Blog de Internet Security Auditors

Blog de Internet Security Auditors: LOPD, en qué fallamos

Escrito por Internet Security Auditors | Jul 22, 2014 4:00:00 AM
En 1994, y debido a la necesidad de marcar unas pautas de privacidad y protección de datos personales, a través del RD 1332/94 del gobierno de España se concretó la definición de “datos de carácter personal”, como “ toda información de cualquier tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable”.

Desde aquella primera aproximación, y pasando por algunas directivas (como la 46/95),  en 1999 se creó finalmente la Ley Orgánica de Protección de Datos 15/1999 (en adelante LOPD), junto con el Real Decreto 994/1999. Dicho Real Decreto fue actualizado en 2007 como Real Decreto 1720/2007 (en adelante RD 1720/2007), como desarrollo de la Ley Orgánica de Protección de Datos, y defiende tanto los principios de ley, como las medidas de seguridad a aplicar en los sistemas de información para la protección de datos de carácter personal.

Desde entonces, la Agencia Española de Protección de Datos (AEPD) se encarga por velar por el correcto cumplimiento de la ley en las empresas afectadas por la misma, siendo esta más restrictiva según el nivel de los datos personales tratados. Además, dicha entidad se encarga de imponer sanciones a las empresas que no cumplan con sus obligaciones en éste aspecto, que pueden llegar a ser de hasta 600.000 euros, dependiendo de la gravedad de dichas sanciones.

No obstante, y a pesar del nivel de madurez de la normativa, existen todavía ciertos aspectos clave en su aplicación que muchas empresas siguen sin realizar de manera correcta.

A continuación veremos los puntos básicos a tener en cuenta para el correcto cumplimiento de la normativa, así como los aspectos críticos para la mayor parte de las entidades relacionadas con el tratamiento de datos de carácter personal. Además, se darán posibles soluciones para dichos aspectos críticos, de manera que las entidades afectadas por la LOPD encuentren recomendaciones para alcanzar su cumplimiento.


Aspectos básicos

La normativa define los niveles de seguridad de los datos de carácter personal existentes, que se corresponden a gran escala a los de la siguiente tabla:


Nivel
Tipo de datos
Básico
  • Datos identificativos de una persona o individuo físico.
  • Datos de empleo.
Medio
  • Relativos a infracciones administrativas o penales.
  • Relativos a prestación de servicios de información sobre solvencia patrimonial y crédito.
  • Aquéllos responsabilidad de entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
  • Aquéllos responsabilidad de Entidades Gestoras y Servicios Comunes de la Seguridad Social.
  • Conjunto de datos que definan la personalidad de una persona, y permitan evaluar determinados aspectos de la personalidad de la misma.
Alto
  • Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
  • Datos relacionados con fines policiales sin el debido consentimiento de las personas afectadas.
  • Datos derivados de actos de violencia de género.

Además, las empresas con datos de niveles medio y alto, deberán completar una auditoría bienal de las medidas de seguridad del título VIII del RD 1720/2007, tal y como indica el artículo 96:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.”

Así pues, las empresas implicadas en el tratamiento de datos de carácter personal estarán ligadas a una serie de obligaciones de cumplimiento, cuyo nivel de exigencia estará ligado al nivel de los datos tratados.

A continuación encontramos una tabla con un breve resumen de las medidas de seguridad mínimas a aplicar por las empresas según el nivel de los datos de carácter personal tratados:




Nivel
Medidas de seguridad básicas
Básico
  • Controles de acceso lógico a los sistemas: Accesos restringidos según el Need-to-Know de los usuarios, a través de métodos de identificación y autenticación.
  • Gestión de soportes con datos de carácter personal: Inventarios, protección de los mismos, etc.
  • Procedimiento de notificación, gestión y registro de incidencias: Recoger incidencias sobre los ficheros de datos personales, incluyendo información sobre el tipo de incidencia, la fecha y hora de la incidencia, persona que la notifica, etc.
  • Copias de Seguridad: Es necesario contar con copias de seguridad de los datos, con una periodicidad al menos semanal. Además, se deben realizar comprobaciones y validaciones de dichas copias de seguridad de manera regular.
Medio
  • Todas las medidas anteriores.
  • Designación Responsable de Seguridad en la entidad, encargado de velar por el correcto cumplimiento de las medidas de seguridad de la normativa en la entidad.
  • Política restrictiva de acceso a la información: (política de contraseñas, bloqueo tras reintentos, etc).
  • Controles de acceso físico a las localizaciones con información de carácter personal.
  • Registros de entrada y salida de soportes con datos de carácter personal.
  • Borrado seguro de la información una vez haya finalizado su vida útil en la entidad.
  • Realización de revisiones periódicas del Documento de Seguridad de la entidad.
Alto
  • Todas las medidas anteriores.
  • Cuando los soportes con datos sean distribuidos, dichos datos deberán ser cifrados.
  • Las telecomunicaciones con transmisión de datos de carácter personal se deberán realizar bajo cifrado.
  • Se deberán registrar todos los accesos a los datos de carácter personal, tanto los accesos a nivel físico como a nivel lógico.

Aspectos críticos

Después de muchos años de obligación de cumplimiento de la LOPD, y a pesar del gran número de sanciones impuestas por la AEPD, existen todavía una serie de tareas que de manera general, seguimos haciendo mal. A continuación se puede observar un recopilatorio de dichos aspectos, a través de la experiencia obtenida tras años de realización de auditorías de cumplimiento de dicha ley en diversos clientes y entornos diferentes. Además, para cada uno de estos puntos críticos, se proponen una serie de soluciones para su resolución, de manera que se consiga la adecuación con la LOPD:


  • Los ficheros de datos de carácter personal declarados con un nivel de seguridad ante la AEPD contienen datos que se corresponden con otros niveles de seguridad. Por ejemplo, en un fichero declarado con nivel medio, se puede encontrar información de carácter sensible, que realmente se correspondería a información de nivel alto.

    Hay que tener en cuenta en este punto, que si un fichero está declarado con un nivel de seguridad determinado, y se detecta información de un nivel de seguridad superior en dicho fichero, esto supone una infracción de la normativa. No obstante, si pasa el caso contrario (un fichero de un nivel determinado contiene información de un nivel inferior a la del nivel declarado), esto no supone ninguna infracción, pero sí puede suponer un dolor de cabeza adicional para la empresa encargada de dicho fichero, ya que dicha empresa estaría obligada a aplicar medidas de seguridad de un nivel superior (más restrictivas) al realmente necesario por el contenido de la información del fichero en cuestión, con la traducción en una inversión de recursos no justificada y/o ineficiente que eso supone.

    Solución: Las empresas o entidades responsables de los datos de carácter personal deben tener claro el nivel de seguridad al que se corresponden sus datos, y declarar los ficheros ante la AEPD con el nivel adecuado. Por ello, se recomiendo realizar análisis periódicos de revisión de información de la entidad, así como de sus niveles de seguridad, de manera que se evite que información de un nivel determinado sea recogida en ficheros declarados con niveles inferiores.
  •  Existencia de Encargados de Tratamiento (persona o entidad que accede a los datos de carácter personal de manera justificada para prestar algún tipo de servicio al responsable del fichero) que no se encuentran controlados e inventariados en el Documento de Seguridad. Según la normativa, las personas o entidades que realicen accesos a los datos de carácter personal deben ser controlados e inventariados en el Documento de Seguridad de la entidad en cuestión.

    Solución: Se debe realizar un análisis de la necesidad de conocer (Need-to-Know) de los diferentes actores implicados en los accesos a los datos de carácter personal de la entidad. Así pues, se deberá identificar el personal con necesidad de acceso a dichos datos, y limitar los accesos al mínimo necesario para que el personal desarrolle sus funciones de negocio.
    Además, se deberán inventariar dichos Encargados de Tratamiento en el Documento de Seguridad de la entidad, e implementar procedimientos de control y gestión de dichos encargados, con revisiones periódicas de los accesos de los empleados. La regla a aplicar en este aspecto será la de “si no lo necesita, que no pueda acceder a ello”.
  • El Documento de Seguridad de la entidad no recoge todos los aspectos considerados como necesarios en la normativa.

    Solución: Para disponer de un Documento de Seguridad que contenga todos los requerimientos exigidos por la LOPD, se debe seguir el artículo 88 del RD 1720/2007 en su elaboración, que establece las pautas a seguir en dicho caso.
  • A pesar de que la entidad dispone de copias de seguridad de los ficheros con datos de carácter personal, no se realizan pruebas de restauración de las mismas de manera semestral, tal y como exige la normativa.

    Además, no siempre se almacenan las copias de seguridad de ficheros de nivel alto en un lugar diferente al de los equipos de origen de la información.

    Solución: En primer lugar, se debe establecer un procedimiento de restauración de las copias de seguridad en la entidad, que contemple toda la información necesaria por los responsables correspondientes para la realización de las pruebas de restauración. Dicho procedimiento deberá incluir como mínimo los parámetros siguientes:

    • Responsable del procedimiento.
    • Autorización de las pruebas.
    • Tareas previas a las pruebas.
    • Tareas de recuperación.
    • Tareas posteriores a las pruebas.

    Una vez establecido el procedimiento, se deberá asegurar que se ejecute semestralmente, y deberá contar con monitorización y seguimiento apropiado por parte de las personas responsables, de manera que si se detectan errores en las pruebas de restauración, éstos deberán ser corregidos de la manera más rápida posible.

    Para el caso de las copias de seguridad de datos de carácter personal de nivel alto, entendiendo las copias de seguridad como los soportes físicos relacionados, éstas se deben almacenar en una ubicación diferente a la de los equipos de origen de dicha información. Dicha ubicación no tiene por qué ser un lugar geográficamente diferente, sino que debe existir simplemente, otra copia de los datos por ejemplo en una máquina o soporte diferente al original. Para tal efecto, se puede ubicar dichas copias de seguridad por ejemplo en otras salas del mismo edificio, en otras sedes de la misma organización, o en ubicaciones de un proveedor de almacenamiento específico.
  • No se realizan copias de seguridad de las grabaciones de las cámaras de videovigiláncia.

    Solución: Tal y como exige el artículo 94 del RD 1720/2007, se deben realizar copias de seguridad de todos los datos de carácter personal bajo responsabilidad de una entidad, cosa que incluye las grabaciones de las cámaras de seguridad de la misma.
  • Aunque muchas entidades disponen de registros de auditoría a nivel de modificación a la información personal, otras muchas a día de hoy aún no disponen de registros de auditoría a nivel de intento de acceso para los ficheros con datos de carácter personal de nivel alto.

    Dicho artículo exige que en cada intento de acceso a los sistemas de información con datos de carácter personal de nivel alto, se registren como mínimo los siguientes parámetros:

    • Identificación del usuario que realiza el acceso.
    • Fecha y hora del acceso.
    • Fichero accedido.
    • Tipo de acceso.
    • Resultado del acceso (si se ha realizado el acceso o solo ha sido un intento).
    • Registro accedido.

    Además, la LOPD también exige que se conserven dichos registros de auditoría durante un periodo de 2 años, y que se realicen revisiones mensuales a los mismos. Esto suele ser otro de los puntos críticos en la mayoría de empresas, al ser limitada la cantidad de memoria disponible en los equipos relacionados, y al no disponer de los recursos adecuados para realizar las revisiones manuales a los registros de manera mensual.

    Solución: Una posible solución a dicho problema es montar una plataforma central de almacenamiento y/o correlación de logs, que reciba los registros de auditoría de todos los componentes de los sistemas de información con datos de carácter personal, los almacene dos años, y realice revisiones mensuales de dichos logs. Para tal efecto, en primer lugar se deberán configurar todos los componentes relacionados, de manera que se registren de manera local todos los parámetros comentados en el artículo 103 del RD 1720/2007, en cada acceso a datos de carácter personal.

    Una vez los diferentes equipos  relacionados registran los intentos de acceso a la información, dichos registros se deben enviar a la plataforma central de logs. Para tal efecto, se pueden configurar los diferentes equipos del entorno para realizar un envío automático de sus logs utilizando algún estándar específico de las tecnologías en cuestión (Syslog, agentes, daemons, etc.).

    Una vez los registros de auditoría relacionados son recibidos en la plataforma central, se debe configurar la misma para la realización de revisiones mensuales a dichos registros. Para tal efecto, se pueden indicar en la plataforma los eventos considerados como críticos en el sistema (accesos no autorizados a datos personales, intentos de acceso reiterados, etc.), de manera que si se detecta alguna de estos eventos, sea incluido en el informe de resultados de dichas revisiones realizado por la plataforma.

    Hecho esto, y también con periodicidad mensual, se deberán realizar revisiones manuales de dichos informes por parte del personal responsable, de manera que se puedan emprender acciones correctivas para los eventos no deseados detectados en las revisiones.
  • Aunque la mayoría de entidades suelen disponer de cifrado en los canales de envío de información principales, a menudo se detectan canales secundarios de envío en los cuales se envía documentación de carácter personal sin ningún tipo de cifrado. Un claro ejemplo de esto es el envío de datos a través del correo electrónico de alguno de los empleados de la entidad.

    Solución: Para todos los envíos de datos de carácter personal de nivel alto a través de redes públicas o redes inalámbricas, se deben implementar metodologías de cifrado, o bien a nivel de comunicaciones o bien a nivel de datos (o ambas a la vez). Para ello, se debe realizar un análisis de todos los canales de envío de información requeridos por la entidad en cuestión,  y seleccionar el tipo de cifrado requerido acorde con cada canal determinado.

    Algunos ejemplos de protocolos y técnicas disponibles para el cifrado de datos de carácter personal en su envío son los siguientes:

    • SSL/TLS
    • HTTPS
    • VPN
    • PGP: Para el caso de envío de datos a través del correo electrónico.
    • Algoritmo WPA2: Para el cifrado de las redes WiFi.
    • Técnicas de cifrado de archivos: Compresión de archivos con cifrado protegido por contraseña fuerte, etc.
    • Etc.
  • La mayoría de entidades disponen de medidas de protección para los ficheros de datos de carácter personal de nivel alto en formato físico, como pueden por ejemplo ser cerraduras de seguridad o cajas fuertes para el almacenamiento de dicha información, pero no obstante, no se suele mantener un registro de identificación de los accesos realizados, como exige el artículo 113 del RD 1720/2007.

    Solución: En este caso, una posible solución consiste en poner un libro de registros de accesos en los armarios y cajas fuertes donde se encuentre la información de carácter personal. De esta manera, cuando alguien realice un acceso de modificación o consulta sobre dichos datos, se deberá registrar en el libro el responsable del acceso, así como la información consultada. Dicho responsable deberá también firmar en la hoja de registro, de manera que quede constancia formal de su acceso a la información relacionada.

    Otra posible solución es utilizar dispositivos de almacenamiento físico con control de acceso, como puede ser un armario con apertura bajo combinación numérica o bajo algún control biométrico (como huellas dactilares o escáneres de retina). De esta forma, se pueden configurar dichos dispositivos para que registren de manera automática quien ha accedido a la información en cuestión. Eso sí, para el caso de la apertura bajo combinación numérica, hay que tener en cuenta que el acceso debe permitir la trazabilidad con un usuario nominal, ya que si por ejemplo se utiliza una combinación numérica común para todos los usuarios, el sistema no podría saber que usuario concreto ha accedido a la información en cuestión.
  • Las contraseñas de las aplicaciones y/o componentes relacionados con datos de carácter personal no cumplen con los requerimientos de la normativa. Dichos requerimientos establecen que las contraseñas deben tener una caducidad máxima de un año, y no pueden ser almacenadas en plano en todos los sistemas. Además, se deben bloquear los usuarios tras los intentos de acceso reiterados y no autorizados a información de carácter personal, en los sistemas con datos de nivel de seguridad medio o alto.

    Solución: Siempre que sea posible, se deben imponer los requerimientos comentados a través de las configuraciones de los mismos sistemas, y en el caso de los sistemas que no permitan dichas configuraciones (por limitaciones técnicas), se deberán imponer procedimientos externos o manuales para tal efecto.

    Un ejemplo de estos procedimientos externos podría ser una tarea automática que se ejecute de manera periódica en los equipos, y que avise a los usuarios de que deben realizar un cambio de su contraseña dentro del periodo de validez de las mismas.

Vemos a continuación un resumen de los aspectos de fallo críticos comentados en este apartado, así como las medidas recomendadas para su resolución:


Artículo del RD 1720/2007
Punto crítico
Recomendaciones
N/A
Ficheros de datos de carácter personal mal declarados.
  • Realización de análisis periódicos de revisión de tipo de datos e información personal tratada pos la entidad.
82
Existencia de Encargados de Tratamiento no controlados.
  • Realización de análisis periódicos de los Encargados de Tratamiento vigentes, así como de los accesos a la información necesaria para su operativa diaria.
88
Documento de seguridad no acorde con los requerimientos de la LOPD.
  • Seguir las pautas del artículo 88 del RD 1720/2007 en la realización y/o modificación del Documento de Seguridad en la Entidad.
94
No se realizan pruebas de restauración de las copias de seguridad de manera semestral.
  • Establecer procedimientos de restauración de copias de seguridad, que contemplen toda la información necesaria para el proceso de restauración de las copias de seguridad.
  • Asegurar que los procedimientos relacionados se ejecuten de manera semestral en la entidad.
94
No se realizan copias de seguridad de las grabaciones de las cámaras de videovigilancia.
  • Establecer copias de seguridad para todos los datos de carácter personal tratados por la entidad, incluidas las grabaciones de las cámaras de videovigilancia.
102
Las copias de seguridad con información de nivel alto no se almacenan en una ubicación diferente de la de los equipos de origen de la información.
  • Establecer una ubicación diferente para los soportes de las copias de seguridad a la de los equipos informáticos que originan la información relacionada.
103
No existen registros de auditoría a nivel de acceso para la información de nivel alto.
  • Configurar los equipos relacionados con el tratamiento de datos de carácter personal para el registro de los accesos a la información de nivel alto.
103
Los registros de auditoría no se almacenan 2 años, y no se efectúan revisiones mensuales de los mismos.
  • Montar una plataforma central de correlación de logs.
  • Configurar los equipos relacionados con el tratamiento de datos de carácter personal para el envío de los registros a la plataforma central.
  • Configurar la plataforma central de correlación de logs para la realización automática de revisiones de registros de auditoría de manera mensual.
  • Realizar revisiones manuales de los resultados de dichas revisiones para detectar eventos no deseados, y proceder a su corrección.
104
Se realizan envíos de información de nivel de seguridad alta a través de redes públicas o inalámbricas sin metodologías de cifrado.
  • Establecer protocolos de cifrado de la información en su envío a través de redes públicas o inalámbricas.
113
No existen registros de acceso a la información de nivel alto en formato físico.
  • Colocar un libro de registros de acceso en los armarios o cajas fuertes donde se almacene la información de nivel alto, que se firme cada vez que alguien efectúe un acceso a la información contenida en ellos.
93
Las contraseñas existentes no cumplen con la política exigida por la normativa.
  • Siempre que sea posible, imponer una política de contraseñas acorde con la normativa a nivel de configuraciones de sistemas.
  • En caso de que los sistemas de información no soporten las políticas de contraseñas exigidas por la normativa, establecer procedimientos externos para su debido cumplimiento.
 
Hay que recordar que a pesar del esfuerzo y la inversión en recursos que puede implicar, la auditoría en protección de datos es un requisito de obligado cumplimiento para toda empresa que almacene datos de carácter personal de nivel medio o alto, pero además, es una excelente oportunidad para revisar procedimientos, políticas y medidas de seguridad implantadas en un área tan sensible para cualquier empresa como es la protección de sus activos de información.
Por ello, es de suma importancia que las entidades afectadas por el cumplimiento de la LOPD entiendan las tareas de cumplimiento asociadas a su entorno, según la información personal tratada y sus necesidades específicas de negocio.

Referencias:   
www.apd.cat
http://www.agpd.es
http://noticias.juridicas.com/
http://www.protegetuinformacion.com

Autor: Guillem Fàbregas - CISA, CISM, PCIP
Departamento de Consultoría.