Nos hemos hecho eco muchas veces de las orientaciones y consejos que la Agencia Española de Protección de Datos (AEPD) publica periódicamente para diferentes colectivos y fines. En esta ocasión, nos vamos a centrar en la guía que se dirige a minimizar el riesgo de brechas de ciberseguridad en el entorno de las Administraciones Públicas (AAPP).
En la guía, publicada el 28 de marzo, se recogen pautas y recomendaciones para conseguir una mejor gestión de los riesgos que implica el tratamiento masivo de datos personales. Y se concibe como una herramienta clave no solo para las personas implicadas, sino también para la sociedad en general.
Los antecedentes
Las AAPP no están exentas de sufrir brechas de seguridad en sus sistemas, igual que le ocurre a cualquier empresa privada. Las cifras hablan por sí solas: en 2021, la AEPD registró 163 avisos de brechas de seguridad en el sector público. Y, en 2022, el número se incrementó hasta un total de 243 (un 49% más).
Por este motivo, sus responsables deben asumir que el riesgo existe, por muchas medidas que se hayan implementado para evitarlo. Anticiparse a las consecuencias, que pueden ser nefastas, trabajando desde el diseño del tratamiento, es vital para minimizar el impacto tanto personal como social que se puede generar.
Recomendaciones clave para las AAPP
Esta nueva guía de la AEPD contiene un completo listado de medidas que las AAPP deberían implementar para detectar, dar respuesta, revisar y supervisar las brechas de seguridad y llevar a cabo una correcta gestión de las mismas. En concreto, los consejos giran entorno a estas áreas o temáticas:
Los tratamientos de alta complejidad
Cada vez más, en los tratamientos el número de agentes que intervienen y los medios técnicos y las tecnologías que se utilizan son múltiples. En estos casos, y sobre todo cuando se maneja un elevado volumen de datos y el intercambio de los mismos se produce de forma automatizada, las precauciones han de extremarse todavía más.
Las estimaciones de riesgo
En todos los tratamientos, pero especialmente en los de alta complejidad, se requiere realizar estimaciones de los riesgos que una brecha de seguridad podría conllevar para los derechos individuales y para la sociedad. Aparte, se aconseja encarecidamente prever las medidas de respuesta más adecuadas para que estos efectos sean lo menos perjudiciales posible.
La gestión del riesgo
Es función del responsable del tratamiento la adecuada evaluación y gestión del riesgo, una labor para la que la AEPD recuerda que es vital la coordinación de todos los intervinientes y que se puede recurrir a terceros para seleccionar, ejecutar, revisar y actualizar la aplicación de las medidas que sean necesarias para cumplir su función.
La implementación de medidas adaptadas a cada nivel de riesgo
Las medidas que se implementen en cumplimiento del Reglamento General de Protección de Datos (RGPD) deben ser apropiadas y diseñarse en función de las características específicas del tratamiento. Así, se seleccionarán valorando los siguientes aspectos del tratamiento:
- Su naturaleza y la forma en la que se implementa.
- Su entorno o el contexto en el que tiene lugar.
- El ámbito de extensión del tratamiento en cuanto a interesados, datos y frecuencia, por ejemplo.
- Los fines del tratamiento.
- Los riesgos que pueden existir para los interesados.
El papel del delegado de protección de datos
Los delegados de protección de datos (DPD) tienen un papel muy importante en esta materia y deben trabajar conjuntamente con los responsables de seguridad en la gestión de las incidencias. Su asesoramiento ha de garantizarse y tenerse en cuenta y, para ello, se pondrán en marcha mecanismos que faciliten esta participación e intercambio de información.
Las políticas de protección de datos
No hablamos solo de un simple documento, sino de una hoja de ruta que indique a todos los agentes implicados cómo actuar para dar una respuesta eficiente a una brecha de seguridad de cualquier dimensión. Además, la política de protección de datos ha de coordinarse desde los niveles más altos de de la organización y contando con la cooperación de las autoridades con competencias.
Algunas medidas recomendadas
Para que puedas hacerte una idea aproximada, a continuación te mostramos una selección de algunas de las medidas que la AEPD recomienda y que nos parecen más significativas, aparte de las que ya se han comentado:
- Ejemplos de medidas de prevención: realizar ejercicios de forma conjunta para visualizar diferentes escenarios de brechas de seguridad, categorizar los datos que puedan considerarse sensibles, identificar los datos de más impacto y excluirlos de la gestión totalmente automatizada, contar con planes de resiliencia, proteger las copias de seguridad igual que se protegen los datos, actualizar periódicamente los sistemas o prohibir el uso de credenciales genéricas.
- Ejemplos de medidas de detección: establecer límites de consulta por usuario, implementar sistemas para detectar intentos de acceso fallidos y también sistemas de alerta temprana o trabajar con honey pots (sistemas ‘trampa’ para atraer, como un señuelo, a los ciberatacantes).
- Ejemplos de medidas de respuesta: disponer de planes de respuesta eficaces, diseñar procedimientos que permitan que los incidentes lleguen cuanto antes al DPD o a los responsables de la organización, establecer canales ágiles de comunicación, valorar la posibilidad de emitir comunicados públicos o notificar los hechos al Equipo de Respuesta ante Emergencias Informáticas (CERT) y a las autoridades correspondientes.
- Ejemplos de medidas de revisión: diseñar protocolos para evaluar cambios en el contexto de la brecha de seguridad, celebrar reuniones periódicas entre los responsables de seguridad y los DPD o realizar auditorías de privacidad.
Esta es una muestra de las muchas medidas que la agencia recomienda en su última publicación. Desde APDTIC, aconsejamos revisar la guía de la AEPD para AAPP al completo a todos aquellos que tengan un papel importante en el tratamiento de datos personales en el ámbito de las AAPP.
