Regulada la obligación de reconocer los incidentes de seguridad en la reforma de la Ley General de Telecomunicaciones.

Llevamos estos últimos meses leyendo mucho sobre intrusiones en sistemas de información, grupos organizados de hackers que amenazan a Organismos y Empresas y demás noticias que empiezan a ser cotidianas. Quizás la más relevante sea el caso Sony aunque en España también el Inteco ha sido víctima de hechos similares, todos ellos recogidos en el artículo de El País titulado "Intensa temporada Hacker". 

Si bien ahora son populares, llevan fraguandose desde hace  mucho tiempo. Ya en la entrada "¿Qué elegir, gestionar vulnerabilidades o detectar ataques con IDS? comenté el cuadrante de amenazas que siempre hay que contemplar y que responde a esta frase que empleaba Joseba Enjuto mediante el juego de palabras "Lo que sé que sé, lo que sé que no sé, lo que no sé que sé y lo que no sé que no sé"

Quizás, la tónica general en materia de seguridad ha sido aplicar la filosofía "Ojos que no ven, corazón que no siente" hasta que viene un externo y te demuestra que por mucho que aprietes los ojos por no ver, "las vulnerabilidades están ahí fuera" como diría el Agente Malder de Expediente X. Lo que ya es notorio es el cambio general de tendencia respecto al objetivo y motivación de estos ataques que cada vez son más atractivos para los criminales que los perpetran y que generan unos (ingresos para el atacante/perdidas para el atacado) bastante significativos. La siguiente infografía representa el "Hall of fame" de los robos de datos más notorios de los últimos tiempos donde se aprecia el volumen de información robada en cada caso.

Esta otra infografía complementa a la anterior y hace un repaso rápido de la historia del Hacking, pudiendo verse aquí el incremento del coste económico de los ataques a lo largo del tiempo.

Esta tercera infografía relata en concreto el caso Sony PS3 donde al final de la misma podéis ver la estimación del coste del incidente de seguridad: 171millones de dolares gastados, una estimación de 24 Billones de dolares. El coste de las medidas de prevención no llega a 10.000 dolares. Por desgracia, este tipo de análisis del Return of Security Investment (ROSI) se hacen a posteriori y los financieros de las empresas no entienden de futuribles sino de hechos contrastados. En cualquier caso, la lección a aprender es clara.

Infographic by Veracode Application Security



Todo esto viene a colación por la introducción en la futura modificación de la Ley 32/2003, General de Telecomunicaciones de un par de apartados que merecen cierta mención porque aparece por primera vez la obligación de reconocer los incidentes de seguridad y de notificar a los potenciales afectados de estos hechos siendo sancionado el hecho de no hacerlo. Todo ello limitado por supuesto por el objeto de aplicación de esta ley aunque ya es un primer avance en el tema.

En los aspectos relativos al secreto de las comunicaciones y a la protección de datos de carácter personal, se hace una apuesta clara por un refuerzo de las obliga­ciones para alcanzar mayores niveles de seguridad en el tratamiento de los datos, extremando las cautelas en lo que se refiere al tratamiento y la protección de datos por parte de los operadores. En este sentido la nueva redacción dada al artículo 34 establece, además de la información a los usuarios de los riesgos potenciales de violación de sus datos personales, se introduce ahora la obligación, cuando se produzca una violación de datos personales, de informar a la Agencia Española de Pro­tección de Datos, que queda reforzada además como autoridad nacional de reglamentación para que pueda valorar el alcance de la violación e idoneidad de las medidas adoptadas por el operador.

Ello expresamente queda regulado por las modificaciones introducidas en la Ley General de Telecomunicaciones que en esta propuesta de Ley quedan redactadas como sigue:

«Artículo 34. Protección de los datos de carácter personal.

1. Sin perjuicio de lo previsto en el apartado 6 del artículo 4 y en el segundo párrafo del artículo anterior, así como en la restante normativa específica aplicable, los operadores que exploten redes públicas de comuni­caciones electrónicas o que presten servicios de comu­nicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legisla­ción vigente.

2. Los operadores a los que se refiere el apartado anterior deberán adoptar las medidas técnicas y de ges­tión adecuadas para preservar la seguridad en la explo­tación de su red o en la prestación de sus servicios, con el fin de garantizar los niveles de protección de los datos de carácter personal que sean exigidos por la Ley Orgánica 15/1999, de 13 de diciembre y su normativa de desarrollo y, en su caso, por la que se dicte en desa­rrollo de esta ley en esta materia. Dichas medidas incluirán, como mínimo:

a) La garantía de que sólo el personal autorizado tenga acceso a los datos personales para fines autoriza­dos por la ley.

b) La protección de los datos personales almace­nados o transmitidos de la destrucción accidental o ilí­cita, la pérdida o alteración accidentales o el almacena­miento, tratamiento, acceso o revelación no autorizados o ilícitos.

c) La garantía de la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales.

3. En caso de que exista un riesgo particular de violación de la seguridad de la red pública o del servi­cio de comunicaciones electrónicas, el operador que explote dicha red o preste el servicio de comunicacio­nes electrónicas informará a los abonados sobre dicho riesgo y sobre las medidas a adoptar.

4. En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebi­das dicha violación a la Agencia Española de Protec­ción de Datos. Si la violación de los datos pudiera afec­tar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará tam­bién la violación al abonado o particular sin dilaciones indebidas.

Lo previsto en el párrafo anterior será exigible una vez que mediante real decreto se establezca el conteni­do de las notificaciones dirigidas a los abonados o par­ticulares, así como los supuestos en que no será necesa­ria la misma. Asimismo, el real decreto podrá establecer los restantes requisitos de las notificaciones a las que se refiere el párrafo anterior en lo referente a su contenido y condiciones. Mediante real decreto podrá establecerse el formato y contenido del inventario. A los efectos establecidos en este artículo, se enten­derá como violación de los datos personales la viola­ción de la seguridad que provoque la destrucción, acci­dental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmiti­dos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.

5. Los operadores instaurarán procedimientos internos para responder a las solicitudes de acceso a los datos personales de los usuarios por parte de las autori­dades legalmente autorizadas. Previa solicitud, facilita­rán a las Autoridades competentes información sobre

esos procedimientos, el número de solicitudes recibi­das, la motivación jurídica aducida y la respuesta ofre­cida.»

Todo esto está muy bien, pero lo más interesante llega ahora, cuando se establecen las "motivaciones suficientes" para hacer que estas medidas se apliquen que como bien supondréis están justificadas bajo el concepto de ROSI (Return of Security Investment) o dicho de otra forma, por qué es más barato hacer las cosas bien que pagar las multas por no haberlas hecho.

Disposición final primera. Modificación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protec­ción de Datos de Carácter Personal.

Uno. Se añaden dos párrafos al apartado 2 del artículo 45 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal con la siguiente redacción:

«En el caso de que se trate de la infracción tipificada en el párrafo h) del apartado tercero del artículo 44 (Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen) y una ley impusiese al responsable del fichero o el encar­gado del tratamiento la obligación de notificar al afec­tado o a la Agencia Española de Protección de Datos la existencia de un fallo en la seguridad, sin haberse dado cumplimiento a esta obligación, la cuantía mínima de la sanción será de 60.000 euros. Si el incumplimiento al que se refiere el párrafo anterior fuera reiterado, la cuantía mínima de la san­ción será de 100.000 euros.»

Dos. Se añade un apartado 9 al artículo 45 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protec­ción de Datos de Carácter personal con el siguiente contenido:

«9. Lo dispuesto en los apartados 5 y 6 de este artículo será igualmente aplicable a las sanciones que la Agencia Española de Protección de Datos pudiera impo­ner de conformidad con lo dispuesto en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Infor­

mación y de Comercio Electrónico y en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.»

Dicho de otra forma, el coste de la no seguridad puede ser de 60.000€ por incidente que no sea notificado ante al AEPD (Independientemente de la sanción por incumplimiento del Artículo 9 Seguridad de los datos o 10 Deber de Secreto de la Ley 15/1999 de Protección de Datos de Carácter Personal). Si además no informas de las violaciones y lo haces de forma reiterada, te pueden caer hasta 100.000€ lo que da para destinar recursos a la gestión de vulnerabilidades técnicas y la prevención frente a ataques que pudieran suponer una violación de la confidencialidad de los datos. Por tanto, ya se puede empezar a hablar del ROSI bajo dos premisas: el coste del incidente o el coste de las sanciones.