La norma ISO27701 nos presenta un sistema de gestión de seguridad de la información enfocado a la protección de datos de carácter personal.

Los SGPI (Sistema de gestión de la privacidad de la información) conocidos en inglés como PIMS (Protection Information Management System) son una herencia directa de los SGSI (Sistema de Gestión de Seguridad de la información) basados en ISO27001.

Por ello, el cumplimiento de puntos de norma y controles de seguridad son la base de la garantía del sistema de gestión para la protección de los datos de carácter personal, en esta norma se denomina IIP (Información de identificación personal) o PII en inglés (Personally Identifiable Information).

Además, tenemos dos figuras clave que emanan del 2016/676 RGPD (Reglamento General de Protección de Datos) que son el responsable del tratamiento de datos personales y el encargado del tratamiento.

Estructura de la norma

La norma ISO27701 se halla dividida en cuatro grandes bloques:

Capítulo 5 Requisitos específicos del SGPI relacionados con la norma ISO27001

Capítulo 6 Guía específica del SGPI relacionadas con la norma ISO27002

Capítulo 7 Guía adicional de la norma ISO27001 para el responsable de tratamiento de IIP

Capítulo 8 Guía adicional de la norma ISO27001 para el encargado del tratamiento de IIP

Capítulo 5

En el primer bloque se sigue la misma estructura de alto nivel, común en las ISO de sistemas de gestión. Compuesta por los 10 puntos de la norma ISO27001. Y en este caso encontramos ampliaciones en los puntos 4 (5.2 en ISO27701) y 5 (5.4 en ISO27701).

En el primer punto amplía la totalidad de los apartados: comprensión del contexto, partes interesadas, alcance y sistema de gestión.

Y en el segundo amplía los requisitos para evaluación y tratamiento de riesgos.

Capítulo 6

El segundo bloque se compone de los controles de ISO27002 y las ampliaciones necesarias de los mismo respecto a PII.

Pasamos a describirles una aproximación a las actuaciones necesarias

TISAX Seguridad de la información en el sector de la automoción.

Es habitual en estos últimos tiempos contemplar como la seguridad se va adquiriendo peso en nuestras vidas. La preocupación por conservar nuestros activos, sea en la vida privada o profesional, alcanza una mayor dimensión año tras año.

En el mundo empresarial, la seguridad puede suponer un elemento de notoriedad como argumento de venta y en muchos casos un requisito que el cliente nos exige. La aparición de las normas más genéricas a principios de siglo como la ISO27001 o el Esquema Nacional de Seguridad se alimento de la guerra contra el terrorismo en respuesta al 11-S. También es cierto que la mayor digitalización ha generado nuevos escenarios con vulnerabilidades y amenazas que no podíamos imaginar. Antivirus, encriptación, doble autenticación, entre otros, son conceptos cada vez más comunes en el desarrollo cotidiano de nuestras tareas.

El sector de la Automoción no podía quedar al margen de esta tendencia y tenía que exponerse en este mundo con voz propia. En las postrimerías del 2016 los fabricantes de coches germanos (Voslkwagen, Daimler-Benz, BMW,…) acordaron a desarrollar una serie de requisitos de seguridad de la información.

A través de ENX Association se estableció la iniciativa TISAX (Trusted Information Security Assessment eXchange) para el desarrollo de un mecanismo de evaluación e intercambio de la seguridad de la información de las empresas, que permitiera el reconocimiento y los resultados de la evaluación entre los integrantes.

Este sistema de evaluación se concibió mediante la VDA (Verband der Automobilindustrie) asociación germana de la industria del automóvil que dispone de un amplio abanico de normas. Así cogió forma, la norma VDA-ISA (Information Security Assessment), actualmente en su versión 5.0.4, como listado de requisitos y su método de evaluación.

Característica del sistema de gestión VDA-ISA

La norma VDA-ISA no es un sistema de gestión al uso tipo ISO, en la que se definen una serie de puntos y la organización establece una documentación descriptiva y genera registros derivados de su aplicación. En este caso la norma establece una serie de controles que establece unos requisitos concretos a cumplir. Por así decir se asemeja más al Anexo A de la norma ISO27001.

Existen tres grandes grupos de controles, organizados en 3 módulos:

Módulo de Seguridad de la Información

1. Políticas y seguridad
2. Recursos Humanos
3. Seguridad Física y continuidad del negocio
4. Identidad y gestión de accesos
5. Seguridad IT/ Ciberseguridad
6. Relación con proveedores
7. Cumplimiento

En este primer módulo se establecen los controles generales de seguridad que toda organización debe cumplir. Desde los aspectos más generales que establecen los pilares de gestión de la seguridad se tratan 6 grandes grupos. Cuatro de ellos tienen implicaciones generales a nivel de gestión de recursos (Instalaciones, Recursos humanos, proveedores y cumplimiento), si bien en todos ellos se siente el impacto de la seguridad digital es en los dos restantes donde los sistemas de información cogen enjundia.

Módulo Protección de prototipos

8.1 Seguridad Física y entorno
8.2 Requisitos de la organización
8.3 Manipulación de vehículos, componentes y partes
8.4 Requisitos de pruebas de vehículo
8.5 Requisitos de eventos y filmaciones

Este módulo soló es de aplicación para aquellas organizaciones que disponen de la actividad de diseño y desarrollo de prototipos. Los dos primeros grupos ahondan en las necesidades ya expuestas en el módulo de seguridad de la información, enfocado a seguridad de prototipos. En los siguientes 3 grupos están centrados en la manipulación de los prototipos en sus ámbitos de revisión, transporte, pruebas o actuaciones de marketing

Módulo de Protección de datos

9.1 Implementación
9.2 Conformidad con la legislación
9.3 Revisiones periódicas
9.4 Proceso documental

Finalmente disponemos del módulo de protección de datos, este aspecto ya está referenciado dentro del grupo 7 de cumplimiento del primer módulo y aquí se despliega en profundidad para dar cumplimiento la protección de datos de carácter personal

Estos tres módulos suponen un total de 67 controles (41 de seguridad de la información, 22 de prototipos y 4 de protección de datos), número inferior a los 114 controles del Anexo A de ISO27001, pero que entraña una sorpresa al contemplar el número de requerimientos de cada control suponiendo en el alcance más amplio una suma total de 406 requisitos.

Este número de requisitos variará en función de la necesidad o no del módulo de prototipos y del nivel de seguridad exigido. Este nivel de seguridad presenta tres niveles que van del normal, alto al muy alto, y supondrán en los dos últimos niveles requisitos adicionales hasta contemplar los mencionados 406 en el caso de muy alto y que se incluya prototipos.

Existen 6 niveles de madurez para cada control:

0-incompleto
1-en desarrollo
2-gestionado
3-establecido
4-predictible
5-optimizado

Esto permitirá el cálculo y la cuantificación de los requisitos dando una imagen general del estado de la organización.

Para la gestión y cumplimiento de la norma ENX nos facilita un documento, el Self-Assessment, en su versión actual 5.0.4. Este documento dispone de una estructura de pestañas con los niveles de madurez, definiciones, tres pestañas de controles, dos pestañas de resultados, ejemplos de indicadores KPI (Key Perfomance Indicator),…

Últimos cambios de la norma VDA-ISA

La verdad es que en la última versión 5.0.4 los cambios son irrelevantes desde la versión 5.0.0 solamente se han producido modificaciones respecto a glosario, la numeración del modulo de protección de datos y alguna referencia.

Hemos de contemplar el salto de la versión 4.1.0 a la 5.0.0 para encontrar una integración y cambio sustancial de controles, así como la remuneración de los mismos. En la actualidad es normal encontrar organizaciones que estructuran su sistema de seguridad de la información con la estructura antigua (4.1.0).

Luces y sombras del sistema de evaluación TISAX

 Desde el punto de vista del valor añadido que puede suponer es evidente que supone un nivel superior respecto a otras certificaciones que no disponen de tantos requisitos. Además, el hecho que sea un sistema de evaluación puntuado le confiere un plus de interpretación.

Toda la información, documentos y formatos se encuentran disponibles en su portal https://www.enx.com/en-US/enxassociation/  de forma totalmente gratuita.  Esto también supone un ejercicio de transparencia y funcionalidad respecto a otros sistemas de evaluación.

Las principales dificultades radican en ser capaces de acercar la norma VDA-ISA a la realidad de las empresas, ya que muchas veces se corre el riesgo de centrarse en el cumplimiento de requisitos y nos desviamos del objetivo que es el dispone de una herramienta de valor añadido que nos aporte mayor seguridad.

Anteriormente ya nos acercamos a la gestión de riesgos en la norma EN50518 para Centrales Receptoras de Alarmas. El presente artículo quiere tocar un punto clave de la gestión, la evaluación de riesgos. El mercado actual ofrece varias y diferentes opciones y, como casi siempre, ninguna específica para este cometido concreto.

Norma EN 50518

Aunque esta norma pueda parecer a simple vista de alto contenido técnico para infraestructuras, se menciona el concepto riesgo en varios apartados. Ello confiere a la norma no solamente un conjunto de directrices técnicas que debe cumplir una Centrales Receptoras de Alarmas, sino que además incide en los procesos y operaciones. De ahí que la gestión de riesgos tenga varios matices y su evaluación no resulte lineal ni de fácil aproximación.

Esta norma, articulada en 10 puntos que se centran en las instalaciones y en los servicios derivados de la gestión de Centrales Receptoras de Alarma (CRA), nos redirigirá a la norma ISO31000 para dar respuesta a la gestión de riesgos mencionada a lo largo de ella. A su vez, la norma ISO31000 nos hablaba en sus 5 fases de un paso concreto que era la evaluación de riesgos, pero en ningún caso establecía un requisito claro sobre la metodología a usar.

En este punto nos vemos ante la disyuntiva de tener que escoger entre crear un sistema de evaluación de riesgos, con el peligro de disponer de una herramienta genérica que no nos aporte valor añadido o usar herramientas muy específicas en las que su implantación y uso nos suponga una pérdida de eficiencia.

No es motivo del presente artículo tratar el diseño de una metodología de evaluación de riesgos específica para CRAs, por lo que vamos hacer un breve recorrido por las principales metodologías existentes en la actualidad.

Metodologías de evaluación de riesgos

Vamos a hacer una breve aproximación a las metodologías más frecuentes y sus principales características.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT)

• Desarrollada en España por el Consejo Superior de Informática para su uso en las administraciones públicas
• Orientada en su inicio a Seguridad digital
• Realiza cálculos cuantitativos partiendo de datos cualitativos.
• Posibilidad de recoger incidencias y pasar a enfoque cuantitativo.
• Soportada por software (MAGERIT H1 y MAGERIT H2)

Método Mosler 

• Metodología orientada a Seguridad Física
• Su objetivo es identificar, analizar y evaluar los factores que pueden influir en la materialización de un riesgo, permitiendo clasificarlos.
• Se desarrolla en cuatro etapas: Definición, Análisis, Evaluación y Cálculo del Riesgo.
• Se basa en la valoración de funciones, sustitubilidad, profundidad, extensión, agresión y vulnerabilidad.
• Apta para todo tipo de organizaciones

  Método AARR 

• Metodología de enfoque cuantitativo
• Su objetivo es identificar activos y relacionarlos con los procesos.
• Se establecen 3 niveles de riesgo: inicial, residual y objetivo.
• Se completa con la ejecución de unas buenas prácticas para el tratamiento de los riesgos
• Apta para todo tipo de organizaciones

Método HAZOP 

• Metodología Hazard and operatibility basada en el análisis funcional de operatividad
• Se concentra en las instalaciones y baja a nivel de subsistemas
• Se establecen 6 etapas para llegar a un informe final
• Dispone de unas palabras guía propia: desviaciones, nodos, actividad,…
• Metodología muy implantanda en sector químico

Método BOW-TIE 

• Metodología centrada en el árbol de causas y efectos
• Permite una trazabilidad completa entre las causas de los eventos y sus consecuencias
• Pone al evento en el centro del análisis
• Apta para todo tipo de organizaciones
• Metodología compleja de alto valor añadido

Evaluación de riesgos en la Norma 50518

Derivado del punto anterior, cabe decir que ninguna presenta una alineación completa con los requisitos de la norma EN50518 y las necesidades propias de las Centrales Receptoras de Alarma.

Al no poder concretar una apuesta clara vamos a subrayar los aspectos que nos aportan cada una de ellas.

Es difícil no tener en cuenta MAGERIT, ya que los elementos de Tecnologías de la información están presentes en todas las organizaciones. Además, es obvio el impacto que tienen estas en las operaciones de las CRAs. Por ello, aunque pueda parecer que no encaja en la totalidad de las necesidades de la norma 50518, no es una solución desdeñable.

El método MOSLER es una solución sencilla y con la suficiente profundidad para permitir una aproximación global. El tratamiento de activos en base a su capacidad de sustitución, el impacto según la profundidad y la extensión y el desglose de la probabilidad en amenazas y vulnerabilidades permite disponer de una herramienta completa.

La metodología AARR permite relacionar los activos con los procesos, este enfoque requiere de un trabajo de precisión en esta fase inicial que puede condicionar el resultado de la evaluación. Es una herramienta genérica apta para todo tipo de organizaciones. Su sencillez puede ser un arma de doble filo y no acabar aportando el adecuado valor añadido.

Aunque muy implantada dentro del sector químico debido a su origen, la metodología Hazard o HAZOP supone una herramienta muy apta para instalaciones, elemento puesto de relieve en la norma 50518. Este método permite baja a parámetros específicos de las instalaciones como pueden ser los UPS, CPD, sistemas de extinción,… lo que también permite abordar riesgos en la fase de diseño de instalaciones. Por el contrario, este enfoque a veces puede suponer la pérdida de visión transversal de los riesgos.

Por último, el modelo BOW-TIE, es probablemente el caso más complejo y a la vez el que hace un aporte de mayor valor añadido. Sitúa en el centro de la metodología el evento, sea vinculado a Tecnologías de la información, a procesos, a instalaciones o la combinatoria de ellos y traza un árbol de causas y efectos entre los inductores del riesgo y las consecuencias y tratamientos de los mismos.

Conclusión

Derivado de todo ello, como ya les avanzábamos, no podemos concluir con una apuesta clara por una metodología concreta. Lo que sí esperamos es que puedan decidir entre ellas con unos criterios más sólidos.

La evaluación de los riesgos es la fase clave en la que procedemos a la cuantificación del riesgo, por ello sí que recomendamos, que o bien se pongan en manos de profesionales o bien mediten la toma de decisión para escoger entre una metodología u otra, y sobre todo para una correcta aplicación de la misma.

Como ya comentamos con anterioridad una correcta gestión del riesgo no implica más o menos carga de trabajo, ya que no se trata de correr más o menos riesgos si no de correr riesgos inteligentes.

Artículo de Juanjo Alemany (TOTALRISK) www.totalrisk.org

El Reglamento Europeo de Protección de Datos 679/2016, introdujo una nueva figura en las organizaciones: el Delegado de Protección de Datos (DPD o DPO en inglés).

Esta figura puede ser interna en las organizaciones o bien, se puede contratar como un servicio.

¿Qué funciones y responsabilidades tiene?

Las competencias que se le suponen son imparcialidad, objetividad, confidencialidad.

El Delegado de Protección de Datos será el encargado de controlar diariamente que todas las actividades del sistema de información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas en base a los requerimientos legales que, los asesores jurídicos en la materia indiquen como vigentes.

Debe rendir cuentas al más alto nivel jerárquico de las organizaciones.

Es la persona que debe informar y asesorar al responsable/encargado del tratamiento y a los empleados que realicen tratamiento de datos de las obligaciones y la normativa aplicable en este ámbito. Por esta razón, debe mantener actualizada toda la normativa vigente relacionada con las medidas aplicables, debe concienciar y formar al personal y, realizar auditorías si fuera el caso.

Está obligado a mantener el secreto o la confidencialidad en el desempeño de sus funciones. Y a documentar y comunicar cualquier vulneración relevante en materia de protección de datos a los órganos de administración, el responsable y/o encargado del tratamiento.

Es el nexo de comunicación entre los interesados y la Agencia de Protección de Datos, y viceversa. Y será el encargado de gestionar el ejercicio de los derechos de los interesados.

Y antes de un tratamiento, ya sea por utilizar nuevas tecnologías, por su naturaleza, alcance, contexto o fines…, si éste entraña un alto riesgo para los derechos y libertades de las personas físicas, el Delegado de Protección de Datos deberá realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales, según el art. 35 del RGPD.

Derechos de un DPD

Las organizaciones deben garantizar que el Delegado de Protección de Datos no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones y que participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

Las organizaciones deben respaldar al Delegado de Protección de Datos para sus funciones, facilitando los recursos necesarios, el acceso a datos personales y a los diferentes tratamientos, así como manteniendo sus conocimientos especializados.

Otro derecho que se le reconoce en la legislación vigente es a no ser destituido ni sancionado por su organización por desempeñar sus funciones. Así se asegura la imparcialidad de esta figura.

El Delegado de Protección de Datos tiene derecho a desempeñar otras funciones en la organización o fuera, pero se debe garantizar que estas funciones no den lugar a conflicto de intereses.

¿Quién necesita tener esta figura en su organización?

Según el Reglamento Europeo, el responsable y el encargado del tratamiento tienen obligación de designar un DPD cuando:

• El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
• Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
• Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Más concretamente, la Ley orgánica 3/2018, expone que tienen obligación de designar un DPD:

• Los colegios profesionales y sus consejos generales.
• Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

Según la Ley Orgánica 2/2006, de 3 de mayo, de Educación, en su art. 3 Las enseñanzas:

1. El sistema educativo se organiza en etapas, ciclos, grados, cursos y niveles de enseñanza de forma que asegure la transición entre los mismos y, en su caso, dentro de cada uno de ellos.
2. Las enseñanzas que ofrece el sistema educativo son las siguientes:
3. a) Educación infantil.
4. b) Educación primaria.
5. c) Educación secundaria obligatoria.
6. d) Bachillerato.
7. e) Formación profesional.
8. f) Enseñanzas de idiomas. (excluidas las enseñanzas de idiomas que no expiden un certificado reconocido)
9. g) Enseñanzas artísticas.
10. h) Enseñanzas deportivas.
11. i) Educación de personas adultas.
12. j) Enseñanza universitaria.

• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
• Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
• Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
• Los establecimientos financieros de crédito.
• Las entidades aseguradoras y reaseguradoras.
• Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
• Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
• Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

• Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
• Las empresas de seguridad privada.
• Las federaciones deportivas cuando traten datos de menores de edad.

Pero, voluntariamente, cualquier organización, puede nombrar un DPD.

Conocimientos que debe tener un DPD

Ya sea una persona física o jurídica, debe poder “demostrar conocimientos especializados en el derecho y la práctica en materia de protección de datos”.

Existen cursos formativos. De hecho, la Agencia Española de Protección de Datos, ha publicado un Esquema de Certificación de DPD para ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado.

“Este Esquema es un sistema de certificación que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC.”

Pero la AEPD aclara que esta certificación no es obligatoria para poder ejercer como DPD y se puede ejercer la profesión sin estar certificado bajo éste o cualquier otro esquema.

Obligaciones cuando nombras un DPD

Las organizaciones deben informar del nombramiento del Delegado de Protección de Datos a la Agencia Española de Protección de Datos o ante las autoridades autonómicas de protección de datos correspondiente en el plazo de 10 días de su nombramiento. También están obligadas a informar sobre el cese. Esta obligación es tanto para las organizaciones que están obligadas a tener uno DPD como las que lo designan de forma voluntaria.

Según el Art. 3 de la Llei 32/2010, el DPD se tendrá que registrar en la Autoritat Catalana de Protecció de Dades si se trata de:

• Las instituciones públicas.
• La Administración de la Generalidad.
• Los entes locales.
• Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalidad o a los entes locales, o que dependen de ellos.
• Las entidades de derecho privado que cumplan, como mínimo, uno de los tres requisitos siguientes con relación a la Generalidad, a los entes locales o a los entes que dependen de ellos:
  1. Que su capital pertenezca mayoritariamente a dichos entes públicos.
  2. Que sus ingresos presupuestarios provengan mayoritariamente de dichos entes públicos.
  3. Que en sus órganos directivos los miembros designados por dichos entes públicos sean mayoría.
• Las demás entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de dichos servicios.
• Las universidades públicas y privadas que integran el sistema universitario catalán, y los entes que de ellas dependen.
• Las personas físicas o jurídicas que cumplen funciones públicas con relación a materias que son competencia de la Generalidad o de los entes locales, si se trata de ficheros o tratamientos destinados al ejercicio de dichas funciones y el tratamiento se lleva a cabo en Cataluña.
• Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña a los efectos de lo establecido por la presente ley.

Conclusión

Disponer de un DPD mejora el control sobre el cumplimiento legal y ayuda a mantener una alerta constante y una sensibilidad hacia la protección de datos personales. Ahora bien, si es una persona de plantilla propia, es muy importante dotarle de los recursos y el tiempo necesario para poder hacer bien su trabajo.

Más información en https://www.aepd.es/es y https://apdcat.gencat.cat/