3. 11/06/2015 3
El Origen
Noticias de la Realidad
Disposiciones de la DNPDP
Bancos de Datos
#Ciberseguridad
#GuíasDeSeguridad
Preguntas
FORUM – Congreso de Seguridad de la
Información
4. 11/06/2015 4
FORUM – Congreso de Seguridad de la
Información
Advertencia
Referencias:
http://www.urgente24.com/sites/default/files/notas/2014/11/15/abogados.jpg
5. 11/06/2015 5
FORUM – Congreso de Seguridad de la
Información
El Origen
Allá lejos y hace tiempo
Referencias Internacionales
• Ley Orgánica Protección de Datos (LOPD).
• Agencia Española de Protección de Datos (AEPD).
Decreto 1558/2001
• Reglamenta Ley 25326 (hace 14 años).
• Creación Dirección Nacional de Protección de Datos Personales.
Ley 25326
• Órgano de Control DNPDP
• Derechos y Obligaciones.
• Registro de Bancos de Datos Personales
• Disposiciones Complementarias
Referencias:
http://www.jus.gob.ar/media/33382/Decreto_1558_2001.pdf
http://www.agpd.es
6. 11/06/2015 6
FORUM – Congreso de Seguridad de la
Información
Archivo, registro, base o banco de datos
• Indistintamente, designan al conjunto organizado de datos personales que sean
objeto de tratamiento o procesamiento, electrónico o no (puede ser en papel),
cualquiera que fuere la modalidad de su formación, almacenamiento, organización
o acceso (art. 2 de la Ley Nº 25.326).
Datos Informatizados
• Los datos personales sometidos al tratamiento o procesamiento electrónico o
automatizado
Referencias:
http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
El Origen (Cont.)
Definiciones
7. 11/06/2015 7
FORUM – Congreso de Seguridad de la
Información
El Origen (Cont.)
Definiciones
Datos Personales
• Información de cualquier tipo referida a personas físicas o de existencia ideal
determinadas o determinables (art. 2 de la Ley Nº 25.326)
Datos Sensibles
• Datos personales que revelan origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e información
referente a la salud o a la vida sexual (art. 2 de la Ley Nº 25.326).
Consentimiento del interesado
• Toda manifestación de voluntad, libre, expresa e informada, mediante la cual el
titular autorice el tratamiento de sus datos personales (art. 5 de la Ley Nº 25.326).
Referencias:
http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
8. 11/06/2015 8
FORUM – Congreso de Seguridad de la
Información
El Origen (Cont.)
Algunos Derechos
Derecho de Acceso
• Permite al titular del dato saber si se encuentra o no incluido en un banco de datos;
todos los datos relativos a su persona incluidos en ese banco de datos; la finalidad
del tratamiento y los eventuales cesionarios de la información.
• Respuesta 10 días corridos.
Derecho al Olvido
• Derecho del titular del dato personal a que se suprima información personal que se
considera obsoleta por el transcurso del tiempo o que, de alguna manera, afecta el
libre desarrollo de alguno de sus derechos fundamentales.
Derecho de rectificación, actualización y supresión
• Permiten corregir la información falsa, errónea, incompleta o incorrecta existente en
una base de datos
Referencias:
http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
9. 11/06/2015 9
FORUM – Congreso de Seguridad de la
Información
El Origen (Cont.)
Algunos Roles y Responsabilidades
Tratamiento de Datos
• Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la
recolección, conservación, ordenación, almacenamiento, modificación,
relacionamiento, evaluación, bloqueo, destrucción y en general, el procesamiento
de datos personales así como también, su cesión a terceros a través de
comunicaciones, consultas, interconexiones o transferencias (art. 2 de la Ley Nº
25.326).
Consentimiento del interesado
• Toda manifestación de voluntad, libre, expresa e informada, mediante la cual el
titular autorice el tratamiento de sus datos personales (art. 5 de la Ley Nº 25.326).
Responsable de archivo, registro, base o banco de datos
• Persona física o de existencia ideal pública o privada, que es titular de un archivo,
registro, base o banco de datos (art. 2 de la Ley Nº 25.326).
Referencias:
http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
10. 11/06/2015 10
FORUM – Congreso de Seguridad de la
Información
Noticias de la Realidad
Riesgos de
Terceras Partes
Falta de
Preparación para
Responder a
Incidentes
Configuraciones
Inseguras
Intercambio
Inseguro de
Información
11. 11/06/2015 11
FORUM – Congreso de Seguridad de la
Información
Disposiciones DNPDP
¿Qué hay que saber?
La Dirección Nacional de Protección de Datos Personales establece Disposiciones
Complementarias que establecen requisitos de cumplimiento a los distintos artículos de la
Ley 25326.
• Disposición
10/08
Leyendas Derecho
de Acceso
• Disposición
12/08
ISOLOGO
• Disposición
07/08
Política de
Privacidad
• Disposición
04/09
Derecho de Acceso
Comunicación
Fines Publicitarios
• Disposición
07/08
Acuerdo de
Confidencialidad
• Disposición
11/06
Medidas de
Seguridad
• Disposición
09/15
Sanciones
12. 11/06/2015 12
FORUM – Congreso de Seguridad de la
Información
Disposiciones DNPDP
¿Qué impacto tienen?
Deben estar disponibles,
según el caso, en todo tipo de
comunicación con el titular de
los datos.
• Sitio Web
• IVR
• Atención al Cliente
• Comunicaciones Electrónicas
• Correo Postal
• Etc.
Deben contar con
procedimientos
implementados para su
cumplimiento
• Derecho de Acceso
• Sanciones/Punitorios/Quejas
• Respuesta a Incidentes
Establecen Requisitos Técnicos
y Administrativos
• Se deben establecer
controles de seguridad que
garanticen su
Confidencialidad,
Disponibilidad e Integridad.
Empresa Responsable de Custodia
Cesión a
Terceros
Tratamiento
Transferencia
Internacional
Uso en base a
Finalidad
declarada
El dueño de
los datos es
el titular.
13. 11/06/2015 13
FORUM – Congreso de Seguridad de la
Información
Bancos de Datos
¿Qué bancos de datos solemos tener?
• Según el tipo de dato podrían ser sensibles. Por ej: exámenes
médicos, afiliación sindical, etc.RRHH
• Según el tipo de dato podrían ser sensibles. Por ej: exámenes
médicos, afiliación sindical, etc.Clientes
• Suelen ser datos personalesProveedores
• Suelen ser datos personales
• Nueva Disposición 10/15Videovigilancia
• Según el tipo de diálogo que se mantenga podrían ser datos
sensibles. Es poco frecuente.
• Relación con PCI-DSS.
Llamadas de Voz
14. 11/06/2015 14
FORUM – Congreso de Seguridad de la
Información
Bancos de Datos
Requisitos Básicos
Registro del
Banco de
Datos
Formulario
Asociado
Finalidad de
los Datos
Descripción
del Motivo
por el cual
se solicitan
los datos
Responsables
del Banco de
Datos
Persona de
Contacto
Principal
para el
Ejercicio de
Derechos
Medidas de
Seguridad
Disposición
11/2006
•Nivel Básico
•Nivel Medio
•Nivel Crítico
15. 11/06/2015 15
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
¿Cómo cumplimos el marco legal vigente?
16. 11/06/2015 16
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
¿Cómo cumplimos el marco legal vigente? (Cont.)
17. 11/06/2015 17
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
¿Cómo cumplimos el marco legal vigente? (Cont.)
• Involucramiento
de todas las áreas
• Adecuación
Procesos
• Medir
• Ajustar
• Mantener en el
Tiempo
• Alcance
• Fases
• Cambio Cultural
• Sponsor
• Recursos
• Compromiso
Decisión
Política
Proyecto
Todos
Mejora
Continua
18. 11/06/2015 18
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
¿Cómo cumplimos el marco legal vigente? (Cont.)
Framework de Referencia – ISO 27001 (SGSI – PDCA)
Alcance
Procesos
Enfoque Basado
En Riesgos
Inventario
Activos
Requisitos de
Seguridad
19. 11/06/2015 19
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
¿Cómo cumplimos el marco legal vigente? (Cont.)
Framework de Referencia – ISO 27001 (SGSI – PDCA) / ISO 27005
Saber
Qué
Tenemos
Saber
Cuánto
Vale
Saber
Dónde
Está
Saber Qué
Debe
Cumplir
Saber Qué
le puede
pasar
20. 11/06/2015 20
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
¿Cómo cumplimos el marco legal vigente? (Cont.)
Framework de Referencia – ISO 27001 (SGSI – PDCA)
ISO 27001
PCI DSS / Sarbanes Oxley
BCRA 4609
BCRA 5374
Disposición
N°11/2006 DNPDP
Leyes y Regulaciones
Clientes y/o Mercado
Requerimientos Propios
21. 11/06/2015 21
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
¿Cómo cumplimos el marco legal vigente? (Cont.)
Framework de Referencia – ISO 27001 (SGSI – PDCA)
Políticas
Normas
Procedimientos
Instructivos
Guías
22. 11/06/2015 22
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
Controles de Seguridad – Requerimiento
Artículo 9
• El responsable o usuario del archivo de datos debe
adoptar las medidas técnicas y organizativas que
resulten necesarias para garantizar la seguridad y
confidencialidad de los datos personales, de modo de
evitar su adulteración, pérdida, consulta o tratamiento
no autorizado, y que permitan detectar desviaciones,
intencionales o no, de información, ya sea que los
riesgos provengan de la acción humana o del medio
técnico utilizado.
• Queda prohibido registrar datos personales en archivos,
registros o bancos que no reúnan condiciones técnicas
de integridad y seguridad.
23. 11/06/2015 23
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
Controles de Seguridad – Disposición N° 11/2006 DNPDP
Nivel Básico
Nivel Medio
Nivel Crítico
24. 11/06/2015 24
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
Controles de Seguridad – Descripción Nivel Básico
Nivel
Básico
•Los archivos, registros, bases y bancos de
datos que contengan datos de carácter
personal deberán adoptar las medidas de
seguridad calificadas como de Nivel
Básico.
25. 11/06/2015 25
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
Controles de Seguridad – Descripción Nivel Medio
Nivel
Medio
•Los archivos, registros, bases y bancos de
datos de las empresas privadas que
desarrollen actividades de prestación de
servicios públicos, así como los archivos,
registros, bases y bancos de datos
pertenecientes a entidades que cumplan
una función pública y/o privada que, más
allá de lo dispuesto por el artículo 10 de la
Ley N° 25.326, deban guardar secreto de
la información personal por expresa
disposición legal (v.g.: secreto bancario).
Suma Medidas
de Nivel Básico
26. 11/06/2015 26
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
Controles de Seguridad – Descripción Nivel Crítico
Nivel
Crítico
•Los archivos, registros, bases y bancos de
datos que contengan datos personales,
definidos como "datos sensibles”
Suma Medidas
de Nivel
Medio
27. 11/06/2015 27
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
Controles de Seguridad – Mapeo Disp. N°11/2006 DNPDP vs ISO 27002
Ejemplos
Nivel de las
Medidas de
Seguridad
Requisito Control de Seguridad ISO 27002
Básico Funciones y obligaciones del personal.
8.1.1 Funciones y
Responsabilidades
Básico Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan. 7.1.1 Inventario de Activos
Básico Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan.
7.2.1 Directrices de
Clasificación
Medio El Instructivo de seguridad deberá identificar al Responsable (u órgano específico) de Seguridad.
6.1.3 Asignación de
Responsabilidades de
Seguridad de la Información
Medio
Realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes
en materia de seguridad para datos personales.
15.3 Consideraciones de
Auditorias de Sistemas
Medio
Realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes
en materia de seguridad para datos personales.
15.2.2 Verificación de la
Compatibilidad Técnica
Medio Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
11.2.3 Gestión de Contraseñas
del Usuario
28. 11/06/2015 28
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
Controles de Seguridad – Mapeo Disp. N°11/2006 DNPDP vs ISO 27002
Ejemplos
Crítico
Distribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal —incluidas
las copias de respaldo—, se deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no
puedan ser leídos o manipulados durante su transporte.
12.3.1 Política de Utilización de
Controles Criptográficos
Crítico
Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió,
cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado
se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de
accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el
término de un TRES (3) años.
10.10.1 Registro de Auditoria
Crítico
Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió,
cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado
se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de
accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el
término de un TRES (3) años.
10.10.4 Sincronización de
Relojes
Crítico
Copias de respaldo: además de las que se mantengan en la localización donde residan los datos deberán implementarse
copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de
seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un
procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no
operativo el/los equipos de procesamiento habituales.
10.8.3 Seguridad de los Medios
en Tránsito
Referencias: Controles de Seguridad para Bases de Datos Personales
https://drive.google.com/open?id=0B-dOuFrfxS0SbE1pRWs5enA0Um8&authuser=0
29. 11/06/2015 29
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
Mapeo PCI-DSS vs BCRA 4609 vs BCRA 5374 vs Disp. N°11/2006 DNPDP vs ISO 27002
PCI-DSS
•Monitoree y analice las
alertas y la información
de seguridad y
comuníquelas al
personal
correspondiente.
•Establezca, documente
y distribuya los
procedimientos de
escalamiento y
respuesta ante
incidentes de seguridad
para garantizar un
manejo oportuno y
efectivo de todas las
situaciones.
BCRA 4609
•Los incidentes y
debilidades en materia
de seguridad deben
registrarse y
comunicarse
inmediatamente a
través de adecuados
canales de información,
con el objeto de analizar
sus causas e
implementar mejoras en
los controles
informáticos a fin de
evitar su futura
ocurrencia.
BCRA 5374
•Gestión de Incidentes.
Complementariamente
a lo indicado en el punto
6.2.5., las entidades
deben arbitrar los
esfuerzos necesarios
para contar en sus
organizaciones o a
través de terceros bajo
coordinación y control
propio, con equipos de
trabajo especializado en
la atención, diagnóstico,
análisis, contención,
resolución, escalamiento
e informe de los
incidentes de seguridad.
Disp. N°11/2006
DNPDP
•Notificación, gestión y
respuesta ante los
incidentes de seguridad.
ISO 27002
•Garantizar que los
eventos de seguridad de
la información y las
debilidades asociadas a
los sistemas de
información se
comuniquen de forma
tal que se apliquen las
acciones correctivas en
el tiempo correcto.
30. 11/06/2015 30
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
Resumen de Controles
•Roles y Responsabilidades
•Clasificación de Activos
•Configuraciones Seguras
•Monitoreo
•Respuesta a Incidentes
•Concientización
•Resguardo y Recupero
•Cifrado
•Control de Cambios
•Separación de Ambientes
•Segregación de Funciones
•Derechos de Acceso, Rectificación, Supresión
•Etc.
31. 11/06/2015 31
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
Recomendaciones Finales
• Recursos
• Compromiso
Obtener Apoyo
• Qué datos se utilizan
• Donde y Cómo
Conocer el Entorno
• Por qué? Por qué? Por qué? Por qué? Por qué?
Desafiar Todo
32. 11/06/2015 32
FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad
Recomendaciones Finales (Cont.)
• Definirlo Adecuadamente
• Aislarlo
Alcance
• Borrar es mejor que cifrar
• Respetar “Necesidad de Conocer”
Datos Personales
• Garantizar durante todo el ciclo de vida.
• Medir y Mejorar
#Ciberseguridad