Gestión del riesgo de los datos (Data Risk)
-
Upload
agust-allende -
Category
Technology
-
view
196 -
download
0
Transcript of Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos
(Data Risk) en el medio de la
Revolución de los Datos
EXPLOSION RESPECTO A: -volumen y velocidad en que los datos son
producidos;
-el número de productores de datos;
-la diseminación de datos y el grado de cosas
en donde hay datos (de nuevas tecnologías
móviles inteligentes, IoT, y otras fuentes
como data cualitativa , datos generados por
ciudadanos e impresiones y percepciones de
los datos “perfiles”).
Contexto bajo el cual se debe
hacer la gestión del Data Risk
Desprotección de la Privacidad y datos personales.
Internet = Libertad de Expresión +
Snowden vs Ciber seguridad +
Nueva Ciudadanía Digital. Autodeterminación informática
Revolución de los Datos
Gestión del Data Risk
A considerar:
Nueva generación de usuarios y empoderamiento
ciudadano a través de derechos con alcance
indefinidos y dependiente del tipo de dato que se
trate.
Gestión del Data Risk
Muchos tipos de Data
Open data: Contenido políticoy de nueva forma departicipación ciudadanamoderna en la gestión de lacosa pública dentro de unaconcepción de unademocracia más participativa.
Big Data e IoT: Nuevo activo yactividad. Revolución de lainformación. Importancia delos datos para fijar valor ennuevos modelos de negociosbasados en la base de clientesexistentes.
Data Breach y Data Security:Obligación de reportes ymedidas de seguridad anteataque a las redes conimpacto sobre el control dedatos personales de terceros.
Personal Data: Garantíaconstitucional en el ámbitodigital. Vinculada a laprivacidad.
.
Gestión del Data Risk
Insumo de muchos negocios bajo la
economía digital
DATOS PUBLICOS
De titularidad de la ciudadanía pero enpoder del Estado.
PRINCIPIO DE MAXIMA APERTURA. NECESIDAD DE MARCO LEGALEXIGIENDOLO.
ES LA PUERTA DE ACCESO PARA EL EJERCICIO DE OTROS DERECHOSCIUDADANOS.
NUEVA FORMA DE PARTICIPACION POLITICA. DEMOCRACIAPARTICIPATIVA ANTE CRISIS DE REPRESENTATIVIDAD POLITICA.
NO HAY MARCO LEGAL EN LA ARGENTINA
DATOS PRIVADOS
Protección constitucional que representa el derecho de privacidad enesta era digital.
PRINCIPIOS OPUESTOS A LOS APLICABLES A LOS DATOS PUBLICOS.CONFIDENCIALIDAD.
CRITERIO RESTRICTIVO DE APERTURA O CESION.
NECESIDAD DE CONSENTIMIENTO COMPLETO.
HAY MARCO LEGAL EN LA ARGENTINA. LEY DE PROTECCION DEDATOS PERSONALES. LEY 25.326.
Gestión del Data Risk Protección de los datos personales en Internet
incluye:
a) Principio de Legalidad: Recepción en textos legales de las obligaciones de los que recogen yprocesan datos de carácter personal así como los derechos de los titulares de los datospersonales en juego.
b) Obligaciones de los colectores de datos:
- Recopilación, uso, divulgación y conservación de los datos personales de acuerdo apolítica de privacidad transparente que permita controlar a sus titulares sobre el uso que se le da alos mismos.
- Obtención del consentimiento informado del titular con respecto al contenido, efectos,ubicación de almacenamiento, la duración y los mecanismos para el acceso, recuperación ycorrección de los datos.
- Efectivizar el cumplimiento del derecho del titular de los datos a acceder, recuperar yeliminar los datos personales recogidos sobre ellos.
Gestión del Data Risk
c) Normas mínimas a cumplir para el uso de datos personales:Minimización de la cantidad de datos y tiempo.
Los recolectores de datos tienen la obligación de solicitar elconsentimiento activo y notificar a las personas si suinformación ha sido transmitida a terceros, perdida, robada omal utilizada.
Adopción de medidas de seguridad adecuadas para la protecciónde datos personales almacenados en ficheros automatizados contrala destrucción accidental o no autorizada o la pérdida accidental,así como contra el acceso no autorizado, alteración o difusión deestos datos.
Gestión del Data Risk
POLITICA CORPORATIVAINSTITUCIONAL. TONE FROM THETOP. Políticas y prácticas a serimplementadas para la debidaprotección de datos personales depropios y extraños. Empatía connuevos usuarios . Diferenciación enle mercado
RISK ASSESMENT
Analizar el impacto sobrenegocios, compliance ycontingencias legales. Forma enque se deberán analizar los datospara actividades de marketing,prevención de fraude y respuestasa los litigios e investigaciones quese puedan derivar de este insumovalioso.
AUDITORIA,CUMPLIMIENTO YCONTROL SOBRE DATACOMO ACTIVO
Due Diligence acerca de lalegitiimidad de los datosprocesados. Verificando laexistencia de la debidalegalidad de los datosprocesados.
Gestión del Data Risk
TONE FROM THE TOP. MENSAJE INTERNO Y A LOS USUARIOS
Claras políticas de privacidad. Las cuales deberán ser públicas y prever lascaracterísticas propias de los datos en relación a su titularidad y uso por tercerosy las consecuencias legales que se deriven. Ejemplo, responsabilidad por lafalsedad de los datos, o por un quiebre en la seguridad de las redes yresponsabilidad por terceros proveedores (Cloud Computing).
Complementado con diferentes protocolos específicos para procedimientos desituaciones puntuales:
Manejo de data en investigaciones y auditorías internas (preservación vs derechode privacidad de los empleados),
Procedimientos para resguardo de Evidencia o Prueba Digital en futuros juicios.Supuestos de Fraude Corporativo Digital.
Gestión de Data Risk
NUEVO CAPITULO EN COMPLIANCE Y AUDITORIA DE
DATOS
Resguardar activo valioso que tenga título perfecto para
su uso y transferencia.
Impacto por actividades que realicen terceros (cloud
computing, cibersecurity proveedores).
Gestión del Data Risk
EVOLUCION DE OBLIGACIONES REGULATORIAS
Impacto por contingencias sancionatorias y judiciales futuras.
Análisis de los marcos legales por los cuales se encuentran
alcanzadas las actividades desarrolladas.
Privacy by Design, Big Data, involucramiento con IoT, etc.
Data Breach: Adopción de medidas para garantizar la
seguridad y confidencialidad de los datos personales y que
permitan detectar desviaciones, intencionales o no, de
información, ya sea que los riesgos provengan de la acción
humana o del medio técnico utilizado.
Gestión del Data Risk
Dificultades de implementación de políticas de
privacidad robustas y coherente sin significativos costos.
Obligación legal de ciberseguridad si se custodian datos
de terceros.
Medidas de mitigación ante nueva contingencia de
litigios judiciales y riesgo de sanciones por
investigaciones bajo marcos legales en continuo cambio
y evolución.
Gestión del Data Risk
Ciclo de los datos en una organización:
RECOLECTAR ALMACENARUSAR Y
PROCESARCOMPARTIR ARCHIVAR DESTRUIR
Gestión del Data Risk
Políticas Corporativas de Protección de Datos
Personales o de Data Risk Assesment como
presupuesto mínimo. Ante el cúmulo de datos se debe
determinar el ciclo de vida de los datos dentro de una
empresa.
Pauta de Orientación Local: Disposición DNPDP Nro 7/08
pero para el sector público.
Gestión del Data Risk
Consideraciones al implementar Política de Protección
de Datos de una compañía
Flexibilidad de la política y sujeta a revisión y
adaptación continua.
Preservar la privacidad de los datos es responsabilidad
de todas las áreas de la compañía.
Contar con plan actual y testeado ante un incidente de
pérdida de datos.
Elementos de un Data Management
Program
GOVERNANCE
RISK ASSESMENT
CONTROL & PROCCESSES
SECURITY TRAINNING
VENDOR MANAGEMENT
MONITORING
INCIDENT RESPONSE
Gestión del Data Risk
Elementos indispensables de una Política
de Datos de una Organización
Políticas de BYOD y de administración de dispositivos.
Clasificación de Datos (tipos, críticos y sensibles, titularidad,ubicación y forma de control, etc.).
Otorgamiento de criterios específicos de accesos para datossensibles.
Inventario de sistemas de acceso y credenciales. (proveedores dehosting y cloud, empleados).
Establecimiento de controles y exigencias a cumplimentar porterceros.
Digital Right Management (controlar y limitar acceso a datospropios o sujeta a copyright).
Gestión del Data Risk
Elementos indispensables de una Política
de Datos de una Organización
Implementación de Tecnología de Prevención de Pérdidas de
Datos.
Minimización de datos y De-identificación.
Políticas de destrucción de datos.
Protocolos para manejo de data en investigaciones y
auditorías internas preservando derecho de privacidad de los
empleados.
Procedimientos para resguardo de Evidencia o Prueba Digital
en futuros juicios.
Gestión del Data Risk
Elementos indispensables de una Política
de Datos de una Organización
Políticas de administración de passwords y de acceso de losusuarios.
Prácticas de pruebas de penetración y desarrollo de un plan derespuesta ante un ataque. Proceso de reporte y escalación.Creación de equipos de respuesta ante incidentes. Cumplimientode obligaciones de notificación.
Training a los empleados.
Adecuada asignación de presupuesto.
Adopción de seguros que cubran incidentes de ciberseguridad.
Criterios de comunicación institucional y de adopción de criteriosefectivos de respuesta.
Elementos indispensables de una
Política de Datos de una Organización
Data Due Process: Nuevas exigencias procedimentales para administrar estos recursos. Particularidades en caso de utilizarlos como evidenciaen procesos judiciales o administrativos.
TENER MUY EN CUENTA PARA LA DOCUMENTACION A APORTAR EN PROCESOS PENALES DE FRAUDE CORPORATIVO DIGITAL.
PRUEBAS ELECTRONICAS
Forensic: Auxiliar necesario en caso de litigio para acreditar con herramientas y técnicas específicas potencial contenido o actividad relevante del usuario on line.
Necesidad de inspecciones amplias sobre nuestros archivos y asegurar evidencia importante.
Diferencias etapas:
1) Preservar las fuentes de datos. Debida manipulación para no solo evitar perder el contenido del dato sino también la metadata.
2) Análisis. Protocolo de análisis acordado con la otra parte para definir el alcance del estudio.
3) Producción. Los resultados relevantes del análisis traerá aparejado la adopción de ciertas acciones. Identificación de documentos relevantes, recuperación de fragmentos de datos borrados, etc.
Gestión del Data Risk
If your company isn´t focused on keeping their
information safe you should stop collecting it.
Queda prohibido registrar datos personales en archivos,
registros o bancos que no reúnan condiciones técnicas
de integridad y seguridad.(Art. 9 Ley 25.326)
Data Risk Management
INCIDENTES DE DATA BREACH Y TEMOR AL ATAQUES DE OTRAS NACIONES.
Sony, Home Depot, Bank of America. Todas víctimas de ataques.
Multa de FTC a AT&T de U$S 25 M por data breach de sus clientes enredes del exterior de EEUU.
¿Ataque chino a EEUU? Renuncia de Office of Personal Management(OPM).
Target. Acuerdo con Visa por pérdida de datos de sus clientes.
Ashley Madison (datos muy sensibles 30 millones de parejas infieles enjuego).
Declaración de Naciones Unidas de Julio 22, 2015 sobre ICT en el campode seguridad internacional (Reporte del grupo de expertosgubernamentales)
Gestión del Data Risk
INCIDENTES DE DATA BREACH
Estimación del costo promedio de cada data breach en
EEUU es de:
U$S 3,5 millones.
Incluye investigación, notificación a los afectados y
acciones a adoptar frente a un incidente.
Fuente: 2014 Cost of Data Breach Study Global Analysis de Ponemon
Institute
Gestión de Data Risk
OBLIGACION LEGAL DE ADOPTAR MEDIDAS DE SEGURIDAD
Y CONFIDENCIALIDAD DE LOS DATOS
En Argentina hay obligación legal de adoptar medidas
técnicas y organizativas necesarias para garantizar la
seguridad y confidencialidad de los datos personales.
Gestión de Data Risk
OBLIGACION LEGAL DE ADOPTAR MEDIDAS DE SEGURIDAD Y CONFIDENCIALIDAD DE LOS DATOS (Art.9 LPDP).
¿En qué consisten?
Evitar adulteración, pérdida, consulta o tratamiento no autorizadode datos personales, y que permitan detectar desviacionesintencionales o no de información, ya sea que provengan de acciónhumana o del medio técnico utilizado.
¿A cargo de quién?
Responsable o usuario de los datos personales.
Queda prohibido registrar datos personales en archivos, registroso bancos que no reúnan condiciones técnicas de integridad yseguridad.(Art. 9 LPDP).
Gestión del Data Risk
INCIDENTES DE DATA BREACH
Parámetros recomendados de debida diligencia en ciberseguridad para que una empresa no sea considerada responsable
EEUU: NIST (National Institute of Standards and Technology) para infraestructura crítica.
IDENTIFICAR sistemas críticos del negocio,
PROTEGER (medidas para garantizar la provisión de servicios críticos),
DETECTAR (cuando un evento de ciberseguridad ocurre),
RESPONDER (acciones para terminar o mitigar la amenaza),
RECUPERAR (restablecer funciones o servicios que fueron afectados por loseventos).
Gestión del Data Risk
INCIDENTES DE DATA BREACH
Parámetros recomendados de debida diligencia en ciberseguridad para que una empresa no sea considerada responsable
Estados Unidos
En 8/15 la justicia (caso Wyndham) le ha reconocido a la FTC la autoridad de cuestionar las prácticasde ciberseguridad como injustas bajo su competencia para regular prácticas injustas que afecten elcomercio.
En 2008 y 2009 este hotel padeció 3 ataques informáticos en sus redes que ocasionó la pérdida deinformación de tarjetas de crédito de 600.000 clientes y pérdidas deU$S 10 millones por fraude.
Las compañías que manejan datos de sus clientes deben establecer prácticas de privacidad y seguridadde datos razonables, que deberán ser revisadas en forma regular y corregidas sus deficiencias.
Gestión del Data Risk
INCIDENTES DE DATA BREACH
Parámetros recomendados de debida diligencia en
ciberseguridad para que una empresa no sea
considerada responsable
Canadá: Criterio de Comisionado de DP. Numerosas
medidas de prevención en funcionamiento al momento
del incidente: (i) uso de firewalls, (ii) encriptamiento
de información sensible, (iii) guarda separada de llaves
de encriptamiento, (iv) múltiples sistema de detección
de intrusión (detectó el ataque).
Gestión del Data Risk
Marcos legales díspares: Estados Unidos (leyesestaduales 47 diferentes) sobre obligaciones de reportede data breach sin ley federal. Varios países con leyessimilares recientes (Canadá PIPEDA, Alemania, Hungría,Australia (proyecto)).
Nueva directiva de la Unión Europea sobre protecciónde datos personales con requisitos exigentes.
Extensión de la jurisdicción de la futura directivaeuropea de protección de datos personales a datospertenecientes a ciudadanos europeos por más queestén fuera de la Unión Europea.
Gestión del Data Risk
Impacto de inminente Directiva de la Unión Europea spbre Protección de Datos Personales:
Ambito territorial: Amplio por aplicarse a datos de ciudadanos europeos por más que estén fuera de la UE.
Formas de otorgamiento de consentimiento: Se otorga en forma explícita, totalmente informado a todo aquel queprocese datos personales (incluyendo la actividad de análisis) y teniendo la facultad de retirar el consentimiento asícomo lo otorgaron.
Creación de Perfiles: Posibles nuevas restricciones en profiling, otorgando un derecho a objetar.
Derecho a compensación: Por el daños originado por un procesamiento de datos personales ilegítimo.
Obligaciones regulatorias: Compañias grandes tener un diagnóstico sobre el riesgo del manejo de los datos ydesignación de un oficial de cumplimiento de protección de datos personales. Obligaciones de reporte a todos losintervinientes en la cadena de cloud computing.
Sanciones severas: Multas por no cumplimiento pueden alcanzar los 100 millones de euros of 5% de los ingresos mundiales, lo que sea mayor.
Gestión del Data Risk
Impacto del Nuevo Código Civil y Comercial de
Argentina sobre la actividad.
El nuevo Código Civil y Comercial tiene el artículo 52 que
dice: “La persona humana afectada en su intimidad
personal o familiar, honra o reputación, imagen o
identidad, o reclamar la prevención y reparación de los
daños que de cualquier modo sufridos, conforme a lo
dispuesto en el Libro Tercero, Título V.”
Gestión del Data Risk
Impacto del Nuevo Código Civil y Comercial de
Argentina sobre la actividad.
Nuevos criterios de responsabilidad aplicables.
Implicancia de los contratos de adhesión y contratos
conexos.
Posibilidad de requerir prevención de daños.
Gestión del Data Risk
Regulación sobre normas de seguridad:
Disposición DNPDP Nro 11/06 y 9/08. (Medida de nivel básico, denivel medio y de nivel crítico). Medidas de seguridad para eltratamiento y la conservación de los datos personales. ApruebaDocumento de Seguridad.
Regulación sectorial incipiente para datos personales:
Publicidad: Obligación de opt out. Disposición DNPDP Nro 4/09.
Software: Disposición DNPDP Nro 18/15. Aplicación del criteriode Privacy by Design.
Drones: Disposición DNPDP Nro 20/15.
Video Vigilancia: Disposición DNPDP Nro 10/15.
Gestión del Data Risk
Nuevas cuestiones legales a ser consideradas:
o Todos los sistemas basados en la nube tendrán sus propias complicaciones, y cadauno de los eslabones de la cadena del cloud será directamente responsable yauditable sobre la privacidad de los datos.
o Determinar momentos de reportes al regulador para morigerar cualquierresponsabilidad legal por penalidades.
o Costos adicionales surgirán si se le exigen criterios objetivos de responsabilidad yde prestación del servicio con niveles de garantías altos.
o Nuevas cuestiones laborales surgidas del manejo de los datos.
Gestión del Data Risk
Nuevas cuestiones legales a ser consideradas:
o Para integrar datos propios con los de terceras partes, mecanismosque faciliten el acceso a datos de terceros ya sea a través de laventa, compartimiento o la adopción de algún incentivo(regulatorio) para el acceso.
o El acceso a datos externos debe estar facilitado a través de unmarco tecnológico adecuado consistente en la estandarización de losformatos de los datos, implementación de alimentación de datos,etc.
o La creación de sistemas de clasificación de datos generapreocupación porque dichos procesos distan de ser neutrales,automáticos y sin intervención humana dado que a la larga reflejanlos valores implícitos o explícitos de los diseñadores de dichossistemas.
o Grado de responsabilidad a ser asignado a los miembros delDirectorio como consecuencia del no cumplimiento de las diligenciaspropias del buen hombre de negocios en la protección de los datospersonales bajo su custodia. Criterio de responsabilidad residual.
Gestión del Data Risk
SURGE LA GRAN DUDA
ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN
JUEGO
¿No es aconsejable implementar un oficial de
cumplimiento de protección de los datos personales como
posición autónoma y dedicada dentro de la empresa?
NO SOMOS NADA ORIGINALES EN LA PREGUNTA ES el
criterio a aplicar a las grandes empresas bajo el proyecto
de nueva directiva de protección de datos personales de la
UE.
Gestión del Data Risk
SURGE LA GRAN DUDA
ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN JUEGO
No lo recomendamos.
No puede haber una sola persona encargada de esta difícil misión sino que
debe haber concientización de todos los sectores respecto a la protección de los datos personales en todo el ciclo de nuestro
negocio,
por tratarse tanto de una garantía constitucional individual como de un insumo muy valioso sobre el cual se estructuran muchos
planes de negocio bajo la nueva economía digital.
Gestión del Data Risk
SURGE LA GRAN DUDA
ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN
JUEGO
SE VISLUMBRA POSIBLE SIGNIFICATIVA CONTINGENCIA
REGULATORIA Y LEGAL CON ALCANCES INDEFINIDOS.
CONTAR CON POLITICA COMPLETA DE PRIVACIDAD Y NO
BASTA CON PLAN DE PREVENCION Y MITIGACION COMO
SOLUCION TEMPORARIA
Gestión del Data Risk
SURGE LA GRAN DUDA
ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN JUEGO
CONTAR CON POLITICA COMPLETA DE PRIVACIDAD
Y NO ALCANZA CON EFECTUAR UNA TRADUCCION DE LA POLITICA DE CASA MATRIZ
SIN CONSIDERAR LAS PARTICULARIDADES LOCALES
QUE EN ALGUNOS CASOS PUEDE SER BENEFICIOSA EN ASPECTOS SIGNIFICATIVOS COMO LA TRANSFERENCIA INTERNACIONAL DE DATOS A LA UNION EUROPEA
A DIFERENCIA DE LO QUE SUCEDE CON LAS EMPRESAS ESTADOUNIDENSES QUE NO SON CONSIDERADAS BAJO UN REGIMEN LEGAL DE PROTECCION DE DATOS ADECUADO (Caso
Schrems)
NUESTRO REGIMEN de PROTECCION DE DATOS PERSONALES POR AHORA ES CONSIDERADO COMO ADECUADO.