de autoevaluación, y las entrevistas con los implicados en el cálculo de la póliza.

 

Ana Mª González Monzón

CISA – ISACA Madrid Chapter

 

Puedes leer la crónica completa de #CiberTodos 2017 aquí.

Opinión de ISACA Madrid acerca del Esquema de Certificación AEPD-DPD
El pasado 13 de julio, la Agencia Española de Protección de Datos (AEPD), junto a Entidad Nacional de Acreditación (ENAC) presentó el Esquema de Certificación de Delegados de Protección de Datos (AEPD-DPD). En el desarrollo de este esquema, se han tenido muy en cuenta varios aspectos de las certificaciones de ISACA, en especial CISA, CISM y CRISC, y  también en la operativa de su mantenimiento.
 
No obstante, consideramos que existe espacio para mejoras.
 
La evaluacion de las candidaturas debe seguir un criterio pre-establecido para que todas entidades de certificacion produzcan resultados homogeneos. Este aspecto puede requerir algún avance de detalle definiendo un protocolo preciso. Sin embargo, el asunto de los exámenes esta inmaduro. ¿Quien define el examen - preguntas y respuestas, y respuesta válida? ¿Cómo se garantiza una cierta razonable equiparacion de "dureza" de cada examen entre diversas entidades de certificacion? ¿se va a emplear el mismo examen convocatoria tras convocatoria? ¿como se "curan" las preguntas - por ajuste estadístico? Este sentido, parece que debiera haber una "autoridad central" que se ocupara de la creación de un pool de preguntas y respuestas, y de su mantenimiento (curación de preguntas, actualización, creación de nuevas, bajas), preparación de material de entrenamiento (examenes simulados pero de contenido aprobado no inventado por las entidades de certificación). Una vez resuelto este asunto, las entidades de certificación se limitarían a aplicar el examen y verificar (automáticamente) los resultados junto con la
revisión del material de solicitud, así como el mantenimiento de la certificación  (fundamentalmente, formación continua).
En conclusión, se sugiere que la gestión del material de examen sea efectuada por la AEPD, tal vez subcontratando los servicios de una
organización competente. Y que los exámenes no sean repetitivos.

El esquema V1.0 identifica Entidades de Formación AUTORIZADAS (página 6) como Entidades (de formación) RECONOCIDAS (pagina 13 por ejemplo). Es poco claro si unas y otras son lo mismo, pero parece no serlo. A tenor de lo indicado por el esquema, las primeras (de las que solo se habla en la página 6) requerirían una autorización por la AEPD, mientras que las segundas serían universidades, colegios profesionales, asociaciones profesionales o instituciones equivalentes, reguladas por una administración pública. Es poco clara dicha sentencia, ya que ¿podría ser ISACA Madrid una Entidad Reconocida o solo aquellas reguladas por una administración publica?
Por otra parte, ¿Cómo se alcanza el estatus de Entidad Reconocida?
Finalmente, no queda claro si las entidades de certificación pueden ser entidades de formación. Esto conllevaría una clara confusión y conflictos de interés, debiéndose indicar que las entidades de certificación no pueden ser entidades de formación (ni pueden ser del mismo grupo empresarial).

En conclusión, se sugiere a) si son lo mismo, emplear la misma designación, y trasladar el
párrafo de la página 13 sobre entidades reconocidas a la página 6, y ajustar la misma designación en todo el esquema b) clarificar si solo entidades reguladas por administración publica pueden ser entidades de formación o no
c) delimitar que las entidades de certificación no pueden ser entidades de formación

- El porcentaje de valoración en examen y temario del Dominio 1 parece sobrevalorado. Se puede argumentar si un DPD tiene mayores desafíos en a parte formal/legal o en la práctica/seguridad, pero el Dominio 2 cuanto menos debiera tener al menos la misma ponderación que el Dominio 1. De hecho, el Dominio 1 forma un corpus esencial antes de la
puesta en marcha de un tratamiento, siendo más secundario durante el mismo, mientras que la duración del primero puede ser unos meses la
del segundo es típicamente unos años. ISACA considera que un balance adecuado es Dominio 1 35%, Dominio 2 45%. Este es un aspecto
delicadísimo, ya que el actual Esquema da primacía al conocimiento base de colectivos determinados por encima de otros colectivos, que, a juicio de ISACA, están más preparados para afrontar esta responsabilidad pluridisciplinar. En caso de tener que llegar a una solución salomónica, habría que considerar en dar un 40% al Dominio 1 y otro tanto al Dominio 2, pero un 50% al Dominio 1 parece una decisión arbitraria y lesiva para un numeroso colectivo.
Opinión de ISACA Madrid acerca del ataque "WannaCry"
Se ha escrito mucho [y mucho más se va a escribir] sobre el incidente del pasado 12 de mayo, más conocido por WannaCry (ya sabéis, Quiero-Llorar). En este caso desde ISACA Madrid no querríamos “aburrir” a nadie con un montón de lugares comunes y de reflexiones rápidas y sin mucho fundamento [llevamos ADN de auditores y eso no se nos está permitido], pero es nuestra responsabilidad no dejar pasar este incidente para resaltar aquellos aspectos que nos parecen más relevantes, como lecciones que debemos aprender, en lugar de seguir llorando:
  • Toda organización (si habéis leído bien, toda) debe hacerse una pregunta: ¿Qué voy a hacer cuándo sea atacada o sufra un incidente de ciberseguridad? Esta pregunta, a su vez, tiene varios componentes: ¿Qué capacidad de resistencia al ataque tengo? ¿Con qué rapidez podré detectar que estoy siendo atacada? ¿Dispongo de mecanismos para dar una respuesta rápida? ¿He establecido mecanismos para aprender de los incidentes que sufra?
  • El hecho de sufrir un incidente no debería ser noticia (hasta el más maniático con sus hábitos de limpieza puede sufrir una infección). Ya sabemos que, desde el punto de vista de los medios de comunicación, puede ser relevante, pero desde luego, nosotras, como profesionales no podemos caer en la tentación y asumir que todo el mundo puede “infectarse”. Lo que, a cambio, sí debería ser noticia sería nuestra incapacidad para responder [ojo, el intercambio no es trivial]
  • La implementación de medidas adecuadas de protección y recuperación no es responsabilidad de ningún área técnica, es responsabilidad de los propietarios/accionistas y de los órganos de dirección… igual que se involucran en la toma de decisiones sobre la tesorería, la gestión de stocks, o la estrategia comercial, deben [repito, deben] implicarse en la toma de decisiones en esta materia… y si no se encuentran preparados, aquí les dejamos un documento muy sencillo para empezar…”Ciberseguridad: Lo que el Consejo de Administración Necesita Preguntar” <https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Cybersecurity-What-the-Board-of-Directors-Needs-to-Ask.aspx>
  • Los controles diseñados son para ser implantados y debe vigilarse su efectividad. Tener controles y procedimientos y no aplicarlos sistemáticamente es inaceptable para un auditor de sistemas. Esa debilidad trae estas consecuencias.
  • Y por último, y no por ello menos importante, este incidente debe hacernos reflexionar sobre nuestro grado de dependencia y vulnerabilidad de las tecnologías de la información. Para lograr el objetivo que llevamos en el lema de ISACA: “Sistemas valiosos y fiables”, hace falta que las organizaciones presten atención, se ocupen y dediquen recursos a contar con los medios necesarios para asegurar la continuidad de sus operaciones y el alineamiento de los sistemas con los objetivos corporativos y para ello, es fundamental e imprescindible, contar con profesionales cualificados que sean capaces de identificar las medidas y operar los sistemas de manera fiable… ¿sería lógico pensar que una organización que depende de sus sistemas de información para funcionar no haya puesto a sus mandos a profesionales cualificados para esa función?

ISACA Madrid
mayo de 2017

Integridad de Datos en la Industria Farmacéutica
Escrito por: Susana Quiroga (CISA)*
Fecha: Octubre 2016
 
La industria farmacéutica es un sector ampliamente regulado desde hace muchos años. Entre los años 1957 y 1963, hubo un gran escándalo con un medicamento recetado a mujeres embarazadas (Talidomida) que ocasionaba que los niños nacieran sin extremidades o extremidades más cortas. A raíz de este escándalo, los responsables de Sanidad tomaron medidas más estrictas y empezaron a realizar controles más exhaustivos en las empresas comercializadores de medicamentos.
Las normas que regulan la fabricación de medicamentos son conocidas como “Normas de Correcta Fabricación” (NCF) o “Good Manufacturing Practices” (GMP en inglés). Casi todos los países desarrollados cuentan con Agencias Reguladoras que describen de similar manera estas normas de correcta fabricación. Son ampliamente conocidas y aceptadas las NCF de los Estados Unidos cuya Agencia Reguladora es la FDA (Food and Drug Administration) así como las de la Unión Europea que en España se regula a través de la Agencia Española del Medicamento y Productos Sanitarios (AEMPS). Estas normas no son simplemente guías de fabricación, si no que están consideradas como una obligación legal para el sector y su incumplimiento puede suponer la no comercialización de productos sanitarios en un determinado mercado.
 
 
*)  Artículo escrito a título personal. ISACA Madrid únicamente facilita este blog como plataforma para que nuestros asociad@s puedan publicar artículos.
Opinión de ISACA Madrid acerca del incidente con el Servicio DNS de DYN

El incidente de estos días con el servicio DNS de DYN ha puesto de manifiesto algunos aspectos relacionados con la ciberseguridad que deberían hacernos reflexionar sobre cómo la tecnología evoluciona y las garantías que incorpora. En esta ocasión lo “único” que ha pasado es que no se ha podido acceder a algunos servicios que, al fin y al cabo, no eran esenciales (redes sociales, periódicos online, servicios de streaming, etc.) pero podría haber sido diferente, qué duda cabe.

Pero, como decíamos, al margen de los detalles del incidente, lo que ha pasado y cómo ha pasado, hay algunos elementos de fondo sobre los que es necesario reflexionar:

Se lleva mucho tiempo hablando de la seguridad en entornos industriales y, por extensión, sobre los dispositivos del denominado “Internet de las Cosas” (o IoT por sus siglas en inglés, Internet of Things). Pero parece ser que, inútilmente, porque este incidente ha puesto de manifiesto que siguen siendo dispositivos que cuentan con medidas de seguridad muy básicas y que, desde luego, no se han diseñado teniendo en cuenta la seguridad como uno de sus elementos fundamentales. Es contradictorio observar como los equipos industriales, en general, son diseñados, fabricados e instalados observando altísimas medidas de seguridad (resistencia a presiones, temperaturas, etc., funcionamiento en modo de fallo, apagado seguro…) pero el software de estos mismos equipos no pasa por un proceso equivalente de securización (recomendamos la lectura del documento publicado por ISACA hace unos meses titulado: Sistemas de Control Industrial: Un Manual Básico para el Resto de Nosotros).

Evidentemente, se impone la evolución tecnológica y probar todos los avances con la mayor rapidez posible, pero este incidente debería enseñarnos que estos dispositivos pueden llegar a ser tremendamente peligrosos: (i) porque interactúan con los elementos físicos de nuestro alrededor pudiendo llegar a causar daños físicos; o (ii) su elevado volumen hace que puedan llegar a ser utilizados, como ha sido el caso, como canal para lanzar ataques a terceros objetivos. Por este motivo, tanto usuarios como Administraciones deberían ser consciente de estos riesgos para utilizar / permitir solo aquellos dispositivos que les ofrezcan garantías de seguridad suficientes. De lo contrario, estaremos contribuyendo a crear una sociedad tecnológicamente insegura que puede afectar al deseo de la sociedad de utilizar dicha tecnología.

Por otra parte, la utilización masiva de dispositivos incluye aquellos que están instalados en grandes corporaciones, pero también en pequeñas empresas e incluso en los hogares. Queremos resaltar este aspecto, puesto que, en muchas ocasiones, cuando las Administraciones piensan en establecer medidas de ciberseguridad existe la tendencia a dirigirlas únicamente a grandes corporaciones (véase sino la recién aprobada Directiva NIS que excluye explícitamente a las PYME) cuando éstas pueden ser utilizadas, tanto como un fin en sí mismo (puesto que por ser pequeñas no significa que no gestionen recursos importantes) como un medio para acceder a terceros (ya que pueden estar prestando servicios a grandes compañías o incluso a la Administración).

Desde un punto de vista de gestión del riesgo, es evidente que el impacto de las PYME puede que sea indirecto pero, desde luego, no es despreciable y su impacto puede llegar a ser muy significativo, por lo que no parece un criterio relevante para decidir si una empresa tiene que tomar medidas de ciberseguridad o no. Por ejemplo, en el ámbito de la seguridad vial, el elemento discriminador es la posesión de vehículos industriales: Aquellas empresas que utilicen vehículos industriales han de someterlos a las verificaciones de seguridad oportunas cada 6 meses, ¿por qué no un enfoque parecido en el ámbito de la ciberseguridad? (recomendamos la lectura del documento de ISACA, “Transformando la Ciberseguridad con COBIT5” para un análisis más detallado de estos temas).

Y, abundando en algo que introducíamos en el punto anterior, este incidente también debería hacernos pensar con mucho más detalle sobre la dependencia que tienen los servicios con terceros (en este caso del proveedor del servicio de DNS). A estas alturas de la evolución de Internet, todo está conectado. Nuestras comunicaciones dependen de una compañía de telecomunicaciones, posiblemente un tercero nos ayuda a mantener y administrar nuestros sistemas, los desarrollos son ejecutados por terceros, incluso puedo que algún proceso corporativo sea ejecutado por un experto externo, etc… en definitiva, nuestra seguridad es tan fuerte como el más débil de todos ellos, o dicho de otra forma, no sirve de nada que nuestra parte sea más robusta si no lo son el resto de piezas del engranaje. Por este motivo, es necesario trabajar sobre la ciberseguridad en la cadena de suministro como una de las piezas clave en los próximos años para asegurar la ciberresiliencia de nuestra organización (para una mayor información, de nuevo recomendamos la lectura de un documento de ISACA, “La Empresa Ciberresiliente: Lo que el Consejo de Administración Tiene que Preguntar”).

Finalmente, algo que ya sabíamos, pero que vuelve a ponerse de manifiesto es que no hay enemigo pequeño. La asimetría de los ataques de ciberseguridad es más que evidente y el enemigo, por muy pequeño que sea, puede infligir un daño de dimensiones incalculables… por este motivo, cuando en los análisis de riesgos tratamos de estimar las probabilidades de los escenarios no debemos perder de vista que hay impactos que por muy improbables que nos parezcan no podemos obviarlos simplemente por su baja probabilidad, porque los cisnes negros existen, así que, trabajemos todos los escenarios y en ciberseguridad, sobre todo, los de baja probabilidad y alto impacto porque nadie quiere que su sistema desaparezca porque no consideró que algo altamente improbable acabe sucediendo. Quizás en nuestro mapa de riesgos pueda aparecer como ‘despreciable’ pero debemos tener un plan B por si acaba sucediendo… la continuidad de la organización nos lo acabará agradeciendo; máxime cuando muchos de estos ataques no responden, en absoluto, a hechos aleatorios, sino a ataques intencionados y completamente dirigidos. Esto hace que debamos replantearnos esa “baja” probabilidad, con el tiempo la persistencia, malicia y complejidad de los ataques terminan elevando notablemente su probabilidad (también para saber más sobre este tema, recomendamos la lectura de un par de documentos de ISACA: “Advanced Persistent Threats: How to Manage the Risk to your Business” y “Responding to Targeted Cyberattacks”)

En definitiva, veamos el lado positivo de las cosas y pensemos que este incidente servirá para mejorar nuestra preparación y capacidad de respuesta a este tipo de ataques en el futuro.

Opinión de ISACA Madrid sobre la nota informativa de la AEPD sobre auditorías telefónicas de medidas de seguridad
 
En relación a la nota publicada por la Agencia Española de Protección de Datos (ver enlace) sobre el ofrecimiento que están recibiendo entidades obligadas a acometer auditorías de medidas de seguridad para realizar auditorías de seguridad por vía telefónica, ISACA Madrid querría transmitir su enhorabuena y dar una calurosa bienvenida a dicho pronunciamiento por parte de la Agencia.
 
De hecho, esta nota se incardina en una vieja aspiración de la Asociación de que alguna entidad u organismo oficial se implique en la definición de lo que debe y no deber ser cualquier tipo de auditoría informática y, en particular, las auditorías de medidas de seguridad para dar cumplimiento a la legislación en materia de protección de datos.
 
Obviamente, no podemos estar más de acuerdo en que una auditoría telefónica no satisfaría muchos de los principios de los que los auditores informáticos que formamos parte de ISACA nos hemos dotado y que se recogen en el Marco de Aseguramiento de TI (IT Assurance Framework) y que, junto al Código Ético que asumimos, forman nuestro esquema de auto-regulación para esta profesión y que sirve de base para la certificación de auditor(a) de sistemas de información (CISA) que muchos de nuestras/os asociadas/os ostentan y mantienen a lo largo del tiempo. De hecho, los capítulos de ISACA en España, aglutinan el mayor colectivo de auditores de sistemas con más de un millar de auditoras/es asociadas/os.
 
Sin embargo, no podemos dejar de señalar que quedan muchos otros aspectos por determinar sobre lo que es o no una auditoría de medidas de seguridad y que, el hecho de no abordarlas supone, de facto, eliminar el requisito de dichas auditorías, puesto que no se puede asegurar que cumplan su función sin unos mínimos requisitos, entre los que podríamos destacar:
  • Qué perfil debe reunir el auditor informático que realiza la auditoría;
  • Qué nivel de independencia se debe observar para evitar los conflictos de intereses;
  • Qué responsabilidad asume el auditor por errores en sus procedimientos;
  • Cómo se dirimen diferencias en los resultados de las auditorías; o
  • Qué tipo de evidencias se deben recabar y cuánto tiempo se han de conservar, por mencionar un aspecto técnico.

En definitiva, damos la bienvenida a esta nota y esperamos y confiamos en que sea solo la primera de muchas que estén por venir para contribuir a la mejora de las auditorías como mecanismo de assurance de las medidas de protección de datos de carácter personal.

Junta Directiva ISACA Madrid Chapter

¡Somos el mejor Capítulo Muy Grande de Europa!
Me siento un orgulloso miembro de la comunidad de ISACA Madrid y he tenido la suerte de haber sido elegido como miembro de la Junta Directiva durante los últimos 5 años; 4 como presidente y ahora como vicepresidente.
 
Hace unos días recibimos una muy buena noticia de ISACA, y es que nos han otorgado el K. Wayne Snipes Award como mejor capítulo muy grande de Europa (Madrid es el 5º capítulo en número de asociados). Como no nos lo esperábamos, hemos recibido la noticia con enorme alegría.
 
Sentimos que reconoce los grandes esfuerzos realizados el año pasado en temas como la renovación de las membresías, pero también el trabajo bien hecho en general.
 
En el caso del Capítulo de Madrid, hemos trabajo duro durante todo este tiempo, para dar un mejor servicio a nuestros asociados, buscando maneras de ayudarles a ser mejores profesionales, a mejorar la profesión en si, e intentar que la Asociación se convierta en la voz de los auditores de sistemas, directores de seguridad, directores de riesgo y profesionales de gobierno de TI.
 
Estaremos todavía más contentos si somos capaces de repetir este premio en el futuro :-) pero sentimos que el verdadero éxito es el hecho de que cada vez más profesionales quieren formar parte del Capítulo (y colaborar como voluntarios)... de hecho, el año pasado hubo más candidatos que plazas para la Junta Directiva.
 
En resumen, y para terminar, una gran alegría para la Junta Directiva del Capítulo que nos gustaría compartir con todos nuestros asociados que al final son los verdaderos protagonistas de este premio.
 
¡Enhorabuena a todos nuestros miembros! ¡Vosotr@s hacéis esto posible!
 
En nombre de toda la Junta Directiva de ISACA Madrid y el resto del equipo.
 
Antonio Ramos