La gestión regulada de incidentes de ciberseguridad, un nuevo paso

Notificacion_incidentes_ciberseguridadQue la seguridad de la información está adquiriendo una importancia creciente para nuestra economía y nuestra sociedad y que ésta seguridad es absolutamente imprescindible para lograr la creación de un verdadero mercado único europeo electrónico, altamente competitivo y al mismo nivel o superior que otros mercados que todos tenemos en mente, es algo que a pocos se escapa.

Si atendemos a los datos hechos públicos por parte de la propia Comisión Europea el 57 % de los participantes en las encuestas realizadas por la Comisión han sufrido a lo largo del año 2012 incidentes de seguridad que han tenido graves consecuencias en sus actividades.

La falta de seguridad puede llegar a comprometer servicios vitales que dependen de la integridad de las redes y los sistemas de información, interrumpiendo las actividades de las empresas, generando cuantiosas perdidas financieras para la economía o poniendo en riesgo la propia seguridad nacional de los Estados y como no, del resto de países con los que éste se relacione habitualmente.

Es precisamente esta característica innata del medio, la globalidad y su carácter transfronterizo, lo que hace que la resiliencia y la estabilidad de las redes y cualquier tipo de sistema de información revistan suma importancia para lograr la consecución del mercado único digital y el buen funcionamiento del mercado interior de la Unión Europea.

La mayor probabilidad o frecuencia de los incidentes y la incapacidad de ofrecer protección suficiente llevan aparejada, indudablemente, una pérdida de confianza de los ciudadanos en los servicios electrónicos, retrasando la normal evolución de un mercado que se postula como el principal mercado en el que se desarrollará la actividad económica habitual en los próximos años.

Hasta el momento, la situación en la mayoría de los actores implicados en la Unión Europea era, (y en gran parte lo sigue siendo), un reflejo del planteamiento meramente voluntario, en el que eran los propios actores, ya fueran empresas privadas o organismos públicos, los que voluntariamente decidían si implantaban medidas de seguridad adecuadas para proteger tanto su información, como sus infraestructura, no existiendo apenas reglas, legalmente vinculantes, que establecieran cuál era el nivel de protección suficiente frente a incidentes y riesgos relacionados con la seguridad de la información, ni los medios especializados para comunicar los incidentes de Ciberseguridad detectados.

En este sentido, desde hace escasos 4 años, el mundo de Internet en general y de la ciberseguridad en particular ha iniciado un camino de no retorno en lo que a su regulación normativa se refiere. Desde que en el año 2010 se aprobara el Real Decreto 3/2007 por el que se aprueba el Esquema Nacional de Seguridad, hemos asistido a una incesante aprobación de textos normativos en los que o bien, íntegramente se abordaban cuestiones concretas y particulares relacionadas con la Ciberseguridad, o bien se introducen modificaciones en normas ya vigentes en nuestro ordenamiento jurídico, que actualizan o introducen obligaciones adicionales en materia de Ciberseguridad.

Sin ánimo de realizar una relación completa de todas y cada una de las normas de aprobación relativamente reciente que tratan directamente las obligaciones en materia de Ciberseguridad, cabe destacar la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y su Reglamento de desarrollo, la Ley 5/2014 de Seguridad Privada, la Estrategia Nacional de Ciberseguridad aprobada a finales del año 2013 o la reciente Ley 9/2014 de Telecomunicaciones, encargada de introducir en la Ley 34/2002 varias modificaciones directamente relacionadas con la Ciberseguridad.

Concretamente y por tratarse de la última norma aprobada que introduce regulación específica en materia de Ciberseguridad, debe tenerse en consideración la reciente Ley 9/2014, de 9 de mayo, de Telecomunicaciones, que en su Disposición Adicional Segunda, apartado quince y dieciséis, se modifica la Disposición Adicional Octava y Novena de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI-CE)

Concretamente, la citada modificación normativa se centra en dos ejes fundamentales y que desde nuestro punto de vista venían siendo extraordinariamente necesarios en nuestro ordenamiento jurídico. Estos son:

En primer lugar, se establece la obligación de colaboración, por parte de los agentes del mercado implicados, con las autoridades competentes imponiéndose la obligación sobre los diferentes actores implicados de facilitar toda la información, datos o evidencias que faciliten o en su caso, permitan la persecución de actividades ilícitas en el Ciberespacio.

Concretamente, los agentes implicados que deberán colaborar con los CERT, o Equipos de Respuesta a Incidentes de Seguridad de la Información a los que hace referencia expresa la citada norma son los siguientes:

  1. Entidades de Registro de Nombres de Dominio establecidos en España
  2. Los Equipos de Respuesta de Incidentes de Seguridad Públicos
  3. Los Prestadores de Servicios de la Sociedad de la Información establecidos en España

Concretamente la modificación introducida es clara en determinar lo que se va a convertir en eje fundamental para lograr dotar al Ciberespacio, al menos dentro de las fronteras de España y de la Unión Europea, de un mayor grado de coordinación y de seguridad. Lejos de pensar que se trata de la imposición de medidas de seguridad específicas, se centra en determinar la obligación de los tres principales actores del Ciberespacio y sobre los que se sustentan tanto las infraestructuras de Telecomunicaciones, como los servicios que corren sobre las mismas, de compartir información respecto a los incidentes de Ciberseguridad que se hayan podido producir en sus plataformas, servicios o infraestructuras (identificación de origen, destino, riesgos asociados y efectos producidos con las autoridades competentes)

En segundo lugar se introduce una nueva modificación normativa en la Disposición Adicional Novena de la LSSI-CE, siendo ésta la que desde un punto de vista jurídico introduce mayores dudas, en tanto supone la imposición legal de bloqueo, semiautomático de cualquier servicio o infraestructura que pueda suponer un riesgo para la red, sin que para ello sea necesario contar con autorización previa de la autoridad competente.

El supuesto de hecho es relativamente sencillo, además de habitual. Una plataforma web, operada bajo un nombre de dominio “.es” y alojada en un proveedor de servicios de alojamiento (ISP) dispone de software malicioso (ya sea introducido voluntariamente o no) que puede estar permitiendo que dicha plataforma sea utilizada como plataforma para llevar a cabo acciones delictivas en la red y por tanto, suponiendo un riesgo para el resto de actores.

En este caso, el proveedor de alojamiento, así como el agente registrador del nombre de dominio, una vez detectado que el sitio web en cuestión puede estar siendo origen de algún incidente de Ciberseguridad, deben, de oficio, y sin necesidad de obtener ningún tipo de autorización por parte de la autoridad competente, paralizar o poner en “cuarentena” la plataforma online en cuestión que se encuentre afectada por el incidente de seguridad, garantizando así que el riesgo para el Ciberespacio es anulado en su origen.

Como se indica, la normativa ampara expresamente que esta acción de desconexión puede ser realizada sin ningún tipo de autorización previa por parte de autoridad competente, sino que basta únicamente con que el Prestador de Servicios o Agente Registrador de dominios, preavise al titular de la plataforma online que está viéndose afectada por un incidente de ciberseguridad.

Desde luego, teniendo en cuenta la facilidad de propagación de la mayoría de ataques de Ciberseguridad y el efecto de escalado y replicación que una plataforma online infectada puede suponer, no sólo para el propio prestador de servicios de la sociedad de la información ubicado en España, sino para cualquier usuario o prestador que opere en el Internet, hacen que al menos desde el punto de vista práctico y sobre todo, desde el objetivo último lograr minimizar los riesgos para el Ciberespacio y el resto de actores que operan el mismo, nos haga plantearnos, si sería posible teniendo en cuenta la rapidez con la que es necesario actuar en estos casos, si existe alguna alternativa viable a la introducida por la normativa comentada.

A modo de conclusión, podemos afirmar que los Estados van tomando consciencia de la importancia que va a jugar (y que ya está jugando en algunos ámbitos) el Ciberespacio y la seguridad del mismo en el desarrollo económico y social de nuestras sociedades, por lo que comenzamos a ver cambios normativos encaminados a dotar de las medidas de seguridad, tanto de carácter organizativo o carácter operacional, como de  protección, a los diferentes agentes implicados.

A pesar de ello, desde nuestro punto de vista, debe apostarse de forma clara y lo antes posible, por aprobación de una normativa común, si no de nivel global (dada la complejidad para lograr una empresa de ese tipo), sí de carácter internacional a nivel comunitario, que defina una serie de reglas y obligaciones que todos los agentes del mercado implicados en la Ciberseguridad deban cumplir, de tal forma que las respuestas a los incidentes de Ciberseguridad sean realizados de forma uniforme y absolutamente coordinada, dando así soluciones globales, a los retos globales que el Ciberespacio nos plantea a diario.

Artículo publicados en la Revista SIC – Ciberseguridad, Seguridad de la Información y Privacidad. Acceso al artículo completo en formato .PDF.

¿Cómo anonimizar correcta y legalmente datos personales?

Esa debe ser la pregunta que el Grupo de Trabajo del Artículo 29 (WP29) se ha planteado, ante la escasa claridad de la normativa al respecto y las múltiples situaciones en las que es necesario, dada la actividad, llevar a cabo la anonimización de los ficheros que contienen datos personales y los múltiples beneficios que esto puede acarrear a los proyectos y actividades en los que se desarrolla el trabajo.

En este reciente documento publicado por el WP29 (de fecha 10 de abril de 2014) el grupo de expertos analiza la eficacia y los límites que deben ser tenidos en consideración a la hora de aplicar procesos de anonimización de datos personales, entrando a analizar específicamente las principales técnicas existentes y valorando para cada una de ellas el riesgo residual de identificación que es inherente a cada uno de los sistemas.

El WP29 reconoce el valor que la anonimización puede y debe jugar en entornos como el “Big Data”, y en particular, en entornos y estrategias de mercado basados en “Open Data” que correctamente aplicados pueden llegar a generar pingües beneficios para la sociedad y los mercados implicados, sin dejar de lado el análisis y consideración de los múltiples estudios y publicaciones investigación que han demostrado lo difícil que es lograr crear un conjunto de datos verdaderamente anónimo, sin que ello implique la pérdida de gran cantidad de información y datos que hagan ineficaces la información publicada.

Descarga en PDF de la Opinión 05/2014 sobre Técnicas de Anomización de Datos Personales (Opinion 05/2014 on Anonymisation Techniques)

Risk & Compliance. Identificación, Análisis y Gestión de Riesgos Corporativos

Captura de pantalla 2014-02-04 a la(s) 00.40.41

Disponer de una estrategia integral para la identificación, análisis, evaluación y gestión del riesgo legal corporativo en las organizaciones de hoy día, es una necesidad esencial para lograr generar la confianza reclamada insistentemente por inversores, clientes y demás agentes del mercado, además de lograr reducir los riesgos legales de la compañía, aumentar la eficiencia de la organización y facilitar la toma de decisiones por parte del “Board”

A ninguno se nos escapa que la actual situación económica ha provocando que la mayoría de organizaciones comiencen a implementar planes encaminados a mejorar y aumentar su eficiencia, los sistemas de control internos, así como la disposición de de sistemas internos de monitorización y control del “estado de salud” de la organización.

En este proceso de cambio, como no podía ser de otra forma, Gobiernos y Entes Reguladores iniciaron hace algunos años un profundo proceso de regulación con impacto en la mayoría de sectores, caracterizándose las diferentes normas promulgadas por introducir sistemas de control efectivo, de transparencia y de buen gobierno corporativo orientados  a lograr los máximos grados de participación, legalidad, transparencia, responsabilidad, consenso, equidad, eficacia, eficiencia y sostenibilidad.

La creación del mercado común europeo, entre cuyas principales orientaciones se encuentra promover la unificación de la normativa aplicables en todos los países miembros; los frecuentes casos de corrupción en organismos públicos y privados con graves efectos colaterales para las economías nacionales; o las importantes quiebras  que desde inicios del S. XXI hemos tenido ocasión de presenciar, tales como la de compañías como Lehman Brothers, y todo lo que de ella dependía a nivel mundial, Enron, Worldcom, AOL o Arthur Andersen, caídas que en muchos casos se produjeron por la falta de control interno y externo del cumplimiento normativo, han obligado al establecimiento de un marco regulador uniforme, del que se derivan una serie de reglas básicas cuyo cometido no es otro que, sin llegar a anular la necesaria capacidad privada para la gestión de las organizaciones, existieran herramientas y métodos, más o menos uniformes, que permitieran anticiparse y prever los posibles efectos derivados de estas situaciones, así como dotara al resto de los agentes del mercado de medios suficientes para poder reaccionar desde el punto de vista jurídico y económico para la defensa de sus intereses.

Desde los departamentos jurídicos y de cumplimiento normativo, como la gran mayoría de las disciplinas empresariales, hemos tenido que evolucionar con los tiempos, adaptándonos a los requisitos que una sociedad y un mercado, cada vez más exigente, nos requieren.

Los servicios de asesoramiento y consultoría legal tradicionalmente han estado orientados únicamente a identificar posibles incumplimientos normativos de la organización, centrándose en la proposición de las medidas correctoras oportunas para lograr solucionar los incumplimientos de la organización, sin que en ningún momento se realice una identificación de los riesgos reales que la organización asume en caso de incumplimiento, ni tampoco analizar el coste / beneficio que podría implicar el cumplimiento, o en su caso el incumplimiento normativo en cuestión.

Ante los cambios normativos tan habituales a los que no estamos viendo sometidos en los últimos tiempo, la intensificación de los niveles de responsabilidad de los consejos de administración, así como la imposición de la obligación de debido y efectivo control en las compañías o de evaluación del riesgos de las organizaciones, el asesoramiento jurídico prestado siguiendo las metodologías tradicionales, en muchas ocasiones, ha dejado de aportar niveles de seguridad frente al riesgo efectivamente razonables, convirtiéndose el cumplimiento normativo en una carga pesada para las organizaciones, que en muchas ocasiones son mantenidas únicamente por tratarse de una mera imposición legal, sin que se extraiga un valor añadido real a la compañía, como podría ser, por ejemplo, al aumento de la valoración de la compañía en bolsa.

El principal elemento adicional que se está introduciendo en la valoración jurídica, es el elemento del Riesgo, un Riesgo, que debe ser calculado tomando como referencia criterios actuariales, ampliamente utilizados en el sector asegurador o financiero, en el que mediante la aplicación de un sencilla fórmula matemática (Riesgo = Probabilidad x Impacto), también, por qué no, los asesores legales podemos poner a disposición de nuestros Consejos un potente instrumento con el que poder valorar, basándonos en datos puramente objetivos, las decisiones asociadas al cumplimiento de determinadas normas o en su caso el grado de cumplimiento.

Son cuatro los elementos que debemos tener en cuenta a la hora de calcular el riesgo asociado al incumplimiento de una determinada obligación legal:

1)    Probabilidad: siendo la frecuencia con la que se produce una determinada amenaza.

2)    Amenaza: siendo la situación que en caso de constatarse, junto a la vulnerabilidad, produciría necesariamente que el impacto se materializara.

3)    Vulnerabilidad: produciéndose cuando no existe o no se aplica una medida específica, ya sea jurídica, técnica u organizativa, encaminada a eliminar el riesgo en su origen, o en su caso, mitigarlo para su adecuada gestión.

4)    Impacto: efectos, directos e indirectos (no sólo económicos, sino también reputacionales, bloqueo de operaciones, etc) , que pueden llegar a derivarse en caso de que se materialice una determinada amenaza.

Para la identificación, evaluación y gestión del riesgo, contamos en la actualidad con estándares internacionales como ISO/IEC 31.000 que ponen a nuestra disposición una metodología uniforme, común y reconocida a nivel internacional para identificar, analizar, evaluar y tratar los potenciales riesgos, contribuyendo a minimizar las áreas de incertidumbre y a la mejora del desempeño, proporcionando las directrices necesarias para gestionar eficazmente cualquier tipo de riesgo de una manera sistemática, transparente y fiable, ayudando a desarrollar un marco de trabajo para integrar la gestión del riesgo en todos los procesos de la empresa y como no, también en los procesos asociados al área legal de la organización.

Son sectores como el asegurador, financiero, telecom o energético en los que la normativa nacional, comunitaria e internacional de reciente publicación, está haciendo especial hincapié en la necesidad de que las organizaciones se doten de sistemas internos de Governance, Risk & Compliance (GR&C) que permitan a las entidades poder establecer internamente un Framework para la gestión de riesgos y cumplimiento normativo, pero no sólo financieros u operacionales, sino también para los riesgos asociados al cumplimiento normativo.

grafico_compliance_riesgos

La mayoría de la normativa de aplicación a la empresa privada, especialmente si ésta pertenece a sectores con alta regulación o compañías que cotizadas, impone la obligación de realizar auditorías periódicas, así como publicar datos estadísticos del nivel de cumplimiento y de los riesgos asumidos por la compañía, así como sobre el grado de cumplimiento y desarrollo de una determinada ley o marco regulatorio.

Del mismo modo, es habitual que la normativa en cuestión requiera las máximas garantías de objetividad, independencia e integridad de todos y cada uno de los procesos de evaluación de cumplimiento, de tal forma que una vez emitidos no puedan ser variados. Todo ello no tiene otro objetivo que reforzar la confianza de inversores y clientes, mediante la reduciendo del riesgo de la compañía y especialmente, mediante la acreditación permanente de los niveles de cumplimiento normativo de la organización.

Desde el punto de vista normativo, cabe destacar entre las principales normas que apunta a la necesidad de establecer un “FrameWork” de cumplimiento normativo, en el que se realice una auditoría y evaluación periódica del nivel de cumplimiento, así como se mantengan registros acreditativos del cumplimiento periódicos o en su caso sistemas de evaluación de riesgos legales corporativos

A nivel Nacional, cabe destacar lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y particularmente por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, donde se establece, entre otras, la obligación por parte de cualquier tipo de entidad que trate datos personales que sean catalogados de un determinado nivel de seguridad deben someter los sistemas de información empleados para el tratamiento de los mismos, a una auditoría bienal, además de llevar a cabo la elaboración de un Documento de Seguridad interno en el que se describan todas las medidas de seguridad y organizativas aplicadas sobre los sistemas de información y tratamiento de datos personales.

Del mismo modo, es igualmente destacable el papel que juega en este sentido la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, donde se establece expresamente que los sujetos obligados deberán aprobar por escrito y aplicar políticas y procedimientos adecuados en materia de diligencia debida, información, conservación de documentos, control interno, evaluación y gestión de riesgos, garantía del cumplimiento de las disposiciones legales pertinentes y comunicación de las mismas a los organismo reguladores, con objeto de prevenir e impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo, extendiendo lo dispuesto en las citadas políticas a las sucursales y filiales con participación mayoritaria situadas en terceros países.

Es también importante, por el tipo de norma de que se trata, tener en cuenta lo dispuesto en la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, en lo que respecta a la responsabilidad penal de personas jurídicas, donde se dispone que  las personas jurídicas serán también penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de los representantes legales y administradores de hecho o de derecho, han podido realizar los hechos por no haberse ejercido sobre ellos el “debido control” atendidas las concretas circunstancias del caso.

Precisamente, el “debido control” requerido por la norma no es otro que el establecimiento de sistemas de gestión y control internos, políticas de seguridad y prevención así como sistemas de evaluación permanente del nivel de cumplimiento de los objetivos previamente establecidos.

A nivel internacional, concretamente en los Estados Unidos de América (USA), cabe tener en consideración lo dispuesto por la Sarbanes – Oxley Act of 2002, Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista, norma de frecuente aplicación por parte de compañías españolas, en tanto éstas compañías coticen en la bolsa de los Estados Unidos o en su caso coticen en otras bolsas internacionales que lleven a cabo negocios en los EE.UU, cosa que suele ser extraordinariamente habitual.

Esta norma pretende lograr la generación de confianza entre los clientes y especialmente inversores, mediante la creación de estándares de auditoría y selección de los equipos auditores; el establecimiento de controles internos con el fin de asegurar la transparencia financiera, así como la precisión y responsabilidad individual sobre la información contenida en los mismos; la realización de evaluaciones y auditorías internas, que deberán constar en todo caso por escrito, en los que se establezca la responsabilidad del equipo directivo de tener una estructura de control adecuada para los informes de estados financieros y en todo caso, se acredite haber realizado una evaluación sobre la eficacia de los controles efectivamente aplicados.

Como vemos, de nuevo se trata de una norma aplicable a una gran número de compañías española que dispone la necesidad de disponer de controles internos y sistemas que integren el cumplimiento normativo de la organización con una identificación, análisis y evaluación de riesgos, con el fin de dotar a la información manejada por la compañía de la trazabilidad, transparencia e integridad requeridas por el mercado, con el fin de garantizar la máxima confianza, especialmente a inversores y resto de agentes del mercado.

Por último y dada la importancia de la materia y la conexión con la normativa de protección de datos anteriormente comentada, es de especial trascendencia la Health Insurance Portability and Accountability Act (HIPAA), normativa específica de privacidad respecto a datos relativos a salud aplicable a todos los planes de salud, centros de salud, así como a cualquier entidad que preste servicios relacionados con la salud que transmita este tipo de información en el territorio de los Estados Unidos de América (USA)

En definitiva, y a modo de conclusión, como no podía ser de otra forma, el mundo del Derecho y del Cumplimiento Normativo se está viendo sacudido en los últimos tiempos por la entrada en vigor de una gran número de normas, tanto nacionales, como internacionales que requieren el establecimiento en las compañías de políticas internas y sistemas de evaluación del cumplimiento normativo orientadas al riesgo, lo que necesariamente requiere la modernización de los sistemas de cumplimiento normativo y la conceptualización de los servicios de asesoramiento jurídico, en tanto que deben ser prestados atendiendo al riesgo y al coste-beneficio asociado al incumplimiento de cada obligación legal.

El papel de los asesores jurídicos y abogados, internos y externos, en este proceso de cambio del que estamos siendo partícipes, se torna en crucial para lograr que nuestra labor sea vista por parte de los consejos e inversores como un servicio esencial que aporta un valor claro a la organización, con un retorno de la inversión, claramente definido y cuantificable.

Artículo publicado en la Revista Economist & Jurist el pasado día 30 de agosto de 2013. Disponible para su descarga en PDF. Risk_& _Compliance_Identificación_Análisis_Gestión_Riesgos_Corporativos

Photo Credit: saturn ♄ via Compfight cc