Privacidad y seguridad de la información Retos en un entorno VICA

Jeimy J. Cano M., Ph.D, CFE

Profesor Distinguido

GECTI

Facultad de Derecho

Universidad de los Andes

1

Agenda

Introducción

Seguridad de la información. Retos y prácticas

Privacidad de la información. Retos y prácticas

Seguridad y privacidad. Reflexiones convergentes

Mitos y realidades sobre la seguridad y la privacidad

Recomendaciones. Reflexiones finales

2

Introducción

3

Universo digital 4

Tomado de: http://www.emc.com/collateral/analyst-reports/idc-digital-universe-2014.pdf

Entorno VICA 5

Contexto actual

Volátil

Incierto

Complejo

Ambiguo

Adaptado de: Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler Publishers.

Seguridad de la Información Retos y prácticas

6

Retos de la Seguridad de la Información 7

1 Los ciber ataques comprometen las capacidades claves de las organizaciones 2

Los ataques dirigidos son efectuados por personal entrenado con fines de extracción de información

3 El Malware o código malicioso es un vector de ataque en un entorno de tecnologías convergentes 4

El hacktivismo procura posiciones y acciones en contra de intereses particulares

5 La computación oscura, es el nuevo comportamiento inseguro en las organizaciones

Prácticas de Seguridad de la Información 8

Prá

ctic

as d

e se

gurid

ad

de la

info

rmac

ión

Clasificación de la información Establece el nivel de sensibilidad de la información, con el fin de asegurar un

adecuado tratamiento. 1

Análisis y gestión de cultura y comportamientos Configura el conjunto de creencias, actitudes y valores que motivan un

comportamiento adecuado frente a la información. 4

Análisis y gestión de riesgos y controles Establece el marco de la confiabilidad de las operaciones y las condiciones en

las que se puede advertir desviaciones que comprometan los objetivos corp. 3

Análisis y gestión de vulnerabilidades Revisa y detalla las posibles formas en que puede ser vulnerada la seguridad de

las información a nivel de: personas, procesos y tecnología. 2

Análisis y gestión de incidentes Define el conjunto de acciones requeridas para atender, controlar, mitigar,

contener y reportar condiciones propias de las brechas de seguridad de la inf. 5

“

”

¿Son suficientes las

prácticas actuales en

seguridad de la información

en un entorno VICA?

9

Prácticas de Seguridad de la Información 10

Activar

Adaptar

Anticipar

Inteligencia

Nuevos normales

Autenticar

Autorizar

Auditar

No repudio

Prácticas actuales

Adaptado de: http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-

survey-2014.pdf

Privacidad de la Información Retos y prácticas

11

Retos de la Privacidad de la Información 12

C C o m p u t a c i ó n e n l a

n u b e

A G r a n d e s d a t o s y

a n a l í t i c a

B M o v i l i d a d

D I n t e r n e t d e l a s

c o s a s

B A

C

D

Personas Tecnología

Información

Retos de la Privacidad de la Información 13

Transferencia y recolección internacional de datos personales

Ciber ataques

Usos secundarios de la información personal

Robo de identidad

Programas de espionaje nacionales

Prácticas de Privacidad de la Información 14

Controlador / Procesador / Titular

Anonimización Proceso de de-identificación de datos sensibles conservando el formato y tipo de información

Saneamiento Proceso de modificación permanente de los medios de almacenamiento de datos sensibles

Desreferenciación Proceso que elimina cualquier conexión entre los datos sensibles y el contexto donde fueron creados

Seudonimia Cambio de identidad de los datos que se tiene registrados, que eviten la identificación de una persona o su contexto

Ocultamiento Utiizar cualquier técnica de paráfrasis o patrón aleatorio de modificación de lo datos sensibles que imposibilite su reconocimiento.

Cifrado Aplicación de técnica matemática de sustitución y transposición de datos que procura imposibilitar la identificación de los datos sensibles.

“

”

¿Son suficientes las

prácticas actuales en

privacidad de la

información en un entorno

VICA?

15

Prácticas de Privacidad de la Información 16

Foco Interno La gerencia hace énfasis en los

procesos y grupos de interés internos

Foco Externo La gerencia hace énfasis en los

procesos y grupos de interés externos

Riesgo Tema potencialmente negativo y

costo para la empresa

Actividades de privacidad

mínimas requeridas para

evitar una brecha

Actividades de privacidad

mínimas requeridas para

evitar un incumplimiento

normativo

Oportunidad Tema potencialmente positivo y una inversión para la empresa

Maximizar la estrategia de

recopilación de información

observando los temas de

privacidad

Maximizar la relación con los

clientes basada en la

privacidad

Adaptado de: GREENAWAY, K. y CHAN, Y. (2013) Design a customer information privacy program

aligned with with organizational priorities. MIS Quarterly Executive. No.12. Vol3. Septiembre

Seguridad y Privacidad Reflexiones convergentes

17

Seguridad y Privacidad de la Información 18

Privacidad Cómo los datos son

administrados, usados y compartidos

Seguridad Cómo se protege la

información de la pérdida, robo y

acceso inapropiado

Seguridad y Privacidad de la Información 19

Anticipan riesgos

Desarrollan cultura

Verifican la operación

Consultan buenas

prácticas

¡ Son áreas de

cumplimiento!

Seguridad y Privacidad de la Información 20

VARIABLES SEGURIDAD DE LA INFORMACIÓN PRIVACIDAD DE LA INFORMACIÓN

Fundamento Es un proceso Es un derecho

Finalidad Protección de la información

empresarial Protección de la información personal

Principios Confidencialidad, integridad y

disponibilidad

Calidad, seguridad, apertura,

“responsabilidad”, participación individual, limitación de uso, especificación de propósito, limitación de recolección

Servicios que se deben asegurar

Autenticación, autorización, no repudio y auditabilidad

Anonimato, la imposibilidad para vincular,

la imposibilidad para distinguir, la imposibilidad para rastrear y la

pseudonimia

Responsable Chief Information Security Officer

(CISO)

Delegado de Protección de Datos personales (DPDP) / Chief Privacy Officer

(CPO)

Foco Centrado en los datos Centrado en la persona

Buenas prácticas Serie ISO 27000, Documentos del NIST

y del ENISA ISO/IEC 29100 Information Technology –Security Techniques –Privacy framework

Reporte Independiente Independiente

Seguridad y Privacidad de la Información 21

Tomado de: FORO ECONÓMICO MUNDIAL (2013) Unlocking the Value of Personal Data: From Collection to Usage.

Recuperado de: http://www3.weforum.org/docs/WEF_IT_UnlockingValuePersonalData_CollectionUsage_Report_2013.pdf

Los que recolectan datos personales

Las fuentes de

datos personales

Los que almacenan datos personales

Mitos y realidades sobre la seguridad y la

privacidad Aspectos prácticos de la realidad

22

Mitos y realidades sobre la seguridad y la

privacidad 23

El cifrado asegura la

privacidad

La privacidad está

relacionada con la ley, la

seguridad con lo técnico

real

idad

mito

La seguridad está en conflicto

con la privacidad

El cifrado NO asegura la

privacidad

La privacidad es más que un

requisito de ley y la seguridad

es más que un requisito

técnico

La seguridad tiene

perspectivas y dinámicas

diferentes a la privacidad

Recomendaciones Reflexiones finales

24

Recomendaciones 25

Recomendaciones 26

Seguridad y Privacidad de la Información

Personas Del paternalismo estatal a la responsabilidad individual

Procesos Del riesgo a la oportunidad

Tecnología Privacidad y seguridad por diseño

Normativo Balance de las tensiones entre el compartir y el proteger

“

”

La seguridad de la

información es un proceso,

la privacidad es una

consecuencia

27

Rebecca Herold, CEO Privacy Professor

Referencias 28

Cavoukian, A. y El Eman, K. (2014) De-identification protocols: Esssential for protecting privacy. Recuperado de: https://www.privacybydesign.ca/content/uploads/2014/09/pbd-de-identifcation-essential.pdf Breaux, T. (Executive Editor) (2014) Introduction to IT Privacy. IAPP Publication Finneran, M., Fox, J. y Finneran, T. (2014) The privacy engineer’s manifiesto. Getting from policy to code to QA

to Value. A. New York, USA: Apress Open. Ernst & Young (2014) Get ahead of cybercrime. Insights on governance, risk and compliance. Recuperado de: Adaptado de: http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf

Foro Económico Mundial (2013) Unlocking the Value of Personal Data: From Collection to Usage. Recuperado de: http://www3.weforum.org/docs/WEF_IT_UnlockingValuePersonalData_CollectionUsage_Report_2013.pdf Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler Publishers. Greenaway, K. y Chan, Y. (2013) Design a customer information privacy program aligned with with

organizational priorities. MIS Quarterly Executive. No.12. Vol3. Septiembre Cavoukian, A. (2012) Operationalizing Privacy by Design: A Guide to Implementing Strong Privacy Practices. Recuperado de: https://www.privacybydesign.ca/content/uploads/2013/01/operationalizing-pbd-guide.pdf Herold, R. (2009) practical guide for operational information security and privacy convergence. Recuperdo de: https://privacyassociation.org/news/a/2009-01-guide-for-operational-information-security-and-privacy-

convergence

Privacidad y seguridad de la información Retos en un entorno VICA

Jeimy J. Cano M., Ph.D, CFE

Profesor Distinguido

GECTI

Facultad de Derecho

Universidad de los Andes

Blog

http://insecurityit.blogspot.com

29