protección de datos personales en entornos corporativos
TRANSCRIPT
Protección de Datos Personales en Entornos
Corporativos
#Ley25326 - #Privacidad
11/06/2015 1FORUM – Congreso de Seguridad de la
Información
11/06/2015 2FORUM – Congreso de Seguridad de la
Información
11/06/2015 3
El Origen
Noticias de la Realidad
Disposiciones de la DNPDP
Bancos de Datos
#Ciberseguridad
#GuíasDeSeguridad
Preguntas
FORUM – Congreso de Seguridad de la Información
11/06/2015 4FORUM – Congreso de Seguridad de la
Información
Advertencia
Referencias:http://www.urgente24.com/sites/default/files/notas/2014/11/15/abogados.jpg
11/06/2015 5FORUM – Congreso de Seguridad de la
Información
El OrigenAllá lejos y hace tiempo
Referencias Internacionales
• Ley Orgánica Protección de Datos (LOPD).
• Agencia Española de Protección de Datos (AEPD).
Decreto 1558/2001
• Reglamenta Ley 25326 (hace 14 años).
• Creación Dirección Nacional de Protección de Datos Personales.
Ley 25326
• Órgano de Control DNPDP
• Derechos y Obligaciones.
• Registro de Bancos de Datos Personales
• Disposiciones ComplementariasReferencias:http://www.jus.gob.ar/media/33382/Decreto_1558_2001.pdfhttp://www.agpd.es
11/06/2015 6FORUM – Congreso de Seguridad de la
Información
Archivo, registro, base o banco de datos
• Indistintamente, designan al conjunto organizado de datos personales que seanobjeto de tratamiento o procesamiento, electrónico o no (puede ser en papel),cualquiera que fuere la modalidad de su formación, almacenamiento, organizacióno acceso (art. 2 de la Ley Nº 25.326).
Datos Informatizados
• Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado
Referencias:http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
El Origen (Cont.)Definiciones
11/06/2015 7FORUM – Congreso de Seguridad de la
Información
El Origen (Cont.)Definiciones
Datos Personales
• Información de cualquier tipo referida a personas físicas o de existencia idealdeterminadas o determinables (art. 2 de la Ley Nº 25.326)
Datos Sensibles
• Datos personales que revelan origen racial y étnico, opiniones políticas,convicciones religiosas, filosóficas o morales, afiliación sindical e informaciónreferente a la salud o a la vida sexual (art. 2 de la Ley Nº 25.326).
Consentimiento del interesado
• Toda manifestación de voluntad, libre, expresa e informada, mediante la cual el titular autorice el tratamiento de sus datos personales (art. 5 de la Ley Nº 25.326).
Referencias:http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
11/06/2015 8FORUM – Congreso de Seguridad de la
Información
El Origen (Cont.)Algunos Derechos
Derecho de Acceso
• Permite al titular del dato saber si se encuentra o no incluido en un banco de datos; todos los datos relativos a su persona incluidos en ese banco de datos; la finalidad del tratamiento y los eventuales cesionarios de la información.
• Respuesta 10 días corridos.
Derecho al Olvido
• Derecho del titular del dato personal a que se suprima información personal que se considera obsoleta por el transcurso del tiempo o que, de alguna manera, afecta el libre desarrollo de alguno de sus derechos fundamentales.
Derecho de rectificación, actualización y supresión
• Permiten corregir la información falsa, errónea, incompleta o incorrecta existente en una base de datos
Referencias:http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
11/06/2015 9FORUM – Congreso de Seguridad de la
Información
El Origen (Cont.)Algunos Roles y Responsabilidades
Tratamiento de Datos
• Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general, el procesamiento de datos personales así como también, su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias (art. 2 de la Ley Nº 25.326).
Consentimiento del interesado
• Toda manifestación de voluntad, libre, expresa e informada, mediante la cual el titular autorice el tratamiento de sus datos personales (art. 5 de la Ley Nº 25.326).
Responsable de archivo, registro, base o banco de datos
• Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos (art. 2 de la Ley Nº 25.326).
Referencias:http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
11/06/2015 10FORUM – Congreso de Seguridad de la
Información
Noticias de la Realidad
Riesgos de Terceras Partes
Falta de Preparación para
Responder a Incidentes
Configuraciones Inseguras
Intercambio Inseguro de Información
11/06/2015 11FORUM – Congreso de Seguridad de la
Información
Disposiciones DNPDP¿Qué hay que saber?
La Dirección Nacional de Protección de Datos Personales establece DisposicionesComplementarias que establecen requisitos de cumplimiento a los distintos artículos de laLey 25326.
• Disposición 10/08
Leyendas Derecho de Acceso
• Disposición 12/08
ISOLOGO
• Disposición 07/08
Política de Privacidad
• Disposición 04/09
Derecho de Acceso Comunicación Fines Publicitarios
• Disposición 07/08
Acuerdo de Confidencialidad
• Disposición 11/06
Medidas de Seguridad
• Disposición 09/15
Sanciones
11/06/2015 12FORUM – Congreso de Seguridad de la
Información
Disposiciones DNPDP¿Qué impacto tienen?
Deben estar disponibles,según el caso, en todo tipo decomunicación con el titular delos datos.
• Sitio Web
• IVR
• Atención al Cliente
• Comunicaciones Electrónicas
• Correo Postal
• Etc.
Deben contar conprocedimientosimplementados para sucumplimiento
• Derecho de Acceso
• Sanciones/Punitorios/Quejas
• Respuesta a Incidentes
Establecen Requisitos Técnicosy Administrativos
• Se deben establecer controles de seguridad que garanticen su Confidencialidad, Disponibilidad e Integridad.
Empresa Responsable de Custodia
Cesión a Terceros
TratamientoTransferencia Internacional
Uso en base a Finalidad declarada
El dueño de los datos es
el titular.
11/06/2015 13FORUM – Congreso de Seguridad de la
Información
Bancos de Datos¿Qué bancos de datos solemos tener?
• Según el tipo de dato podrían ser sensibles. Por ej: exámenesmédicos, afiliación sindical, etc.RRHH
• Según el tipo de dato podrían ser sensibles. Por ej: exámenesmédicos, afiliación sindical, etc.Clientes
• Suelen ser datos personalesProveedores
• Suelen ser datos personales
• Nueva Disposición 10/15Videovigilancia
• Según el tipo de diálogo que se mantenga podrían ser datossensibles. Es poco frecuente.
• Relación con PCI-DSS.Llamadas de Voz
11/06/2015 14FORUM – Congreso de Seguridad de la
Información
Bancos de DatosRequisitos Básicos
Registro delBanco deDatos
FormularioAsociado
Finalidad delos Datos
Descripcióndel Motivopor el cualse solicitanlos datos
Responsablesdel Banco deDatos
Persona deContactoPrincipalpara elEjercicio deDerechos
Medidas deSeguridad
Disposición11/2006
• Nivel Básico
• Nivel Medio
• Nivel Crítico
11/06/2015 15FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad¿Cómo cumplimos el marco legal vigente?
11/06/2015 16FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad¿Cómo cumplimos el marco legal vigente? (Cont.)
11/06/2015 17FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad¿Cómo cumplimos el marco legal vigente? (Cont.)
• Involucramiento de todas las áreas
• Adecuación Procesos
• Medir
• Ajustar
• Mantener en el Tiempo
• Alcance
• Fases
• Cambio Cultural
• Sponsor
• Recursos
• Compromiso
Decisión Política
Proyecto
TodosMejora
Continua
11/06/2015 18FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad¿Cómo cumplimos el marco legal vigente? (Cont.)
Framework de Referencia – ISO 27001 (SGSI – PDCA)
Alcance
Procesos
Enfoque Basado En Riesgos
Inventario Activos
Requisitos de Seguridad
11/06/2015 19FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad¿Cómo cumplimos el marco legal vigente? (Cont.)
Framework de Referencia – ISO 27001 (SGSI – PDCA) / ISO 27005
Saber Qué
Tenemos
Saber Cuánto
Vale
Saber Dónde
Está
Saber Qué Debe
Cumplir
Saber Qué le puede
pasar
11/06/2015 20FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad¿Cómo cumplimos el marco legal vigente? (Cont.)
Framework de Referencia – ISO 27001 (SGSI – PDCA)
ISO 27001
PCI DSS / Sarbanes Oxley
BCRA 4609
BCRA 5374
Disposición N°11/2006 DNPDP
Leyes y Regulaciones
Clientes y/o Mercado
Requerimientos Propios
11/06/2015 21FORUM – Congreso de Seguridad de la
Información
#Ciberseguridad¿Cómo cumplimos el marco legal vigente? (Cont.)
Framework de Referencia – ISO 27001 (SGSI – PDCA)
Políticas
Normas
Procedimientos
Instructivos
Guías
11/06/2015 22FORUM – Congreso de Seguridad de la
Información
#CiberseguridadControles de Seguridad – Requerimiento
Artículo 9
• El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
• Queda prohibido registrar datos personales en archivos,registros o bancos que no reúnan condiciones técnicasde integridad y seguridad.
11/06/2015 23FORUM – Congreso de Seguridad de la
Información
#CiberseguridadControles de Seguridad – Disposición N° 11/2006 DNPDP
Nivel Básico
Nivel Medio
Nivel Crítico
11/06/2015 24FORUM – Congreso de Seguridad de la
Información
#CiberseguridadControles de Seguridad – Descripción Nivel Básico
Nivel Básico
•Los archivos, registros, bases y bancos de datos que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de Nivel Básico.
11/06/2015 25FORUM – Congreso de Seguridad de la
Información
#CiberseguridadControles de Seguridad – Descripción Nivel Medio
Nivel Medio
•Los archivos, registros, bases y bancos de datos de las empresas privadas que desarrollen actividades de prestación de servicios públicos, así como los archivos, registros, bases y bancos de datos pertenecientes a entidades que cumplan una función pública y/o privada que, más allá de lo dispuesto por el artículo 10 de la Ley N° 25.326, deban guardar secreto de la información personal por expresa disposición legal (v.g.: secreto bancario).
Suma Medidas de Nivel Básico
11/06/2015 26FORUM – Congreso de Seguridad de la
Información
#CiberseguridadControles de Seguridad – Descripción Nivel Crítico
Nivel Crítico
•Los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como "datos sensibles”
Suma Medidas de Nivel Medio
11/06/2015 27FORUM – Congreso de Seguridad de la
Información
#CiberseguridadControles de Seguridad – Mapeo Disp. N°11/2006 DNPDP vs ISO 27002
Ejemplos
Nivel de las Medidas de Seguridad
Requisito Control de Seguridad ISO 27002
Básico Funciones y obligaciones del personal.8.1.1 Funciones y
Responsabilidades
Básico Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan. 7.1.1 Inventario de Activos
Básico Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan.7.2.1 Directrices de
Clasificación
Medio El Instructivo de seguridad deberá identificar al Responsable (u órgano específico) de Seguridad.6.1.3 Asignación de
Responsabilidades de Seguridad de la Información
MedioRealización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentesen materia de seguridad para datos personales.
15.3 Consideraciones de Auditorias de Sistemas
MedioRealización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentesen materia de seguridad para datos personales.
15.2.2 Verificación de la Compatibilidad Técnica
Medio Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.11.2.3 Gestión de Contraseñas
del Usuario
11/06/2015 28FORUM – Congreso de Seguridad de la
Información
#CiberseguridadControles de Seguridad – Mapeo Disp. N°11/2006 DNPDP vs ISO 27002
Ejemplos
CríticoDistribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal —incluidas las copias de respaldo—, se deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leídos o manipulados durante su transporte.
12.3.1 Política de Utilización de Controles Criptográficos
Crítico
Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años.
10.10.1 Registro de Auditoria
Crítico
Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años.
10.10.4 Sincronización de Relojes
Crítico
Copias de respaldo: además de las que se mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales.
10.8.3 Seguridad de los Medios en Tránsito
Referencias: Controles de Seguridad para Bases de Datos Personaleshttps://drive.google.com/open?id=0B-dOuFrfxS0SbE1pRWs5enA0Um8&authuser=0
11/06/2015 29FORUM – Congreso de Seguridad de la
Información
#CiberseguridadMapeo PCI-DSS vs BCRA 4609 vs BCRA 5374 vs Disp. N°11/2006 DNPDP vs ISO 27002
PCI-DSS
•Monitoree y analice las alertas y la información de seguridad y comuníquelas al personal correspondiente.
•Establezca, documente y distribuya los procedimientos de escalamiento y respuesta ante incidentes de seguridad para garantizar un manejo oportuno y efectivo de todas las situaciones.
BCRA 4609
•Los incidentes y debilidades en materia de seguridad deben registrarse y comunicarse inmediatamente a través de adecuados canales de información, con el objeto de analizar sus causas e implementar mejoras en los controles informáticos a fin de evitar su futura ocurrencia.
BCRA 5374
•Gestión de Incidentes. Complementariamente a lo indicado en el punto 6.2.5., las entidades deben arbitrar los esfuerzos necesarios para contar en sus organizaciones o a través de terceros bajo coordinación y control propio, con equipos de trabajo especializado en la atención, diagnóstico, análisis, contención, resolución, escalamiento e informe de los incidentes de seguridad.
Disp. N°11/2006 DNPDP
•Notificación, gestión y respuesta ante los incidentes de seguridad.
ISO 27002
•Garantizar que los eventos de seguridad de la información y las debilidades asociadas a los sistemas de información se comuniquen de forma tal que se apliquen las acciones correctivas en el tiempo correcto.
11/06/2015 30FORUM – Congreso de Seguridad de la
Información
#CiberseguridadResumen de Controles
• Roles y Responsabilidades
• Clasificación de Activos
• Configuraciones Seguras
• Monitoreo
• Respuesta a Incidentes
• Concientización
• Resguardo y Recupero
• Cifrado
• Control de Cambios
• Separación de Ambientes
• Segregación de Funciones
• Derechos de Acceso, Rectificación, Supresión
• Etc.
11/06/2015 31FORUM – Congreso de Seguridad de la
Información
#CiberseguridadRecomendaciones Finales
• Recursos
• Compromiso
Obtener Apoyo
• Qué datos se utilizan
• Donde y Cómo
Conocer el Entorno
• Por qué? Por qué? Por qué? Por qué? Por qué?
Desafiar Todo
11/06/2015 32FORUM – Congreso de Seguridad de la
Información
#CiberseguridadRecomendaciones Finales (Cont.)
• Definirlo Adecuadamente
• Aislarlo
Alcance
• Borrar es mejor que cifrar
• Respetar “Necesidad de Conocer”
Datos Personales
• Garantizar durante todo el ciclo de vida.
• Medir y Mejorar
#Ciberseguridad
11/06/2015 33FORUM – Congreso de Seguridad de la
Información
#GuíasDeSeguridad
11/06/2015 34FORUM – Congreso de Seguridad de la
Información
11/06/2015 35FORUM – Congreso de Seguridad de la
Información