protección de datos personales en entornos corporativos

Protección de Datos Personales en Entornos

Corporativos

#Ley25326 - #Privacidad

11/06/2015 1FORUM – Congreso de Seguridad de la

Información


Información

11/06/2015 3

El Origen

Noticias de la Realidad

Disposiciones de la DNPDP

Bancos de Datos

#Ciberseguridad

#GuíasDeSeguridad

Preguntas

FORUM – Congreso de Seguridad de la Información


Información

Advertencia

Referencias:http://www.urgente24.com/sites/default/files/notas/2014/11/15/abogados.jpg

http://www.urgente24.com/sites/default/files/notas/2014/11/15/abogados.jpg


Información

El OrigenAllá lejos y hace tiempo

Referencias Internacionales

• Ley Orgánica Protección de Datos (LOPD).

• Agencia Española de Protección de Datos (AEPD).

Decreto 1558/2001

• Reglamenta Ley 25326 (hace 14 años).

• Creación Dirección Nacional de Protección de Datos Personales.

Ley 25326

• Órgano de Control DNPDP

• Derechos y Obligaciones.

• Registro de Bancos de Datos Personales

• Disposiciones ComplementariasReferencias:http://www.jus.gob.ar/media/33382/Decreto_1558_2001.pdfhttp://www.agpd.es

http://www.jus.gob.ar/media/33382/Decreto_1558_2001.pdf

http://www.agpd.es/


Información

Archivo, registro, base o banco de datos

• Indistintamente, designan al conjunto organizado de datos personales que seanobjeto de tratamiento o procesamiento, electrónico o no (puede ser en papel),cualquiera que fuere la modalidad de su formación, almacenamiento, organizacióno acceso (art. 2 de la Ley Nº 25.326).

Datos Informatizados

• Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado

Referencias:http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx

El Origen (Cont.)Definiciones

http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx


Información

El Origen (Cont.)Definiciones

Datos Personales

• Información de cualquier tipo referida a personas físicas o de existencia idealdeterminadas o determinables (art. 2 de la Ley Nº 25.326)

Datos Sensibles

• Datos personales que revelan origen racial y étnico, opiniones políticas,convicciones religiosas, filosóficas o morales, afiliación sindical e informaciónreferente a la salud o a la vida sexual (art. 2 de la Ley Nº 25.326).

Consentimiento del interesado

• Toda manifestación de voluntad, libre, expresa e informada, mediante la cual el titular autorice el tratamiento de sus datos personales (art. 5 de la Ley Nº 25.326).




Información

El Origen (Cont.)Algunos Derechos

Derecho de Acceso

• Permite al titular del dato saber si se encuentra o no incluido en un banco de datos; todos los datos relativos a su persona incluidos en ese banco de datos; la finalidad del tratamiento y los eventuales cesionarios de la información.

• Respuesta 10 días corridos.

Derecho al Olvido

• Derecho del titular del dato personal a que se suprima información personal que se considera obsoleta por el transcurso del tiempo o que, de alguna manera, afecta el libre desarrollo de alguno de sus derechos fundamentales.

Derecho de rectificación, actualización y supresión

• Permiten corregir la información falsa, errónea, incompleta o incorrecta existente en una base de datos




Información

El Origen (Cont.)Algunos Roles y Responsabilidades

Tratamiento de Datos

• Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general, el procesamiento de datos personales así como también, su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias (art. 2 de la Ley Nº 25.326).

Consentimiento del interesado

• Toda manifestación de voluntad, libre, expresa e informada, mediante la cual el titular autorice el tratamiento de sus datos personales (art. 5 de la Ley Nº 25.326).

Responsable de archivo, registro, base o banco de datos

• Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos (art. 2 de la Ley Nº 25.326).




Información

Noticias de la Realidad

Riesgos de Terceras Partes

Falta de Preparación para

Responder a Incidentes

Configuraciones Inseguras

Intercambio Inseguro de Información


Información

Disposiciones DNPDP¿Qué hay que saber?

La Dirección Nacional de Protección de Datos Personales establece DisposicionesComplementarias que establecen requisitos de cumplimiento a los distintos artículos de laLey 25326.

• Disposición 10/08

Leyendas Derecho de Acceso


ISOLOGO


Política de Privacidad


Derecho de Acceso Comunicación Fines Publicitarios


Acuerdo de Confidencialidad


Medidas de Seguridad


Sanciones


Información

Disposiciones DNPDP¿Qué impacto tienen?

Deben estar disponibles,según el caso, en todo tipo decomunicación con el titular delos datos.

• Sitio Web

• IVR

• Atención al Cliente

• Comunicaciones Electrónicas

• Correo Postal

• Etc.

Deben contar conprocedimientosimplementados para sucumplimiento

• Derecho de Acceso

• Sanciones/Punitorios/Quejas

• Respuesta a Incidentes

Establecen Requisitos Técnicosy Administrativos

• Se deben establecer controles de seguridad que garanticen su Confidencialidad, Disponibilidad e Integridad.

Empresa Responsable de Custodia

Cesión a Terceros

TratamientoTransferencia Internacional

Uso en base a Finalidad declarada

El dueño de los datos es

el titular.


Información

Bancos de Datos¿Qué bancos de datos solemos tener?

• Según el tipo de dato podrían ser sensibles. Por ej: exámenesmédicos, afiliación sindical, etc.RRHH

• Según el tipo de dato podrían ser sensibles. Por ej: exámenesmédicos, afiliación sindical, etc.Clientes

• Suelen ser datos personalesProveedores

• Suelen ser datos personales

• Nueva Disposición 10/15Videovigilancia

• Según el tipo de diálogo que se mantenga podrían ser datossensibles. Es poco frecuente.

• Relación con PCI-DSS.Llamadas de Voz


Información

Bancos de DatosRequisitos Básicos

Registro delBanco deDatos

FormularioAsociado

Finalidad delos Datos

Descripcióndel Motivopor el cualse solicitanlos datos

Responsablesdel Banco deDatos

Persona deContactoPrincipalpara elEjercicio deDerechos

Medidas deSeguridad

Disposición11/2006

• Nivel Básico

• Nivel Medio

• Nivel Crítico


Información

#Ciberseguridad¿Cómo cumplimos el marco legal vigente?


Información

#Ciberseguridad¿Cómo cumplimos el marco legal vigente? (Cont.)


Información


• Involucramiento de todas las áreas

• Adecuación Procesos

• Medir

• Ajustar

• Mantener en el Tiempo

• Alcance

• Fases

• Cambio Cultural

• Sponsor

• Recursos

• Compromiso

Decisión Política

Proyecto

TodosMejora

Continua


Información


Framework de Referencia – ISO 27001 (SGSI – PDCA)

Alcance

Procesos

Enfoque Basado En Riesgos

Inventario Activos

Requisitos de Seguridad


Información


Framework de Referencia – ISO 27001 (SGSI – PDCA) / ISO 27005

Saber Qué

Tenemos

Saber Cuánto

Vale

Saber Dónde

Está

Saber Qué Debe

Cumplir

Saber Qué le puede

pasar


Información



ISO 27001

PCI DSS / Sarbanes Oxley

BCRA 4609

BCRA 5374

Disposición N°11/2006 DNPDP

Leyes y Regulaciones

Clientes y/o Mercado

Requerimientos Propios


Información



Políticas

Normas

Procedimientos

Instructivos

Guías


Información

#CiberseguridadControles de Seguridad – Requerimiento

Artículo 9

• El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

• Queda prohibido registrar datos personales en archivos,registros o bancos que no reúnan condiciones técnicasde integridad y seguridad.


Información

#CiberseguridadControles de Seguridad – Disposición N° 11/2006 DNPDP

Nivel Básico

Nivel Medio

Nivel Crítico


Información

#CiberseguridadControles de Seguridad – Descripción Nivel Básico

Nivel Básico

•Los archivos, registros, bases y bancos de datos que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de Nivel Básico.


Información

#CiberseguridadControles de Seguridad – Descripción Nivel Medio

Nivel Medio

•Los archivos, registros, bases y bancos de datos de las empresas privadas que desarrollen actividades de prestación de servicios públicos, así como los archivos, registros, bases y bancos de datos pertenecientes a entidades que cumplan una función pública y/o privada que, más allá de lo dispuesto por el artículo 10 de la Ley N° 25.326, deban guardar secreto de la información personal por expresa disposición legal (v.g.: secreto bancario).

Suma Medidas de Nivel Básico


Información

#CiberseguridadControles de Seguridad – Descripción Nivel Crítico

Nivel Crítico

•Los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como "datos sensibles”

Suma Medidas de Nivel Medio


Información

#CiberseguridadControles de Seguridad – Mapeo Disp. N°11/2006 DNPDP vs ISO 27002

Ejemplos

Nivel de las Medidas de Seguridad

Requisito Control de Seguridad ISO 27002

Básico Funciones y obligaciones del personal.8.1.1 Funciones y

Responsabilidades

Básico Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan. 7.1.1 Inventario de Activos

Básico Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan.7.2.1 Directrices de

Clasificación

Medio El Instructivo de seguridad deberá identificar al Responsable (u órgano específico) de Seguridad.6.1.3 Asignación de

Responsabilidades de Seguridad de la Información

MedioRealización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentesen materia de seguridad para datos personales.

15.3 Consideraciones de Auditorias de Sistemas

MedioRealización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentesen materia de seguridad para datos personales.

15.2.2 Verificación de la Compatibilidad Técnica

Medio Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.11.2.3 Gestión de Contraseñas

del Usuario


Información

#CiberseguridadControles de Seguridad – Mapeo Disp. N°11/2006 DNPDP vs ISO 27002

Ejemplos

CríticoDistribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal —incluidas las copias de respaldo—, se deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leídos o manipulados durante su transporte.

12.3.1 Política de Utilización de Controles Criptográficos

Crítico

Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años.

10.10.1 Registro de Auditoria

Crítico

Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años.

10.10.4 Sincronización de Relojes

Crítico

Copias de respaldo: además de las que se mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales.

10.8.3 Seguridad de los Medios en Tránsito

Referencias: Controles de Seguridad para Bases de Datos Personaleshttps://drive.google.com/open?id=0B-dOuFrfxS0SbE1pRWs5enA0Um8&authuser=0

https://drive.google.com/open?id=0B-dOuFrfxS0SbE1pRWs5enA0Um8&authuser=0


Información

#CiberseguridadMapeo PCI-DSS vs BCRA 4609 vs BCRA 5374 vs Disp. N°11/2006 DNPDP vs ISO 27002

PCI-DSS

•Monitoree y analice las alertas y la información de seguridad y comuníquelas al personal correspondiente.

•Establezca, documente y distribuya los procedimientos de escalamiento y respuesta ante incidentes de seguridad para garantizar un manejo oportuno y efectivo de todas las situaciones.

BCRA 4609

•Los incidentes y debilidades en materia de seguridad deben registrarse y comunicarse inmediatamente a través de adecuados canales de información, con el objeto de analizar sus causas e implementar mejoras en los controles informáticos a fin de evitar su futura ocurrencia.

BCRA 5374

•Gestión de Incidentes. Complementariamente a lo indicado en el punto 6.2.5., las entidades deben arbitrar los esfuerzos necesarios para contar en sus organizaciones o a través de terceros bajo coordinación y control propio, con equipos de trabajo especializado en la atención, diagnóstico, análisis, contención, resolución, escalamiento e informe de los incidentes de seguridad.

Disp. N°11/2006 DNPDP

•Notificación, gestión y respuesta ante los incidentes de seguridad.

ISO 27002

•Garantizar que los eventos de seguridad de la información y las debilidades asociadas a los sistemas de información se comuniquen de forma tal que se apliquen las acciones correctivas en el tiempo correcto.


Información

#CiberseguridadResumen de Controles

• Roles y Responsabilidades

• Clasificación de Activos

• Configuraciones Seguras

• Monitoreo

• Respuesta a Incidentes

• Concientización

• Resguardo y Recupero

• Cifrado

• Control de Cambios

• Separación de Ambientes

• Segregación de Funciones

• Derechos de Acceso, Rectificación, Supresión

• Etc.


Información

#CiberseguridadRecomendaciones Finales

• Recursos

• Compromiso

Obtener Apoyo

• Qué datos se utilizan

• Donde y Cómo

Conocer el Entorno

• Por qué? Por qué? Por qué? Por qué? Por qué?

Desafiar Todo


Información

#CiberseguridadRecomendaciones Finales (Cont.)

• Definirlo Adecuadamente

• Aislarlo

Alcance

• Borrar es mejor que cifrar

• Respetar “Necesidad de Conocer”

Datos Personales

• Garantizar durante todo el ciclo de vida.

• Medir y Mejorar

#Ciberseguridad


Información

#GuíasDeSeguridad


Información

protección de datos personales en entornos corporativos

Technology