Retos en un entorno VICA - sic.gov.co · ... Leaders Make the Future: Ten New Leadership Skills for...
Transcript of Retos en un entorno VICA - sic.gov.co · ... Leaders Make the Future: Ten New Leadership Skills for...
Privacidad y seguridad de la información Retos en un entorno VICA
Jeimy J. Cano M., Ph.D, CFE
Profesor Distinguido
GECTI
Facultad de Derecho
Universidad de los Andes
1
Agenda
Introducción
Seguridad de la información. Retos y prácticas
Privacidad de la información. Retos y prácticas
Seguridad y privacidad. Reflexiones convergentes
Mitos y realidades sobre la seguridad y la privacidad
Recomendaciones. Reflexiones finales
2
Universo digital 4
Tomado de: http://www.emc.com/collateral/analyst-reports/idc-digital-universe-2014.pdf
Entorno VICA 5
Contexto actual
Volátil
Incierto
Complejo
Ambiguo
Adaptado de: Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler Publishers.
Retos de la Seguridad de la Información 7
1 Los ciber ataques comprometen las capacidades claves de las organizaciones 2
Los ataques dirigidos son efectuados por personal entrenado con fines de extracción de información
3 El Malware o código malicioso es un vector de ataque en un entorno de tecnologías convergentes 4
El hacktivismo procura posiciones y acciones en contra de intereses particulares
5 La computación oscura, es el nuevo comportamiento inseguro en las organizaciones
Prácticas de Seguridad de la Información 8
Prá
ctic
as d
e se
gurid
ad
de la
info
rmac
ión
Clasificación de la información Establece el nivel de sensibilidad de la información, con el fin de asegurar un
adecuado tratamiento. 1
Análisis y gestión de cultura y comportamientos Configura el conjunto de creencias, actitudes y valores que motivan un
comportamiento adecuado frente a la información. 4
Análisis y gestión de riesgos y controles Establece el marco de la confiabilidad de las operaciones y las condiciones en
las que se puede advertir desviaciones que comprometan los objetivos corp. 3
Análisis y gestión de vulnerabilidades Revisa y detalla las posibles formas en que puede ser vulnerada la seguridad de
las información a nivel de: personas, procesos y tecnología. 2
Análisis y gestión de incidentes Define el conjunto de acciones requeridas para atender, controlar, mitigar,
contener y reportar condiciones propias de las brechas de seguridad de la inf. 5
Prácticas de Seguridad de la Información 10
Activar
Adaptar
Anticipar
Inteligencia
Nuevos normales
Autenticar
Autorizar
Auditar
No repudio
Prácticas actuales
Adaptado de: http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-
survey-2014.pdf
Retos de la Privacidad de la Información 12
C C o m p u t a c i ó n e n l a
n u b e
A G r a n d e s d a t o s y
a n a l í t i c a
B M o v i l i d a d
D I n t e r n e t d e l a s
c o s a s
B A
C
D
Personas Tecnología
Información
Retos de la Privacidad de la Información 13
Transferencia y recolección internacional de datos personales
Ciber ataques
Usos secundarios de la información personal
Robo de identidad
Programas de espionaje nacionales
Prácticas de Privacidad de la Información 14
Controlador / Procesador / Titular
Anonimización Proceso de de-identificación de datos sensibles conservando el formato y tipo de información
Saneamiento Proceso de modificación permanente de los medios de almacenamiento de datos sensibles
Desreferenciación Proceso que elimina cualquier conexión entre los datos sensibles y el contexto donde fueron creados
Seudonimia Cambio de identidad de los datos que se tiene registrados, que eviten la identificación de una persona o su contexto
Ocultamiento Utiizar cualquier técnica de paráfrasis o patrón aleatorio de modificación de lo datos sensibles que imposibilite su reconocimiento.
Cifrado Aplicación de técnica matemática de sustitución y transposición de datos que procura imposibilitar la identificación de los datos sensibles.
Prácticas de Privacidad de la Información 16
Foco Interno La gerencia hace énfasis en los
procesos y grupos de interés internos
Foco Externo La gerencia hace énfasis en los
procesos y grupos de interés externos
Riesgo Tema potencialmente negativo y
costo para la empresa
Actividades de privacidad
mínimas requeridas para
evitar una brecha
Actividades de privacidad
mínimas requeridas para
evitar un incumplimiento
normativo
Oportunidad Tema potencialmente positivo y una inversión para la empresa
Maximizar la estrategia de
recopilación de información
observando los temas de
privacidad
Maximizar la relación con los
clientes basada en la
privacidad
Adaptado de: GREENAWAY, K. y CHAN, Y. (2013) Design a customer information privacy program
aligned with with organizational priorities. MIS Quarterly Executive. No.12. Vol3. Septiembre
Seguridad y Privacidad de la Información 18
Privacidad Cómo los datos son
administrados, usados y compartidos
Seguridad Cómo se protege la
información de la pérdida, robo y
acceso inapropiado
Seguridad y Privacidad de la Información 19
Anticipan riesgos
Desarrollan cultura
Verifican la operación
Consultan buenas
prácticas
¡ Son áreas de
cumplimiento!
Seguridad y Privacidad de la Información 20
VARIABLES SEGURIDAD DE LA INFORMACIÓN PRIVACIDAD DE LA INFORMACIÓN
Fundamento Es un proceso Es un derecho
Finalidad Protección de la información
empresarial Protección de la información personal
Principios Confidencialidad, integridad y
disponibilidad
Calidad, seguridad, apertura,
“responsabilidad”, participación individual, limitación de uso, especificación de propósito, limitación de recolección
Servicios que se deben asegurar
Autenticación, autorización, no repudio y auditabilidad
Anonimato, la imposibilidad para vincular,
la imposibilidad para distinguir, la imposibilidad para rastrear y la
pseudonimia
Responsable Chief Information Security Officer
(CISO)
Delegado de Protección de Datos personales (DPDP) / Chief Privacy Officer
(CPO)
Foco Centrado en los datos Centrado en la persona
Buenas prácticas Serie ISO 27000, Documentos del NIST
y del ENISA ISO/IEC 29100 Information Technology –Security Techniques –Privacy framework
Reporte Independiente Independiente
Seguridad y Privacidad de la Información 21
Tomado de: FORO ECONÓMICO MUNDIAL (2013) Unlocking the Value of Personal Data: From Collection to Usage.
Recuperado de: http://www3.weforum.org/docs/WEF_IT_UnlockingValuePersonalData_CollectionUsage_Report_2013.pdf
Los que recolectan datos personales
Las fuentes de
datos personales
Los que almacenan datos personales
Mitos y realidades sobre la seguridad y la
privacidad 23
El cifrado asegura la
privacidad
La privacidad está
relacionada con la ley, la
seguridad con lo técnico
real
idad
mito
La seguridad está en conflicto
con la privacidad
El cifrado NO asegura la
privacidad
La privacidad es más que un
requisito de ley y la seguridad
es más que un requisito
técnico
La seguridad tiene
perspectivas y dinámicas
diferentes a la privacidad
Recomendaciones 26
Seguridad y Privacidad de la Información
Personas Del paternalismo estatal a la responsabilidad individual
Procesos Del riesgo a la oportunidad
Tecnología Privacidad y seguridad por diseño
Normativo Balance de las tensiones entre el compartir y el proteger
“
”
La seguridad de la
información es un proceso,
la privacidad es una
consecuencia
27
Rebecca Herold, CEO Privacy Professor
Referencias 28
Cavoukian, A. y El Eman, K. (2014) De-identification protocols: Esssential for protecting privacy. Recuperado de: https://www.privacybydesign.ca/content/uploads/2014/09/pbd-de-identifcation-essential.pdf Breaux, T. (Executive Editor) (2014) Introduction to IT Privacy. IAPP Publication Finneran, M., Fox, J. y Finneran, T. (2014) The privacy engineer’s manifiesto. Getting from policy to code to QA
to Value. A. New York, USA: Apress Open. Ernst & Young (2014) Get ahead of cybercrime. Insights on governance, risk and compliance. Recuperado de: Adaptado de: http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf
Foro Económico Mundial (2013) Unlocking the Value of Personal Data: From Collection to Usage. Recuperado de: http://www3.weforum.org/docs/WEF_IT_UnlockingValuePersonalData_CollectionUsage_Report_2013.pdf Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler Publishers. Greenaway, K. y Chan, Y. (2013) Design a customer information privacy program aligned with with
organizational priorities. MIS Quarterly Executive. No.12. Vol3. Septiembre Cavoukian, A. (2012) Operationalizing Privacy by Design: A Guide to Implementing Strong Privacy Practices. Recuperado de: https://www.privacybydesign.ca/content/uploads/2013/01/operationalizing-pbd-guide.pdf Herold, R. (2009) practical guide for operational information security and privacy convergence. Recuperdo de: https://privacyassociation.org/news/a/2009-01-guide-for-operational-information-security-and-privacy-
convergence