Principales novedades del borrador de Reglamento de Protección de Datos de la UE

En Enero 2012 se publicó por parte del Parlamento Europeo junto con el Consejo, la propuesta de Reglamento Europeo de Protección de Datos relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos. Dicha propuesta tiene como fecha límite para su aprobación mayo de 2014.

Al ser un Reglamento, es de aplicación directa en todos los Estados miembros. Dicha aplicación tendrá repercusiones a nivel nacional y europeo con un importante impacto en las empresas. Se trata de una revisión importante que tratar de garantizar los niveles de seguridad, de privacidad, de profesionalización y transparencia en el tratamiento de datos. Se prevé un régimen sancionador mucho más estricto que el que existe actualmente en las legislaciones nacionales.

El objetivo último de la norma es la construcción de un espacio económico interior homogéneo, que favorezca el tráfico económico intracomunitario y a la vez facilite la adaptación normativa a compañías extranjeras, que pasarán a tener un único texto de referencia, acabando así con la disparidad legislativa.

A pesar de estar solo en fase de borrador y pendiente de aprobación, muchos son los cambios que se pueden producir en su articulado. A continuación vamos a tratar de enumerar los que podrían ser más significativos:

1. Nuevos conceptos: privacy by design, privacy by default, accountability…

El borrador de Reglamento europeo abandona la distinción de datos en nivel básico, medio y/o alto, por tratarse de un catálogo cerrado que no permite pronosticar desde un primer momento las connotaciones deducibles del dato, y porque no contempla la realidad digital del momento vigente.
No se establecen niveles de seguridad en función del tipo de datos personales que trate, sino que impone al responsable y al encargado que implementen medidas de seguridad que garanticen un nivel de protección adecuado atendiendo a tres criterios: los riesgos que se presenten, la naturaleza de los datos y los costes de implementación.

El borrador del Reglamento establece en el artículo 23 el concepto de Privacy by Design o privacidad desde el diseño, que se completa con el de Privacy by Default o privacidad por defecto.

El Privacy by Design implica la necesidad de analizar y valorar las consecuencias o repercusiones que cualquier tratamiento de datos tendrá sobre la privacidad, para establecer así las medidas de seguridad y garantías que sean necesarias para preservarla, e impedir que se recojan más datos de los necesarios y que éstos estén disponibles a un número indeterminado de personas.

Ambos conceptos forman parte del Principio de Rendición de Cuentas o Accountability. Implica un ejercicio de responsabilidad por parte del responsable de tratamiento que se verá en la obligación de tener en cuenta la seguridad de la información incluso antes de proceder al tratamiento de la misma.  Se deben implantar mecanismos que garanticen el cumplimiento de los principios y obligaciones en materia de protección de datos, así como a los métodos de validación que garanticen su fiabilidad.
Todo ello, desde un punto de vista eminentemente proactivo. El propio titular del fichero debe tener la iniciativa de comprobar la adecuación de las medidas de seguridad, y actualizarlas en cada momento.

Las características del principio de responsabilidad reforzada ya constan descritas en el Informe 3/2010 del Grupo de trabajo del artículo 29.

El futuro reglamento va más allá, puesto que en determinados casos, por el riesgo que entraña el tratamiento, será necesario, además, llevar a cabo un Informe o  Evaluación de impacto, Privacy Impact Assessment (PIA).

El PIA se deberá confeccionar en todo caso  cuando confluyan los supuesto del artículo 33 del borrador, y que son los siguientes:

a) mediante dicho tratamiento, se podrán evaluar ciertos aspectos del individuo en su entorno profesional, situación económica, localización, preferencias, aficiones y gustos, etc; b) la información a tratar comprende vida sexual, salud, origen racial, investigaciones epidemiológicas, etc;
c) mediante dicha información se podrá monitorizar espacios de acceso público (como la videovigilancia);
d) el tratamiento será de gran escala (volumen) de datos genéticos, biométricos y de menores;
e) otros casos que puedan requerir la consulta al órgano supervisor de protección de datos.
El PIA deberá incluir, como mínimo: (i) una descripción general de las operaciones de tratamiento previstas; (ii) una evaluación de los riesgos para los derechos y libertades de los interesados; (iii) las medidas contempladas para hacer frente a los riesgos; y, (iv) las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a probar la conformidad con la normativa. Permitirá que las medidas que se adopten tengan como finalidad evitar la pérdida de datos, los accesos y cesiones no autorizados.

En definitiva, pro-actividad por parte del titular del fichero pasando a ser la privacidad una prioridad empresarial y no un mero requisito formal. La intervención del equipo legal deberá realizarse en el momento en que la propia estrategia empresarial es definida.

2. Principio de Transparencia:

El objetivo es facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control. De este principio se derivan las siguientes obligaciones:
a) Se suprime la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control (en nuestro caso, Agencia Española de Protección de Datos-AEPD). b) Deber de conservación la documentación de todas las operaciones de tratamiento de datos tanto para el Responsable como para el Encargado del tratamiento.
c) Establecimiento de mecanismos sencillos para el ejercicio de los derechos y la obligación de informar a los solicitantes de la posibilidad de presentar una reclamación ante la autoridad de control y de recurrir a los tribunales.
d) Cooperación con autoridades de control. Los responsables y encargados del tratamiento deberán colaborar con su autoridad de control nacional, ante la Comisión y el Consejo Europeo de Protección de Datos.

3.-  Tratamiento de datos de menores:

Se fija la edad de los menores en menos de 13 años. El tratamiento de los datos de estos menores solamente será lícito si el padre o tutor del menor ha prestado su consentimiento previo.

4.-  Nuevos Derechos para los ciudadanos:

Derecho al olvido: Implica la supresión de datos en aquellos supuestos en que: (i) los datos ya no son necesarios conforme a la finalidad para la que fueron recabados; (ii) porque el interesado ha revocado su consentimiento para el tratamiento o bien porque ha expirado el plazo para el tratamiento legal de los datos; (iii) porque el interesado ha ejercitado su derecho de oposición, o (iv) bien porque el tratamiento de los datos no se está realizando conforme a la normativa.
Se trataría de ejercitar un derecho de cancelación de datos personales tal y como se recoge actualmente en la normativa, pero se reconoce al ciudadano que cualquier sitio web o red social que almacene sus datos estará obligada a suprimirlos de inmediato y abstenerse de darles más difusión si el titular de los mismos lo solicita, debiendo adoptar las medidas necesarias, técnicas y organizativas, con el fin de informar a los terceros sobre la solicitud que el interesado ha realizado para que supriman sus datos.

Derecho a oponerse a la creación de perfiles que consistan en evaluar, de manera automatizada, determinados aspectos personales propios de dicha persona física o a analizar o predecir en particular su rendimiento profesional, su situación económica, su localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento.

Derecho a la Portabilidad de los Datos con el fin de obtener del responsable del tratamiento una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.  La aplicación más práctica de este derecho es la posibilidad de cambiar de operadora de telecomunicaciones, de una manera ágil y sencilla.

5.-  Notificación de Brechas de Seguridad:

Las incidencias muy graves en materia de protección de datos personales deberán comunicarse en un plazo de 24 horas a la Autoridad de Control mediante un informe sobre el suceso.
Adicionalmente, el responsable del fichero deberá comunicar dicha brecha de seguridad, si así lo estima oportuno la Autoridad de Control, a todos los afectados por la misma.

6.-  Delegado de Protección de Datos:

La propuesta de Reglamento le dedica una sección entera a esta nueva figura, dada la relevancia que tiene para el futuro.

Las empresas de más de 250 empleados, los organismos públicos y aquellas entidades que realicen tratamientos que requieran un seguimiento de los interesados se verán en la necesidad de contar por un plazo mínimo de 2 años con un delegado de protección de datos o Data Protection Officer –art. 35-. Se permite contar con un solo DPO en los casos de grupos de empresas.

Se trata de un cargo al que va vinculada la responsabilidad y la independencia y que requiere un alto grado de especialización en la materia, pudiendo ser dicho puesto desempeñado tanto por alguien que ya pertenezca a la organización o ser ajeno a ella. Entre las funciones que le serán encomendadas podremos encontrar, entre otras, la de supervisar la implementación y aplicación de las políticas internas, la formación del personal, las auditorías, la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos, velar por la conservación de la documentación, supervisar la realización de la evaluación de impacto y actuar como punto de contacto para la autoridad de control.


Autor: Verónica Eguirón - ISO 27001 Lead Auditor, CDPP
Departamento de Consultoría

Aprovechando la potencia de OSSEC en el Cumplimiento de PCI DSS

Como parte del cumplimiento de PCI DSS, OSSEC suele ser una de las herramientas open source seleccionadas para la monitorización de ficheros críticos (Requerimientos 10.5.5 y 11.5). No obstante, en la mayoría de ocasiones no se aprovecha la potencia de esta herramienta como HIDS. A continuación, os dejamos algunos consejos para aprovechar la potencia de esta herramienta y que facilitan la detección de incidentes de seguridad:

1. Activar la validación de reglas en el fichero de configuración. OSSEC ofrece un conjunto de reglas capaces de detectar eventos interesantes para diferentes tecnologías, por lo que será necesario analizar las reglas que aplican en cada uno de nuestros servidores para no incluir reglas innecesarias:

<ossec_config>
<rules>
    <include>00_rules_config.xml</include>

    <include>50_pam_rules.xml</include>

    <include>50_sshd_rules.xml</include>

    <include>50_telnetd_rules.xml</include>

    <include>50_syslog_rules.xml</include>

    <include>50_arpwatch_rules.xml</include>

    <include>50_named_rules.xml</include>

    <include>50_web_rules.xml</include>

    <include>50_apache_rules.xml</include>

    <include>50_ids_rules.xml</include>

    <include>50_squid_rules.xml</include>

    <include>50_firewall_rules.xml</include>

    <include>50_postfix_rules.xml</include>

    <include>50_sendmail_rules.xml</include>

   <include>50_imapd_rules.xml</include>

    <include>50_ossec_rules.xml</include>

    <include>50_attack_rules.xml</include>

    <include>50_local_rules.xml</include>
 </rules>  
 </ossec_config>

2. Idealmente, añadir reglas personalizadas para tecnologías concretas, así como para eventos que puedan ser de interés en el entorno, por ejemplo en aquellos casos en los que se ha aplicado un control compensatorio para un requerimiento de PCI DSS.

3. Activar la auditoría de sistema, este punto es útil tanto para detectar posibles compromisos como para detectar cambios en parámetros del bastionado del equipo e incluso para detectar datos de tarjetas de pago en claro. Un ejemplo sencillo de hacerlo es:

a) Incluyendo la siguiente entrada en el fichero ossec.conf:
/var/ossec/etc/shared/system_audit_rcl.txt
 
b) Modificando el fichero /var/ossec/etc/shared/system_audit_rcl.txt, incluyendo lo siguiente:
# Detect possible PANs
[Possible Unencrypted PANs - Primary Account Number - Credit Card] [any] []
d:$web_dirs -> r:^\. -> r:\d\d\d\d-\d\d\d\d-\d\d\d\d-\d\d\d\d;

# Detect possible PANs
[Possible Unencrypted PANs - Primary Account Number - Credit Card] [any] []
d:$web_dirs -> r:^\. -> r:\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d;
  • Adaptando la variable “$web_dirs” para que contenga las rutas que puedan ser susceptibles de tener este tipo de datos, por ejemplo en carpetas de logs de aplicaciones.
  • Con expresiones más avanzadas, se podrían clasificar los números de tarjeta según la marca de pago (VISA, Mastercard, AMEX, JCB, Discover).
c) E incluyendo la alerta correspondiente:
516Unencrypted PANs - Primary Account Number - Credit CardPossible Unencrypted Cardholder Data Detected

4. Añadiendo o personalizando algunas reglas, para que se adapten completamente a nuestro entorno. Por ejemplo, elevando el nivel de prioridad por defecto que tiene OSSEC cuando se detectan nuevos ficheros en el sistema:
516Unencrypted PANs - Primary Account Number - Credit CardPossible Unencrypted Cardholder Data Detected

5. Activar la detección de rootkits, activando la siguiente configuración en el fichero ossec.conf:
/var/ossec/etc/shared/rootkit_files.txt/var/ossec/etc/shared/rootkit_trojans.txt
Estas son algunas de las mejoras que pueden realizarse para aprovechar la potencia de OSSEC, una vez instalado para monitorizar la integridad de ficheros críticos en entornos PCI DSS (y aquellos que no lo son también), pero OSSEC es muy potente y evidentemente existen otras muchas posibilidades más para configurar y mejorar la seguridad de vuestros sistemas.


Autor: Marc Segarra - CISM, CISA, CISSP, PCI QSA, PCI PA QSA, ISO27001 Lead Auditor
Departamento de Consultoría

Artículo revista JOnline de ISACA: "Posición Estratégica Defensiva” en el Campo de Seguridad de la Información

David Eduardo Acosta, del departamento de consultoría, ha publicado recientemente un artículo titulado "Posición Estratégica Defensiva” en el Campo de Seguridad de la Información, en la revista Journal Online (JOnline) de ISACA, en el que desarrolla la idea de la aplicabilidad de los pensamientos militares en el ámbito de la seguridad de la información.

Os dejamos un pequeño resumen del artículo, ya que su difusión dentro del primer año es únicamente para los miembros de ISACA:

[…] Los conceptos de ofensiva y defensa no pertenecen exclusivamente al ámbito militar. Se aplican desde hace mucho tiempo en el escenario de seguridad de la información (entre muchos otros) y son familiares (de forma consciente o inconsciente) a los encargados de seguridad de una organización debido a las continuas amenazas informáticas (ciberamenazas) a las que día a día se tienen que enfrentar.

Sin embargo, una organización que recibe un ataque informático (ciberataque) no puede desarrollar una contraofensiva para repeler dicho ataque debido a limitaciones legales. Está limitada exclusivamente a defenderse, con lo cual, si no existe una estrategia definida, el elemento defensivo puede convertirse en contraproducente.

Por ello, la intención—y la labor a futuro—es dar un paso adelante en el nivel de controles y maniobras reactivas desplegado actualmente (de forma caótica la mayoría de veces) y establecer criterios estratégicos de defensa en la organización. Estos criterios permiten a la organización actuar de forma metódica y coordinada ante un eventual ataque empleando y fortaleciendo de forma paulatina sus propios controles defensivos e integrándose dentro de un esquema global de defensa cooperativa, objetivo clave a plantearse en el desarrollo de acciones orientadas a la supervivencia en la red [...]


Autor: David Eduardo Acosta - CISSP, CISA, CISM, CRISC, PCI QSA, CCNA Security, OPST, CHFI Trainer, BS25999 L.A.
Departamento de Consultoría

Evaluación de requisitos de Ciberseguridad para proveedores de servicios

El Centro de Ciberseguridad Industrial ha publicado la herramienta " Evaluación de requisitos de Ciberseguridad para proveedores de servicios" desarrollado por el Centro de Ciberseguridad Industrial y en el que Internet Security Auditors también ha colaborado activamente durante su desarrollo.

Dicha herramienta tiene el objeto de evaluar la madurez en seguridad de un proveedor de servicios en 4 áreas: Organización, Verificación, Aceptación y Explotación. En cada una de estas áreas se establecen objetivos y requisitos, adaptables a cada organización según sus necesidades, y por tanto ayuda a tener comparaciones tangibles sobre la madurez en ciberseguridad de los distintos proveedores de servicio con los que la organización pretenda colaborar o bien ya esté colaborando.
La herramienta junto al correspondiente manual de usuario, está disponible desde el pasado 26 de diciembre y está disponible a través del siguiente enlace:

http://www.cci-es.org/web/cci/detalle-evento/-/journal_content/56/10694/52163