DPA GDPR y la gestión de logs en el SIEM

Firmar un DPA GDPR para el tratamiento de los logs con nuestros proveedores MSS, tendría que ser obligatorio. ¿Quién es el responsable de esos datos?

GDPR y registro de logs en SIEM

En abril de 2016, el Parlamento Europeo adoptó el Reglamento General de Datos (GDPR), aunque es aplicable desde el 25 de mayo de 2018. El GDPR estableció normas estrictas para proteger la privacidad de los ciudadanos de la UE al procesar o al realizar la externalización del  tratamiento de datos personales. La ley se aplicó a los 28 países miembros y cambió el mundo de la regulación de la privacidad de los datos.
En mayo de 2018, las autoridades reguladoras comenzaron a aplicar el GDPR. Sin embargo, según el estudio CISCO Data Privacy Benchmark Study 2020, solo el 55% de los encuestados cree que está preparado para el GDPR, un 29% indicaba que necesitaba un año más y el 12% necesita más de un año, todo esto, sin tener el impacto del COVID, donde esta prioridad a pasado a un segundo plano. Para demostrar el cumplimiento del GDPR, las organizaciones necesitan documentar sus actividades, lo que hace que la gestión de registros sea más importante que nunca.

Inversion en privacidad y tamaño de empresa

Y muchas de esas empresas, no le dan la importancia que se merece si quitamos la preocupación de la sanción, porque no comprenden en sí la motivación del GDPR. En esencia, el RGPD existe porque las empresas recogen datos personales sin pensar en por qué los necesitan. En los considerandos, el RGPD afirma que

"la protección de las personas físicas en relación con al tratamiento de datos personales es un derecho fundamental".

En lenguaje coloquial, el objetivo declarado del RGPD es proteger el derecho a la privacidad de los datos.

Cambios en el paradigma de la privacidad

El RGPD ha supuesto un cambio relevante en el paradigma de la privacidad, principalmente, por dos motivos:

  1. Es la primera ley de privacidad que aplica una jurisdicción extraterritorial, lo que significa que una empresa fuera de la Unión Europea podría tener que cumplirla.
  2. Es una de las primeras leyes que hace a las empresas responsables de la postura de privacidad y seguridad de sus proveedores.

Me gustaría extenderme más, pero como gran parte de estos dos puntos, nos va a recaer en punto dos, me voy a centrar en este. Si queréis que amplíe información sobre el primero de ellos, como siempre, solo tenéis que decirlo.

Controles y tratamiento de datos

Otra característica importante del RGPD es que hace recaer la responsabilidad en las empresas de supervisar la postura de privacidad y seguridad de sus proveedores, con independencia de que exista un contrato, y se indique que dichas acciones se delegan, el propietario del dato, siempre será el responsable del mismo.

El GDPR incluye las dos definiciones a tener siempre presentes:

  • Responsable del tratamiento: Es la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del tratamiento de los datos personales;
  • Encargado del tratamiento: Persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales por cuenta del responsable del tratamiento;

En términos no jurídicos, un responsable del tratamiento es la empresa que recopila datos personales, ya sea mediante registro de direcciones IP o solicitando nombres, correos electrónicos y otros detalles. Y un procesador es un tercero que procesa la información en nombre de la empresa original.

El artículo 24 del GDPR : "Responsabilidad del responsable del tratamiento", exige a las empresas que recogen y tratan de datos "apliquen las medidas técnicas y organizativas adecuadas" para garantizar que el tratamiento de los datos se ajuste a la normativa. También deben documentar sus actividades para demostrar su cumplimiento.

Como hemos indicado antes, no vale de nada delegar todo en un proveedor , indicando que debe cumplir con la normativa. Las empresas, el propio respoponsable del dato, es sobre quien recae la responsabilidad.

El artículo 28 del GDPR: "Encargado del tratamiento", explica que el tratamiento "se regirá por un contrato u otro acto jurídico" que debe incluir el tipo de datos personales que se tratan, la finalidad del tratamiento y las obligaciones del responsable. Además, señala que el encargado del tratamiento debe cumplir todos los requisitos del artículo 32. Por último, el artículo 28 exige a los encargados del tratamiento que se aseguren de que cualquiera de sus proveedores cumpla también los mismos requisitos contractuales que los del contrato original.

En estos dos últimos puntos es donde se solapan las responsabilidades del responsable y del encargado del tratamiento.

El artículo 32 del GDPR: "Seguridad del tratamiento", detalla todos los requisitos de seguridad y privacidad necesarios para cumplir con el GDPR:

  • Seudonimizar y cifrar los datos personales
  • Restablecer la disponibilidad y el acceso a los datos personales de manera oportuna
  • Mantener la confidencialidad y la integridad
  • Probar, valorar y evaluar periódicamente la disponibilidad y resistencia de las medidas técnicas y organizativas de los sistemas y servicios de tratamiento.

Al estar referenciados en el artículo 28, los responsables del tratamiento también deben garantizar que sus socios comerciales, terceros / proveedores, hagan lo mismo.

Gestión de logs y cumplimiento del GDPR.

Aunque se trata principalmente de un reglamento de privacidad, el artículo 25, "Protección de datos desde el diseño y por defecto" y el artículo 32, "Seguridad del tratamiento", exigen a las organizaciones que supervisen su postura de seguridad  y documenten sus actividades.

El artículo 25 del GDPR: Exige a las organizaciones que realicen una evaluación de riesgos y luego "apliquen medidas técnicas y organizativas adecuadas" para proteger los datos. Como parte de este las empresas deben asegurarse de que limitan la recogida de datos personales a la información necesaria para un fin específico, y que "por defecto los datos personales no sean accesibles sin la intervención del individuo". Por último, esta parte del RGPD hace referencia al artículo 42, que exige un mecanismo de certificación aprobado, o una auditoría, para demostrar el cumplimiento.

El artículo 32 del GDPR: "Seguridad del tratamiento". Mientras que el artículo 25 exige a las empresas que construyan una "protección de datos desde el diseño", el artículo 32 establece estrategias y pasos. Los principales principios del artículo 32 incluyen:

  • Evaluación del riesgo: equilibrar los costes de aplicación con la probabilidad y la gravedad de los derechos y libertades de los interesados, incluida la destrucción accidental o ilícita, la pérdida, alteración, divulgación no autorizada o acceso a los datos personales transmitidos, almacenados o
    tratados de otro modo
  • Tolerancia al riesgo: Aplicar controles técnicos alineados con el riesgo
  • Supervisar: Probar, valorar y evaluar periódicamente la eficacia de los controles
  • Auditoría: Demostrar el cumplimiento del método de certificación aprobado

El cumplimiento del GDPR ha llegado, y es un proceso a largo plazo y continuo para implementar controles y políticas que sigan cumpliendo los requisitos del reglamento.
La tecnología SIEM puede acelerar el proceso y garantizar que nuestros procesos de gestión de datos y políticas estén preparados para el futuro. El uso de cualquier SIEM ( No todos, intentaremos verlo en otro post ) como almacén de datos principal nos ofrece seguridad, control de acceso, supervisión, auditoría y recuperación, la mayoría de los cuales se controlan directamente a través de la interfaz de usuario. Además, las capacidades de auditoría, nos ayuda a cumplir con los principios del GDPR en materia de protección de datos, minimización de datos personales y derechos de los interesados.

Ten en cuenta los datos personales en el procesamiento de registros del SIEM

Cualquier información relacionada con la identificación de una persona en la UE, como, nombre, apellidos, correo electrónico, IPs, etc. puede estar en el ámbito de los "datos personales" bajo el GDPR. Al procesar datos de registro y de red, nuestra  solución SIEM puede tener estos datos y podría estar haciendo que la organización incumpla el GDPR.

Para mitigar este riesgo, una organización puede optar por utilizar la seudonimización y/o el cifrado. Esto reduce el riesgo de que los datos personales se atribuyan a una persona específica.

seudonimización / el cifrado

Todos los datos personales de un registro pueden separarse y seudonimizarse para que sólo sean accesibles cuando se necesiten. Cuando los datos son seudónimos, los datos sensibles se sustituyen por un valor que no permite identificar al sujeto de los datos. Con la encriptación, los datos en los puntos finales pueden ser encriptados a través de la encriptación completa del disco y monitorizados a través de alertas SIEM. Los datos en reposo que se almacenan en las copias de seguridad y en la infraestructura de almacenamiento también se pueden cifrar. Los SIEM pueden rastrear el acceso a estas ubicaciones y supervisar cualquier intento de mover esos datos fuera. Por último, algunas herramientas SIEM incluyen capacidades de seudonimización o enmascaramiento de datos. Otra razón por la que podría considerarla como la plataforma para gestionar y supervisar el cumplimiento del GDPR, aunque no te voy a engañar, creo que es una  práctica que rara vez he visto, primando casi siempre la del cifrado.

Hay que tener en cuenta que el SIEM no es una herramienta definitiva para el cumplimiento del GDPR, pero ciertamente puede abordar algunos de los distintos requisitos para los controles técnicos y de seguridad apropiados en virtud del GDPR.

¿Qué es el DPA?

Según la ley europea de protección de datos, los datos personales de los ciudadanos de la UE pueden ser procesados por otra parte fuera de la Unión Europea o por un proveedor tercero, siempre y cuando estos firmen un acuerdo legal que regule este procesamiento. Es lo que se llama DPA - Acuerdo de Procesamiento de Datos de sus siglas "Data Processing Agreement".

Un acuerdo de tratamiento de datos (DPA) es un documento legal firmado por el responsable del tratamiento y el encargado del mismo ( ya vimos antes, quien era cada una de estas figuras ), ya sea por escrito o en formato electrónico, cuyo objetivo es regular los términos y condiciones del tratamiento de los datos personales.

Por datos personales se entiende cualquier información con la que sea posible identificar a una persona, por ejemplo, nombre y apellidos, fecha de nacimiento, lugar de residencia.

Los aspectos que cubre la DPA son:

  • El alcance y la finalidad del tratamiento de los datos.
  • Qué datos se tratan y cómo deben protegerse.
  • La relación entre el responsable del tratamiento y el encargado del mismo

¿Por qué es importante el DPA durante la subcontratación?

Si un controlador de datos desea subcontratar algunas actividades de procesamiento de datos a un proveedor, debe demostrar que su socio cumple con GDPR y puede garantizar niveles suficientes de protección de datos. Es por eso que firmar un acuerdo de procesamiento de datos (DPA) es crucial, especialmente en la subcontratación de tratamientos de seguridad.

Independientemente del propósito, una MSS  a través del cual procesa los datos, incluso si no almacenan ningún dato, tienen acceso a multitud de los mismos. Eso crea la necesidad de acordar los términos de cómo se protegen, procesan, almacenan y utilizan estos datos. El DPA es básicamente el esquema de las condiciones de la cooperación a nivel de privacidad entre el MSS y el controlador de los datos.

  • Según el RGPD, un responsable del tratamiento puede ser considerado responsable de la violación de los datos aunque haya ocurrido por parte del encargado del tratamiento. Por lo tanto, a ambas partes les conviene asegurarse de que el encargado del tratamiento tiene el ancho de banda necesario para proporcionar una protección decente a todos los datos que se le transfieren desde el responsable del tratamiento. Cuanto menores sean los riesgos, mejor.
  • El responsable del tratamiento tiene que asegurarse de que el alcance del DPA del procesador no supera la base jurídica original del tratamiento de datos. En otras palabras, la empresa subcontratada sólo debe poder utilizar los datos para los fines previstos en el acuerdo. Es responsabilidad del responsable del tratamiento comprobar cómo va a utilizar el encargado los datos que le transfiere.
  • El texto de un DPA debe ser directo y específico. Por ejemplo, si el responsable del tratamiento va a auditar al encargado, deben especificarse todos los detalles del procedimiento. Esto ayudará a garantizar que el encargado del tratamiento y el contratante tengan muy claras las expectativas y que no haya puntos débiles en el acuerdo.

Subscribe to CIBERSEGURIDAD .blog

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
[email protected]
Subscribe