Según el informe Ciberamenazas y tendencias 2017, el CCN-CERT gestionó 20.940 ciberincidentes en 2016, que afectaron principalmente al sector público, así como a empresas consideradas de interés estratégico para España. El fenómeno es creciente, un 14,5% más que en 2015, y es previsible que el ritmo de crecimiento crezca de año en año.
El Sector Público está particularmente expuesto a los ataques orientados a la sustracción de información, a la denegación de servicio y al secuestro de datos. Ataques que de forma indiscriminada o dirigida pueden afectar a los datos de carácter personal y que pudieran dar lugar a un tratamiento no autorizado o ilícito de los mismos, así como a su pérdida o destrucción.
El Reglamento General de Protección de Datos (RGPD) no es ajeno a esta realidad y contempla en los principios relativos al tratamiento que los datos personales serán tratados de forma que se garantice una seguridad adecuada mediante la aplicación de medidas técnicas u organizativas apropiadas, apuntando de forma explícita a la garantía de la integridad y de la confidencialidad.
Más adelante, al referirse a la seguridad del tratamiento, el RGPD establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que incluya, entre otros, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, teniendo en cuenta el estado de la técnica, los costes, el tratamiento y los riesgos.
En el Sector Público hay que aprovechar, sin duda, el esfuerzo que se viene realizando en la protección de la información manejada y de los servicios prestados mediante el Esquema Nacional de Seguridad y sus Instrucciones Técnicas de seguridad (de especial interés en este contexto, las de auditoría de la seguridad y de notificación de incidentes de seguridad, en tramitación) para la protección específica de los datos de carácter personal; así como las guías de la serie 800 y las herramientas de ciberseguridad facilitadas por el CCN-CERT.
La Agencia Española de Protección de Datos en su documento El impacto del Reglamento General de Protección de Datos sobre la actividad de las Administraciones Publicas, en el que se recogen 15 puntos relativos al impacto en las AA.PP., se refiere en el punto 11 a la “Necesidad de revisar las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo de los mismos.”; y en ese mismo punto señala que “En el caso de las AAPP, la aplicación de las medidas de seguridad estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad.”
A la luz de lo anterior, y dado que en los últimos años se han consolidado también los mecanismos de conformidad con el ENS sobre la base de la acreditación de las entidades de certificación por ENAC con arreglo a la norma a la norma UNE-EN ISO/IEC 17065/2012, en una línea similar a la recogida por el RGPD en su artículo 43, cabe contemplar que la conformidad con el ENS (avalada por los correspondientes distintivos) pudiera ser un candidato español a los mecanismos de certificación de los contemplados en el RGPD.
Subdirector Adjunto de Coordinación de Unidades TIC
Secretaría General de la Administración Digital
Ministerio de Hacienda y Función Pública
Netcloud Engineering
23 enero, 2018 en 10:25Muy buen artículo.
Gracias por compartirlo.