Promiscuidad datos v4.0
0 recomendaciones508 vistas
Este documento discute los riesgos de la promiscuidad de datos en la era digital. Compartir datos con terceras partes a través de outsourcing u otros medios puede conllevar riesgos como fugas de información si estas terceras partes son hackeadas o sus datos son robados. Los responsables de los datos deben asegurarse de que las terceras partes implementan las mismas medidas de seguridad, de lo contrario podrían enfrentar consecuencias como multas o daños a su reputación si ocurre una fuga de información.
Promiscuidad datos v4.0
- 1. La promiscuidad de datos en la era digital Alberto Ramírez Ayón, CISM, CISA, CRISC, CBCP
- 2. La computadora más segura La computadora más segura, es aquella que está apagada, desconectada de la red, enterrada en un bunker 3 metros bajo tierra y custodiada por guardias en un desierto lejano… …es la más segura, pero la más inútil. 2
- 3. Información CIA Los tres aspectos básicos de la seguridad de la información son: • Confidencialidad, asegurar que sólo quienes estén autorizados pueden acceder a la información; • Integridad, asegurar que la información y sus métodos de proceso son exactos y completos solo el personal autorizado sea capaz de modificar la información o recursos de cómputo • Disponibilidad, asegurar que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. 3
- 4. LFPDPPP - Definiciones } Titular: La persona física a quien corresponden los datos personales } Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de los datos personales } Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable } Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos. } Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. } Transferencia: Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento. 4
- 5. Outsourcing } Traen ventajas como la reducción de costes y flexibilidad y especialización del personal entre otras } Almacenar, procesar, acceder, transmitir información } ¿Los encargados/terceros tienen las mismas medidas de seguridad y privacidad que los encargados? } ¿Deberían? } ¿Se podría perder el control de la información una vez con el terceras partes? } ¿Hay amenazas? 5
- 6. ¿Tenemos amenazas actualmente? 6
- 7. Hoy en día… Actualmente… 7
- 9. ¿Cuántos tendrán tus datos? } ¿A cuántas empresas (o particulares) les has dado tus datos o información personal, sensible o confidencial? } Quizás podríamos empezar por: } Banco(s), escuela, trabajo, médicos y hospitales donde hayas estado, instituciones financieras para créditos a los que hayas aplicado, tiendas donde hayas comprado en línea, bolsas de trabajo, curriculum, instituciones de gobierno, aseguradoras, re-aseguradoras, empresas de telemarketing, tiendas comerciales, cine, etc. etc. etc. } Qué datos podrán tener? } nombre, dirección, teléfono, email, número de tarjeta de crédito, sueldo, estados de cuenta, tipo de sangre, religión, estados de salud, beneficiaros en caso de siniestro, nómina, RFC, CURP, NSS… entre otros } ¿Y estarán tus datos sólo en México? } ¿Cuántas copias en papel de tus datos? } ¿Cuántas empresas en el extranjero los tendrán? 9
- 10. ¿Qué puede pasar si roban mis datos? 10
- 11. Robos de identidad en México • De acuerdo a Miguel Tijerina Schon, de Buró de Crédito, en México hay alrededor 880 denuncias diarias por robo de identidad y tienen su origen en tres causas principales: la física, la telefónica y la electrónica.** • El # de denuncias podría NO ser igual a total de robos de identidad *información de http://www.milenio.com/cdb/doc/impreso/9139548 11
- 12. Robos de identidad en México • ¿Cuánta será la cantidad de información y datos personales que se comparten con terceras partes, ya sea por outsourcing, por “tercerizar” Aunque la venta de bases de datos de Afores, servicios, o alguna otra razón? • ¿Cuántas empresas venderán las bases debancos es un delito que atenta aseguradoras o datos? contra la confidencialidad y viola la LFPDPPP, la falta de elementos complica el que las autoridades puedan proceder para detener y en su caso sancionar a quienes cometan este ilícito. Son 3 presuntos responsables: las empresas que tuvieron a su cargo la recopilación de los datos; quien venda la base de datos y quien la compre • http://www.razon.com.mx/spip.php?article116650 12
- 13. RENAUT q Se garantizó la destrucción de la BD, pero… ¿se garantizó que NO existieran copias ilegales? 13
- 14. We know what you’re doing } Experimento que busca advertirnos sobre los peligros de exponer en demasía nuestra información privada en redes sociales e Internet } ¿Quién quiere ser despedido? ¿Quién tiene resaca?, ¿Quién está tomando drogas? y ¿Quién ha cambiado su número telefónico? } “Creemos que debes detenerte“. Ellos saben lo que haces: Cuidado con lo que publicas 14
- 15. Caso extorsión email – oferta empleo q Usuarios con datos personales en bolsas de trabajo q Base de datos usada por extorsionadores q ¿Cómo llegaron cientos o miles de emails personales a estos criminales? q Una investigación en Hacking.mx: v http://hacking.mx/computo-forense/investigacion-digital-fraudes-por-correo-en-mexico/ 15
- 16. Star Wars: Episode IV Sólo hace falta una pequeña vulnerabilidad que sea explotada para provocar caos… 16
- 17. Suposiciones y falacias corporativas para deslindar responsabilidad " “Tenemos un NDA” (Non disclosure agreement) " “Existe un acuerdo de confidencialidad” " “El contrato estipula multas” " “Dicen tener medidas y controles de seguridad” " “Tienen Firewalls y AV” " “El aviso de privacidad establece que podemos usar la info” " “Los competidores más importantes lo hacen así” " “A nadie han multado” " “¿Para qué querrían la información?” " “¡No seas paranoico!” 17
- 18. ¿Dónde están mis datos? 18
- 19. ¿Dónde están mis datos? 19
- 20. ¿Dónde están mis datos? Sitio de Personal de respaldo Outsourcing Sitio de Outsourcing respaldo Outsourcing 1 Aseguradora TMK Outsourcing 2 Personal Personal de Outsourcing Banco Desarrollo de Fabrica de Consultor Sub- Sistemas Software independiente contratados Respaldo de Instalaciones documentos compartidas físicos Sitio de contingencia Personal de Outsourcing …en un inception Telemarketing Personal de Outsourcing Despacho Call center Jurídico 20
- 21. Inception vs Nuestros Datos 21
- 22. ¿E internacionalmente? Vivimos en mundo globalizado donde el intercambio y transferencia de información es masivo, rápido y transfronterizo 22
- 23. ¿Y existen riesgos? 23
- 24. Algunos riesgos y vulnerabilidades } Disclosure o revelación de informaciòn: interno o externo cuando se manda información por horror error (email a Alberto R en lugar de Alberto C) } Disclosure a una lista de distribución incorrecta o a toda la compañía } Vender bases de datos para ofrecer servicios y si un empleado se va } Llevarse información a casa para trabajar en medios o nube } Respaldos en medios inseguros u olvidados } Perder el control de los datos una vez con terceros sin supervisión } Fugas por hackeos 24
- 25. …otros riesgos y vulnerabilidades } No saber en cuántos sistemas o bases de datos reside la información } Omitir dichos sistemas ante auditores, reguladores o autoridades } Hay datos que son los del cónyuge, hijos, beneficiarios, etc. y en algunos casos son datos sensibles como estados de salud } Cuando alguien te pone de referencia para un crédito, trabajo, 25
- 26. Nuestro datacenter y nuestro tercero 26
- 27. El medio es seguro, ¿y después del medio? 27
- 28. ¿Y si hackean al tercero? ¡Fuga de datos e información! 28
- 29. La Seguridad y la Música “La seguridad (y la privacidad) de la información es como el bajista de una banda: nadie sabe que existe, hasta el día que no viene a tocar.” ~ anónimo 29
- 30. Un riesgo muy grande… } Las multas, pero sobre todo, el riesgo reputacional… y éste NO será para el tercero, sino para el responsable… 30
- 31. Robos de datos } Información robada en otros países } ¿Habrán estado involucrados terceros encargados o ‘outsourcing’ en el tratamiento de datos? 31
- 32. Caso SONY } IFAI pide respuestas a una lista de nueve cuestionamientos, entre las que se encuentra la forma en la que Sony de México trata la información de los usuarios mexicanos de PlayStation Network, así como las medidas de protección y compensación que presentará a los usuarios afectados. } ¿hubo terceros involucrados? } http://mexico.cnn.com/tecnologia/2011/05/10/el-ifai-se-estrena-con-sony 32
- 33. Caso Global Payments } La revelaciones de la incursión se dieron a conocer en un comunicado este fin de semana, luego de que la compañía fue notificada que Visa Inc suspendió operaciones con GP hasta que ésta demuestre que sus medidas de seguridad son efectivas. } GP informó que los "hackers" "exportaron la información", lo que podría significar que la vendieron a algún interesado en utilizarla. } ¿hubo terceros involucrados? http://www.informador.com.mx/economia/2012/367457/6/confirman-robo-de-datos-a-15-millones-de-usuarios-de-tarjetas-de-credito.htm 33
- 34. La Seguridad y la Matrix ¿Qué escoges? ¿la feliz ignorancia de la ilusión… …o la verdad dolorosa de la realidad? 34
- 36. Algunas Medidas } Establecer política de revisión de terceros y procedimientos } Mapeo de datos, incluyendo infraestructura propia y terceros } SLA o NDA o acuerdo de confidencialidad, o “ALGO” con terceros y empleados } Asegurar canales de transmisión y } Asegurar medio donde se tratan los datos } Si la transferencia es por medios móviles o removibles, cifrar datos } Validar quién recibe, procesa, accede, transmite (tratamiento) } Controles tecnológicos } Controles para BYOD y verificar que el tercero también tenga } Herramientas que en caso de robo o extravío permita un bloqueo y recuperar la información almacenada 36
- 37. Algunas Medidas (continuación) } Lograr que alta dirección asuma responsabilidad } En un ejercicio ARCO involucrar a terceros } Asesorarse con profesionales de privacidad y seguridad } Realizar revisiones o auditorías frecuentes al tercero } Procesos, Infraestructura (Sistemas, Aplicaciones, Bases de Datos, Telecom) } Seguimiento a observaciones, recomendaciones, gaps o issues } Controles cuando un empleado se va } ¡CIFRAR! } ¡Concientización! } ¿otras? 37
- 38. BYOD (bring your own device) } Definir qué información intentamos proteger } Establecer en cuáles casos se permitirá } Reglas y políticas } Controles tecnológicos en caso pérdida o salida de la empresa } ¿tenía contraseña? } ¿estaba cifrado? } ¿se puede hacer un borrado remoto? 38
- 39. Y yo ¿qué tengo que hacer? 39
- 40. ¿Cuál es nuestra responsabilidad? } No sólo TI es responsable, sino todos los que tratan datos } En caso de una revelación de datos o fuga de información, el titular buscará al encargado y éste deberá dar la cara } Comienza en la alta dirección para permear dentro de la organización } La responsabilidad de los datos NO se puede endosar al tercero } Seguridad y privacidad no son sólo asuntos exclusivos de tecnología } Limitar la información NO necesaria al dar y recibir } ¡Concientización! } ¡CIFRAR! } ¡Di no la promiscuidad de datos! } Hazlo o no lo hagas; no lo intentes… 40
- 41. ¿Preguntas? 41
- 42. ¡Muchas gracias! Email: alberto.ayon@gmail.com http://mx.linkedin.com/in/albertoayon http://www.bsecure.com.mx/opinion/securitygap @cyberpostpunk 42