Thursday, April 13, 2006

Fumata blanca para la ISO en Gestión de Riesgos


Pues parece que había algo más que bichos raros detrás de esto de la "Gestión de Riesgos de la Seguridad de la Información"....La publicación bajo BSI de la norma BS 7799-3:2006 "Information security management systems. Guidelines for information security risk management" es un espaldarazo a quienes pensamos que la Gestión del Riesgo es la piedra angular de la gestión de la Seguridad de la Información, la herramienta imprescindible, primera y primaria para reducir el abismo entre "techies" y "gestores". Si la dirección empieza a oir hablar de cosas que entienda, mejor para todos....
La necesidad de la norma se apoyaba en el hecho de que, a pesar de la norma ISO/IEC 27001:2005 (para orientarse en este embrollo, se recomienda una visita a las FAQ'S de BSI) no se sabía muy bien cómo desarrollar de manera práctica todo el ciclo de análisis y gestión de Riesgos. En definitiva, orienta sobre cómo identificar, evaluar el riesgo y, posteriormente, implementar controles o salvaguardas para mitigar/reducir los mismos, así como los mecanismos de revisión, monitorización y mejora continua del sistema de control basado en riesgo.
Otra buena noticia para la estandarización de actividades de un Sistema de Gestión de la Seguridad de la Información (SGSI) es el anuncio del nuevo proyecto de norma ISO 27006 “Guidelines for information and communications technology disaster recovery services”, cuya publicación se espera para noviembre del 2007.

¿Qué hacemos con las subcontrataciones en cadena?


El proceso de reinterpretación de la normativa de protección de datos al que se ve obligado la Agencia Española de Protección de Datos ha encontrado una buena piedra de toque en el tratamiento de la subcontratación internacional, toda vez que es una situación cada vez más presente en los procesos de negocio de las empresas españolas; sólo hay que pensar en ISP's que externalizan sus servicios de hosting y housing en países de menores costes, en agencias de marketing que utilizan plataformas ASP gestionadas desde, por ejemplo, Sudáfrica, o clientes cuyo servidor de correo o copias de seguridad remotas se encuentran alojadas, en realidad, en EE.UU aunque la empresa que me facture tenga CIF español. Por no hablar de corporaciones multinacionales donde empresas matrices y filiales se prestan servicios recíprocamente (por ejemplo, aplicación de RR.HH alojada en la casa matriz de Dinamarca y "alimentada" desde Internet por todas sus filiales sitas dentro y fuera de la Unión Europea).
El problema empieza desde el artículo 12.2 de la Ley Orgánica 15/1999, que establece, al tratar la figura del encargado del tratamiento (la empresa subcontratada, para entendernos), que éste "no comunicará los datos, ni siquiera para su conservación, a otras personas”. La justificación de este artículo se fundamenta en el poder de disposición que tiene todo usuario (afectado, según la curiosa denominación legal) sobre la información que le concierne, lo que obliga a que, si la ley admite la posibilidad de que los datos puedan ser tratados por un tercero (cualquier servicio de subcontratación que se nos ocurra), será preciso que la empresa que ha contratado el servicio (Responsable a todas luces en caso de incumplimiento, con, además, mayor grado de responsabilidad que la empresa subcontratada) conozca en cada momento qué entidades acceden a dichos datos, a fin de "vigilar al vigilante" y garantizar al usuario que sus datos están siendo controlados según el tratamiento que éste mismo ha autorizado.
Esto, por desgracia, no suele ser la norma en la vida empresarial, donde es muy habitual que las empresas subcontratadas jueguen al escondite y subcontraten, a su vez y sin conocimiento de la empresa contratante, con terceras entidades, formando una cadena que, según el razonamiento anterior, contraviene la normativa, ya que cualquier subcontratación posterior debería ser puesto en conocimiento de la empresa subcontrante, entre otras cosas, para que ésta pudiera atender cualquier reclamación efectuada por el afectado y para conocer en cada momento quién tiene acceso a esos datos. Luz y taquígrafos que aporten la transparencia necesaria para garantizar la trazabilidad de los datos y, en su caso, poder depurar responsabilidades en caso de incumplimiento.
Pues bien, hacer posible que un segundo subcontratista pudiera tratar los datos (según la propia interpretación de la Agencia) se logra bien mediante su participación directa en el contrato con la empresa contratante (contrato a tres bandas, en este caso), bien mediante un apoderamiento otorgado al primer subcontratista para que éste actué en el nombre y por cuenta del contratante, o bien haciéndose constar expresamente en el contrato firmado entre el responsable y el primer encargado la propia circunstancia de la subcontratación.
Pero, ¿qué sucede si para prestar ese segundo servicio de subcontratación fuera necesaria una transferencia internacional de datos a un tercer Estado que, según la Comisión Europea, no ofrece un nivel adecuado de protección de datos, como, pongamos, Sudáfrica?. Hemos visto que si yo como cliente contrato, por ejemplo, el mantenimiento de copias de seguridad remotas a un proveedor sudafricano deberé incluir en el contrato correspondiente lo dispuesto en el artículo 12, así como las cláusulas contenidas en la Decisión 2002/16/CE, mediante las que se adopten las adecuadas garantías de protección de datos que permitan la autorización de la transferencia internacional.
Otro caso sería que yo contratara este servicio a un ISP español que, a su vez, hubiera subcontratado dicho servicio con el proveedor sudafricano. En este caso, a día de hoy no existen mecanismos para establecer las adecuadas garantías que permitan vincular directamente a dos encargados del tratamiento (el ISP español y el proveedor sudafricano). Es decir, los supuestos planteados hasta ahora, tanto en España (ver Instrucción 1/2000) como en la Comisión Europea (Decisiones 2001/497/CE, 2004/915/CE, y Decisión 2002/16/CE, ya citada), contemplan situaciones de transferencias bien entre Responsables del Fichero (por ejemplo, cesiones de datos entre dos empresas con fines de marketing o publicidad) o bien entre responsable y encargado, pero no entre dos encargados del tratamiento. Es decir, que si al ISP del ejemplo le da por subcontratar en un país extracomunitario, simplemente, no podría hacerlo salvo que sus clientes firmaran directamente un contrato con el proveedor sudafricano, con arreglo a los requisitos descritos en las normas citadas anteriormente.
En fin, que....el panorama se complica. Y no sé por qué me da que a muchas empresas intermediarias no les va a hacer mucha gracia dar visibilidad al resto de los eslabones de la cadena, por aquello de que sus clientes empiecen a plantearse cual es el valor añadido en cada eslabón.
Por lo pronto, esperemos que la Agencia y/o la Unión Europea pergeñen alguna solución a un problema que afecta y afectará cada vez más a las empresas españolas....y a las internacionales con interés en el mercado español.
Uff, que post más pestiño. Parece que el espíritu de la Semana Santa me anima a la flagelación propia y ajena....

Monday, April 10, 2006

Fuera los atajos

En el prolijo arte que supone la interpretación de la normativa de protección de datos, siempre han existido dudas razonables sobre el grado de concreción que exigía la Agencia Española de Protección de Datos para el cumplimiento de los principios de información y consentimiento. A la habitual leyenda-todo-vale-y-te-cuelo-todo-lo-que-pueda-si-no-te-quejas parece que se le agota el crédito y alguna de las recientes interpretaciones de la Agencia (ver procedimiento sancionador contra Grupo Pelayo) aprieta las tuercas en cuanto a la precisión requerida en términos tan comodín como "información comercial"...Cada vez se exigirán, por tanto, "finalidades determinadas y explícitas" a las que se vinculará el tratamiento de datos, requiriendo un esfuerzo de concreción cuyos límites siguen sin estar claros; sectores como el de telecomunicaciones, financiero y asegurador han utilizado masivamente las denominaciones genéricas, como "publicidad"o "información comercial" por razones a caballo entre el interés marketiniano y el puro pragmatismo. Pues bien, parece que pintan bastos para la inconcreción premeditada y las entidades deberán hilar más fino en la definición de sus finalidades publicitarias.
Otro tanto sucede con la comunicación de datos a terceras empresas, donde el cómodo recurso a la inclusión de la información sobre la cesión a "las empresas del grupo" correrá la misma suerte...A la ya exigible concreción de la finalidad de la cesión, deberá seguir el nombre de las empresas a las que se ceden dichos datos. Entonces, ¿nos encontraremos ante claúsulas de varias páginas, en los que se recojan todas las empresas de, pongamos, la corporación de un grupo bancario? O recurriremos a la remisión a la página web del responsable del fichero, donde supuestamente aparecerán todas las empresas del grupo, en curiosa sintonía con el requisito de información web exigible por el artículo 10 de la LSSI? Todo por informar correctamente al usuario. Información es poder; o, al menos, disminución del riesgo de sanción....