LOPD - GDD.

Los ciberdelitos crecen tan exponencialmente como la propia tecnología. Europool ya indicaba a finales de 2019, que ya hay países en los que, porcentualmente, los ciberdelitos superan a los delitos tradicionales.

El problema ante esta situación es que la legislación, mucho más lenta que la tecnología, siempre va por detrás de estos nuevos ciberdelitos. Estamos sufriendo delitos que hace 5 años no existían y dentro de 5 años nos veremos afectados por delitos que hoy no existen.

Ante esta situación no nos queda otra que cumplir la legislación y normativa vigente en cada momento, ya que en algunas ocasiones comprometen nuestros sistemas para cometer dichos delitos.

Cumplir con la ley nos permitirá respetar los derechos de aquellos vinculados a nuestra actividad: clientes, proveedores, trabajadores, … y nos permitirá evitar sanciones que, como veremos, con la LOPD GDD, pueden llegar a los 20 millones de € o el 4% de nuestra facturación, en casos muy graves.

Hasta la fecha, en España existían las siguientes leyes vinculadas a la seguridad de la información:

  • Ley Orgánica 3/2018 de Protección de Datos y garantía de derechos digitales. LOPD GDD.
  • Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
  • Ley 32/2003 General de Telecomunicaciones.
  • Ley 59/2003 de Firma Electrónica.
  • Real Decreto Legislativo 1/1996 de Propiedad Intelectual.
  • Ley 17/2001 de Propiedad Industrial.
  • Ley 11/2007 de Acceso Electrónico a los Servicios Públicos.
  • Algunos sectores tienen legislación propia, como, por ejemplo, el agrario. – Otros como la Banca dispone de normativa internacional.

Estas leyes buscaban proteger a personas físicas y jurídicas de aquellos delitos que se comenten contra ellos:

  • Contra su intimidad, a través de la venta de datos. Recuerda que no hay nada gratis y cuando accedes a servicios gratuitos estas pagando con tu privacidad y la información que generas en internet.
  • Referidos a la distribución de contenidos ilegales a través de la red, como por ejemplo los referidos a la distribución de pornografía infantil.
  • Delitos económicos: robo, extorsión, suplantación de entidades bancarias, …
  • Delitos contra la propiedad intelectual. En España todavía «pirateamos» más del 50% del software que utilizamos en nuestras empresas y nuestras casas.

Algo que podemos observar a simple vista, cuando nos fijamos en las leyes y los delitos que anteriormente describíamos es que:

  • Las leyes son antiguas. Entre 10 y 20 años, en el mundo de la tecnología, son demasiado tiempo. Si recuerdas como era, tecnológicamente, tu empresa hace 15 años te darás cuenta de que no tiene nada que ver con la realidad actual.

Los delitos actuales (ciberdelitos), manteniendo los descritos, han aumentado en número y tipos de ellos. Los ciberdelitos se dividen en dos:

  • Los que se aprovechan de la tecnología como medio para producirse:
  • Contra el honor, como los crímenes de odio a través de redes sociales.
  • Ciberbulling.
  • Amenazas y coacciones.
  • Delitos sexuales, como la pornografía infantil.
  • Los que atacan a nuestras infraestructuras:
  • Acceso e interceptación ilícita.
  • Interferencia en los datos y los sistemas.
  • Falsificación informática.
  • Fraude informático.
  • Contra la protección industrial intelectual.
  • Contra la salud pública.

Otro de los problemas que existe, y que va in crescendo, vinculado a los ciberdelitos es que:

  • No hay un número suficiente de peritos judiciales informáticos. Estos son los que se encargan de recopilar las evidencias tecnológicas del delito cometido. Son como los CSI de los delitos tradicionales. El trabajo del perito es fundamental para que las evidencias obtenidas puedan ser tenidas en consideración por el Juez que juzgue el caso.
  • En segundo lugar, hay muy pocos ciberabogados, con formación legal y tecnológica, preparados para entender el delito tecnológico que se ha producido, por lo que estos delitos se siguen abordando como delitos tradicionales.
  • En tercer lugar, no tenemos un número suficiente de jueces, con formación tecnológica que sean capaces de entender las pruebas que se les presentan. – No hay formación específica sobre estas disciplinas.

Desde hace 25 años existe un nuevo continente, por otro lado, el más poblado de todos, llamado ciberespacio. Este ciberespacio lo usamos todos a diario en nuestro ámbito personal y profesional y su uso plantea ciertos problemas de los que muchas veces no somos conscientes:

  • No tiene fronteras físicas, más allá de que las máquinas desde las que se realizan los ciberataques estén en un país físico, en el que con mucha probabilidad las exigencias legales son mucho más laxas. Debido a esto no se ve afectado por la territorialidad, base de la jurisprudencia actual.
  • La tecnología permite que, en la mayoría de los casos, no lleguemos a saber desde donde se producen los ataques, ni podamos identificar a los autores. – No está legislado y no existen poderes legislativo ni judicial.

Este ciberespacio ya está considerado desde hace años como el quinto entorno estratégico, por detrás de tierra, aire, mar y espacio, aunque a diferencia de los cuatro anteriores carece de cualquier tipo de ordenación normativa.

LA LOPD GDD

Estamos obligados por:

  • El Reglamento General de Protección de Datos europeo.
  • La LOPD GDD que es una trasposición de este reglamento con una serie de capítulos añadidos..

El Reglamento busca unificar criterios, a nivel europeo, en todo lo concerniente al tratamiento de datos personales y, por lo tanto, afecta a todas las empresas, independientemente de su tamaño y actividad que desarrollen su actividad en cualquiera de los países europeos o, cualquier empresa cuya sede social resida fuera del ámbito europeo pero que presten servicios a usuarios europeos.

Los principios relativos al tratamiento de la información que tratamos se basan en:

  • La minimización de los datos que recabamos. Es decir, sólo recabaremos aquellos datos que sean imprescindibles.
  • Estos datos deben ser exactos y tienen que estar actualizados.
  • Debemos establecer el límite de la finalidad para la que se han recabado los datos.
  • Debemos cumplir los principios de licitud, lealtad y trasparencia.
  • Debemos limitar el plazo de conservación de los datos de acuerdo a la duración de la prestación de servicios y a las obligaciones legales que nos afecten.

Los datos los podemos obtener:

  • Del propio interesado: debemos informarle en el mismo momento en el que obtenemos los datos.
  • O de un tercero, debiendo informar en el plazo de un mes desde que obtenemos los datos y siempre en el primer contacto que establezcamos.

El tratamiento de los datos debe fundamentarse en:

  • Una relación contractual.
  • Una obligación legal para el responsable del tratamiento.
  • Un interés:
  • Vitales del interesado.
  • Público o ejercicio de poderes públicos.
  • Legítimo que prevalece del responsable o terceros a los que se comuniquen los datos.
  • Consentimientos.

Respecto al consentimiento, este debe ser inequívoco. No se admiten consentimientos tácitos o por omisión, ni se admiten checks premarcados, debiendo ser lo más explícito posible.

Al igual que ocurría con la LOPD, el Reglamento considera una serie de Derechos que defienden los intereses del titular de los datos:

  • Derechos ARCO: Acceso, Rectificación, Cancelación (ahora Supresión) y Oposición.
  • Además, se incorporan los siguientes derechos:
  • Olvido.
  • Limitación del Tratamiento.
  • Portabilidad.

Respecto al Encargado del Tratamiento, el Reglamento obliga a contratar encargados que garanticen el cumplimiento del RGPD. Esta garantía puede acreditarse:

  • Mediante una formación certificada.
  • Mediante la certificación de años de experiencia en el tratamiento de datos personales. Por ejemplo, los profesionales que han gestionado la LOPD estos últimos años.

El Reglamento obliga a que nuestra seguridad sea proactiva, condicionando las medidas de seguridad al riesgo que cada uno asume en el tratamiento de datos de terceros.

Para conseguir esto estaremos obligados a realizar un análisis exhaustivo de los riesgos que nos pueden afectar, clasificando y cuantificado la probabilidad de que un riesgo se materialice y el impacto que provocaría.

Además de analizar el riesgo debemos evaluar el impacto. Ten en cuenta que

RIESGO = PROBABILIDAD X IMPACTO.

Una de las obligaciones que más llama la atención es la de tener que informar a la Agencia Española de Protección de Datos cuando hayamos sufrido un incidente de seguridad, en el que se hayan visto afectados datos personales, en el plazo de 72 horas desde que se detectó dicho incidente.

Deberemos informar sobre:

  • La naturaleza y categoría del incidente.
  • El número de afectados.
  • Quien es el Delegado de Protección de Datos, si lo tenemos.
  • Las consecuencias ocasionadas.
  • En el caso de que la gravedad del incidente supone un alto riesgo para los derechos y libertades de los titulares de los datos, debemos informar a los interesados.

El Delegado de Protección de Datos es una nueva figura que aparece con el nuevo Reglamento. No todas las empresas tienen la obligación de tener uno. Si tienen la obligación:

  • Organismos Públicos.
  • Empresas que manejan datos a gran escala.
  • Colegios Oficiales.
  • Empresas del sector salud.
  • Centro educativos.
  • Entidades aseguradoras.
  • Empresas de publicidad y prospección comercial.

No es obligatorio para empresas de menos de 250 trabajadores siempre que no traten información que pueda afectar a los derechos y libertades de los titulares.

Podrá ser DPD cualquier persona con conocimientos en legislación y experiencia en el tratamiento de datos personales o aquellas personas que superen la formación certificada al efecto.

Debemos tener un registro de actividades que debe contener:

  • Nombre y datos de contacto del Encargado y del Delegado.
  • Finalidades del tratamiento.
  • Descripción de las categorías de los interesados y categorías de los datos tratados.

Hay novedades en cuanto a:

  • Los sistemas de videovigilancia.
  • El tratamiento de datos de menores de edad, siendo necesario el consentimiento de los tutores legales de los menores de 13 años.
  • El tratamiento de datos de fallecidos, pudiendo sus herederos solicitar el acceso a los datos, su rectificación o incluso su supresión.

Por último y no menos importante son las causas por las que debemos cumplir con la LOPD GDD:

  • No podemos exigirle a alguien que trate nuestros datos ajustándose a la ley si nosotros no lo hacemos.
  • Para evitar sanciones, que han aumentado de una forma muy importante:
  • Sanciones graves: hasta 10 millones de € o el 2% de la facturación.
  • Sanciones muy graves: hasta 20 millones de € o e 4% de la facturación.

PLAN DE SEGURIDAD: PREVENCIÓN, AUDITORÍA Y PROTECCIÓN.

Todas las empresas deberían tener un Plan de Seguridad, pero muy pocas lo tienen. En él se deben identificar las amenazas que nos acechan, los riesgos que asumimos y el impacto que provocaría en nuestra actividad el que se materializara uno de esos riesgos.

Además, se identificarán las medidas de prevención que implantaremos, las auditorías, internas o externas, que desarrollaremos de forma periódica y como nos protegeremos cuando suframos un incidente de seguridad, definiendo lo que se denomina Plan de Respuesta ante Incidentes.

Sólo existen dos tipos de empresas: las que han sido atacadas y lo saben y las que han sido atacadas y no lo saben.

Ante esta afirmación sólo nos queda asumir que en cualquier momento podemos sufrir un incidente que pueda poner en peligro la continuidad de nuestra actividad y debemos prepararnos para recuperar esa actividad en el menor tiempo posible y con el menor impacto posible.

Las causas de estos incidentes, como ya hemos ido dejando entrever en este manual, pueden ser:

– Directas, por lo que podríamos preverlas y mitigarlas:

o Daños materiales:

  • Inundaciones.
  • Incendios.
  • Fallos eléctricos o Errores humanos, en un porcentaje muy elevado de las ocasiones.

o Robos/fugas de información. o

– Ajenas, por lo que debemos estar atentos y a la espera de que se produzcan en el momento más inesperado:

o Infecciones por Malware.

o Ataques dirigidos. o Ocasionados por nuestros proveedores y/o colaboradores.

Los planes de respuesta ante incidentes, también denominados planes de continuidad de negocio, nos van a permitir tener previstas las acciones a llevar a cabo cuando se produzca un incidente que tengamos catalogado y tienen que tener en cuenta dos aspectos importantes:

  • El tiempo que tardaríamos en recuperar el sistema.
  • El tiempo máximo que podríamos soportar la caída del servicio, parcial o totalmente.

Estos dos factores condicionarán, en gran parte, las medidas que deberemos implantar. No serán las mismas para una empresa que se puede permitir el lujo de estar un día entero sin sistemas informáticos que aquellas empresas que no pueden parar más de dos horas.

Por otro lado, no pienses que esto son consideraciones que sólo deben realizarse en grandes empresas. Al igual que comentábamos cuando nos referíamos al cambio de mentalidad que exige el nuevo RGPD, teniendo que ser proactivos y no reactivos cuando hablamos de seguridad, deberemos entender que este tipo de acciones nos permitirán ser más eficientes y resilientes, obteniendo un impacto positivo para la empresa de cara a clientes y proveedores.

La creación de estos planes debemos realizarlos atendiendo a nuestra realidad, es decir, las medidas a adoptar deben ser proporcionales a nuestras necesidades y se basarán en la definición de objetivos y procesos.

Los objetivos, habitualmente, se centran en la recuperación del sistema, en un periodo mínimo de tiempo, manteniendo el nivel de servicio en los límites que hayamos establecidos como asumibles.

Los procesos seguirán las siguientes fases, siempre teniendo en cuenta la idea de mejora continua, es decir, una vez que lleguemos a la fase final volveremos a la primera para mejorar continuamente nuestro plan.

Ten en cuenta que las empresas y sus infraestructuras son dinámicas y esto influye en nuestros planes de seguridad ya que, seis meses, o un año después de haber definido objetivos y procesos, es posible que, por la prestación de un nuevo servicio o la incorporación de nueva tecnología en nuestra infraestructura, el plan anterior no se ajuste a la realidad de este momento, dejando inútiles los objetivos y procesos establecidos.

Las fases que definen nuestro plan se deben ajustar a las siguientes:

  • En la fase de Análisis, evaluamos las amenazas, riesgos e impacto, a corto y medio plazo.
  • En la fase de Diseño, definiremos las medidas que vamos a aplicar y los procedimientos de respuesta.
  • En la fase de Implementación, gestionaremos la incorporación de las medidas seleccionadas y estableceremos un calendario de programas de formación/concienciación para nuestros trabajadores.

Siendo el trabajador interno el eslabón más débil de la seguridad, es muy importante que entiendan los riesgos y las consecuencias que supone utilizar de forma inapropiada la tecnología que se le proporciona para desarrollar su actividad.

  • En la fase de Verificación debemos asegurarnos de que lo que hemos planteado en la teoría funcionará correctamente el día que suframos un incidente.

En ocasiones, volveremos a las fases de diseño o implementación si se observa en esta última fase que las medidas diseñadas no son tan efectivas como creíamos.

Una vez lleguemos a la última fase volveremos a la fase de diseño para volver a empezar, incluso aunque nuestros procesos productivos, servicio y tecnología no hayan cambiado. Cada poco tiempo aparecen nuevas vulnerabilidades que nos afectan y debemos estar atentos a los nuevos riesgos que nos acechen.

Todo esto se puede apoyar con la realización de auditorías internas y, eventualmente, externas. De vez en cuando es interesante que algún consultor externo nos permita tener una visión diferente a la nuestra, muchas veces condicionada. Eso de, cuatro ojos ven más que dos, también se aplica en estas situaciones.

Estas auditorías deben combinarse con la realización de simulacros que nos permitan estar preparados el día que tengamos que llevar a la práctica todos estos procedimientos que estamos desarrollando.

Por otro lado, es importante definir claramente cuales son los activos que queremos auditar, si serán todos o sólo una parte.

En definitiva, nuestro Plan de seguridad debe tratar todas y cada una de las siguientes medidas:

  • Medidas aplicadas a desastres naturales.
  • Medidas aplicadas a problemas estructurales de nuestras instalaciones.
  • Medidas aplicadas a problemas de Hardware.
  • Medidas aplicadas a problemas de los Sistemas Operativos: clientes/servidores.
  • Medidas aplicadas a problemas de Software.
  • Medidas aplicadas a problemas de la red interna y las comunicaciones externas.
  • Medidas aplicadas a problemas de las copias de seguridad.
  • Medidas aplicadas a problemas con la información (CIA).
  • Medidas aplicadas a problemas con el personal interno y colaboradores externos.
  • Medidas aplicadas a problemas con el patrimonio.
  • Medidas aplicadas al cumplimiento normativo y legal vigente.
  • Medidas aplicadas a problemas provocados por otros riesgos.

Como ves, buscamos minimizar las posibilidades de sufrir un incidente y definir cómo reaccionar cuando lo hemos sufrido y, aunque sea un poco simplista, podemos decir que una buena seguridad se basa en tres aspectos fundamentales:

  • El usuario debe tener mínimos privilegios de acceso. Es decir, sólo podrá acceder a aquellos recursos que estén directamente relacionados con la actividad que desarrolle.
  • Mínima exposición, es decir, sólo tener activo aquellos servicios informáticos que realmente ofrezco interna y/o externamente.
  • Tendremos un sistema de copia de seguridad, actualizado, que combine el almacenamiento local de esas copias con un sistema de backup en cloud, redundante, que nos permita tener fuera de la empresa la información.

Aunque son situaciones un poco extremas, piensa en lo que sucedió en los atentados del 11 de septiembre en Estados Unidos, o el incendio del Edificio Windsor en Madrid.

Las empresas que no tenían copia de seguridad fuera de las oficinas que estaban en esos edificios no pudieron seguir desarrollando su actividad, ante la imposibilidad de recuperar su activo más valioso.

Si controlamos estos tres aspectos reduciremos enormemente la posibilidad de sufrir un incidente y, si lo sufrimos, el tiempo de reacción y vuelta a la normalidad. El resto de los factores a tener en cuenta descritos anteriormente, no menos importantes, deben estar alineados con estos tres.

En definitiva: no desatiendas la seguridad informática de tu empresa. Evitarás pérdidas económicas, pérdidas de reputación y dolores de cabeza.