Impacto: ese concepto del que todo el mundo habla.
La gestión del riesgo está al orden del día y muy arraigada a dicha gestión se encuentra todo lo relativo a la evaluación / estimación de impacto. Estos términos ya incluidos en la legislación vigente en materia de seguridad (ENS, LPIC,…) también forman parte de las Directivas y Reglamentos europeos que están a la vuelta de la esquina (RGPD y NIS).
En un escenario ideal, el significado, interpretación, uso y criterios para su cálculo sería homogéneo y aplicable a todos los ámbitos por igual, pero como ya sabemos, la realidad dista mucho de éste escenario utópico.
Como los ámbitos son distintos y para no mezclar churras con merinas, hemos recopilado las menciones al “impacto” para cada una de las leyes previamente referidas, con la intención de evitar confusiones en nuestros lectores cuando se refieran a dicho término y, procurando, que esta entrada sirva de índice de consulta rápida cuando nuestro quehacer requiera la realización de una evaluación de impacto. Sin más dilación, veamos qué se dice del “impacto” y para qué lo utilizaremos, en cada uno de los casos:
1. RGPD (Reglamento General de Protección de Datos – Reglamento (UE) 2016/679)
El RGPD requiere que se realice una Evaluación de Impacto como parte del proceso dirigido a reducir los riesgos que pudieran afectar a los derechos y libertades de las personas físicas:
Los requisitos sobre cómo llevar a cabo este proceso quedan descritos en el Artículo 35. Evaluación de impacto relativa a la protección de datos y ampliados en la Guía para la Evaluación de Impacto en la Protección de datos Personales emitida por la AEPD (aspectos tratados en profundidad en este blog anteriormente).
No obstante, por suerte o por desgracia, ni el Reglamento ni la Guía previamente referidas describen con detalle qué criterios seguir a la hora de realizar dicha evaluación, tal y como se describe en esta última:
2. ENS (Esquema Nacional de Seguridad – Real Decreto 3/2010)
En el contexto del ENS haremos uso del impacto para categorizar los sistemas de información. Se refiere a este aspecto el Artículo 43. Categorías en el que se precisa que la valoración de impacto se deberá realizar teniendo en cuenta las distintas dimensiones de la seguridad.
anterior se efectuará en función de la valoración del
impacto que tendría un incidente que afectara a la
seguridad de la información o de los servicios con perjuicio
para la disponibilidad, autenticidad, integridad,
confidencialidad o trazabilidad, como dimensiones de
seguridad, siguiendo el procedimiento establecido en el
Anexo I.
Estas quedan ampliadas en el Anexo I del reglamento y, con mucho más detalle, encontramos el desglose de criterios en la Guía CCN-STIC-803 Esquema Nacional de Seguridad: valoración de los sistemas.
3. LPIC (Ley de Protección de Infraestructuras Críticas)
En el caso de LPIC cobra especial importancia el impacto ya que forma parte del criterio para determinar si una infraestructura es crítica o no lo es, tal y como se recoge en el Artículo 2. Definiciones de la propia Ley.
cuyo funcionamiento es indispensable y no permite
soluciones alternativas, por lo que su perturbación
o destrucción tendría un grave impacto sobre los
servicios esenciales.
Además, a la hora de determinar la criticidad, gravedad y las consecuencias de la destrucción de una infraestructura crítica, se debe tener en consideración el impacto en distintos ámbitos como pueda ser el económico, medioambiental o público y social:
- El número de personas afectadas, valorado en función del número potencial de víctimas mortales o heridos con lesiones graves y las consecuencias para la salud pública.
- El impacto económico en función de la magnitud de las pérdidas económicas y el deterioro de productos y servicios.
- El impacto medioambiental, degradación en el lugar y sus alrededores.
- El impacto público y social, por la incidencia en la confianza de la población en la capacidad de las Administraciones Públicas, el sufrimiento físico y la alteración de la vida cotidiana, incluida la pérdida y el grave deterioro de servicios esenciales.
4. NIS (Directiva de Ciberseguridad – Directiva (UE) 2016/1148)
La Directiva NIS tiene como objeto establecer unas medidas de seguridad que garanticen un nivel común de seguridad de las redes y sistemas de la información en la Unión Europea.
Algunos requisitos sólo son de aplicación en caso de que los incidentes de seguridad tengan un efecto perturbador significativo, y esto viene determinado por el impacto del incidente:
Adicionalmente, la Directiva NIS establece los factores a considerar a la hora de determinar si el impacto de un incidente es o no significativo.
un incidente es significativo se tendrán en cuenta,
en particular, los siguientes parámetros:
- el número de usuarios afectados por el incidente,
en particular los usuarios que dependen del servicio
para la prestación de sus propios servicios; - la duración del incidente;
- la extensión geográfica con respecto a la zona
afectada por el incidente; - el grado de perturbación del funcionamiento
del servicio; - el alcance del impacto sobre las actividades
económicas y sociales.
Llegado a este punto, hemos podido comprobar que los factores a considerar para calcular el impacto son particulares a cada referencial, sin embargo, sí se aprecian aspectos comunes en algunos casos que pueden permitir a una organización establecer unas líneas maestras para realizar la valoración de impacto (impacto económico, usuarios / personas afectadas, etc.).
Por último, cabe señalar que no toda la normativa previamente referida afectará a nuestra organización, pero es posible que adicionalmente sí debamos cumplir requisitos derivados de otros estándares o normas sectoriales. Dada esta situación, esperamos que la presente entrada nos haya permitido familiarizarnos con los aspectos comunes y particulares a considerar para realizar la valoración de impacto en función del ámbito en el que nos encontremos.
Un saludo.
[Sobre Samuel Segarra]