GESTIÓN DE LA SEGURIDAD DE LA PRIVACIDAD EN TIEMPOS DE EMERGENCIA

A día de hoy con la incógnita de la prolongación en el tiempo de la situación actual provocada por el coronavirus y con la posibilidad futura de nuevas situaciones similares, la tendencia iniciada ya anteriormente por un gran número de empresas con la implantación del teletrabajo en áreas concretas y con unas pautas establecidas, la presente situación lo ha llevado al extremo tanto en relación al tiempo como a los procesos de negocio implicados.

La forma inesperada en la que ha llegado, tanto en la rapidez como en su alcance, ha implicado generalizar la situación de teletrabajo hasta unos niveles impensables semanas atrás, haciendo florecer a su vez toda una serie de riesgos muy relevantes para las entidades.

En el entorno ideal, dicha situación debería haber estado contemplada en los Planes de Continuidad de Negocio de las entidades, permitiendo de esta forma anticiparnos a la situación, pensando, reflexionando e intentando minimizar los riesgos asociados a ésta. En la realidad, la práctica totalidad de las entidades, y recorriendo el amplio abanico desde las entidades que tenían un Plan de Continuidad de Negocio pero que con la probabilidad asociada a la amenaza concreta de pandemia no habían implementado el plan de recuperación asociado, pasando por las entidades que tenían un plan parcial o desactualizado, y llegando a las muchas entidades que directamente no lo tenían, las entidades han implementado el teletrabajo, no siempre gestionando o como mínimo siendo conscientes de los riesgos asociados a ello.

Forzados por la inesperada situación actual, esta implementación no planificada y estructurada en el tiempo, y juntando con ello las variables de tiempo, número de empleados y procesos de negocio, llevan a un volumen y en muchos casos sensibilidad de los datos muy elevada (con el ejemplo obvio de los datos de salud queda perfectamente ilustrado) que se están moviendo por las redes, sujetos a unos riesgos mucho más elevados y diferentes de los que existían hasta hace pocas semanas en la realización de los mismos procesos de negocio.

Si la privacidad ya estaba en las agendas de todas las entidades antes del Covid-19, ahora el contexto actual le está dando un plus de protagonismo y hará qué tanto en estos momentos como en el retorno a la normalidad, la privacidad sea uno de los ejes sobre los que las entidades deben pilotar ciertas políticas y decisiones.

Haciendo una reflexión, la base del nuevo reglamento de protección de datos de carácter personal, se basa en el concepto de la gestión de riesgos y concretamente en la gestión que cada entidad, en base a la tipología de datos y tratamientos que realice de éstos, valore los riesgos existentes y en base a ello aplique las medidas de seguridad que considere más adecuadas para preservar la privacidad de los datos. La situación actual basada en teletrabajo conlleva unos riesgos relevantes y nuevos en muchos casos, fruto de nuevas plataformas de compartición de documentos, herramientas de trabajo en grupo, accesos remoto, flujos de negocio diferentes, etc. que implican una revisión del ciclo de vida del dato, y una actualización de los diferentes análisis de riesgos (Prepia, PIA) que se basan en éste. Debemos asegurarnos de gestionar la seguridad de la privacidad en estos momentos y en el futuro.

Este entorno constituye el escenario perfecto para nuevas amenazas y la propia Agencia Española de Protección de Datos advierten del augmento de los riesgos de seguridad de la información debido a amenazas como:

• Redes no seguras. Un gran número de los accesos remotos ocurren a través de Internet, y las organizaciones normalmente no tienen control sobre la seguridad de las redes externas utilizadas.
• Ataques de phishing. Se han incrementado las campañas de phishing que utilizan como pretexto el interés que acapara el avance del COVID-19. Las mismas buscan robar información personal, propagar noticias falsas y/o entregar publicidad no deseada.
• Ransomware o malware de rescate. Se impide a los usuarios acceder a su sistema o a sus archivos personales y exige el pago de un rescate para poder acceder de nuevo a ellos.

En base a los nuevos riesgos existentes que pueden afectar a la confidencialidad, integridad y disponibilidad de los datos y con la necesidad de dotar de seguridad a la información, apuntamos algunas directrices para gestionar la seguridad de la privacidad, en base a los elementos clave en la nueva situación. Las medidas de seguridad deben asegurar las soluciones de acceso remoto, incluida la seguridad del servidor, ubicación y seguridad del software del cliente, cubriendo autenticación, autorización y control de acceso para soluciones de acceso remoto; y a la par, asegurar los dispositivos del cliente de teletrabajo y proteger los datos en ellos:

• Mantener actualizados y parcheados los servidores, operados en base a la configuración de seguridad definida por la organización y sólo administrados desde hosts de confianza por administradores autorizados.
• Valorar los factores de rendimiento del dispositivo, el examen del tráfico, el tráfico no protegido y la NAT (Network Address Translation) al determinar las ubicaciones de los servidores de acceso remoto.
• Asegurar que todos los recursos internos puestos a disposición mediante el acceso remoto sean protegidos adecuadamente mediante cortafuegos y otros mecanismos de control de acceso. 
• Aplicación de criptografía a la información sensible procedente de las comunicaciones de acceso remoto, las redes inalámbricas y otras redes no confiables.
• Disponer de soluciones de seguridad del acceso remoto mediante VPN (Virtual Private Network) para acceder a la red de la organización desde una ubicación externa.
• Valorar soluciones de infraestructura de escritorio virtual (VDI), consistentes en escritorios de los empleados controlados por la empresa y que conforman entornos de trabajo seguros. Cualquier política de seguridad que se aplique a los dispositivos físicos de la organización, como actualizaciones, copias de seguridad, control de software, herramientas DLP, etc., puede trasladarse a los escritorios virtuales de los empleados.
• Habilitar mecanismos seguros de autenticación remota como contraseñas robustas, doble factor de autenticación o autenticación mutua.
• Implementar una exigente política de control de accesos basada en perfiles, funciones y la implementación de accesos basado en el principio del mínimo privilegio.
• En la medida de los posible, suministrar a los empleados dispositivos corporativos, ya que en éstos se aplican las políticas de seguridad que la empresa estima oportunas.

Debemos asegurar la continuidad de los procesos de negocio mediante la implementación, actualización y prueba periódica del plan de continuidad de negocio (PCN) y del disaster recovery plan (DRP). Dicho elemento, de implementación dispar en las organizaciones a día de hoy, está permitiendo seguir con la actividad empresarial, y está permitiendo que las empresas puedan seguir operando de forma más o menos eficiente en la situación de excepcionalidad actual.

De la misma forma, debemos disponer de plan de respuesta ante incidentes del sistema de información que en caso de materializarse un riesgo, los empleados tengan los procedimientos y vías necesarias para comunicarlo, y el área de sistemas y de seguridad, los sistemas de gestión de eventos de información de seguridad (SIEM), herramientas de visualización de datos, y/o capacidades de automatización e inteligencia artificial (IA), que permitan monitorizar, detectar y dar una respuesta eficaz y eficiente a los incidentes, y a la par, cumplir con los términos y plazos del art. 33 del RGPD.

Finalmente, destacar la formación, concienciación, educación y capacitación de los empleados. No todo el mundo es consciente de los riesgos existentes, y en última instancia y en un porcentaje muy elevado, muchos de los ataques o formas de ataque van a buscar o dependen de las personas. Se deben establecer Políticas de Seguridad en relación al teletrabajo y a los accesos remotos para que los empleados sean conscientes de los riesgos y adopten desde sus ubicaciones de trabajo remotas precauciones y medidas tales como:

• En relación a los correos electrónicos recibidos, verificar los remitentes, en caso de duda o sospecha no abrirlos y no contestarlos, tomar precauciones antes de seguir enlaces y descargar ficheros incluidos en los emails y ser extremadamente prudente antes de enviar información personal.
• A nivel de conexiones, usar conexiones seguras;
• Mantenerse informado única y exclusivamente a través de fuentes oficiales que ofrezcan la debida confianza acudiendo directamente a las páginas webs de las instituciones públicas e ignorando los mensajes o correos electrónicos sospechosos
• En la medida de los posible, utilizar para el ámbito laboral dispositivos corporativos, y éstos utilizarlos solamente para fines laborales.
• Actualizar los diferentes elementos de protección, como pueden ser los antivirus, con las diferentes actualizaciones de seguridad en los diferentes dispositivos de empresa utilizados. 

Detrás de todos los aspectos anteriormente comentados, hay el famoso marco de medidas de seguridad, con las medidas concretas implementadas, que cada entidad debe disponer y exigido también por el RGPD. A día de hoy y con el nuevo reglamento de privacidad, dicha responsabilidad de definición y concreción ha sido trasladada a las diferentes organizaciones, y que en base al personal especializado de las áreas técnicas, de sistemas, de seguridad y cumplimiento normativo interno o externo a la organización, y en base a los diferentes estándares internacionales y esquemas de seguridad existentes (ISO 27001 y ISO 27701, NIST, Esquema Nacional de Seguridad, ISO 22301 o ISO 31000,…), permiten a las organizaciones elaborar, actualizar y mantener este marco de seguridad para seguir operando, dotando de  seguridad a los datos y procesos, minimizando riesgos, cumplimiento con las normativas y al final Gestionar la Seguridad de la Privacidad y de los procesos de negocio de la entidad.