Herramientas de ayuda al Data Protection Officer (3): El ciclo de vida de protección de datos

En este post vamos describir un marco de trabajo para la implantación y el mantenimiento de un programa efectivo de medidas de seguridad de protección de datos. El artículo se enmarca dentro de la serie que estamos dedicando a proporcionar herramientas de ayuda al Data Protection Officer y se adapta a los requisitos de la próxima regulación Europea de protección de datos cuya entrada en vigor está ya cercana.

El marco de trabajo consta de cuatro procesos y es de aplicación en todo tipo de empresas u organismos públicos sea cual sea su tamaño. El modelo (cuyas similitudes con el ciclo de Deming no son casuales) constituye un ciclo de vida recursivo que permite mantener en el tiempo la efectividad de las medidas de seguridad, adaptándose a los cambios en el entorno operativo. El apoyo de la dirección y la dotación de los recursos físicos y materiales necesarios son factores clave para una implantación satisfactoria del marco de trabajo.

Ciclo_Prot

Los objetivos de cada uno de estos procesos son:

  • Crear un inventario con los tratamientos de datos personales que han de formar parte del alcance del programa de medidas de seguridad.

  • Analizar los riesgos en cada tratamiento; definir los requisitos de seguridad e identificar las eventuales acciones necesarias para asegurar estos requisitos.

  • Implantar las medidas técnicas y organizativas necesarias y corregir las eventuales deficiencias de control identificadas.

  • Monitorizar periódicamente:

    • La efectividad del marco de control implantado (identificando eventuales deficiencias que será necesario corregir).

    • La necesidad de incluir nuevos tratamientos en el programa, o de realizar los ajustes necesarios como consecuencia de cambios en los procesos.

Los nuevos modelos tecnológicos como el Cloud Computing, así como la creciente tendencia a externalizar el tratamiento de datos de carácter personal a empresas terceras encargadas del tratamiento, hacen que el ejercicio de control de los responsables de los datos sea cada vez más complejo y requiera de métodos y técnicas específicas para abordar esta problemática. Es en este ámbito donde nuestra serie de artículos pretende ser una guía útil.

Identificar e inventariar datos y procesos

La fase inicial de la metodología tiene por objeto identificar todos los tratamientos de información relevantes desde la perspectiva de la regulación de protección de datos. Esta fase tendrá como resultado principal la creación de un inventario lo más detallado posible de los procesos, sistemas e instancias de ficheros con datos personales que van a constituir el alcance de nuestro programa de seguridad y será el eje a partir de cual se organizarán el resto de procesos de la metodología (ej: análisis de riesgos, definición de controles…).

La identificación y documentación de los procesamientos de datos puede ser una tarea retadora. Dependiendo de las circunstancias concretas, pudiera ocurrir que se parta de una situación en la que la empresa tenga perfectamente documentados estos procesos, aunque esto no suele ser lo habitual. Sea cual sea el caso, conviene primero revisar cualquier documentación existente disponible sobre los procesos de negocio (manuales de procedimientos, etc…), para ser usada como punto de partida del proceso, poder reutilizar el máximo posible de ella y ayudar a identificar procesos obsoletos o procedimientos desactualizados.

Si no se parte de un conocimiento detallado de la organización y/o de una documentación exhaustiva y actualizada, el inventario de procesos deberá obtenerse mediante entrevistas con el personal de la organización encargada de los procesos, lo que por sí mismo, dependiendo del tamaño de la organización, puede requerir un considerable esfuerzo de planificación, coordinación de agendas y preparación de las entrevistas.

Las preguntas básicas que habrán de responderse en esta fase son:

  • ¿Qué tipo de datos personales se procesan?

  • ¿Cuál es la finalidad del procesamiento?
  • ¿Dónde se ubican los datos?

  • ¿Qué usuarios manejan la información?

  • ¿Cómo se procesan los datos?

  • ¿Qué origen/destino tienen los datos?

Para responder a estas preguntas es útil el uso de alguna herramienta de modelado de procesos. Remitimos al lector a nuestro anterior post titulado Herramientas de ayuda al Data Protection Officer (1), donde propusimos una técnica posible que puede ser de ayuda en esta fase.

DIAG_DPO_01

Una vez creado el inventario, este deberá ser actualizado periódicamente de modo que se incluyan en él nuevos procesos y se recojan los cambios necesarios. Para ello será necesario seguir las mismas fases de la metodología con cada nuevo proyecto de la organización que implique el tratamiento de datos de carácter personal o con cada cambio significativo en el entorno de control de los procesos existentes. Será necesario del mismo modo designar a un responsable del mantenimiento de este inventario y un procedimiento para la gestión del mismo, ya que la metodología descrita implica un proceso continuo y no un ejercicio puntual.

Evaluar la situación de control

Esta fase implica la realización de dos grupos de tareas importantes:

  • Evaluación del Impacto en la Protección de Datos Personales

  • Identificación de las deficiencias del modelo de control existente

Pasaremos a comentar brevemente cada una:

  1. Evaluación del Impacto en la Protección de Datos Personales (Privacy Impact Assessment)

Este grupo de tareas consiste en la realización de un análisis de los riesgos que todo tratamiento de datos conlleva (tanto si está relacionado con nuevo proyecto o con cambios en procesos existentes). Implica la realización de las siguientes tareas:

  • La identificación y evaluación de los riesgos de la información

  • La identificación de las medidas de control adecuadas para mitigar los riegos

Para la identificación de los riesgos, es conveniente ayudarse de los diagramas y la descripción de los procesos elaborados en la fase inicial de la metodología. Se trata de considerar (en cada paso del proceso donde una instancia de datos es almacenada, copiada, impresa, etc) las posibles situaciones de riesgo que se puedan dar, por ejemplo:

  • Exposición excesiva de la información como consecuencia de errores humanos durante el tratamiento (aplicación indebida de los controles de acceso a la información almacenada, permitiendo de manera casual a usuarios legítimos o malintencionados acceder a información a la que no deberían tener acceso).

  • Robo de datos como consecuencia de abuso de privilegios, robo de identidad o actividades de hacking llevado a cabo por (o con participación de) personal interno a la organización.

  • Robo de datos como consecuencia de actividades de hacking llevadas a cabo sin la participación de personal interno (ej: intrusión y escalado de privilegios en un servidor de intercambio de ficheros accesible desde Internet; instalación de un programa espía (troyano) en un ordenador donde se procesa la información, etc…)

  • Exposición excesiva de la información como consecuencia de errores en las aplicaciones (error de los controles de acceso a la información procesada por las aplicaciones, permitiendo a usuarios casuales legítimos o ilegítimos acceder a información a la que no deberían tener acceso).

  • Transmisión insegura de la información a través de redes de comunicaciones, de modo que la información pueda ser accedida por terceros mediante el “pinchado” electrónico de las comunicaciones.

Conviene mencionar que es muy importante crear para este ejercicio de análisis un equipo multidisciplinar que involucre a todas las personas capaces de aportar conocimiento  relevante sobre el proceso o procesos objeto de análisis.

Una vez identificadas las situaciones de riesgo, el siguiente paso consiste en la definición de medidas de control adecuadas para eliminar o mitigar de manera razonable los riesgos. Como de costumbre, se trata de tener sentido común y aplicar medidas eficientes en costes y adecuadas, dada la naturaleza concreta de los datos, los estándares de seguridad y los requerimientos de la legislación aplicable. Las medidas de control serán técnicas y/o de organización del trabajo, siendo las más comunes:

  • Cifrado de las comunicaciones (datos en tránsito)

  • Cifrado de los datos sensibles almacenados digitalmente

  • Almacenamiento en contenedores seguros de soportes físicos de información

  • Controles de acceso físico a las áreas donde se procesa la información

  • Controles de acceso lógico a los sistemas de información

  • Monitorización de los accesos a la información, especialmente la información de la sensible, tanto si se trata de información digital como física

  • Procedimientos de control de entrada/salida de soportes de información

  • Etc.

 Una vez realizadas estas tareas, el inventario de procesos de la fase primera de la metodología deberá ser complementado con los riesgos y controles a aplicar, de modo que los productos obtenidos en esta fase queden documentados perfectamente.

  1. Identificación de las deficiencias del modelo de control existente

Cuando la metodología se está aplicando como consecuencia de la revisión periódica de los procesos de control ya implantados o como consecuencia de cambios significativos en los mismos, entonces habrá que abordar esta tarea, consistente en verificar que los controles definidos para mitigar los riesgos identificados en el inventario de procesos están implementados de manera correcta y que son eficaces. (No entra dentro del alcance de este artículo hacer una descripción de los métodos y herramientas que pueden ser de aplicación para hacer la verificación de la efectividad de controles, sin embargo, abordaremos este tema en algún artículo posterior).

El resultado final de esta fase es la identificación de posibles deficiencias en el marco de control que, obviamente, habrá que corregir.

Implantación y corrección de medidas control

El objetivo de esta fase es transformar las tareas pendientes identificadas en la fase anterior en planes de acción concretos, dotados de los recursos necesarios.

A medida que los controles se van implantando / corrigiendo, hay que llevar a cabo pruebas post-implementación para certificar que los controles están implantados de acuerdo a las especificaciones.

Mantener y evolucionar el marco de control

Como hemos mencionado anteriormente, la metodología descrita constituye un ciclo de vida recursivo que permite mantener en el tiempo la efectividad de las medidas de seguridad, adaptándose a los cambios en el entorno operativo. Ello se consigue mediante la implantación de 2 grupos de procesos:

Procedimiento de Cambios / Nuevos tratamientos

Se trata de establecer un procedimiento que permita asegurar que el marco de control se mantiene actualizado ante cambios en el entorno operativo o con cada nuevo proyecto que implique el tratamiento de datos. La idea es que estos eventos “disparen” la ejecución de las fases iniciales de la metodología.

Procedimiento de revisión periódica del cumplimiento

Se trata de establecer un procedimiento periódico de evaluación continua de los controles de protección de datos. El objetivo es comprobar que la efectividad del marco de control definido se mantiene en el tiempo sin deteriorarse. Ocurre a veces que cambios en el entorno, fallos técnicos o problemas organizativos hacen que el diseño de los controles deje de ser efectivo o que los controles dejan de funcionar como estaba previsto. En estos casos, las acciones correctoras de las deficiencias identificadas deberán ser planificadas e implantadas, lo que implica volver a la penúltima fase de la metodología.

Epílogo

Finalizamos aquí esta tercera entrega dedicada a métodos y herramientas útiles para un programa efectivo de protección de datos. Esperemos que sea de utilidad para todas aquellas personas que estén interesadas, intervengan o tengan responsabilidad en la privacidad de datos.

Continuaremos desarrollando estos temas en artículos posteriores. Muchas gracias, un abrazo y hasta pronto.

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s