Red Seguridad 84

actualidad tecnológica jornadas STIC 64 red seguridad primer trimestre 2019 "el debate se polarizó en torno a la inmigración". "Haciendo un análisis más concreto de las redes sociales para saber quién estaba detrás de esta comunicación, se vio que los 18.000 usuarios de la parte antiinmi- gración generaron 400.000 comenta- rios, mientras que los 35.000 proinmi- gración generaron 198.000 mensajes. Lo que significa que alguien estaba espoleando a los primeros", observó. Esquema Nacional de Seguridad También atrajo la expectación de los asistentes el módulo dedicado a la Estrategia Nacional de Seguridad (ENS) y el Reglamento General de Protección de Datos (RGPD). Una de las ponentes que trató este tema fue Alejandra Frías, magistrada y exvocal del Consejo Nacional de Ciberseguridad, quien abordó el marco institucional de la ciberseguridad en España. Frías habló del cambio que se ha producido en la sociedad, en la que cada individuo está presente en el entorno físico, muy regulado, y en el digital, poco regulado. "El objetivo es alcanzar un equilibrio entre ambos mundos, lo cual pasa por reconfigurar el marco legal e institucional", atendiendo a un principio básico: "las mismas normas, derechos, principios y valores que rigen fuera también deben ser aplicables en el ciberespacio". Para ello, puso de relieve el hecho de que, hasta ahora, la ciberseguridad estaba ligada al concepto de seguridad nacional. Sin embargo, con la adapta- ción del ordenamiento jurídico español a la nueva regulación europea en la materia este asunto tiene que evolu- cionar y ampliarse también a otros sec- tores, como el público y el privado, el educativo o la investigación y el desa- rrollo. "La ciberseguridad ha de tener un carácter transversal, dejando de ser un tema institucional o de Seguridad Nacional", resumió. Otro de los ponentes que intervino en este módulo fue Carlos Galán, profesor de la Universidad Carlos III de Madrid, quien estableció las con- vergencias entre la ENS y el RGPD y explicó en qué consisten ambas normativas. De este modo, hizo ver a los presentes que tienen algunos puntos convergentes, como las medi- das de seguridad de las que ambas hablan o los análisis de riesgos. "Las dos exigen demostrar conformidad; es decir, adoptar las medidas técnicas y administrativas necesarias para que se cumplan, procurando que los orga- nismos reguladores sepan que se han adoptado", comentó. A partir de ahí, instó a los asistentes a "aprovechar sinergias" para "optimizar los esfuerzos de conformidad". Análisis de riesgos Como complemento a lo anterior, Elisa García, representante de la empresa Ingenia, también se ocupó de hablar de la ENS y el RGPD desde el punto de vista del análisis de riesgos como requisito regulatorio, entendido como tal "el grado de exposición a que una amenaza se materialice causando un impacto en las organizaciones", concretó. Las dos normativas hacen referencia a este concepto, pero no solo ellas. También la nueva Ley de Protección de Datos. Por tanto, es necesario promover la unificación de esfuerzos en este sentido. Para ello, hay que seguir una serie de pasos: "identificar los activos, determinar las amenazas, establecer las medidas de protección de esos activos y, final- mente, calcular el riesgo". Y para llevar a cabo este proceso, puede ayudar la herramienta de análisis de riesgos PILAR, que soporta análisis de riesgos siguiendo la metodología Magerit. Para concluir, García puso un ejem- plo práctico de cómo, utilizando esta herramienta y su "hermana" peque- ña denominada MicroPilar, es posible hacer análisis de riesgos en adminis- traciones locales de menos de 29.000 habitantes. Notificación de incidentes Otro aspecto que pone sobre la mesa la normativa sobre protección de datos es la obligación de notificar los inci- dentes de seguridad que se registren. Sobre este tema hablaron Andrés Calvo y Luis de Salvador, representantes de la Agencia Española de Protección de Datos (AEPD). El primero de ellos comentó que el plazo para notificar los incidentes es de 72 horas, "aunque este periodo no se aplica de forma rigu- rosa porque siempre se da prioridad al hecho de resolver el problema", pun- tualizó. Asimismo, Calvo confirmó el incremento de las notificaciones en los últimos meses. "Desde mayo, cuando entró definitivamente en vigor el RGPD, llevamos más de 475 notificaciones, lo que contrasta con años anteriores, que había, de media, unas 20". Finalmente, De Salvador analizó las sanciones que recoge la normativa. En este sentido, hasta mayo se habían abierto 17 expedientes sancionadores relacionados con brechas de seguri- dad, mientras que a partir de esa fecha solo se han abierto seis. Ahora bien, se han producido 72 casos en los que se han puesto en contacto con el delega- do de protección de datos (DPD). "Cuando recibimos una notificación, podemos no iniciar un procedimiento sancionador; en su lugar, contactamos con el DPD de la empresa, revisamos con él los procesos y vemos cómo se puede solucionar para que no se repi- ta", afirmó el profesional, quien apuntó que se trata de "un modelo más orien- tado a hablar con el DPD que a abrir un expediente sancionador". El Rey Felipe VI presidió la ponencia inaugural de la Jornadas STIC.