1
Marco Legal ‐ La seguridad de la información en los gobiernos y las empresas en España (14/11/2013)
Ramón Miralles Coordinador de Auditoría y Seguridad de la Información Autoridad Catalana de Protección de Datos
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
1. Introducción y puesta en antecedentes El marco legal de la seguridad de la información en España es complejo, a esa complejidad contribuye tanto la existencia de un buen número de normas que desarrollan la materia desde diferentes ópticas y su aplicación a diferentes ámbitos, como por el propio contenido de esas normas, que no está exento de complejidades en cuanto a su estructura, interpretación y cumplimiento. Si nos atenemos a los antecedentes, la primera regulación relacionada con la seguridad de la información, en este caso común a empresas y administraciones públicas, la encontramos en el Real Decreto 994/1999, de 11 de junio, que aprobó el “Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal”. En su art. 1 concretaba su ámbito de aplicación y fines, que no eran otros que “establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de carácter personal.” Por tanto se trataba de una regulación relacionada directamente con la protección de los datos de carácter personal, que en el año 1992 se limitaba en el estado Español exclusivamente a los datos personales tratados de manera automatizada, dando respuesta al mandato de la Constitución Española de 1978, que en su art. 18.4 emplazaba “al legislador a limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos”. Lo cierto es que la aprobación de esa primera legislación española de protección de datos del año 1992, conocida como LORTAD, se aprobó en base al interés del gobierno español de entrar en el «espacio Schengen»1, ya que para formar parte de ese acuerdo el estado firmante debía de tener aprobada una ley sobre protección de datos.
1
“«Schengenland» es la denominación dada al territorio que comprende a aquellos Estados de la Unión Europea que han acordado la creación de un espacio común cuyos objetivos fundamentales son la supresión de fronteras entre estos países, la seguridad, la inmigración y la libre circulación de personas. En la actualidad forman parte del territorio de Schengen los siguientes países: Alemania, Austria, Bélgica, Dinamarca, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Holanda, Hungría, Islandia, Italia, Letonia, Liechtenstein, Lituania, Luxemburgo, Malta, Noruega, Polonia, Portugal, República Checa, República Eslovaca, Suecia y Suiza.” Fuente: Ministerio del Interior del gobierno de España http://www.interior.gob.es/atzerritarrak‐ 28/acuerdo‐de‐schengen‐90
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
2
La posterior Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 19952 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ampliaba la protección de los datos de carácter personal más allá de los sistemas automatizados, incluyendo también a aquellos datos tratados manualmente. La mencionada Directiva Europea de protección de datos se incorporó al ordenamiento jurídico español en 19993, con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, conocida como LOPD, que derogo la Ley Orgánica 5/1992, pero que mantuvo vigente el reglamento de medidas de seguridad, aprobado tan solo 6 meses antes. Esta situación causó inicialmente algunas dudas en cuanto a si las previsiones del reglamento de medidas de seguridad para ficheros automatizados también eran aplicables a ficheros no automatizados, en todo caso las autoridades de protección de datos existentes en España, en sus respectivos ámbitos de competencia, lo consideraron también aplicable, al menos respecto de aquellas medidas de seguridad previstas que materialmente fuera posible implantar en los ficheros no automatizados. No es hasta el año 2007 que no se publica el vigente reglamento, de desarrollo de la Ley Orgánica 15/1999, aprobado mediante el Real decreto 1720/2007, que en su título VIII regula la medidas de seguridad que deben ser implantadas en todos los tratamientos de datos de carácter personal.
2. Marco jurídico de la seguridad de la información Antes de describir el marco jurídico que regula las obligaciones en materia de seguridad de la información conviene concretar qué entenderemos por «seguridad de la información», para ello me serviré de la definición que del concepto «seguridad de las redes y de la información» nos proporciona el Reglamento (CE) n 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la «Agencia Europea de Seguridad de las Redes y de la Información», conocida como ENISA4: “La capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.” 2
En este punto no conviene olvidar el antecedente que supuso en 1981 la aprobación por el Consejo de Europa del Convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. 3 Transposición de la Directiva 4 European Union Agency for Network and Information Security http://www.enisa.europa.eu/
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
3
Según esta definición, seguridad sería sinónimo de «capacidad de resistir»; una resistencia que debe tener por objeto mitigar los efectos negativos que sobre la información o los servicios puedan resultar tanto de acciones malintencionadas como accidentales, que pudieran llegar a comprometer las propiedades5 de la seguridad de la información procesada, o de los servicios prestados a través de redes y sistemas. Tan solo un apunte en relación a la función de ENISA6, su actividad respecto de la seguridad de las redes y la información va dirigida a garantizar un nivel efectivo de esa seguridad, con la finalidad de desarrollar “una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector público de la Unión Europea, todo ello orientado a contribuir al correcto funcionamiento del mercado interior”, una cuestión de especial relevancia cuando en la última cumbre de jefes de estado y de gobierno europeos (reunión del Consejo Europeo en Bruselas los pasados 24 y 25 de octubre de 2013) se ha planteado la necesidad de implantar un mercado único digital en Europa para el 2015. Para plantear el análisis del marco jurídico de las obligaciones que en materia de seguridad de la información prevé el ordenamiento jurídico español distinguiremos entre: ‐ Normas que establecen obligaciones comunes para el sector público y privado ‐ Normas que establecen obligaciones exclusivamente para las administraciones públicas ‐ Normas que establecen esas obligaciones con carácter sectorial o especializado, orientadas por tanto a proteger determinadas actividades o tipos de información
5
Según UNE‐ISO/IEC 27001 se define como seguridad de la información: “La preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.” 6 http://europa.eu/legislation_summaries/information_society/internet/l24153_es.htm
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
4
2.1 Obligaciones en materia de seguridad de la información para empresas y administraciones públicas Empresas y administraciones públicas vienen obligadas por igual a adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos personales, en virtud de lo previsto en el art. 9 de la Ley Orgánica 15/19997, que regula lo que se ha venido en identificar como el «principio de seguridad». Ese «principio de seguridad» se concreta en que las medidas técnicas y organizativas deberán evitar la “alteración, pérdida, tratamiento o acceso no autorizado” de los datos de carácter personal. A la hora de concretar las medidas a implantar deberán tenerse en cuenta aspectos como “el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos”. El propio art. 9, en su apartado 2, establece la prohibición de registrar datos de carácter personal en ficheros que no reúnan las condiciones de seguridad que se establezcan reglamentariamente. Por ello, la LOPD considera una infracción grave8 “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal” sin las debidas condiciones de seguridad, es decir, incumpliendo lo previsto en el reglamento en cuanto a las medidas de seguridad que deben ser implantadas. Esas condiciones de seguridad las establece el reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante el Real Decreto 1720/20079 de 21 de diciembre (en adelante RLOPD), que en su título VIII “De las medidas de seguridad en el tratamiento de datos de carácter personal”, detalla de qué manera deben ser protegidos los datos de carácter personal desde la perspectiva de la seguridad de la información. Aproximadamente una tercera parte del reglamento10 se dedica a concretar qué medidas de seguridad deben ser implantadas. La determinación de qué medidas de seguridad deben ser implantadas se basa en una aplicación de niveles de seguridad (básico, medio y alto), en función de la sensibilidad de los datos registrados en los ficheros, o de los datos que son objeto de tratamiento, de manera que cuanto más sensible es la información personal, más exigentes son las medidas de seguridad que deben implantarse. 7
https://www.boe.es/buscar/pdf/1999/BOE‐A‐1999‐23750‐consolidado.pdf Las infracciones graves pueden ser sancionadas con una multa de 40.001 a 300.000 euros 9 https://www.boe.es/buscar/pdf/2008/BOE‐A‐2008‐979‐consolidado.pdf 10 Art. 79 a 114, junto con otros artículos repartidos por el reglamento que també regulan aspectos relacionados con la seguridad de la información 8
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
5
En este punto conviene poner de relevancia lo que debe considerarse fichero y tratamiento, cuestión que viene concretada en el propio reglamento, que dedica su art. 5 a definir diferentes conceptos a los efectos de los previsto en el texto reglamentario. Así debe entenderse por fichero: “todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”, por tanto la facilidad o posibilidad de acceder a la información de carácter personal contenida en el archivo determina su consideración de fichero sobre el que deberán aplicarse las medidas de seguridad previstas al reglamento. El concepto de tratamiento de datos personales tiene un alcance muy amplio, ya que se considera como tal: “11cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. Las medidas de seguridad deberán implantarse en los centros de procesamiento, en las ubicaciones físicas (locales), equipos, sistemas y programas relacionados con el procesamiento de los datos de carácter personal. En cuanto a la manera en que se estructuran las medidas de seguridad, el reglamento prevé unas medidas de seguridad comunes, es decir, de carácter general, que deberán ser implantadas en cualquier fichero o tratamiento de datos de carácter personal, con independencia de su sistema de tratamiento, o del nivel de medidas de seguridad aplicable en función del tipo de datos. Las medidas de seguridad se dividen en 2 grupos, aquellas que pueden ser implantadas en tratamientos automatizados, y aquellas otras destinadas a tratamientos no automatizados12. Y a su vez para cada uno de esos 2 grupos se concretan que medidas deben aplicarse según el nivel requerido por el tipo de datos tratados, es decir, en función de si el nivel
11
Art. 5.1.t del RLOPD Se prevé que existan tratamientos parcialmente automatizados, de manera que serán susceptibles de ser protegidos tanto con las medidas de seguridad para tratamientos automatizados como para no automatizados 12
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
6
de seguridad es básico, medio o alto, teniendo en cuenta que la implantación de las medidas de seguridad es de carácter acumulativo13. Respecto de las normas que pueden llegar a concurrir en este ámbito, cabe señalar que una de las funciones de las autoridades de protección de datos es dictar instrucciones, con el fin de regular o detallar como deben aplicarse los preceptos de la legislación a ciertos tratamientos de datos de carácter personal. Esas instrucciones, de obligado cumplimiento, pueden contener a su vez cuestiones relacionadas con la seguridad de la información, concretando de qué manera deben aplicarse a casuísticas concretas, como por ejemplo: a los sistemas de videovigilancia, al control de acceso a casinos y salas de bingo, el acceso a edificios, o por ejemplo la recogida de datos para la contratación de seguros de vida conjuntamente con los de una préstamo personal o hipotecario. Por último hay que hacer referencia a la que parece será el futuro próximo de la regulación de la protección de datos en Europa, ya que existe una propuesta de reglamento Europeo de protección de datos, ya aprobada14 por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo, que podría estar aprobada entre el 2014 y 2015, que vendrá a sustituir a la actual Directiva Europea de protección de datos del año 1995. No entraré a analizar cuál es su impacto general en la regulación de la protección de datos en Europa, pero sí que hay que poner de relieve que pasaremos de una Directiva, incorporada a cada estado miembro mediante las correspondientes legislaciones nacionales, a un reglamento único de aplicación a todos los estados miembros de la Unión Europea. En cuanto a seguridad de la información el contenido de ese reglamento se adapta más a lo que pueden considerarse buenas prácticas en la materia, de manera que las decisiones de seguridad deberán basarse en la valoración detallada de los riesgos, y se añade la obligación de comunicar, a las autoridades de control y en determinadas circunstancias a las personas afectadas, los incidentes de seguridad que afecten a datos personales, todo ello combinado con la figura de un delegado15 interno de protección de datos que, entre otras funciones, coordinará aspectos vinculados a la seguridad de la información.
13
Por ejemplo, a unos datos a los que corresponda aplicar el nivel medio de medidas de seguridad les serán de aplicación las medidas de seguridad previstas para el nivel medio y básico, y si se trata de datos que requieren el nivel alto de medidas de seguridad deberán ser implantadas las medidas de ese nivel, junto con las de nivel medio y básico. 14 Aprobada el 21 de octubre de 2013 15 En expresión anglosajona se refieren a esta figura organizativa como el «Data protection Officer»
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
7
8
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
2.2 Obligaciones en materia de seguridad de la información para las administraciones públicas El núcleo básico de las obligaciones de las administraciones públicas en materia de seguridad de la información está vinculado a la implantación de la administración electrónica en el conjunto de las administraciones públicas del estado español. Hay diversas definiciones de lo que podemos entender por «administración electrónica»16, aquí utilizaremos una de la Comisión Europea17 que es suficientemente amplia y que recoge sus aspectos esenciales: “Definimos aquí la administración electrónica como el uso de las tecnologías de la información y las comunicaciones en las administraciones públicas, combinado con cambios organizativos y nuevas aptitudes, con el fin de mejorar los servicios públicos y los procesos democráticos y reforzar el apoyo a las políticas públicas.” Según esta definición los elementos que distinguen lo que debemos entender por administración electrónica serían: a. Uso de las tecnologías de la información y la comunicación (TIC) b. Junto con la introducción de cambios organizativos y de aptitud en las administraciones públicas c. Con una triple finalidad: 1. Mejorar los servicios públicos 2. Mejorar los procesos democráticos 3. Reforzar las políticas públicas La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos18, es la legislación básica en materia de administración electrónica en el estado español. El art. 3 de la ley 11/2007 recoge sus finalidades, y concretamente establece en su apartado 319 que una de ellas es “crear las condiciones de confianza en el uso de los 16
También se utiliza la expresión anglosajona “eGovernment” para referirse a la administración electrónica (eAdministración) o la expresión “gobierno electrónico”. 17 Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Europeo Económico y Social y al Comité de las Regiones. COM(2003) 567: “El papel de la administración electrónica en el futuro de Europa”. 18 http://www.boe.es/buscar/pdf/2007/BOE‐A‐2007‐12352‐consolidado.pdf 19 Art. 3.3 Ley 11/2007: “Crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos.”
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
9
medios electrónicos”, en este punto es legislador es consciente de que para que los ciudadanos hagan uso de los medios electrónicos para relacionarse con las administraciones públicas es preciso crear un clima de confianza en la utilización de las tecnologías de la información y la comunicación, que favorezca e impulse el desarrollo de las relaciones electrónicas entre ciudadanos y administraciones públicas. En este punto se hace especial mención a preservar la integridad de: a) Los derechos fundamentales en general b) La intimidad y la protección de datos de carácter personal en especial Dicho de otro modo, los derechos fundamentales en ningún caso puede verse menoscabados, recortados o modificados, por el hecho de utilizar medios electrónicos en el desarrollo de las actividades y funciones que le son propias a las administraciones públicas, en especial cuando implican relacionarse con los ciudadanos o con otras administraciones públicas. Se prevé que para evitar que no se vea afectada la integridad de los derechos fundamentales, en esa aplicación de los medios electrónicos, deberá garantizarse: ‐ La seguridad de los sistemas ‐ La seguridad de los datos ‐ La seguridad de las comunicaciones ‐ La seguridad de los servicios electrónicos De aquí se deriva el «principio de seguridad» recogido en la letra f) del artículo 4 de la Ley 11/200720, al cual debe ajustarse el uso de las tecnologías de la información en el contexto de la denominada «administración electrónica», y que fundamentalmente establece que el uso de medios electrónicos debe ofrecer el mismo nivel de garantías y seguridad que se requiere para la actividad administrativa, cuando en esta no se utilizan dichos medios electrónicos. Aunque no se trate de una referencia directa a la seguridad, también conviene tener en cuenta el principio que establece la letra a) del artículo 421 de la Ley 11/2007, cuando se refiere a que, en el uso de los medios electrónicos en la actividad administrativa deberá respetarse el derecho a la protección de los datos de carácter personal, haciendo referencia expresa a la ley orgánica que regula ese derecho. 20
“f) Principio de seguridad en la implantación y utilización de los medios electrónicos por las Administraciones Públicas, en cuya virtud se exigirá al menos el mismo nivel de garantías y seguridad que se requiere para la utilización de medios no electrónicos en la actividad administrativa.” 21 “a) El respeto al derecho a la protección de datos de carácter personal en los términos establecidos por la Ley Orgánica 15/1999, de Protección de los Datos de Carácter Personal, en las demás leyes específicas que regulan el tratamiento de la información y en sus normas de desarrollo, así como a los derechos al honor y a la intimidad personal y familiar.”
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
10
Ese principio supone una referencia indirecta a cuestiones relacionadas con la seguridad de la información22, ya que como ya hemos analizado, uno de los elementos esenciales del derecho a la protección de los datos de carácter personal es precisamente el «principio de seguridad», establecido por el art. 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. En todo caso el legislador al establecer el objeto de la Ley 11/200723 le da un papel relevante a la seguridad de la información, ya que condiciona el uso de las tecnologías de la información a que este se lleve a cabo asegurando, respecto de los datos, informaciones y servicios: ‐ La disponibilidad ‐ El acceso ‐ La integridad ‐ La autenticidad ‐ La confidencialidad ‐ La conservación de los datos Precisamente, y como no podía ser de otro modo, las propiedades de seguridad que identifican las buenas prácticas24 en materia de seguridad de la información. Hasta tal punto es relevante la seguridad, que la Ley 11/2007 lo termina definiendo como un derecho, al recoger en su artículo 6, como derecho de los ciudadanos, “la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas”. El artículo 42.2 de la Ley 11/2007 es el que dispone que exista un Esquema Nacional de Seguridad (en adelante nos referiremos a él como ENS), aprobado por Real Decreto, y en cuya elaboración debían participar todas las administraciones públicas (art. 42.3). El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica25. Para el desarrollo de los contenidos del ENS han sido tenidos en cuenta: la LOPD y el RLOPD (fundamentalmente su título VIII, al que ya hemos hecho referencia), así como recomendaciones i reglamentos de la Unión Europea, los criterios de seguridad, normalización y conservación de las aplicaciones utilizadas para el ejercicio de 22
Seguridad de la información: entendida aquí en un sentido amplio, por tanto incluye la seguridad de los sistemas, las aplicaciones, los datos, las comunicaciones y los servicios. 23 Art. 2.1 “Las Administraciones Públicas utilizarán las tecnologías de la información de acuerdo con lo dispuesto en la presente Ley, asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.” 24 Por ejemplo, las buenas prácticas definidas por los estándares relacionados con la familia ISO27000 25 https://www.boe.es/buscar/pdf/2010/BOE‐A‐2010‐1330‐consolidado.pdf
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
11
potestades (la última versión era del 2004 y ha sido substituida por el ENS), las guías de seguridad de las TIC del Centro Criptológico Nacional (CCN‐STIC), la metodología y herramientas de análisis y gestión de riesgos (MAGERIT), directrices y guías de la OCDE así como disposiciones nacionales e internacionales sobre normalización (ISO/IEC 27002 y NIST SP 800‐53). Según la “Disposición final primera” de la Ley 11/2007 el artículo 42 tiene el carácter de básico, en virtud del artículo 149.1.18.ª de la Constitución Española, que atribuye al Estado la competencia sobre las bases del régimen jurídico de las Administraciones Públicas y sobre el procedimiento administrativo común, por tanto el ENS debe ser cumplido por todas las administraciones públicas del estado español26. El ENS lo que hace es establecer unos principios básicos y requisitos mínimos para la protección de los sistemas de información27, que deberán ser aplicados por las administraciones públicas para asegurar, en el uso de los medios electrónicos para el ejercicio de sus competencias, respecto de los datos, informaciones y servicios: ‐ El acceso ‐ La integridad ‐ La disponibilidad ‐ La autenticidad ‐ La confidencialidad ‐ La trazabilidad ‐ Y la conservación El artículo 3 excluye del ámbito de aplicación del ENS a “los sistemas que tratan información clasificada regulada por Ley 9/1968, de 5 de abril, de Secretos Oficiales y normas de desarrollo”, cuestión que trataremos más adelante. Asimismo el artículo 30 del ENS prevé que las administraciones públicas puedan determinar qué sistemas de información no se ven afectados por el ENS, siempre y cuando estos no estén relacionados con “el ejercicio de derechos ni con el cumplimiento de deberes por medios electrónicos ni con el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo”. 26
Administración General del Estado, Comunidades Autónomas y Administraciones Locales El ANEXO IV del RD 3/2010 recoge un glosario de términos utilizados en el ENS, en este sentido por sistema de información deberemos entender: “Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.”, definición que debe ser completada con la recogida por el Real Decreto 1720/2007 que aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal http://www.boe.es/buscar/pdf/2008/BOE‐A‐ 2008‐979‐consolidado.pdf (texto consolidado con la última modificación de 8 de marzo de 2012), que define sistemas de información como el “conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal”. 27
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
12
En el ENS la seguridad se entiende como una manera de asegurar que el uso de las tecnologías de la información y la comunicación permiten a las administraciones públicas alcanzar sus objetivos, de manera que las decisiones en materia de seguridad de la información deberán tomarse teniendo en cuenta una serie de principios básicos28: ‐ Seguridad integral ‐ Gestión de riesgos ‐ Prevención, reacción y recuperación ‐ Líneas de defensa ‐ Reevaluación periódica ‐ Función diferenciada El ENS, siguiendo lo que se consideran buenas prácticas en materia de seguridad de la información, establece un primer requisito formal, que sirve de punto de partida a las decisiones en materia de seguridad que pueda adoptar cada administración, como es la obligatoriedad de que todos los órganos superiores de las administraciones públicas elaboren y aprueben su política de seguridad. Por órgano superior de las administraciones públicas deberá entenderse, a estos efectos, los responsables directos de la ejecución de la acción del gobierno, ya sea a nivel central, autonómico o local, o para un sector de actividad específico, se hace referencia a diversas normas29 a tener en cuenta al respecto. Para el caso de los ayuntamientos estos podrán tener una política de seguridad común elaborada por una administración supramunicipal30. Obviamente la política de seguridad deberá desarrollarse conforme a los principios básicos del Capítulo II del ENS (artículos 4 a 10), y teniendo en cuenta los requisitos que se detallarán a continuación, y que se establecen como mínimos, es decir, en última instancia se podrán establecer otros requisitos adicionales, o implantar los previstos con un mayor nivel de exigencia que el requerido por el propio ENS: ‐ Organización e implantación del proceso de seguridad ‐ Análisis y gestión de los riesgos ‐ Gestión de personal ‐ Profesionalidad
28
Artículo 4 del ENS “Ley 6/1997, de 14 de abril, de organización y funcionamiento de la Administración General del Estado y Ley 50/1997, de 27 de noviembre, del Gobierno; los estatutos de autonomía correspondientes y normas de desarrollo; y la Ley 7/1985, de 2 de abril, reguladora de las bases del Régimen Local, respectivamente.” 30 “Diputación, Cabildo, Consejo Insular u órgano unipersonal correspondiente de aquellas otras corporaciones de carácter representativo a las que corresponda el gobierno y la administración autónoma de la provincia o, en su caso, a la entidad comarcal correspondiente a la que pertenezcan.” 29
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
13
‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐
Autorización y control de los accesos Protección de las instalaciones Adquisición de productos de seguridad Seguridad por defecto Integridad y actualización del sistema Protección de la información almacenada y en tránsito Prevención ante otros sistemas de información interconectados Registro de actividad Incidentes de seguridad Continuidad de la actividad Mejora continua del proceso de seguridad
El ANEXO II del Real Decreto 3/2010 recoge en detalle cuales son las medidas de seguridad que deben implantarse según el ENS; obviamente no todas las medidas deben aplicarse en todos los casos, para ello se prevé un sistema para catalogar los sistemas de información. A los efectos del ENS se entiende por medida de seguridad el: “conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación”, en definitiva, las medidas de seguridad comprenden todo aquello que se lleva a cabo de manera proactiva para proteger a los datos, informaciones o sistemas, de posibles incidentes de seguridad. El ENS define 3 categorías de sistemas, BASICA, MEDIA Y ALTA, de manera que a mayor nivel mayor exigencia en cuanto a las medidas de seguridad a implantar. En los art. 43 y 44 del ENS se regula la necesidad de categorizar los sistemas de información, como paso previo para la determinación de las medidas de seguridad que deben ser implantas. Como suele ser práctica habitual en materia de seguridad de la información, a la hora de concretar las medidas de seguridad se buscar la proporcionalidad, equilibrando la importancia de la información y de los servicios, con el esfuerzo necesario para protegerlos, basando esas decisiones en los riegos a los que están expuestos información y servicios. Para ello el ENS establece un método para asignar categorías basado en el impacto que podría tener un incidente de seguridad31, sobre la información o sobre los servicios, que afectara a la disponibilidad, autenticidad, integridad, confidencialidad o
31
“Incidente de Seguridad: Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información” (según el glosario del ENS)
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
14
trazabilidad32. El procedimiento para determinar la categoría de los sistemas se describe en el ANEXO I del ENS. El impacto negativo (consecuencias) del incidente se valora teniendo en cuenta de que manera puede afectar a: a) la capacidad de la organización para el logro de sus objetivos b) la protección de sus activos c) el cumplimiento de sus obligaciones de servicio d) el respeto de la legalidad e) y los derechos de los ciudadanos. Esas valoraciones debe llevarlas a cabo el responsable del servicio o de la información, en tanto que la determinación de la categoría corresponderá al responsable del sistema. Como decíamos el ANEXO I detalla cómo debe procederse para establecer la categoría de un sistema, teniendo en cuenta que por descontado afectará a todos los sistemas empleados en los servicios de Administración electrónica, pero también a aquellos utilizados para la gestión del procedimiento administrativo general, por tanto no exclusivamente aquellos que se utilizan de manera directa en la relación electrónica con los ciudadanos, también a aquellos de tramitación puramente interna de los procedimientos administrativos. Las medidas de seguridad finalmente seleccionadas, y que por tanto deberán ser implantadas de acuerdo a lo previsto en el ENS, se incluyen en un documento que se identifica como “declaración de aplicabilidad”33, que será firmado por el responsable de seguridad del sistema. Y como último aspecto general a tener cuenta, las medidas de seguridad se dividen en tres grupos o tipos: a) Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. b) Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema c) Medidas de protección [mp]. Centradas en proteger activos concretos
32
ANEXO I: “2. Dimensiones de la seguridad. A fin de poder determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas, y de poder establecer la categoría del Sistema, se tendrán en cuenta las siguientes dimensiones de la seguridad, que serán identificadas por sus correspondientes iniciales en mayúsculas:” Disponibilidad [D], Autenticidad [A], Integridad [I], Confidencialidad [C] y Trazabilidad [T]. 33 Coincidente con el concepto de declaración de aplicabilidad de las UNE‐ISO/IEC 27001: “declaración documentada que describe los objetivos de control y los controles que son relevantes para el SGSI de la organización y aplicables al mismo”
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
15
El ENS establece que “para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, el Centro Criptológico Nacional, en el ejercicio de sus competencias, elaborará y difundirá las correspondientes guías de seguridad de las tecnologías de la información y las comunicaciones.” Esas guías se publican bajo la serie CCN‐STIC‐80034, que establece las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el ENS, las guías publicadas hasta junio de 2013 vienen recogidas en el anexo 1 de este documento. El Centro Criptológico Nacional (CCN)35, que “es el Organismo responsable de coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las Tecnologías de la Información en ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo”, dispone y publica amplia información en materia de seguridad de la información, entre ellos informes, que todo y no estar directamente vinculados con el ENS, su consulta es altamente recomendable en cuestiones relacionadas con la seguridad de la información. También resulta una referencia útil la información que elabora el Instituto Nacional de Tecnologías de la Comunicación (INTECO)36 y organismos análogos37, tal y como prevé la Disposición adicional segunda del ENS, ya que estos pueden “desarrollar proyectos de innovación y programas de investigación dirigidos a la mejor implantación de las medidas de seguridad contempladas” en el ENS. Por último hacer referencia a las medidas de seguridad en el ámbito de la administración de justicia, ya que el 13 de septiembre de 2007 el pleno del Consejo General del Poder Judicial38 aprobó los Criterios generales de seguridad en los sistemas de información al servicio de la Administración de Justicia. Esos criterios parten de la base del cumplimiento de lo previsto en la legislación de protección de datos, pero también incluye un conjunto de medidas específicas que tienen por objeto mejorar y/o homogeneizar el nivel de seguridad de los sistemas de gestión procesal, en forma de marco de referencia, por tanto de mínimos a tener en cuenta a la hora de proteger los sistemas de información. 34
Para información actualizado sobre las guías consultar este enlace https://www.ccn‐cert.cni.es/index.php?option=com_wrapper&view=wrapper&Itemid=211&lang=es 35 El CCN fue creado en el año 2004, a través del Real Decreto 421/2004,y adscrito al Centro Nacional de Inteligencia (CNI). https://www.ccn.cni.es/ 36 https://www.inteco.es/ 37 Por ejemplo en Cataluña el CESICAT https://www.cesicat.cat/ 38 “El Consejo General del Poder Judicial es un órgano constitucional, colegiado, autónomo, integrado por jueces y otros juristas, que ejerce funciones de gobierno del Poder Judicial con la finalidad de garantizar la independencia de los jueces en el ejercicio de la función judicial frente a todos.” Fuente: Consejo General del Poder Judicial http://www.poderjudicial.es/cgpj/es/Poder_Judicial/Consejo_General_del_Poder_Judicial
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
16
2.3 Obligaciones de carácter sectorial o especializado en materia de seguridad de la información Hasta aquí hemos descrito un marco jurídico que, todo y situarse en un ámbito de aplicación específico, como son los datos personales y la administración electrónica, podemos considerar que regulan de una manera genérica las obligaciones en materia de seguridad de la información, ya que su alcance es cuanto a sistemas de información es muy general. De hecho, en el caso de las administraciones públicas, ambos modelos de seguridad vienen a superponerse, ya que aplican a la información y sistemas que el sector público utiliza en el desarrollo de sus actividades, de manera que lo que debe ser objeto de protección es coincidente, ya que pocos sistemas de información de las administraciones públicas procesarán datos que no sean de carácter personal, y estos a su vez constituyen objeto de las actuaciones en materia de administración electrónica. Vamos a tratar ahora normas relacionadas con obligaciones en materia de seguridad de la información que pretenden dar respuesta a casuísticas muy concretas, ya sea por la información o por los servicios que se pretende proteger. Para ello vamos a hacer referencia 3 grupos de normas: ‐ ‐ ‐
Las relacionadas con sectores específicos, o que regulan aspectos concretos de la seguridad de la información Las relacionadas con la protección de las denominadas infraestructuras críticas Y las relacionadas con la «ciberseguridad»
2.3.1 Regulación sectorial de la seguridad de la información Sin perjuicio de que a determinados sectores les sean de aplicación las previsiones que con carácter general pueda contener la legislación de protección de datos personales o, en su caso, de los servicios de administración electrónica, en algunos supuestos se añaden algunos requisitos de seguridad adicionales, o se detalla de qué manera se aplican las mencionadas previsiones generales a casuísticas concretas. No entraremos en el detalle de esa regulación, ya que resulta muy extensa, por tanto nos limitaremos aquí a hacer una breve reseña.
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
17
Sin ánimo de ser exhaustivo, los principales sectores, o aspectos concretos relacionados con la seguridad de la información, respecto de los que vamos a encontrar regulación van a ser en: ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐
Actividades relacionadas con la banca o los servicios financieros y bursátiles La historia clínica, es decir, el conjunto de datos relacionados con los episodios asistenciales y estado de salud de las personas (documentación clínica) Las telecomunicaciones y los servicios de comunicaciones electrónicas El comercio electrónico La función de estadística pública Los secretos oficiales e información clasificada, así como algunas bases de datos policiales El juego “en linea” y en general el juego en el que se aplican medios técnicos Y la firma electrónica y el documento nacional de identidad electrónico
En todos esos supuestos no vamos a encontrar una regulación detallada de las medidas de seguridad, como si hemos visto en los 2 casos anteriores, en general van a plantear los objetivos de protección que deben alcanzar las medidas de seguridad. Por ejemplo la Ley 24/1988, de 28 de julio, del Mercado de Valores establece en la letra (d) del art. 83.1.bis.b, la necesidad de que los emisores de valores establezcan medidas de control y seguridad de la información para la custodia, archivo, acceso, reproducción y distribución de la información, en la fase de estudio o negociación de cualquier operación que pueda afectar a la cotización de los valores o instrumentos financieros afectados. O la remisión que hace la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, en varios de sus artículos 15, 32 y 33 de que: “En todo caso deberán implantarse sobre el fichero las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal.” En la regulación de la historia clínica se suele hacer remisión también a las medidas de seguridad previstas en la legislación de protección de datos, y por supuesto serán de aplicación el nivel alto de medidas de seguridad, si bien se añaden algunos aspectos específicos relacionados con la conservación de la documentación clínica, como es el caso del art. 1239 incorporado a la Ley 21/2000, de 29 de diciembre, sobre los derechos de información concerniente a la salud y la autonomía del paciente, del Parlamento de Cataluña, por la Ley 16/2010, de 3 de junio.
39
Texto en el anexo 2 de este documento
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
18
En definitiva, en parecidos términos recogen la seguridad de la información otras leyes y desarrollos reglamentarios, como por ejemplo: ‐ ‐ ‐ ‐ ‐ ‐ ‐
‐ ‐ ‐ ‐
Ley 9/1968, de 5 de abril, Reguladora de los Secretos Oficiales40, modificada por Ley 48/1978, de 7 de octubre. Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones Ley 59/2003, de 19 de diciembre, de firma electrónica Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica Ley Orgánica 10/2007, de 8 de octubre, reguladora de la base de datos policial sobre identificadores obtenidos a partir del ADN Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones Ley 13/2011, de 27 de mayo, de regulación del juego41
2.3.2 Protección de las infraestructuras críticas La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas es el resultado de la publicación y entrada en vigor de la Directiva 2008/114/CE del Consejo, sobre Identificación y Designación de las Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su Protección.
40
La función de seguridad de la información relacionada con la información clasificada la desarrolla el Centro Nacional de Inteligencia, mediante la Oficina de Seguridad Nacional: “La Oficina Nacional de Seguridad (ONS) se crea en 1983, dentro del servicio de inteligencia, como órgano de trabajo del Director del CNI para auxiliarle en el cumplimiento de sus cometidos relacionados con la protección de la Información Clasificada.” Fuente: CNI http://www.cni.es/es/ons/introduccion/ 41 Crea la Comisión Nacional del Juego que entre sus funciones tiene la de: “Establecer los requisitos técnicos y funcionales necesarios de los juegos, los estándares de operaciones tecnológicas y certificaciones de calidad, y los procesos, procedimientos, planes de recuperación de desastres, planes de continuidad del negocio y seguridad de la información, de acuerdo con las previsiones contenidas en los reglamentos correspondientes y los criterios fijados por el Consejo de Políticas del Juego.”
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
19
Esa Directiva en buena parte tiene su origen en los atentados de Madrid42, ya que el Consejo Europeo de junio de 2004 “instó a la Comisión Europea a elaborar una estrategia global sobre protección de infraestructuras críticas”, de tal manera que “el 20 de octubre de 2004 la Comisión adoptó una Comunicación sobre protección de las infraestructuras críticas en la lucha contra el terrorismo, que contiene propuestas para mejorar la prevención, preparación y respuesta de Europa frente a atentados terroristas que les afecten. Con posterioridad, en diciembre de 2004, el Consejo aprobó el PEPIC (Programa europeo de protección de infraestructuras críticas) y puso en marcha una red de información sobre alertas en infraestructuras críticas (Critical Infrastructures Warning Information43 Network‐CIWIN)”44. “El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC)45 es el órgano que se encarga de impulsar, coordinar y supervisar todas las actividades que tiene encomendadas la Secretaría de Estado de Seguridad del Ministerio del Interior en relación con la protección de las infraestructuras críticas españolas”. Su objetivo es impulsar y coordinar los mecanismos necesarios para garantizar la seguridad de las infraestructuras que proporcionan los servicios esenciales46, fomentando la participación de los agentes del sistema en sus correspondientes ámbitos competenciales, de manera que se fomente un modelo de seguridad basado en la confianza mutua, creando una asociación público‐privada que permita minimizar las vulnerabilidades de las infraestructuras críticas ubicadas en el territorio del estado español. En la Ley 8/2011, se establecen medidas para la protección de las infraestructuras críticas, una cuestión demandada tanto desde el sector público como privado; la ley se desarrolla mediante un reglamento aprobado por el Real Decreto 704/2011, de 20 de mayo, que establece a nivel nacional una serie de medidas en materia de protección de infraestructuras críticas, que deben facilitar una eficaz coordinación de las Administraciones Públicas y de las entidades y organismos gestores o propietarios de dichas infraestructuras, a fin de lograr una mejor seguridad global.
42
Atentados del 11 de marzo de 2004 https://ciwin.europa.eu 44 Extraído del preámbulo de la Ley 8/2011 45 http://www.cnpic‐es.es/ 46 “El servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del estado y las Administraciones Públicas”. 43
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
20
La ley identifica a una serie de sectores estratégicos47, de los que dependen los servicios esenciales que deben ser objeto de protección, las infraestructuras estratégicas48 son las que dan soporte a esos servicios esenciales, y las infraestructuras críticas49 son aquellas indispensables, sin las cuales no pueden ser prestados esos servicios. Se trata de una norma en buena parte dirigida a organizar y gestionar los mecanismos que deben dar respuesta a situaciones de afectaciones de los servicios prestados por las infraestructuras críticas, y en gran medida se refiere a situaciones que implican impactos físicos de los ataques, pero también se prevén algunas medidas relacionadas con la seguridad de la información. Concretamente su art. 15 se refiere a la seguridad de las comunicaciones, de manera que: ‐
‐
por un lado las Administraciones Públicas velarán por la garantía de la confidencialidad de los datos sobre infraestructuras estratégicas a los que tengan acceso y de los planes que para su protección se deriven, según la clasificación de la información almacenada y por otro los sistemas, las comunicaciones y la información50 referida a la protección de las infraestructuras críticas contarán con las medidas de seguridad necesarias que garanticen su confidencialidad, integridad y disponibilidad, según el nivel de clasificación que les sea asignado.
Y en su art. 18 se refiere a las obligaciones en materia de seguridad de la información que deben asumir los operadores críticos51, de manera que estos deberán garantizar la seguridad de los datos clasificados relativos a sus propias infraestructuras, mediante los medios de protección y los sistemas de información adecuados, que vienen concretados en el reglamento aprobado por Real Decreto 704/2011, y que fundamentalmente giran en torno a la elaboración de planes de seguridad. 47
“Cada una de las áreas diferenciadas dentro de la actividad laboral, económica y productiva, que proporciona un servicio esencial o que garantiza el ejercicio de la autoridad del Estado o de la seguridad del país. Su categorización viene determinada en el anexo de esta norma”. 48 “Las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales”. 49 “Las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. 50 “Los datos específicos sobre infraestructuras estratégicas que, de revelarse, podrían utilizarse para planear y llevar a cabo acciones cuyo objetivo sea provocar la perturbación o la destrucción de éstas”. 51 “Las entidades u organismos responsables de las inversiones o del funcionamiento diario de una instalación, red, sistema, o equipo físico o de tecnología de la información designada como infraestructura crítica con arreglo a la presente Ley”.
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
21
Los sectores estratégicos que determina como tales la Ley 8/2011 son: ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐
Administración Espacio Industria nuclear Industria química Instalaciones de investigación Agua Energía Salud Tecnologías de la Información y las Comunicaciones (TIC) Transporte Alimentación Sistema financiero y tributario.
Por último señalar que dado que resulta habitual utilizar las TIC para la gestión de las infraestructuras críticas, realizando funciones de sistemas de control industrial, donde es muy relevante la operatividad en tiempo real, y por tanto con graves impactos en los servicios si esos sistemas se vieran afectados por incidentes de seguridad, el CNPIC, en colaboración con el Centro Criptológico Nacional (CCN), tiene publicadas una serie de guías52 de interés para la seguridad de los sistemas de control industrial (SCADA53). 2.3.3 La «ciberseguridad» Nos referiremos aquí a «ciberseguridad» como el desarrollo en el «ciberespacio»54 de la tradicional función de seguridad y defensa que los gobiernos deben llevar a cabo para proteger los intereses de cada estado.
52
En el anexo 3 se incluyen las guías publicadas hasta el momento “Los sistemas SCADA o sistemas de Supervisión, Control y Adquisición de Datos, comprenden todas aquellas soluciones de aplicación que recogen medidas y datos operativos de equipos de control locales y remotos. Los datos se procesan para determinar si los valores están dentro de los niveles de tolerancia y, de ser necesario, tomar medidas correctivas para mantener la estabilidad y el control.” Fuente: Guía de seguridad de las TIC (CCN‐STIC‐480). Seguridad en sistemas SCADA, de marzo de 2010. http://www.cnpic‐es.es/Biblioteca/GUIAS_CCN/480‐Seguridad_sistemas_SCADA‐mar10.pdf 54 “El ciberespacio es el conjunto de medios y procedimientos basados en las tecnologías de la información y la comunicación (TIC) configurados para la prestación de servicios. El ciberespacio está constituido por hardware, software, Internet, servicios de información y sistemas de control que garantizan la provisión de aquellos servicios esenciales para la actividad socio‐económica de cualquier nación, y en especial aquellos ligados a sus infraestructuras críticas.” Fuente: “La Ciberseguridad Nacional, un compromiso de todos” http://www.ismsforum.es/ficheros/descargas/informe‐ scsi1348666221.pdf 53
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
22
El uso y dependencia de las tecnologías de la información y la comunicación del conjunto de agentes sociales, obliga a llevar a cabo una evolución del modelo de seguridad, dirigiéndolo hacía una visión integral de la seguridad, ya que la seguridad de los Estados ya no está restringida a la defensa de sus fronteras y su soberanía, sino que también debe garantizar el bienestar de la sociedad frente a los nuevos riesgos, por otro lado la globalización fomenta riesgos y amenazas transfronterizos (terrorismo, proliferación de armas de destrucción masiva o la «ciberdelincuencia», entre otros), así como la aparición de actores de orígenes y motivaciones heterogéneas55. La globalización a que hacía referencia implica la libertad de movimientos de personas, mercancías, servicios y capitales, de manera que se hace difícil separar la seguridad interior y exterior, distinguir qué es política de defensa y de interior, y el papel de lo público y lo privado en las acciones de defensa y seguridad nacional. Tal y como recoge la “Estrategia de Operaciones en el Ciberespacio” del Departamento de Defensa de EEUU (julio de 2011), se trata al «ciberespacio» como un dominio operacional más, como tierra, mar, aire y espacio, de manera que en base a dotar de capacidad de respuesta en ese dominio por parte de las fuerzas armadas se defienden las redes y sus servicios de posibles ataques. El actual estado de la «ciberseguridad» en el estado español no permite referirse a un marco jurídico como tal, la “Estrategia Nacional de Seguridad 2013”56 (publicada en mayo de 2013), incluye entre sus líneas de acción estratégicas la «ciberseguridad», cuyo objetivo es “garantizar un uso seguro de las redes y los sistemas de información a través del fortalecimiento de nuestras capacidades de prevención, detección y respuesta a los ciberataques”57, respecto de la cual se ha anunciado58 que a finales de este año (2013) se publicará la “Estrategia Nacional de Ciberseguridad”. Por tanto se trata de documentos de contenido estratégico que apuntan las líneas de actuación para abordar los retos y riesgos derivados del uso de las tecnologías de la información y la comunicación, todavía sin un valor jurídico, sino más bien programático o político, pero que sin duda se acabarán materializando en nuevas obligaciones en materia de seguridad de la información, que complementarán a las ya existentes, tanto para el sector público como privado.
55
Fuente: “La Ciberseguridad Nacional, un compromiso de todos” http://www.lamoncloa.gob.es/NR/rdonlyres/0BB61AA9‐97E5‐46DA‐A53E‐ DB7F24D5887D/0/Seguridad_1406connavegacionfinalaccesiblebpdf.pdf 57 Fuente: “Estratègia Nacional de Seguridad 2013” 58 http://es.noticias.yahoo.com/espa%C3%B1a‐contar%C3%A1‐a%C3%B1o‐estrategia‐nacional‐ ciberseguridad‐162813513.html?.tsrc=lgwn 56
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
23
3. Algunas conclusiones Des de una perspectiva jurídica nos encontramos ante una marco legal complejo, donde si bien aparecen 2 cuerpos legales básicos con regulación detallada de las medidas de seguridad, como son la protección de los datos de carácter personal y la administración electrónica, se da también una gran dispersión normativa. La complejidad del marco jurídico se amplifica con las dificultades de interpretación de los contenidos de las normas, el abogado debe entender no solo de técnica jurídica, también de tecnología, este debe de disponer de un criterio sólido que le permita valorar cuales son las necesidades y vías para dar respuesta a los requisitos y condiciones de orden legal en materia de seguridad de la información. Se trata de un marco legal profundamente influenciado por las decisiones de Europa, en base a las diferentes Directivas y comunicaciones que tienen su origen en las instituciones europeas. La seguridad cada vez más se visualiza como un problema global que precisa ser abordado con soluciones integrales, las actuaciones aisladas no van a ser suficientes para una protección efectiva de las informaciones y servicios relacionados con las TIC, su rápida evolución dificulta su regulación en tiempo y forma. La actuación coordinada del sector público y privado resulta esencial para dar una respuesta eficaz y eficiente a los riesgos y restos que se plantean en el contexto de la seguridad de la información. En este punto conviene tener en cuenta la diferente realidad de las empresas y de las administraciones, de manera que si bien podemos considerar que las organizaciones de un cierto tamaño disponen de los medios y organización interna necesarios para dar respuesta a las obligaciones en materia de seguridad de la información, en el caso de las pequeñas y medianas empresas, autónomos59, y pequeñas y medianas administraciones públicas60, se detecta una falta de concienciación y conocimiento de la materia, que unida a la escasez de recursos impiden una adecuada implementación de medidas de seguridad. Por último la ciudadanía en general es poco consciente de las amenazas que supone el uso de las TIC, y los riegos de internet, por ello resulta urgente abordar la cuestión desde el sector educativo, incluyendo en los planes de formación académicos materias relacionadas con la seguridad de la información y la privacidad.
59 60
Que suponen más 99% del total del tejido empresarial español Especialmente administración local
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
24
Anexo 1. Guías de seguridad Título de la Guía
Última Versión
Fecha de publicación
Guía 800 ‐ Glosario de Términos y Abreviaturas del ENS
03‐2011
03‐2011
Recoge aquellos términos y abreviaturas utilizados en las guías de desarrollo del ENS.
Guía 801 ‐ Responsables y Funciones en el Esquema Nacional de Seguridad
02‐2011
04‐2010
El objeto de esta guía es crear un marco de referencia que establezca las responsabilidades generales en la gestión de la seguridad de los Sistemas, así como proponer unas figuras o roles de seguridad que las implementen.
Guía 802 ‐ Auditoría del Esquema Nacional de Seguridad
06‐2010
02‐2010
Esta guía de auditoría del Esquema Nacional de Seguridad se encuadra dentro de lo previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, y específicamente dentro de los requisitos del artículo 34 (Auditoría de la seguridad), y del Anexo III (Auditoría de la Seguridad) del Real Decreto 3/2010 de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (RD 3/2010 en adelante).
Guía 803 ‐ Valoración de sistemas en el Esquema Nacional de Seguridad
05‐2010
01‐2011
El Esquema Nacional de Seguridad establece una serie de medidas de protección en su Anexo II que están condicionadas a la valoración del nivel de seguridad en cada dimensión, y a la categoría (artículo 43) del sistema de información de que se trate. A su vez, la categoría del sistema se calcula en función del nivel de seguridad en cada dimensión. Esta guía establece unas pautas de carácter general que son aplicables a entidades de distinta naturaleza, dimensión y sensibilidad sin entrar en casuísticas particulares.
Guía 804 ‐ Medidas de implantación del Esquema Nacional de Seguridad
02‐2010
03‐2013
El Esquema Nacional de Seguridad establece una serie de medidas de seguridad en su Anexo II que están condicionadas a la valoración del nivel de seguridad en cada dimensión, y a la categoría (artículo 43) del sistema de información de que se trate. A su vez, la categoría del sistema se calcula en función del nivel de seguridad en cada dimensión. Esta guía establece unas pautas de carácter general que son aplicables a entidades de distinta naturaleza, dimensión y sensibilidad sin entrar en casuísticas particulares.
25
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
Guía 805 ‐ Política de Seguridad de la Información
09‐2011
09‐2011
La Política de Seguridad de la Información es un documento de alto nivel que define lo que significa ‘seguridad de la información’ en una organización. El documento debe estar accesible por todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible.
Guía 806 ‐ Plan de Adecuación del Esquema Nacional de Seguridad
01‐2011
08‐2010
Los sistemas existentes a la entrada en vigor del RD 3/2010, de 8 de enero, deberán adecuarse al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Esta guía establece unas pautas de carácter general que son aplicables a entidades de distinta naturaleza, dimensión y sensibilidad sin entrar en casuísticas particulares.
Guía 807 ‐ Criptología de empleo en el Esquema Nacional de Seguridad
11‐2012
07‐2011
Esta guía desarrolla las recomendaciones sobre algoritmos y parámetros criptológicos recogidas en el Esquema Nacional de Seguridad.
[
Guía 808 ‐ Verificación del cumplimiento de las medidas en el Esquema Nacional 09‐2011 de Seguridad
10‐2010
26
El objeto de esta guía es que sirva tanto de itinerario, como de registro, a aquella persona designada como auditor de los requisitos del Esquema Nacional de (Borrador) Seguridad para un sistema. Guía 809 ‐ Declaración de Conformidad del Esquema Nacional de Seguridad
7‐2010
07‐2010
La presente guía tiene por objeto dar pautas generales para la aplicación de lo dispuesto en el artículo 41 del Esquema Nacional de Seguridad, sin perjuicio de la particularización de cada organismo.
Guía 810 ‐ Creación de un CERT / CSIRT
09‐2011
09‐2011
Esta guía forma parte del desarrollo del RD 3/2010 del ENS, según se alude en el artículo 37 sobre prestación de servicios de respuesta a incidentes de seguridad en las administraciones públicas, y específicamente, en su punto número 2 sobre el programa desarrollado por el CCN para que las administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad.
Guía 811 ‐ Interconexión en el Esquema Nacional de Seguridad
09‐2011
11‐2012
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
El Esquema Nacional de Seguridad, en su artículo 22, establece la obligatoriedad de proteger el perímetro de los sistemas a interconectar, (en particular si se utilizan redes públicas total o parcialmente) y de analizar los riesgos derivados de la interconexión de los sistemas, controlando además su punto de unión.
Guía 812 ‐ Seguridad en Entornos y Aplicaciones Web
10‐2011
08‐2011
Guía de referencia en la identificación y el análisis de los requisitos de seguridad asociados a las aplicaciones y entornos Web en el ámbito del Esquema Nacional de Seguridad, con el objetivo de reducir las posibles amenazas de seguridad asociadas a estos entornos y aplicaciones durante su diseño y antes de su paso a producción.
Guía 813 ‐ Componentes certificados en el ENS
02‐2012
02‐2012
Esta guía introduce los conceptos y define los criterios específicos que deben guiar y ayudar en la aplicación de los requisitos de adquisición y uso de componentes certificados en el Esquema Nacional de Seguridad.
Guía 814 ‐ Seguridad en correo electrónico
08‐2011
08‐2011
Guía de configuración segura del correo electrónico en el ámbito del Esquema Nacional de Seguridad, con el objetivo de reducir las posibles amenazas de seguridad asociadas a estos entornos.
(Borrador)
Guía 815 ‐ Métricas e Indicadores en el Esquema Nacional de Seguridad
04‐2012
27
04‐2012
Esta guía persigue proponer un conjunto de datos a registrar del sistema de información a fin de poder derivar métricas posteriormente, tanto locales del sistema, como del conjunto de la Administración; un conjunto amplio de métricas o indicadores para caracterizar los puntos del Anexo II del ENS; un conjunto reducido de métricas o indicadores para caracterizar la posición del sistema de información en materia de seguridad de la información y cuadros de mando para escenarios típicos.
Guía 817 ‐ Criterios comunes para la Gestión de Incidentes de Seguridad
08‐2012
08‐2012
Con el fin de comunicar y compartir información con claridad sobre incidentes es necesario adoptar una terminología común que describa todos aquellos que son posible que se materialicen. Sólo partiendo de las mismas premisas y siguiendo las mismas definiciones se puede coordinar una respuesta rápida y eficaz. (Borrador) Esta guía recoge un conjunto de conceptos y descripciones de alto nivel que permiten mejorar las comunicaciones entre los distintos responsables de seguridad de las AAPP.
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
Guía 818 ‐ Herramientas de Seguridad en el ENS
10‐2012
10‐2012
La presente guía persigue el doble objetivo de describir y clasificar las diferentes herramientas de seguridad existentes, así como establecer los requisitos relativos a la selección, aprobación, implementación, uso y mantenimiento de dichas (Borrador) herramientas de seguridad en los Sistemas. Guía 821 ‐ Normas de Seguridad en el ENS
04‐2013
11‐2012
El objetivo de esta Guía es proponer a los organismos de las Administraciones públicas españolas una relación de Normas de Seguridad, recogiendo lo exigido por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica (ENS, en adelante).
Guía 822 ‐ Procedimientos de Seguridad en el ENS
10‐2012
10‐2012
El objetivo de esta Guía es proponer a los organismos de las Administraciones públicas españolas una relación de Procedimientos de Seguridad, recogiendo lo exigido por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica. La normativa contenida en la presente Guía resulta de aplicación a cualquier entidad del sector público del ámbito de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos: Administración General del Estado, Administración de las Comunidades Autónomas y Administración de las Entidades Locales. Guía 823 ‐ Seguridad en entornos Cloud
28
06‐2013
10‐2012
Esta guía recoge los aspectos de seguridad necesarios que deberán contemplarse para la adopción del cloud computing como paradigma tecnológico para la disposición de servicios con las garantías de seguridad pertinentes. Se han identificado las medidas de seguridad y los requisitos que deben cumplir los proveedores de servicios para dar cumplimiento tanto a los marcos legislativos aplicables, en especial el ENS o la normativa vigente en materia de protección de datos personales, como a los códigos de buenas prácticas o estándares reconocidos internacionalmente.
Guía 824 ‐ Informe del Estado de Seguridad
11‐2012
11‐2012
Este documento describe una serie de medidas e indicadores con 2 destinatarios: el propio organismo propietario del sistema de información y el informe anual del estado de seguridad de la administración pública española. En ambos casos se busca una estimación preventiva de la seguridad, vía análisis del cumplimiento de determinados aspectos que se han estimado críticos para cualquier organismo; una estimación de la eficacia y eficiencia de las actividades en materia de
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
seguridad y una estimación del esfuerzo humano y económico dedicado a seguridad TIC. Fuente: Centro Criptológico Nacional en https://www.ccn‐cert.cni.es/
29
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
Anexo 2. Modificación del art. 12 «Conservación de la historia clínica» 1. La responsabilidad de custodiar la historia clínica recae en la dirección de los centros sanitarios, o bien en los profesionales sanitarios que llevan a cabo su actividad de forma individual. 2. La historia clínica debe conservarse en las condiciones que garanticen la autenticidad, la integridad, la confidencialidad, la preservación y el correcto mantenimiento de la información asistencial registrada, y que aseguren su completa reproductibilidad en el futuro, durante el tiempo en que sea obligatorio conservarla, independientemente del soporte en que se encuentre, que no tiene que ser necesariamente el soporte original. 3. En el proceso de traslación de la información de la historia clínica, desde el soporte original a otro soporte, tanto si es digital como de otra naturaleza, debe garantizarse la inalterabilidad, autenticidad y perdurabilidad de la información asistencial, así como la confidencialidad de los datos y de la información que contienen. Las medidas técnicas y organizativas de seguridad que se adopten a tal efecto deben ser recogidas por protocolos internos aprobados por la dirección del centro sanitario, que deben basarse en los criterios aprobados por la comisión técnica a la que se refiere la disposición final primera. 4. De la historia clínica debe conservarse, junto con los datos de identificación de cada paciente, como mínimo durante quince años desde la fecha de alta de cada proceso asistencial, la siguiente documentación: a) Las hojas de consentimiento informado. b) Los informes de alta. c) Los informes quirúrgicos y el registro de parto. d) Los datos relativos a la anestesia. e) Los informes de exploraciones complementarias. f) Los informes de necropsia. g) Los informes de anatomía patológica. 5. Los procesos de digitalización de la historia clínica que se lleven a cabo deben facilitar el acceso a la historia clínica desde cualquier punto del Sistema Nacional de Salud. A tal efecto, deben establecerse los mecanismos para hacer posible, mediante la tarjeta sanitaria individual, la vinculación entre las historias clínicas que cada paciente tenga en los organismos, centros y servicios del Sistema Nacional de Salud, y que permitan el acceso de los profesionales sanitarios a la información clínica y el intercambio de dicha información entre los dispositivos asistenciales de las comunidades autónomas, de conformidad con las disposiciones sobre protección de datos de carácter personal.
Seguridad y Privacidad de la Información en las Ciudades Inteligentes
30
6. La documentación que integra la historia clínica no mencionada por el apartado 4 puede destruirse una vez hayan transcurrido cinco años desde la fecha de alta de cada proceso asistencial. 7. No obstante lo establecido por los apartados 4 y 6, debe conservarse de acuerdo con los criterios que establezca la comisión técnica en materia de documentación clínica, a la que hace referencia la disposición final primera, la documentación que sea relevante a efectos asistenciales, que debe incorporar el documento de voluntades anticipadas, y la documentación que sea relevante, especialmente, a efectos epidemiológicos, de investigación o de organización y funcionamiento del Sistema Nacional de Salud. En el tratamiento de esta documentación debe evitarse identificar a las personas afectadas, salvo que el anonimato sea incompatible con las finalidades perseguidas o que los pacientes hayan dado su consentimiento previo, de acuerdo con la normativa vigente en materia de protección de datos de carácter personal. La documentación clínica también debe conservarse a efectos judiciales, de conformidad con la normativa vigente. 8. La decisión de conservar la historia clínica, en los términos establecidos por el apartado 7, corresponde a la dirección médica del centro sanitario, a propuesta del facultativo o facultativa, previo informe de la unidad encargada de la gestión de la historia clínica en cada centro. Esta decisión corresponde a los propios facultativos cuando desarrollen su actividad de forma individual. 9. Los responsables de custodiar la historia clínica, a quienes se refiere el apartado 1, también son responsables de destruir correctamente la documentación que previamente se haya decidido expurgar. 10. En el supuesto de cierre de centros y servicios sanitarios, o de cese definitivo de actividades profesionales sanitarias a título individual, debe garantizarse el mantenimiento del acceso legalmente reconocido a las historias clínicas que se encuentren bajo la custodia de dichos centros o profesionales, en beneficio de la asistencia médica y, especialmente, de los derechos de los pacientes en materia de documentación clínica y de protección de datos personales. 11. Son aplicables a la conservación de la historia clínica, al proceso de traslación de información establecido por el apartado 3 y a la actividad de destrucción a la que se refiere el apartado 9 las medidas técnicas y organizativas de seguridad aplicables a los ficheros que contienen datos de carácter personal, en los términos establecidos por la normativa reguladora de la protección de datos de carácter personal. 12. Las prescripciones del presente artículo se entienden sin perjuicio de la aplicación de la normativa específica de prevención de riesgos laborales y de protección de la salud de los trabajadores en las historias clínicas relativas a la vigilancia de la salud de los trabajadores. Seguridad y Privacidad de la Información en las Ciudades Inteligentes
31
Anexo 3. Guías SCADA Version 03‐2010 Guia 480 SCADA ‐ Seguridad en sistemas SCADA Presentar la problemática planteada por los sistemas SCADA y sus vulnerabilidades, su impacto y la necesidad imperativa de controlar su seguridad. Version 03‐2010 Guia 480A SCADA ‐ Guía de buenas prácticas Obtener una profunda comprensión de los riesgos a los que se enfrenta el negocio de las amenazas de los sistemas de control de procesos con el fin de identificarlos y conducirlos al nivel adecuado de protección de seguridad que se requiere. Version 03‐2010 Guia 480B SCADA ‐ Comprender el riesgo de negocio Basándose en los fundamentos explicados en la guía de CCN‐STIC‐480A proporciona orientación para estudiar el riesgo del negocio y el estudio continuo de este riesgo. Version 03‐2010 Guia 480C SCADA ‐ Implementar una arquitectura segura Basándose en los fundamentos explicados en la CCN‐STIC‐480A proporciona orientación para decidir una arquitectura de seguridad adecuada para los sistemas de control de procesos. Version 03‐2010 Guia 480D SCADA ‐ Establecer capacidades de respuesta Basándose en los fundamentos explicados en la CCN‐STIC‐480A proporciona orientación para establecer las capacidades de respuesta relacionadas con las amenazas a la seguridad digital del control de procesos y los sistemas SCADA. Version 03‐2010 Guia 480E SCADA ‐ Mejorar la concienciación y las habilidades Basándose en los fundamentos explicados en la CCN‐STIC‐480A, se desarrolla examinando en detalle cada una de las áreas clave, proporcionando una orientación general sobre la mejora de las habilidades de seguridad en el control de procesos dentro de las organizaciones. Version 03‐2010 Guia 480F SCADA ‐ Gestionar el riesgo de terceros Basándose en los fundamentos explicados en la CCN‐STIC‐480A, proporciona orientación sobre las buenas prácticas de gestión de riesgos de terceros para la seguridad de los sistemas de control de procesos. Version 03‐2010 Guia 480G SCADA ‐ Afrontar proyectos Basándose en los fundamentos explicados en la CCN‐STIC‐480A, proporciona orientación de buenas prácticas sobre cómo incluir consideraciones de seguridad en los proyectos de seguridad en control de procesos. Version 03‐2010 Guia 480H SCADA ‐ Establecer una dirección permanente Basándose en los fundamentos explicados en la CCN‐STIC‐480A, proporciona orientación para definir e implementar los marcos de gobierno adecuados para la seguridad en los sistemas de control de procesos. Seguridad y Privacidad de la Información en las Ciudades Inteligentes
32
33
r.miralles@icab.cat ramon.miralles@gencat.cat @RamonMiralles http://ticmalion.blogspot.com/ http://es.linkedin.com/in/ramonmiralles
Esta obra está bajo una Licencia Creative Commons Atribución 3.0 Unported.
Seguridad y Privacidad de la Información en las Ciudades Inteligentes