Entrevistamos a Maica Aguilar Carneros, gerente de Compliance & Identity en la Dirección de Ciberseguridad de Ferrovial, miembro de la junta de Women4Cyber y del Comité del DPI del ISMS Forum, con ocasión de las nuevas directrices para la gestión de brechas de seguridad que ha publicado el European Data Protection Board y que estarán sometidas a consulta pública hasta el 02/03/2021.
1.- Hola Maica, ¿qué se entiende por brecha de seguridad?
En el mundo de la privacidad y más concretamente vinculado al Reglamento General de Protección de Datos, una "brecha de seguridad” se entiende como “una violación de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”. Es decir, cualquier suceso que pueda poner en riesgo la confidencialidad, integridad o disponibilidad de los datos personales, es una brecha de seguridad.
2.- Para aquellos de nuestros lectores que desconozcan el European Data Protection Board o EDPB ¿podría presentarnos por qué es tan relevante este organismo a la hora de regular el marco de aplicación de las normas de protección de datos?
El European Data Protection Board, es un organismo europeo independiente que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las autoridades de protección de datos de la UE. Está compuesto por representantes de las autoridades nacionales de protección de datos y del Supervisor Europeo de Protección de Datos (SEPD). Este órgano de gobierno viene recogido en la Sección 3 del Reglamento General de Protección de Datos (RGPD)
Por tanto las directrices, recomendaciones y buenas prácticas emitidas por el EDPB tienen que ser tenidas en consideración en la aplicación del RGPD.
3.- La EDPB fija unas nuevas directrices en materia de notificación de violaciones de datos. ¿Por qué van a ser tan importantes estas nuevas directrices para la gestión de brechas de seguridad que trae ahora consigo la EDPB?
El RGPD es un Reglamento dónde no se dice cómo hacer las cosas, nos marca lo que tenemos que garantizar, el resultado perseguido con unas pautas, por supuesto; pero es cada organización la que, aplicando criterios de responsabilidad activa y accountability, establece el modelo de protección adecuado considerando el riesgo. Esto nos lleva a que pueda haber discrepancias significativas en la aplicación del Reglamento en distintas organizaciones.
Las directrices que está proporcionando la EDPB respecto a la notificación de brechas de seguridad y el cómo se modela en base de ejemplos razonados, trae luz a una de las obligaciones del RGPD que genera miedos y controversia en las organizaciones, así como decisiones heterogéneas justificadas por los análisis de riesgos, estamos hablando del criterio con el que se debe notificar a las autoridades de control y a los afectados.
4.- Estas nuevas directrices han sido fijadas en un contexto como el actual marcado por la pandemia. En este sentido, ¿hasta qué punto la crisis de la COVID-19 está afectando en la definición y determinación de esas nuevas directrices?
Entiendo que la actual pandemia y las restricciones temporales de movilidad y confinamientos que estamos sufriendo en los países europeos no facilitan la labor de un Comité Europeo como el EDPB. Aun así, nuestra sociedad está adaptándose a esta nueva realidad y gracias al teletrabajo y la digitalización acelerada que han sufrido las empresas estamos normalizando esta situación.
Señal de esta adaptación a la realidad actual es la salida a consulta pública este 14 de enero de la Guía 01/2021 con ejemplos respecto a la Notificación de Brechas de Seguridad. Tras año y medio que llevamos con RGPD, estas directrices van a permitir a los responsables de los tratamientos modelar de forma más homogénea los criterios a considerar en los análisis de riesgos de brechas de seguridad.
5.- ¿Por qué es necesario complementar la guía que en materia de notificación de violaciones de datos estableció el Grupo de Trabajo del Artículo 29 (WP29) en octubre del 2017?
Se ha visto necesario complementar la guía previa “Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679” para incluir casuísticas más elaboradas y ejemplos de brechas de seguridad.
Estos ejemplos recogen los motivos principales por los que las organizaciones han notificado brechas a las Autoridades de Control y pone sobre la mesa como se espera que actuemos en esos casos.
Algunos de los casos de uso que se desarrollan nos hablan de ransomware; de exfiltración de datos debido a distintos ataques; escenarios de fuga de datos debido a intervención humana, ya sea de forma accidental o premeditada; pérdida o robo de dispositivos y documentos físicos; envíos por correo indebidos y fugas de datos vinculadas a ingeniería social.
Como veis son casos que corresponden con la realidad que se está viviendo a nivel de Ciberseguridad en nuestra sociedad y cubren en gran medida las situaciones habituales de brechas de seguridad que tienen las organizaciones.
6.- ¿El futuro Reglamento europeo de Privacidad Electrónica contemplará novedades en la auditoría de la gestión de las brechas de seguridad?
Esta Regulación lleva tiempo esperando ver la luz, llevamos ya 14 borradores y está siendo difícil llegar a un consenso. Se comenta que se podría aprobar en 2021, el tiempo nos dirá si es así.
Es verdad que el borrador existente del futuro Reglamento Europeo de Privacidad Electrónica, existen referencias y alusiones constantes al Reglamento (UE) 2016/679 (RGPD) respecto a los datos personales, pero pensemos que este Reglamento regula también la protección de los derechos y las libertades fundamentales de las personas jurídicas en el ámbito de la prestación y utilización de servicios de comunicaciones electrónicas, aspecto que queda fuera del RGPD. Esto incrementa la complejidad y obliga a imponer mecanismos de cooperación y consistencia para que las autoridades supervisoras del cumplimiento de e-privacy y de RGPD puedan desarrollar sus funciones. La EDPB ya ha puesto sobre la mesa la necesidad de que los dos Reglamentos estén armonizados y alineados, así como recomiendan que haya un único punto de contacto para los responsables de los tratamientos que afecten a e-Privacy y GDPR.
El borrador actual sí que referencia que las medidas de seguridad son esenciales para prevenir las brechas de datos en las comunicaciones electrónicas y se mencionan medidas concretas como el cifrado. No considero descabezado que finalmente se incluya alguna directriz respecto a auditoría de brechas de seguridad, iremos viendo.
7.- La aplicación extensiva en todos los ámbitos económicos y productivos de las nuevas tecnologías como son la Inteligencia Artificial, el Machine Learning, la automatización de procesos o RPA, el Blockchain, la computación cuántica,… ¿hay que considerarlas como un aliado o una amenaza en la labor de compliance en materia de ciberseguridad?
Permíteme que entienda la pregunta de forma más global. Evidentemente cualquier tecnología que permita la innovación, optimización y progreso de la sociedad tiene que ser un aliado. La clave es que realmente se entienda que esta evolución tecnológica tiene que ir de la mano de la seguridad, no es una opción que cada una vaya por una acera distinta y a un paso distinto. Si conseguimos que todas las organizaciones vean la seguridad como un "must be" y que se considere la seguridad y privacidad desde el diseño y por defecto desde el primer momento en que estas tecnologías nacen en las organizaciones, entonces ¿por qué va a suponer una amenaza para el Compliance?
Una vez soñé que el mundo era así y cada vez estamos más cerca.
8.- Y para terminar, usted es gerente de Compliance e Identidades en la Dirección de Ciberseguridad de Ferrovial y, a tal efecto, nos gustaría conocer hasta qué punto es importante dar cabida a la ciberseguridad en la labor de compliance o cumplimiento normativo corporativo que corresponde desempeñar a los Compliance officers de las empresas y resto de organizaciones.
La Seguridad y la privacidad son hermanas, las dos velan por la protección de los datos. La seguridad en las organizaciones permite proteger la información en general y los mecanismos de protección nos sirven para proteger cualquier tipo de información, incluyendo la información personal.
Es verdad que las distintas regulaciones internas y externas aplicables pueden obligarnos a cumplir con determinados requisitos legales, técnicos, organizativos allá donde estén y/u ofrezcan sus servicios las organizaciones. La función de Compliance tiene que garantizar ese cumplimiento y no podemos olvidar que la seguridad y la privacidad son unos actores importantes en ese ecosistema de cumplimiento.
Para mí es fundamental que, entre las funciones de Protección de Datos, Ciberseguridad y Compliance de las organizaciones haya una estrecha relación simbiótica que permita garantizar la adopción, formalización y aplicación de los requisitos regulatorios de una forma integrada, práctica, eficiente y adecuada. Recordemos que la unión hace la fuerza.