Blog de Internet Security Auditors

Blog de Internet Security Auditors: Crónica de la Jornada de Seguridad en entornos Cloud y Protección de Datos de BSI

Escrito por Internet Security Auditors | Mar 29, 2017 4:00:00 AM
Introducción y Bienvenida
Sylvia Ariza, Directora de Marketing – BSI Iberia
David Díaz, Director Regional Cataluña – BSI Iberia


Sylvia dio inicio a la jornada, presentando a cada uno de los ponentes. Posteriormente, David realizó una presentación sobre BSI, centrada en el nuevo catálogo de formación y servicios de la empresa. Del nuevo catálogo destacó, el nuevo servicio de Certificación en PCI DSS y la nueva formación en Seguridad Online “Wombat”, estructurada en microcursos especializados para los diferentes niveles de personal dentro de las organizaciones.

Objetivo 2018: Cumplir con el RGPD
Belén Durán, Directora – NEOLEGIS, Abogados y Consultores S.L.P.

En primer lugar, Belén agradeció a BSI la oportunidad de participar en esta Jornada de Seguridad. Entrando en materia, expuso las diferencias entre Reglamento y Directiva europeas, destacando que una de ellas es que el nuevo RGPD pasa a ser de aplicación directa a todos los estados miembro de la Unión. A pesar de ello, es necesario encontrar su encaje en el ordenamiento jurídico español (ej. en el régimen sancionador). En este sentido, informó que próximamente se hará público el anteproyecto de reforma la LOPD , para adaptar la legislación española al RGPD.

Posteriormente, expuso el concepto de reversibilidad de la identidad del titular de los datos, como determinante para establecer si un determinado tratamiento de datos, debe necesariamente o no cumplir el RGPD. En este sentido, indicó que las técnicas de seudonimización/anonimización pueden ayudar a reducir el alcance del cumplimiento.

También, destacó toda una serie de cambios respecto a la LOPD. A continuación, se indican resumidamente algunos de ellos:
  • Las implicaciones derivadas de la creación de las nuevas figuras del DPD y el Representante del Responsable/Encargado.
  • El cambio de obligatoria a no obligatoria, de la notificación de los ficheros a las Agencias.
  • La implementación del nuevo derecho a la Portabilidad.
  • La idea de la capacidad de demostrar el cumplimiento del RGPD / Responsabilidad proactiva (Accountability).
  • La elaboración del nuevo Registro interno de Actividades de tratamiento.
  • Las nuevas obligaciones respecto a las Notificaciones de violaciones de datos.
  • La realización de Evaluaciones de impacto sobre los nuevos tratamientos. La necesaria consulta a la Agencia de aquellos que puedan comportar un riesgo alto.
Finalmente, respecto a la nueva figura del DPD, destacó la promoción que está realizando la AEPD, de la acreditación de ENAC para la certificación de estos profesionales.

Cloud & the privacy vs security issue
Gigi Robinson, Product Technical Manager – BSI Iberia

Gigi, inició su presentación partiendo de una definición de Privacidad y Seguridad. Expuso, algunas de las diferencias de estos conceptos solapados, respecto al objetivo que persigue cada uno.

Posteriormente, centró gran parte de su ponencia en la presentación de la norma ISO/IEC 27018, específica para organizaciones (business, academia, government), que traten datos personales (PII) en entornos Cloud (privado y público).

De dicha norma destacó su Anexo A, que incluye un conjunto nuevo de controles específicos alineados con la norma ISO/IEC 29100 (Privacy framework), los cuales proporcionan una buena combinación con ofrecidos por la ISO/IEC 27002.

Ciberseguridad y Cumplimiento en Entornos Cloud
José Luis Colom Planas, Compliance, Management & IT Advisor – Govertis

José Luis, empezó su presentación exponiendo que la implementación de un SGSI (ISO 27001), proporciona una adecuada base para el cumplimiento en el Cloud. Sin embargo, aclaró que para proporcionar dicha base, es necesario que este se trate de un sistema material (efectivo) un sistema que establezca acciones, en contraposición a un sistema formal (de papel).

Posteriormente, realizó un repaso de las diferentes extensiones de ISO/IEC 27001, que existen hoy en día para la Seguridad en entornos Cloud:
  • ISO 27017: El Anexo A de esta norma, incluye un conjunto de controles extendidos para servicios Cloud. A su vez, la estructura de dichos controles distingue separadamente las responsabilidades de cumplimiento que recaen sobre los Clientes, de las que recaen sobre los Proveedores Cloud.
  • ISO 27018: Esta norma se centra en la seguridad de los datos de carácter personal en este tipo de entornos. Se trata de una norma que, como su hermana, es de adscripción voluntaria, y que a pesar de no garantizar, ayuda al cumplimiento del nuevo RGPD europeo.
  • CSA STAR: La certificación define la batería de controles conocida como CCM (Cloud Controls Matrix), cuyos controles se encuentran alineados con ISO/IEC 27001. Se diferencia de las certificaciones ISO, en que es una certificación cualificada (puntuaciones bronce, plata y oro).


  • NIST Cybersecurity Framework: También mencionó este marco específico, debido a que establece claramente las equivalencias de sus controles con los que se incluyen en la ISO/IEC 27001.
  • Finalmente, trasladó a los asistentes la clara y reciente tendencia de las empresas a moverse al Cloud. Entre los motivos, destacó el atractivo que representa en términos de economías de escala (por el hecho de poder convertir CAPEX en OPEX). A su vez, indicó que este movimiento en el caso de las PYMEs puede proporcionar, en gran parte de los casos, más seguridad/protección que mantenerse en un modelo totalmente autogestionado.

    Caso Práctico ISO/IEC 27001 – Seguridad de la Información
    Manel González, Information Security Manager – Ricoh

    Manel González, se encargó de cerrar la Jornada compartiendo con los asistentes su experiencia en Ricoh España. Desde sus inicios con la implantación de ISO/IEC 27001, hasta la construcción un Sistema integrado de gestión (ISO 9001/14001/20000-1/27001, OHSAS 18001, etc.), con el objetivo de lograr la gestión total de riesgos (ISO 31000).

    En primer lugar, nos explicó cómo se encuentra estructurado el SGSI del Grupo Ricoh. Dicha estructura se compone de los siguientes niveles:
    • Ricoh Japón: Propietaria del SGSI, y responsable de establecer las políticas a alto nivel del sistema.
    • EMEA (Ricoh Group PLC): Zona económico-geográfica que dispone de cierta autonomía, encargada de adaptar las políticas de alto nivel a las normativas de la región (ej. normativa europea).
    • Ricoh España: Centro perteneciente a EMEA con capacidad de gestión del SGSI en modo semi-autónomo, encargado de adaptar finalmente las políticas del nivel anterior a la normativa española.
    En relación al Modelo de Auditoría, y concretamente a la hora de definir un alcance “tratable” para ellas, Manel expuso el sistema de categorización de sedes utilizado por la compañía. Dicha categorización distingue:
    • Sedes obligatorias: Aquellas que necesariamente deben ser auditadas, por sus especiales características, o su elevado nivel de riesgo.
    • Sedes preparadas: Aquellas que pueden ser seleccionadas y que se encuentran listas para ser auditadas en cualquier momento.
    Respecto al Modelo de Análisis de riesgos utilizado, explicó que este se encuentra modalizado en los siguientes dos niveles:
    • Base line: Definido por una Directriz global, que establece el nivel mínimo de riesgo a cubrir.
    • “Top up”: Formado por el conjunto de riesgos superiores a la Base line, que se deciden tratar en detalle a través de la elaboración de diferentes planes.
    Finalmente, expuso el Modelo de Gobierno establecido, basado en la creación de un Risk Management Board (RMB). Dicho RMB, formado por miembros de la dirección y de las diferentes áreas/departamentos, ha ido ampliando su alcance de autoridad a todos los ámbitos de Compliance de la organización.

    Autor: Carlos Antonio Sans - ISO 27001 L.A. ISO 22301 L.A.
    Departamento de Consultoría.