DATATILSYNET: Catàleg de mesures de seguretat

INTRODUCCIÓ

Traducció literal, no automàtica, realitzada per Privacy Driver del catàleg de mesures de seguretat publicat per l'Autoritat Danesa de Protecció de Dades (DATATILSYNET):

• https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed/katalog-over-foranstaltninger

En aquest catàleg es proposen una sèrie de mesures tècniques i organitzatives que poden ser necessàries per garantir una seguretat adequada als riscos que suposi el tractament (art. 5.1.f, 24, 25 i 32 RGPD). L'anàlisi de si les mesures són necessàries i adequades la duu a terme l'organització basant-se en una gestió de riscos, i depenent de la mateixa manera de quines altres mesures s'hagin adoptat, per la qual cosa aquest catàleg no suposa una llista exhaustiva de mesures.

Els exemples utilitzats es basen en gran mesura en lexperiència de la DATATILSYNET en la supervisió dempreses públiques i privades, les bretxes de seguretat de dades personals notificades, les directrius del CEPD i les normes ISO 27001 i 27002.

QUÈ ÉS UNA MESURA DE SEGURETAT?

Són les que prevenen i/o modifiquen un risc. Poden ser preventives, de detecció, correctives o una combinació. El RGPD només diferencia entre:

• Mesures tècniques: solucions informàtiques per a la gestió d'usuaris, xifratge/eliminació automàtica, control d'accés automàtic, registre d'usos de dades personals, portes i panys físics, etc.
• Mesures organitzatives: polítiques de seguretat, procediments per al control dels drets d'accés, o per retirar-los, distribució de tasques segons competències, formació en l'ús correcte de les TI, valoració i avaluació de l'eficàcia de les mesures tècniques i organitzatives.

Però l'important no és en quina categoria es pot enquadrar una mesura, sinó que se n'hagin adoptat suficients per garantir un nivell de seguretat adequat al tractament.

Perquè un firewall/tallafocs sigui efectiu, cal a més de la seva instal·lació, configurar-se, administrar-se i mantenir-se actualitzat adequadament. Per tant, una mesura anomenada "curtafocs" constarà en realitat de moltes mesures, sovint una barreja d'alguna cosa tècnica i alguna cosa organitzativa. Cadascuna d'aquestes mesures es podria descriure com a mesures independents, però per evitar confusió s'anomenen "mesures" en aquest catàleg.

COM ES PRESENTA CADA MESURA DE SEGURETAT AL CATÀLEG?

De cada mesura de seguretat s'indica:

• Quins riscos s'hi aborden?
  • Quins riscos es poden tractar amb la mesura?
• Quines mesures es poden considerar?
  • Mesures que es poden valorar per tractar els riscs.
• Quan cal la mesura?
  • Quan cal adoptar la mesura.

MESURES DE SEGURETAT

1. DRETS D'ACCÉS EN BASE A LES NECESSITATS DE LES FUNCIONS ACOMPLIDES

1.1. Quins riscos s'hi aborden?

Si un empleat té accés a un sistema de TI amb més drets dels necessaris per a les funcions, pot representar un risc innecessari sobre les dades. Limitar els drets d'accés (per exemple, accés de lectura sense accés d'escriptura) pot evitar errors i usos indeguts. És per tant una mesura preventiva que pot reduir les conseqüències si el dret d'un usuari s'utilitza incorrectament o se n'abusa.

No sol passar el mateix amb l'accés d'un ciutadà/client a una solució d'autoservei, ja que les opcions (llegir, canviar, afegir, eliminar dades) generalment s'escullen segons el que l'usuari de la solució d'autoservei ha de poder fer el mateix, i la responsabilitat de lús incorrecte recau en el propi usuari. No obstant això, pot haver-hi excepcions, on no sigui apropiat donar-li al client l'oportunitat de modificar/eliminar certes dades, fins i tot si es tracta de dades personals del propi client.

1.2 Quines mesures es poden considerar?

Els drets d'accés dels empleats s'adapten a una necessitat relacionada amb les funcions i estan limitats, per exemple, a les possibilitats de llegir, afegir, cercar, canviar, extreure o eliminar dades.

Si utilitzeu una ARP/RPA (Automatització robòtica de processos /Robotic Process Automation) o similar i per això es concedeixen drets d'accés als usuaris de l'ARP, l'accés també es restringirà el més possible. L'estalvi econòmic en llicències d'usuari d'ARP poden ser temptadors per atorgar a un robot tants drets d'accés com sigui possible, però un usuari d'ARP que té molts drets pot representar un risc més gran si, per exemple, un ciberdelinqüent té l'oportunitat de obtenir els drets daccés daquest robot. En minimitzar els drets d'accés dels usuaris de l'ARP, també es limita el dany potencial que pot causar l'usuari en cas d'un error en el codi/automatització.

Les opcions per restringir els drets d'accés solen dependre del disseny dels sistemes informàtics, per això cal tenir en compte aquests aspectes a l'hora de dissenyar, comprar o actualitzar els sistemes informàtics existents.

Certs drets d'accés poden donar l'oportunitat de causar danys irreparables, per exemple, l'eliminació i, per tant, es concedeixen al menor nombre possible de persones i només a persones amb la qualificació adequada. Per tant, cal mesurar aquesta mesura en el context de la correlació entre competències d'usuari, drets d'accés i tasques.

1.3. Quan és necessària la mesura?

L'article 5.1.f RGPD tracta sobre la integritat i la confidencialitat de les dades personals. Com menys pugui fer l'usuari amb les dades a què té accés, menors seran les possibles conseqüències si alguns d'aquests usuaris fan accions no intencionades o malicioses o usos injustificats de les dades. Això també té un efecte protector davant de les ciberamenaces, ja que un hacker sovint opera a través de drets d'accés a comptes d'usuari compromesos i, per tant, menys drets en limiten les opcions. Per tant, els drets d'accés s'han de limitar el més possible.

D'acord amb l'art.25 RGPD, en desenvolupar, adquirir o actualitzar un sistema de TI, cal considerar la protecció de dades des del disseny i per defecte. L'opció de limitar/diferenciar els drets d'accés a les dades requereix que l'opció estigui integrada als sistemes de TI que controlen l'accés.

2. CONSCIENCIACIÓ I FORMACIÓ

2.1. Quins riscos s'hi aborden?

Conscienciació s'utilitza com a terme col·lectiu per a totes les iniciatives orientades a augmentar la conscienciació, sensibilització i coneixement dels empleats sobre seguretat. Podeu versar sobre el que els empleats no poden fer o sobre el que haurien de fer. Per tant, normalment es tracta de motivar els empleats a adoptar un comportament amb menys risc oa canviar de comportament en tractar dades. És per tant una mesura preventiva que pot reduir la probabilitat de molts escenaris diferents que poden afectar la confidencialitat, la integritat o la disponibilitat de les dades.

Poden ser mesures que capacitin els empleats per detectar missatges de phishing, en què un ciberdelinqüent intenta robar la informació d'inici de sessió de l'empleat per correu electrònic o SMS. Si els empleats no proporcionen aquesta informació, no fan clic a enllaços sospitosos o no obren fitxers adjunts, es pot evitar comprometre l'accés dels usuaris o la xarxa de l'organització. La conscienciació també pot ser informació per als empleats que totes les accions als sistemes de TI es registren per evitar abusos.

Si els empleats aprenen què cal fer per bloquejar ràpidament una targeta d'accés perduda/robada, la conscienciació també pot suposar una mesura de detecció, detenint potencialment un incident (targeta d'accés perduda/robada) abans que l'incident afecti el tractament de dades personals per part de l'organització (la targeta es fa servir indegudament per accedir a dades/articles).

2.2. Quines mesures es poden considerar?

A continuació es mostra una llista de mesures entre les quals escollir, depenent del que sigui important o rellevant a cada organització en particular i en relació amb el tractament de dades personals.

Diverses de les mesures també poden tenir suport tècnic, de manera que els usuaris no puguin evitar fer allò correcte. Les iniciatives que només es basen en procediments que cal recordar i complir impliquen inherentment un risc d'incompliment. Sovint aquest risc es pot minimitzar en gran mesura mitjançant suport tècnic.

• Garantir el coneixement de quines accions es registren, l'objectiu del registre i les possibles sancions per abús de, per exemple, drets d'accés. Això pot incloure el registre de les accions de l'usuari als sistemes informàtics, però també el registre de l'accés físic a les instal·lacions, la videovigilància, etc.
• Informar els administradors d'usuaris i usuaris sobre el que poden fer amb els drets d'accés respectius, per exemple:
  • Que els usuaris no puguin utilitzar les dades per a fins diferents de les relacionades amb les seves funcions.
  • Els responsables d'atorgar drets s'han de centrar en l'accés limitat (no només en la capacitat dels usuaris per resoldre tasques), i
  • Els administradors dusuaris no han dactuar per si sols i han de documentar totes les autoritzacions emeses pels responsables datorgar drets.

• Formació sobre l'elecció de contrasenyes, inclòs evitar les que també s'utilitzin de manera privada, ja que poden estar compromesos o no ser prou segures.
  
• Reforçar la informació que les contrasenyes, els tokens, les targetes d'accés i altres factors que atorguen accés són estrictament intransferibles, confidencials i personals, i que l'usuari és responsable de totes les accions realitzades durant el seu inici de sessió, possiblement amb referència al registre i les sancions. Això es pot donar suport amb informació sobre procediments fixos de mostreig i auditoria.
• Instruccions sobre com han de reaccionar els usuaris en cas de sospita/coneixement que una persona no autoritzada ha obtingut accés/coneixement dels factors que hi atorguen l'accés.
• Instruccions sobre com han de reaccionar els usuaris en cas de sospita/coneixement que persones no autoritzades han obtingut mitjans d'accés com ara claus, clauers, targetes d'accés, etc. Fins i tot si només hi ha accés electrònic a dades personals, aquesta instrucció pot ser rellevant si:
  • El mitjà d'accés proporciona accés físic a equips de TI que contenen dades personals, o
  • El nivell de seguretat a l'accés electrònic és diferent, depenent d'on es trobe físicament (per exemple, dins o fora de l'edifici d'oficines de l'organització).
• Coneixement específic sobre com es poden utilitzar les dades personals per fer proves en relació amb el desenvolupament de sistemes informàtics.
• Formació sobre les conseqüències d'infringir les normes/legislació sobre confidencialitat i qualsevol acord de confidencialitat signat.
• Coneixement general de com les dades personals es poden i han de tractar d'acord amb el RGPD i una altra legislació rellevant, per exemple, seguint pautes internes que s'hagin elaborat per garantir la implementació d'un sistema de compliment de la normativa. Això es pot referir a l'emmagatzematge, ús, divulgació, eliminació, transmissió i altres tractaments. Cal tenir en compte que algunes dades personals "bàsiques" poden ser confidencials, per exemple, adreces protegides.
• Formació específica en l'ús de sistemes informàtics específics, per exemple, registre diari, publicació, registre diari amb publicació automatitzada, anonimització, eliminació de metadades, obligacions legals, etc. combinat amb eines que faciliten la realització de les accions abans esmentades sense cometre errors.
• Formació adreçada a administradors dusuaris o responsables de seguretat de TI per detectar intents dabús intern.
• Formació adreçada als empleats amb accés als comptes bancaris i als sistemes financers de l'organització respecte al "frau del director executiu" (també conegut com a "frau del director"), on els empleats són enganyats per algú que es fa passar per director. Això pot combinar-se possiblement amb altres regles comercials que donen suport a l'aprovació adequada de pagaments i transferències de moneda.

2.3. Quan cal la mesura?

Atès que la conscienciació pot reduir molts riscos molt diferents, no es pot especificar quan cal. La conscienciació és una mesura organitzativa (inclosa la relacionada amb la persona/conductual). En general, constitueix un complement a les amenaces que no es poden gestionar adequadament mitjançant mesures tècniques (incloses les físiques). Per tant, la necessitat de conscienciació depèn de quant es pot aconseguir d'altres maneres.

3. SUPRESSIÓ AUTOMÀTICA D'ACCESSOS INACTIUS

3.1.Quins riscos s'hi aborden?

Un nombre més gran d'accessos d'usuaris proporciona una major "superfície d'atac" per als actors maliciosos, per tant, els accessos inactius suposen un risc innecessari. Aquesta és, doncs, una mesura preventiva que pot reduir la probabilitat que es faci un mal ús de l'accés d'un usuari (innecessari).

La inactivitat sovint és un senyal que l'accés és innecessari, i els accessos inactius poden ser més fàcilment utilitzats indegudament durant un període de temps més llarg sense que l'usuari legítim el descobreixi, perquè ell mateix no utilitza l'accés.

3.2. Quines mesures es poden considerar?

Supressió automàtica d'accessos que no s'han fet servir durant un període de temps (per exemple 45 dies). Quan la funció està integrada al sistema informàtic, se selecciona. Alternativament, sestableix un procediment manual. Per garantir una administració uniforme, en la mesura que sigui possible es gestiona de forma centralitzada des d'un sistema de gestió d'usuaris, en lloc de localment en els sistemes temàtics individuals.

3.3. Quan cal la mesura?

Els accessos innecessaris s'han de suprimir com més aviat millor per minimitzar l'esmentada "superfície d'atac". A més, un usuari pot optar per utilitzar deliberadament un accés a intervals regulars per evitar el tancament automàtic.

La gestió de riscos segons l'article 32 RGPD mostrarà quines mesures són les que cal adoptar. Les mesures per si soles no garanteixen que no es produeixi l'abús, i el valor de les mesures depèn en gran mesura de què es faci més per garantir la supressió ràpida de l'accés innecessari.

D'acord amb l'art. 25 RGPD, en desenvolupar, adquirir o actualitzar un sistema de TI, s'ha de considerar la protecció de dades des del disseny i per defecte, per tant la supressió automàtica requereix que estigui integrada al sistema informàtic que controla l'accés.

4. CÒPIES DE SEGURETAT

4.1. ¿Qué riesgos se abordan?

La còpia de seguretat es pot utilitzar per restablir l'accés a dades que s'han tornat inaccessibles o s'han destruït; és per tant una mesura correctiva que pot reduir les conseqüències de la destrucció, pèrdua o alteració accidental o il·lícita de dades. D'aquesta manera la còpia de seguretat:

• Converteix la manca de disponibilitat en una pèrdua temporal i no permanent.
  
• Es pot utilitzar per corregir la integritat de les dades, si les dades, per exemple, estan compromeses per un virus o ciberdelinqüents.
• Ha d'assegurar la possibilitat de poder restaurar sistemes complets i, per tant, restaurar sistemes operatius, bases de dades, certificats, claus de xifratge, llicències, configuracions del sistema (incloses les configuracions del tallafoc), la restauració manual de les quals és complexa i requereix molt de temps.
• El seu efecte depèn en gran mesura del factor temps, quant de temps passa des de la manca de disponibilitat o pèrdua d'integritat fins que es poden restaurar les dades? Si, per exemple, només heu de passar un temps molt curt sense que les dades estiguin disponibles abans que les conseqüències siguin màximes, és possible que la còpia de seguretat no pugui resoldre això (per si sola) i que s'hagin d'utilitzar sistemes de TI duplicats.
• No podeu restaurar un sistema de TI tal com estava exactament quan va passar un incident, sinó com va aparèixer en algun moment abans de l'incident. Per tant, sempre hi ha un risc de pèrdua de dades; tanmateix, aquest risc és menor quan s'utilitzen dades/sistemes duplicats.
• Generalment no inclouen els darrers canvis en les dades, per la qual cosa encara hi haurà un problema (menor) amb la integritat de les dades després que s'utilitzi una còpia de seguretat per restaurar-les i pot incloure dades que hagin estat eliminades del sistema informàtic i que , per tant, s'han d'esborrar novament una vegada utilitzada la còpia de seguretat.
• No s'ha de confondre amb una "còpia de dades”, és molt més i, per tant, també pot protegir contra diferents amenaces. Algunes amenaces (per exemple, ransomware) estan dissenyades per afectar tant les dades del sistema de TI com la còpia de les mateixes dades i, per tant, una còpia de les dades sol ser només una falsa sensació de seguretat.

4.2. Quines mesures es poden considerar?

Els procediments d'assignació d'accés garanteixen que la mateixa persona no tingui accés tant a les dades de producció com a la còpia d'aquestes dades. Quan això no es pot evitar, els accessos es comparteixen, requerint diferents comptes dusuari per accedir-hi.

Com més temps transcorri entre les còpies de seguretat, més gran serà la pèrdua de dades. El temps que transcorre entre cada còpia de dades es determina sobre la base de la gestió de riscos, és a dir, una avaluació de quant de temps fa que s'ha d'haver fet la darrera còpia abans que les conseqüències puguin ser massa greus per als interessats. En una estratègia de còpia de seguretat, s'especifiquen els intervals i el tipus (còpies completes/incrementals).

Si la còpia de seguretat està automatitzada, una alerta garanteix que es detecti si la còpia falla.

El maquinari i el programari s'han de poder recuperar des de la còpia i amb rapidesa. Això s'aplica, per exemple, a servidors físics, sistemes operatius, programari de bases de dades, llicències, claus de xifratge, etc. Alternativament, garanteix que aquests elements també es trobin en una còpia.

La ubicació física de la còpia es determina sobre la base de la gestió de riscos, és a dir, sobre una avaluació de quines amenaces poden afectar la ubicació física on es troben les dades originals. Si, per exemple, hi ha la possibilitat que els sistemes informàtics quedin destruïts per una inundació, aleshores la còpia s'ha d'ubicar en un lloc que no es pugui veure afectat per les inundacions.

Pel que fa a la ubicació lògica (ubicació de xarxa), la còpia de seguretat s'ha d'emmagatzemar en un lloc on hi ha un accés més limitat, ja que només uns quants (administradors de TI) necessiten accés. Les xarxes que emmagatzemen dades de producció i dades de seguretat no estan connectades a la xarxa, per exemple, perquè el suport el realitza un proveïdor de seguretat. Quan això no es pot evitar, les xarxes se segmenten entre si mitjançant tallafocs, que limiten l'accés a allò absolutament necessari, per la qual cosa la còpia de seguretat està millor protegida contra atacs de pirates informàtics que poden afectar altres parts de la xarxa.

S'ha de provar a intervals regulars si la còpia de seguretat es realitza en els intervals esperats (freqüència), si la còpia de seguretat està disponible, si la còpia de seguretat conté totes les dades necessàries (extensió), si la còpia de seguretat és veraç (integritat). Aquest darrer pot ser, per exemple, un tipus de prova d'integritat (suma de comprovació o una altra).

Cal fer també proves de restauració, si les dades realment es poden recuperar i utilitzar en un sistema de TI. Aquesta és una prova de si la recuperació es pot realitzar amb guies/procediments existents, (2) que tot el que té còpies (hardware, software, dades) pot funcionar en conjunt i (3) que la recuperació pot passar amb força rapidesa en relació amb el fet que la conseqüència generalment augmenta amb el temps (Objectiu de temps de recuperació).

Heu d'establir procediments per garantir que les dades que no siguin necessàries s'eliminin després d'utilitzar una còpia de seguretat, de manera que les dades no s'emmagatzemin per més temps del necessari.

Es garanteix que lús de còpies de seguretat (i, per tant, la difusió de dades) no augmenti el risc per als interessats. Això és perquè la transmissió i l'emmagatzematge de les dades a la còpia de seguretat estan protegides contra accessos no autoritzats i que el tractament de les dades a la còpia de seguretat es realitza sota el control del responsable del tractament. Això es fa a través d'acords de tractament de dades i xifrant les dades abans de transferir-les i emmagatzemar-les.

4.3. Quan cal la mesura?

La gestió de riscos segons l'article 32 RGPD mostrarà quines mesures són les que cal adoptar, ja que els riscos depenen en gran mesura de les conseqüències per als drets dels interessats, drets que es veuen afectats si les vostres dades personals deixen d'estar disponibles per al responsable.

Si, per exemple, es tracta de registres de pacients a un hospital, la manca de disponibilitat pot influir en la possibilitat que el pacient pugui rebre el tractament òptim; en el pitjor dels casos, pot tenir conseqüències fatals. Si, per contra, es tracta d'un registre de client d'una botiga en línia que ven vestits, presumiblement les conseqüències per als registrats seran menors o nul·les en cas de manca de disponibilitat.

5. GESTIÓ DE DRETS CENTRALITZADA

5.1. Quins riscos s'hi aborden?

La gestió descentralitzada (o "autònoma") de drets pot significar que qui la realitza no la tingui com a tasca principal. Podeu augmentar la possibilitat d'errors per manca d'experiència, coneixement o manca d'enfocament a la seguretat en gestionar els drets.

Si es produeixen canvis en un entorn de TI sense que es continuï i es provi la gestió de drets, això pot fer, entre altres coses, desaparèixer la restricció d'accés corresponent, de manera que es produeixi immediatament un accés no autoritzat. La gestió descentralitzada de drets pot implicar una probabilitat més gran que es passin per alt condicions específiques d'importància per a aquesta gestió quan es facin canvis en els entorns de TI, perquè només una o unes poques persones són conscients de les condicions en qüestió.

Si, per contra, la gestió de drets la duu a terme una unitat central que la té com a tasca principal, és més fàcil garantir el coneixement necessari i centrar-se en la seguretat. Això evita errors. Per tant, és una mesura preventiva que pot reduir la probabilitat que s'estableixi o mantingui un accés innecessari d'usuaris.

La gestió centralitzada de drets normalment facilitarà també el control i, per tant, la implementació d'una revisió periòdica d'aquests drets d'accés.

5.2. Quines mesures es poden considerar?

Es garanteix una visió general de tots els accessos dels usuaris i una gestió uniforme dels usuaris. La tasca es reuneix organitzativament amb persones que reben la formació necessària per fer aquesta tasca en particular.

Mitjançant directrius i/o mesures tècniques es prohibeix/impedeix ladministració descentralitzada dusuaris. Per exemple, decidiu que només els empleats de la unitat central d'administració d'usuaris puguin gestionar els drets d'accés. Una mesura tècnica pot, per exemple, ser un obstacle tècnic perquè els empleats puguin crear carpetes amb restriccions daccés en unitats de xarxa o plataformes dintercanvi darxius basades en web com SharePoint.

La centralització pot incloure una centralització tècnica mitjançant l'ús d'inici de sessió únic o un servei de directori com a Active Directory al Windows. Si és possible, hi hauria d'haver un enllaç a sistemes autoritzats, per exemple, un sistema de recursos humans que sempre mostri qui està emprat actualment i en quin lloc/departament. Si és possible, hi hauria d'haver un enllaç amb una assignació centralitzada de drets mitjançant, per exemple, un sistema IdM.

Quan la gestió centralitzada de drets no és possible o apropiada, sestableixen procediments fixos dexecució, de manera que se segueixin principis uniformes.

5.3. Quan cal la mesura?

La gestió de riscos segons l?article 32 RGPD mostrarà quines mesures són les que s?han d?adoptar, ja que els riscos i les oportunitats depenen en gran mesura de l?organització específica i dels tipus de sistemes informàtics que s?utilitzen.

D'acord amb l'art. 25 RGPD, en desenvolupar, adquirir o actualitzar un sistema de TI, cal considerar la protecció de dades des del disseny i per defecte. Si els sistemes de TI se seleccionen/ dissenyen per formar part d'una gestió central de drets i possiblement d'inici de sessió únic, es pot evitar una gestió descentralitzada amb els riscos abans esmentats.

6. ACCÉS NOMÉS A LES DADES NECESSÀRIES PER A L'EXERCICI DE LES FUNCIONS ACOMPLIDES

6.1. Quins riscos s'hi aborden?

Els drets d'accés s'han de limitar al màxim. Quan un empleat té accés a la informació de moltes persones, pot augmentar la temptació d'abusar de l'accés per a fins privats o no relacionats amb les funcions. En limitar l'accés a les dades perquè corresponguin a les necessitats relacionades amb les funcions, es poden reduir les possibilitats d'abús. Aquest és, per tant, una mesura preventiva que pot reduir la probabilitat d'ús indegut de l'accés dels usuaris i les conseqüències si es produeix un mal ús.

El mateix sol passar amb l'accés d'un ciutadà/client a una solució d'autoservei d'una autoritat o d'una empresa privada, ja que l'accés sovint s'ha de limitar a les dades personals de l'usuari.

6.2. Quines mesures es poden considerar?

El dret d'accés als empleats s'atorga segons les necessitats relacionades amb les seves funcions i es pot limitar, per exemple, a l'actualitat o l'antiguitat de les dades, el tipus de dades (per exemple, si són dades de clients, dades de recursos humans , dades de denunciants), tipus de cas (per exemple, "casos familiars"), etc.

Els drets d'accés dels ciutadans/clients s'adapten a allò que l'individu té dret a accedir-hi (normalment només les seves pròpies dades personals i possiblement les dels seus familiars propers).

Les opcions solen dependre del disseny dels sistemes informàtics, per això aquests aspectes es tenen en compte a l'hora de dissenyar o comprar sistemes informàtics.

Si utilitzeu una ARP/RPA (Automatització robòtica de processos /Robotic Process Automation) o similar i per això es concedeixen drets d'accés als usuaris de l'ARP, l'accés també es restringirà el més possible. L'estalvi econòmic en llicències d'usuari d'ARP poden ser temptadors per atorgar a un robot tants drets d'accés com sigui possible, però un usuari d'ARP que té molts drets pot representar un risc més gran si, per exemple, un ciberdelinqüent té l'oportunitat de obtenir els drets daccés daquest robot. En minimitzar els drets d'accés dels usuaris de l'ARP, també es limita el dany potencial que l'usuari pot causar en cas d'un error en el codi/automatització.

Vegeu també la mesura de pseudonimització i anonimització, que també restringeix l'accés, però eliminant o separant dades.

6.3. Quan cal la mesura?

L'article 5.1.f RGPD tracta sobre la integritat i la confidencialitat de les dades personals. Com menys pugui fer l'usuari amb les dades a què té accés, menors seran les possibles conseqüències si alguns d'aquests usuaris fan accions no intencionades o malicioses o usos injustificats de les dades. Això també té un efecte protector davant de les ciberamenaces, ja que un hacker sovint opera a través de drets d'accés a comptes d'usuari compromesos i, per tant, menys drets en limiten les opcions. Per tant, els drets d'accés s'han de limitar el més possible.

D'acord amb l'art.25 RGPD, en desenvolupar, adquirir o actualitzar un sistema de TI, cal considerar la protecció de dades des del disseny i per defecte. L'opció de limitar/diferenciar els drets d'accés a les dades requereix que l'opció estigui integrada als sistemes de TI que controlen l'accés. La configuració predeterminada també pot minimitzar els drets com a punt de partida, però també es pot tractar, per exemple, de l'eliminació automàtica de dades segons l'antiguitat, cosa que contribueix a minimitzar l'accés a les dades.

7. DOCUMENTAR LES AUTORITZACIONS

7.1. Quins riscos s'hi aborden?

Els administradors de drets d'usuaris tenen l'opció de donar als altres, fins i tot, accés als sistemes de TI, té la possibilitat tècnica de crear accés sense seguir els procediments o autoritzacions establerts, per exemple per facilitar procediments o, en el pitjor dels casos, per crear una base per a abús. Un control són els requisits de documentació per a l'autorització necessària. Per tant, es tracta d'una mesura preventiva que pot reduir la probabilitat que un usuari administrador cometi errors o abusi dels drets d'accés.

7.2. Quines mesures es poden considerar?

Els procediments i/o la tecnologia han d'estar configurats de manera que els administradors d'usuaris es vegin obligats a documentar que no han actuat pel vostre compte en relació amb l'emissió de drets d'accés.

Establir com a requisit (per escrit) que les autoritzacions (aprovacions de drets daccés per part dels responsables dautorització) siguin documentades per ladministrador dusuaris. Això protegeix la pressió d'un administrador d'usuaris perquè emeti drets d'accés sense una autorització documentada; aquest tipus de pressió podria, per exemple, provenir d'un gerent més centrat en optimitzar els fluxos de treball que en la seguretat. L'usuari administrador ha de conservar la documentació per poder demostrar que s'han seguit els procediments correctes a l'assignació de drets d'accés.

En la mesura que sigui possible, cal crear un obstacle tècnic perquè l'usuari administrador pugui canviar l'autorització un cop presentada i documentada. Això protegeix contra trampes per part de l'administrador d'usuaris.

Cal complementar-ho amb comprovacions de si la documentació coincideix amb els drets d'accés establerts. Possiblement pugui passar com a part de la mesura de control periòdic de la puntualitat dels drets daccés.

7.3. Quan cal la mesura?

L'article 5.1.f RGPD estableix, entre altres coses, que les dades personals s'han de processar de manera que es garanteixi la protecció contra el tractament no autoritzat o il·lícit. Quan les autoritzacions no estan documentades, es pot reduir el sentit de responsabilitat tant de lusuari administrador com del responsable dautoritzacions. Per tant, es pot donar més prioritat a fer que l?esdevenir diari funcioni que a realitzar correctament la gestió de drets.

La gestió de riscos segons l?article 32 RGPD mostrarà quines mesures són les que s?han d?adoptar, però considerant l?aspecte humà, la documentació de les autoritzacions molt sovint serà rellevant.

8. AUTENTICACIÓ MULTIFACTOR (MFA)

8.1. Quins riscos s'hi aborden?

L'autenticació multifactor, inici de sessió multifactor o en anglès MFA (Multi-Factor Authentication), té com a objectiu reforçar el control sobre qui accedeix a un sistema informàtic, de manera que es minimitzi la probabilitat d'accés no autoritzat.

L'autenticació implica que una persona verifiqui la seva identitat, per exemple, proporcionant una contrasenya que només ha de conèixer. Per tant, la contrasenya és el factor d'autenticació en el procés d'inici de sessió. La MFA requereix que l'usuari indiqui dos o més factors independents de diferents categories per accedir-hi. Dos factors es consideren independents si no és possible derivar-ne un a partir del coneixement de l'altre. Les categories següents es descriuen a continuació, i el panorama de risc es veu afectat per les categories seleccionades per al procés d'inici de sessió.

També es pot considerar una mesura de detecció, els intents d'obtenir accés no autoritzat a través de l'inici de sessió d'un usuari autoritzat requeriran múltiples passos (a causa dels múltiples factors en el procés d'inici de sessió) i poden brindar una oportunitat més gran de detectar intents dabús en progrés (en el primer factor) i abans que acabi en un accés no autoritzat exitós.

8.2. Quines mesures es poden considerar?

Els factors han de poder autenticar qui és lusuari, és a dir, garantir que sigui lusuari correcte qui iniciï sessió. El nom dusuari, el número de client, etc. no es pot considerar un factor si algú que no sigui l'usuari coneix o té accés a aquesta informació. A més, és informació de la mateixa naturalesa i s'ingressa de la mateixa manera que la contrasenya, per la qual cosa estan exposades a les mateixes amenaces (per exemple, escoltes mitjançant codi maliciós o vigilància física). Per tant, haver d'introduir tant el nom d'usuari com la contrasenya no redueix significativament els riscos, encara que tots dos fossin coneguts només pel mateix usuari. Els factors s'han de seleccionar de diferents categories:

• Una cosa que l'usuari sap: normalment una contrasenya personalitzada. Ha de ser una cosa que només l'usuari sàpiga i només pugui memoritzar. Per tant, també sol ser una cosa que lusuari ha triat per si mateix. El factor no ha d'haver estat accessible en cap moment ni tornar-se accessible per a altres persones, per això s'ha d'emmagatzemar xifrat. L'usuari ha de poder substituir aquest factor si sospita que altres n'han tingut coneixement.
  
• Una cosa que l'usuari té: per exemple, una targeta personalitzada amb codis únics d'un sol ús. El factor també es pot generar mitjançant un programari únic integrat al maquinari, per exemple, codis únics d'una clau física o clauer. Ha de ser una cosa que lusuari pugui tenir en la seva possessió física i que pugui guardar completament per a si mateix. No ha de ser una cosa que s'hagi de compartir amb els altres. L'usuari ha de poder reemplaçar aquest factor si sospiteu que altres tenen la capacitat d'usar una còpia.
• Cosa que és una característica física de l'usuari: dades biomètriques típiques, com ara empremtes dactilars, escàner d'iris, reconeixement facial, reconeixement de veu, etc. En comparació amb les altres dues categories, aquesta té un punt feble, és a dir, que l'usuari poques vegades pot conservar el factor ells mateixos o reemplaçar-lo.

L'avantatge de l'autenticació multifactor és que podeu minimitzar riscos específics. En primer lloc, s'identifiquen totes les amenaces a què pot estar exposat un inici de sessió específic i després se seleccionen els factors en funció d'una avaluació de si afecten (redueixen) suficientment els riscos específics. Exemple: 1. un empleat ha dutilitzar contrasenyes ingressades a través dun PC/smartphone. Això ho pot fer l'empleat a llocs públics. Una amenaça principal és que la contrasenya pot ser interceptada per programari maliciós o pirates informàtics que hagin compromès el PC o el telèfon intel·ligent utilitzat. La contrasenya també està subjecta a intercepció "mirant per sobre de l'espatlla" o mitjançant càmeres de vigilància en un lloc públic.

Si el segon factor és un codi d'un sol ús procedent d'un visor de codis electrònic, aquest també es pot interceptar de la mateixa manera i, per tant, està exposat a les mateixes amenaces que la contrasenya. No obstant això, si el codi que es mostra al visor de codis només es pot utilitzar una vegada i en un període de temps molt curt (i és probable que l'usuari l'utilitzi immediatament), aleshores aquest factor no està exposat al mateix grau .

El visor de codis pot ser robat (amenaça de robatori físic), però la contrasenya no queda exposada de la mateixa manera si només la coneix lusuari. Per tant, lusuari no ha descriure el codi en un tros de paper que pugui ser robat juntament amb el visor de codis. És a dir, s'hi afegeix una mesura organitzativa en forma de directrius per als usuaris sobre com gestionar la contrasenya i denunciar ràpidament el robatori per bloquejar el visor de codis i, possiblement, l'inici de sessió. També es pot considerar dos factors si primer s'ha de forçar una barrera física en un edifici tancat amb una targeta d'accés electrònica personalitzada ("alguna cosa que tens"), combinada amb un inici de sessió al sistema de TI amb una contrasenya (" una cosa que saps”). En aquest exemple, però, és una mica difícil avaluar els riscos perquè els dos factors estan molt separats i es poden gestionar de manera molt diferent.

El factor únic està protegit contra l'ús indegut, cosa que el fa més difícil d'eludir. Per exemple, les funcions d'inici de sessió que utilitzen el factor "contrasenya" estan protegides contra atacs de força bruta i atacs de diccionari que intenten endevinar/provar el factor. Es pot establir una protecció addicional mitjançant mesures organitzatives en forma d'instruccions als empleats, per exemple, requisits per triar i gestionar contrasenyes.

La protecció contra atacs en què s'enganya l'usuari perquè lliuri els factors que atorguen accés s'anomena MFA resistent al phishing.

Els factors es protegeixen encara més en abstenir-se de transmetre'ls per correu electrònic i SMS, perquè aquí estan exposats a ser interceptats. En canvi, els factors es poden generar localment a un dispositiu.

Finalment, es garanteix que no hi hagi desviaments per iniciar sessió, cosa que realment soscava la solució d'autenticació multifactor. Podria ser, per exemple, una solució d'ajuda per als usuaris que han oblidat la contrasenya, cosa que a la pràctica permet iniciar sessió amb un sol factor.

8.3. Quan cal la mesura?

La gestió de riscos segons l'article 32 RGPD mostrarà quines mesures són les que cal adoptar, ja que els riscos i les oportunitats depenen en gran mesura de les circumstàncies específiques.

Això no obstant, cal tenir en compte l'article 5.1.f RGPD, que estableix que les dades personals s'han de tractar de manera que es garanteixi la protecció contra el tractament no autoritzat o il·lícit. En accedir a dades personals especialment sensibles a través d'Internet, pot resultar impossible protegir-les adequadament mitjançant un inici de sessió amb un únic factor. Per accedir a través d'Internet a sistemes informàtics en què es tracten dades personals sensibles, cal implementar una autenticació multifactor o alguna cosa que augmenti corresponentment el nivell de seguretat.

A més, en el cas de funcions d'inici de sessió a les quals no es pot accedir des d'Internet, es pot considerar necessària l'autenticació multifactor, per exemple, perquè és un accés d'administrador, que ha d'estar particularment ben protegit contra amenaces que es troben (o poden moure) a les xarxes internes de l'organització.

9. SEPARACIÓ DE FUNCIONS

9.1. Quins riscos s'hi aborden?

Les tasques realitzades amb un dret d'accés poden desqualificar la persona per a tasques que es poden fer amb un altre dret d'accés. Per això als sistemes administratius es realitza la separació de funcions, on es garanteix que un sol empleat no pugui corregir i aprovar una factura de compres pròpies.

De la mateixa manera, una mateixa persona no ha de poder ordenar i autoritzar el seu accés a un sistema informàtic. Això s'evita establint una separació funcional en tasques i drets d'accés. Es tracta, doncs, d'una mesura preventiva que pot reduir la probabilitat que es produeixin diversos tipus d'abús del dret d'accés.

La separació de funcions existeix amb una mesura que dóna suport al control mutu entre les diferents funcions laborals i així preveu l'abús.

9.2. Quines mesures es poden considerar?

S'estableixen procediments (si és tècnicament possible) mitjançant els quals es garanteix la separació funcional entre usuaris (els qui utilitzen l'accés), els responsables de l'autorització (els qui aproven l'accés) i els administradors d'usuaris (els qui creen/eliminen l'accés). També hi pot haver un quart enllaç si, per exemple, un empleat d'operacions de TI a la pràctica crea/elimina l'accés en nom de l'administrador d'usuaris.

La separació de funcions es duu a terme mitjançant una clara separació de les tasques laborals i els drets daccés, de manera que les tasques/accessos de les persones esmentades no se superposin en la mesura del possible. Per exemple, un administrador d'usuaris no ha d'aprovar el seu propi accés a un sistema informàtic i, si això no es pot evitar tècnicament, hi ha d'haver un procediment d'aprovació que garanteixi una documentació vàlida per a l'aprovació del responsable d'autoritzacions. Amb procediments manuals basats en formularis, pot ser necessari dissenyar el formulari d'autorització de manera que no es pugui manipular després que el responsable d'autoritzacions hagi aprovat l'accés. S'han d'establir normes o obstacles tècnics perquè un responsable d'autoritzacions no aprovi canvis a l'accés propi.

Si l'opció està inclosa al sistema de TI, els drets d'accés de l'administrador de l'usuari es limiten a permetre únicament la gestió de drets al sistema de TI. Per tant, l'usuari administrador no pot ell mateix accedir a les dades al sistema de TI on controla l'accés d'altres.

En assignar un nou accés en relació amb una nova ocupació o reassignació a l'organització, s'estableixen procediments o descripcions que garanteixin que no pugui sorgir una situació en què un empleat obtingui accés a través de la separació de funcions desitjada. Possiblement estigueu assegurats mitjançant el formulari utilitzat en atorgar drets d'accés.

Es garanteix que l'accés, que només té una finalitat operativa de TI, només es concedeix al personal d'operacions de TI amb la formació adequada i, si és possible, també per un temps limitat.

La separació de funcions no sols és rellevant entre humans, sinó també entre robots. Si utilitzeu una ARP/RPA (Automatització robòtica de processos /Robotic Process Automation) o similar i s'atorguen drets d'accés als usuaris de robots en aquest sentit, pot semblar que la manca de separació de funcions no implica els mateixos riscos que si els mateixos drets es combinaran amb una persona. Els estalvis econòmics en llicències d'usuari de robots poden resultar temptadors per atorgar a un robot tants drets d'accés com sigui possible, però això pot representar un risc més gran si, per exemple, un ciberdelinqüent o un desenvolupador de programari té l'oportunitat d'abusar de els drets daquest robot.

9.3. Quan cal la mesura?

L'article 5.1.f RGPD tracta sobre la integritat i la confidencialitat de les dades personals, i això normalment no està prou protegit sense un cert grau de separació funcional. Això no obstant, la gestió de riscos del responsable del tractament d'acord amb l'article 32 RGPD pot indicar que la separació funcional no és necessària en relació amb el tractament específic de dades personals.

La possibilitat d'implementar aquesta mesura també es pot veure limitada per la mida de l'organització, per la qual cosa no es pot esperar una separació funcional, per exemple, en una empresa de dues persones.

10. GESTIÓ DE COMPTES D'USUARIS TEMPORALS

10.1. Quins riscos s'hi aborden?

Un accés més gran proporciona una major "superfície d'atac" per als actors maliciosos. Els accessos que ja no són necessaris suposen, per tant, un risc innecessari i, per tant, cal suprimir-los. Es pot utilitzar el coneixement previ quan un accés ja no és necessari per garantir un tancament ràpid de l'accés. Per tant, és una mesura preventiva que pot reduir la probabilitat que un accés sigui utilitzat indegudament per algú que no sigui l'usuari previst (autoritzat).

10.2. Quines mesures es poden considerar?

Si existeix lopció, ja es fixarà una data de caducitat en el dret daccés quan sestableixi el mateix. Possiblement es pugui gestionar de manera centralitzada mitjançant dades d'un sistema de recursos humans amb informació actualitzada sobre les dates de baixa. La data de venciment pot ser rellevant, per exemple, a l'hora de contractar consultors externs vinculats a un projecte amb una durada clara. Alternativament, es pot fer manualment amb recordatoris en una funció de calendari.

La mesura de data de venciment també poden ajudar amb l'acumulació de tasques relacionades i les baixes, que pot passar amb el canvi de mes o simplement una acumulació aleatòria de tasques, cosa que significa que no hi ha temps per suprimir tots els accessos exactament quan acaba una feina.

A les organitzacions més grans, la mesura de gestió de drets centralitzada pot evitar l'acumulació de tasques i implicar una solució més sistemàtica de la tasca.

10.3. Quan cal la mesura?

Es tracta d?una avaluació de riscos segons l?article 32 RGPD que mostrarà quines mesures són necessàries. Si, per exemple, l'organització té pocs empleats, o si les contractacions o les renúncies són rares, els procediments escrits poden ser suficients i aquesta mesura no contribuirà significativament a la seguretat.

D'acord amb l'art.25 RGPD, en desenvolupar, adquirir o actualitzar un sistema de TI, cal considerar la protecció de dades des del disseny i per defecte. El tancament automàtic de l'accés requereix que la funcionalitat estigui integrada als sistemes de TI que controlen l'accés.

11. REGISTRE DE L'ÚS DE DADES PERSONALS PER PART DELS USUARIS

11.1. Quins riscos s'hi aborden?

Un dels objectius del registre és permetre la investigació desdeveniments passats en els sistemes de TI. Per exemple, el registre pot mostrar quines accions han realitzat els usuaris al sistema, però també què ha fet el sistema. En alguns casos, els registres també es poden utilitzar per detectar incidents en curs i així limitar possiblement els danys detectant i aturant accions no autoritzades. Si els usuaris són conscients que l'ús que fan de les dades personals als sistemes es registra i analitza, pot ajudar a contrarestar l'ús indegut deliberat, com l'espionatge. Vegeu també les mesures de registres de mostreig de l'ús de dades personals per part dels usuaris i formació, depenent de les circumstàncies, és a dir, mesura:

• Preventiva que pot reduir la probabilitat d'abús dels drets d'accés i,
• De detecció i correctiva si el registre sutilitza en relació amb la detecció i parada dun incident en curs.

11.2. Quines mesures es poden considerar?

Els sistemes de TI es desenvolupen i configuren per registrar tots els usos de les dades personals per part dels usuaris, és a dir la lectura, l'edició, la cerca, la modificació, l'extracció i l'eliminació, independentment de com l'usuari faci el ús de les dades personals.

Els sistemes de TI estan desenvolupats per poder emmagatzemar dades de registre durant un període de temps específic, per exemple, els darrers X mesos. Permetre l'eliminació automàtica de registres és important per al principi de minimització de dades de l'article 5.1.c RGPD.

El temps de conservació del registre s'estableix d'acord amb el vostre objectiu, per la qual cosa si s'utilitzarà un registre per rastrejar abusos, pot ser apropiat establir el temps de conservació d'acord amb la freqüència amb què es verifiquen els drets d'accés. . Trobar errors en aquests drets pot generar la necessitat de revisar els registres durant almenys el període transcorregut des de la verificació anterior, ja que aquest serà el període durant el qual van existir els drets incorrectes i es podrien fer servir indegudament. Tot i això, la necessitat d'investigar atacs cibernètics pot requerir un temps de retenció més prolongat, i el mateix s'aplica als registres que s'emmagatzemen en relació amb la investigació d'un incident específic o una sospita d'ús indegut.

Els registres s'emmagatzemen a un lloc on estan protegits en termes de confidencialitat, integritat i disponibilitat. Per exemple, es pot establir un servidor de registres que recopili còpies de registres de diversos sistemes de TI. Els procediments garanteixen que les persones amb accés privilegiat a aquests sistemes de TI no tinguin accés a la còpia del servidor de registres. El servidor de registres també està específicament protegit contra ciberatacs que puguin afectar els sistemes informàtics.

Es garanteix que al responsable del tractament li sigui possible obtenir registres dels encarregats del tractament sense més dificultats ni despeses.

Cal garantir una guia accessible sobre com interpretar els registres i provar la interpretació correcta utilitzant la guia. Això es pot fer, per exemple, mitjançant una prova a cegues en què una persona realitza/documenta accions i una altra persona utilitza la guia per interpretar el registre, i després es comparen les percepcions de les dues persones sobre els fets.

El registre es prova eficaçment. Si hi ha diversos mètodes per veure dades, es prova que es registrin independentment del mètode que s'utilitzi.

Es comprova si se segueixen registrant com s'esperava i si les dades de registre s'emmagatzemen durant el temps suficient i es poden interpretar amb la guia actual o un sistema de TI associat. Es tracta, doncs, d'una prova d'una mesura establerta, d'acord amb l'art. 32.1.d RGPD. La verificació es duu a terme durant els canvis de sistema com a part de la gestió de canvis, però també possiblement entre ells si transcorre un llarg temps entre canvis de sistema.

Si és possible, el registre es configura de manera que permeti seleccionar mostres de lús de les dades per part dels usuaris per tal de verificar lús amb fins laborals. D'aquesta manera, el registre donarà suport a les comprovacions aleatòries, de manera que les comprovacions aleatòries es puguin centrar en usos que puguin violar les directrius internes o equivaldre a espionatge.

Per a l'accés físic directe a registres amb dades personals, el registre al sistema d'accés físic també ha d'estar cobert per les mesures anteriors.

Perquè els registres tinguin un efecte preventiu i, per tant, siguin una mesura preventiva, requereix que els usuaris s'hagin informat que l'ús indegut pot detectar-se (a través de registres) i sancionar-se. També suposa que totes les accions poden atribuir-se a una sola persona física, per la qual cosa també cal considerar les mesures d'evitar l'ús innecessari de comptes multiusuari i conscienciació. El registre s'activa com a molt tard quan es posa en marxa el sistema TI.

11.3. Quan cal la mesura?

És principalment una gestió de riscos d'acord amb l'art. 32 RGPD la que ha de mostrar quines mesures són necessàries, ja que els riscos depenen en gran mesura de quin tractament de dades personals es realitza en els diferents sistemes de TI, així com quin efecte preventiu es pot esperar dels usuaris saben que les seves accions es registren i es poden investigar retrospectivament.

En general, es pot dir que l'ús de sistemes informàtics que contenen dades de moltes persones té més riscos perquè hi ha més possibilitat de mal ús, i com més gent tingui accés, més gran serà la probabilitat que algú pugui fer un mal ús de l'accés. , per exemple, amb fins privats o que no estiguin específicament relacionats amb la feina. Tot i això, l'avaluació de riscos ha de considerar els riscos per a la confidencialitat, la integritat i la disponibilitat, per la qual cosa altres aspectes també poden requerir el registre.

D'acord amb l'art. 25 RGPD en desenvolupar, adquirir o modificar sistemes informàtics, la protecció de dades s'ha d'incorporar des del disseny i per defecte. Per poder registrar els usos de dades personals, la funcionalitat ha d'estar integrada al sistema de TI. Això inclou la capacitat demmagatzemar el registre en una ubicació segura on estigui més protegit contra laccés o la manipulació per part dusuaris o pirates informàtics. La configuració per defecte ha de ser que el registre estigui habilitat per defecte.

Enregistrar l'ús de dades personals confidencials i sensibles ha estat un requisit per a les autoritats públiques durant molts anys. Per a les autoritats estatals, el registre és un requisit tècnic mínim.

En general, es recomana considerar el registre de manera més àmplia, de manera que estigui assegurat en relació amb això.

12. REGISTRE D'ACCIONS DE L'ADMINISTRADOR D'USUARIS

12.1. Quins riscos s'hi aborden?

Aquesta mesura té el mateix objectiu que la mesura “Registre dels usos de dades personals per part dels usuaris”, però els requisits per al contingut del registre poden ser diferents, perquè l'atenció s'ha de centrar a detectar l'abús dels drets de accés de l'administrador de l'usuari.

El seguiment de les accions d'un administrador pot tenir un enfocament i una freqüència diferents al seguiment de les accions d'altres usuaris. Pel que fa als controls mitjançant mostres aleatòries, consulteu la descripció de les mesures en la mesura “Mostres al registre d'ús de dades personals per part dels usuaris”.

12.2. Quines mesures es poden considerar?

Vegeu descripció de la mesura “Registre d'usos de dades personals per part dels usuaris”.

12.3. Quan cal la mesura?

Igual que la mesura Registre d'usos de dades personals per part dels usuaris. Com que l'administrador d'usuaris normalment pot donar a altres i possiblement Si l'usuari té accés a diversos sistemes informàtics, hi ha bones raons per garantir el control de les accions.

D'acord amb l'article 25 RGPD, en desenvolupar, adquirir o canviar sistemes de TI, la protecció de dades s'ha de tenir en compte des del disseny i per defecte. Per poder registrar les accions de l'administrador d'usuaris, la funcionalitat ha d'estar integrada al sistema informàtic utilitzat per a l'administració d'usuaris, inclosa, en particular, la funcionalitat que el registre s'ha de poder emmagatzemar en un lloc segur on l'administrador d'usuaris no pugueu accedir o manipular-lo a través dels vostres drets d'accés privilegiat.

13. MINIMITZAR EL NOMBRE DE RESPONSABLES D'AUTORITZAR I ADMINISTRADORS D'USUARIS

13.1. Quins riscos s'hi aborden?

Els drets d'accés amb un abast més gran del necessari poden plantejar un risc innecessari de pèrdua de confidencialitat, integritat i disponibilitat a causa d'un mal ús. En limitar la quantitat de persones que poden atorgar drets daccés, es redueix la probabilitat derror i abús. Es tracta, doncs, d'una mesura preventiva que pot reduir la probabilitat d'una assignació incorrecta o desigual dels drets d'accés.

La mesura també pot reduir el risc associat amb els ciberatacs externs, perquè és menys probable que el compromís de l'inici de sessió d'un usuari aleatori ofereixi immediatament l'oportunitat de controlar els drets d'accés a un o més sistemes de TI. Per tant, la mesura també és pertinent en relació amb la reducció de les conseqüències de lús indegut dels drets daccés dels usuaris autoritzats.

13.2. Quines mesures es poden considerar?

Designar la menor quantitat possible de responsables dautoritzacions. Limitar la funció organitzativa responsable de ladministració dusuaris al menor nombre de persones possible. Això pot resultar difícil si els administradors d'usuaris estan dispersos per tota l'organització, per tant, la implementació simultània de la mesura “Gestió de drets centralitzada” reforçarà l'efecte preventiu general.

13.3. Quan cal la mesura?

L'article 5.1.f RGPD tracta de la integritat i confidencialitat de les dades personals. Com menys pugui fer l'usuari individual amb les dades a què té accés, menors seran les possibles conseqüències si comprometen la integritat i confidencialitat de les dades mitjançant accions inadvertides o malicioses. Això també té un efecte protector davant de les ciberamenaces, ja que un hacker sovint opera a través de drets d'accés a comptes d'usuari compromesos i, per tant, menys drets en limiten les opcions. Per tant, els drets d'accés s'han de limitar tant com sigui possible i cal limitar qui pot atorgar nous drets d'accés.

La gestió del risc per part del responsable del tractament dacord amb larticle 32 RGPD pot mostrar quines mesures són necessàries. Si es tracta, per exemple, d'una empresa de dues persones, pot ser que totes dues puguin controlar els drets d'accés, sense risc d'abús, etc. augmentant així significativament.

14. MINIMITZAR ELS DRETS D'ACCÉS PRIVILEGIAT

14.1.Quins riscos s'hi aborden?

Un atac típic d'un ciberdelinqüent sol implicar que adquireixi més drets d'accés, ja que això proporciona més opcions als sistemes de TI que els drets d'accés d'un usuari normal. Si el ciberdelinqüent pot utilitzar un compte d'usuari amb drets d'accés privilegiats, això és més problemàtic. Minimitzar lús de drets daccés privilegiats fa que això sigui més difícil daconseguir. Aquesta és una mesura preventiva que pot minimitzar-ne les conseqüències si un atacant aconsegueix apoderar-se d'un compte d'usuari.

14.2. Quines mesures es poden considerar?

El desafiament és que algú sempre necessita tenir drets daccés privilegiats. Aleshores, a més de limitar qui té aquests drets, també pot donar-li al mateix usuari dos comptes d'usuari, un regular amb drets regulars i un altre amb més drets. En utilitzar el compte d'usuari privilegiat només quan sigui absolutament necessari, se'n limita l'exposició, però no si l'empleat utilitzarà aquest compte la major part del temps. La divisió en dos comptes també pot tenir lefecte positiu de fer que lusuari sigui més conscient de quan està treballant amb drets daccés que poden causar més danys (si es cometen errors). És possible que la divisió no necessàriament tingui sentit en organitzacions petites o si l'empleat només fa tasques que requereixen accés privilegiat.

L'accés d'administrador d'usuaris es considera accés privilegiat, ja que se'n pot abusar més que dels comptes d'usuari normals. Altres tipus d'accés privilegiat s'utilitzen per a operacions de TI, com ara l'accés directe a una base de dades, conegut com a "accés SQL". Això pot permetre la manipulació directa de la base de dades, és a dir, eludir les restriccions d'accés i les característiques de seguretat que normalment es troben a les aplicacions que hi ha entre l'usuari i la base de dades. Aquest tipus d'accés implica més riscos i només s'utilitza sota les condicions següents:

• Es concedeix només quan és absolutament necessari (per temps limitat).
• Només s'atorguen persones amb tasques operatives de TI i les competències adequades.
• Només s'atorga després d'algun tipus d'autorització de seguretat i possiblement subjecte a no tenir antecedents penals.
• L'ús es registra i el registre s'emmagatzema en un lloc on no poden accedir els que utilitzen l'accés.

14.3. Quan cal la mesura?

Es tracta principalment d?una gestió de riscos segons l?article 32 RGPD, que ha de mostrar quines mesures són necessàries, ja que els riscos depenen en gran mesura del dany que l?usuari pugui causar amb drets d?accés privilegiats. Alhora, això també té un efecte protector davant les ciberamenaces, ja que un hacker sovint opera a través de drets d'accés a comptes d'usuari compromesos i, per tant, menys drets donen al hacker menys oportunitats.

15. CONTROL PERIÒDIC DE LA PUNTUALITAT DELS DRETS D'ACCÉS

15.1. Quins riscos s'hi aborden?

La gestió de drets és un procés que normalment involucra diverses persones i poden ocórrer errors. També hi pot haver una manca denfocament en tancar laccés/drets daccés innecessaris. Una comprovació dels drets d'accés pot detectar errors que, altrament, podrien existir durant anys. Es tracta, doncs, d'una mesura correctiva que pot reduir la probabilitat d'abús de drets d'accés innecessaris.

15.2. Quines mesures es poden considerar?

Un control pot incloure una o més de les investigacions següents:

• Si els drets daccés establerts estan emparats per una autorització documentada i en vigor.
• Si l'accés s'hauria d'haver tancat prèviament per una autorització de temps limitat, caducada, renúncia, excedència o altres motius.
• Si les autoritzacions són vigents, és a dir, si totes les aprovacions de drets daccés són necessàries i es basen en una necessitat relacionada amb el treball.
• Si hi ha comptes d'usuari que ja no són utilitzats per l'usuari autoritzat ("comptes fantasma") i que, per tant, s'haurien de tancar.

Les possibilitats i allò més senzill depenen dels sistemes informàtics utilitzats. Els drets d'accés es mantenen contra una font creïble i actualitzada. Normalment hi ha un sistema de recursos humans que mostra qui està emprat actualment i quin lloc ocupa. Si l'organització utilitza drets d'accés basats en rols, el registre al sistema de recursos humans pot indicar amb molta precisió qui hauria de tenir accés a què i quins accessos haurien de ser tancats.

"Controladors" amb diferents rols (director diari, responsable de seguretat informàtica, propietari del sistema, etc.) tenen diferents interessos, i se n'ha de ser conscient quan s'assigna i explica la tasca de control al responsable del tractament. Si l'administrador ha de comprovar els drets d'accés dels vostres propis empleats, aquest administrador pot centrar-se més en si s'han establert els drets necessaris que alguns usuaris tenen massa drets.

L'objectiu d'una verificació també pot ser estalviar diners en llicències d'usuari, cosa que pot eliminar drets d'accés innecessaris, però encara no se centra si els drets són necessaris per complir una necessitat laboral.

La freqüència dels controls esmentats anteriorment s'ajusta segons els problemes que reveli el control. Si la verificació mostra que poques vegades hi ha errors, pot ser suficient fer menys comprovacions en el futur. Si, per contra, la verificació mostra molts errors, és possible que calgui augmentar la freqüència o l'abast. Molts errors també poden indicar que altres mesures/processos no estan funcionant de manera òptima. En aquest cas, pot ser més rellevant intentar arreglar la gestió diària dels drets daccés en lloc daugmentar la freqüència dels controls.

15.3. Quan cal la mesura?

L'Autoritat Danesa de Protecció de Dades ha declarat que, segons la seva opinió, el requisit de seguretat adequada al RGPD, Article 32, subsecció 1 implicarà que el responsable del tractament comprovi contínuament si els drets d'accés als sistemes informàtics es limiten a les dades personals que són necessàries i necessàries per a les necessitats laborals de lusuari en qüestió.

Això és degut a que, no importa com estrictament es gestionin els drets d'accés, les coses poden sortir malament a molts llocs d'un procés d'aquest tipus, que sovint involucra moltes persones. Per tant, és molt probable que es produeixin errors que només es podran detectar mitjançant controls periòdics.

16. SEUDONIMITZACIÓ I ANONIMITZACIÓ

16.1. Quins riscos s'hi aborden?

Les dades anonimitzades no estan subjectes al RGPD. L'anonimització és un procés que garanteix que les dades no es puguin vincular a una persona física.

Les dades personals pseudonimitzades són dades que només es poden atribuir a una persona física mitjançant l'ús d'informació addicional, i l'accés a aquesta informació addicional està molt restringit. La pseudonimització es pot utilitzar, per exemple, si alguns usuaris necessiten utilitzar un conjunt de dades sense necessitat d'identificar-ne les persones titulars. La informació addicional que permet identificar les persones al conjunt de dades es pot trobar, per exemple, en un altre sistema informàtic al qual els mateixos usuaris no hi tenen accés.

Un usuari que només té accés a dades anònimes no té accés a dades personals. Un usuari que només tingui accés a dades pseudonimitzades no podrà vincular-les a una persona física (amb els drets d'accés). Per tant, es tracta d'una mesura preventiva que pot reduir les conseqüències del mal ús de comptes d'usuari, ja sigui que l'ús indegut el dugui a terme l'usuari autoritzat o un pirata informàtic que s'apoderi dels drets d'accés de l'usuari .

16.2. Quines mesures es poden considerar?

Les possibilitats d'implementar l'anonimització o la pseudonimització depenen dels sistemes de TI i de les tasques realitzades a l'organització. La veritable anonimització i la pseudonimització són processos difícils que requereixen una comprensió de com es poden identificar els individus en un conjunt de dades.

16.3. Quan cal la mesura?

Es tracta principalment d?una gestió de riscos segons l?article 32 RGPD, que ha de mostrar quines mesures són necessàries i el mateix article també esmenta la pseudonimització com una mesura potencialment rellevant. Cal tenir en compte que tant la pseudonimització com l'anonimització són mesures necessàries en relació amb el principi de minimització de dades de l'article 5.1.c.

D'acord amb l'article 25 RGPD en desenvolupar, adquirir o modificar sistemes informàtics, cal tenir en compte la protecció de dades des del disseny i per defecte. La possibilitat de pseudonimització o anonimització requereix que això s'hagi tingut en compte en el disseny del sistema informàtic i que funcioni amb les tasques laborals dels empleats. La configuració predeterminada pot ser, entre altres coses, que la pseudonimització es faci automàticament, controlada per exemple per l'antiguitat de la informació, o la terminació de les relacions amb els clients.

Quant al que es necessita per garantir una veritable anonimització en un conjunt de dades: WP216 del grup de l'article 29, "Opinió 05/2014 sobre tècniques d'anonimització"

17. DRETS D'ACCÉS BASSATS EN ROLS

17.1. Quins riscos s'hi aborden?

En organitzacions grans amb molts sistemes de TI, avaluar quins drets daccés són apropiats pot ser una tasca complexa. Això augmenta la probabilitat derrors en establir drets. L'assignació d'accés basada en rols facilita que l'administrador d'autoritzacions avaluï i aprovi les sol·licituds d'accés perquè no requereix una comprensió de les necessitats d'accés de cada sistema de TI, només el coneixement dels rols/tasques dels usuaris. Això facilita la tasca a totes les parts implicades i minimitza així la probabilitat d'errors. Es tracta, doncs, d'una mesura preventiva que pot reduir la probabilitat que es produeixen errors en assignar drets.

17.2. Quines mesures es poden considerar?

Els drets d'accés s'agrupen segons els rols/tasques dels usuaris perquè cobreixin les necessitats laborals més típiques amb relació a la funció de cada persona treballadora, recursos humans, comptabilitat, atenció al client, etc. Això també pot facilitar la tasca de definir els drets daccés a tots els sistemes de TI.

17.3. Quan cal la mesura?

La necessitat depèn de la complexitat del vostre entorn de TI. Per tant, és una gestió de riscos segons l'article 32 RGPD la que mostra quines mesures són necessàries.

D'acord amb l'article 25 RGPD, en desenvolupar, adquirir o actualitzar sistemes informàtics, la protecció de dades s'ha d'incorporar des del disseny i per defecte. La possibilitat de simplificar la cessió de drets pot dependre del disseny dels sistemes informàtics.

18. CORRELACIÓ ENTRE COMPETÈNCIES D'USUARI, DRETS D'ACCÉS I TASQUES

18.1. Quins riscos s'hi aborden?

El tractament incorrecte de les dades pot donar lloc a bretxes de seguretat involuntàries, com ara la publicació o divulgació de dades personals que s'haurien d'haver omès. El risc es pot prevenir garantint que cada usuari tingui els coneixements necessaris per utilitzar la seva autorització i tractar les dades correctament. Aquesta és una mesura preventiva que minimitza la probabilitat derrors en el tractament de dades.

Moltes bretxes de seguretat es produeixen per usuaris que utilitzen TI diàriament i, que pensen que tenen els coneixements suficients, però tot i així cometen errors. En alguns casos, això és perquè l'enfocament de l'usuari no està en la seguretat, o perquè el tractament segur de dades requereix un coneixement especialitzat de TI, una comprensió diferent de la requerida per realitzar les tasques de l'usuari. En alguns casos, les bretxes de seguretat són causades directament per una manca de coneixement de la diferència entre l'àmbit físic i l'electrònic, per exemple, si l'usuari creu que les dades s'han eliminat d'un document si no són visibles a la pantalla del vostre PC.

18.2. Quines mesures es poden considerar?

En concedir un nou accés, s'ha d'aprovar un procediment per garantir que l'usuari al qual es concedeix tingui les competències necessàries per tractar les dades de manera segura evitant bretxes de seguretat en la mesura del possible, es tracta de no donar drets daccés un marge de maniobra que estigui fora de les seves competències.

Aquests són alguns exemples on l'accés dels usuaris es considera juntament amb les competències adequades:

• L'accés no es concedeix fins que l'empleat tingui les competències necessàries, si ja està concedit, se li imparteix la formació adequada.
• Els drets d'accés per publicar dades en un lloc web només s'atorguen als empleats per als quals aquesta tasca és una àrea principal de treball, i només després de rebre capacitació sobre com trobar i filtrar dades personals que es poden emmagatzemar a les metadades en un document . També poden ser necessàries les eines i competències que els permetin eliminar dades (no només amagar-les) i entendre quan les dades s'anonimitzen.
• El tractament electrònic de les sol·licituds d'accés només el duen a terme empleats als qui se'ls han proporcionat eines i competències que els permeten eliminar dades de manera efectiva (no només amagar-les) i després de rebre capacitació sobre els requisits legals pertinents sobre l'abast del accés.
• Les dades personals només les envien fora de l'organització emprades que han rebut formació sobre els requisits per a una transmissió (segura). Si és possible, també se'ls han proporcionat eines que faciliten l'enviament de dades de manera segura.
• La redacció de documents que es publiquen automàticament alhora la fa un reduït nombre d'empleats per als quals aquesta tasca n'és la principal àrea de treball. Si hi ha una publicació automàtica de documents al sistema de registre, l'empleat també rep formació sobre el seu funcionament.
• Alguns drets d'accés poden implicar un risc més gran que altres. Un empleat amb accés de lectura a les dades pot comprometre la confidencialitat de les dades en transmetre-les a persones no autoritzades. La capacitat d'eliminar dades comporta un risc addicional, el risc que les dades siguin inaccessibles si, per exemple, l'empleat elimina accidentalment les dades que no s'han de suprimir. La capacitat d'eliminar dades també pot estar vinculada a requisits legals, com ara les normes de l'administració pública, que poden prohibir l'eliminació en determinats contextos. Aquests drets d'accés estan reservats per a empleats que hagin rebut formació sobre riscos rellevants i/o requisits legals i per a qui aquesta tasca sigui la seva àrea de treball principal.

18.3. Quan cal la mesura?

És principalment una gestió de riscos segons l'article 32 RGPD la que mostrarà quines mesures són necessàries, ja que els riscos específics depenen en gran mesura de si hi ha funcions/tasques a l'organització en què la manca de competències realment pugui representar un risc.

Vegeu la mesura “Conscienciació i Formació” per seleccionar informació addicional rellevant que es proporcionarà en el moment de contractar un nou empleat o en canviar els drets d'accés.

19. MOSTRES EN EL REGISTRE D'ÚS DE DADES PERSONALS PER PART DELS USUARIS

19.1. Quins riscos s'hi aborden?

Si els usuaris són conscients que s'està supervisant l'ús dels sistemes, això pot descoratjar l'ús indegut. Si es fa servir correctament, és per tant una mesura preventiva i possiblement també de detecció que pot reduir la probabilitat d'abús dels drets d'accés. Per descomptat, això suposa que totes les accions es poden atribuir a una única persona física, per la qual cosa la mesura “Evitar l'ús innecessari de comptes multiusuari” també és rellevant.

Aquesta mesura pot ser especialment pertinent en situacions en què els drets d'accés no es poden limitar gaire i en què els usuaris necessàriament han de tenir un ampli accés a una gran quantitat de dades personals com a part del seu treball i en les quals, per tant , pot existir un risc particular que algú se senti temptat a utilitzar-ne l'accés sense que sigui específicament relacionat amb les seves funcions.

19.2. Quines mesures es poden considerar?

El mostreig de registres es realitza segons un procediment fix, sense que el mostreig sigui predictible per als usuaris. L'efecte preventiu requereix que els usuaris estiguin familiaritzats amb aquesta mesura de control, veure més a la mesura “Conscienciació i formació”.

Pot ser un avantatge si la mostra es refereix a un ús relativament recent, de manera que es pugui esperar raonablement que lusuari pugui explicar-ho.

La mida de la mostra dependrà de cada cas, per exemple, si és possible filtrar automàticament una gran quantitat d'avisos en les dades com a relacionades amb les funcions del seu lloc (degut a una relació coneguda amb el client, àrea de treball, relació mèdic /pacient, etc.), aleshores la mostra de les entrades restants pot ser més limitada o específica que si hagués d'abastar tots els llocs.

Cal establir alertes (per exemple, basades en dades de registre) que s'activin automàticament davant d'una activitat sospitosa, això pot complementar o reemplaçar un mostreig més aleatori.

El mostreig aleatori continu també funcionen com una verificació per veure si el registre sempre es realitza com s'esperava i si les dades del registre s'emmagatzemen durant el temps suficient i es poden interpretar amb la guia actual. Per tant, també és una prova d'una mesura establerta i d'acord amb l'article 32.1.d) RGPD. Vegeu la mesura “Registre de l'ús de dades personals per part dels usuaris” .

19.3. Quan cal la mesura?

És principalment una gestió de riscos segons l'article 32 RGPD la que mostra com s'han d'organitzar els controls aleatoris, inclòs l'abast i la freqüència. Això és perquè el risc depèn de quin tractament de dades personals es realitza en els diferents sistemes informàtics, així com de qui i quantes persones hi tenen accés.

En el cas d'un accés ampli, és a dir, quan els usuaris tenen accés a una gran quantitat de dades personals sensibles i/o accés a dades de moltes persones, sovint caldrà comprovacions aleatòries cada sis mesos.

20. CONTROL D'ACCÉS FÍSIC

20.1. Quins riscos s'hi aborden?

Les restriccions d'accés físic poden complementar les restriccions d'accés electròniques, però en alguns casos la primera és l'únic obstacle d'accés no autoritzat a dades personals. Es tracta d´un símil amb l´inici de sessió electrònic en sistemes informàtics o suports de dades. És una restricció controlada daccés i per tant una mesura preventiva que pugui minimitzar les conseqüències si laccés de lusuari sutilitza incorrectament.

Els requisits per obtenir accés electrònic a un sistema de TI poden ser menors dins un entorn físic (per exemple, un edifici d'oficines) que a l'exterior. Per tant, l'inici de sessió pot ser més complicat quan un usuari utilitza l'accés remot que quan el mateix usuari inicia sessió des del lloc de treball a l'oficina. Alternativament, laccés remot pot ser més limitat.

A més, hi pot haver accessos electrònics que, per motius de seguretat, només siguin possibles dins d'un determinat marc físic. Per tant, els drets d'accés físic poden ser una part important de la protecció de les dades personals, tant automatitzades com en paper.

20.2. Quines mesures es poden considerar?

Ens referim bàsicament a la protecció de la confidencialitat de les dades, la integritat o la disponibilitat pot requerir mesures diferents, com a suport en cas de robatori dequips de TI a través dun accés físic compromès.

El personal de recepció pot impedir l'accés a persones no autoritzades i els recepcionistes reben instruccions sobre com reaccionar davant de persones que normalment no hi tenen accés (comercials informàtics, etc.), en quina mesura s'ha d'identificar les persones, si ha de ser acompanyat fins a interior, etc. Es registra l'accés de convidats a través del taulell de recepció.

Si és previsible que el personal de recepció no conegui tots els empleats, serà més segur utilitzar mitjans d'accés personalitzats, com ara targetes d'accés electròniques combinades amb un codi personal, que s'han d'assignar, registrar i bloquejar segons els mateixos principis que la resta de gestió de drets utilitzats per als identificadors dusuari i les contrasenyes per iniciar sessió en els sistemes informàtics.

Si l'organització disposa d'instal·lacions amb accés físic a un entorn informàtic (caixes de connexions i sales de servidors), aquest accés sovint implica la possibilitat d'eludir la restricció d'accés electrònic i, per tant, la gestió electrònica de drets. Aquests locals han de tenir una restricció física especial i considerar portes antirobatori, tancaportes automàtics amb alarmes en cas de fallada de tancament, sistemes de claus de seguretat (a prova de manipulacions, protegits contra còpia), alarmes, sensors de moviment, detectors sísmics, etc. .

L'accés als documents físics a les oficines, per exemple, es pot restringir mitjançant armaris de seguretat (caixes fortes) ubicades a una part fixa de l'edifici. La clau/codi de l'armari es gestiona segons els mateixos principis que el control d'accés electrònic. Les caixes fortes estaran disponibles en diferents "classes" que defineixen la seva resistència al robatori, és a dir, com n'és de difícil entrar obrir-la, i això s'ha d'adaptar al mateix temps que pot passar abans que es pugui esperar que una alarma o un guàrdia detecti accés no autoritzat.

Les impressores es col·loquen on només els empleats tenen accés i, a més, es poden utilitzar eines que només imprimeixen quan l'usuari correcte és a la impressora (també conegut com a "Impressió Segueix-me").

La gestió de l'accés físic es coordina amb altres possibles mesures per evitar l'elusió de les restriccions d'accés físic, com ara guàrdies, portes reforçades, alarmes contra intrusos, sensors de moviment, alarmes de fallada de panys de portes, panys personals, etc.

20.3. Quan cal la mesura?

Segons l'article 32 RGPD, es tracta principalment d'una gestió de riscos que han d'indicar quines mesures són necessàries, ja que els riscos depenen en gran mesura de les circumstàncies específiques.

És una interacció entre mesures el que crea un nivell adequat de seguretat. Mesures com el xifratge dels suports de dades poden reduir la necessitat de seguretat física a l'oficina ia casa. D'altra banda, xifrar servidors pot resultar complicat i augmentar el risc d'indisponibilitat i pèrdua de dades, per la qual cosa es prioritza la seguretat física sobre el xifratge del servidor.

D'acord amb l'article 25 RGPD en desenvolupar, adquirir o actualitzar sistemes informàtics, la protecció de dades s'ha d'incorporar des del disseny i per defecte. Per tant, els sistemes informàtics per, per exemple, les targetes d'accés també s'han de seleccionar en funció de si poden minimitzar l'accés a les dades personals, per exemple, que el sistema informic pugui diferenciar entre l'accés a la sala de servidors, a la de connexions de xarxa, a l'oficina, zona d'atenció al client, sala d'impressores, fitxer de fitxers, recepció de mercaderies, etc.

21. ADAPTACIÓ DELS DRETS D'ACCÉS AMB EL CANVI DE FUNCIONS

21.1. Quins riscos s'hi aborden?

Quan hi ha canvis en les funcions d'una persona treballadora, es produeixen modificacions que afecten directament o indirectament l'accés a les dades personals. Quan ja no cal accedir als sistemes informàtics, cal eliminar-los, però això es pot oblidar donant accés a l'usuari durant més temps del necessari. Un accés més gran proporciona una major "superfície d'atac" per als actors maliciosos. Els accessos que ja no són necessaris suposen, per tant, un risc innecessari. Especialment quan s'alliberen els empleats, hi pot haver risc d'ús indegut de l'accés si no es tanquen immediatament. És per tant una mesura preventiva que pot reduir la probabilitat que hi hagi drets d'accés innecessaris al sistema informàtic que s'utilitzin de manera indeguda.

Un compte que ja no és utilitzat per l'usuari legítim també s'anomena "compte fantasma". Fins i tot si l'usuari legítim impedeix utilitzar el compte, per exemple bloquejant-lo, és possible que l'accés es continuï utilitzant indegudament. En eliminar aquests comptes d'usuari, es redueix la superfície d'atac, ja que s'evita que els ciberdelinqüents abusin d'un compte fantasma per obtenir drets d'accés. L'abús de "comptes fantasma" també pot passar durant un període de temps més llarg sense ser detectat, que en el cas de l'abús dels comptes que encara utilitza l'usuari legítim.

21.2. Quines mesures es poden considerar?

Els procediments o tècniques s'estableixen de manera que l'organització es veu obligada a reaccionar quan hi ha canvis en les funcions o en els llocs de treball, com ara canvi de tasques laborals, llicències, renúncies, acomiadaments, malalties de llarga durada i mort. Els canvis en les condicions laborals han de generar una notificació, per exemple, mitjançant un sistema de recursos humans. Alternativament, es pot establir un procediment fix, de manera que es cancel·lin els drets d'accés innecessaris. El procés ha de garantir el mateix alt enfocament en la terminació dels drets existents que en la creació d'altres de nous.

Es garanteix que l'empleat adequat rebi informació sobre el canvi per evitar situacions en què l'accés romangui obert després de la renúncia de l'empleat.

Alguns canvis en les condicions d'ocupació exigeixen que es fixi amb antelació un moment en què cal “hissar” una bandera i cal iniciar un procés especial; això s'aplica, per exemple, si una autorització de seguretat expira automàticament després de x anys amb la consegüent manca d'aprovació per accedir a determinades dades especialment classificades.

Les baixes per maternitat, per malaltia, etc. són situacions en què probablement cal eliminar l'accés, però com que és temporal, el tancament es produeix de manera diferent que en el cas de les baixes definitives. Per exemple, l'accés dels empleats a la intranet es pot mantenir perquè aquí es comparteix informació sobre activitats i informació sobre el desenvolupament de la feina. D'aquesta manera, l'empleat absent encara es pot sentir part del lloc de treball. Alhora, es tanca o desactiva temporalment l'accés dels empleats als sistemes en qüestió.

Amb la rotació interna, les tasques es poden canviar gradualment. En aquesta situació s'assegura un procediment o una automatització que provoca el tancament dels accessos quan ja no són necessaris.

Finalment, s'estableix un procediment especial per als sistemes perifèrics/externs que no es poden tancar a través d'una unitat centralitzada d'administració d'usuaris.

S'ha de considerar el següent quan cal eliminar o canviar els drets d'accés:

• L'empleat ha de tancar l'accés a sistemes externs, que altrament seria més difícil per als altres.
• Els empleats amb drets administratius els han de transferir ells mateixos a un altre empleat.
• Eliminació de dades en dispositius abans del lliurament i restabliment o provisió d'un codi perquè es pugui reutilitzar.
• Netejar comptes de correu electrònic, unitats de xarxa i especialment a llocs on només aquest empleat tenia accés, o netejar dades privades perquè el contingut del compte pugui estar disponible per a altres després de la baixa.
• Tancar l'accés a sistemes informàtics, bústies de funcions i sistemes informàtics externs.
• Inclusió de DNI, clauers, claus de portes/bústies/bastidors/..., tokens d'accés, PC, smartphone, memòries USB, discs durs, documents físics, etc.
• Canviar codis que es comparteixen entre múltiples usuaris (comptes multiusuari).
• Bloqueig d'accés mitjançant clauers, targetes d'accés, accés físic/panells d'alarma, cabines/caixes fortes.
• Reemplaçament / recodificació de panys (si la clau no està protegida contra còpia).
• Bloquejar l'accés remot als sistemes informàtics.
• Bloquejar l'accés amb certificats i possiblement amb els certificats.
• Cancel·lació de línia telefònica i d'internet corporatius, si se li permet quedar-se amb el telèfon, es presta una atenció especial al fet que no contingui dades de l'empresa i que s'aturi la sincronització de dades (normalment cites del calendari i correus electrònics).
• Eliminació de dades d'empleats que ja no siguin necessàries, per exemple, fotografia utilitzada per al document d'identitat o informació de la guia telefònica a la intranet.
• Les llistes de contactes internes s'actualitzen i els agents externs són informats d'aquests canvis (clients, empresa de seguretat, comercials, etc.), especialment si l'empleat pot continuar utilitzant el número de telèfon després de baixar.
• Revisió de lorganització demergències, titularitat del sistema, etc. si l'empleat estigui cobert per aquesta.
• Investigar si es produeix una dependència inadequada de les persones quan s'eliminen o es modifiquen els drets d'accés.

21.3. Quan cal la mesura?

De l'article 5.1.f RGPD es desprèn que en tractar dades personals s'ha de garantir una seguretat suficient, inclosa la protecció contra el tractament no autoritzat i il·lícit, eliminar l'accés redueix aquest risc, cosa que pot ser particularment important en situacions en què un empleat és acomiadat. En situacions molt especials, una gestió de riscos podrà demostrar que la mesura no és necessària si, per exemple, l'accés és únicament a dades personals disponibles públicament i l'ús indegut en forma de canvi/eliminació d'aquesta informació no pot fer malbé els interessats .

22. EVITAR LA REUTILITZACIÓ D'AUTORITZACIONS SENSE CONSIDERAR-LO ACTIVAMENT

22.1. Quins riscos s'hi aborden?

La renovació de les autoritzacions pot ser rellevant, per exemple, per a l'ocupació temporal repetida del mateix treballador temporal o consultor extern. L'autorització és atorgada pel responsable de l'autorització de conformitat amb una ocupació. Si l'autorització es reutilitza a la cita següent, sense que el responsable de l'autorització analitzi de nou quins drets d'accés són necessaris, es poden generar drets innecessaris que es poden fer servir indegudament. Es tracta, doncs, d'una mesura preventiva que pot reduir la probabilitat d'accés incorrecte.

22.2. Quines mesures es poden considerar?

S'estableixen procediments per garantir que, quan es renovin les autoritzacions, es faci una nova avaluació de la necessitat. Això garanteix que als usuaris no se'ls assignin drets innecessaris. La protecció es pot fer mitjançant procediments, sistemes informàtics o formularis utilitzats en relació amb l'administració d'usuaris.

22.3. Quan cal la mesura?

L'article 5.1.f RGPD tracta sobre la integritat i la confidencialitat de les dades personals. Com menys persones hi tinguin accés, més es redueix la probabilitat que alguns d'aquests usuaris puguin suposar un risc mitjançant accions accidentals o malicioses. Com menys accés tingui l'usuari individual, menors seran les possibles conseqüències si alguns d'aquests usuaris fan malbé les dades mitjançant accions accidentals o malicioses. Alhora, això també té un efecte protector davant les ciberamenaces, ja que un hacker sovint opera a través de drets d'accés a comptes d'usuari compromesos i, per tant, menys drets donen al hacker menys opcions. Per tant, els drets d'accés s'han de limitar el més possible.

23. EVITAR COPIAR DRETS D'ACCÉS SENSE CONSIDERAR-LO ACTIVAMENT

23.1. Quins riscos s'hi aborden?

Pot ser més fàcil crear nous usuaris copiant els drets d'accés d'un o existent, però això comportarà els riscos següents:

• Si hi ha errors als drets d'accés que es copien, es copiarà a un altre usuari.
• És possible que l'administrador d'autoritzacions no sigui conscient del que s'està copiant i, per tant, no consideri activament si cal copiar-ho tot.
• Els drets d'accés per a l'usuari existent poden canviar entre el moment de l'aprovació de l'administrador d'autorització i el moment de copiar els drets d'accés i, per tant, poden sorgir dubtes sobre el que s'ha aprovat. Per tant, poden sorgir dubtes sobre si l'administrador d'usuaris ha processat correctament la tasca o quins drets d'accés ha autoritzat realment l'administrador d'autoritzacions per copiar-los.
• Atès que la persona responsable de lautorització no indica específicament quins drets daccés shan de concedir, no és clar de què es pot responsabilitzar posteriorment a la persona responsable de lautorització si es concedeixen més drets daccés dels necessaris i es fan un ús indegut.

Aquests riscos es poden minimitzar gestionant rigorosament el procés dautorització i considerant activament els drets daccés. És una mesura preventiva que pot minimitzar la probabilitat de drets d'accés incorrectes.

23.2. Quines mesures es poden considerar?

S'ha d'emprar un procediment d'assignació mitjançant el qual els drets d'accés de l'usuari es "construeixin des de zero" i no se n'accepti la còpia. Alternativament, es pot fer una còpia controlada, tenint en compte els riscos abans esmentats, per exemple, considerant cada dret individual en un formulari per a cada usuari, que pot ser signat pel responsable de l'autorització. L?ús d?un formulari també garanteix la documentació i el procés promou la responsabilitat per part de la persona responsable de l?autorització.

23.3. Quan cal la mesura?

L'article 5.1.f RGPD tracta sobre la integritat i la confidencialitat de les dades personals. Com menys persones tinguin accés a les dades personals, més es redueix el risc que alguns d'aquests usuaris poden suposar mitjançant accions accidentals o malicioses. Com menys accés tingui l'usuari individual, menors seran les possibles conseqüències si alguns d'aquests usuaris fan malbé les dades mitjançant accions accidentals o malicioses. Alhora, això també té un efecte protector davant les ciberamenaces, ja que un hacker sovint opera a través de drets d'accés a comptes d'usuari compromesos i, per tant, menys drets donen al hacker menys oportunitats. Per tant, els drets d'accés s'han de limitar el més possible.

24. EVITAR L'ÚS INNECESSARI DE COMPTES MULTIUSUARI

24.1. Quins riscos s'hi aborden?

Els comptes multiusuari es caracteritzen per un accés que poden utilitzar diversos usuaris i, per tant, corresponen en realitat a un inici de sessió impersonal o anònim. Per tant, les accions realitzades no es poden atribuir a una sola persona física, cosa que limita la possibilitat de comprovar si un ús o accés específic a la informació està justificat. Es poden tractar, per exemple, de comptes d'usuari de prova, que són utilitzats successivament per diferents desenvolupadors, sense que quedi clar qui ha iniciat sessió i quan. Al sector sanitari, es pot tractar de l'accés a equips a sales d'exploració, on diversos grups d'especialistes estan amb un pacient alhora.

Els comptes multiusuari poden ser una temptació dabús. A més, les mesures de registre tindran poc o cap efecte preventiu contra l'abús si els usuaris saben que es poden amagar darrere d'un inici de sessió anònim.

Per tant, evitar o limitar lús de comptes multiusuari és una mesura preventiva que pot reduir la probabilitat dabús dels drets daccés. El benefici no es limita al mal ús deliberat, quan diverses persones comparteixen un inici de sessió, efectivament comparteixen la responsabilitat del tractament de dades personals que es duu a terme a través daquest inici de sessió, i quan diverses persones comparteixen la responsabilitat, el individu sovint sent menys o cap responsabilitat, aquest és un efecte psicològic. Finalment, l'accés anònim pot augmentar la probabilitat que els factors d'accés (per exemple, la contrasenya) no es manegin adequadament, per diverses raons:

• Les contrasenyes es poden compartir entre persones que no han estat autoritzades necessàriament. L'usuari individual no sent una gran responsabilitat de protegir la contrasenya perquè ja està compartida.
• Les contrasenyes no es poden canviar quan les persones abandonen el grup dusuaris i, per tant, ja no haurien de tenir accés.
• Les contrasenyes que l'usuari no ha triat per ell mateix solen ser més difícils de recordar i, per això, s'anoten.

24.2. Quines mesures es poden considerar?

Els sistemes i procediments informàtics estan configurats de manera que s'impedeixi en la mesura que sigui possible l'accés anònim, això significa que els factors d'accés (per exemple, contrasenyes) són personals i només els coneix l'usuari individual. Qualsevol compte de servei l'inici de sessió del qual estigui codificat en programari està protegit contra l'ús indegut.

Si els ID d'usuari es reutilitzen (es passen a una altra persona), es registra quan això passa, així, l'organització sap sempre qui ha pogut utilitzar aquest ID d'usuari en cada moment. Aquest sol ser el cas dels comptes d'usuari utilitzats per a proves o ocupació temporal (consultors externs, treballadors temporals, estudiants).

Si no és possible evitar que diverses persones comparteixin els factors de concessió d'accés, cal establir procediments que poden garantir que un canvi al grup d'usuaris també doni lloc a un canvi al factor de concessió d'accés. Això vol dir que només el grup d'usuaris actual pot iniciar sessió.

Un bon complement és la formació per als usuaris sobre com gestionar i protegir els factors daccés, de manera que lusuari sigui conscient que segueix sent responsable de les accions realitzades durant linici de sessió.

24.3. Quan cal la mesura?

En general, de l'article 5.1.f RGPD es desprèn que les dades personals s'han de tractar d'una manera que garanteixi la protecció contra el tractament no autoritzat o il·lícit. Una gestió de riscos segons l?article 32 RGPD mostrarà quines mesures són necessàries, ja que els riscos i les oportunitats depenen en gran mesura de les circumstàncies específiques. Com es pot veure en això, l'ús d'inicis de sessió anònims pot augmentar la probabilitat d'ús indegut deliberat, manca de sentit de responsabilitat i altres coses que resultin en un tractament de dades no autoritzat/il·lícit.

25. GESTIÓ DE CANVIS

25.1. Quins riscos s'hi aborden?

En cas de canvis en els entorns de TI, el programari, l'organització, els processos i els procediments de negoci, etc., poden produir-se errors. Els errors també poden passar en llocs d'un entorn de TI que no es veuen directament afectats per un canvi determinat, perquè els canvis desencadenen errors derivats als sistemes associats, o com a resultat de procediments que no s'adapten als canvis planificats en un entorn de TI.

Una bona gestió del canvi implica que es gestionin d?acord amb principis establerts. El que implica realment la gestió del canvi pot variar d'una situació a una altra, la clau és comptar amb procediments fixos per tractar i avaluar les conseqüències dels canvis planificats abans d'implementar-los. S'intenta anticipar els errors per evitar-los, però també per tenir un pla per fer front a les conseqüències si es produeixen errors en relació amb el canvi. Per tant, és una mesura amb moltes facetes. La manera com afecta els riscos depèn de quina part de la gestió del canvi s'estigui parlant.

Es poden produir errors, per exemple, si no es garanteix que les mesures existents es mantinguin en substituir el servidor, si es manté una restricció daccés a una carpeta duna unitat de xarxa que es trasllada a un altre servidor.

Altres errors poden sorgir a través de la integració entre sistemes de TI i processos automatitzats. En iniciar transferències de dades entre sistemes de TI, cal garantir, per exemple, que s'incloguin marques sobre noms modificats perquè la informació sobre noms protegits no s'exposi accidentalment en un altre sistema de TI.

Alguns exemples en què una millor gestió del canvi podria haver marcat la diferència:

• En relació amb un trasllat, l'escola envia una carta als pares, l'enviament es realitza automàticament, fins i tot si el nen viu amb un dels pares en una adreça protegida, però la direcció no s'omet, per la qual cosa es transmet inadvertidament informació sobre una adreça protegida. Això és perquè, en desenvolupar un nou sistema informàtic, no s'ha tingut prou en compte quines dades personals es tracten en el sistema informàtic i com es pot utilitzar aquesta informació en el nou. L'enviament de cartes s'ha automatitzat sense tenir en compte circumstàncies individuals al voltant de la protecció d'algunes de les dades personals tractades.
  
• Els pares separats amb custòdia compartida tenen l'oportunitat d'iniciar sessió en una solució perquè tots dos puguin accedir a les cartes sobre el fill comú. No es té en compte que l'altre progenitor no pot accedir a la informació sobre l'adreça protegida, que figura a les cartes.
• Un dels progenitors té una ordre de restricció contra les visites de laltre i el domicili del nen està protegit. Tot i això, s'envia un SMS als dos pares amb informació sobre on i quan el nen comú té cita en una clínica dental. L'error es deu a una errada en actualitzar les dades entre els sistemes de TI.
• Un formulari per canviar d'escola us permet ingressar un número de seguretat social, després d'això el sistema de TI envia automàticament un rebut als dos pares amb una adreça. El sistema no té en compte la protecció de la direcció, raó per la qual un dels pares pot obtenir injustificadament la direcció protegida de l'altre pare ingressant el número de seguretat social de l'altre pare al formulari.
• Una escola envia un SMS als pares biològics d'un nen sobre un esdeveniment escolar, encara que als pares biològics no se'ls permet saber el parador del nen. Això dóna als pares informació sobre quina escola assisteix el nen. Part del problema és la lentitud en lactualització entre els sistemes de TI i la manca de consideració de les freqüències dactualització. Manca una visió general de quins sistemes reben quines dades ia quina velocitat.
• Un pare sense pàtria potestat rep un SMS amb la direcció de lescola del nen, encara que la ubicació del nen està protegida. Es va deure a un error en la configuració d'un sistema informàtic, ja que es va fer una integració entre sistemes informàtics sense les proves necessàries.
• Es passa llesta a classe utilitzant un nom protegit, perquè les dades no provenen d'un dels sistemes escolars on el nom es reemplaça per un àlies, sinó que s'obtenen directament de CPD.
• Una mala codificació al sistema informàtic fa que no s'inclogui la indicació de protecció de direcció quan els expedients s'envien d'una autoritat a una altra. Això comporta el risc que l'autoritat receptora proporcioni per error informació sobre una adreça protegida, per exemple en lliurar documents del cas.

25.2. Quines mesures es poden considerar?

Es revela quines activitats de tractament es veuen afectades per un o més canvis planificats a l'entorn de TI. També es descobreix si el canvi pot afectar parts de lentorn o processos i aplicacions associades dels sistemes de TI afectats, que no són directament objecte del canvi en si. D'aquesta manera es pot determinar quines parts s'han de comprovar amb relació als canvis.

Es garanteix que tots els escenaris derror probables es descobreixin abans dimplementar el canvi, de la mateixa manera que els escenaris derror rellevants es proven en la mesura necessària. Tots els errors trobats s'avaluen en funció dels possibles riscos per als drets i les llibertats dels interessats i s'avalua, en particular pel DPO (si ha estat designat), si signifiquen que el canvi s'ha de posposar fins que es corregeixi l'error.

Comproveu si les mesures existents es mantenen en cas d'un canvi en el sistema. Entre altres coses el següent:

• Dur a terme proves que garanteixin que totes les mesures de control en un entorn de TI, que shan establert durant tota la vida de lentorn de TI romanen o es reemplacen per alguna cosa equivalent després dun canvi.
  
• Comprovar si s'està fent un registre al sistema informàtic que es modificarà. Aquest registre s'ha de provar immediatament després del canvi, de manera que es garanteixi que es continuï fent com s'esperava i que les dades s'emmagatzemin durant el temps suficient i puguin interpretar-se amb les directrius actuals o un sistema de TI associat. Si això no s'implementa, un canvi al sistema pot soscavar mesures com ara “Registre dels usos de dades personals per part dels usuaris i Registre d'accions de l'administrador d'usuaris”.
• Comproveu si el sistema informàtic a modificar inclou zones d'accés restringit. Si és així, s'implementen mesures per garantir que la gestió de drets actual continuï, s'interrompi o s'adapti a la mesura necessària, i les restriccions d'accés es proven immediatament després de la implementació dels canvis.
• La gestió de drets pot tenir lloc dins d'un grup reduït d'empleats que, per exemple, han optat per restringir l'accés a una carpeta a una unitat de servidor. És important descobrir i tenir en compte aquesta gestió descentralitzada de drets abans d'iniciar el canvi al sistema informàtic.
• Si utilitzeu una ARP/RPA (Automatització robòtica de processos /Robotic Process Automation) o similar, es comprova que els drets d'accés de l'usuari del robot segueixen vigents o si cal restringir-los.
  
• Si el canvi es refereix a l'accés directe a bases de dades, magatzems de fitxers i similars fora de les aplicacions habituals amb gestió de drets, cal garantir que la gestió de drets aplicable no es vegi afectada pel canvi. Això es pot passar per alt, especialment quan es passa de la prova a la producció. Normalment, com a màxim, l'administrador i possiblement el compte de servei podrien accedir directament a una base de dades.
• En el cas de la integració entre sistemes de TI, i especialment quan s'intercanvien dades activament, es descobreix el següent:
  • Si la freqüència dactualització és suficient.
  • Si es transfereixen suficients dades.
  • Si els canvis poden tenir un impacte en els requisits legals aplicables per al tractament, com per exemple si les dades es fan servir per a fins no autoritzats, s'emmagatzemen durant més temps del necessari, etc.
• Es presta atenció a si els canvis en la integració poden donar lloc a canvis no desitjats en els drets d'accés, amb el risc que, per exemple, es pugui accedir a més dades de les que haurien de fer o que les dades necessàries per gestionar el tractament d'altres dades hagin desaparegut. Això podria ser, per exemple, una situació en què s'experimenta un error en una connexió de comunicació amb una font de dades, per la qual cosa es canvia ràpidament a una font de dades alternativa. Tot i això, la font alternativa té dades desactualitzades, la qual cosa significa que s'utilitzen dades desactualitzades en els processos automatitzats.

25.3. Quan cal la mesura?

De l'article 32.1.b RGPD es desprèn que les mesures pertinents per garantir un nivell de seguretat adequat als riscos avaluats poden incloure la capacitat de garantir la confidencialitat, integritat, disponibilitat i resiliència dels sistemes i serveis de tractament.

La gestió de canvis sempre és rellevant per a un entorn de TI, programari, organització, processos de negoci, etc., encara que el desenvolupament no es dugui a terme internament. En el cas de TI subcontractada, els requisits per a la gestió de canvis es poden incloure als contractes de TI i els acords de tractament de dades. La gestió del canvi també pot ser rellevant per a canvis en els procediments i lorganització.

A continuació es mostren alguns exemples d'escenaris on la gestió del canvi ha d'estar sota control:

• Si l'organització, possiblement en col·laboració amb un encarregat del tractament, fa canvis en els sistemes de TI, procediments de treball, etc., aleshores l'article 32.1.b RGPD és rellevant, com qualsevol canvi en els sistemes de TI, procediments de treball , etc. .pot introduir errors que afectin la confidencialitat, integritat, disponibilitat o resiliència.
• Canviar un sistema de TI pot introduir errors si fa que els procediments de treball ja no s'ajustin al sistema de TI. Per contra, els canvis en els procediments s'han de fer comprenent com funciona el sistema de TI, perquè no introdueixi errors.
• Els canvis a l'organització també poden introduir errors si se'ls assigna als nous empleats un treball per al qual no han estat capacitats adequadament o que està lluny de l'àrea d'enfocament normal de l'empleat. sistema, que no és intuïtiu, en què l'empleat no està capacitat o que no està protegit contra errors de l'usuari.

Això mostra que el desenvolupament/canvi tant dels sistemes, procediments i organització de TI s'ha de fer amb un enfocament en la seguretat del tractament, i que el sistema, els procediments i l'organització de TI han d'encaixar. L'article 25 RGPD té com a objectiu garantir que la protecció de dades estigui pensada des del disseny, i no només en el disseny dels sistemes informàtics, sinó també en el de l'organització i els processos/procediments de treball de l'organització.