RGPD (2): Pero, ¿qué medidas de seguridad son las apropiadas?

El Reglamento exige su aplicación, sin especificar cuales son

En esta segunda entrada en nuestro blog sobre la aportación de LEET Security al cumplimiento eficiente del RGPD, comentamos un aspecto que resultará de interés a quienes deben proporcionar la seguridad por diseño (¿cómo?) a los datos tratados.

El Reglamento establece que “el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo” (Art 32.1). Esto es consecuencia del principio de responsabilidad activa que transpira todo el reglamento. Pero, a diferencia de la conocida LOPD, deja en sus manos y sin referencias, la determinación de cuáles son esas medidas apropiadas.

El marco de control flexible de LEET Security ofrece una herramienta única para el responsable y para el encargado del tratamiento a la hora de aplicar tanto las medidas organizativas y procedimientos adecuados, como en la evaluación de las propias medidas técnicas que exige el reglamento. Por una parte, su conjunto de controles basado en las mejores prácticas y estándares internacionales (ISO 27001, ISO 27002, TIA-942, LOPD, PCI DSS, ENS, NIST 800/53, etc.), proporciona una base completa para la aplicación de la seguridad por diseño, ayudando en la determinación de las medidas de seguridad apropiadas (Art 24.1 y Art 32.1).

Los más de 1.000 controles que incluye la metodología están clasificados según varios criterios, como el nivel: D, C, B, A y A+; la dimensión de la seguridad que supervisan: confidencialidad, integridad o disponibilidad (Art 32.1.b), y el dominio de seguridad al que van dirigidos: gestión de la seguridad, operación de sistemas, personal de seguridad, seguridad de las instalaciones, externalización de procesos, resiliencia, cumplimiento, protección de código malicioso, monitorización, controles de red, control de acceso, desarrollo seguro, gestión de incidentes, y criptografía.

Tanto la Guía de Calificación como el referencial completo de controles están disponibles para su descarga, ofreciendo así la solución para que responsables y encargados tomen como referencia un conjunto de medidas de seguridad adecuadas al tratamiento realizado. Por ejemplo, si como resultado de su análisis de riesgos precisan establecer un nivel de seguridad de grado medio, podrán seleccionar las medidas correspondientes al nivel B, siendo los niveles D y C adecuados a un grado bajo, y el nivel A cuando se requiera un alto grado de seguridad.

A título ilustrativo, se muestran a continuación algunos de los controles en los que se observa el distinto grado de exigencia según el nivel.

Por todo ello, el marco de controles de LEET Security permite identificar de forma simple las medidas de seguridad del nivel adecuado a cada caso, contribuyendo a mejorar la eficiencia y seguridad de la información en el ámbito de la privacidad y protección de los datos personales; y en consecuencia se presenta como una herramienta de gran valor para responsables y encargados del tratamiento en el cumplimiento del reglamento.