Estrategia para la protección de datos. Viviana Romo Subdirectora Auditoría TI, Scotiabank AGENDA

Transcripción

1 Estrategia para la protección de datos Viviana Romo Subdirectora Auditoría TI, Scotiabank AGENDA Planeación de la estrategia de protección de datos. Implementación y operación de la estrategia de protección de datos. Monitoreo de la estrategia protección de datos. Mejora continua. 1

2 POR DÓNDE EMPEZAR? Se debe establecer un sistema de gestión de la seguridad de los datos, para que la organización: Conozca los riesgos a los que están expuestos los datos Tome decisiones Actualice constantemente los riesgos Plan Act Do Check SISTEMA DE GESTIÓN DE DATOS Establecer los objetivos y el alcance de la gestión de datos Elaborar una política de gestión de datos Establecer los roles y responsabilidades Elaborar un inventario de datos Analizar los riesgos a los que están sujetos los datos Realizar el análisis de brecha Implementación de medidas de seguridad Monitoreo de la estrategia de protección de datos Mejora continua y capacitación 2

3 PASO 1: ESTABLECER EL OBJETIVO Y ALCANCE DE LA GESTIÓN DE DATOS Alcance Protección de los datos y su tratamiento legítimo, controlado e informado. Objetivo Proveer un marco de trabajo para el tratamiento de datos, que permita mantener el cumplimiento con la legislación aplicable y fomentar las buenas prácticas. PASO 2: DEFINIR UNA POLÍTICA DE GESTIÓN DE DATOS Es el compromiso formal documentado de la Alta Gerencia hacia el tratamiento adecuado de datos en la organización, sirve para: Garantizar la confidencialidad de la información. Garantizar la integridad, exactitud y veracidad de la información. Reducir el riesgo de cumplimiento con leyes y regulaciones. 3

4 DEFINICIÓN DE POLÍTICAS DE SEGURIDAD Una organización debe de definir 3 tipos de políticas de seguridad: Política corporativa de seguridad Establece el propósito de la política, justifica la importancia de la seguridad para la organización, define los roles y responsabilidades de seguridad de la información y contiene las referencias a las guías y estándares aplicables. Política de seguridad sobre temas específicos Proporciona una guía detallada sobre el uso seguro de los activos como son: equipo de cómputo, , Internet, acceso remoto, configuraciones seguras, software de comunicaciones, etc. Política de seguridad sobre sistemas Funcionan como estándares y procedimientos para ser utilizados cuando se configura o da mantenimiento a un sistema. PASO 3: ESTABLECER ROLES Y RESPONSABILIDADES. Identificar a los involucrados en el sistemas de gestión de datos. Actividades Elaboración del inventario de datos Análisis de riesgos de los datos Director de TI Director de RH Director de Compras Director de Auditoría Interna Director de Cumplimiento Proveedor Oficial de Seguridad X X X X X X X X X X X X X X Análisis de brecha X X X X X X X Implementación de medidas de seguridad Revisiones y auditoría Capacitación para el tratamiento de datos X X X X X 4

5 ROLES Y RESPONSABILIDADES Asegurar que los trabajadores tengan claros sus roles y responsabilidades, su contribución para el logro de objetivos y las consecuencias del incumplimiento. Comunicar a todos los involucrados en la importancia de: Cumplir la política de gestión de datos Conocer los objetivos del sistema de gestión de datos Mejorar el sistema de gestión de datos de manera continua PASO 4: ELABORACIÓN DEL INVENTARIO DE DATOS. Establecer un inventario de los sistemas de tratamiento de datos, considerando el ciclo de vida de los datos: Obtención Almacenamiento Uso Cancelación Bloqueo Divulgación 5

6 PASO 4: ELABORACIÓN DEL INVENTARIO DE DATOS. Identificar los activos de información por cada proceso, por ejemplo: Nombre del proceso Reclutamiento y selección Administración de proveedores Administración de proyectos Administración del presupuesto Auditoría Interna Capacitación del personal Continuidad del Negocio Control de cambios Cumplimiento Sucursales Activos de información CVs, Perfiles de puestos, Solicitudes de empleo, Documentación de referencias de los candidatos. Contratos, Niveles de servicio con los proveedores, Expedientes de proveedores. Reportes de estatus del proyecto, Documentos entregables del proyecto, Presupuesto del proyecto. Presupuesto autorizado 2015, Facturas pagadas, Análisis del presupuesto vs real. Reportes de auditoría interna, Plan anual de auditoría, Observaciones de auditoría, Documentación de las auditorías. Presupuesto de capacitación, Matriz de habilidades, Plan de capacitación, Resultados de exámenes de empleados. BIA, Planes BCP & DRP. Solicitud del cambio, Documentación del cambio, Autorización del cambio, Implementación del cambio. Reportes de prevención de lavado de dinero, Registro de solicitudes de protección de datos, Manual de Cumplimiento. Registro de efectivo al inicio y cierre del día, Cierre contable diario, Documentación de transacciones realizadas en las ventanillas. PASO 4: ELABORACIÓN DEL INVENTARIO DE DATOS. Se deben definir las clasificaciones de los datos de acuerdo a su sensibilidad para considerarlo en el inventario. Datos personales Cualquier información concerniente a una persona física identificada identificable. Datos personales sensibles Datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. * Clasificación de acuerdo a la LFPDPPP. 6

7 CLASIFICACIÓN DE DATOS Tipos de datos Tipos de datos Datos personales Nombre, domicilio, teléfono, correo electrónico, estado civil, RFC, CURP, fecha y lugar de nacimiento, puesto, domicilio, correo y teléfonos de trabajos anteriores. Bienes muebles e inmuebles, información fiscal, historial crediticio, trayectoria educativa, títulos, cédula profesional y certificados. Datos personales sensibles * Clasificación de acuerdo a la LFPDPPP. Creencia religiosa, afiliación política, preferencias sexuales, estado de salud, historial clínico, tipo de sangre, huella digital. CLASIFICACIÓN DE DATOS Además, se deben identificar las guías para la clasificación de los datos que están definidas en las políticas de seguridad, las cuales pueden ser las siguientes: Confidencialidad: Estrictamente confidencial, Confidencial, Uso interno y Pública. Integridad: Vital, Muy importante, Importante y Poco importante. Disponibilidad: Alto, Medio y Bajo. Continuidad: Alta, Media y Baja. 7

8 CUESTIONARIO DE CLASIFICACIÓN DE INFORMACIÓN El dueño de la información debe ayudar a clasificar los datos, se pueden utilizar cuestionarios: Estrictamente confidencial SÍ NO La información contiene cualquier política o planes estratégicos de la Empresa que aún no haya sido hecha pública? La información contiene contraseñas de clientes o empleados (ATM, T. Crédito), combinación de caja fuerte, etc.? Podría la divulgación de la información causar pérdidas financieras inaceptables a la Empresa tales como multas o alguna otra obligación legal? Podría la divulgación de los datos permitir cometer fraude a la Empresa o a nuestros clientes? Podría la divulgación de la información afectar la competitividad de la Empresa? Podría la divulgación de la información afectar la reputación de la Empresa? La información tiene relación con actos, transacciones u operaciones sospechosas de lavado de activos (y que deben ser informadas al Gobierno de México? Confidencial SÍ NO La información contiene datos sobre clientes (Nombre, Dirección, Teléfono, Ingresos, etc.)? La información contiene datos sobre empleados de la Empresa? (Nombre, Dirección, Teléfono, Ingresos, etc.)? La información incluye datos relacionados con la Ley de Derechos de Autor o describan el diseño de los sistemas que son propiedad de la Empresa? Podría la divulgación de la información afectar la privacidad de los clientes o los empleados de la Empresa? Podría la divulgación de la información causar un juicio en contra de la Empresa? Uso interno SÍ NO La información se limita a las estadísticas generales del cliente? La información contiene detalles de procedimientos o estándares internos de la Empresa? La información contiene comunicaciones internas que estén a la disposición de cualquier empleado de la Empresa que no son de carácter público? La información contiene detalles de métodos de prueba del sistema, recolección de datos o su distribución? Podría la divulgación de la información afectar la reputación de la Empresa? Pública SÍ NO La información está a disposición del Público en General? PASO 4: ELABORACIÓN DEL INVENTARIO DE DATOS. Finalmente, se registra la información en el inventario por cada activo: Nombre del activo de información: Descripción del activo de información: Área: Dueño del activo de información: Tipo de información: Datos personales (S/N): Solicitud de empleo Es utilizada para recabar información sobre los candidatos a empleados. Recursos Humanos Dir. Reclutamiento y Selección Formato en electrónico S Datos personales que incluye: Nombre, domicilio, teléfono particular y celular, correo electrónico, estado civil, RFC, CURP, cartilla militar, lugar y fecha de nacimiento, nacionalidad, edad, nombres de familiares, fotografía, idiomas, documentos de reclutamiento y selección, de capacitación, puesto, domicilio, correo y teléfonos de trabajos anteriores, referencias laborales y personales. 8

9 PASO 4: ELABORACIÓN DEL INVENTARIO DE DATOS. Datos personales sensitivos (S/N) Datos personales sensitivos que incluye: Clasificación: Integridad: Disponibilidad: Continuidad: Custodio del activo de información: Periodo de retención de la información: S Creencia religiosa, estado de salud, historial clínico y tipo de sangre. Confidencial Medio Bajo Bajo Gerente de Reclutamiento y Selección 0.5 años PASO 5: REALIZAR EL ANÁLISIS DE RIESGOS A LOS DATOS. Determinar la probabilidad e impacto de que se presenten amenazas sobre los datos. Priorizar y tomar la mejor decisión respecto a los controles más relevantes a implementar. 9

10 GESTIÓN DE RIESGOS Gobierno de riesgos Definir: Alcance Política Metodología Evaluación de riesgos Identificar: Activos Amenazas Vulnerabilidades Escenarios Activos Amenazas Vulnerabilidad Escenarios Cualquier valor para la organización que requiera ser protegido Tiene el potencial de dañar un activo y causar una vulneración a la seguridad Debilidades en seguridad de los activos Proviene de una amenaza que explota ciertas vulnerabilidades Respuesta al riesgo GESTIÓN DE RIESGOS Ejemplos de activos Ejemplos de amenazas Ejemplos de vulnerabilidades Ejemplos de escenarios - Información - Conocimiento del proceso - Hardware -Medios de almacenamiento -Software -Equipo de redes y telecomunicaciones - Ubicación física -Personal y organización - Amenazas de origen humano (Hacker, cracker, terrorista, espía, personal interno) - Amenazas físicas (daño físico, eventos naturales, fallas técnicas) - Hardware (falta de mantenimiento, falta de configuraciones adecuadas, almacenamiento no cifrado, etc.) - Software (falta de pruebas, falta de actualizaciones, falta de registros de auditoría, etc.) Un equipo de cómputo es vulnerable debido a que no ha tenido mantenimiento suficiente lo cual podría generar fallas en los equipos. 10

11 CRITERIOS DE EVALUACIÓN DE RIESGO Definir diferentes criterios de evaluación para delimitar el nivel de riesgo aceptable, considerando: Requerimientos regulatorios y obligaciones contractuales Valor de los datos de acuerdo a su clasificación por tipo Valor y la exposición de los activos involucrados con los datos Expectativas de las partes interesadas Ejemplos: Probabilidad Escala Significado 5 Casi seguro 4 Muy probable 3 Probable 2 Poco probable 1 Raro Impacto Escala Significado 5 Mayor 4 Importante 3 Significativo 2 Regular 1 Menor ANÁLISIS DE RIESGOS Escenario 1 Nombre del activo de información: Amenaza: Vulnerabilidad: Controles: Impacto: Probabilidad: Solicitud de empleo (formato físico) Incendio Uso de material susceptible al fuego Se tiene implementado un sistema anti-incendio 3- Significativo 2- Poco probable Escenario 2 Nombre del activo de información: Amenaza: Vulnerabilidad: Controles: Impacto: Probabilidad: Solicitud de empleo (formato electrónico) Antivirus Uso de computadoras con antivirus desactualizado Se tiene instalado el antivirus, sin embargo no se cuenta con un proceso para actualizarlo. 3- Significativo 4- Poco probable 11

12 PASO 6: REALIZAR EL ANÁLISIS DE BRECHA. Realizar un análisis de brecha (gap analysis), que consiste en la identificación de: Medidas de seguridad existentes Medidas de seguridad existentes que operan correctamente Medidas de seguridad faltantes Si existen nuevas medidas de seguridad que puedan reemplazar a uno o más controles implementados. Acción requerida Situación actual Objetivo MEDIDAS DE SEGURIDAD Durante el análisis de brecha, considerar al menos los siguientes controles de seguridad: Políticas del SGSDP Cumplimiento legal Estructura organizacional de la seguridad Clasificación y acceso de los activos Seguridad del personal Seguridad física y ambiental Gestión de comunicaciones y operaciones Control de acceso Desarrollo y mantenimiento de sistemas Vulneraciones de seguridad 12

13 EJEMPLO DE ANÁLISIS DE BRECHA Proceso: Recepción de documento de solicitud de empleo. Área: Recepción de documentos. Activo de información Solicitud de empleo (formato físico) Medidas físicas existentes El personal autorizado que labora en el área de recepción tiene una identificación con fotografía (credencial o gafete) emitida por la empresa. Existe señalización visible sobre las restricciones de acceso, las prohibiciones que aplican y el procedimiento para dar aviso al personal de vigilancia en caso de presencia de personas no autorizadas en el área de recepción. Los expedientes con información del cliente son resguardado en el cajón de la persona que recibe el documento. Medidas físicas faltantes El cajón donde se resguardalasolicitudno cuenta con un candado. El escritorio no se encuentra en una zona de acceso restringido. PASO 7: IMPLEMENTACIÓN DE MEDIDAS DE SEGURIDAD. Los controles de seguridad se deben implementar de acuerdo al tipo de datos, por ejemplo: Nivel de medidas de seguridad Tipos de datos Nivel básico Nombre, domicilio, teléfono, correo electrónico, estado civil, RFC, CURP, fecha y lugar de nacimiento y datos sobre trabajos anteriores (dirección, puesto, sueldo). Nivel medio Bienes muebles e inmuebles, información fiscal, historial crediticio, trayectoria educativa, títulos, cédula profesional y certificados. Nivel avanzado Creencia religiosa, afiliación política, preferencias sexuales, estado de salud, historial clínico, tipo de sangre, huella digital. 13

14 EJEMPLOS DE CONTROLES DE SEGURIDAD Seguridad física y ambiental Mecanismos de seguridad en el perímetro de la organización Mecanismos para mantener las áreas de resguardo o servicios de procesamiento de datos aisladas de amenazas Acceso controlado al personal Seguridad del cableado Mantenimiento de equipos Mecanismos para controlar la entrada/salida de activos Mecanismos de borrado/destrucción seguros de la información Políticas de escritorio limpio PLAN PARA LA IMPLEMENTACIÓN DE MEDIDAS DE SEGURIDAD. Seleccionar los controles de seguridad faltantes identificados en el análisis de la brecha, considerando lo siguiente: Costo de la respuesta para reducir el riesgo dentro de los niveles tolerables Importancia del riesgo Capacidad para implementar la respuesta Efectividad de la respuesta Eficiencia de la respuesta 14

15 TRATAMIENTO DEL RIESGO Mitigar el riesgo Implementar controles para reducir la probabilidad o impacto del riesgo Transferir el riesgo El impacto es reducido por la transferencia del riesgo a un externo (seguros, outsourcing) Aceptar el riesgo No se toma ninguna acción respecto al riesgo, la pérdida es aceptada. Para esto es importante tener definidos los criterios de aceptación. Evitar el riesgo El costo de los controles es más grande que la tolerancia al riesgo COMUNICACIÓN DEL RIESGO Alcanzar los acuerdos con las áreas involucradas en el proceso de administración de riesgos, para: Compartir resultados de la valoración del riesgo COMUNICACIÓN DEL RIESGO Reducir vulneraciones de seguridad Dar soporte a la toma de decisiones Incrementar la conciencia de riesgo 15

16 PASO 8: MONITOREO DE LA ESTRATEGIA DE PROTECCIÓN DE DATOS. Se deben implementar procesos para monitorear y revisar el riesgo con sus factores relacionados, como pueden ser: Evaluación de tendencias (por ejemplo, a través de Key Risk Indicators- KRIs). Reuniones con las áreas involucradas para realizar la reevaluación de riesgos. RESULTADOS DEL MONITOREO Este monitoreo puede resultar en lo siguiente: Nuevos activos que se incluyen en los alcances de la gestión de riesgo Modificaciones necesarias a los activos MONITOREO Nuevas amenazas que podrían estar activas dentro y fuera de la organización Posibilidad de nuevas vulnerabilidades Cambios en el impacto, vulnerabilidades y riesgos 16

17 AUDITORÍA Contar con un programa de auditoría interna para monitorear y revisar la eficacia del sistema de gestión de datos, para: Determinar si el sistema de gestión de datos está operando de acuerdo a las políticas y procedimientos establecidos. Determinar si ha sido implementado de acuerdo a los requerimientos tecnológicos. Alcance AUDITORÍA Objetivos Procedimientos Reporte de auditoría (observaciones) VULNERACIONES A LA SEGURIDAD Las organizaciones deben contar con procedimientos para tomar acciones que permitan el manejo de las vulneraciones de seguridad que puedan ocurrir, considerando: Identificación de la vulnerabilidad Notificación de la vulnerabilidad Remediación del incidente Activos afectados, personal a cargo y las partes interesadas que requieran estar informadas Comunicar a los dueños de la información Analizar las causas para establecer medidas correctivas 17

18 PASO 9: MEJORA CONTINUA Y CAPACITACIÓN. Mejora Continua: proceso de monitoreo de los factores de riesgo y de resultados de las auditorías, pueden ser de 2 tipos: Acciones correctivas: sirven para eliminar las causas de las fallas o incidentes en el sistema de gestión de datos para prevenir que vuelvan a ocurrir, deben ser proporcionales a la gravedad del incidente. Acciones preventivas: sirven para eliminar las causas de fallas o incidentes que puedan ocurrir en el sistema de gestión de datos, deben ser proporcionales a las amenazas potenciales. CAPACITACIÓN Para contar con personal consciente de sus responsabilidades en la protección de datos y que identifiquen su contribución para el logro de objetivos del sistema de gestión de datos, se deben establecer los siguientes programas: Concientización: programas a corto plazo para la difusión de la protección de datos en la organización. Entrenamiento: programas a mediano plazo que tienen por objetivo capacitar al personal de manera específica respecto a sus funciones y responsabilidades en el tratamiento y seguridad de los datos. Educación: programa general a largo plazo que tiene por objetivo incluir la seguridad en el tratamiento de datos dentro de la cultura de la organización. 18

19 GUÍAS PARA LA IMPLEMENTACIÓN DE LA ESTRATEGIA ISO/IEC 27001:2013 ISO/IEC 27002:2013 ISO/IEC 27005:2008 ISO/IEC 27006:2011 ISO/IEC TR 27008:2011 ISO/IEC 29100:2011 ISO/IEC :2011 ISO 22301:2012 ISO 31000:2009 ISO GUIDE 72 ISO GUIDE 73 ISO 9000:2005 BS 10012:2009 NIST SP OECD Guidelines GAPP COBIT v4.1 COBIT 5 PCI DSS v2 HIPAA SOx ITIL v3 OWASP v2 CCM v3 DUDAS Y/O PREGUNTAS 19

20 MUCHAS GRACIAS! Viviana Romo Núñez 20