lunes, 15 de junio de 2020

Crónica ISMS Cyber Security & Data Protection Online Forum


Fuente: ISMS Forum


Este año hemos tenido la oportunidad de poder asistir a la primera edición del Foro Digital Cyber Security & Data Protection Online Forum, organizado por ISMS Forum. Carlos A. Saiz, Vicepresidente de la organización, dio inicio a la jornada dando la bienvenida a todos los asistentes y anunciando la presentación de las dos nuevas guías elaboradas por diferentes grupos de trabajo de ISMS Forum: la Guía para la gestión de crisis por ciberincidente en la cadena de suministro y la Guía de Buenas prácticas en Auditorías RGPD. 


A continuación, podéis encontrar un resumen de las ponencias que se llevaron a cabo en el Track 2: Privacy del evento:

EU data strategy” (Paul Nemitz, Principal advisor on Justice policy, European Commission)
Durante su ponencia, Paul presentó los tres documentos elaborados por la Comisión Europea, enmarcados dentro de sus prioridades en el ámbito digital para la legislatura del período 2019-2024: The European Data Strategy, Shaping Europe’s digital future y Excellence and Trust in Artificial Intelligence.

Sobre ellos, resumió que el principio de protección de datos se sustenta en el derecho de las personas a tener un control efectivo sobre los datos que le conciernen. También, que las personas han de tener control sobre la tecnología y lo digital. Y que la inteligencia artificial debe aportar mayor valor a los datos, respetando a su vez el derecho a su protección.  

Finalmente, anunció que la Comisión se encuentra trabajando en una propuesta legislativa de regulación de la Inteligencia Artificial, que verá la luz durante el otoño de este año.

Data protection challenges in times of crisis” (Jan Ellermann, Senior specialist Europol Data Protection Function, Europol)

Jan, inició su ponencia presentando el importante crecimiento que ha experimentado el cibercrimen desde el inicio de la pandemia de la COVID-19. En particular, destacó el aumento de los ataques por ransomware y DDoS, los fraudes que explotan la ansiedad y el malestar de la sociedad, así como la proliferación de las fake news y la desinformación.

A su juicio, expresó que la protección de datos se ha convertido en un derecho aún más importante en tiempos de crisis. Así como la necesidad, de encontrar un equilibrio entre el uso de los datos para combatir el crimen, y el derecho a su protección. En este sentido, destacó la necesidad de fortalecer la cultura en la protección de datos.

Finalmente, destacó la importancia de la iniciativa de plataforma online colaborativa llevada a cabo desde el Data Protection Function (DPF) de Europol, la  Europol Data Protection Experts Network (EDEN). Cuyo principal objetivo es el intercambio entre profesionales, de experiencias y buenas prácticas en protección de datos en el contexto de las investigaciones policiales.

Privacidad en la gestión de terceros(Francisco Torres, DPO, Banco Sabadell; Alfonso J. Menchén, DPO, Iberdrola España)

Francisco y Alfonso, empezaron su entrevista coincidiendo en la importancia de definir dentro del proceso de Compras, los requisitos de cara a los proveedores en materia de protección de datos. En concreto, destacaron el hecho de establecer la posibilidad de realizar auditorías de cumplimiento. También, destacaron la importancia de establecer mecanismos, para asegurar la intervención del DPO en el proceso.

También coincidieron, en caso de no poder disponer de garantías suficientes, en no recomendar un proveedor si es necesario. También, en que si a pesar de ello el Dpto. de Contratación decide contratar a dicho proveedor, éste deberá asumir el riesgo que ello conlleva y, justificar y documentar muy bien su decisión.

Finalmente, ambos valoraron que el desarrollo de los mecanismos de certificación y códigos de conducta contemplados en el RGPD, facilitará en el futuro el proceso de toma de decisiones y la contratación de proveedores.

La importancia del Compliance en el mundo digital en tiempos de crisis(Efrain Castaneda, Privacy Counsel, OneTrust)

Efrain, inició su ponencia expresando que, en el contexto actual, la función del Compliance aún está siendo abordada desde un punto de vista demasiado legalista y conservador. Hecho que ejemplifica, en el tiempo medio necesario para la lectura de los términos y condiciones de las empresas por parte los usuarios, así como en los problemas de implementación de la aceptación de las políticas de cookies. En este sentido, destacó la importancia de abordar la función desde un enfoque centrado en el usuario. Debido a que las relaciones entre empresas y usuarios, se basan en la confianza y esta puede acabar perdiéndose.

Por ello, determinó que la información debe ser presentada de forma adecuada al usuario, y que es necesario alinear los permisos otorgados por los mismos, con sus expectativas. Preguntado sobre los nuevos tratamientos de datos de salud surgidos a raíz de la COVID-19, a título individual destacó la necesidad de transparencia por parte de los gobiernos respecto a las EIPD llevadas a cabo sobre dichos tratamientos, así como la homologación a nivel de la Unión Europea de las APPs de rastreo de contactos. 

GuardedBox: El secreto nace, se protege, se comparte, se compromete… y muere” (Raúl Siles, Founder & Senior Security Analyst, Dinosec; Mónica Salas, Founder & Security Analyst, Dinosec)

Raúl y Mónica, comenzaron su ponencia definiendo el concepto de secreto y presentando una taxonomía de ellos, en función de sus características como la temporalidad, necesidad de acceso, variabilidad, índole (personal/profesional), impacto derivado de su filtración etc. A su vez, expusieron cuáles son las fases por las que estos pasan a lo largo de su ciclo de vida, desde su nacimiento/creación, protección/custodia, uso, compartición, compromiso/filtración, modificación y eliminación/muerte.

Posteriormente, expusieron como solución los gestores de secretos, estableciendo los requisitos que estos deben tener, como la solidez, robustez (garantías ante compromiso), control (sin intermediarios con acceso), confiabilidad, usabilidad y sencillez. Seguidamente, presentaron su solución de gestión de secretos GuardedBox, destacando su facilidad de uso y desarrollo seguro, y realizando una pequeña demostración.

Finalmente, concluyeron destacando la importancia de identificar y clasificar los secretos, y de disponer de una solución para su almacenamiento y compartición, que sea sencilla, usable y segura. Así como expresando la necesidad de tener el control sobre nuestros secretos, ya que perderlo significa perder el control de nuestro negocio.

Impacto de la crisis sanitaria en la función del Delegado de Protección de Datos” (Marcos García-Gasco, DPO España, Airbus; Sol Fernandez-Rañada, DPO, Sanitas)

Marcos y Sol, durante su entrevista coincidieron en la necesidad de revisar a posteriori, las decisiones tomadas con poco tiempo relativas a las EIPDs, de los tratamientos de datos llevados a cabo durante la crisis sanitaria. A su vez, notaron la ausencia del establecimiento de un criterio claro acerca de cómo llevar a cabo dichos tratamientos en ese contexto, por parte de la AEPD y el Ministerio de Sanidad.

Sol, destacó el aumento de los ciberataques y fraudes sufridos por el sector sanitario. En particular, el grado de especialización y preparación de los ataques dirigidos a los empleados.

Finalmente, ambos coincidieron en que las empresas que previamente a la crisis se encontraban más adaptadas al teletrabajo, son las que han podido afrontar mejor la continuidad de sus operaciones. A su vez, consideraron que a raíz de la situación se ha producido un aumento general de la conciencia, de los peligros que pueden conllevar los tratamientos de datos de categorías especiales (toma de temperatura, etc).

Guía de Buenas prácticas en Auditorías RGPD” (Esmeralda Saracíbar, Miembro del Comité Operativo, Data Privacy Institute)

Esmeralda, inició su presentación anunciando la publicación de la nueva Guía de Buenas prácticas en Auditorías RGPD, fruto del trabajo llevado a cabo por la DPO Community de ISMS Forum, formada por profesionales de diferentes sectores y empresas.

Destacó, que a pesar de que el RGPD no establece de forma explícita el requisito de llevar a cabo auditorías periódicas, estas son consideradas necesarias. También, que más allá de ser requisito legal, la guía realiza un análisis sobre su necesidad, los beneficios que aportan, el alcance, el enfoque y la figura del auditor.

El objetivo de la guía es ayudar y facilitar a llevar a cabo a las empresas este proceso. Por ello, propone un sistema de métricas e indicadores para realizar una evaluación objetiva, e incluye un anexo con un modelo de informe, con el contenido que este debe incluir y las claves para su elaboración.

Finalmente, destacó la importancia de realizar un seguimiento de las auditorías, incorporando las acciones correctivas derivadas del proceso, al ciclo de mejora continua de la organización.

Digital tools and data protection in Taiwan’s response to COVID-19” (Dr. Nicholas Martin, Senior Researcher, Fraunhofer Institute for Systems and Innovation Research, ISI)

El Doctor Nicholas, inició su ponencia presentando las bajas cifras oficiales en Taiwan de personas infectadas y fallecidas a raíz de la COVID-19. Indicando que ello se debe en parte, al extensivo y medido uso de las herramientas digitales para combatir el virus. Sin embargo, aclaró que el uso de la tecnología no es la solución, solo es un factor que puede contribuir a llegar a ella.

Posteriormente, expuso que entre las tecnologías utilizadas se encuentran, el rastreo de contactos a través de la triangulación de la señal de telefonía móvil y, la monitorización de las cuarentenas y los movimientos de población, a través de llamadas de teléfono diarias y mensajes de texto con alertas a los teléfonos móviles. También, el cruce y análisis de bases de datos, como las de salud nacional e inmigración.

Finalmente, concluyó que en el caso de Taiwan existe una clara base legal, soportada en la Communicable Disease Control Act y la COVID-19 Special Act. Sin embargo, tras consultar con diferentes grupos de activistas taiwaneses, le trasladaron su preocupación sobre la poca claridad de las políticas de privacidad asociadas a estos tratamientos -en términos del control de acceso a los datos, la finalidad de su uso, su retención y las reglas para su supresión- así como de los mecanismos establecidos para su cumplimiento.



Autor: Carles Sans - ISO 27001 L.A. ISO 22301 L.A. CISA, CISSP, ENAC-AEPD DPD
Dpto. Consultoría