Promiscuidad datos, Outsourcing e impacto en LFPDPPP
1. La promiscuidad de datos en la era
digital y su impacto en LFPDPPP
Alberto Ramírez Ayón, CISM, CISA, CRISC, CBCP
2. La computadora más segura
La computadora más segura, es
aquella que está apagada,
desconectada de la red, enterrada
en un bunker 3 metros bajo tierra y
custodiada por guardias en un
desierto lejano…
…es la más segura, pero la
más inútil.
2
3. Información CIAT
Los tres aspectos básicos de la seguridad de la información son:
• Confidencialidad, asegurar que sólo quienes estén autorizados
pueden acceder a la información;
• Integridad, asegurar que la información y sus métodos de proceso
son exactos y completos solo el personal autorizado sea capaz de
modificar la información o recursos de cómputo
• Disponibilidad, asegurar que los usuarios autorizados tienen
acceso a la información y a sus activos asociados cuando lo
requieran
Trazabilidad, posibilidad de
identificar el origen y las
diferentes etapas de un proceso
3
4. LFPDPPP - Definiciones
Titular: La persona física a quien corresponden los datos personales
Responsable: Persona física o moral de carácter privado que decide
sobre el tratamiento de los datos personales
Encargado: La persona física o jurídica que sola o conjuntamente con
otras trate datos personales por cuenta del responsable
Tercero: La persona física o moral, nacional o extranjera, distinta del
titular o del responsable de los datos.
Tratamiento: La obtención, uso, divulgación o almacenamiento de datos
personales, por cualquier medio. El uso abarca cualquier acción de acceso,
manejo, aprovechamiento, transferencia o disposición de datos personales.
Transferencia: Toda comunicación de datos realizada a persona distinta
del responsable o encargado del tratamiento.
4
5. Reglamento LFPDPPP - Medidas
V. Medidas de seguridad administrativas: Conjunto de acciones y
mecanismos para establecer la gestión, soporte y revisión de la seguridad
de la información a nivel organizacional, la identificación y clasificación de la
información, así como la concienciación, formación y capacitación del
personal, en materia de protección de datos personales;
VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya
sea que empleen o no la tecnología, destinados para:
a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas,
áreas críticas de la organización, equipo e información;
b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o
fuera de las instalaciones;
c) Proveer a los equipos que contienen o almacenan datos personales de un
mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y
d) Garantizar la eliminación de datos de forma segura;
5
6. Reglamento LFPDPPP - Medidas
VII. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos
con resultado medible, que se valen de la tecnología para asegurar que:
a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios
identificados y autorizados;
b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las
actividades que requiere con motivo de sus funciones;
c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros,
d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se
utilicen en el tratamiento de datos personales;
6
7. Outsourcing y Terceros
Traen ventajas como la reducción de costes y flexibilidad
y especialización del personal entre otras
Almacenar, procesar, acceder, transmitir información
¿Los encargados/terceros tienen las mismas medidas de
seguridad y privacidad que los encargados?
¿Deberían?
¿Se podría perder el control de la información una vez
con el terceras partes?
¿Hay amenazas?
7
11. ¿Cuántos tendrán tus datos?
¿A cuántas empresas (o particulares) les has dado tus datos o
información personal, sensible o confidencial?
Quizás podríamos empezar por:
Banco(s), escuela, trabajo, médicos y hospitales donde hayas estado,
instituciones financieras para créditos a los que hayas aplicado, tiendas
donde hayas comprado en línea, bolsas de trabajo, curriculum, instituciones
de gobierno, aseguradoras, re-aseguradoras, empresas de telemarketing,
tiendas comerciales, cine, etc. etc. etc.
Qué datos podrán tener?
nombre, dirección, teléfono, email, número de tarjeta de crédito, sueldo,
estados de cuenta, tipo de sangre, religión, estados de salud, beneficiaros
en caso de siniestro, nómina, RFC, CURP, NSS… entre otros
¿Y estarán tus datos sólo en México?
¿Cuántas copias en papel de tus datos?
¿Cuántas empresas en el extranjero los tendrán?
11
13. Robos de identidad en México
• De acuerdo a Buró de Crédito, en México hay alrededor 880 denuncias
diarias por robo de identidad y tienen su origen en tres causas
principales: la física, la telefónica y la electrónica.**
• El # de denuncias podría NO ser igual a total de robos de identidad
*información de http://www.milenio.com/cdb/doc/impreso/9139548
13
14. Robos de identidad en México
• ¿Cuánta será la cantidad de información y datos personales que se
comparten con terceras partes, ya sea por outsourcing, por “tercerizar”
servicios, o alguna otra razón?Aunque la venta de bases de datos de Afores,
Aunque la venta de bases de datos de Afores,
• ¿Cuántas empresas venderán las bases debancos es un delito que atenta
aseguradoras o bancos es un delito que atenta
aseguradoras o datos?
contra la confidencialidad yyviola la LFPDPPP, la
contra la confidencialidad viola la LFPDPPP, la
falta de elementos complica el que las
falta de elementos complica el que las
autoridades puedan proceder para detener yyen
autoridades puedan proceder para detener en
su caso sancionar aaquienes cometan este ilícito.
su caso sancionar quienes cometan este ilícito.
Son 33presuntos responsables: las
Son presuntos responsables: las
empresas que tuvieron aasu cargo la
empresas que tuvieron su cargo la
recopilación de los datos; quien venda la
recopilación de los datos; quien venda la
base de datos yyquien la compre
base de datos quien la compre
• http://www.razon.com.mx/spip.php?article116650
14
15. RENAUT
Se garantizó la destrucción de la BD, pero… ¿se garantizó que
NO existieran copias ilegales?
15
16. Caso extorsión email – oferta empleo
Usuarios con datos personales en bolsas de trabajo
Base de datos usada por extorsionadores
¿Cómo llegaron cientos o miles de emails personales a estos
criminales?
Una investigación en Hacking.mx:
http://hacking.mx/computo-forense/investigacion-digital-fraudes-por-correo-en-mexico/
16
17. Star Wars: Episode IV
Sólo hace falta una pequeña vulnerabilidad
que sea explotada para provocar caos…
17
18. Suposiciones y falacias corporativas
“Tenemos un NDA” (Non disclosure agreement)
“Existe un acuerdo de confidencialidad”
“El contrato estipula multas”
“Dicen tener medidas y controles de como Firewalls y AV”
“Ya tenemos medidas compensatorias y consentimiento”
“El aviso de privacidad establece que podemos usar la info”
“Los competidores más importantes lo hacen así”
“A nadie han multado”
“¿Para qué querrían la información?”
“¡No seas paranoico!”
18
26. …otros riesgos y vulnerabilidades
No saber en cuántos sistemas o bases de datos reside la información
Omitir dichos sistemas ante auditores, reguladores o autoridades
Hay datos que son los del cónyuge, hijos, beneficiarios, etc. y en algunos
casos son datos sensibles como estados de salud
De eso se encarga “Sistemas” o “Seguridad”
26
28. El medio es seguro, ¿y después del medio?
SS
L, T
LS,
L2L
28
29. ¿Y si hackean al tercero?
¡Fuga de datos e información!
29
30. La Seguridad y la Música
“La seguridad de la información y la
privacidad de datos son como el bajista de
una banda: nadie sabe que existe, hasta el día
que no viene a tocar.” ~ anónimo
30
31. Un riesgo muy grande…
Las multas y el riesgo reputacional…
NO serán para el tercero, sino para el responsable…
31
32. Robos de datos
Información robada en otros países
¿Habrán estado involucrados terceros encargados u
‘outsourcing’ en el tratamiento de datos?
32
33. Caso SONY
IFAI pide respuestas a una lista de nueve cuestionamientos,
entre las que se encuentra la forma en la que Sony de
México trata la información de los usuarios mexicanos
de PlayStation Network, así como las medidas de
protección y compensación que presentará a los usuarios
afectados.
¿hubo terceros involucrados?
http://mexico.cnn.com/tecnologia/2011/05/10/el-ifai-se-estrena-con-sony
33
34. Caso Global Payments
La revelaciones de la incursión se dieron a conocer en un
comunicado este fin de semana, luego de que la compañía fue
notificada que Visa Inc suspendió operaciones con GP
hasta que ésta demuestre que sus medidas de
seguridad son efectivas.
GP informó que los "hackers" "exportaron la información", lo
que podría significar que la vendieron a algún interesado en
utilizarla.
¿hubo terceros involucrados?
http://www.informador.com.mx/economia/2012/367457/6/confirman-robo-de-datos-a-15-millones-de-usuarios-de-tarjetas-de-credito.htm
34
35. La Seguridad y Privacidad y la Matrix
¿Qué escoges?
¿la feliz ignorancia de la ilusión…
…o la dolorosa verdad de la realidad?
35
41. Algunas Medidas
Establecer políticas y programas de privacidad para la propia
empresa y para terceros
Mapeo de datos y clasificación, incluyendo infraestructura propia y
terceros
SLA o NDA y acuerdo de confidencialidad, incluir a terceros
Asegurar canales de transmisión y medio donde se tratan y
transfieren los datos
Si es por medios móviles o removibles, cifrar datos
Validar quién recibe, procesa, accede, transmite
(tratamiento)
Controles para BYOD y verificar que el tercero
también tenga
¿Apegarse a estándares internacionales o marcos
de referencia?
41
42. Algunas Otras Medidas
Establecer plan de continuidad y recuperación de desastres
Seguridad perimetral física a instalaciones, datacenter y/o áreas
restringidas
Gestión de comunicaciones y transferencias internas y con
terceros
Sistemas de acceso lógicos para sistemas o datos (Need to know basis)
Controles que dejen pistas de auditoría y
bitácoras (logs)
Designar un “dueño del sistema” o
información
Asegurar que la gente que administra los
sistema haga uso correcto de los accesos
privilegiados
Estrategia de respaldos
42
43. Algunas Otras Medidas Más
Lograr que alta dirección asuma responsabilidad
En un ejercicio ARCO involucrar a terceros si aplica
Determinar medidas de seguridad de acuerdo a riesgo inherente y
sensibilidad de los datos que se tratan
Realizar revisiones y auditorías internas y hacia terceros
Garantizar destrucción de datos físicos y lógicos
Establecer medidas para la trazabilidad de los datos
Análisis de brecha
Procedimiento para incidentes
Controles cuando un empleado se va
¡CIFRAR!
¡Concientización!
¿otras?
43
45. ¿Y quién vigila al vigilante?
¿y a ‘root’ y a ‘Sysadmin’?
¿Cómo se controlan los accesos privilegiados a sistemas y
datos de encargados administradores, TI y Sistemas?
Mind the Security Gap
http://mindthesecuritygap.blogspot.mx/2012/10/y-quien-vigila-al-vigilante-y-root-y.html
B:Secure
http://www.bsecure.com.mx/opinion/y-quien-vigila-al-vigilante/
Derecho Informático
http://blog.derecho-informatico.org/quien-vigila-al-vigilante-root-sysadmin/2012/10/23/
Hacking.mx
http://hacking.mx/seguridad/quien-vigila-al-vigilante/
NYCE
http://www.nyce.org.mx/blog/?p=1454
45
47. ¿Cuál es nuestra responsabilidad?
No sólo TI es responsable de seguridad y privacidad , sino todos los
que tratan datos y/o son responsables
En caso de una revelación de datos o fuga de información, o de una
vulneración para los titulares, el titular buscará al encargado y éste
deberá dar respuesta y solución
Comienza en la alta dirección para permear dentro de la organización
La responsabilidad de los datos NO se puede endosar al tercero
¡Concientización!
¡CIFRAR!
¡Di no la promiscuidad de datos!
Hazlo o no lo hagas; no lo intentes…
47
48. La Seguridad y Privacidad es
responsabilidad de todos
48
Facke account with more followers 3 character password Water treatment plant Missing laptop wiith Unencrypted data Medical aid data 5 millon residents data breach