Con la entrada en vigor del nuevo
reglamento de protección de datos de carácter personal, la gestión
de riesgos ha bajado a un nivel en el que toda empresa por pequeña
que sea, si trata datos personales debe realizar una gestión de
riesgos.
La Agencia Española de Protección de Datos (AEPD) ha elaborado herramientas y documentos para facilitar
esta tarea prácticamente a cualquiera. Así aunque no se tenga unos
conocimientos avanzados del tema pueda se puede realizar una gestión
de riesgos.
Voy a tratar de resumir cómo
realizar una gestión de riesgos con un ejemplo muy sencillo. Me baso
en la “Guía de evaluación de impacto” elaborada por la AEPD.
Antes de empezar, hay que
identificar el activo o activos a proteger. En el ejemplo vamos a
suponer que el activo es un simple PC donde tenemos toda la
información de nuestro negocio:
- Datos personales (donde la RGPD nos exige realizar el tratamiento)
- Datos de nuestro negocio (fundamentales para su buen funcionamiento)
Con este planteamiento y sin haber
aplicado ninguna medida preventiva, la pérdida del PC por robo o
avería supondría el fin de nuestro negocio y una sanción por parte
de la AEPD.
Para iniciar el análisis de riesgos
plantearemos las AMENAZAS:
- Amenaza 1. Avería o destrucción del PC: El PC puede dejar de funcionar y la reparación podría no ser posible o no permitir recuperar los datos (pérdida de datos)
- Amenaza 2. Robo del PC: Alguien puede físicamente llevarse el PC (pérdida de datos y violación de confidencialidad)
- Amenaza 3. Acceso no autorizado al PC: Cada día hay más ciberamenazas (virus, hackers, etc.) que podrían comprometer la información que contiene o destruirla (pérdida de datos y violación de confidencialidad).
Vamos a crear la matriz de
PROBABILIDADES/IMPACTO de cada amenaza respecto a PÉRDIDA de
DATOS (y de continuidad del negocio).
(Escala: Despreciable, Limitado,
Significativo, Máximo)
- Amenaza 1. Probabilidad: Limitada. Impacto: Máximo: 2 x 4 = 8
- Amenaza 2. Probabilidad: Limitada. Impacto: Máximo: 2 x 4 = 8
- Amenaza 3. Probabilidad: Significativa. Impacto: Máximo: 3 x 4 = 12
El riesgo inherente para las amenzas 1 y 2
es ALTO y en para la 3 es MUY ALTO.
Es necesario aplicar medidas de
control en todos los casos, especialmente para el 3.
MEDIDAS DE CONTROL (para pérdida de
datos):
- Amenaza 1: Realizar backups periódicos del contenido del PC nos permitirá recuperar los datos en caso de avería o destrucción del PC.
- Amenaza 2: Realizar backups periódicos del contenido del PC nos permitirá recuperar los datos en caso de robo del PC.
- Amenaza 3: Realizar backups periódicos del contenido del PC nos permitirá recuperar los datos en caso acceso no autorizado del PC
- Amenaza 1. Probabilidad: Limitada. Impacto: Despreciable: 2 x 1 = 2
- Amenaza 2. Probabilidad: Limitada. Impacto: Despreciable: 2 x 1 = 2
- Amenaza 3. Probabilidad: Significativa. Impacto: Despreciable: 3 x 1 = 3
El riesgo residual tras realizar
backups pasa a ser bajo en 1 y 2 y medio en 3 lo que podría
considerarse aceptable.
Si estamos teniendo en cuenta el
RGPD también es importante analizar la matriz de
PROBABILIDAD/IMPACTO de cada amenaza respecto a VIOLACIÓN DE LA
CONFIDENCIALIDAD (ACCESO A DATOS PERSONALES)
El riesgo inherente es igual pero el
riesgo tras aplicar la medida de control de backups difiere pues
aunque tengamos copias de seguridad los datos personales pueden
haberse expuesto en los casos 2 y 3.
RIESGO RESIDUAL
confidencialidad de datos (tras aplicar backups)
- Amenaza 1. Probabilidad: Limitada. Impacto: Despreciable: 2 x 1 = 2
- Amenaza 2. Probabilidad: Limitada. Impacto: Máximo: 2 x 4 = 8
- Amenaza 3. Probabilidad: Significativa. Impacto: Máximo: 3 x 4 = 12
Sería necesario aplicar una medida
de control adicional para reducir el riesgo en los casos 2 y 3.
MEDIDAS DE CONTROL
(para confidencialidad):
La solución más sencilla sería
encriptar los datos personales de forma que aunque nos roben el PC o
haya un acceso no autorizado, los datos seguirán sin estar
accesibles.
Con esta medida de control el RIESGO RESIDUAL de la
confidencialidad de datos sería (2,2,3) similar al que quedó para
el riesgo de pérdida de datos por bajar el IMPACTO al nivel Despreciable.
Finalmente sería importante
detallar el procedimiento de realización de los backups (frecuencia,
soportes utilizados, donde se guardan los soportes, el riesgo
asociado al robo de los soportes, etc.) y de la encriptación de
datos (cómo se va a acceder a ellos, dónde se guardan las claves,
etc.).
Imagen: Riesgo Biologico extraída del Banco de imágenes y sonidos del Ministerio de Educación