➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤
En México la Ley Federal de
Protección de Datos Personales en Posesión
de los Particulares dicta que los
responsables de los tratamientos de datos
personales deben establecer y mantener
medidas de seguridad administrativas,
técnicas y físicas que permitan proteger los
datos personales contra daño, pérdida,
alteración, destrucción o el uso, acceso o
tratamiento no autorizado.
Para lograr una efectiva protección de datos, y más allá del andamiaje jurídico o normativo que se construya para su aplicación, resulta necesario incorporar una serie de medidas técnicas o tecnológicas que coadyuven a garantizar la privacidad y seguridad de los datos personales en el ámbito de los sistemas computacionales. Las medidas de seguridad para la protección de datos personales, se concentran principalmente en mecanismos, sistemas y metodologías de índole informático que facilitan el cumplimiento de los principios básicos de la protección de datos personales.
Principios básicos de
aplicación nacional que recomienda la OCDE:
Principio de calidad de los datos: Disponibilidad y Consistencia
Principio de salvaguardas de seguridad: Integridad y Confidencialidad
Principio de responsabilidad: Control
En México, la Ley Federal de
Protección de Datos Personales en Posesión
de los Particulares establece 8 principios de
la protección de datos:
➤Licitud
➤Consentimiento
➤Información
➤Calidad
➤Finalidad
➤Lealtad
➤Proporcionalidad
➤Responsabilidad
Medidas de Seguridad Conforme a Estándares Internacionales
➠OCDE (1980) Se contemplan los mismos principios establecidos en México: de limitación de recogida, de calidad de los
datos, de especificación del propósito, de limitación de uso, de salvaguarda de la seguridad, de
transparencia, de participación individual y de responsabilidad.
➠OCDE (1998) Mediante este documento, los Estados miembros se obligan a fomentar la confianza en las redes globales
y evitar restricciones innecesarias a los flujos transfronterizos de datos personales, comprometiéndose
poner en práctica la adopción de políticas sobre la intimidad por medios jurídicos o bien de
autorregulación, administrativos o tecnológicos, así como la promoción de la educación y concienciación
de los usuarios con respecto a las cuestiones relacionadas con la intimidad en línea y los medios
disponibles.
➠APEC (2004) Este instrumento establece el Marco regulatorio en materia de Protección de Datos Personales para los
Estados miembro, los cuales, a su vez, se comprometen a hacerse responsables de cumplir con los
requerimientos locales de protección de datos, así como con todas las leyes aplicables.
➠DPPR Madrid (2009) Se protegen los mismos principios en materia de Protección de Datos Personales y ejercicio de Derechos
Arco que en México, con base en la Declaración Universal de Derechos Humanos y del Pacto Internacional
de Derechos Civiles y
Políticos pero se establecen, además, las reglas de transferencias internacionales, destacando que éstas
sólo se podrán dar si el Estado receptor cumple con el nivel de protección establecido como mínimo,
mediante cláusulas contractuales o normas internas de privacidad.
➠Red Iberoamericana de Protecciòn de Datos (2008) Se establecen los principios, derechos y obligaciones, que deberá contener toda Ley nacional en materia
de Protección de Datos Personales, de los Estados que formen parte de la comunidad iberoamericana,
mismos que ya han sido implementados en la Ley Federal de Protección de Datos Personales en posesión
de particulares y su respectivo Reglamento.
➠COBIT 5. Establece objetivos de control para implementar un modelo de Gobernabilidad corporativa. Su
aportación en materia de protección de datos es el establecimiento de objetivos de control y mecanismos
de monitoreo para el cumplimiento de dichos objetivos, que den a la alta dirección visibilidad sobre el cumplimiento de políticas y lineamientos organizacionales
➠ITIL. Establece las mejores prácticas para la Gestión de Servicios de TI. En materia de protección de datos
personales permitiría establecer lineamientos para el tratamiento legítimo de los datos personales,
basado en un Acuerdo de Niveles de servicio y establecimiento de procedimientos para atención de
derechos ARCO.
➠ ISO/IEC. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión
de la seguridad de la información de acuerdo a la metodología denominada “Ciclo de Deming”.
Obligaciones de los
responsables en materia de
seguridad de datos personales.
El principio de responsabilidad se encuentra
plasmado al día de hoy en el artículo 144 de
la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares,
disposición que señala lo siguiente:
➠Artículo 14; El principio de
responsabilidad, aunque forma parte de los
ocho principios de protección de datos y
pareciere que no existe una jerarquía entre
los mismos, este principio sí tiene una mayor
trascendencia en virtud de ser el eje rector
que obliga al responsable del tratamiento a
garantizar de forma integral la protección de
los datos personales de los titulares.
➠Reglamento de la Ley
Federal de Protección de Datos Personales
en Posesión de los Particulares Art. 47 y 48; La obligación del responsable de velar y
responder por el tratamiento de los datos
personales que realice, o por aquéllos que
haya comunicado a un encargado
En conclusión el
responsable adquiere el cumulo de todas las
obligaciones establecidas en la regulación
de la materia, y cuando éste hace uso de un
encargado para el tratamiento, éste deberá
realizar el tratamiento en los mismos
términos que lo hace el responsable.
Tipos de Vulnerabilidades
El artículo 63 del Reglamento de la LFPDPPP, menciona que existen cuatro tipos de
vulneraciones que pueden afectar la seguridad de los datos personales, que son:
➣Robo, extravío o copia no autorizada
➣Perdida o destrucción no autorizada
➣Uso, acceso o tratamiento no autorizado
➣Daño, alteración o modificación no autorizado.
Evaluación de Riesgos
Amenazas
Las amenazas son cualquier circunstancia potencial que pueda afectar los procesos y expectativas de la organización, para proteger esas expectativas se debe identificar, evaluar, y prever que amenazas pueden afectar su cumplimiento y ser capaces de medir, sea cuantitativamente o cualitativamente la posibilidad y probabilidad de materialización de esas amenazas
Se dividen en:
➽Amenazas terciarias o directas, que son las que amenazan directamente el cumplimiento de nuestras expectativas. Se dividen en tres factores:
o Ataques. Responden a un actor con determinada motivación, medio y capacidad
o Accidentes. Suelen ser naturales como puede ser un terremoto o relacionados con fallas físicas o lógicas del hardware por defecto o uso prologado.
o Errores. Se encuentran principalmente relacionado con defectos de configuración, programación o respuesta del software.
➽Amenazas secundarias, Son las que disminuyen o eliminan el grado de éxito de las medidas que ponemos para mitigar las amenazas primarias. Ejemplo. Defectos en cortafuegos.
➽Amenazas primarias, Son las que evitan que se mantengan o lleguen a establecerse las medidas que mitigan las amenazas terciarias o secundarias. Ejemplo. Falta de aplicación de procedimientos de seguridad en la organización.
Tipos de Amenazas
➽Ataques: Los ataques son incidentes provocados por actores externos o internos, para los efectos de este módulo no nos detendremos en el estudio o clasificación de sus intenciones o motivaciones, sin embargo resulta relevante conocer los posibles recursos y oportunidades que disponen para estimar la dimensión del posible ataque. Los ataques pueden suceder de forma individual, o utilizarse en conjunto para producir el efecto deseado por un atacante.
➽Espionaje: Consiste en el acceso ilegitimo sea físico o lógico, a la información mensajes y servicios de la organización. El objetivo último del espionaje suele ser la revelación de secretos o exposición de datos personales. El espionaje puede consistir en las siguientes acciones:
Escuchas Lectura o copia de información
Lectura de mensajes o información cifrados
Reproducción no autorizada de información
Análisis de trafico
➽Sabotaje. Es un ataque destructivo, con el que se intenta producir el máximo daño posible. La protección más efectiva ante esta amenaza es la eliminación de oportunidades y el uso de medidas de reducción del impacto. El sabotaje puede consistir en las siguientes acciones:
⧫Interrupción
⧫Borrado
⧫Modificación
⧫Generación malintencionada de información
⧫Denegación de servicio
⧫Interrupción de recursos
⧫Terrorismo
➽Compromiso de medios de autenticación: El compromiso de claves o credenciales es una de la amenazas con consecuencias más serias, debido a que en muchas ocasiones, no sabremos que el compromiso se ha producido. El compromiso de esta medida de seguridad, permite que el atacante pueda suplantar nuestra identidad, adquiriendo la misma capacidad que se tienen dentro de un sistema.
➽Ingeniería social: Es una de las amenazas más graves y sencilla de explotar. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas.
Fraudes. Los fraudes consisten en aprovechar los recursos de la organización de forma no legítima. Esto generalmente está enfocado a los sistemas de orden financiero o contable. El código malicioso también representa una de los ataques más comunes que comprometen la seguridad de la información, es por ello que se abordará más adelante con mayor amplitud.
➽Código malicioso. (malware) También llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. El término malware es muy utilizado para referirse a una variedad de software hostil, intrusivo o molesto. El término virus informático suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos. El término malware incluye:
➼Virus. Tiene por objetivo alterar el normal funcionamiento del ordenador, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan Archivos ejecutables por otros infectados con el código de este.
➼Gusanos. Se propagan de computadora a computadora, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo más peligroso de los worms o gusanos informáticos es su capacidad para replicarse en el sistema informático Troyanos. Se presenta como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, brinda a un atacante acceso remoto al equipo infectado. En la mayoría de los casos, crean una puerta trasera que permite la administración remota a un usuario no autorizado
➼Rootkits. Permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.
➼Scareware. Abarca varias clases de software para estafar con cargas maliciosas, o con limitados o ningún beneficio, que son vendidos a los consumidores vía ciertas prácticas no éticas de comercialización.
➼Spyware. Recopila información y la transmite a una entidad externa sin conocimiento o el consentimiento del propietario. El término spyware también se utiliza más ampliamente para referirse a otros productos que no son estrictamente spyware.
➼Adware. Programa que automáticamente muestra publicidad web al usuario durante su instalación o durante su uso para generar lucro a sus autores. 'Ad' en la palabra 'adware' se refiere a advertisement' (anuncios) en idioma inglés.
➼Crimeware. Es un tipo de software que ha sido específicamente diseñado para la ejecución de delitos financieros en entornos en línea.
➼Exploit. Es un programa que toma ventaja del hecho de que en la arquitectura actual presenta algún defecto conocido para provocar daños o ganar acceso con derechos de administrador.
Medidas de Seguridad
Hoy en día, con el aumento al acceso a internet, también ha habido un incremento considerable en la cantidad de hackers al acecho de cibernautas desprevenidos. En México, en 2016, 2 de cada 10 personas sufrieron algún tipo de ciberdelito. El 80% de las víctimas afectadas por esta actividad ilegal enfrentaron problemas como la instalación no autorizada de aplicaciones en sus dispositivos, robo de identidad y el uso ilegal de información financiera.
Obligatorias
• Selección, implantación y mantenimiento
de medidas de seguridad informáticas.
• Establecer un departamento de protección
de datos personales o su equivalente.
• La información confidencial sólo podrá
existir en zonas confidenciales.
• La información del personal interno, solo
podrá existir en la zona de gestión de
recursos humanos.
• La información privada deberá estar
protegida mediante control de accesos.
• El propietario de un medio de autenticación
es el responsable único del uso de los
sistemas o acceso realizados mediante ese
medio.
• El acceso a servicios confidenciales,
personales o financieros no permitirá
sesiones simultáneas del mismo usuario.
• Las sesiones deben expirar por falta de uso.
• Las credenciales expiran por falta de uso.
• Deberán adoptarse políticas de contraseñas
seguras.
• Las zonas donde se maneje información
confidencial tendrá una norma sobre el uso
de los medio de soporte y tratamiento de la
información transportables sean
informáticos, físicos o de otro tipo.
• Debe evitarse el envío de información
confidencial fuera de los sistemas de la
organización.
• Todo miembro de la organización que trate
con datos sensibles debe firmar una
declaración de confidencialidad
• Preferir el uso de software licenciado.
• Existirán métodos de copia de seguridad
que garanticen la disponibilidad de la
información crítica ante fallos graves del
sistema como catástrofes mayores.
• Los equipos ´podrán ser identificados como
pertenecientes a la organización aunque san
robados.
Opcionales.
• Asistencia a cursos de seguridad de la
información y protección de datos
personales.
• Destrucción diaria del papel
• Uso de software cifrado o encriptado.
• Controlar el acceso físico a instalaciones.
• Se recomienda no utilizar cuentas
anónimas.
• Uso de antivirus.
• Uso de cortafuegos.
Prohibidas.
• Cesión de medios de autenticación y
sesiones de acceso que son personales e
intransferibles.
• Uso de cualquier material en violación de los
derechos de autor por copia fraudulenta o
falta de licencia.
Tipos de Medidas de Seguridad
Medidas de Seguridad Administrativas:
Son el conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales.
Medidas de Seguridad Fisicas:
Se refiere a las acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:
a. Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información
b. Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones
c. Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, integridad y confidencialidad
d. Garantizar la eliminación de datos de forma segura.
Medidas de Seguridad Técnicas:
Son las actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:
a. El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados
b. El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones
c. Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros
d. Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales
En caso de vulneraciones...
La ley obliga a
informar al titular sobre las vulneraciones
que afecten de forma significativa sus
derechos patrimoniales o morales, en
cuanto sea confirmado que ocurrió la
vulneración y se hayan tomado las acciones
encaminadas a detonar un proceso de
revisión exhaustiva de la magnitud de la
afectación, y sin dilación alguna, a fin de que
los titulares afectados puedan tomar las
medidas correspondientes.
Se debe preparar la siguiente información:
•La naturaleza del incidente
•Los datos personales comprometidos
•Las recomendaciones al titular acerca de
las medidas que éste pueda adoptar para
proteger sus intereses
•Las acciones correctivas realizadas de
forma inmediata
•Los medios donde puede obtener más
información al respecto.
Incidentes de Seguridad
Un incidente de seguridad es cualquier evento que tenga o pueda tener como resultado la interrupción de los servicios suministrados por un sistema informático y/o posibles pérdidas físicas, de activos o financieras. Cuando una amenaza se materializa, se tiene un incidente. Algunos incidentes son provocados (ataques), otros se producen por falta de diligencia (errores), y otros son, sobrevenidos (accidentes o catástrofes). Cuando se ha producido un incidente, sea por ataque o no, debemos ser capaces de detectarlo e identificarlo. El manejo de incidentes es complejo, y aunque existe un interés lógico en la identificación del atacante y la represalias legales. Un incidente de seguridad puede causar ciertos tipos afectaciones en la organización, tales como:
•Pérdida de información confidencial, afectando la confidencialidad, integridad y disponibilidad de la misma.
•Robo de activos físicos informáticos tales como computadoras, dispositivos de almacenamiento, impresoras.
•Daños a los activos físicos informáticos incluyendo computadoras, dispositivos de almacenamiento, impresoras
•Denegación de servicio.
•Uso indebido de los servicios, información o activos de información.
•Infección de los sistemas por software no autorizado.
•Intento de acceso no autorizado.
•Cambios no autorizados a la organización de hardware, software, o su configuración.
•Respuesta a las alarmas de detección de intrusos.
¿Cómo documentar un incidente?
•Primero se debe documentar minuciosamente todos
los procesos y acciones realizadas
•Luego se avisarà a todas las
personas implicadas con acceso durante el
proceso de respuesta.
se debe organizar la
documentación cronológicamente,
comprobar que está completa, y firmarla y
revisarla con la directiva y los representantes
legales.
•Finalmente se debe elaborar un documento
sobre los hallazgos del incidente incluyendo
la forma en que se produjo la intrusión,
cuando se produjo el ataque, la respuesta
otorgada y si está fue efectiva.
Referencias:
Beyond S.(2014) Securiteam. Protección de Datos Personales.Recuperado de:
http://metabase.uaem.mx/bitstream/handle/123456789/2526/4%20Medidas%20de%20seguridad%20en%20los%20datos%20personales.pdf?sequence=1&isAllowed=y