Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 1
De los incidentes de seguridad en la gestión de la protección de datos
personales y la Industria 4.0
Jeimy J. Cano M., Ph.D, CFEProfesor Asociado
Escuela de Administración
Agenda
Introducción
Fundamentos conceptuales de Seguridad y Privacidad
Protección de datos personales en la industria 4.0
Retos de la protección de datos personales en la Industria 4.0- Dispositivos médicos implantados-
Gestión de incidentes de seguridad en la protección de datos personales
Prácticas emergentes de protección datos personales en la Industria 4.0
Reflexiones finales
2
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 2
Introducción
3
Retos de la transformación digital4
WEF-Accenture (2017) Digital TransformationInitiative. P.63. Recuperado de: http://reports.weforum.org/digital-transformation
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 3
Tendencias actuales5
Tendencias actuales6
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 4
Si el objetivo más alto de un capitán fuera preservar su barco, lo mantendría en el puerto por siempre.
Santo Tomás de Aquino
Fundamentos ConceptualesSeguridad de la Información y Privacidad
8
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 5
Seguridad y privacidad de la información9
VARIABLES SEGURIDAD DE LA INFORMACIÓN PRIVACIDAD DE LA INFORMACIÓN
Fundamento Es un proceso Es un derecho
Finalidad Protección de la información empresarial Protección de la información personal
PrincipiosConfidencialidad, integridad y
disponibilidad
Calidad, seguridad, apertura, “responsabilidad”, participación individual, limitación de uso, especificación de propósito, limitación de
recolección
Servicios que se deben asegurarAutenticación, autorización, no repudio y
auditabilidad
Anonimato, la imposibilidad para vincular, la imposibilidad para distinguir, la imposibilidad para
rastrear y la pseudonimia
Responsable Chief Information Security Officer (CISO)Delegado de Protección de Datos personales
(DPDP) / Chief Privacy Officer (CPO)
Foco Centrado en los datos Centrado en la persona
Buenas prácticasSerie ISO 27000, Documentos del NIST y del
ENISAISO/IEC 29100 Information Technology –Security
Techniques –Privacy framework
Reporte Independiente Independiente
Programa de protección de datos personales 10
Data BreachIncident Plan
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 6
¿Qué dicen las buenas prácticas y los estándares?11
1 Evento
Cualquier cambio de estado que tenga importancia para la gestión de un elemento de un
servicio de TI. (ITIL)
2 IncidenteCualquier evento que no forma parte del
desarrollo habitual del servicio y que causa, o puede causar una interrupción del mismo o una reducción de la calidad de dicho servicio (ITIL)
3 BrechaEs el resultado no autorizado de una serie de
eventos realizados por un agente que aprovechan o explotan vulnerabilidades de un servicio,
tecnología o sistema de información.Adaptado de: Howard y Longstaff, 1998
Ventana de Exposición en InfoSec 12
Exposiciónlatente
ExposiciónReal
Exposición Residual
Descubrimiento Revelación Solución Adaptado de: Arbaugh, W., Fithen, W. y McHugh, J. (2000) Windows of vulnerability: A case study analysis. IEEE Computer. December. Pág. 53
Exposición a los riesgosinherentes los sistemasde información
Se materializa la vulnera-bilidad en el sistema.
-Divulgación-
Se libera la solución, se prueba,se aplica y se controla la vulnera-bilidad.
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 7
“Sólo existen dos tipos de empresas: aquellas que han sido hackeadas, y otras que lo serán en el futuro”.
Robert Mueller, Director FBI, 2012
Protección de datos personales en la Industria 4.0
14
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 8
Industria 4.0 15
INDUSTRIA 1.0Era de la mecanización
Producción mecánica impulsada por aguay vapor
1784 Primer telar mecánico
INDUSTRIA 2.0Era de la electricidad
Producción masiva impulsada por energíaeléctrica
1870 Primera línea de producción
INDUSTRIA 3.0Era de la automatización
Producción automatizada por dispositivoselectrónicos y TI
1969 Primer controlador lógicoprogramable (PLC)
INDUSTRIA 4.0Era de las redes de humanos, máquinas y cosas
Producción a través de sistemas ciber-físicos
Nivel de complejidad
Inicio del siglo XXFinales del siglo XVIII Inicia en los 70’s Actualmente
Industria 4.0 16
Tomada de: https://www.pwc.com/ca/en/industries/industry-4-0.html
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 9
Productos/Servicios digitalmente modificados 17P
orter,
M.
yH
epp
elman
n,
J.(2014
)H
ow
Smart,
conn
ectedp
rodu
ctsare
transfo
rmin
gco
mp
etition
.Ha
rvard
Bu
siness
Review
.No
viemb
re.p
.7
Protegiendo objetos conectados18
Adaptado de: Waslo, R., Lewis, T. Hajj, R. y Carton, R. (2017) Industry 4.0 and cybersecurity. Managing risk in an age of connected production. A Deloitte series on digitalmanufacturing. Marzo. Recuperado de: https://dupress.deloitte.com/dup-us-en/focus/industry-4-0/cybersecurity-managing-risk-in-age-of-connected-production.html
ObjetosConectados
SEGURIDAD Y PRIVACIDAD
VIGILANCIA
RESILIENCIA
Desde el diseño
Protección de losdatos
Remediación de losefectos de losataques
Uso de ciclo de vida dedesarrollo seguro de softwarepara producir unproducto/servicio digitalmentemodificado functional yconfiable
Preservar las condiciones deseguridad y control a través elciclo de vida de los datos
Minimizar los efectos de un incidente mientras rápidamentese restauran la seguridad y las operaciones.
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 10
Jeimy J. Cano M.
“En la era de las transformaciones digitales, tomar riesgos calculados y retadores no es opcional. En este sentido, la incertidumbre deja de ser algo que se debe minimizar, para convertirse en una oportunidad para probar y simular; un camino para diferenciarse en su entorno de negocios”.
Retos de la protección de datos personales en la Industria 4.0
- Dispositivos médicos implantados-
20
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 11
21Modelo digital de la administración de la salud
WEF-A
ccentu
re(2
01
7) D
igital Transfo
rmatio
nIn
itiative. P
.51. Recu
perad
o d
e: h
ttp://rep
orts.w
eforu
m.org/d
igital-transform
ation
22
Retos seguridad y control en dispositivos médicos
https://opentechdiary.wordpress.com/author/sukanyamandal06/
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 12
La persona que pierde suintimidad lo pierde todo.
Milán Kundera
Gestión de incidentes de seguridad en la protección de datos personales
24
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 13
Marco General de Acción 25
Incrementa Responsabilidad Demostrada
ANTES DURANTE DESPUÉS
GOBIERNO DEL RIESGO DE PRIVACIDAD
• Deberes de la junta directivafrente al riesgo de privacidad
• Informes de análisis y seguimiento al riesgo de privacidad
• Estándares de debido cuidado y responsabilidad demostrada
ATENCIÓN Y CONTROL DE LA BRECHA
• Detectar, contener, remover y aprender de la brecha
• Comunicar y reportaradecuadamente las accionesrealizadas
• Manejar las expectativas de losgrupos de interés
ANÁLISIS DE RESPONSABILIDADES
• Activar el programa legal frente al riesgo de privacidad
• Validar y confirmar los deberes de protección de información de la empresa
• Evaluar la efectividad de la respuesta frente a la brecha
26
Shaw, T. (2011) Information security and privacy. A practical guide for Global Executives, Lawyers and Technologist. USA: American Bar Association. P.3
1. Identificación de obligacioneslegales y normativas
Seguridad y protección de datos
2. Identificación de potencialesfuentes de responsabilidad
Identificación de información “tóxica”
3. Políticas y valoraciones de riesgos de seguridad y privacidad
Gestión de riesgos de seguridad y protección de datos
4. Selección, diseño e implementaciónde controles
Estándares y buenas prácticas
5. Cumplimiento, auditoria y certificación
Monitoreo, evaluación y aseguramiento de controles
PROTECCIÓN DE LA INFORMACIÓN
ANTES
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 14
27
GESTIÓN DE BRECHASDE INFOSEC
DETECTAR CONTENER
APRENDER REMOVER
Identificar y valorar la brecha Limitar el alcance de la brecha
Iden
ificar la causa raíz
de la b
recha
Reg
istr
ar la
s le
ccio
nes
Ap
ren
did
as y
re
po
rtar
DURANTE
28DESPUÉS
ACTIVOS DE INFORMACIÓN TERCEROS INVOLUCRADOS REPORTE A SUPERVISORES PLANES DE ASEGURAMIENTO
Clasificación de la información por nivelde sensibilidad.
Listado y verificación de controles establecidospor nivel de sensibilidad.
Incidentes de seguridadde la informaciónreportados y atendidos.
Listado de terceros con acceso a la informaciónsensible de la empresa.
Verificación del estadode la práctica de seguridad y control del tercero.
Cláusulas contractualessobre la protección de la información sensible.
Preparación de cartas de notificación de la brecha.
Plan de acción para cierre y aseguramientode la brecha.
Asignación de responsabilidades para seguimiento de losplanes establecidos.
Informes de auditoria y seguimiento a cierre de hallazgos.
Ciclos de pruebas y verificaciones de controles.
Ajustes a los estándaresde debido cuidado
ANÁLISIS DE RESPONSABILIDADES
IMPLICACIONES LEGALES
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 15
“Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni
entiendes los problemas ni entiendes la tecnología”.
Bruce Schneier
Prácticas emergentes de protección datos personales en la Industria 4.0
30
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 16
Ingeniería de ciberresiliencia31
Ideas tomadas de: Bodeau, D. y Graubart, R. (2013) Cyber Resiliency and NIST Special Publication 800-53 Rev.4 Controls. Mitre Technical Report. MTR130531. Recuperado de: https://www.mitre.org/sites/default/files/publications/13-4047.pdf
ANTICIPAR
RECUPERAR
MANTENEREVOLUCIONARPROTECCIÓN DE DATOSProductos y servicios digitalmente
modificados
Mantenerse informado de las tendencias del entorno y sus potenciales condiciones adversas
Restaurar los fundamentos de la seguridad y operación durante y
después del incidente
Conservar y custodiar la esencia de los controles vigentes a pesar de las condiciones adversas
Ajustar y actualizar los fundamentos de seguridad y privacidad frente a las condiciones
adversas actuales o futuras
Gobierno y gestión de la complejidad32
Ciclo de adaptación
Simulaciones Prototipos
Ciclo de regulación
Ejercicios de auditoríainterna y externa
Mejores prácticas y estándares
Escenarios
Ciclo de adaptación:Pensar en el “afuera y el mañana”, creando el futuroatravés de simulaciones y prototipos para anticiparposibles y probables escenarios para crearcapacidades distintiva.
Ciclo de regulación:Asegurar el “interno y el ahora”, incorporando lasmejores prácticas y estándares de la industria, bajo lasexigencias de los ejercicios de auditoría interna yexterna, cuyos resultados permiten afinar losescenarios posibles y probables que creancapacidades distintivas.
Basado en el Modelo del Sistema Viable de Stafford Beer.
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 17
Marco de protección de la privacidad33
Grado de efectividad de la práctica
Gra
do
de
vuln
erac
ión
de
la
pri
vaci
dad
Vulneración específica
Vulneración especializada
Vulneración específica
Vulneración especializada
Efectividad a corto plazo
Efectividad a corto plazo Efectividad a largo plazo
Efectividad a largo plazo
Corto Plazo Largo Plazo
Específica
Especializada
ESTRATÉGICOEVOLUTIVO
ACTUAL RESISTENTE
Cano, J. (2016) Privacidad en era de la monitorización y la vigilancia: Un marco conceptual de protección de datos personales. ISACA Journal. Vol. 4. Recuperado de: https://www.isaca.org/Journal/archives/2016/volume-4/Pages/privacy-in-the-era-of-monitoring-and-surveillance-spanish.aspx
Lo verdaderamente importante eneste mundo no es tanto donde teencuentras, como en qué direcciónte estas moviendo.
Anónimo
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 18
Reflexiones finales
35
36
Transformación digitalMayores exigencias de innovación y agilidad para superar lasexpectativas de los clientes.
Convergenciatecnológica
Acelerada integración de tecnologías y usos intensivos de datos para crear experiencias distintas.
Múltiples fuentes de vulnerabilidades
Uso intensivo de ambientes descentralizados, móviles, virtualizados, enla nube y con tecnologías inteligentes.
Evolución de los perfilesde los atacantes
Mutación acelerada de motivaciones de los atacantes: Monetización de la información.
Interdependencia de proveedores
Mayor dependencia de terceros para asegurar la operación y protegerlas información de las empresas y personas.
Ideas tomadas de: Sigma (2017) Cyber: Getting to grips with complex risk. Swiss Re Institute. Economic Research & Consulting. No. 1. Recuperado de:http://institute.swissre.com/research/overview/sigma/01_2017.html
Universidad del RosarioEscuela de Administración
Junio/2017
JCM-17 19
PRIVACIDADPRÓXIMA SALIDA
SALIDA 1A
De los incidentes de seguridad en la gestión de la protección de datos
personales y la Industria 4.0
Jeimy J. Cano M., Ph.D, CFEProfesor Asociado
Escuela de Administración
Blog:
http://insecurityit.blogspot.com
@itinsecure