Seguridad de la información

Documentos relacionados
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Condiciones de servicio de Portal Expreso RSA

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Soporte Técnico de Software HP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

SHAREFILE. Contrato de socio comercial

Aviso Legal. Entorno Digital, S.A.

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

NORMA INTERNACIONAL DE AUDITORÍA 706 PÁRRAFOS DE ÉNFASIS Y PÁRRAFOS DE OTROS ASUNTOS EN EL

Aplicación de Justicia Móvil AZ de la ACLU-AZ Política de Privacidad

Política Global Conflictos de Intereses

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

Health Republic Insurance Política de privacidad del sitio web

Business Layout Consulting, S.C. Todos los derechos reservados. Prohibida su reproducción total o parcial.

AVISOS LEGALES Sistema de Control de Solicitudes ( SICS )

Operación 8 Claves para la ISO

CONTRATAS Y SUBCONTRATAS NOTAS

Enkarga.com LLC. Política de privacidad

I. DISPOSICIONES GENERALES

INFORME UCSP Nº: 2011/0070

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006


Preguntas Frecuentes sobre Intermediarios

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización

Jornada informativa Nueva ISO 9001:2008

Se aplicará la base de la Orden de Compra acordada expresamente por las partes contratantes.

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

CÓDIGO DE CONDUCTA DE DATOS PERSONALES

0. Introducción Antecedentes

POLITICA DE PRIVACIDAD.

5.1 REGISTRO DE FICHEROS Análisis de los datos tratados Inscripción de los ficheros... 5

Términos y condiciones de Europeanwebhost S.L ver: 1.0

Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

AVISO LEGAL y POLITICA DE PRIVACIDAD

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico:

CODIGO DEL DOCUMENTO: CONTROL DE CAMBIOS. Versión Fecha Descripción del Cambio

Acerca de EthicsPoint

COLEGIO DE CONTADORES PUBLICOS DEL DISTRITO CAPITAL DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA. No. 2

Condiciones de uso. Accesorios Forestales de Occidente S.A. de C.V.

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

IAP TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA DNA 2. SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

Actualización de la Norma ISO 9001:2008

Sistemas de Gestión de Calidad. Control documental

152. a SESIÓN DEL COMITÉ EJECUTIVO

Requisitos de control de proveedores externos

AUTO MERCADO S.A. Términos y condiciones

TÉRMINOS Y CONDICIONES PARA EL ACCESO AL PORTAL BDF.

Proceso: AI2 Adquirir y mantener software aplicativo

Módulo 7: Los activos de Seguridad de la Información

Norma ISO 9001: Sistema de Gestión de la Calidad

POLITICA DE PRIVACIDAD DE LA PAGINA WEB

DEPARTAMENTO DE SALUD PÚBLICA DE ALABAMA NOTIFICACIÓN DE PRÁCTICAS DE PRIVACIDAD

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

BYOD - Retos de seguridad

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

Aceptación del acuerdo: Modificaciones de este acuerdo: Derechos de autor:

6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández.

Guía para identificar riesgos en el Proceso de Inventarios

Transport Layer Security (TLS) Acerca de TLS

INFORME AL PROYECTO DE REAL DECRETO DE ASISTENCIA SANITARIA TRANSFRONTERIZA

Principios de Privacidad y Confidencialidad de la Información

Privacidad. Política de Privacidad del Sitio Web. Introducción. Cookies y Seguimiento

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

GRUPO DE ACCIÓN SOBRE LA CAPACIDAD LEGAL SEGÚN LA CONVENCION

DOCUMENTO DE SEGURIDAD

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

El USUARIO manifiesta que es jurídicamente capaz de realizar el procedimiento a utilizar y que está facultado para hacer uso del mismo.

Política de Privacidad Novasalud.com S.A.

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

Ley Modelo sobre sistemas de pagos y de liquidación de valores de Centroamérica y República Dominicana. Capítulo I Disposiciones generales

Política de privacidad

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Términos y Condiciones de

AVISO DE PRIVACIDAD MACRO QUIMICA SA DE CV

A. PRINCIPIOS GENERALES PARA LA MANIPULACION DE INFORMACION CONFIDENCIAL

ISO 17025: Requisitos generales para la competencia de los laboratorios de ensayo y calibración

ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR

CAPÍTULO V. CONCLUSIONES Y RECOMENDACIONES. La franquicia es una figura jurídica regulada en la ley de propiedad industrial,

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

TEXTOS A AÑADIR EN LOS CONTRATOS LABORALES CON LOS TRABAJADORES DE LA EMPRESA

Tratamiento del Riesgo

CONTRATO DE CONFIDENCIALIDAD

GVSIG ACUERDO DE LICENCIA DE CONTRIBUCIÓN

Ley Orgánica de Protección de Datos

Antecedentes Programa de Nuevos Dominios Genéricos de Alto Nivel (gtld)

6 - Aspectos Organizativos para la Seguridad

Para que la legislación modelo propuesta ofrezca mayor certidumbre y previsión, será necesario que aborde los siguientes temas:

Términos y condiciones generales de uso del sitio web del Banco de la Provincia de Buenos Aires

Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención

Transcripción:

Seguridad de la información y cumplimiento de las obligaciones legales: cómo encontrar una base en común Informe técnico que explora los denominadores comunes de las leyes y normativas de la seguridad de la información; confidencialidad, integridad y disponibilidad. Escrito por Michael R. Overly, abogado, CISA, CISSP, CIPP, ISSMP, CRISC Con Kaspersky, ahora usted puede. http://latam.kaspersky.com/productos-para-empresas Be Ready for What s Next

Contenidos 1.0 Introducción 3 2.0 Qué tipo de información se debería proteger? 5 3.0 Por qué es importante la protección 7 4.0 Conceptos erróneos habituales sobre el cumplimiento de las obligaciones de seguridad de la información 8 5.0 Buscar denominadores comunes en las leyes y normativas sobre el cumplimiento 9 6.0 Abordar la seguridad de la información en las relaciones con los socios comerciales y los proveedores 11 7.0 Programas BYOD (Traiga su propio dispositivo) 17 8.0 Conclusiones 21 2

Introducción 1.0 Conciliar la totalidad de las obligaciones legales puede ser, en el mejor de los casos, una tarea de tiempo completo y, en el peor, motivo de multas, penalidades y demandas. Las empresas de hoy en día enfrentan la casi insuperable tarea de cumplir con una confusa diversidad de leyes y normativas relacionadas con la privacidad y seguridad de la información. Estas pueden provenir de una variedad de fuentes: de legisladores locales, de los estados, nacionales e incluso internacionales. No se trata de un problema propio únicamente de las grandes empresas. Hasta una pequeña empresa con presencia geográfica localizada puede estar sujeta a leyes de otros estados y, posiblemente, de otros países si tiene presencia en Internet. En muchos casos, estas leyes y normativas son vagas y ambiguas, con muy poca orientación en lo que respecta a su cumplimiento. Es más, con frecuencia las leyes de diferentes jurisdicciones son contradictorias. Un estado o país puede exigir medidas de seguridad totalmente distintas a las de otro estado o país. Conciliar todas estas obligaciones legales puede ser, en el mejor de los casos, una tarea de tiempo completo y, en el peor, motivo de multas, penalidades y demandas. En respuesta a las crecientes amenazas a la seguridad de la información, los reguladores de prácticamente todas las jurisdicciones han aprobado o están luchando por aprobar leyes y normativas que impongan obligaciones de seguridad y confidencialidad de la información a las empresas. Incluso dentro de una misma jurisdicción, varias entidades gubernamentales pueden tener autoridad para tomar medidas contra una empresa que no cumpla con las normas vigentes. Esto es, una sola brecha de seguridad puede someter una empresa a acciones de cumplimiento de parte de una amplia gama de reguladores, por no mencionar las posibles reclamaciones por daños y perjuicios de clientes, socios comerciales, accionistas y otros. Estados Unidos, por ejemplo, utiliza un enfoque por sectores para proteger la privacidad y seguridad de la información personal (por ejemplo, distintas leyes federales regulan la información personal relacionada con la atención médica, el sector financiero, la solvencia crediticia y la correspondiente a estudiantes y niños). Otros enfoques, por ejemplo, en la Unión Europea, proporcionan una norma unificada, pero ofrecen mayor protección para determinados tipos de información altamente confidencial (por ejemplo, información de salud, afiliación sindical, etc.). La implementación real de las normas en las leyes depende del país miembro. Canadá utiliza un enfoque similar en su Ley de Protección de la Información Personal y los Documentos Electrónicos (PIPEDA según su sigla en inglés). La responsabilidad por multas y daños y perjuicios puede fácilmente llegar a millones de dólares. Aun si la responsabilidad está relativamente limitada, la reputación comercial de la empresa puede verse irreparablemente dañada por la publicidad adversa y la pérdida de confianza de los clientes y socios comerciales. 3

El 65% de las empresas de todo el mundo cree que las políticas de BYOD amenazan la seguridad de sus negocios.¹ Las leyes y normativas se orientan a que las empresas hagan lo razonable y adecuado, y no lo que es impracticable o irracional. Las amenazas a la seguridad de la información han alcanzado un nivel sin precedentes. Difícilmente pase una semana sin que salga en las noticias la última compañía que fue objeto de una violación de la seguridad de sus datos. Si bien la amenaza de los hackers es significativa, según la Oficina Federal de Investigación (FBI por su sigla en inglés), la incidencia de apropiación indebida desde adentro o la puesta en riesgo de la información confidencial nunca fue más alta. Las personas con acceso a información privilegiada incluyen no solo al propio personal de la empresa, sino también a los contratistas y socios comerciales. Por esa razón, este informe técnico se enfoca en dos de las amenazas desde adentro más importantes: por un lado, las situaciones en que se confía información corporativa delicada a socios y proveedores de la empresa, y por otro lado, los programas BYOD (traiga su propio equipo), en los que se accede a la información empresarial desde dispositivos sobre los que la compañía tiene muy poco control. En el primer caso, los terceros que tienen acceso a información privilegiada (esto es, proveedores y socios comerciales) generan un riesgo que es preciso mitigar. En el segundo caso, los que generan el riesgo son empleados. Si bien no hay soluciones fáciles, este informe técnico aspira a alcanzar varios objetivos: Dejar claro que la privacidad relacionada con la información personal es solo uno de los elementos del cumplimiento. Las empresas también tienen la obligación de proteger otros tipos de datos (por ejemplo, secretos comerciales, datos e información de socios comerciales, información financiera no pública, etc.). Repasar diversas leyes y normativas de confidencialidad y seguridad para identificar tres denominadores comunes, relativamente directos, que están presentes en muchas de ellas: 1. Requisito de confidencialidad, integridad y disponibilidad 2. Actuar razonablemente o tomar medidas adecuadas o necesarias 3. Ajustar las medidas de seguridad para reflejar la confidencialidad de la información y la magnitud de la amenaza Al entender estos conceptos generales, de alto nivel, las empresas pueden comprender mejor sus obligaciones globales de cumplimiento. No obstante, hay un punto que es preciso destacar: las leyes de seguridad y confidencialidad de la información no exigen lo imposible. La seguridad perfecta, si bien es una meta, no es el requisito. Más bien, como subrayaremos repetidamente en el siguiente análisis, las leyes y normativas en esta área apuntan a que las empresas hagan lo razonable y adecuado, y no lo impracticable o irracional. Si una empresa alcanza ese estándar y aun así ocurre una violación de la seguridad, en general no tendrá un problema de cumplimiento. Destacar los riesgos potenciales del no cumplimiento (por ejemplo, demandas, multas, sanciones, etc.) y analizar los conceptos erróneos habituales sobre las leyes de seguridad y confidencialidad de la información. Dar dos ejemplos del mundo real de cómo se pueden implementar estos principios, incluidos pasos específicos para mitigar el riesgo y satisfacer las obligaciones de cumplimiento: 1. El primer ejemplo trata de cómo integrar mejor la seguridad de la información en las relaciones con los proveedores y socios comerciales. 2. El segundo ejemplo se centra en controlar el riesgo al implementar un programa BYOD (Traiga su propio dispositivo). 1 Kaspersky Lab: Informe Global de Riesgos de TI 2013 4

Qué tipo de información se debería proteger? 2.0 El 60% de los eventos de pérdida de datos pueden resultar en algún nivel de deterioro de la capacidad de la empresa de operar. 2 Al pensar en las leyes y normativas de la seguridad de la información, la mayoría de la gente piensa de inmediato en datos personalmente identificables o en información personal. Si bien es indudablemente cierto que la mayoría de las leyes y normativas se centran en la información personal, esta es solo uno de los tipos de datos para con los cuales las empresas pueden tener obligaciones legales. Casi todas las empresas tienen una amplia gama de información muy delicada que debe ser protegida. Algunos ejemplos de ello son: Información general confidencial de la empresa Esto puede incluir información financiera, planes de marketing, potenciales actividades de promoción, información de contacto empresarial, información de inversores, planes para nuevos productos, listas de clientes, etc. Propiedad intelectual Con frecuencia, la propiedad intelectual comprende uno de los activos más importantes de las empresas, cuando no el más importante. Una violación de la seguridad podría derivar en la pérdida definitiva por parte de la empresa de su capacidad de hacer respetar sus derechos de propiedad intelectual. Por ejemplo, los secretos comerciales se definen como información delicada de una empresa que tiene valor porque no es conocida en términos generales en la industria y es el objeto de esfuerzos de la compañía por asegurarse de que siga siendo confidencial (por ejemplo, la fórmula de Coca-Cola ). Si se revela un secreto comercial al público, pierde su estatus y valor como tal. Casi todas las empresas tienen al menos algunos secretos comerciales. Una lista de clientes, un código fuente de software, fórmulas, métodos de hacer negocios, etc., pueden ser secretos comerciales. Deben ser protegidas para garantizar que la información siga amparada como secreto comercial. Información de atención médica La información de atención médica es uno de los tipos de información más regulados y delicados. En Estados Unidos, por ejemplo, la Ley de Transferibilidad y Responsabilidad Seguro de Salud (HIPAA) regula la privacidad y seguridad de la información de atención médica. En algunas jurisdicciones, se le da la mayor protección en comparación con otros tipos de datos personales. En la Unión Europea, la información de atención médica cuenta con protección reforzada en virtud de la Directiva de Protección de Datos de la Unión Europea, según se refleja en las leyes de implementación de los países miembro. Ver también la Ley de Privacidad de Australia de 1988 y la reciente Ley de Modificación de la Privacidad (Protección Aumentada de la Privacidad). Una empresa del sector de atención médica puede estar en posesión de registros reales de pacientes, pero incluso una compañía que no tenga nada que ver con ese sector puede tener información médica de sus empleados (por ejemplo, información de reclamaciones al seguro) que está obligada a proteger. Información financiera personal Al igual que la información de atención médica, la información financiera personal también es muy delicada y está fuertemente regulada. En Estados Unidos, la Ley Gramm, Leach y Bliley (GLBA) trata sobre la privacidad y seguridad de la información financiera personal. En otros países, la información personal es ampliamente definida en leyes globales que abarcan casi 5

cualquier cosa que se pueda identificar con una persona, incluida, por supuesto, la información financiera. Ver, por ejemplo, la Ley de Protección de la Información Personal de Japón. Al igual que con la información de atención médica, una empresa no necesita estar en el sector financiero para poseer este tipo de información. Todo empleador cuenta con información financiera delicada de sus empleados (por ejemplo, información salarial, números de la seguridad social y de identificación personal de otro tipo, números de cuentas bancarias, etc.). Información de seguridad Hasta la información de seguridad en sí misma es delicada y debe ser protegida. Las políticas de seguridad de una compañía, los informes de auditorías de seguridad, los planes para recuperación de desastres y continuidad de negocios y otra información similar son de una elevada confidencialidad. En caso de verse comprometida, la información podría utilizarse para aprovecharse de las vulnerabilidades de una empresa. 2 Kaspersky Lab: Informe Global de Riesgos de TI 2013 6

Por qué es importante la protección 3.0 El impacto característico de una violación de la seguridad de los datos es de aproximadamente $ 50.000 en el caso de las pequeñas empresas (SMB) y $ 649.000 en el caso de las grandes empresas. 3 El cumplimiento de las obligaciones legales está ciertamente a la cabeza de la lista de cada empresa en materia de razones para implementar medidas de seguridad de la información con el fin de proteger datos confidenciales. No obstante, hay otras razones, muy importantes, para que las empresas se ocupen de ese riesgo. Proteger los activos empresariales Tal como se señala en la sección anterior, además de los datos personalmente identificables, toda empresa cuenta con otra información de dominio privado que debe proteger (por ejemplo, propiedad intelectual, planes de marketing, planes para nuevos productos, información de inversores, información financiera, etc.). Todos estos son activos valiosos de la empresa que ameritan protección. Establecer la diligencia debida Muchas leyes y normativas incluyen la exigencia de que la empresa actúe con la diligencia debida en la protección de datos delicados. El mismo concepto existe de manera más general en la obligación de la dirección corporativa de actuar con la debida cautela y de ejercer un criterio razonable al dirigir la empresa, lo que incluiría actuar con la diligencia debida a la hora de proteger la información corporativa. Ni las leyes aplicables ni esta norma más general de gestión empresarial requieren perfección. Más bien, la empresa y sus gerentes deben poder demostrar que actuaron en forma razonable, adecuada y con la diligencia debida para proteger sus activos de información. Por medio de la implementación y documentación de una estrategia razonada para mitigar los riesgos de la seguridad de la información, la empresa y sus gerentes tendrán pruebas para demostrar que hicieron justamente eso en caso de una violación de la seguridad. Proteger la reputación de la empresa Ser objeto de una violación de la seguridad puede dañar considerablemente la reputación de una empresa. La publicidad adversa de este tipo podría afectar seriamente a una compañía. Los clientes y los socios comerciales pueden perder confianza en la capacidad de la empresa de proteger su información y sus sistemas. Minimizar la posible responsabilidad Por último, la razón más obvia para implementar una estrategia razonada para la seguridad de la información es minimizar la posible responsabilidad. Esta puede adoptar varias formas: multas impuestas por una serie de reguladores, sanciones reglamentarias, demandas de accionistas y demandas civiles de socios comerciales y clientes (incluida la posibilidad de costosas demandas colectivas) contra la empresa y eventualmente contra la gerencia. 3 Kaspersky Lab: Informe Global de Riesgos de TI 2013 7

Conceptos erróneos habituales sobre el cumplimiento de las obligaciones de seguridad de la información 4.0 Las leyes y normativas en esta área no requieren perfección; están orientadas a que las empresas hagan lo razonable y adecuado. Existe mucha confusión y conceptos erróneos cuando se trata del cumplimiento de las obligaciones de seguridad de la información. Los más importantes son que todo se trata de la información y todo se trata de la confidencialidad. Si bien la información y la confidencialidad tienen ciertamente una significación crucial, se necesita un enfoque más integral. Una empresa debe preocuparse por los datos, pero debe preocuparse del mismo modo por los sistemas donde residen esos datos. Además, la confidencialidad es solo una de las tres protecciones claves requeridas por la verdadera seguridad. Cualquiera que esté relacionado con la seguridad de la información debería estar familiarizado con la sigla CID. Para que la información esté verdaderamente protegida, se debe cumplir con cada uno de estos elementos. Confidencialidad significa que los datos están protegidos ante el acceso y divulgación no autorizados. Integridad significa que se puede confiar en la exactitud de los datos y que estos no han sido objeto de modificaciones no autorizadas. Por último, disponibilidad significa que la información está disponible para su acceso y uso cuando así se requiera. De nada sirve mantener la confidencialidad e integridad si los datos no están de hecho disponibles cuando un usuario los necesita. Para cumplir este último requisito, los sistemas en los que residen los datos deben tener niveles de servicio específicos para la disponibilidad, el tiempo de respuesta, etc. Esto es particularmente importante cuando un tercero proveedor pueda estar alojando la información en beneficio de la empresa. No se puede enfatizar lo suficiente la importancia de CID. No se trata simplemente de un concepto en los tratados de seguridad de la información. Los legisladores han incorporado directamente ese mismo lenguaje en determinadas leyes y normativas de seguridad de la información. Las empresas que no alcanzan la confidencialidad, integridad y disponibilidad con respecto a su información, pueden estar en infracción de esas leyes. Un último concepto errado sobre las leyes de seguridad y privacidad de la información es que estas requieren perfección (por ejemplo, cualquier violación, independientemente de cuánta diligencia haya demostrado la empresa, generará responsabilidad). Esto no es cierto. Las leyes y normativas en esta área están orientadas a que las empresas hagan lo razonable y adecuado. Si la empresa alcanza ese estándar y aun así ocurre una violación de la seguridad, en general no tendrá un problema de cumplimiento. 8

Buscar denominadores comunes en las leyes y normativas sobre cumplimiento 5.0 La cantidad y diversidad de leyes y normativas aplicables incluso a pequeñas empresas que manejan información confidencial puede ser sobrecogedora y hasta abrumadora. En algunas instancias, puede ser casi imposible hasta para una gran y sofisticada organización identificar todas las leyes aplicables, conciliar las inconsistencias y luego implementar un programa de cumplimiento. El objetivo de esta sección no es analizar leyes o normativas específicas, sino identificar tres denominadores comunes presentes en muchas de ellas. Entendiendo esos denominadores comunes, las empresas pueden comprender más fácilmente sus obligaciones de cumplimiento de referencia. Los mismos no solo se encuentran en leyes y normativas, sino también en normas contractuales como la norma de seguridad de la información del sector de las tarjetas de crédito (PCI DSS según su sigla en inglés) e, incluso, en normas industriales comunes para la seguridad de la información publicadas por organizaciones como CERT, de Carnegie Mellon, y la Organización Internacional de Normalización (ISO según su sigla en inglés). La inclusión de estos denominadores comunes en el diseño e implementación de un programa de seguridad de la información aumentará en gran forma la capacidad de una empresa para lograr el cumplimiento global de las leyes, normativas y otros requisitos (por ejemplo, PCI DSS, normas de la industria, etc.) aplicables. Confidencialidad, integridad y disponibilidad (CID) Como se analiza en la sección 4, el antiguo concepto de CID que se puede encontrar en todo manual sobre la seguridad de la información ha sido codificado en muchas leyes y normativas. Los tres pilares de este concepto se relacionan con los objetivos más importantes de la seguridad de la información: mantener la confidencialidad de los datos, protegerlos contra las modificaciones no autorizadas y hacer que estén disponibles para su uso cuando sea necesario. La ausencia de alguna de estas protecciones tendría un impacto considerable en el cumplimiento y en el valor del activo de la información. Actuar razonablemente o tomar las medidas adecuadas o necesarias El concepto de actuar razonablemente es utilizado en muchas leyes federales y de los estados en Estados Unidos, Australia y muchos otros países. El concepto relacionado que postula actuar de manera de tomar las medidas adecuadas o necesarias se usa en la Unión Europea y en otra muchas zonas. En conjunto, conforman el núcleo de casi todas las leyes de seguridad y confidencialidad de la información. Una empresa debe actuar razonablemente o hacer lo que sea necesario o adecuado para proteger su información. Nótese que esto no requiere perfección. Más bien, la empresa debe tomar en cuenta el riesgo presentado y hacer lo que sea razonable o necesario para mitigarlo. Si de todas maneras, igual ocurre una violación de la seguridad, siempre que la empresa haya establecido este requisito básico, por lo general no estará en infracción de las leyes o normativas aplicables. 9

Ajustar las medidas de seguridad para que reflejen la naturaleza de los datos y la amenaza Un concepto que está estrechamente vinculado con el de actuar razonablemente y hacer lo que es adecuado es el de ajustar las medidas de seguridad para que reflejen la naturaleza de la amenaza y la confidencialidad de los datos. Es decir, no es necesario que una empresa gaste la totalidad de su presupuesto de seguridad en una amenaza de bajo riesgo. Pero si el riesgo es significativo, particularmente en vistas del volumen o confidencialidad de la información, el nivel de esfuerzo y gasto de la empresa para resolver ese riesgo debe aumentar. Una base de datos que solo contenga nombres y direcciones físicas puede no requerir tanta seguridad como una base de datos de nombres, direcciones y números de seguro social. Para comprender mejor este concepto, citamos fragmentos de dos leyes que incorporan el concepto de ajuste : Primer ejemplo: Una empresa debe implementar salvaguardas que se adecuen (a) al tamaño, alcance y tipo de empresa de la persona obligada a proteger la información personal en virtud de tal programa integral de seguridad de la información; (b) al volumen de recursos disponibles para tal persona; (c) al volumen de información almacenada; y (d) a la necesidad de seguridad y confidencialidad de la información de los consumidores y empleados. Segundo ejemplo: Los esfuerzos de seguridad deben tomar en cuenta: (i) El tamaño, la complejidad y las capacidades de la empresa. (ii) Las capacidades de seguridad de la infraestructura técnica, el hardware y el software de la empresa. (iii) Los costos de las medidas de seguridad. (iv) La probabilidad y criticidad de potenciales riesgos de datos. En las siguientes dos secciones, se analizan estos conceptos en el contexto de dos situaciones del mundo real aplicables a casi todos los tipos y tamaños de empresa. El primer ejemplo trata de cómo integrar mejor la seguridad de la información en las relaciones con los proveedores y socios comerciales. Esto es, cuando un proveedor de una empresa acceda a la información más confidencial de la misma o la tenga en su poder, lo que la empresa debe hacer para garantizar la protección de dicha información. El segundo ejemplo se centra en controlar el riesgo al implementar un programa BYOD (Traiga su propio dispositivo) para los empleados de una empresa. 10

Abordar la seguridad de la información en las relaciones con los socios comerciales y los proveedores 6.0 Casi todas las semanas hay casos de empresas que confían su información más delicada a un proveedor o socio comercial solo para ver que la seguridad de esos datos resulta comprometida porque el proveedor no implementó las salvaguardas adecuadas para proteger la información. Peor aún, con frecuencia se determina que esas mismas empresas aplicaron poca o ninguna diligencia debida con respecto a sus proveedores y no abordaron adecuadamente la seguridad de la información en los contratos con ellos, en muchos casos dejando a la empresa sin recursos legales para subsanar el daño sustancial que sufren como resultado del riesgo al que son expuestos los datos. En el actual entorno normativo, las empresas deben ser mucho más rigurosas al entablar relaciones con proveedores en las que se pondrá en riesgo información confidencial. En esta sección, se describen tres herramientas que las empresas pueden implementar de inmediato para reducir sustancialmente las amenazas a la seguridad de la información planteadas por sus proveedores y socios comerciales, garantizar que se aplique y documente la adecuada diligencia debida, y prever recursos legales para el caso de que la seguridad de los datos se vea comprometida. Estas herramientas son las siguientes: Cuestionario de diligencia debida para el proveedor Protecciones contractuales claves Utilización en circunstancias adecuadas de un anexo de requisitos de seguridad de la información Toda vez que un proveedor o socio comercial acceda a la red, instalaciones o información de una empresa, deberán utilizarse una o más de estas herramientas. Al usarlas, las empresas pueden alcanzar el nivel de CID con respecto a sus datos, demostrar que actuaron razonable o adecuadamente al tratar el riesgo, y ajustar su enfoque para reflejar el nivel de eso riesgo (por ejemplo, exigiendo protecciones contractuales más rigurosas y mayor diligencia debida cuando el proveedor está en posesión de volúmenes significativos de información muy delicada frente a protecciones y diligencia debida menos estrictas cuando el proveedor tiene contacto solo incidental con dicho tipo de información). 11

Este enfoque ad hoc de la diligencia debida ya no es adecuado o razonable en el contexto del entorno empresarial y normativo actual. Diligencia debida: la primera herramienta Si bien la mayoría de las empresas implementan alguna forma de diligencia debida al confiar a los proveedores su información confidencial o el acceso a sus sistemas, a menudo esto se hace de manera informal, no uniforme y sin que quede claramente documentado. En muy pocos casos se incorpora de hecho el resultado de esa diligencia debida al contrato entre las partes. Este enfoque ad hoc de la diligencia debida ya no es adecuado o razonable en el contexto del entorno empresarial y normativo actual. Para garantizar la documentación y uniformidad adecuadas del proceso de diligencia debida, las empresas tienen que implementar un Cuestionario de diligencia debida estándar que cada posible proveedor o socio comercial con acceso a información comercial o personal confidencial o delicada debe completar. El cuestionario debe incluir, además de otras áreas pertinentes: responsabilidad corporativa, cobertura de seguros, situación financiera, prácticas con respecto al personal, políticas de seguridad de la información, seguridad física, seguridad lógica, recuperación de desastres y continuidad de negocios. La utilización de un cuestionario estandarizado tiene una serie de beneficios importantes: Proporciona un marco uniforme y ya preparado para la diligencia debida. Asegura una comparación homogénea de las respuestas de los proveedores. Asegura que se tengan en cuenta todas las áreas claves de diligencia y que no se pase por alto ninguna. Representa una manera sencilla de incorporar la información de diligencia debida directamente en el contrato. El cuestionario completado se adjunta por lo general al contrato final como anexo. Desde el principio, los proveedores deben estar al tanto de que la información que proporcionen como parte del proceso de diligencia debida y, en particular, las respuestas al Cuestionario de diligencia debida al proveedor serán (i) tomadas como base para seleccionar a los proveedores e (ii) incorporadas al contrato final, del cual pasarán a formar parte. Para ganar en efectividad, el cuestionario debe presentarse a los posibles proveedores lo antes posible. Es recomendable incluirlo como parte de todos las RFP (sigla en inglés de solicitud de propuesta) pertinentes o, si no se emite ninguna RFP, como un documento independiente durante las conversaciones preliminares con el proveedor. 12

Las áreas claves del cuestionario de diligencia debida para el proveedor incluyen lo siguiente: La situación financiera del proveedor. El proveedor es una empresa pública o privada? Están disponibles los estados de situación financiera más recientes? La situación financiera puede no parecer un factor importante a los efectos de la seguridad de la información, pero la posibilidad de que un proveedor se declare en quiebra o simplemente deje de operar mientras tiene en su poder información muy delicada de la empresa supone un riesgo significativo. En esos casos, puede resultar difícil, si no imposible, recuperar los datos y asegurarse de que haya sido adecuadamente extraída de los sistemas del proveedor. Del mismo modo, la posibilidad de demandar a un mal proveedor por daños y perjuicios se verá frustrada si este no tiene la capacidad financiera de pagar la indemnización adjudicada. Cobertura de seguros. Qué tipos de cobertura tiene el proveedor? Cuáles son los límites de la cobertura y otros términos? La cobertura se basa en las reclamaciones realizadas o en las incidencias? Como las pólizas comerciales de responsabilidad general habitualmente no cubren las violaciones de la seguridad de la información, se debe considerar la posibilidad de requerir al proveedor que tenga seguro contra riesgos cibernéticos o seguridad de red. Estos tipos de póliza se están haciendo más comunes. Responsabilidad corporativa. Ha habido condenas penales, recientes litigios pertinentes, instancias en las que el proveedor haya visto comprometida significativamente la seguridad, violaciones a la privacidad, resultados adversos de auditoría, etc.? Subcontrataciones. El proveedor requerirá el uso de subcontratistas o filiales en la prestación de sus servicios? El proveedor utilizará subcontratistas o filiales fuera del país de estos? Dónde se ubican los subcontratistas y filiales? Qué tipos de servicios proporcionarán? Qué información, de haberla, que pertenezca a la empresa será enviada a estas entidades? Procedimientos organizativos de seguridad. El proveedor cuenta con un programa integral y bien documentado de seguridad de la información? Cuáles son las políticas de manejo de la información del proveedor? El proveedor cuenta con un equipo especializado de seguridad de la información? Hay un equipo de respuesta a incidentes? Cuáles son las prácticas de seguridad de la información del proveedor en relación con los contratistas y agentes (por ejemplo, diligencia debida, requerir acuerdos de confidencialidad, obligaciones contractuales específicas relacionadas con la seguridad de la información, etc.)? Seguridad física; controles lógicos. Qué medidas y procedimientos de seguridad física emplea el proveedor? El proveedor usa controles de acceso a sus sistemas para que únicamente el personal que está específicamente autorizado tenga acceso a la información? Controles de desarrollo de software. Si el proveedor es un desarrollador de software, cuáles son sus procedimientos de desarrollo y mantenimiento? Qué controles de seguridad se usan durante la vida útil del desarrollo? El proveedor realiza pruebas de seguridad de su software? El proveedor mantiene entornos separados de pruebas y producción? El proveedor recibe códigos de terceros en calidad de licenciatario para incorporarlos en sus productos? En caso afirmativo, qué tipos de códigos? Problemas de privacidad. Si la información personal de clientes, consumidores u otros individuos está en riesgo, el proveedor cuenta con una política de privacidad? Cuál es la historia de revisión de la política? Ha habido instancias en que el proveedor haya tenido que comunicarse con los consumidores en relación con una violación de la seguridad? El proveedor realiza capacitaciones específicas para sus empleados con respecto al manejo de información personal? En caso afirmativo, con cuánta frecuencia? 13

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback