viernes, 6 de diciembre de 2013

Retos de la UE, en relación a las nuevas tendencias emergentes e innovadoras, para mantener la confianza


Resumen: En unas declaraciones Neelie Kroes, Vicepresidenta y Comisaria de la Agenda Digital de la Comisión Europea, considera que la EU y el mundo en general necesitan: Un Cloud Computing fuerte y de confianza; Una cultura de Open Data (Datos Abiertos por parte de las AA.PP.); Y compromiso compartido con la ciberseguridad. En base a dicho hilo conductor es que he vertebrado este artículo, incidiendo principalmente en aspectos de seguridad de la información y privacidad.

Autor del artículo
Colaboración
JOSÉ LUIS COLOM PLANAS
 
 
Actualizado
 
5 de abril de 2014
 


ÍNDICE
1. INTRODUCCIÓN
2. RIESGOS A EVALUAR
3. EL CAMINO A SEGUIR
4. LA AGENDA DIGITAL DE LA COMISIÓN EUROPEA
4.1. Introducción
4.2. Un Cloud Computing fuerte y de confianza

4.2.1. Dictamen 05/2012 sobre Cloud Computing
4.2.2. Certificaciones del CSP (Cloud Services Provider)
4.3. Una cultura de Open Data

4.3.1.  Ley 19/2013, de 9 de diciembre, en España
4.3.2. Artículos relacionados con la protección de datos
4.3.3. La opinión del Director de la AEPD
4.4. Compromiso compartido con la ciberseguridad

4.4.1. La seguridad no es simplemente comprar artilugios
4.4.2. Estrategia de Ciberseguridad Nacional en España
5. BIBLIOGRAFÍA CONSULTADA
6. DERECHOS DE AUTOR
 



1. INTRODUCCIÓN



Como decía en la introducción de una de mis ponencias sobre Big Data:

el mundo está inmerso en la revolución de la información y el conocimiento, por lo que tiene una clara tendencia a centrarse en los datos. Unos para obtener, de forma legítima, el máximo rendimiento y conocimiento de ellos (como por ejemplo lo hacen Big Data y las técnicas analíticas) y, otros, para preservarlos y proteger la esfera de privacidad de las personas. En consecuencia, es esencial encontrar un equilibrio entre los beneficios de las tendencias innovadoras y los riesgos relacionados con la privacidad”.


Es un concepto que introdujo Ann Cavoukian (Comisionada de información y privacidad de Ontario) que se conoce por PbD (Privacy by Design – Privacidad desde el Diseño), que busca una relación win-win (ganar-ganar) en los nuevos proyectos que sean susceptibles de incorporar o tratar datos personales. No es de extrañar que en el borrador del nuevo RGPDUE (Reglamento General de Protección de Datos de la Unión Europea)[5] la PbD tenga un papel sustancial.


Podríamos decir que, buscando un paralelismo didáctico, mientras la revolución industrial se basaba en la obtención de valor y ventajas competitivas a partir de la automatización de los procesos productivos industriales, la revolución digital se basa en conseguirlas a partir de los datos y el conocimiento que puede obtenerse de ellos.


2. RIESGOS A EVALUAR



Van apareciendo nuevos riesgos que amenazan los posibles logros de la humanidad mediante las tendencias emergentes.


Un claro ejemplo son los programas de espionaje tipo PRISM, de la NSA y por supuesto también de otros países que dispongan del despliegue de medios necesarios, que tanto daño conceptual han hecho al progreso tecnológico.


La opinión pública puede verse tentada a asociar Big Data a robo y tratamiento de información por  parte de ciertos gobiernos y organizaciones, lo que equivale a poner palos a la rueda del carro que representa el progreso y la evolución de la humanidad.


También coarta la migración de servicios de TI al nuevo modelo de Cloud Computing, ya que se asocia a poner los datos “en bandeja” a esos gobiernos y organizaciones.


Muchos estrategas de inteligencia, ya hablan de combates en el quinto dominio.


NOTA DEL EDITOR: La relación de dominios militares se ha visto ampliada. En la actualidad se consideran: 1. Tierra; 2. Mar; 3. Aire; 4. Espacio; 5. Ciberespacio. Algunos ejércitos ya están creando unidades especiales preparadas para su intervención en el quinto dominio (Ciberespacio).


El hecho de que incluso los aliados se espíen unos a otros no ha hecho más que  acentuar los temores de la gente.


Pero además de los gobiernos, están los grupos delincuentes organizados.


La ciber-delincuencia es la piratería del siglo XXI. Entre los siglos XVI y XVIII los piratas navegaban los mares usurpando bienes materiales de los barcos que asaltaban por la fuerza, mientras que ahora navegan por Internet buscando objetivos con información de alto valor que puedan obtener subrepticiamente.


 


3. EL CAMINO A SEGUIR



No se pueden combatir de forma aislada los riesgos que hemos visto en el apartado anterior.


Las iniciativas deben liderarse desde la UE y los diferentes gobiernos que la conforman, así como de las organizaciones transnacionales tipo la CSA (Cloud Security Alliance). La línea de actuación podría definirse:
 

 

  • Promocionar la elaboración y adopción de normas relacionadas con la seguridad de la información en general y específicas para diferentes entornos.
  • Regular las cláusulas de contratación para los servicios de Cloud Computing y demás servicios de datos de manera que aporten transparencia, confianza y seguridad tanto a los usuarios como a los prestadores de esos servicios.
  • Formar y concienciar a las personas que en un mundo en línea pagan siempre por los servicios de datos, ya sea con dinero en efectivo o mediante la cesión de los propios datos.
  • Establecer la regulación adecuada, en el ámbito de las empresas privadas y las administraciones públicas,  de modo que se tomen en serio los riesgos cibernéticos.


 


4. LA AGENDA DIGITAL DE LA COMISIÓN EUROPEA


4.1. Introducción



No debemos olvidar una realidad: “Nadie usa los servicios en los que no confía”. En consecuencia, además de regular su utilización, es necesario asegurarlos. La seguridad de la información tratada por los nuevos servicios ha de ser un objetivo prioritario.


Neelie Kroes, Vicepresidenta y Comisaria de la Agenda Digital de la Comisión Europea, considera que la EU y el mundo en general necesitan:

 

  • Un Cloud Computing fuerte y de confianza, con reglas claras. Dado que la nube no va a desaparecer, será mejor que sea un modelo de entrega de servicios seguro.
  • Una cultura de Open Data - datos abiertos por parte de las AA.PP. - y el libre acceso a los resultados científicos.  Se puede obtener mucho más valor cuando accedemos directamente a los datos originales.
  • Compromiso compartido con la ciberseguridad. Necesitamos mejores capacidades, una cultura que comparta la responsabilidad de este problema, y más cooperación entre los países y las empresas.


La frase célebre de Neelie es: “Europa necesita protección de datos, no proteccionismo”.


4.2. Un Cloud Computing fuerte y de confianza


4.2.1. Dictamen 05/2012 sobre Cloud Computing



El GT29 (Grupo de protección de datos del artículo 29) en su dictamen [1] 05/2012, de 1 de julio sobre la computación en la nube, analiza todas las cuestiones pertinentes en materia de proveedores de servicios de computación en nube que operan en el EEE (Espacio Económico Europeo) y sus clientes, especificando todos los principios aplicables de la 95/46/CE (Directiva europea sobre protección de datos) y de la 2002/58/CE (Directiva sobre privacidad modificada por la Directiva 2009/136/CE), según proceda.


A pesar de las claras ventajas de la computación en nube, tanto en términos económicos como sociales, el presente dictamen explica de qué manera el despliegue a gran escala de los servicios de computación en nube puede provocar diversos riesgos para la protección de datos, principalmente:

 

  • La falta de control sobre los datos personales.
  • La insuficiente información en relación a cómo, dónde y por quién son los datos tratados o sub-tratados.


Los organismos públicos y las empresas privadas deben evaluar estos riesgos cuidadosamente al contratar los servicios de un proveedor de servicios de computación en nube.


El presente dictamen examina cuestiones relacionadas con:

 
  • La puesta en común de recursos con otras partes.
  • La falta de transparencia de una cadena de externalización compuesta por múltiples encargados del tratamiento y subcontratistas.
  • La inexistencia de un marco común general de portabilidad de datos.
  • La incertidumbre con respecto a la admisibilidad de la transferencia de datos personales a los proveedores establecidos fuera del EEE.

Del mismo modo, el dictamen aborda, como cuestión preocupante, la falta de transparencia en cuanto a la información que un responsable del tratamiento puede proporcionar a los interesados sobre la manera en que se tratan sus datos personales. Los interesados deben ser informados de quién trata sus datos y para qué fines, a fin de poder ejercer los derechos que tienen a este respecto.

Una de las principales conclusiones del presente dictamen es que las empresas y las administraciones que deseen utilizar la computación en nube deben efectuar, como un primer paso, un análisis de riesgos completo y riguroso. Los proveedores en el EEE deben proporcionar al cliente toda la información necesaria para evaluar adecuadamente los pros y los contras de la adopción de tal servicio.

La seguridad, transparencia y seguridad jurídica para los clientes deberán ser los principales impulsores de la oferta de servicios de computación en nube.

Por lo que respecta a las recomendaciones contenidas en el presente dictamen, se subrayan las responsabilidades de un cliente de servicios de computación en nube (como responsable del tratamiento) y se recomienda, por tanto, que el cliente seleccione un proveedor de servicios de computación en nube que garantice el cumplimiento de la legislación de la UE sobre protección de datos.

El dictamen aborda las salvaguardias contractuales apropiadas estableciendo la condición de que todo contrato entre el cliente y el proveedor deberá ofrecer garantías suficientes en términos de medidas técnicas y de organización. También es importante la recomendación de que el cliente de servicios computación en nube deberá verificar si el proveedor de tales servicios puede garantizar la legalidad de las transferencias internacionales de datos.

Como cualquier proceso evolutivo, el avance de la computación en nube como paradigma tecnológico mundial representa un desafío. El presente dictamen, en su estado actual, puede considerarse un paso importante para definir las tareas que debe asumir en este sentido los responsables de la protección de datos en los próximos años.

4.2.2. Certificaciones del CSP (Cloud Services Provider)

En Julio de 2013, BSI y CSA (Cloud Security Alliance) han  anunciado la finalización con éxito de las certificaciones piloto en el marco de la certificación abierta con Alibaba y el Gobierno de New Taipei City (NTCP).

El Marco de Certificación Abierto (OCF, Open Certification Framework) ha sido desarrollado por la CSA para ofrecer a los proveedores de la nube un sistema mundial de certificación de confianza. La Certificación STAR es uno de los componentes de la iniciativa OCF, y comprende una auditoría independiente “de tercera parte” sobre la base de la CCM (Cloud Control Matrix) - Matriz de Control del Cloud -  y la ISO 27001.



La Certificación STAR ha sido desarrollada en colaboración entre BSI (British Standards Institution) y CSA.

La Certificación STAR es uno de los componentes del Marco de Certificación Abierto (OCF, Open Certification Framework) desarrollado por BSI y CSA. Si una organización cumple con los dos requisitos, BSI puede emitir dos certificados simultáneos: ISO 27001 y STAR.

4.3. Una cultura de Open Data

4.3.1. Ley 19/2013, de 9 de diciembre, en España

El martes, 10 de diciembre de 2013 se publicó en el BOE número 295 la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno [2], que en una de sus vertientes se refiere a Open Data por parte de las Administraciones del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, entre otras.

El Capítulo III de dicha Ley configura de forma amplia el derecho de acceso a la información pública, del que son titulares todas las personas y que podrá ejercerse sin necesidad de motivar la solicitud.

Este derecho solamente se verá limitado en aquellos casos en que así sea necesario por la propia naturaleza de la información —derivado de lo dispuesto en la Constitución Española— o por su entrada en conflicto con otros intereses protegidos. En todo caso, los límites previstos se aplicarán atendiendo a un test de daño (del interés que se salvaguarda con el límite) y de interés público en la divulgación (que en el caso concreto no prevalezca el interés público en la divulgación de la información) y de forma proporcionada y limitada por su objeto y finalidad.

Asimismo, dado que el acceso a la información puede afectar de forma directa a la protección de los datos personales, la Ley aclara la relación entre ambos derechos estableciendo los mecanismos de equilibrio necesarios. Así, por un lado, en la medida en que la información afecte directamente a la organización o actividad pública del órgano prevalecerá el acceso, mientras que, por otro, se protegen —como no puede ser de otra manera— los datos que la normativa califica como especialmente protegidos, para cuyo acceso se requerirá, con carácter general, el consentimiento de su titular.

4.3.2. Artículos relacionados con la protección de datos

En el proyecto de Ley de transparencia, las disposiciones adicionales abordan diversas cuestiones como la aplicación de regulaciones especiales del derecho de acceso, la revisión y simplificación normativa —en el entendido de que también es un ejercicio de buen gobierno y una manifestación más de la transparencia el clarificar la normativa que está vigente y es de aplicación— y la colaboración entre el Consejo de Transparencia y Buen Gobierno y la Agencia Española de Protección de Datos en la determinación de criterios para la aplicación de los preceptos de la ley en lo relativo a la protección de datos personales.

Artículo 5. Principios generales.

3. Serán de aplicación, en su caso, los límites al derecho de acceso a la información pública previstos en el artículo 14 y, especialmente, el derivado de la protección de datos de carácter personal, regulado en el artículo 15. A este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos.

Artículo 14. Límites al derecho de acceso.

3. Las resoluciones que de conformidad con lo previsto en la sección 2.ª se dicten en aplicación de este artículo serán objeto de publicidad previa disociación de los datos de carácter personal que contuvieran y sin perjuicio de lo dispuesto en el apartado 3 del artículo 20, una vez hayan sido notificadas a los interesados.

Artículo 15. Protección de datos personales.

1. Cuando la solicitud de acceso se refiera a información pública que contenga datos de carácter personal se aplicarán las disposiciones previstas en esta Ley. No obstante, se aplicará la normativa de protección de datos personales cuando los que contenga la información se refieran únicamente al solicitante, sin perjuicio de que, en este caso, el otorgamiento del acceso permita el conocimiento por el solicitante no sólo de los datos que contenga la información de los que sea titular, sino de ésta en su totalidad.

2. Si la información solicitada contuviera datos especialmente protegidos a los que se refiere el apartado 2 del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de  datos de carácter personal, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.

Si la información incluyese datos especialmente protegidos a los que se refiere el apartado 3 del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, o datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso sólo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquél estuviera amparado por una norma con rango de Ley.

3. Con carácter general, y salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos sobre el interés público en la divulgación que lo impida, se concederá el acceso a información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano.

4. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.

Para la realización de la citada ponderación, el órgano tomará particularmente en consideración los siguientes criterios:

a) El menor perjuicio a los afectados derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.

b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.

c) El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.

d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.

5. No será aplicable lo establecido en los apartados anteriores si el acceso se efectúa previa disociación de los datos de carácter personal de modo que se impida la identificación de las personas afectadas.

6. La normativa de protección de datos personales será de aplicación al tratamiento posterior de los obtenidos a través del ejercicio del derecho de acceso.

Artículo 16. Acceso parcial.

En los casos en que la aplicación de alguno de los límites previstos en el artículo 14 no afecte a la totalidad de la información, se concederá el acceso parcial previa omisión de la información afectada por el límite salvo que de ello resulte una información distorsionada o que carezca de sentido. En este caso, deberá indicarse al solicitante que parte de la información ha sido omitida.

Artículo 20. Resolución.

3. Cuando la mera indicación de la existencia o no de la información supusiera la vulneración de alguno de los límites al acceso se indicará esta circunstancia al desestimarse la solicitud.

Disposición adicional quinta. Colaboración con la Agencia Española de Protección de Datos.

El Consejo de Transparencia y Buen Gobierno y la Agencia Española de Protección de Datos adoptarán conjuntamente los criterios de aplicación, en su ámbito de actuación, de las reglas contenidas en el artículo 15 de esta Ley, en particular en lo que respecta a la ponderación del interés público en el acceso a la información y la garantía de los derechos de los interesados cuyos datos se contuviesen en la misma, de conformidad con lo dispuesto en esta Ley y en la Ley Orgánica 15/1999, de 13 de diciembre.

 

4.3.3. La opinión del Director de la AEPD

Extractamos algunas de las reflexiones que aportó el director de la AEPD - José Luis Rodríguez Álvarez –, en su comparecencia en el Congreso de los Diputados el 23 de enero de 2013, [3] para hablar sobre el, por entonces, proyecto de Ley de transparencia, [6]  quién afirma que considera necesaria la Ley de transparencia, aunque a su juicio, el derecho de transparencia y de acceso a la información limita con otros derechos, entre ellos el derecho a la protección de datos de carácter personal.

Para el director de la AEPD no hay limitación a la información si se disocian los datos de carácter personal, de modo que no sea posible identificar a las personas afectadas. Considera que esa fórmula, la disociación, debería ser la regla siempre que los datos personales no sean relevantes, y que este punto debería recogerse en el texto de la ley. (Como así ha sido en el artículo 14. Ésta entrevista le fue realizada en enero de éste año).

Para Rodríguez Álvarez, la relación entre la Ley de protección de datos y la de transparencia no ha de ser conflictiva ni resolverse siempre a favor de la protección de datos, sino que debe haber un ponderación razonada de cada caso que lleven a cabo órganos administrativos competentes.

Cree que la aprobación de este proyecto de Ley tendrá efectos positivos para la protección de datos, al impedir una práctica frecuente: la denegación de datos amparándose sin fundamento en la LOPD.
 
  • En primer lugar, enunció José Luis Rodríguez Álvarez, es un problema la redacción del primer párrafo del artículo 15.1. Según está redactado, explicó, da a entender que el acceso a la información pública que contenga datos de carácter personal se haría excepcionando, aparentemente, la LOPD. A su juicio, eso condiciona o altera el régimen de aplicación de la Ley Orgánica de Protección de Datos (situación que no puede darse ante una ley de rango inferior).
  • En segundo lugar, el segundo párrafo del mismo artículo remite, a los interesados en documentos que contengan sus propios datos, a la LOPD (una normativa con contenido distinto y más limitado que la ley de transparencia). Es decir, que se crearían dos sistemas normativos, uno para quienes soliciten información que afecten a terceros y otro para quienes quieran acceder a información en que se vean afectados, siendo más restrictiva, paradójicamente, la normativa de este último caso.

Rodríguez Álvarez remata su exposición destacando que es muy adecuada la mención en la ley de la coordinación de criterios entre la AEPD y la Agencia Estatal de Transparencia [Véase la disposición adicional quinta].

Al responder, el director de la AEPD, sostiene que su aportación puede tener valor en lo relativo a la articulación entre transparencia y protección de datos, pero no se siente legitimado para tratar otros aspectos de la nueva ley.

Sobre la relación entre la Ley de Transparencia y la Ley de Protección de Datos afirma que es imposible predeterminar en un proyecto todos los elementos a considerar en caso de conflicto; y que revisando las regulaciones ya acreditadas se reduce finalmente a un criterio de ponderación, tomando en cuenta las circunstancias.

Comenta que la LOPD ya prevé que otra ley pueda determinar los supuestos en que se podrá ceder información, en consecuencia no es necesario tensar la articulación entre las dos normas y no ve necesario modificar la LOPD.

Sobre el estatuto jurídico de la ley, entiende que el derecho de acceso a la información debería ser un derecho fundamental contemplado a la hora de elaborar la constitución. Pero también existen a su juicio “serias dudas”, respecto a cómo se elaboró la Constitución Española en su momento, de que el acceso a la información pueda considerarse un derecho fundamental.

Sugiere que podría vincularse a alguno de los derechos fundamentales reconocidos en aquella, pero independientemente de ello no considera que la protección de datos sea ni vaya a ser un obstáculo a la transparencia. Lo que sí remarca es que la ley de transparencia tiene que articular los mecanismos de acceso a la información y que, si se deniega este acceso en aras de la protección de datos, deberá hacerse justificadamente.

Respecto a la gestión en otros países de los problemas en ciertas peticiones de datos, señala que existen dos modelos:
 
  • Uno en el que es la Agencia de protección de Datos se hace cargo.
  • Otros países, en los que es una agencia independiente.

Afirma que corresponde al legislador elegir, pero que lo esencial es que se articule de manera coherente y consecuente.

4.4. Compromiso compartido con la ciberseguridad

4.4.1. La seguridad no es simplemente comprar artilugios

La Información es un bien preciado, por lo que debemos tomar las debidas precauciones en su protección. La interconexión global a través de Internet ha multiplicado las amenazas.
 



El principal error es subestimar el riesgo o aplicar soluciones tipo “café para todos”. Por ejemplo de qué sirve disponer del firewall tecnológicamente más avanzado del mundo, para proteger de las amenazas de Internet, si:
 
 
  • Quienes lo precisan van creando en él reglas sobre la marcha, cada vez que se necesitan implementar servicios nuevos, sin evaluar su interacción y sin auditorías periódicas.
  • Nunca se actualiza su firmware y consecuentemente se arrastran vulnerabilidades existentes desde el origen.
  • Los dispositivos y ordenadores portátiles se conectan alternativamente desde fuera de la empresa a Internet sin firewall y también desde dentro de la red segura empresarial cuando quizá ya están infectados con un troyano.
  • Existen otros routers o elementos de conectividad en la red local empresarial que, al no estar inventariados, no se encuentran bajo el paraguas de la seguridad perimetral.
  • Etc. Etc. Etc.
 

 

Para ello implantar un SGSI (Sistema de Gestión de la Seguridad de la Información) basado en la norma ISO 27001:2013, con un alcance y unos objetivos bien definidos, es la única forma de garantizar una seguridad adaptada a las necesidades de la empresa y a los cambios de contexto.
 

La norma se basa en un análisis de riesgos para poder aplicar controles que mitiguen el riesgo de que las amenazas aprovechen las vulnerabilidades detectadas.

Para hacernos una idea, los 114 controles de la norma ISO 27001:2013 se dividen en los siguientes dominios y objetivos de control:

A.5 Políticas de seguridad de la información
A.5.1. Dirección de la gestión de seguridad de la información
A.6. Organización de la información de seguridad
A.6.1. Organización interna
A.6.2. Dispositivos móviles y teletrabajo
A.7. Seguridad de los Recursos Humanos
A.7.1. Antes del empleo
A.7.2. Durante el empleo
A.7.3. Finalización y cambio de empleo
A.8. Gestión de activos
A.8.1. Responsabilidad para con los activos
A.8.2. Clasificación de la información
A.8.3. Manejo de medios
A.9. Control de accesos
A.9.1. Requerimientos del negocio de control de accesos
A.9.2. Gestión de accesos de usuario
A.9.3. Responsabilidades de usuario
A.9.4. Control de accesos en sistemas y aplicaciones
A.10. Criptografía
A.10.1. Controles de criptografía
A.11. Seguridad física y ambiental
A.11.1. Áreas seguras
A.11.2. Equipos
A.12. Seguridad en las operaciones
A.12.1. Procesos y responsabilidades operativas
A.12.2. Protección de malware
A.12.3. Backup
A.12.4. Monitorización y logs
A.12.5. Control del software operativo
A.12.6. Gestión de vulnerabilidades técnicas
A.12.7. Consideraciones de auditoría en sistemas de información
A.13. Seguridad en las comunicaciones
A.13.1. Gestión de la seguridad en la red
A.13.2. Transferencia de información
A.14. Adquisición, desarrollo y mantenimiento de sistemas
A.14.1. Requisitos de seguridad de los sistemas de información
A.14.2. Seguridad en desarrollo y procesos de soporte
A.14.3. Testeo de datos
A.15. Relaciones con proveedores
A.15.1. Seguridad de la información en las relaciones con el proveedor
A.15.2. Gestión de la entrega de servicios del proveedor
A.16. Gestión de incidentes de seguridad de la información
A.16.1. Gestión de los incidentes y mejoras de seguridad de la información
A.17. Aspectos de seguridad de la información sobre gestión de la continuidad del negocio
A.17.1. Continuidad de la seguridad de la información
A.17.2. Redundancias
A.18. Cumplimiento
A.18.1. Cumplimiento con los requerimientos legales y contractuales
A.18.2. Opiniones de seguridad de la información






4.4.2. Estrategia de Ciberseguridad Nacional en España



Se ha presentado la “Estrategia de Ciberseguridad Nacional 2013”. Seguramente no es la mejor de las estrategias, pero es la primera estrategia a nivel nacional en España. Cualquier sistema de seguridad de la información, a cualquier escala, debe basarse en la mejora continua. En consecuencia lo importante no es la utopía de ser perfecto de entrada, sino la capacidad de evolucionar en positivo a lo largo del tiempo. Al fin y al cabo, el contexto, los diferentes actores y las amenazas, también variarán.


En cuanto a las líneas de acción, como no podía ser de otra manera, cita también al sector privado: “Ampliar y fortalecer las capacidades de detección y respuesta ante  ciber-ataques dirigidos contra objetivos de carácter nacional, regional o sectorial, incluyendo a ciudadanos y empresas


Concretamente la LÍNEA DE ACCIÓN 5 (Seguridad y resiliencia de las TIC en el sector privado) “tiene como objeto la mejora de la seguridad y la resiliencia de las redes, productos y servicios que emplea el sector industrial en el desarrollo de su actividad reforzando la colaboración público-privada con el sector industrial y en particular con el de la seguridad TIC. Se valorará, entre otros, la participación de los Colegios y Asociaciones profesionales.

 

  • El Gobierno desarrollará, entre otras, las siguientes medidas: Impulsar la cooperación entre los sectores público y privado, promoviendo el intercambio de información sobre vulnerabilidades, ciberamenazas y sus posibles consecuencias, especialmente en lo relativo a la protección de los sistemas de interés nacional.
  • Promover la cooperación con los sectores de la industria y los servicios de la ciberseguridad, con el fin de mejorar conjuntamente las capacidades de detección, prevención, respuesta y recuperación frente a los riesgos de seguridad del ciberespacio, impulsando la participación activa de los proveedores de servicios así como el desarrollo y adopción de códigos de conducta y buenas prácticas.
  • Impulsar el desarrollo de estándares en ciberseguridad a través de los organismos y entidades de normalización y certificación nacionales e internacionales, y promover su adopción”.


De la LÍNEA DE ACCIÓN 6 (Conocimientos, Competencias e I+D+i), destacaría: “(…) Desarrollar un Marco de Conocimientos de Ciberseguridad en los ámbitos técnico, operativo y  jurídico (…)”.


El Presidente del Gobierno, en la introducción del documento Estrategia de Ciberseguridad Nacional 2013, [4] cita textualmente:


“El uso de las Tecnologías de la Información y de la Comunicación se ha incorporado de forma general a la vida cotidiana de nuestra nación. Este nuevo escenario facilita un desarrollo sin precedentes en el intercambio de información y comunicaciones, pero, al mismo tiempo, conlleva serios riesgos y amenazas que pueden afectar a la Seguridad Nacional.


Varios son los factores que contribuyen a la proliferación de acciones delictivas en el ciberespacio:

 

  • La rentabilidad que ofrece su explotación en términos económicos, políticos o de otro tipo.
  • La facilidad y el bajo coste de empleo de las herramientas utilizadas para la consecución de ataques.
  • La facilidad de ocultación del atacante.


Hacen posible que estas actividades se lleven a cabo de forma anónima y desde cualquier lugar del mundo, con impactos transversales sobre los sectores público y privado y los propios ciudadanos.


Los distintos perfiles de atacantes que explotan las vulnerabilidades tecnológicas con el objeto de recabar información, sustraer activos de gran valor y amenazar los servicios básicos, pueden afectar al normal funcionamiento de nuestro país.


El disfrute pacífico de ciertos derechos fundamentales consagrados en nuestra Constitución y en el ordenamiento jurídico internacional puede verse seriamente comprometido como consecuencia de este tipo de acciones.


Plenamente consciente de la importancia de la cuestión y comprometido con el desarrollo de la Sociedad Digital, el Consejo de Seguridad Nacional ha impulsado la elaboración de la Estrategia de Ciberseguridad Nacional con el fin de dar respuesta al enorme desafío que supone la preservación del ciberespacio de los riesgos y amenazas que se ciernen sobre él.


La Estrategia de Ciberseguridad Nacional se adopta al amparo y alineada con la Estrategia de Seguridad Nacional de 2013, que contempla la ciberseguridad dentro de sus doce ámbitos de actuación.


La aprobación del presente documento de carácter estratégico pone de manifiesto las capacidades colectivas y el compromiso de una nación que apuesta en firme por garantizar su seguridad en el ciberespacio. Para España, los avances en el ámbito de la ciberseguridad contribuyen además aincrementar nuestro potencial económico, ya que promueven un entorno más seguro para la inversión, la generación de empleo y la competitividad.


La Estrategia de Ciberseguridad Nacional es el marco de referencia de un modelo integrado basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en la colaboración público-privada, y en la participación de la ciudadanía. Asimismo, dado el carácter transnacional de la ciberseguridad, la cooperación con la Unión Europea y con otros organismos de ámbito internacional o regional con competencias en la materia, forma parte esencial de este modelo.

 


 


Para el logro de sus objetivos, la Estrategia crea una estructura orgánica que se integra en el marco del Sistema de Seguridad Nacional. Esta estructura servirá para articular la acción única del Estado conforme a unos principios compartidos por los actores concernidos y en un marco institucional adecuado.


Esta dependencia del ciberespacio nos obliga a dedicar todos los medios necesarios a la hora de poner nuestras capacidades al servicio de la ciberseguridad. El entorno es dinámico y son muchas las incertidumbres y retos que afrontamos. Únicamente si nos comprometemos de forma decidida con la seguridad del ciberespacio, la competitividad de nuestra economía y la prosperidad de España serán una realidad posible”.
  
5. BIBLIOGRAFÍA CONSULTADA


- Neelie Kroes (Vice-President of the European Commission responsible for the Digital Agenda). “How to make Europe the world's safest online environment”. 11 November 2013. European Commission.
 
- [1] Grupo de protección de datos del artículo 29. “Dictamen 05/2012 sobre la computación en nube”. 1 de Julio de 2012. WP196. 01037/12/ES. Dirección General de Justicia de la Comisión Europea.
 
- [2] BOE número 295. “Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno”. Martes 10 de diciembre de 2013. 12887.
 
- [3] AEPD. “Vídeo de la comparecencia en el Congreso del director de la AEPD para informar en relación con el Proyecto de Ley de transparencia”. 23 de enero de 2013. Congreso de los Diputados.
 
- [4] Gobierno de España. Presidencia del Gobierno. Departamento de Seguridad Nacional. “Estrategia de Ciberseguridad Nacional”. 5 de diciembre 2013. lamoncloa.gob.es
 
- INTECO. “Guía para la gestión de fuga de información”. 30 de mayo de 2012. Ministerio de Industria, Energía y Turismo.
 
- INTECO. “Guía para entidades locales: cómo ahorrar costes y mejorar la productividad con Cloud Computing”. 3 de enero de 2013. Ministerio de Industria, Energía y Turismo.
 
- INTECO (CERT). “El puesto del operador – Guía básica de protección de infraestructuras críticas”. 14 de noviembre de 2013. CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).
 
- [5] DPI. ISMS Forum Spain. “Reflexiones sobre el futuro de la Privacidad en Europa – II Edición del Estudio de la propuesta de Reglamento de Protección de Datos de la UE”. Noviembre de 2013. Varios autores coordinados por Francisco Javier Carbayo y Carlos Alberto Saiz.
 
- [6] SENADO. X Legislatura. “Proyecto de Ley de transparencia, acceso a la información pública y buen gobierno”. TEXTO REMITIDO POR EL CONGRESO DE LOS DIPUTADOS. 20 de septiembre de 2013. Boletín Oficial de las Cortes Generales número 236.


 

Imágenes bajo licencia 123RF internacional.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

 

Sobre el autor:

 

José Luis Colom Planas Posee un doble perfil, jurídico y tecnológico, que le facilita el desempeño profesional en el ámbito del derecho de las nuevas tecnologías: Ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia y ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación).Ha superado el programa superior de especialización como Compliance Officer (Controller jurídico) en la Escuela Legal WKE y ha estudiado “El delito de blanqueo de capitales en nuestro Código Penal” en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Ha participado en la I Jornada internacional sobre blanqueo de capitales organizada por la Escuela de Postgrado; Facultad de Derecho de la UB.Es consultor empresarial especializado en GRC (Governance, Risk and Compliance) en GESCONSULTOR, con incidencia en cumplimiento normativo y regulatorio, privacidad  y gestión de la seguridad de la información.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.Dispone de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO 27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science). Es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC) y CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo),    habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del Observatorio Iberoamericano de Protección de Datos.


 



No hay comentarios:

Publicar un comentario