2. Los incidentes de seguridad
(de la información)
y su tratamiento jurídico
~ Madrid, septiembre de 2017 ~
3. COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 3
Programa
A. Los incidentes de seguridad de la información
B. Ámbitos afectados
C. Gestión de la seguridad de la información y
protección de datos
D. Objetivos
E. Conclusiones
4. A
Los incidentes
de seguridad de la información
Los bienes jurídicos protegidos:
la información, el conocimiento y el saber
la capacidad de hacer
la capacidad de predecir hechos futuros
5. COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 5
Hablamos de:
o Información
o Acción y efecto de informar
oEnterar o dar noticia de algo
oFormar, perfeccionar a alguien por medio de la
instrucción y la buena crianza
o Averiguación jurídica y legal de uno hecho o
delito
De qué hablamos
6. Hablamos de:
o Información
o Conocimientos comunicados o adquiridos
mediante una información
o Comunicación o adquisición de
conocimientos que permiten ampliar o
precisar los que se poseen sobre una materia
determinada
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 6
7. Hablamos de:
o Conocimiento
o Acción y efecto de conocer
o Entendimiento, inteligencia, razón natural
o Noción, saber o noticia elemental de algo
o Saber o sabiduría
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 7
8. Hablamos de:
o Conocer
o Averiguar por el ejercicio de las facultades
intelectuales la naturaleza, las cualidades y
las relaciones de las cosas
o Entender, advertir, saber, echar de ver a
alguien o algo
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 8
9. Hablamos de:
o Noción
o Conocimiento o idea que se tiene de algo
o Conocimiento elemental
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 9
10. Hablamos de:
o Saber
o Tener noticia o conocimiento de algo
o Estar instruido en algo
o Estar seguro o convencido de un hecho futuro
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 10
11. Hablamos de:
o Idea
o Primero y más obvio de los actos del entendimiento
que se limita al simple conocimiento de algo.
o Conocimiento puro, racional debido a las naturales
condiciones del entendimiento humano
o Concepto, opinión o juicio formado de alguien o de
algo
o Conviciones, creencias, opiniones
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 11
12. Donde hablamos de:
o Seguridad de la información
Deberíamos hablar de:
o Seguridad del conocimiento
O, mejor, deberíamos hablar de:
o Seguridad de la información, del
conocimiento y del saber
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 12
13. Hablamos de:
o Seguridad de la información
o Cualidad de los activos (información incl.)
que reúnen tres cualidades:
o Íntegra
o Confidencial
o Disponible
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 13
14. Hablamos de:
o Seguridad
o Activos
oDe información
oPara el tratamiento de la información
oPersonas
oUbicaciones
o…
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 14
16. Hablamos de:
o Seguridad
o Riesgos (para cada cualidad de cada activo)
oAnálisis de riesgos
oGestión de riesgos
oTratamiento de riesgos
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 16
17. Hablamos de:
o Incidentes de la seguridad de la información
o Evento de seguridad
Hecho, suceso (de todo tipo)
o Incidente de seguridad
o Eventos de seguridad
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 17
18. Hablamos de:
o Incidentes
evento único o conjunto de eventos imprevistos (o
no, y probablemente mal analizados, valorados o
tratados) y no deseados o con efectos no deseados
que pueden amenazar o amenazan la seguridad de
la información y así comprometer o llegar a
comprometer las operaciones de la organización y,
con ello, la consecución de los objetivos de la
misma
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 18
19. Se trata de:
o Proteger la integridad, la confidencialidad y la
disponibilidad de la información, el conocimiento,
el saber, las nociones, las ideas, los conceptos,
las opiniones, las comunicaciones, las noticias y
los juicios y los demás activos que nos permiten
hacer y no hacer lo que hacemos y no hacemos
como lo hacemos y dejamos de hacer para la
consecución de los objetivos de la organización
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 19
21. Los incidentes de seguridad pueden tener
implicaciones jurídicas en materia de:
oSeguridad de la información
oProtección de datos
oViolación derechos fundamentales y
libertades públicas
oPenal
oAdministrativa
Ámbitos e implicaciones
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 21
22. Los incidentes de seguridad pueden tener
implicaciones jurídicas en materia de:
oConfidencialidad
oPropiedad intelectual
oPropiedad industrial
oCompetencia desleal
oViolación de secretos profesionales e
industriales
Ámbitos e implicaciones
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 22
23. Implicaciones en materia de:
oTecnologías de doble uso
oSeguridad ciudadana
oSalud pública
oEtcétera
Ámbitos e implicaciones
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 23
24. Por lo tanto, hablamos de la seguridad de:
o Información de mercado, comercial, estratégica, táctica,
de recursos humanos, operativa, de negocio,
económica, financiera, productos, servicios, precios,
invenciones (materia biológica, procedimientos
biológicos omg,…), modelos de utilidad, topografías de
productos semiconductores, diseños industriales, obras
propiedad intelectual, modelos, procedimientos, reglas,
descubrimientos, teorías, ensayos, datos de carácter
personal,
De qué hablamos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 24
25. Hablamos de:
oTratamiento jurídico de los incidentes de
seguridad
oTratamientos de los incidentes de seguridad
con efectos jurídicos o para modificar (a
nuestro favor) los efectos jurídicos que éstos
producen para alcanzar los objetivos de la
organización
Ámbitos e implicaciones
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 25
26. Hablamos de:
oAcciones:
o Jurídicas
o Técnicas
o Organizativas
oCombinación de las anteriores
o Si se quiere efectividad (y eficiencia)
Ámbitos e implicaciones
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 26
27. C
Tratamiento en el ámbito de la
protección de datos
objetivos de la norma:
proteger derechos fundamentales,
libertades públicas
e intereses de los afectados
28. Hablamos de:
o Datos de carácter personal
o Actividades de tratamiento de datos
o Seguridad de los datos de carácter personal
(como información)
o Violaciones de seguridad de los datos de
carácter personal
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 28
29. Hablamos de:
o Violaciones de seguridad
o Violar:
Infringir o quebrantar un precepto, …
Profanar un lugar sagrado…
Acceso carnal con alguien contra o sin su voluntad
Ajar o deslucir algo
Ajar: maltratar
deteriorar
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 29
30. o violación de la seguridad de los datos
personales (artículo 4.12) GDPR
toda violación de la seguridad que ocasione
la destrucción, pérdida o alteración
accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra
forma, o la comunicación o acceso no
autorizados a dichos datos;
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 30
31. tratamiento de las violaciones de la
seguridad de los datos personales:
o Tratamiento técnico y organizativo
o Tratamiento puramente jurídico
o Implantación de un SGSI
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 31
32. tratamiento de las violaciones de la
seguridad de los datos personales
o previos
o DPIA
o códigos de conducta
o corporate binding rules
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 32
33. Violaciones de seguridad
o Tratamiento previo
o Data Protection Impact Assesment
i.e. AGR y PTR
Riesgos para los afectados
Riesgos para nosotros (ut supra + sanciones)
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 33
34. o tratamiento a posteriori
o Gestión de incidentes de seguridad
oBuenas prácticas ISO 27002
o Comunicaciones
oA Autoridad de control
oA responsables del tratamiento
oA afectados
Violaciones de seguridad
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 34
35. D Objetivos
objetivos de la organización:
alcanzar objetivos de negocio
“garantizar” la seguridad de la información
mantener “honorabilidad” y evitar sanciones
36. Objetivos
o Objetivo UNO
evitar los incidentes de seguridad
conocer sus potenciales impactos
o Objetivo DOS
acaecidos, evitar impactos
o, en su caso, minimizarlos
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 36
38. Conclusiones
Un solo evento puede desencadenar una
amplia serie de consecuencias jurídicas con
implicaciones de distinta gravedad en
muchos niveles de la organización
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 38
39. Conclusiones
Hay que gestionar los incidentes de
seguridad teniendo en cuenta los objetivos
de la organización
El tratamiento de los incidentes de seguridad
se ha de realizar desde todos los ámbitos
implicados: jurídico, técnico, organizativo,…
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 39
41. Conclusiones
Hay que gestionar la seguridad de la
información
Análisis
Gestión
Aprendizaje
Inversión
COM SALUD Implicaciones jurídicas de los incidentes de seguridad y su tratamiento 41
46. Madrid Tecnología Quod non est in acta, non est in mundo 46
~ 36 years beyond our clients expectations ~
Notas del editor
C. Análisis de las implicaciones de los incidentes de seguridad de la información en materia de protección de datos, de gestión de la seguridad de la información y de confidencialidad
Conceptos. De qué hablamos y por qué hablamos del tratamiento jurídico de los incidentes de la seguridad de la información.
ISO 27001
Confluir: coincidir en un mismo fin
DATA BREACH: INFRACCIÓN O VIOLACIÓN.
MALA DEFINICIÓN.
Una violación de seguridad sería la infracción de un precepto. We’ll see.
condos 49, y arts. 32,1,c), 57,1,i), ):