Medidas de seguridad en el tratamiento de datos personales Víctor Chapela

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Medidas de seguridad en el tratamiento de datos personales Víctor Chapela"

Sebastián Araya Espejo
hace 8 años
Vistas:

1 Medidas de seguridad en el tratamiento de datos personales Víctor Chapela

2 Problemática Hoy se gestionan vulnerabilidades, se deberían gestionar riesgos La gestión por vulnerabilidades genera distorsiones grandes Controles excesivos o Controles deficientes A las empresas NO se les debe dar la libertad de gestionar los riesgos de otros Seguridad es el principal costo de cumplimiento para las empresas

4 ISO 27000? 1. La ley NO busca aumentar la seguridad de las empresas 2. Busca sólo aumentar la seguridad de los datos personales en resguardo de las empresas 3. ISO Propone controles de alto nivel para mitigar los riesgos que la empresa considere relevantes 4. Implantar controles <> reducir riesgo 5. + Controles + Costo 6. Riesgos materializados cuestan dinero 7. + Controles <> Riesgos 8. Equilibrio entre controles y riesgo

5 Objetivo Principal Prevenir el acceso no autorizado a Datos Personales

6 Número de Individuos 1ª Estrategia Mitigar con base en el riesgo: Por tipos de datos Por número de individuos 500k 50k 5k Datos de bajo riesgo Riesgo del dato Datos de alto riesgo

7 2ª Estrategia Alinear incentivos Compensar la diferencia entre impacto interno para la empresa y la amenaza externa Reducir el riesgo para el individuo cuando no hay incentivos para que el responsable lo haga Riesgo reputacional Riesgo económico Riesgo de integridad personal

8 3 tipos de riesgos Intencional Anonimicidad Oportunista Complejidad Accidental Probabilidad RIESGO

9 Incentivos Distintos Intencional Mínimo Esfuerzo Oportunista Suma de Esfuerzos Accidental Mejor Esfuerzo El mitigación del riesgo en relación al esfuerzo

10 Disponibilidad siempre ha sido la meta principal

11 Facilitar Acceso e Interacción

12 Riesgo Accidental es mitigado por medio de Redundancia

13 Cómo mitigamos nuestro riesgo oportunista?

14 Para reducir Riesgos Oportunistas necesitamos construir bardas

15 Entre más grandes

16 y mejores controles incluyas

17 más resistente va a ser.

18 Pero seguimos necesitando dar acceso

19 La analogía militar no aplica

20 Necesitamos usar la analogía médica

21 Necesitamos mantener nuestros sistemas y redes sanos

23 Usar mejores prácticas

24 Introducir sólo componentes sanos

25 Complementar con parches & actualizaciones

26 Aislarlos de amenazas externas

27 Generar alertas

28 Guardar logs

29 Riesgo Oportunista Digital es como la Salud La Suma de los esfuerzos me mantiene Sano

30 y define el tamaño de nuestra barda

31 Cómo mitigamos nuestro riesgo intencional?

32 Elriesgo intencional es gestionado aislando y filtrando nuestra información crítica

33 Valor Intencional Valor para terceros Oportunista Valor por interrelación Riesgo Accidental Valor para la organización

34 Controles divididos en dos grupos: Disponibilidad? Impacto al Negocio BIA Redundancia Confidencialidad e Integridad? Valor de Mercado y Conectividad IVA Filtros y Autenticación

35 Riesgo Intencional Riesgo Intencional = Impacto x Probabilidad Amenaza x Accesibilidad Impacto es determinado al estimar el valor económico Probabilidad es medida al calcular conexiones potenciales

36 Cómo se calcula el valor de la información? (la amenaza)

Potenciales Ataques Conocidos Valor Económico Nodos

37 Intencionalidad Posibles Ataques Información Activos de Información Perfiles de Usuario Pérdidas Potenciales Ataques Conocidos Valor Económico Nodos de Alto Riesgo Acceso a Nodos de Alto Riesgo Rentabilidad Atacante

38 Necesitamos aceptar riesgo El número de jugadas potenciales es infinta

39 Con miles de partidas simultáneas

40 En un ambiente altamente dinámico

42 Las piezas cambian diario

43 Las reglas cambian diario

44 Jugadores cambian diario

45 El fin justifica los medios Al prevenir riesgo intencional Nada menor que asegurar todos los vectores es suficiente

46 La defensa debe ser optimizada

47 Optimizar la velocidad

48 Optimizar recursos

49 Método de gestión por valor Posibles Incidentes Incidentes Reales Incidentes Aplicables Incidentes Recurrentes Medida del valor agregado Incidentes priorizados

50 Definición del valor de la información por tipo de dato Análisis del proceso de negocio Inventario del ciclo de vida del dato Cumplimiento legal y regulatorio (PIA) Categorías de Datos Valor de información (IVA) Categorías de Datos Inventario de Activos, Perfiles y Conexiones Generación de Políticas Definición controles, estándares y procedimientos Implantación y Auditoría

51 Así es como estimamos amenaza

52 Cómo se calcula la vulnerabilidad?

55 Accesos Información Conexión Usuario

56 Segmentar por Accesos

57 Medir Accesibilidad

58 Agrupando Riesgo Intencional Grupo de Usuarios Sistema Segmento de Red Tipo de Dato

59 Disponibilidad Impacto al Negocio Activos Redundancia Confidencialidad e Integridad Valor de Mercado Activos Usuarios Conectividad Filtros y Autenticación

60 Accesibilidad Default Close Default Open Confidencialidad Disponibilidad

61 Enfocar controles en los riesgos principales

62 Determinar las fronteras de confianza

63 Cómo aplica todo esto en una ley de privacidad?

64 Riesgo por tipo de dato Personal Sensible Bajo Valor Bajo Medio Alto Valor Medio Alto

65 Riesgo del tipo de dato Riesgo para el individuo por tipo de dato Accesibilidad al dato

66 Anonimidad de Terceros Registrar y Monitorear Accesibilidad para Terceros Filtrar, Aislar, Autenticar Riesgo Intencional Reducir Rentabilidad Rentabilidad para Terceros Disociar y Separar Valor para Terceros

67 Monitorear y Registrar Reducir el riesgo para el individuo por medio de tres estrategias

68 Accesibilidad Filtrar y Aislar Controles mínimos de Accesibilidad Riesgo Intencional Riesgo Oportunista Riesgo Accidental Amenaza Externa Filtrado Confidencialidad Integridad Redundancia Disponibilidad Impacto Interno 0 Privado Público

Accesibilidad Peor Esfuerzo Suma de Esfuerzos Mejor Esfuerzo Riesgo Intencional Riesgo Oportunista Riesgo Accidental Amenaza Externa Filtrado

69 Accesibilidad Peor Esfuerzo Suma de Esfuerzos Mejor Esfuerzo Riesgo Intencional Riesgo Oportunista Riesgo Accidental Amenaza Externa Filtrado Confidencialidad Integridad Redundancia Disponibilidad Impacto Interno 0 Privado Público 1 1 canal 1 momento 1 1 p 1 dispositivo Autenticada Amenaza Externa Impacto Interno

70 Re evaluación x tiempo o x cambio Cuestionario de Autoevaluación Ciclo de vida Inventario de datos Clasificación de datos Inventario: - Sistemas - Accesos Clasificación de controles Programa de trabajo Implantación de controles Revisión y Auditoria Documento de Seguridad Documento de Seguridad Documento de Seguridad Documento de Seguridad Documento de Seguridad Documento de Seguridad Controles Controles Controles Controles Controles Controles

71 Proporcional 80% de los negocios sólo tengan que llenar el cuestionario de autoevaluación 80% de los controles mínimos deberían estar ya implantados en la mayoría de las industrias Reutilización de controles A menor riesgo se reduce el alcance, el proceso y la profundidad

72 Consideraciones en los criterios Autoregulación de Seguridad Ejemplo: PCI-DSS o CNBV Por tipo de dato Secuestros y extorsión Anti-spam Correo electrónico Teléfonos Dirección VIP no se puede proteger Cloud computing Adaptar los controles para que se cumplan los objetivos en este entorno Transitorios 18 meses para la implementación de controles

73 Eficiente Eficaz

74 Medidas de seguridad en el tratamiento de datos personales Víctor Chapela

Documentos relacionados

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido