SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS

BDO Argentina - Fabián Descalzo 1
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
SEGURIDAD DE LA
INFORMACIÓN
ENFOCADA A LA
PRIVACIDAD Y
PROTECCIÓN DE DATOS
1
2

Fabián Descalzo (fdescalzo@bdoargentina.com)
Socio y DPO de BDO en Argentina del Departamento de Aseguramiento de
Procesos Informáticos (API). Posee 30 años de experiencia en el área de gestión
e implementación de Gobierno de Seguridad de la Información, Gobierno de TI,
Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para
el cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio. Docente del
Diplomado Universitario en Accounting Tech en la Universidad Argentina de la
Empresa - UADE del módulo BIG DATA Y SERVICIOS EN LA NUBE, Docente del
módulo 27001 de las Diplomaturas de “IT Governance, Uso eficiente de
Frameworks” y “Gobierno y Gestión de Servicios de TI” del Instituto Tecnológico
Buenos Aires (ITBA), Docente del Módulo de Auditoría de IT de la Diplomatura en
Delitos Informáticos para EDI en la Universidad Nacional de Río Negro y Docente
en Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT para TÜV
Rheinland. Miembro del Comité Directivo de ISACA Buenos Aires Chapter,
Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM” para
Qatalys Global sección Infraestructura Crítica, Miembro del Comité Científico del
IEEE (Institute of Electrical and Electronics Engineers)
El equilibrio de fuerzas ha cambiado en
la era interconectada. Las personas
ahora son "públicas por defecto y
privadas por esfuerzo".
Danah Boyd
Principal Researcher at Microsoft Research Founderof Data & Society Research Institute
VisiónACTUALdelaPrivacidad
El principal reto de la privacidad en la era
digital: Devolver a los usuarios el control sobre
los datos de su vida digital y física”, que solo se
logará con sensibilización y capacitación
3
4

Información
personalen
línea
% de los usuarios
adultos de Internet
que dicen que esta
información sobre
ellos está disponible
en línea
datos
TECNOLOGÍA
NEGOCIO
BIG DATA
60’s
Almacenes de datos
Data Warehouse: Entregar la información
correcta a la gente indicada en el momento
óptimo y en el formato adecuado
80’s
90’s
2000’s
Capacidad Tecnológica
Mayor capacidad que hace que
cada 40 meses se duplique el
almacenamiento de datos
Inicio
Cantidad de datos tal que supera la capacidad del
software convencional para ser capturados,
administrados y procesados en un tiempo razonable
Se define el crecimiento constante
de datos como una oportunidad y
un reto para investigar en el
volumen, la velocidad y la variedad
"Big data representa los activos de información
caracterizados por un volumen, velocidad y
variedad tan altos que requieren una
tecnología específica y métodos analíticos para
su transformación en valor"
70’s
Dependencia de IT en
procesos centralizados
no interactivos
Procesos centralizados en línea
Primeros virus - Antivirus
Poca seguridad informática
Procesos distribuidos, internet y
crecimiento dependencia tecnológica
Proveedores, dispositivos extraíbles
Ataques a defensa, tecnología
mobile, fraude online, riesgos
internos, privacidad, IoT, Teletrabajo
5
6

datos
TECNOLOGÍA
NEGOCIO
BIG DATA
60’s
80’s
90’s
2000’s
Inicio
Modelo publicado en 2009
(Comisionado de Información y
Privacidad de Ontario, la Autoridad
Holandesa de Protección de Datos y la
Organización Holandesa para la
Investigación Científica)
70’s
Enfoque preventivo para la
protección de la privacidad de
los datos, modelo robusto y
escalable para garantizar la
privacidad total de los datos (*)
En 2018 la Unión Europea pasó a
incorporar la privacidad por diseño
como parte del RGPD
PRIVACIDAD POR DISEÑO
(*) Dra. Ann Cavoukian, directora ejecutiva del Instituto de Privacidad y Big Data de la Universidad de Ryerson y ex Comisionada de Información y Privacidad de Ontario
Procesos distribuidos, internet y
crecimiento dependencia tecnológica
Proveedores, dispositivos extraíbles
Ataques a defensa, tecnología
mobile, fraude online, riesgos
internos, privacidad, IoT,
Teletrabajo
Nuestra información
personal se relaciona en
gran medida con
operaciones,
procesamiento e
intercambio, de distintas
formas y a través de
numerosos medios
COLEGAS DE UNA
MISMA ÁREA
COLEGAS DE
OTRAS Áreas
COLABORADORES
EXTERNOs
7
8

La legislación para la privacidad de datos
Seguridad de la información
enfocada a la privacidad y
protección de datos
9
10

Directiva ePrivacy 2021
El nuevo Reglamento sobre Privacidad y Comunicaciones Electrónicas
Regulación de la Protección de Datos Personales en el Mundo
LGPD
- Privacy Act 1974
- ECPA 1986
- CCPA
- HIPPA
- FCRA
- GLBA
- COPPA
- Normas estatales
Uruguay:
18331
Chile
19.628
20575
Mexico
LFPDPPP
Rusia
Federal Law 152-FZ
Japón
APPI
Australia
FEDERAL PRIVACY ACT 1988
AUSTRALIAN PRIVACY
PRINCIPLES
COLOMBIA
1.266
1.581
Canada
PIPEDA
Marruecos:
09-08
Túnez: 2004-
63
Sudafrica
POPIA
Angola
22/11
Ghana
Act 843
Turquía
6698
China PIPL
Dubai Data
Law
GDPR y
normas
locales
Argentina
25.326
Ley 81
Panamá
Ecuador
LOPDP
Costa Rica
8968
Peru
29733
FUENTE: ALAP Asociación Latinoamericana de Privacidad
11
12

Fuente: European Data Protection Supervisor
13
14

Se debe demostrar que se cuenta
con mecanismos de gestión para la
aplicación de "medidas técnicas y
organizativas apropiadas" para
proteger los datos personales que
procesa y defender los derechos de
los interesados, de acuerdo con el
principio de responsabilidad del
Reglamento (Artículo 5 (2)).
El artículo 42 del RGPD analiza los
mecanismos de certificación de
protección de datos. Es posible
lograr la certificación acreditada de
forma independiente según ISO
27001, y por extensión ISO 27701 si
implementa sus controles, lo que
demostrará a las partes interesadas
y reguladores que su organización
está siguiendo las mejores prácticas
internacionales cuando se trata de
proteger datos personales / PII.
GDPR
Esta norma internacional proporciona un marco de
protección de datos que:
 Establece una terminología común sobre la protección de
datos;
 Define los actores y su papel en el tratamiento de los
datos personales (PII)
 Describe las consideraciones de privacidad y
 Referencias a principios conocidos de protección de datos
para la tecnología de la información.
Descarga gratuita en
https://standards.iso.org/ittf/PubliclyAvailableStandards/
15
16

 Consentimiento y elección
 Legitimación y especificación del propósito
 Limitación de la colección
 Minimización de datos
 Limitación de uso, retención y divulgación
 Precisión y calidad
 La apertura, la transparencia y el aviso
 Participación y acceso individual
 Rendición de cuentas
 Seguridad de la información
 Cumplimiento de la privacidad
17
18

GDPR
Artículos de ejemplo Entendimiento, separado en Negocio, Tecnología y Seguridad/Compliance Gestión desde el Gobierno de la
Tecnologíay la Información
Procesamiento Cualquier operación o conjunto de operaciones que se realiza en datos personales o
en conjuntos de datos personales, ya sea por medios automatizados, como
recolección, registro, organización, estructuración, almacenamiento, adaptación o
alteración, recuperación , consulta, uso, divulgación por transmisión, difusión o
puesta a disposición, alineación o combinación, restricción, eliminación o
destrucción
• Gestión de identidades e IDM
• Políticas de seguridad en
plataformas
• Gobierno de datos
• Ciclo de vida de la información
• Clasificación de información
• Dueño de datos.
• Responsables de control
• Procesadores de datos
• Borrado seguro
• Desarrollo seguro
• Segregación de ambientes
• Segregación de comunicaciones
• Almacenamiento seguro
• Ofuscación/enmascaramiento
Principios de protección de
datos
 Procesamiento legal, justo y de manera transparente
 Recopilado para fines especificados, explícitos y legítimos
 Adecuado, relevante y limitado a lo necesario
 Preciso y, cuando sea necesario, actualizarlos
 Se mantiene en una forma que permite la identificación por no más de lo
necesario
 Procesado de manera que garantice una seguridad adecuada
Delegado de protección de
datos
La persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o
conjuntamente con otros, determine los fines y los medios del tratamiento de los
datos personales
Rectificación y supresión Portabilidad de datos, rectificación y supresión, limitación del tratamiento
19
20

Agencia de Acceso a la Información Pública
Medidas de seguridad para el conservación para el tratamiento y conservación
Legislación argentina
Ley 25.326 de Protección de Datos Personales
Datos Personales Datos Sensibles
Anexo I - Datos Personales en medios informatizados
A. Recolección de datos
B. Control de acceso
C. Control de cambios
D. Respaldo y recuperación
E. Gestión de vulnerabilidades
F. Destrucción de la información
G. Incidentes de seguridad
H. Entornos de Desarrollo
Anexo II - Datos Personales en medios no informatizados
A. Recolección de datos
B. Control de acceso
C. Conservación de la información
D. Destrucción de la información
E. Incidentes de seguridad
ISO27701 y el tratamiento de la información privada
21
22

La protección dela
privacidades una
necesidadsocial
Casi todas las
organizaciones procesan
Información de
identificación personal
(PII) y su procesamiento
está en aumento, al igual
que el número de
situaciones en las que una
organización comparte
esta información.
ES IMPORTANTERECORDAR QUE SEGURIDADNO SIGNIFICA PRIVACIDAD
La seguridad protege a los datos y la
privacidad protege a la identidad
En el presente documento se especifican los
requisitos y se ofrece orientación sobre
 La instalación,
 Implementación,
 Mantenimiento y
 La mejora continua
Un PIMS (Privacy Information Management
System) en forma de extensión de la ISO/IEC 27001
y la ISO/IEC 27002 para la gestión de la protección
de datos dentro de la empresa
ISO/IEC 27701:2019
23
24

Especifica los requisitos y proporciona
orientación para establecer, implementar,
mantener y mejorar en forma continua
un Sistema de Gestión de Privacidad de la
Información (PIMS), como extensión a
ISO/IEC 27001 e ISO/IEC 27002, y basado
en sus requisitos, objetivos de control y
controles para el manejo de la privacidad
en el contexto de la organización
Aplicabilidad
de
ISO/IEC
27001
y
27002
25
26

Cambios
en
el
SGSI
para
la
implementación
de
un
SGPI
27
28

Al evaluar la aplicabilidad de los objetivos y controles de la ISO/IEC 27001:2013 Anexo A para el
tratamiento de riesgos, los objetivos de control y los controles se tendrán en cuenta tanto en el
contexto de los riesgos para la seguridad de la información como de los riesgos aparejados para el
tratamiento de la PII, incluidos los riesgos para los PII Principales
Modificaciones
al
añadir
ISO27701
en
controles
de
ISO27002
Modificaciones
al
añadir
ISO27701
en
controles
de
ISO27002
29
30

Además de proporcionar requisitos, controles y objetivos de control específicos de
privacidad para controladores y procesadores, ISO 27701 incluye anexos que los
asignan a:
 ISO 29100 (Tecnología de la información – Técnicas de seguridad – Marco de
privacidad);
 ISO 29151 (Tecnología de la información – Técnicas de seguridad – Código de
prácticas para la protección de la información de identificación personal); y
 ISO 27018 (Tecnología de la información – Técnicas de seguridad – Código de
prácticas para la protección de la información de identificación personal (PII) en
nubes públicas que actúan como procesadores de PII)
Framework de la privacidad
31
32

Negocio y la información privada
500 altos
directivos de 55
países
(Europa, Oriente Medio,
África, Asia y América)
33
34

IoT, BIG DATa, IA, BI
IoT
Internet delasCosas
ciberseguridad
35
36

En 2025 habrá
más de 50
millones de
dispositivos
inteligentes
conectados en el
mundo, todos
ellos
desarrollados
para recopilar,
analizar y
compartir datos
Hasta3Gbpor mes
https://www.csoonline.com/article/3160511/how-to-protect-your-data-your-vehicles-and-your-people-against-automotive-cyber-threats.html
Los controles opcionales ahora son obligatorios… distintas áreas “no TI” (Shadow IT) usando tecnologíadeben solicitar controles de
ciberseguridad sobre sus proveedores de plataformas tecnológicas.
37
38

39
40

Punto de vista
del entorno
41
42

 Establecer misión, visión y
directrices
 Definir estrategias, modelar y
simular
 Evaluar estado y definir nivel de
madurez
 Definir organización y dar
responsabilidades ejecutivas
 Planificar la comunicación
 Planificar el control
 Definir políticas
actividadesdeprivacidadcon los principios deCOBIT
Identificar dónde existen los datos personales dentro del entorno
empresarial y cómo se mueven en toda la empresa
Implementar protecciones de privacidad dentro de todas las
funciones y procesos que afectan la privacidad dentro de la empresa
Identificar y comprender las necesidades de
privacidad de las partes interesadas
Generar confianza protegiendo la privacidad
Beneficiar a las personas al reducir su riesgo
de fraude de identidad y otros daños Integración de TI empresarial, seguridad
de la información y privacidad a través de
la alineación de COBIT con estándares y
marcos generalmente aceptados,
incluidos los estándares y marcos
específicos de TI
Centrarse en el negocio para garantizar que los controles y
consideraciones de privacidad se integren en las
actividades comerciales.
Adoptar un enfoque basado en el riesgo para garantizar
que el riesgo de privacidad se mitigue de manera
coherente y efectiva
Proteger las aplicaciones empresariales en las que una
violación de la privacidad tendría el mayor impacto en el
negocio
Promover un comportamiento de privacidad responsable
Identificar el riesgo de privacidad que se basa en
los procesos, estructuras organizativas, tipos de
información, comportamientos y culturas,
servicios y aplicaciones, personas involucradas y el
contexto en el que se utiliza la información.
Proporcionar controles de privacidad
Mitigar el riesgo de privacidad en acciones para
cumplir los objetivos de la empresa
43
44

PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO
Los responsables del tratamiento deben aplicar las medidas técnicas y organizativas adecuadas al tratamiento de los
datos personales
DISEÑO: Verificar desde el diseño si el producto
cumple con los principios de privacidad por diseño
desde todos los enfoques.
DEFECTO: Funciones de privacidad se integran en
cualquier sistema, herramienta o dispositivo,
garantizando el anonimato pase lo que pase
• Identifica los flujos de información: qué se
recopila, por qué se recopila y a dónde va.
• Identificar los riesgos de privacidad: identificar a
los terceros que tienen acceso a los datos del
usuario.
• Identificar e implementar formas de reducir los
riesgos de privacidad.
• Restringir el intercambio de datos
• Minimizan el uso de datos
• Brindar la posibilidad de optar por no compartir
información confidencial
• Diseñar los valores predeterminados de sus
sistemas para garantizar que se requiera un
esfuerzo mínimo para mantener la privacidad
ISO 31700 Protección del consumidor - Privacidad por diseño para bienes y servicios de consumo
45
46

Ejemplos de medidas de protección de datos desde el
diseño
Ejemplos de medidas de protección de datos por defecto
• Configuración de un sistema de acceso a los datos por roles
dentro de una entidad, de forma que únicamente puedan
acceder a ellos los empleados que estrictamente necesiten
hacerlo.
• Aplicar técnicas de seudonimización y de cifrado de los datos
personales a la hora de su almacenamiento.
• Almacenar copias de seguridad de los datos de forma
separada a los originales, de forma que se mantenga su
integridad.
• Que las copias de seguridad que se llevan a cabo sean las
estrictamente necesarias y su acceso se encuentre
restringido.
• Codificación de comunicaciones entre personal de una
empresa, para evitar que terceros puedan tener acceso a
datos personales de forma no autorizada.
• Proporcionar a los usuarios de una página web de llevar a
cabo actividades sin necesidad de darse de alta o de crearse
una cuenta, siempre que ello no sea necesario según la
finalidad.
• Si se lleva a cabo una comunicación mediante formularios de
contacto, establecer como obligatorios los mínimos datos
posibles, siendo todos los demás voluntarios.
• Incorporación de mecanismos de ofuscación para evitar el
tratamiento de datos biométricos en fotos, video, teclado,
ratón, etc.
• Facilitar el ejercicio de derechos de oposición, supresión y
limitación del tratamiento de datos personales.
• Configuración de los plazos de conservación de datos
personales, de forma que este sea el menor tiempo posible.
ISO 31700 Protección del consumidor - Privacidad por diseño para bienes y servicios de consumo
47
48

Principios
para la
protección de
datos desde
el diseño
Actitud
proactiva, no
reactiva;
preventiva, no
correctiva
La privacidad
como
configuración
predeterminada
Privacidad
incorporada en
la fase de diseño
Funcionalidad
total:
pensamiento de
"todos ganan"
Aseguramiento
de la privacidad
en todo el ciclo
de vida de los
datos
Visibilidad y
transparencia
Respeto de la
privacidad de los
usuarios:
mantener un
enfoque
centrado en el
usuario
1. Optimizar: Menor número de
datos personales posible y
durante el menor tiempo
posible.
2. Configurar: Permitir al usuario
limitar el tratamiento de datos
personales
3. Restringir: Tratamiento
limitando
OCHO ESTRATEGIAS A IMPLEMENTAR PARA PROTECCIÓN DEDATOS DESDE EL DISEÑO
1. Minimizar: Recoger y tratar la mínima cantidad de datos posible. Se suelen emplear cuatro tácticas: seleccionar, excluir, podar y
eliminar.
2. Ocultar: Limitar la exposición de los datos. Para dar respuesta a esta estrategia se suelen aplicar cuatro tácticas: restringir, ofuscar,
disociar y agregar.
3. Separar: Evitar, o al menos minimizar, el riesgo de que se pueda llegar a realizar un perfilado completo del sujeto. Las siguientes
tácticas contribuyen a implementar la estrategia de separación: aislar y distribuir.
4. Abstraer: Limitar al máximo el detalle de los datos personales que son tratados. Esta estrategia se centra en el grado de detalle con
el que los datos son tratados y en su agregación mediante el empleo de tres tácticas: sumarizar, agrupar y ofuzcar.
5. Informar: Esta estrategia es la implementación del objetivo y principio de transparencia establecido en el RGPD, informando del
procesamiento de sus datos en tiempo y forma a los sujetos, usando las siguientes tácticas: facilitar, explicar y notificar.
6. Controlar: Persigue el objetivo de proporcionar a los interesados control en relación a la recogida, tratamiento, usos y
comunicaciones realizadas sobre sus datos personales. La implementación de estos mecanismos se apoya en el empleo de las
siguientes tácticas: consentir, alertar, elegir, actualizar y retirar.
7. Cumplir: Asegura que los tratamientos de datos personales sean compatibles y respeten los requisitos y las obligaciones legales
impuestas por la normativa. La cultura de la privacidad debe formar parte esencial de la organización y hacer partícipes a todos los
miembros de ésta.
8. Demostrar: Pretende que, de acuerdo con el artículo 24 del RGPD, el responsable del tratamiento pueda demostrar, tanto a los
interesados como a los autoridades de supervisión, el cumplimiento de la política de protección de datos que esté aplicando, así
como el resto de requisitos y obligaciones legales impuestas (responsabilidad proactiva). Las tácticas que permiten garantizar y
poder demostrar conformidad al RGPD son: registrar, auditar e informar.
49
50

Escenariosde amenazas Vulnerabilidades Riesgos
 Dispositivos informáticos potentes y
portátiles(por ejemplo,teléfonos
inteligentes, tabletasy computadoras
portátiles) que facilitan cada vez más la
recopilación, agregación y difusión de
información
 Aumento del número de relaciones con
terceros (por ejemplo, proveedores de
conexiones y aplicaciones)
 Aumento de la concentración de la
infraestructura del ciberespacio (por
ejemplo, centros de datos y redes
troncales de comunicación)
 Leyesy regulacionesque
comprometen la privacidad
 Profesionalización de los atacantes (por
ejemplo, equiposindividualesy equipos
financiados por el estado)
 Aumento del número de personas que realizan
actividades en el ciberespacio
 Aumento del número de fuentes para
recopilar datos (porejemplo,cámarasIP,
biométricas, GPS, RFID, etc.)
 Usuarios sin educación / inconscientes con
respecto a la privacidad del ciberespacio
 Faltade preocupaciones de protección de la
privacidad en aplicaciones / desarrollo de
sistemas
 Datos másvaliosos que se almacenan y
procesan electrónicamente a escala masiva y
centralizada (por ejemplo, almacenes de datos)
 Información compartida,combinaday vinculada
con mayor frecuencia
 Usode credenciales comunes para acceder a
varios sistemas
 Recopilación de información no
requerida para el propósito principal
 Mantenimiento de la información
más allá del tiempolegítimo de uso
 Divulgación de información
confidencial sobre la vida o el
negocio de uno
 Promoción de información
incorrecta que compromete la
reputación
 Robo de identidad
 Aplicaciones / sistemas sin
funcionalidades / controles
adecuados de protección de la
privacidad
Riesgos para la privacidad en el ciberespacio
Ciberseguridad Protección de la privacidad
Confidencialidad de la información
almacenada en las TIC
El aspecto más directo de la ciberseguridad con respecto a la
protección de la privacidad, que abarca todos los conceptos
discutidos (el derecho a ser dejado de lado, el acceso limitado, los
estados de privacidad y el secreto).
Integridad de la información almacenada
/ procesada
Esta relación es más implícita, ya que se debe preservar la
integridad de las reglas establecidas para controlar quién tiene
acceso a la información y quién puede alterarla para garantizar la
privacidad del usuario.
Disponibilidad y fiabilidad de las
Tecnologías de la Información y la
Comunicación (TIC)
Los activos de TIC deben estar disponibles y ser fiables a la
manera de proporcionar las funcionalidades necesarias para
garantizar el control adecuado de la privacidad.
Las relaciones entre ciberseguridad y protección de la privacidad
51
52

ISO/IEC 24760-1Seguridady privacidad deTI — Un marco parala gestión deidentidades
 Gestión de credenciales, administración de la
información de identidad, Ciclo de vida de la
identidad digital
 Se debe implementar medidas para proteger la
privacidad de las entidades humanas con las que
interactúan los sistemas, con capacidad para:
 Aplicar mecanismos, incluidas políticas,
procesos y tecnología, para una divulgación
mínima de datos privados;
 Autenticar entidades que utilizan
información de identidad;
 Minimizar la capacidad de vincular
identidades;
 Registrar y auditar el uso de la información
de identidad
Cláusula
número Título Observaciones
5
Políticasde seguridadde la
información
Se proporciona orientación específica del sector para la aplicación y otra información.
6
Organización de la seguridadde la
información
Se proporciona orientación específica del sector para la aplicación.
7 Seguridad de los recursoshumanos Se proporciona orientación específica del sector para la aplicación y otra información.
8 Gestiónde activos No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información.
9 Control de acceso
Se proporcionan orientaciones sectoriales sobre la aplicación, para facilitar una referencia cruzada a los controles
que figuran en el anexo A.
10 Criptografía Se proporciona orientación específica del sector para la aplicación.
11 Seguridad físicay ambiental
12 Seguridad de las operaciones Se proporciona orientación específica del sector para la aplicación.
13 Seguridad de las comunicaciones
14
Adquisición, desarrolloy
mantenimientode sistemas
No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información.
15 Relacionescon proveedores No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información.
16
Gestiónde incidentesde seguridad
de la información Se proporciona orientación específica del sector para la aplicación.
17
Aspectos de seguridadde la
informaciónde la gestión de la
continuidad del negocio
No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información.
18 Conformidad
Ubicación de las orientaciones sectoriales y otra información para la aplicación de los controles en ISO/IEC 27002
53
54

Cláusula
5
Políticas de seguridad de la
información
Las políticas de seguridad de la información deben complementarse con una declaración sobre el apoyo y
compromiso de lograr el cumplimiento de la legislación de protección de PII aplicable y el contrato
términos acordados entre el procesador de PII en la nube pública y sus clientes (clientes de servicios en la nube)
6
Organizaciónde la seguridad de
la información
El procesador de PII en la nube pública debe designar un punto de contacto para que lo utilice el cliente del servicio
en la nube con respecto al procesamiento de la PII en virtud del contrato.
7
Seguridad de los recursos
humanos
Sensibilización, educación y formación en seguridad de la información: Se deben implementar medidas para que el
personal relevante sea consciente de las posibles consecuencias en el procesamiento de PII en la nube pública (por
ejemplo, consecuencias legales, pérdida de negocio y marca o daño a la reputación), consecuencias de control
interno (por ejemplo, consecuencias disciplinarias) y en la dirección de PII (por ejemplo, consecuencias físicas,
materiales y emocionales) de infringir las reglas y procedimientos de privacidad o seguridad, especialmente aquellos
que se refieren al manejo de PII.
9 Control de acceso
1. En el contexto de las categorías de servicio de la arquitectura cloud, el cliente del servicio en la nube puede ser
responsable de algunos o todos los aspectos de la gestión de acceso para los usuarios del servicio en la nube bajo
su control.
2. Los procedimientos para el alta y baja de cuentas de usuarios deben abordar la situación en la que el control de
acceso del usuario se vea comprometido, por ejemplo, como resultado de una divulgación inadvertida de
contraseña.
10 Criptografía
El procesador de PII en la nube pública debe proporcionar información al cliente sobre los métodos que utiliza para la
criptografía aplicada en la protección de la PII que procesa (por ejemplo, datos de salud relacionados con un principal
de PII, números de registro de residente, números de pasaporte y números de licencia de conducir), incluyendo
cualquier capacidad que brinde que pueda ayudar al cliente a aplicar su propia protección criptográfica.
11 Seguridad física y ambiental
A los efectos de la eliminación o reutilización segura, el equipo tecnológico que contenga medios de almacenamiento
que posiblemente puedan contener PII debe tratarse como si lo hiciera.
Cláusula
12 Seguridad de las operaciones
1. Cuando no se pueda evitar el uso de PII con fines de prueba, se debe realizar una evaluación de riesgos e
implementar medidas técnicas y organizativas para minimizar los riesgos identificados.
2. Se deben crear o mantener múltiples copias de datos en ubicaciones físicas y / o lógicamente diversas (que
pueden estar dentro del propio sistema de procesamiento de información) con el fin de realizar copias de
seguridad y / o recuperación.
3. Deben establecerse procedimientos para permitir la restauración de las operaciones de procesamiento de datos
dentro de un período documentado específico después de un evento adverso grave.
4. Se debe implementar un proceso para revisar los registros de eventos con una periodicidad documentada
específica, para identificar irregularidades y proponer esfuerzos de remediación.
5. Siempre que sea posible, los registros de eventos deben registrar si la PII ha sido cambiada (agregada,
modificada o eliminada) como resultado de un evento y por quién.
6. Cuando a un cliente de servicio en la nube se le permite acceder a los registros controlados por el procesador de
PII, éste debe asegurarse de que el cliente solo pueda acceder a sus registros, y que no pueda acceder a ningún
otro registro de otros clientes de servicios en la nube.
7. La información contenida en logs con fines tales como monitoreo de seguridad y diagnóstico operativo puede
contener PII, por lo que se deben implementar medidas para controlar el acceso a estos archivos y para
garantizar que la información registrada solo se utilice para los fines previstos. Debe establecerse un
procedimiento, preferiblemente automático, para garantizar que la información registrada se elimine dentro de
un período especificado y documentado.
55
56

Cláusula
13
Seguridad de las
comunicaciones
Siempre que se utilicen medios físicos para la transferencia de información, se debe establecer un sistema para
registrar los medios físicos entrantes y salientes que contengan PII, incluido el tipo de medio físico, el remitente /
destinatario autorizado, la fecha y hora, y la cantidad de medios físicos. . Siempre que sea posible, se debe solicitar a
los clientes de servicios en la nube que implementen medidas adicionales (como el cifrado) para garantizar que solo se
pueda acceder a los datos en el punto de destino y no en el camino.
16
Gestión de incidentes de
seguridad de la información
1. En el contexto de toda la arquitectura de referencia de la computación en la nube, puede haber roles compartidos
en la gestión de incidentes de seguridad de la información y la realización de mejoras.
2. Un incidente de seguridad de la información debe desencadenar una revisión por parte del procesador de PII de la
nube pública, como parte de su proceso de gestión de incidentes de seguridad de la información, para determinar si
se ha producido una violación de datos que involucre PII
18 Conformidad
1. El procesador de PII en la nube pública debe poner a disposición de los clientes del servicio, antes de celebrar un
contrato y durante la duración de un contrato, evidencia de que la seguridad de la información se implementa y
opera de acuerdo con las políticas y procedimientos del procesador de PII en la nube pública.
2. Una auditoría independiente relevante seleccionada por el procesador de PII en la nube pública es un método
aceptable para satisfacer el interés del cliente, siempre que se proporcione suficiente transparencia.
Etapas del nivel de madurez de la compañía entorno a los datos corporativo
Inactiva:
Procesos: hay desconocimiento del impacto e importancia del dato.
Evolución: para pasar a la siguiente etapa, es necesario un proceso de
culturización del dato.
Reactivo:
Personas: La empresa ya es consciente de la importancia del dato pero
no dispone todavía de roles específicos en la gestión del dato.
Tecnología: No hay soluciones tácticas dentro de los silos
departamentales.
Evolución: Es necesario organizar la gestión del dato y su estrategia.
Acciones como el mapa de estrategia o un programa de transformación
de Gobierno del Dato permiten evolucionar a la siguiente etapa de
madurez.
Proactivo:
Personas: La empresa ya dispone de patrocinadores, charters y métricas
de éxito.
Procesos: clara identificación entre negocio y IT.
Tecnología: Foco en el descubrimiento y análisis de causa.
Evolución: Implantación de un modelo de Gobierno del Dato.
Optimizado:
Personas: Organización de datos implantada y responsable de los
activos corporativos.
Procesos: Calidad de los datos monitoreados como parte de las
operaciones estándar.
Tecnología: Enfoque de plataforma para perfilar, monitorizar y visualizar
datos.
57
58

DPO
Delegado de
Protección
de Datos
La persona responsable deberá:
 Ser independiente e informar directamente al nivel de gestión adecuado
de la organización con el fin de garantizar una gestión eficaz de los riesgos
de privacidad;
 Participar en la gestión de todas las cuestiones relacionadas con la
tramitación de la II;
 Ser experto en legislación, regulación y práctica en materia de protección
de datos;
 Actuar como punto de contacto para las autoridades de supervisión;
 Informar a la alta dirección y a los empleados de la organización de sus
obligaciones con respecto al procesamiento de la II;
 Proporcionar asesoramiento con respecto a las evaluaciones de impacto
en la privacidad realizadas por la organización.
Asesorar sobre protección de datos, supervisar el cumplimiento de la norma y servir de contacto entre la
empresa, la autoridad y los empleados.
 Obligatorio en organizaciones
con más de 250 trabajadores
 Con menos de 250 empleados,
obligatorio cuando necesiten un
seguimiento sistemático y
periódico de los datos
personales tratados para la
monitorización o investigación
de mercados, análisis de riesgos
o datos crediticios o de
solvencia patrimonial, datos
sensibles
DPO
Delegado de
Protección
de Datos
 Nuevos entornos digitales y evolución
tecnológica para el procesamientos masivos
de datos o afectación a datos sensibles
 Velar por el cumplimiento legal y técnico en
las entidades
 Garantizar el cumplimiento de la normativa
de privacidad y protección de datos de su
organización
 Especialistas de la legislación y las prácticas
en materia de protección de datos
59
60

CDO
CHIEF DATA OFFICER
Asume total responsabilidad de la
estrategia con los datos y la
información, estableciendo las
políticas, criterios y procesos.
Oficina de
Gobierno del
Dato
Encargado de
velar por el cumplimiento de la
estrategia, Políticas, criterio y
procesos
Citizen Data
Scientist
Responsable de generar modelos
tanto de datos como negocio, a
partir del análisis predictivo o
Prescriptivo, (Intermedio entre Data
Scientist y el Business Analyst)
Data Owner Experto encargado de garantizar
la correcta gestión de los ámbitos
de los que es responsable.
Data
administrator
Responsables de ejecutar en su
ambito las
políticas, criterios y procesos
basándose en la
estrategia del Gobierno del Dato
Data
Architect
Asegura la coherencia de los
datos residentes en los
aplicativos, tanto a nivel de
definición como de calidad y
seguridad, y asesora al equipo
NISTIR 8062 Introducción a la ingeniería y la gestión de riesgos de privacidad
61
62

NISTIR 8062 Objetivos de ingeniería de privacidad
Previsibilidad
Permitir suposiciones
confiables por parte de
individuos, propietarios
y operadores sobre la
PII y su procesamiento
por un sistema de
información
Manejabilidad
Proporcionar la
capacidad para la
administración
granular de PII,
incluida la
alteración, la
eliminación y la
divulgación
selectiva.
Disociabilidad
Permitir el
procesamiento de PII o
eventos sin asociación a
personas o dispositivos
más allá de los
requisitos operativos de
los sistemas.
¿Cuáles son los riesgos de privacidad asociados con un censo de
población?
En particular, el riesgo del uso secundario sobre la información por parte
del Gobierno (como actor de amenazas) de la información de etnicidad
(violación de la privacidad) que resulta en la pérdida de libertad
(consecuencia adversa) para las personas en el país (población afectada)
NISTIR 8062 Introducción a la ingeniería de privacidad y la gestión de riesgos en sistemas federales
ejemplo
63
64

Capacidad
Severidad
La probable frecuencia y magnitud probable de
futuras violaciones de la privacidad.
La frecuencia probable, dado un marco de tiempo, que
un actor de amenazaactúa hacia un individuo de una
manera que es una posible violación de la privacidad.
La frecuencia
probable, dado un
marco de tiempo, en
el que un actor de la
amenazaentrará en
contacto con un
individuo o la
información del
individuo.
La probabilidad de
que un actor de
amenazas actúe de
una manera que sea
una posible violación
de la privacidad, si se
le da la oportunidad.
Las habilidadesy
recursos disponibles
para que un actor de
amenazas, en una
situación dada, actúe
de una manera que
sea una posible
violación.
Los impedimentos que
un actor amenaza, en
una situación dada,
debe superar para
actuar de una manera
que sea una posible
violación.
La frecuencia probable
consecuencias
adversas para la
población afectada.
La magnitud probable
de las consecuencias
adversas sobre la
población afectada.
La probable gravedad de la violación de la privacidad
de la población afectaday los consiguientesriesgos
para esa población
La gravedad probable de la violación de la
privacidad en toda la población en riesgo. La
gravedad de la nota es subjetiva y comparativa
con otras violaciones similares
La frecuencia probable y la
magnitud probable de las
consecuencias adversas sobre
la población afectada
Riesgo de
privacidad
Frecuencia de
acción
Intento de
frecuencia
Vulnerabilidad
Oportunidad de
amenaza
Probabilidad de
acción
Dificultad
Magnitud de
violación
Consecuencias
secundarias Riesgo
Consecuencias
Frecuencia
Consecuencias
Magnitud
La probabilidad de que
los actos de un actor de
amenazas tengan éxito.
La frecuencia probable, dado un marco
de tiempo, que una amenaza se
materializa sobre los datos de un
individuo
Análisis de factores en el riesgo privacidad de información según NISTIR 8062
Diagrama de
flujo de datos
65
66

Auditoría de privacidad de datos
Defina los objetivos de la auditoría
 Primero, considere las siete categorías de privacidad:
 Privacidad de la persona
 Privacidad de comportamiento y acción
 Privacidad de la comunicación
 Privacidad de datos e imagen (información)
 Privacidad de pensamientos y sentimientos
 Privacidad de la ubicación y el espacio (territorial)
 Privacidad de la asociación
 Considere el riesgo de privacidad que puede conducir a una publicidad adversa y daños a la
reputación que resultan en pérdidas económicas y de clientes, incluidas multas.
 Finalmente, considere los objetivos de la auditoría. Es probable que esto incluya el
cumplimiento de las leyes y regulaciones.
67
68

Ejemplosderiesgodeprivacidad
Categoría de privacidad Ejemploderiesgo
Privacidad de comportamiento y acción
Las redes sociales contienen información, imágenes, video y audio que
revelan actividades personales, orientaciones y preferencias, muchas de las
cuales son de naturaleza sensible y pueden afectar a los interesados.
Privacidad de pensamientos y sentimientos
El análisis de big data tiene el potencial de tomar grandes cantidades de datos
y revelar los pensamientos o sentimientos de individuos específicos en función
de los datos que proporcionan o que otros proporcionan sobre ellos. Tales
conocimientos pueden tener un impacto negativo si se toman medidas debido
a los hallazgos analíticos.
Privacidad de la ubicación y el espacio
(territorial)
Los dispositivos informáticos de propiedad privada que se utilizan para
actividades comerciales también pueden grabar imágenes y audio. Tales
imágenes y audio crean un riesgo de privacidad si los dispositivos también se
utilizan para realizar actividades comerciales dentro del lugar de trabajo.
Número de
principio Principio Control de evidencias del programa de auditoría
1 Elección y consentimiento
Cuando se obtiene información de identificación personal (PII) de individuos, se
obtiene el consentimiento.
2
Especificación del propósito legítimo y
limitación del uso
Existen directrices claras para garantizar el uso y la retención adecuados de los datos en
toda la empresa.
3
Ciclo de vida de la información
personal y la información confidencial
Existen directrices claras para garantizar el uso, retención y la eliminación adecuados de
los datos en toda la empresa..
4 Precisión y calidad
Determine si la guía de administración de registros describe la estrategia y los
procedimientos de la empresa con respecto al mantenimiento, la retención y la
destrucción de registros de acuerdo con todas las leyes y regulaciones estatales y
federales.
5 Apertura, transparencia y aviso Cuando se obtiene PII de individuos, se obtiene el consentimiento.
6 Participación individual
El propósito y el alcance / aplicabilidad del proceso de gestión de registros están
claramente definidos.
7 Responsabilidad
Los roles y responsabilidades de las personas involucradas en la gestión del gobierno
de datos para la privacidad, confidencialidad y cumplimiento para la empresa se han
definido claramente.
Principios de privacidad de ISACA
69
70

Número de
principio Principio Control de evidencias del programa de auditoría
8 Medidas de seguridad
Existen estándares de cifrado de datos apropiados para los datos en reposo, y se
llevan a cabo campañas de concientización apropiadas para capacitar a los
empleados.
9
Monitoreo, medición y presentación
de informes
Se tiene en cuentala conciencia y se utilizan métricas clave para la conformidad y el
cumplimiento de la capacitación requerida.
10 Prevención de daños
La integración de las evaluaciones de impacto en la privacidad (PIA) está
firmemente establecida en la empresa y existen herramientas y monitoreo
adecuados para la validación del cumplimiento.
11 Gestión de terceros/Proveedores
El lenguaje contractual para la gestión de piI por parte de terceros se incluye y
acuerda adecuadamente.
12 Gestión de incumplimiento/desvíos
El plan de escaladade infracciones está en marcha para reaccionar a las infracciones de
PII.
13 Seguridad y privacidad por diseño
La desidentificación de datos en toda la empresa se aplica adecuadamente a través de
herramientas y medios automatizados.
14
Libre flujo de información y restricción
legítima
Las políticas y los requisitos de privacidad global se han modificado para alinearse con
los requisitos específicos de la región o el país.
Principios de privacidad de ISACA
Legislación argentina | Agencia de Acceso ala Información Pública
Fiscalización en materia de datos personales
Aspectos generales relativos a la protección de los datos personales:
A. Licitud del tratamiento;
B. Calidad de los datos personales tratados;
C. Consentimiento del titular del dato;
D. Información;
E. Categorías especiales de datos;
F. Seguridad;
G. Confidencialidad;
H. Cesión y transferencia internacional de datos personales;
I. Prestación de servicios de información crediticia;
J. Tratamiento de datos con fines de publicidad;
K. Procedimientos para el ejercicio de los derechos de los titulares de los datos personales,
acceso, rectificación, actualización o supresión.
L. Existencia de una evaluación de impacto en materia de protección de datos personales;
M. Términos y condiciones y política de privacidad del responsable;
N. Actuación del Responsable o delegado de protección de datos;
O. Sistema de notificaciones a los titulares de datos y a la Agencia de Acceso a la Información
Pública en caso de incidentes de seguridad.
Criterios de selección de
inspeccionados:
A. Impacto del tratamiento de datos en la
privacidad de las personas;
B. Volumen de tratamiento de datos;
C. Clase de datos tratados;
D. Cantidad de denuncias recibidas por el
organismo;
E. Gravedad de las denuncias recibidas;
F. Actividad que desarrolla.
71
72

Legislación argentina | Agencia de Acceso ala Información Pública
Fiscalización en materia de datos personales – anexo ii
 1. LICITUD DEL TRATAMIENTO
 LICITUD DEL TRATAMIENTO EN CASO DE DATOS PERSONALES
 LICITUD DEL TRATAMIENTO EN CASO DE DATOS SENSIBLES
 TRATAMIENTOS RELATIVOS A CONDENAS E INFRACCIONES PENALES
 2. CALIDAD DE LOS DATOS
 3. CONSENTIMIENTO
 CONSENTIMIENTO GENERAL
 CONSENTIMIENTO DE NIÑOS
 4. INFORMACIÓN
 5. SEGURIDAD Y CONFIDENCIALIDAD
 6. CESION DE DATOS
 7. TRANSFERENCIA INTERNACIONAL DE DATOS
 8. PRESTACIÓN DE SERVICIOS DE INFORMACIÓN CREDITICIA
 9. PUBLICIDAD
 10. DERECHOS DEL TITULAR DE DATOS
Este documentocontiene los lineamientos generales a tener en cuenta por los inspectores parala fiscalización de las actividades de
tratamiento de datos personales. Contiene las bases de fiscalización, constituido por las verificaciones jurídicas y las verificaciones técnicas,
que se llevan a cabo al momento de la visita al responsable o usuario de las bases de datos.
74
certificación de protección de datos en sistemas informáticos – TRUST IT
Procedimiento de certificación en el que la evaluación de la privacidad de un proceso se combina con la evaluación de la seguridad del
sistema de TI correspondiente. El nivel de calidad de la protección de datos que se ha logrado se establece en función del cumplimiento de
requisitos. En este proceso, se incluye en la investigación una serie de características de calidad, que se enumeran a continuación:
 Requerimientos legales
 Permisibilidad de procesamiento
 Derecho del cliente sobre sus datos
 Derecho de los empleados sobre sus datos
 Seguridad en el procesamiento de datos personales en productos IT
 Transparencia
 Gestión de la calidad de la protección de datos
 Seguridad de datos (control de acceso físico y lógico, control de transmisión,
control de entrada, control de procesamiento, disociación)
 Investigación del sistema desde el punto de vista técnico (seguridad de
componentes, gestión del sistema, pruebas de intrusión y auditorías técnicas)
73
74

Aspectos dela evaluación Elementos deprueba
Requisitos legales  Categoría legal del objeto de prueba
 Requisitos formales
 Requisitos para las diferentes fases de procesamiento
 Operación transfronteriza
 Responsabilidades
 Descripción de los requisitos para el objeto de prueba
Permisibilidad del
tratamiento
 Propósito
 Autorizaciones y justificación para el procesamiento de datos, por ejemplo:
 Contrato y relaciones de confianza similares al contrato
 Interés justificado del responsable del tratamiento
 Interés justificado de un tercero
 Interés público justificado
 Fuentes de acceso general/público
 Transmisión en forma de lista
 Acuerdo del interesado
 Otras regulaciones legales o legislación
 Cumplimiento de los principios básicos de protección de datos y privacidad
 Respeto de los derechos de los interesados
 Medidas técnicas y organizativas
 Condiciones estructurales
 Proporcionalidad
 Declaración de obligaciones
Aspectos de la evaluación Elementos de prueba
Compatibilidad con los
interesados
 Notas que llaman la atención sobre la protección de datos
 Participación
 Posibilidad de que las personas protejan sus propios datos personales por medios técnicos u organizativos
 Aceptación de los medios técnicos y organizativos
 Descripción adecuada del producto
 Instrucciones de instalación
 Posibilidad de formación o información b
Transparencia  Transparencia de la política de protección de datos
 Transparencia de los medios técnicos y organizativos utilizados
Gestión de la calidad de la
 Política de protección de datos
 Análisis de riesgos
 Responsabilidad de la protección de datos
 Cualificación en materia de protección de datos
 Notas que llaman la atención sobre la protección de datos
 Documentación
 Proceso de mejora continua
 Administración del sistema
 Documentación
75
76

77
Seguridad de los datos  Control de entrada
 Control de acceso físico
 Control de acceso a datos
 Control de transmisión
 Control de entrada de datos
 Control de pedidos
 Control de disponibilidad
 Separación de datos
Inspección de seguridad  Seguridad de los componentes utilizados, también seguridad de la red y del transporte de datos
 Medios y métodos utilizados para la gestión del sistema
 Pruebas e inspecciones
Conclusiones
77
78

• No pidas más información de la necesaria.
• Haz que los datos personales sean anónimos para que no se puedan conectar a una
persona específica.
• Tener una política de privacidad clara, accesible y actualizada periódicamente.
• Proporcionar opciones para que los usuarios configurar sus preferencias de
recopilación de datos.
• Recuerda a los usuarios que revisen su configuración de privacidad.
• Eliminar datos antiguos.
• Sigue el enfoque Security by Design mediante la automatización de los controles de
seguridad de los datos en los sistemas de TI.
• Desarrolle procedimientos para detectar, informar e investigar de manera efectiva las
violaciones de datos.
conclusiones
 ISO/IEC 17789, Computación en la nube — Arquitectura de referencia
 ISO/IEC 27001, Sistemas de gestión de la seguridad de la información — Requisitos
 ISO/IEC 27005, Riesgo para la seguridad de la información - Administración
 ISO/IEC 27035, Incidente de seguridad de la información - Administración
 ISO/IEC 27036-4, Seguridad de la información para las relaciones con los proveedores
 ISO/IEC 27040, Seguridad del almacenamiento
 ISO/IEC 29100:2011, Marco de privacidad
 ISO/IEC 29101, Marco de arquitectura de privacidad
 ISO/IEC 29134, Directrices para el impacto en la privacidad - Evaluación
 ISO/IEC 29191, Requisitos para la autenticación parcialmente anónima y parcialmente desvinculable
 ISO/IEC JTC 1/SC 27, WG 5 — Parte 1: Lista de Referencias de Privacidad. Última versión, disponible en
http://www.jtc1sc27.din.de/sbe/wg5sd2
 BS 10012:2009, Protección de datos. Especificación para un sistema de gestión de información personal
 JIS Q 15001:2006, Sistemas de gestión de protección de la información personal — Requisitos
 NIST SP 800-53rev5, Security and Privacy Controls for Federal Information Systems and Organizations
 NIST SP 800-122, Guía para proteger la confidencialidad de la información de identificación personal
 NIST SP 800-144, Directrices sobre seguridad y privacidad en la computación en la nube pública
 ENISA. Informe sobre Cloud Computing: Beneficios, riesgos y recomendaciones para la seguridad de la
información, 2009 de noviembre (http://www.enisa.europa.eu/activities/risk-management/files/
entregables/cloud-computing-risk-assessment/at_download/fullReport)
 Unión Europea, Grupo del Artículo 29, Dictamen 05/ 2012 sobre la computación en nube, adoptado en
julio de 2012: (http://ec.europa.eu/justice/data-protection/article-29/documentation /opinion-
recommendation/files/2012/wp196_en.pdf)
79
80

API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
Gracias por acompañarnos
81

SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS

Similar a SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (20)

Más de Fabián Descalzo

Más de Fabián Descalzo (20)

Último

Último (10)

SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS