A continuación veremos cómo puedes utilizar la plantilla de evaluación de riesgos para apoyar tu cumplimiento del RGPD.
¿Cómo utilizar la plantilla de evaluación de riesgos?
Como parte de tu trabajo de cumplimiento del RGPD, ya deberías haber trazado un mapa de todas tus actividades de tratamiento y de los activos utilizados para estas actividades. Esto significa que has enumerado dónde y cómo se tratan los datos personales, y qué sistemas, software o herramientas están implicados. Este mapeo es la base de tu cumplimiento del RGPD, y también de tu evaluación de riesgos.
El objetivo de una evaluación de riesgos es determinar si el tratamiento de datos personales es seguro para las personas cuyos datos tratas, y garantizar que tu organización cuenta con las medidas adecuadas para protegerlas. Para ello, tienes que evaluar los riesgos relacionados con cada actividad o activo de tratamiento.
Mira la plantilla en acción en el siguiente vídeo.
¿Qué actividad/activo estás evaluando?
Empieza por seleccionar una actividad de tratamiento o un activo de tu cartografía para que sea el centro de la evaluación de riesgos. En este ejemplo, utilizaremos un activo llamado Base de datos de clientes, que también figura en la primera fila de la plantilla Excel de evaluación de riesgos. Esta base de datos de clientes contiene datos personales sobre los clientes, como nombres, datos de contacto e historial de compras o transacciones.
Identificar las amenazas
El primer paso de la evaluación es identificar las amenazas potenciales que podrían afectar al activo.
En nuestro ejemplo, identificamos una única amenaza: el acceso no autorizado a la base de datos de clientes. Esta amenaza podría tener un efecto negativo sobre los tres principios clave de la seguridad de la información, lo que se denomina la tríada CIA, que significa Confidencialidad, Integridad y Disponibilidad. La confidencialidad se refiere a garantizar que los datos personales sólo sean accesibles a las personas autorizadas. Si un empleado interno, o una persona ajena, sin la debida autorización accede a los datos personales de la base de datos, se rompe la confidencialidad. La integridad significa que los datos deben permanecer exactos e inalterados, por lo que debemos poder confiar en la integridad de los datos. Si un atacante manipula o borra registros de la base de datos, se pierde la integridad. La disponibilidad significa que los datos deben ser accesibles cuando se necesiten para fines legítimos. Si el sistema se bloquea, se encripta o se desconecta, la disponibilidad se ve afectada. Así pues, esta amenaza de «acceso no autorizado a la base de datos de clientes» puede afectar a los tres elementos de la tríada CIA.
Identificar vulnerabilidades
A continuación, tienes que identificar cualquier vulnerabilidad que haga más probable que se produzca esta amenaza. Una vulnerabilidad es un punto débil en tu sistema, proceso, comportamiento de las personas o controles que podría ser explotado. En este ejemplo, identificamos los controles de acceso débiles como una vulnerabilidad central. Esto podría significar que no todos los usuarios tienen inicios de sesión únicos, que las contraseñas no son suficientemente seguras o que los derechos de acceso no se revisan periódicamente.
Evaluar el impacto de una amenaza
Tras identificar la amenaza y la vulnerabilidad, puedes evaluar el impacto y la probabilidad de que se produzca la amenaza. El impacto describe lo graves que serían las consecuencias para los interesados si se produjera la amenaza. Si una persona no autorizada accediera a la base de datos de clientes, podría exponer información personal y datos financieros. Esto podría dar lugar a usurpaciones de identidad, fraudes u otros perjuicios para los interesados. Por este motivo, calificamos el impacto como alto.
Evaluar la probabilidad de una amenaza
La probabilidad describe lo probable que es que la amenaza se produzca realmente. Dado que hemos identificado controles de acceso débiles, es realista que pueda producirse un acceso no autorizado. Por tanto, evaluamos la probabilidad como media.
Nivel de riesgo
Ahora que tenemos tanto una clasificación de impacto como de probabilidad, podemos calcular una puntuación de riesgo. Para hacerlo de forma sencilla, podemos asignar números a cada nivel: bajo equivale a 1, medio equivale a 2 y alto equivale a 3. La puntuación de riesgo se calcula multiplicando el impacto por la probabilidad. En nuestro ejemplo, el impacto es alto (3) y la probabilidad es media (2), lo que da como resultado una puntuación de riesgo de 6.
Esta puntuación numérica te permite comparar los riesgos en toda tu organización. Por ejemplo, puedes ver qué riesgos son más críticos y cuáles pueden gestionarse con las medidas existentes. En este caso, una puntuación de 6 se considera alta. Esto significa que el riesgo debe reducirse hasta alcanzar un nivel aceptable antes de que el tratamiento pueda considerarse adecuadamente protegido.
Medidas de reducción del riesgo
Para reducir el riesgo, debes examinar qué controles tienes ya establecidos y qué medidas adicionales pueden adoptarse.
En nuestro ejemplo, ya tenemos implantado un control de acceso basado en funciones, lo que significa que sólo los empleados con funciones laborales específicas tienen acceso a la base de datos de clientes. Esto ayuda a garantizar que sólo el personal pertinente pueda ver y gestionar los datos de los clientes. Sin embargo, podría ser útil revisar esta medida dadas las vulnerabilidades identificadas. Además, como el riesgo sigue siendo alto, decidimos añadir la autenticación multifactor (MFA). La AMF añade un paso adicional al iniciar sesión, como un código de verificación en un dispositivo móvil, y reduce significativamente la probabilidad de que alguien pueda obtener acceso no autorizado.
Aplicación de controles
Cada medida de reducción del riesgo debe tener un responsable claramente definido y un plazo de aplicación. Esto garantiza la rendición de cuentas y permite realizar un seguimiento para confirmar que las medidas se han aplicado eficazmente. Estos detalles pueden registrarse fácilmente en la plantilla de Excel, en las columnas correspondientes a «Persona responsable» y «Plazo».
Actualiza
Al utilizar esta plantilla de evaluación de riesgos, haces que tu proceso de cumplimiento del RGPD sea estructurado y transparente. Obtendrás una visión general de todos los riesgos identificados, documentarás tus razonamientos y decisiones, y demostrarás que trabajas activamente para proteger los datos personales que tratas.
La plantilla también facilita la revisión y actualización periódicas de tus evaluaciones de riesgos. A medida que tu organización crece o tus actividades de tratamiento cambian, puedes actualizar la hoja, añadir nuevos riesgos y registrar cómo se han reducido los riesgos existentes con el tiempo. Este proceso continuo te ayuda a mantener un enfoque coherente de la protección de datos y documenta tus esfuerzos para reducir el riesgo, que es un requisito para el cumplimiento del RGPD.
Descargar plantilla de evaluación de riesgos en Excel
Descarga el archivo Excel con la Plantilla de evaluación de riesgos para empezar a utilizarla en tu cumplimiento del RGPD.
Es una sencilla hoja de Excel en la que puedes hacer una lista de tus actividades y activos de tratamiento, anotar las amenazas y vulnerabilidades relacionadas, y registrar tus puntuaciones y acciones. Te ayuda a llevar un registro de lo que necesita atención, quién es responsable y cuándo deben hacerse las cosas. La plantilla es fácil de ajustar a tu propia configuración, por lo que puedes hacer que se adapte a tu organización. Descárgala a continuación y pruébala.
