SlideShare una empresa de Scribd logo

Promiscuidad datos, Outsourcing e impacto en LFPDPPP

Alberto Ramirez Ayon
Alberto Ramirez Ayon
Tecnología
1 de 52
La promiscuidad de datos en la era digital y su impacto en LFPDPPP Alberto Ramírez Ayón, CISM, CISA, CRISC, CBCP
La computadora más segura La computadora más segura, es aquella que está apagada, desconectada de la red, enterrada en un bunker 3 metros bajo tierra y custodiada por guardias en un desierto lejano… …es la más segura, pero la más inútil. 2
Información  CIAT Los tres aspectos básicos de la seguridad de la información son: • Confidencialidad, asegurar que sólo quienes estén autorizados pueden acceder a la información; • Integridad, asegurar que la información y sus métodos de proceso son exactos y completos solo el personal autorizado sea capaz de modificar la información o recursos de cómputo • Disponibilidad, asegurar que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran Trazabilidad, posibilidad de identificar el origen y las diferentes etapas de un proceso 3
LFPDPPP - Definiciones  Titular: La persona física a quien corresponden los datos personales  Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de los datos personales  Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable  Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.  Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.  Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. 4
Reglamento LFPDPPP - Medidas  V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales;  VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:  a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;  b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;  c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y  d) Garantizar la eliminación de datos de forma segura; 5
Reglamento LFPDPPP - Medidas  VII. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:  a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;  b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;  c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros,  d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales; 6
Outsourcing y Terceros  Traen ventajas como la reducción de costes y flexibilidad y especialización del personal entre otras  Almacenar, procesar, acceder, transmitir información  ¿Los encargados/terceros tienen las mismas medidas de seguridad y privacidad que los encargados?  ¿Deberían?  ¿Se podría perder el control de la información una vez con el terceras partes?  ¿Hay amenazas? 7
¿Tenemos amenazas actualmente? 8
Hoy en día… Actualmente… Actualmente… 9
Algunas Noticias 10
¿Cuántos tendrán tus datos?  ¿A cuántas empresas (o particulares) les has dado tus datos o información personal, sensible o confidencial?  Quizás podríamos empezar por:  Banco(s), escuela, trabajo, médicos y hospitales donde hayas estado, instituciones financieras para créditos a los que hayas aplicado, tiendas donde hayas comprado en línea, bolsas de trabajo, curriculum, instituciones de gobierno, aseguradoras, re-aseguradoras, empresas de telemarketing, tiendas comerciales, cine, etc. etc. etc.  Qué datos podrán tener?  nombre, dirección, teléfono, email, número de tarjeta de crédito, sueldo, estados de cuenta, tipo de sangre, religión, estados de salud, beneficiaros en caso de siniestro, nómina, RFC, CURP, NSS… entre otros  ¿Y estarán tus datos sólo en México?  ¿Cuántas copias en papel de tus datos?  ¿Cuántas empresas en el extranjero los tendrán? 11
¿Qué puede pasar si roban mis datos? 12
Robos de identidad en México • De acuerdo a Buró de Crédito, en México hay alrededor 880 denuncias diarias por robo de identidad y tienen su origen en tres causas principales: la física, la telefónica y la electrónica.** • El # de denuncias podría NO ser igual a total de robos de identidad *información de http://www.milenio.com/cdb/doc/impreso/9139548 13
Robos de identidad en México • ¿Cuánta será la cantidad de información y datos personales que se comparten con terceras partes, ya sea por outsourcing, por “tercerizar” servicios, o alguna otra razón?Aunque la venta de bases de datos de Afores, Aunque la venta de bases de datos de Afores, • ¿Cuántas empresas venderán las bases debancos es un delito que atenta aseguradoras o bancos es un delito que atenta aseguradoras o datos? contra la confidencialidad yyviola la LFPDPPP, la contra la confidencialidad viola la LFPDPPP, la falta de elementos complica el que las falta de elementos complica el que las autoridades puedan proceder para detener yyen autoridades puedan proceder para detener en su caso sancionar aaquienes cometan este ilícito. su caso sancionar quienes cometan este ilícito. Son 33presuntos responsables: las Son presuntos responsables: las empresas que tuvieron aasu cargo la empresas que tuvieron su cargo la recopilación de los datos; quien venda la recopilación de los datos; quien venda la base de datos yyquien la compre base de datos quien la compre • http://www.razon.com.mx/spip.php?article116650 14
RENAUT  Se garantizó la destrucción de la BD, pero… ¿se garantizó que NO existieran copias ilegales? 15
Caso extorsión email – oferta empleo  Usuarios con datos personales en bolsas de trabajo  Base de datos usada por extorsionadores  ¿Cómo llegaron cientos o miles de emails personales a estos criminales?  Una investigación en Hacking.mx:  http://hacking.mx/computo-forense/investigacion-digital-fraudes-por-correo-en-mexico/ 16
Star Wars: Episode IV Sólo hace falta una pequeña vulnerabilidad que sea explotada para provocar caos… 17
Suposiciones y falacias corporativas “Tenemos un NDA” (Non disclosure agreement) “Existe un acuerdo de confidencialidad” “El contrato estipula multas” “Dicen tener medidas y controles de como Firewalls y AV” “Ya tenemos medidas compensatorias y consentimiento” “El aviso de privacidad establece que podemos usar la info” “Los competidores más importantes lo hacen así” “A nadie han multado” “¿Para qué querrían la información?” “¡No seas paranoico!” 18
¿Dónde están mis datos? 19
¿Dónde están mis datos? 20
¿Dónde están mis datos? …en un inception 21
Inception vs Nuestros Datos 22
¿E internacionalmente? Vivimos en mundo globalizado donde el intercambio y transferencia de información es masivo, rápido y transfronterizo 23
¿Y existen riesgos? 24
Algunos riesgos y vulnerabilidades 25
…otros riesgos y vulnerabilidades  No saber en cuántos sistemas o bases de datos reside la información  Omitir dichos sistemas ante auditores, reguladores o autoridades  Hay datos que son los del cónyuge, hijos, beneficiarios, etc. y en algunos casos son datos sensibles como estados de salud  De eso se encarga “Sistemas” o “Seguridad” 26
Nuestro datacenter y nuestro tercero 27
El medio es seguro, ¿y después del medio? SS L, T LS, L2L 28
¿Y si hackean al tercero? ¡Fuga de datos e información! 29
La Seguridad y la Música “La seguridad de la información y la privacidad de datos son como el bajista de una banda: nadie sabe que existe, hasta el día que no viene a tocar.” ~ anónimo 30
Un riesgo muy grande…  Las multas y el riesgo reputacional… NO serán para el tercero, sino para el responsable… 31
Robos de datos  Información robada en otros países  ¿Habrán estado involucrados terceros encargados u ‘outsourcing’ en el tratamiento de datos? 32
Caso SONY  IFAI pide respuestas a una lista de nueve cuestionamientos, entre las que se encuentra la forma en la que Sony de México trata la información de los usuarios mexicanos de PlayStation Network, así como las medidas de protección y compensación que presentará a los usuarios afectados.  ¿hubo terceros involucrados?  http://mexico.cnn.com/tecnologia/2011/05/10/el-ifai-se-estrena-con-sony 33
Caso Global Payments  La revelaciones de la incursión se dieron a conocer en un comunicado este fin de semana, luego de que la compañía fue notificada que Visa Inc suspendió operaciones con GP hasta que ésta demuestre que sus medidas de seguridad son efectivas.  GP informó que los "hackers" "exportaron la información", lo que podría significar que la vendieron a algún interesado en utilizarla.  ¿hubo terceros involucrados? http://www.informador.com.mx/economia/2012/367457/6/confirman-robo-de-datos-a-15-millones-de-usuarios-de-tarjetas-de-credito.htm 34
La Seguridad y Privacidad y la Matrix ¿Qué escoges? ¿la feliz ignorancia de la ilusión… …o la dolorosa verdad de la realidad? 35
La Ley Del 1.0 al 2.0 36
El encargado que no quiere ver más 37
No deslindarse de la responsabilidad  Es una responsabilidad compartida entre muchas áreas involucradas y no sólo de “Sistemas” 38
No limitarse sólo a firmar una cláusula 39
¿Qué medidas podemos utilizar? 40
Algunas Medidas  Establecer políticas y programas de privacidad para la propia empresa y para terceros  Mapeo de datos y clasificación, incluyendo infraestructura propia y terceros  SLA o NDA y acuerdo de confidencialidad, incluir a terceros  Asegurar canales de transmisión y medio donde se tratan y transfieren los datos  Si es por medios móviles o removibles, cifrar datos  Validar quién recibe, procesa, accede, transmite (tratamiento)  Controles para BYOD y verificar que el tercero también tenga  ¿Apegarse a estándares internacionales o marcos de referencia? 41
Algunas Otras Medidas  Establecer plan de continuidad y recuperación de desastres  Seguridad perimetral física a instalaciones, datacenter y/o áreas restringidas  Gestión de comunicaciones y transferencias internas y con terceros   Sistemas de acceso lógicos para sistemas o datos (Need to know basis) Controles que dejen pistas de auditoría y bitácoras (logs)  Designar un “dueño del sistema” o información  Asegurar que la gente que administra los sistema haga uso correcto de los accesos privilegiados  Estrategia de respaldos 42
Algunas Otras Medidas Más  Lograr que alta dirección asuma responsabilidad  En un ejercicio ARCO involucrar a terceros si aplica  Determinar medidas de seguridad de acuerdo a riesgo inherente y sensibilidad de los datos que se tratan  Realizar revisiones y auditorías internas y hacia terceros  Garantizar destrucción de datos físicos y lógicos  Establecer medidas para la trazabilidad de los datos  Análisis de brecha  Procedimiento para incidentes  Controles cuando un empleado se va  ¡CIFRAR!  ¡Concientización!  ¿otras? 43
Controles a la medida 44
¿Y quién vigila al vigilante? ¿y a ‘root’ y a ‘Sysadmin’?  ¿Cómo se controlan los accesos privilegiados a sistemas y datos de encargados administradores, TI y Sistemas?  Mind the Security Gap  http://mindthesecuritygap.blogspot.mx/2012/10/y-quien-vigila-al-vigilante-y-root-y.html  B:Secure  http://www.bsecure.com.mx/opinion/y-quien-vigila-al-vigilante/  Derecho Informático  http://blog.derecho-informatico.org/quien-vigila-al-vigilante-root-sysadmin/2012/10/23/  Hacking.mx  http://hacking.mx/seguridad/quien-vigila-al-vigilante/  NYCE  http://www.nyce.org.mx/blog/?p=1454 45
Y yo ¿qué tengo que hacer? 46
¿Cuál es nuestra responsabilidad?  No sólo TI es responsable de seguridad y privacidad , sino todos los que tratan datos y/o son responsables  En caso de una revelación de datos o fuga de información, o de una vulneración para los titulares, el titular buscará al encargado y éste deberá dar respuesta y solución  Comienza en la alta dirección para permear dentro de la organización  La responsabilidad de los datos NO se puede endosar al tercero  ¡Concientización!  ¡CIFRAR!  ¡Di no la promiscuidad de datos! Hazlo o no lo hagas; no lo intentes… 47
La Seguridad y Privacidad es responsabilidad de todos 48
No vivir en la “ceguera” 49
El abogado tecnoTODOlógico 50
¿Preguntas? 51
¡Muchas gracias! Alberto Ramírez Ayón, CISM, CISA, CRISC, CBCP Email : alberto.ayon@gmail.com http://mx.linkedin.com/in/albertoayon @cyberpostpunk @alberto_ayon 52

Recomendados

Promiscuidad datos v4.0
Promiscuidad datos v4.0Promiscuidad datos v4.0
Promiscuidad datos v4.0Alberto Ramirez Ayon
 
delitos informaticos
delitos informaticosdelitos informaticos
delitos informaticosJUSEFTH
 
Educacion lopd andatic_II
Educacion lopd andatic_IIEducacion lopd andatic_II
Educacion lopd andatic_IIIngeniería e Integración Avanzadas, S.A.
 
Privacidad - Datos - Anonimato - Seguridad
Privacidad - Datos - Anonimato - SeguridadPrivacidad - Datos - Anonimato - Seguridad
Privacidad - Datos - Anonimato - SeguridadPlanet Linux Caffe
 
La Protección de los Datos Personales
La Protección de los Datos PersonalesLa Protección de los Datos Personales
La Protección de los Datos PersonalesAcademia Mexicana de Derecho Informático, A.C.
 
U4 Actividad 5
U4 Actividad 5U4 Actividad 5
U4 Actividad 5Dayana Villanueva
 
Seguridad de informatica en venezuela
Seguridad de informatica en venezuelaSeguridad de informatica en venezuela
Seguridad de informatica en venezuelacesar
 
Uso de la informatica forense en el analisis de los delitos informaticos en l...
Uso de la informatica forense en el analisis de los delitos informaticos en l...Uso de la informatica forense en el analisis de los delitos informaticos en l...
Uso de la informatica forense en el analisis de los delitos informaticos en l...Tony Montilla
 

Recomendados

Promiscuidad datos v4.0
Promiscuidad datos v4.0Promiscuidad datos v4.0
Promiscuidad datos v4.0Alberto Ramirez Ayon
 
delitos informaticos
delitos informaticosdelitos informaticos
delitos informaticosJUSEFTH
 
Educacion lopd andatic_II
Educacion lopd andatic_IIEducacion lopd andatic_II
Educacion lopd andatic_IIIngeniería e Integración Avanzadas, S.A.
 
Privacidad - Datos - Anonimato - Seguridad
Privacidad - Datos - Anonimato - SeguridadPrivacidad - Datos - Anonimato - Seguridad
Privacidad - Datos - Anonimato - SeguridadPlanet Linux Caffe
 
La Protección de los Datos Personales
La Protección de los Datos PersonalesLa Protección de los Datos Personales
La Protección de los Datos PersonalesAcademia Mexicana de Derecho Informático, A.C.
 
U4 Actividad 5
U4 Actividad 5U4 Actividad 5
U4 Actividad 5Dayana Villanueva
 
Seguridad de informatica en venezuela
Seguridad de informatica en venezuelaSeguridad de informatica en venezuela
Seguridad de informatica en venezuelacesar
 
Uso de la informatica forense en el analisis de los delitos informaticos en l...
Uso de la informatica forense en el analisis de los delitos informaticos en l...Uso de la informatica forense en el analisis de los delitos informaticos en l...
Uso de la informatica forense en el analisis de los delitos informaticos en l...Tony Montilla
 
Seguridad en la Internet: Desde Hacking, Redes Sociales y más
Seguridad en la Internet: Desde Hacking, Redes Sociales y másSeguridad en la Internet: Desde Hacking, Redes Sociales y más
Seguridad en la Internet: Desde Hacking, Redes Sociales y másDigetech.net
 
Aspectos Legales del Computo Forense en Colombia. Marco Peres
Aspectos Legales del Computo Forense en Colombia. Marco Peres Aspectos Legales del Computo Forense en Colombia. Marco Peres
Aspectos Legales del Computo Forense en Colombia. Marco Peres Propertyrights de Colombia Ltda.
 
Taller sobre delitos y seguridad informatica
Taller sobre delitos y seguridad informaticaTaller sobre delitos y seguridad informatica
Taller sobre delitos y seguridad informaticadany4tas
 
Evidencia Digital By Dr. Jeimy Cano
Evidencia Digital By Dr. Jeimy CanoEvidencia Digital By Dr. Jeimy Cano
Evidencia Digital By Dr. Jeimy CanoPrimovsky
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalHacking Bolivia
 
INFORMATICA FORENSE 2-CIES
INFORMATICA FORENSE 2-CIESINFORMATICA FORENSE 2-CIES
INFORMATICA FORENSE 2-CIEStatianachitan
 
Informática forense
Informática forenseInformática forense
Informática forenseElías Ramírez Martínez
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticosNicolas Santos
 
La Evidencia Digital
La Evidencia DigitalLa Evidencia Digital
La Evidencia DigitalCarlos Americo Ramos Heredia
 
Los Delitos Informáticos en Colombia
Los Delitos Informáticos en ColombiaLos Delitos Informáticos en Colombia
Los Delitos Informáticos en ColombiaReuniones Networking TIC
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaIvan López
 
Presentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- BarranquillaPresentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- Barranquillaticsydelitos
 
Delitos informaticos ley 1273
Delitos informaticos ley 1273Delitos informaticos ley 1273
Delitos informaticos ley 1273german1537
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosFernando Espinoza
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticosCNEL Regional Bolivar
 
El lado obscuro de las tic’s (2)
El lado obscuro de las tic’s (2)El lado obscuro de las tic’s (2)
El lado obscuro de las tic’s (2)Dra. Myrna García
 
Delito Informático En Colombia
Delito Informático En ColombiaDelito Informático En Colombia
Delito Informático En ColombiaJesus Patiño
 
Delitos informatico jorge
Delitos informatico jorgeDelitos informatico jorge
Delitos informatico jorgeJOCHY123
 
Presentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosPresentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosCésar Villamizar Núñez
 
La drogodependencia
La drogodependenciaLa drogodependencia
La drogodependenciaAndy109
 
Diapositivas promiscuidad
Diapositivas promiscuidadDiapositivas promiscuidad
Diapositivas promiscuidadlauritamariasotto
 

Más contenido relacionado

La actualidad más candente

Seguridad en la Internet: Desde Hacking, Redes Sociales y más
Seguridad en la Internet: Desde Hacking, Redes Sociales y másSeguridad en la Internet: Desde Hacking, Redes Sociales y más
Seguridad en la Internet: Desde Hacking, Redes Sociales y másDigetech.net
 
Aspectos Legales del Computo Forense en Colombia. Marco Peres
Aspectos Legales del Computo Forense en Colombia. Marco Peres Aspectos Legales del Computo Forense en Colombia. Marco Peres
Aspectos Legales del Computo Forense en Colombia. Marco Peres Propertyrights de Colombia Ltda.
 
Taller sobre delitos y seguridad informatica
Taller sobre delitos y seguridad informaticaTaller sobre delitos y seguridad informatica
Taller sobre delitos y seguridad informaticadany4tas
 
Evidencia Digital By Dr. Jeimy Cano
Evidencia Digital By Dr. Jeimy CanoEvidencia Digital By Dr. Jeimy Cano
Evidencia Digital By Dr. Jeimy CanoPrimovsky
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalHacking Bolivia
 
INFORMATICA FORENSE 2-CIES
INFORMATICA FORENSE 2-CIESINFORMATICA FORENSE 2-CIES
INFORMATICA FORENSE 2-CIEStatianachitan
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaIvan López
 
Presentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- BarranquillaPresentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- Barranquillaticsydelitos
 
Delitos informaticos ley 1273
Delitos informaticos ley 1273Delitos informaticos ley 1273
Delitos informaticos ley 1273german1537
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
El lado obscuro de las tic’s (2)
El lado obscuro de las tic’s (2)El lado obscuro de las tic’s (2)
El lado obscuro de las tic’s (2)Dra. Myrna García
 
Delito Informático En Colombia
Delito Informático En ColombiaDelito Informático En Colombia
Delito Informático En ColombiaJesus Patiño
 
Delitos informatico jorge
Delitos informatico jorgeDelitos informatico jorge
Delitos informatico jorgeJOCHY123
 
Presentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosPresentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosCésar Villamizar Núñez
 

La actualidad más candente (20)

Seguridad en la Internet: Desde Hacking, Redes Sociales y más
Seguridad en la Internet: Desde Hacking, Redes Sociales y másSeguridad en la Internet: Desde Hacking, Redes Sociales y más
Seguridad en la Internet: Desde Hacking, Redes Sociales y más
 
Aspectos Legales del Computo Forense en Colombia. Marco Peres
Aspectos Legales del Computo Forense en Colombia. Marco Peres Aspectos Legales del Computo Forense en Colombia. Marco Peres
Aspectos Legales del Computo Forense en Colombia. Marco Peres
 
Taller sobre delitos y seguridad informatica
Taller sobre delitos y seguridad informaticaTaller sobre delitos y seguridad informatica
Taller sobre delitos y seguridad informatica
 
Evidencia Digital By Dr. Jeimy Cano
Evidencia Digital By Dr. Jeimy CanoEvidencia Digital By Dr. Jeimy Cano
Evidencia Digital By Dr. Jeimy Cano
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digital
 
INFORMATICA FORENSE 2-CIES
INFORMATICA FORENSE 2-CIESINFORMATICA FORENSE 2-CIES
INFORMATICA FORENSE 2-CIES
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticos
 
La Evidencia Digital
La Evidencia DigitalLa Evidencia Digital
La Evidencia Digital
 
Los Delitos Informáticos en Colombia
Los Delitos Informáticos en ColombiaLos Delitos Informáticos en Colombia
Los Delitos Informáticos en Colombia
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Presentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- BarranquillaPresentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- Barranquilla
 
Delitos informaticos ley 1273
Delitos informaticos ley 1273Delitos informaticos ley 1273
Delitos informaticos ley 1273
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticos
 
El lado obscuro de las tic’s (2)
El lado obscuro de las tic’s (2)El lado obscuro de las tic’s (2)
El lado obscuro de las tic’s (2)
 
Delito Informático En Colombia
Delito Informático En ColombiaDelito Informático En Colombia
Delito Informático En Colombia
 
Delitos informatico jorge
Delitos informatico jorgeDelitos informatico jorge
Delitos informatico jorge
 
Presentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosPresentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticos
 

Destacado

La drogodependencia
La drogodependenciaLa drogodependencia
La drogodependenciaAndy109
 
El alcohol en los adolescentes arzan pavon y paletta 3ª 1ª
El alcohol en los adolescentes arzan pavon y paletta 3ª 1ªEl alcohol en los adolescentes arzan pavon y paletta 3ª 1ª
El alcohol en los adolescentes arzan pavon y paletta 3ª 1ªcolegio_751
 
EL ALCOHOLISMO
EL ALCOHOLISMO EL ALCOHOLISMO
EL ALCOHOLISMO 072801
 
Promiscuidad en adultos jóvenes 2
Promiscuidad en adultos jóvenes 2Promiscuidad en adultos jóvenes 2
Promiscuidad en adultos jóvenes 2Kael2703
 
Presentacion alcoholismo en adolescentes
Presentacion alcoholismo en adolescentesPresentacion alcoholismo en adolescentes
Presentacion alcoholismo en adolescentespriveravelandia
 
La Sexualidad En La Adolescencia(Power Point)
La Sexualidad En La Adolescencia(Power Point)La Sexualidad En La Adolescencia(Power Point)
La Sexualidad En La Adolescencia(Power Point)haro1775
 

Destacado (12)

La drogodependencia
La drogodependenciaLa drogodependencia
La drogodependencia
 
Diapositivas promiscuidad
Diapositivas promiscuidadDiapositivas promiscuidad
Diapositivas promiscuidad
 
Promiscuidad
PromiscuidadPromiscuidad
Promiscuidad
 
El alcohol en los adolescentes arzan pavon y paletta 3ª 1ª
El alcohol en los adolescentes arzan pavon y paletta 3ª 1ªEl alcohol en los adolescentes arzan pavon y paletta 3ª 1ª
El alcohol en los adolescentes arzan pavon y paletta 3ª 1ª
 
Alcohol y los jóvenes
Alcohol y los jóvenesAlcohol y los jóvenes
Alcohol y los jóvenes
 
EL ALCOHOLISMO
EL ALCOHOLISMO EL ALCOHOLISMO
EL ALCOHOLISMO
 
La promiscuidad
La promiscuidadLa promiscuidad
La promiscuidad
 
Promiscuidad en adultos jóvenes 2
Promiscuidad en adultos jóvenes 2Promiscuidad en adultos jóvenes 2
Promiscuidad en adultos jóvenes 2
 
delincuencia juvenil
delincuencia juvenildelincuencia juvenil
delincuencia juvenil
 
la delincuencia juvenil
la delincuencia juvenilla delincuencia juvenil
la delincuencia juvenil
 
Presentacion alcoholismo en adolescentes
Presentacion alcoholismo en adolescentesPresentacion alcoholismo en adolescentes
Presentacion alcoholismo en adolescentes
 
La Sexualidad En La Adolescencia(Power Point)
La Sexualidad En La Adolescencia(Power Point)La Sexualidad En La Adolescencia(Power Point)
La Sexualidad En La Adolescencia(Power Point)
 

Similar a Promiscuidad datos, Outsourcing e impacto en LFPDPPP

MAYO NOVICE - DATOS EN LA RED: PROTECCION Y PRIVACIDAD
MAYO NOVICE - DATOS EN LA RED: PROTECCION Y PRIVACIDADMAYO NOVICE - DATOS EN LA RED: PROTECCION Y PRIVACIDAD
MAYO NOVICE - DATOS EN LA RED: PROTECCION Y PRIVACIDADtxitxan
 
Seguridad y Privacidad de Documentos Electronicos
Seguridad y Privacidad de Documentos ElectronicosSeguridad y Privacidad de Documentos Electronicos
Seguridad y Privacidad de Documentos ElectronicosDigetech.net
 
Aspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina ModernaAspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina ModernaDigetech.net
 
Conceptos de-seguridad-informatica
Conceptos de-seguridad-informaticaConceptos de-seguridad-informatica
Conceptos de-seguridad-informaticaMarita Terán
 
Delito y seguridad inormatica
Delito y seguridad inormaticaDelito y seguridad inormatica
Delito y seguridad inormaticaMariana Londoño
 
Aspectos eticos y sociales de los sistemas de
Aspectos eticos y sociales de los sistemas deAspectos eticos y sociales de los sistemas de
Aspectos eticos y sociales de los sistemas deteveovenir
 
Regulacion de la informacion
Regulacion de la informacion Regulacion de la informacion
Regulacion de la informacion Montserrat Alza
 
Principios informatica forence
Principios informatica forencePrincipios informatica forence
Principios informatica forenceSantiago Andrade
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personalesBetoMassa
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personalesBetoMassa
 
Seguridad en los Sistemas de Información
Seguridad en los Sistemas de InformaciónSeguridad en los Sistemas de Información
Seguridad en los Sistemas de InformaciónIván Castillo
 
Datos personales y nuevas tecnologías
Datos personales y nuevas tecnologíasDatos personales y nuevas tecnologías
Datos personales y nuevas tecnologíasLasangelesdePablo
 
Presentation de sistemas de informacion gerencial cap.4
Presentation de sistemas de informacion gerencial cap.4Presentation de sistemas de informacion gerencial cap.4
Presentation de sistemas de informacion gerencial cap.4Claudia Bautista
 

Similar a Promiscuidad datos, Outsourcing e impacto en LFPDPPP (20)

MAYO NOVICE - DATOS EN LA RED: PROTECCION Y PRIVACIDAD
MAYO NOVICE - DATOS EN LA RED: PROTECCION Y PRIVACIDADMAYO NOVICE - DATOS EN LA RED: PROTECCION Y PRIVACIDAD
MAYO NOVICE - DATOS EN LA RED: PROTECCION Y PRIVACIDAD
 
Seguridad y Privacidad de Documentos Electronicos
Seguridad y Privacidad de Documentos ElectronicosSeguridad y Privacidad de Documentos Electronicos
Seguridad y Privacidad de Documentos Electronicos
 
Aspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina ModernaAspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina Moderna
 
Delitos Informaticos y Legislacion Colombiana
Delitos Informaticos y Legislacion ColombianaDelitos Informaticos y Legislacion Colombiana
Delitos Informaticos y Legislacion Colombiana
 
Conceptos de-seguridad-informatica
Conceptos de-seguridad-informaticaConceptos de-seguridad-informatica
Conceptos de-seguridad-informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Delito y seguridad inormatica
Delito y seguridad inormaticaDelito y seguridad inormatica
Delito y seguridad inormatica
 
Aspectos eticos y sociales de los sistemas de
Aspectos eticos y sociales de los sistemas deAspectos eticos y sociales de los sistemas de
Aspectos eticos y sociales de los sistemas de
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informatica
 
Regulacion de la informacion
Regulacion de la informacion Regulacion de la informacion
Regulacion de la informacion
 
Principios informatica forence
Principios informatica forencePrincipios informatica forence
Principios informatica forence
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personales
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personales
 
Seguridad en los Sistemas de Información
Seguridad en los Sistemas de InformaciónSeguridad en los Sistemas de Información
Seguridad en los Sistemas de Información
 
ACTIVIDAD 1 DE SISTEMA DE SEGURIDAD.pptx
ACTIVIDAD 1 DE SISTEMA DE SEGURIDAD.pptxACTIVIDAD 1 DE SISTEMA DE SEGURIDAD.pptx
ACTIVIDAD 1 DE SISTEMA DE SEGURIDAD.pptx
 
Gestion de la privacidad e identidad digital
Gestion de la privacidad e identidad digitalGestion de la privacidad e identidad digital
Gestion de la privacidad e identidad digital
 
Pericana jesus
Pericana jesusPericana jesus
Pericana jesus
 
Tema4
Tema4Tema4
Tema4
 
Datos personales y nuevas tecnologías
Datos personales y nuevas tecnologíasDatos personales y nuevas tecnologías
Datos personales y nuevas tecnologías
 
Presentation de sistemas de informacion gerencial cap.4
Presentation de sistemas de informacion gerencial cap.4Presentation de sistemas de informacion gerencial cap.4
Presentation de sistemas de informacion gerencial cap.4
 

Último

ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 

Último (20)

ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 

Promiscuidad datos, Outsourcing e impacto en LFPDPPP

  • 1. La promiscuidad de datos en la era digital y su impacto en LFPDPPP Alberto Ramírez Ayón, CISM, CISA, CRISC, CBCP
  • 2. La computadora más segura La computadora más segura, es aquella que está apagada, desconectada de la red, enterrada en un bunker 3 metros bajo tierra y custodiada por guardias en un desierto lejano… …es la más segura, pero la más inútil. 2
  • 3. Información  CIAT Los tres aspectos básicos de la seguridad de la información son: • Confidencialidad, asegurar que sólo quienes estén autorizados pueden acceder a la información; • Integridad, asegurar que la información y sus métodos de proceso son exactos y completos solo el personal autorizado sea capaz de modificar la información o recursos de cómputo • Disponibilidad, asegurar que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran Trazabilidad, posibilidad de identificar el origen y las diferentes etapas de un proceso 3
  • 4. LFPDPPP - Definiciones  Titular: La persona física a quien corresponden los datos personales  Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de los datos personales  Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable  Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.  Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.  Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. 4
  • 5. Reglamento LFPDPPP - Medidas  V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales;  VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:  a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;  b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;  c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y  d) Garantizar la eliminación de datos de forma segura; 5
  • 6. Reglamento LFPDPPP - Medidas  VII. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:  a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;  b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;  c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros,  d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales; 6
  • 7. Outsourcing y Terceros  Traen ventajas como la reducción de costes y flexibilidad y especialización del personal entre otras  Almacenar, procesar, acceder, transmitir información  ¿Los encargados/terceros tienen las mismas medidas de seguridad y privacidad que los encargados?  ¿Deberían?  ¿Se podría perder el control de la información una vez con el terceras partes?  ¿Hay amenazas? 7
  • 8. ¿Tenemos amenazas actualmente? 8
  • 9. Hoy en día… Actualmente… Actualmente… 9
  • 11. ¿Cuántos tendrán tus datos?  ¿A cuántas empresas (o particulares) les has dado tus datos o información personal, sensible o confidencial?  Quizás podríamos empezar por:  Banco(s), escuela, trabajo, médicos y hospitales donde hayas estado, instituciones financieras para créditos a los que hayas aplicado, tiendas donde hayas comprado en línea, bolsas de trabajo, curriculum, instituciones de gobierno, aseguradoras, re-aseguradoras, empresas de telemarketing, tiendas comerciales, cine, etc. etc. etc.  Qué datos podrán tener?  nombre, dirección, teléfono, email, número de tarjeta de crédito, sueldo, estados de cuenta, tipo de sangre, religión, estados de salud, beneficiaros en caso de siniestro, nómina, RFC, CURP, NSS… entre otros  ¿Y estarán tus datos sólo en México?  ¿Cuántas copias en papel de tus datos?  ¿Cuántas empresas en el extranjero los tendrán? 11
  • 12. ¿Qué puede pasar si roban mis datos? 12
  • 13. Robos de identidad en México • De acuerdo a Buró de Crédito, en México hay alrededor 880 denuncias diarias por robo de identidad y tienen su origen en tres causas principales: la física, la telefónica y la electrónica.** • El # de denuncias podría NO ser igual a total de robos de identidad *información de http://www.milenio.com/cdb/doc/impreso/9139548 13
  • 14. Robos de identidad en México • ¿Cuánta será la cantidad de información y datos personales que se comparten con terceras partes, ya sea por outsourcing, por “tercerizar” servicios, o alguna otra razón?Aunque la venta de bases de datos de Afores, Aunque la venta de bases de datos de Afores, • ¿Cuántas empresas venderán las bases debancos es un delito que atenta aseguradoras o bancos es un delito que atenta aseguradoras o datos? contra la confidencialidad yyviola la LFPDPPP, la contra la confidencialidad viola la LFPDPPP, la falta de elementos complica el que las falta de elementos complica el que las autoridades puedan proceder para detener yyen autoridades puedan proceder para detener en su caso sancionar aaquienes cometan este ilícito. su caso sancionar quienes cometan este ilícito. Son 33presuntos responsables: las Son presuntos responsables: las empresas que tuvieron aasu cargo la empresas que tuvieron su cargo la recopilación de los datos; quien venda la recopilación de los datos; quien venda la base de datos yyquien la compre base de datos quien la compre • http://www.razon.com.mx/spip.php?article116650 14
  • 15. RENAUT  Se garantizó la destrucción de la BD, pero… ¿se garantizó que NO existieran copias ilegales? 15
  • 16. Caso extorsión email – oferta empleo  Usuarios con datos personales en bolsas de trabajo  Base de datos usada por extorsionadores  ¿Cómo llegaron cientos o miles de emails personales a estos criminales?  Una investigación en Hacking.mx:  http://hacking.mx/computo-forense/investigacion-digital-fraudes-por-correo-en-mexico/ 16
  • 17. Star Wars: Episode IV Sólo hace falta una pequeña vulnerabilidad que sea explotada para provocar caos… 17
  • 18. Suposiciones y falacias corporativas “Tenemos un NDA” (Non disclosure agreement) “Existe un acuerdo de confidencialidad” “El contrato estipula multas” “Dicen tener medidas y controles de como Firewalls y AV” “Ya tenemos medidas compensatorias y consentimiento” “El aviso de privacidad establece que podemos usar la info” “Los competidores más importantes lo hacen así” “A nadie han multado” “¿Para qué querrían la información?” “¡No seas paranoico!” 18
  • 19. ¿Dónde están mis datos? 19
  • 20. ¿Dónde están mis datos? 20
  • 21. ¿Dónde están mis datos? …en un inception 21
  • 23. ¿E internacionalmente? Vivimos en mundo globalizado donde el intercambio y transferencia de información es masivo, rápido y transfronterizo 23
  • 24. ¿Y existen riesgos? 24
  • 25. Algunos riesgos y vulnerabilidades 25
  • 26. …otros riesgos y vulnerabilidades  No saber en cuántos sistemas o bases de datos reside la información  Omitir dichos sistemas ante auditores, reguladores o autoridades  Hay datos que son los del cónyuge, hijos, beneficiarios, etc. y en algunos casos son datos sensibles como estados de salud  De eso se encarga “Sistemas” o “Seguridad” 26
  • 27. Nuestro datacenter y nuestro tercero 27
  • 28. El medio es seguro, ¿y después del medio? SS L, T LS, L2L 28
  • 29. ¿Y si hackean al tercero? ¡Fuga de datos e información! 29
  • 30. La Seguridad y la Música “La seguridad de la información y la privacidad de datos son como el bajista de una banda: nadie sabe que existe, hasta el día que no viene a tocar.” ~ anónimo 30
  • 31. Un riesgo muy grande…  Las multas y el riesgo reputacional… NO serán para el tercero, sino para el responsable… 31
  • 32. Robos de datos  Información robada en otros países  ¿Habrán estado involucrados terceros encargados u ‘outsourcing’ en el tratamiento de datos? 32
  • 33. Caso SONY  IFAI pide respuestas a una lista de nueve cuestionamientos, entre las que se encuentra la forma en la que Sony de México trata la información de los usuarios mexicanos de PlayStation Network, así como las medidas de protección y compensación que presentará a los usuarios afectados.  ¿hubo terceros involucrados?  http://mexico.cnn.com/tecnologia/2011/05/10/el-ifai-se-estrena-con-sony 33
  • 34. Caso Global Payments  La revelaciones de la incursión se dieron a conocer en un comunicado este fin de semana, luego de que la compañía fue notificada que Visa Inc suspendió operaciones con GP hasta que ésta demuestre que sus medidas de seguridad son efectivas.  GP informó que los "hackers" "exportaron la información", lo que podría significar que la vendieron a algún interesado en utilizarla.  ¿hubo terceros involucrados? http://www.informador.com.mx/economia/2012/367457/6/confirman-robo-de-datos-a-15-millones-de-usuarios-de-tarjetas-de-credito.htm 34
  • 35. La Seguridad y Privacidad y la Matrix ¿Qué escoges? ¿la feliz ignorancia de la ilusión… …o la dolorosa verdad de la realidad? 35
  • 36. La Ley Del 1.0 al 2.0 36
  • 37. El encargado que no quiere ver más 37
  • 38. No deslindarse de la responsabilidad  Es una responsabilidad compartida entre muchas áreas involucradas y no sólo de “Sistemas” 38
  • 39. No limitarse sólo a firmar una cláusula 39
  • 41. Algunas Medidas  Establecer políticas y programas de privacidad para la propia empresa y para terceros  Mapeo de datos y clasificación, incluyendo infraestructura propia y terceros  SLA o NDA y acuerdo de confidencialidad, incluir a terceros  Asegurar canales de transmisión y medio donde se tratan y transfieren los datos  Si es por medios móviles o removibles, cifrar datos  Validar quién recibe, procesa, accede, transmite (tratamiento)  Controles para BYOD y verificar que el tercero también tenga  ¿Apegarse a estándares internacionales o marcos de referencia? 41
  • 42. Algunas Otras Medidas  Establecer plan de continuidad y recuperación de desastres  Seguridad perimetral física a instalaciones, datacenter y/o áreas restringidas  Gestión de comunicaciones y transferencias internas y con terceros   Sistemas de acceso lógicos para sistemas o datos (Need to know basis) Controles que dejen pistas de auditoría y bitácoras (logs)  Designar un “dueño del sistema” o información  Asegurar que la gente que administra los sistema haga uso correcto de los accesos privilegiados  Estrategia de respaldos 42
  • 43. Algunas Otras Medidas Más  Lograr que alta dirección asuma responsabilidad  En un ejercicio ARCO involucrar a terceros si aplica  Determinar medidas de seguridad de acuerdo a riesgo inherente y sensibilidad de los datos que se tratan  Realizar revisiones y auditorías internas y hacia terceros  Garantizar destrucción de datos físicos y lógicos  Establecer medidas para la trazabilidad de los datos  Análisis de brecha  Procedimiento para incidentes  Controles cuando un empleado se va  ¡CIFRAR!  ¡Concientización!  ¿otras? 43
  • 44. Controles a la medida 44
  • 45. ¿Y quién vigila al vigilante? ¿y a ‘root’ y a ‘Sysadmin’?  ¿Cómo se controlan los accesos privilegiados a sistemas y datos de encargados administradores, TI y Sistemas?  Mind the Security Gap  http://mindthesecuritygap.blogspot.mx/2012/10/y-quien-vigila-al-vigilante-y-root-y.html  B:Secure  http://www.bsecure.com.mx/opinion/y-quien-vigila-al-vigilante/  Derecho Informático  http://blog.derecho-informatico.org/quien-vigila-al-vigilante-root-sysadmin/2012/10/23/  Hacking.mx  http://hacking.mx/seguridad/quien-vigila-al-vigilante/  NYCE  http://www.nyce.org.mx/blog/?p=1454 45
  • 46. Y yo ¿qué tengo que hacer? 46
  • 47. ¿Cuál es nuestra responsabilidad?  No sólo TI es responsable de seguridad y privacidad , sino todos los que tratan datos y/o son responsables  En caso de una revelación de datos o fuga de información, o de una vulneración para los titulares, el titular buscará al encargado y éste deberá dar respuesta y solución  Comienza en la alta dirección para permear dentro de la organización  La responsabilidad de los datos NO se puede endosar al tercero  ¡Concientización!  ¡CIFRAR!  ¡Di no la promiscuidad de datos! Hazlo o no lo hagas; no lo intentes… 47
  • 48. La Seguridad y Privacidad es responsabilidad de todos 48
  • 49. No vivir en la “ceguera” 49
  • 52. ¡Muchas gracias! Alberto Ramírez Ayón, CISM, CISA, CRISC, CBCP Email : alberto.ayon@gmail.com http://mx.linkedin.com/in/albertoayon @cyberpostpunk @alberto_ayon 52

Notas del editor

  1. Explicación de qué significa cada caracteristica
  2. Facke account with more followers 3 character password Water treatment plant Missing laptop wiith Unencrypted data Medical aid data 5 millon residents data breach