Medidas de seguridad en el tratamiento de datos personales Víctor Chapela

Texto completo

(1)

Medidas de seguridad en

el tratamiento

de datos personales

Víctor Chapela

(2)

Problemática

• Hoy se gestionan vulnerabilidades, se deberían

gestionar riesgos

• La gestión por vulnerabilidades genera

distorsiones grandes

– Controles excesivos o

– Controles deficientes

• A las empresas NO se les debe dar la libertad de

gestionar los riesgos de otros

(3)
(4)

¿ISO 27000?

1. La ley NO busca aumentar la seguridad de las

empresas

2. Busca sólo aumentar la seguridad de los datos

personales en resguardo de las empresas

3. ISO 27000 – Propone controles de alto nivel para

mitigar los riesgos que la empresa considere

relevantes

4. Implantar controles <> reducir riesgo

5. + Controles  + Costo

6. Riesgos materializados  cuestan dinero

7. + Controles <> – Riesgos

(5)

Objetivo Principal

• Prevenir el acceso

(6)

1ª Estrategia

• Mitigar con base en

el riesgo:

– Por tipos de datos

– Por número de

individuos

4

4

5

5

3

3

4

4

5

2

2

3

4

5

1

2

2

3

4

1

1

2

3

4

Riesgo del dato 50k

500

Datos de bajo riesgo Datos de alto riesgo

(7)

2ª Estrategia

• Alinear incentivos

– Compensar la diferencia entre impacto interno

para la empresa y la amenaza externa

– Reducir el riesgo para el individuo cuando no hay

incentivos para que el responsable lo haga

• Riesgo reputacional

• Riesgo económico

(8)
(9)

Incentivos Distintos

Intencional

Mínimo

Esfuerzo

Oportunista

Suma de

Esfuerzos

Accidental

Mejor

Esfuerzo

(10)

Disponibilidad

siempre ha sido

(11)

Facilitar

(12)

Riesgo Accidental

es

mitigado

(13)

¿

Cómo

mitigamos

nuestro riesgo

(14)
(15)
(16)

…y

mejores

controles

(17)
(18)

Pero

(19)

La

analogía militar

(20)
(21)

Necesitamos mantener nuestros

sistemas y redes

(22)
(23)
(24)

Introducir

sólo

(25)

Complementar con

parches

(26)
(27)
(28)
(29)

Riesgo Oportunista

Digital es como la

Salud

(30)
(31)

¿

Cómo

mitigamos

nuestro riesgo

(32)

El

riesgo intencional

es

gestionado

aislando y filtrando

(33)
(34)

¿Disponibilidad?

Impacto al

Negocio

¿Confidencialidad e Integridad?

Valor de

Mercado y

Conectividad

BIA IVA Redundancia Filtros y Autenticación

(35)

Riesgo Intencional

• Riesgo Intencional

=

Impacto

x

Probabilidad

Amenaza

x

Accesibilidad

• Impacto

es determinado al estimar

el

valor económico

• Probabilidad

es medida al calcular

(36)

¿Cómo

se

calcula

el

valor

de la

información

?

(37)
(38)

Necesitamos aceptar riesgo

(39)
(40)
(41)
(42)

Las

piezas

cambian

(43)

Las

reglas

(44)

Jugadores

cambian

(45)

El

fin

justifica

los

medios

Al prevenir

riesgo intencional

Nada menor

que asegurar

todos

(46)

La defensa debe

(47)
(48)
(49)

Método de gestión por valor

Posibles

Incidentes

Incidentes

Reales

Incidentes

Aplicables

Incidentes

Recurrentes

(50)

Definición

del

valor

de la

información

por tipo

de

dato

Valor de información (IVA) Cumplimiento legal y regulatorio (PIA) Categorías de Datos Categorías de Datos

Inventario de Activos, Perfiles y Conexiones

Generación de Políticas

Definición controles, estándares y procedimientos

(51)

Así es como estimamos

(52)

¿Cómo se calcula la

(53)
(54)
(55)

Accesos

Información Usuario

(56)
(57)
(58)

Agrupando Riesgo Intencional

Grupo de Usuarios

Sistema

(59)
(60)

Confidencialidad

Disponibilidad

Default Close

Default Open

(61)

Enfocar

controles

(62)

Determinar las

fronteras

(63)

¿Cómo aplica todo

esto en una ley de

(64)

Riesgo por tipo de dato

Personal

Sensible

Bajo Valor

Bajo

Medio

(65)

Riesgo para el individuo

por tipo de dato

(66)

Riesgo Intencional

Rentabilidad para Terceros

Acc e si b ili d ad par a Ter cer os Reducir Rentabilidad Fil tr ar , Aislar , Aut en ti car

Valor para Terceros

(67)

Reducir el riesgo para el individuo

por medio de tres estrategias

(68)

Filtrar y Aislar

• Controles mínimos de Accesibilidad

(69)
(70)

Cuestionario de Autoevaluación Ciclo de vida Inventario de datos Clasificación de datos Inventario: - Sistemas - Accesos Clasificación de controles Programa de trabajo Implantación de controles Revisión y Auditoria Controles Documento de Seguridad Documento de Seguridad Documento de Seguridad Documento de Seguridad Documento de Seguridad Documento de Seguridad Controles Controles Controles Controles

Re evaluación x tiempo o x cambio

(71)

Proporcional

• 80% de los negocios sólo

tengan que llenar el

cuestionario de

autoevaluación

• 80% de los controles mínimos

deberían estar ya implantados

en la mayoría de las industrias

– Reutilización de controles

• A menor riesgo se reduce el

alcance, el proceso y la

(72)

Consideraciones en los criterios

• Autoregulación de Seguridad

– Ejemplo: PCI-DSS o CNBV

• Por tipo de dato

– Secuestros y extorsión

– Anti-spam

• Correo electrónico • Teléfonos

• Dirección

– VIP no se puede proteger

• Cloud computing

– Adaptar los controles para que se cumplan los objetivos en este

entorno

• Transitorios

(73)
(74)

Medidas de seguridad en

el tratamiento

de datos personales

Víctor Chapela

Figure

Actualización...

Referencias

Actualización...

Related subjects :