AEPD: Metodología para el modelo de amenazas

METODOLOGÍA PARA EL MODELADO DE AMENAZAS PARA LA PRIVACIDAD Y LA PROTECCIÓN DE DATOS

Acceso a la nota técnica en la página de la AEPD: https://www.aepd.es/guias/nota-tecnica-introduccion-a-liine4du-1-0.pdf

La gestión de riesgos consiste en pensar en el futuro y plantear potenciales problemas (amenazas) antes de que se conviertan en problemas reales (incidentes).

Se trata de un proceso proactivo en el que hay que identificar, evaluar y priorizar los riesgos para después coordinar esfuerzos y decisiones para minimizar, monitorizar y controlar su probabilidad o impacto. Este proceso permite incluso tomar decisiones sobre si llevar a cabo o no la actividad si se considera que el riesgo involucrado es inaceptable o no se puede gestionar.

El modelado de amenazas es un proceso estructurado para identificar por adelantado posibles vulnerabilidades de seguridad, es decir lo podíamos considerar como un ejercicio para encontrar vulnerabilidades de seguridad en un sistema de información.

La Agencia ha publicado una nota técnica con una nueva metodología para el modelado de amenazas para la privacidad y la protección de datos, orientado a responsables, encargados, personas delegadas de protección de datos y profesionales de la protección de datos.

En la nota técnica la AEPD se centra en el modelado de amenazas para la privacidad, el proceso sistemático de identificación, comprensión y comunicación de amenazas, y sus correspondientes métodos de prevención. El modelado de amenazas para la privacidad implica comprender, de manera sistemática, lo que puede salir mal mediante un enfoque proactivo y estructurado.

Si bien la metodología LINDDUN es un marco sólido y maduro para el modelado de amenazas para la privacidad, la AEPD ha encontrado algunos inconvenientes al usarlo específicamente para ayudar con el cumplimiento del RGPD y realizar una EIPD.

Por ello, se ha propuesto el nuevo marco LIINE4DU, basado en LINDDUN, pero centrado en la protección de los derechos y libertades. Las categorías de amenazas identificadas son diferentes y de ahí el nuevo acrónimo. Algunas categorías son coherentes con el enfoque de LINDDUN y otras han sido modificadas o añadidas para alinearlas con el objetivo principal del nuevo marco: la protección de datos, el cumplimiento normativo y la protección de los derechos y libertades individuales en el contexto de las EIPD.

El contenido de la nota es el siguiente:

  1. Resumen ejecutivo
  2. Términos y definiciones
  3. Introducción
  4. Modelado de amenazas para la privacidad
    • Amenazas para los derechos y libertades de las personas
    • Modelado de amenazas para la privacidad y el RGPD
  5. Antecedentes
  6. La propuesta de la AEPD
  7. Siguientes pasos
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.