Ante la inminente entrada en vigor (25 de mayo de 2018) del Reglamento General de Protección de Datos (RGPD), se han escrito innumerables artículos al respecto de los principales aspectos que este conlleva, los cambios y nuevos requerimientos. Se ha hecho un gran hincapié en aspectos que son esenciales, como la nueva figura del Delegado de Protección de Datos, la responsabilidad activa, la portabilidad de datos, el derecho al olvido y la Evaluación de Impacto de la Privacidad (EIPD), entre otras. Como se puede apreciar, fundamentalmente son medidas eminentemente de corte jurídico y organizativo.

No obstante, y comparativamente, se ha escrito mucho menos al respecto de las medidas de seguridad técnicas o de ciberseguridad a aplicar sobre los datos personales (Art. 32), y que a la postre serán una línea de defensa vital en el cumplimiento de la normativa y en la protección real de estos datos, responsabilidad de las organizaciones. Tras un sencillo articulado se esconden una serie de tareas de elevada complejidad e importantes implicaciones a todos los niveles (recursos, inversiones, organización interna, etc.), que vienen a sustituir a las archiconocidas medidas de seguridad en función de los niveles de seguridad los ficheros que venían recogidas en el Título VIII del “antiguo” RD 1720/2007.

De esta manera, las organizaciones deben tomar una serie de decisiones relacionadas con la seguridad de sus datos, planificando las acciones a realizar de acuerdo con el nivel de riesgo existente y el asumido. Para ello, se deberá analizar el nivel actual de riesgos asociados a los datos personales desde las dimensiones de confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, para posteriormente definir y diseñar el modelo de seguridad que se desea conseguir y las acciones necesarias para ajustarse a ese modelo.

Para llevar este análisis de riesgos puramente tecnológico (necesario para alimentar o complementar al EIPD) se debería utilizar un método reproducible y reconocido, y para ello existen una serie de metodologías reconocidas que se vienen empleando de manera habitual a nivel internacional para estos propósitos (CRAMM, Octave, etc.). Adicionalmente, existe una metodología de origen nacional, Magerit, elaborada por el CSAE (Consejo Superior de Administración Electrónica), siendo la metodología de análisis y gestión de riesgos recomendada para las Administraciones Públicas como instrumento para cumplimiento del Esquema Nacional de Seguridad (RD 3/2010), donde este punto es un aspecto clave. Así pues, en este aspecto existe un gran alineamiento entre los requisitos del RGPD y el ENS lo cual facilitará en gran medida su adopción por parte de las AA.PP. con un enfoque integrado.

En general, el riesgo en entornos TIC, está determinado por la ocurrencia de un evento (amenaza) basado en la frecuencia y el impacto que genera. En algunas situaciones, el riesgo proviene de la posibilidad de una desviación de los resultados esperados o la ocurrencia de un determinado evento.
De manera habitual, un análisis de riesgos se centra en los siguientes aspectos:
> Identificar lo que debe ser protegido (Activos).
> ¿De qué hay que protegerlos? (Amenazas y vulnerabilidades).
> ¿Cómo afecta? (Impacto).
> ¿Qué aspectos lo mitigan? (Salvaguardas).

Tras el proceso de evaluación de riesgos se establecerán las medidas y controles de seguridad a aplicar para tratar (en la mayoría de casos, mitigar) los riesgos identificados.

Como marco de referencia para establecer estas medidas y controles de seguridad, la mejor recomendación es utilizar alguno de los principales estándares internacionales vigentes en buenas prácticas a nivel internacional, bien de manera individual o combinada (ISO/IEC 27002, COBIT, NIST, ISO 22301, etc.), contra el que previamente habremos tenido que evaluar a nuestra organización para ver el nivel de alineamiento con el mismo y tener el punto de partida de respecto a ese marco de referencia.

Como resultado del análisis y gestión de riesgos, y el análisis diferencial frente al marco de referencia, se tendrá un Plan de Seguridad a implantar y verificar posteriormente, en el que la priorización de la implantación de los controles permite centrar los esfuerzos y recursos en los activos expuestos a un riesgo mayor, siendo éste, y de manera totalmente lógica, por cierto, el criterio prioritario que nos exige el RGPD.

Algunas de las medidas de este plan podrían ser, por ejemplo: seudonimización, cifrado de datos, mecanismos robustos de control de acceso, procesos operacionales de backup y seguridad de red, planes de continuidad de negocio o de recuperación frente a desastres, pruebas de penetración y auditorías técnicas periódicas, formación y concienciación, y un largo etcétera.

Este enfoque, también presenta un gran alineamiento con la implantación de un Sistema de Gestión de Seguridad (SGSI) basado en la ISO 27001 y la ISO 27002, aplicando el ciclo de Deming de mejora continua a la “ciberprotección” de los datos personales (Planificar, Hacer, Comprobar y Mejorar).

De manera resumida, los pasos a seguir serían:
> Elaborar un Mapa de Riesgos de Seguridad de la Información, actualizado, con una metodología reconocida y definida.
> Identificar el nivel existente en las medidas de seguridad de los sistemas de información de la Compañía presentes en el momento de la realización del análisis, en base al marco de seguridad seleccionado.
> Seleccionar las medidas de seguridad que se deberán aplicar en función del nivel de riesgo identificado.
> Definir, priorizar y planificar el conjunto de acciones a realizar en el ámbito temporal establecido.
> Revisar la correcta implantación de las medidas.
> Obtener una opinión final externa a disposición de terceros para dar cumplimiento a las exigencias del RGPD en materia de aplicar de manera un proceso de verificación, evaluación y valoración la eficacia de las medidas técnicas y organizativas.

A partir de este punto, estas revisiones deberían llevarse a cabo regularmente.