𝐈𝐒𝐀𝐂𝐀 𝟐𝟎𝟐𝟒 | 𝐏𝐑𝐈𝐕𝐀𝐂𝐈𝐃𝐀𝐃 𝐘 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃: 𝐏𝐑𝐎𝐓𝐄𝐆𝐈𝐄𝐍𝐃𝐎 𝐋𝐎𝐒 𝐃𝐀𝐓𝐎𝐒 𝐄𝐍 𝐋𝐀 𝐄𝐑𝐀 𝐃𝐈𝐆𝐈𝐓𝐀𝐋
0 recomendaciones76 vistas
El documento aborda la importancia de la privacidad y ciberseguridad en la protección de datos en la era digital, destacando la experiencia de Fabián Descalzo en el tema. Se analizan los riesgos actuales para la privacidad, incluidos el uso indebido de tecnología y la falta de políticas claras. Además, se proponen principios y marcos para mejorar la gobernanza de la privacidad y garantizar la confianza digital de los usuarios.
𝐈𝐒𝐀𝐂𝐀 𝟐𝟎𝟐𝟒 | 𝐏𝐑𝐈𝐕𝐀𝐂𝐈𝐃𝐀𝐃 𝐘 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃: 𝐏𝐑𝐎𝐓𝐄𝐆𝐈𝐄𝐍𝐃𝐎 𝐋𝐎𝐒 𝐃𝐀𝐓𝐎𝐒 𝐄𝐍 𝐋𝐀 𝐄𝐑𝐀 𝐃𝐈𝐆𝐈𝐓𝐀𝐋
- 1. Socio de Ciberseguridad y Gobierno Tecnológico y Líder de Ciberseguridad LATAM de BDO en Argentina Privacidad y Ciberseguridad: Protegiendo los datos en la era digital Fabian Descalzo ISACA in 2021 1 Conferencia Latinoamericana 2024
- 2. FABIÁN DESCALZO Socio de la práctica de Ciberseguridad, Gobierno Tecnológico y Digital Risk Advisory Services de BDO en Argentina y Líder de la práctica de ciberseguridad para LATAM, con 35 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio. Docente Universitario y de Sistemas de Gestión IT, Seguridad de la Información en Universidad de Palermo y Auditoría IT para TÜV Rheinland. Conferencista internacional y columnista en medios especializados. Autoridad del Comité de Seguridad Patrimonial y Seguridad de la Información en AmCham Argentina, Miembro Titular del Comité Directivo y Presidente de la Comisión de Educación de ISACA Buenos Aires Chapter, de la Asociación Latinoamericana de Privacidad, de la Asociación Argentina de Ética y Compliance, y del Comité Científico del IEEE (Institute of Electrical and Electronics Engineers)
- 3. 3 Privacidad Un derecho social y una necesidad para garantizar la confianza digital de los clientes en las compañías
- 4. (*) Dra. Ann Cavoukian, directora ejecutiva del Instituto de Privacidad y Big Data de la Universidad de Ryerson y ex Comisionada de Información y Privacidad de Ontario
- 5. 5 Visión actual de la Privacidad frente a la tecnología Muchos canales digitales, variedad de dispositivos para su acceso y desorganización en la identidad digital OMNICANALIDAD Devolver a los usuarios el control sobre los datos de su vida digital REGULACIONES Somos públicos por defecto y privados por esfuerzo SENSIBILIZACIÓN HUMANA Acciones y herramientas para la protección de la privacidad y de los datos personales CONFIANZA DIGITAL
- 6. Riesgos a la privacidad FALSO ENTENDIMIENTO DE LA PRIVACIDAD Seguridad de la Información no es aplicar Privacidad DESCONOCIMIENTO O FALTA DE COMPLIANCE Políticas internas no actualizadas sobre la base de leyes o regulaciones FALTA DE CAMPAÑAS EN INGENIERÍA SOCIAL Mal uso de la tecnología y en cómo compartimos nuestra información MONITOREO Y SUPLANTACIÓN DE IDENTIDAD Falta de sensibilización respecto de la exposición personal y de datos personales, facilitar el fraude, Condenaron a un hombre a tres años de prisión por hackear la computadora de una adolescente y la amenazó con distribuir las fotos. Ocurrió en 2016 cuando el atacante de 37 años accedió a la computadora de una chica adolescente y le robó fotografías con las que luego la extorsionó. https://www.lanacion.com.ar/1920328-lo-condenaron-por-hackear-la-computadora-de-una- chica-y-robar-sus-fotos https://www.fiscales.gob.ar/fiscalias/condenaron-a-un-hombre-a-tres-anos-de-prision-por- hackear-la-computadora-de-una-adolescente-y-distribuir-las-fotos-en-la-web/
- 7. Falta de políticas de uso, definición de roles y responsabilidades, patrones de uso y controles 7 Riesgos de ciberseguridad a la privacidad USO INDISCRIMINADO O NO CONTROLADO DE TECNOLOGÍA EMERGENTE FUGA DE DATOS Y EXPOSICIÓN DE DATOS SENSIBLES EN IA ChatGPT: empleados de una reconocida empresa de tecnología habrían filtrado información sensible: Tan pronto como Samsung Electronics permitió el uso de ChatGPT en sus instalaciones comerciales de soluciones de dispositivos (DS/semiconductor), ocurrió un accidente en el que se filtró información corporativa. https://www.lanacion.com.ar/tecnologia/chatgpt-empleados-de-una- reconocida-empresa-de-tecnologia-habrian-filtrado-informacion-sensible- nid11042023/ FALTA DE REQUISITOS RELACIONADOS CON EL CONTEXTO DE PRIVACIDAD
- 8. 8 Compartir demasiada información personal en redes sociales, especialmente si tenemos el perfil público (Oversharing). Suscribirnos a servicios gratuitos en el que la moneda de cambio son nuestros datos personales. No controlar la finalidad con la que se recaban nuestros datos ni a qué terceros son cedidos estos en páginas web y redes sociales. No configurar las opciones de privacidad en las redes sociales, páginas web y otro tipo de plataformas. Cuidado en caer en trampas de phishing, smishing o vishing. Realizar compras online en páginas no seguras o de dudosa reputación. Descargar aplicaciones de sitios no oficiales. No comprobar qué permisos y datos usan las apps que descargamos e instalamos en nuestros móviles. Requisitos para la Privacidad en función de la tecnología
- 9. 9 GOBERNANZA Supervisión de riesgos sobre la violación de la privacidad y el uso indebido, al tiempo que fomentan la innovación y la confianza. Gestión de vulnerabilidades Comunicaciones seguras Seguridad de End-Points (Comportamiento, uso preventivo, datos) Cifrado de datos Ciberseguridad Gestión de roles y privilegios Clasificación de datos y control de accesos Retención y eliminación de datos Cifrado de datos Acceso a datos Leyes y regulaciones Políticas y definiciones estratégicas Revisión de procedimientos de respuesta a incidentes Compromisos contractuales Cumplimiento Políticas de clasificación y atributos de datos Roles y responsabilidades Políticas de privacidad Gestión de procesamiento, fuentes, patrones de uso Gobierno de datos Requisitos para la Privacidad en función de la tecnología
- 10. 10 Establecer un framework para abordar la protección de la privacidad Enfoque de solución NIST IR 8062 Introducción a la ingeniería y la gestión de riesgos de privacidad https://csrc.nist.gov/pubs/ir/8062/final ISO / IEC 27701: 2019 Sistema de Gestión de Información de Privacidad (PIMS) https://www.iso.org/standard/71670.html Principios de privacidad de ISACA https://www.isaca.org/resources/isaca-journal/issues/2018/volume-1/isaca-privacy-principles-and-program-management-guide Guía de implementación GDPR: https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004KoFYEA0 Auditoría de privacidad de datos: https://www.isaca.org/es-es/resources/isaca-journal/issues/2018/volume-3/is-audit-basics-auditing-data
- 11. DPO Delegado de Protección de Datos La persona responsable deberá: Ser independiente e informar directamente al nivel de gestión adecuado de la organización con el fin de garantizar una gestión eficaz de los riesgos de privacidad; Participar en la gestión de todas las cuestiones relacionadas con la tramitación de la II; Ser experto en legislación, regulación y práctica en materia de protección de datos; Actuar como punto de contacto para las autoridades de supervisión; Informar a la alta dirección y a los empleados de la organización de sus obligaciones con respecto al procesamiento de la II; Proporcionar asesoramiento con respecto a las evaluaciones de impacto en la privacidad realizadas por la organización. Asesorar sobre protección de datos, supervisar el cumplimiento de la norma y servir de contacto entre la empresa, la autoridad y los empleados. Enfoque de solución
- 12. CDO CHIEF DATA OFFICER Asume total responsabilidad de la estrategia con los datos y la información, estableciendo las políticas, criterios y procesos. Oficina de Gobierno del Dato Encargado de velar por el cumplimiento de la estrategia, Políticas, criterio y procesos Citizen Data Scientist Responsable de generar modelos tanto de datos como negocio, a partir del análisis predictivo o Prescriptivo, (Intermedio entre Data Scientist y el Business Analyst) Data Owner Experto encargado de garantizar la correcta gestión de los ámbitos de los que es responsable. Data administrator Responsables de ejecutar en su ambito las políticas, criterios y procesos basándose en la estrategia del Gobierno del Dato Data Architect Asegura la coherencia de los datos residentes en los aplicativos, tanto a nivel de definición como de calidad y seguridad, y asesora al equipo Enfoque de solución
- 13. 13 Contar con un marco para el gobierno ético de la privacidad en la gestión y tecnología aplicada al negocio Establecer un gobierno de datos holístico Enfoque en la privacidad por diseño: Gestión de proyectos Reconvertir la visión de seguridad con el atributo de la privacidad Concientizar y sensibilizar a la dirección y mandos medios Capacitar al personal técnico Ampliar la concientización del usuario dando un valor agregado a la protección de datos en su vida personal Enfoque de solución
- 14. 14 La privacidad está principalmente basada en el comportamiento de las personas; las herramientas y recursos para apoyarla son actores secundarios si no sabemos protegernos a nosotros mismos. Conclusión
- 15. Fabián Descalzo, Socio fdescalzo@bdoargentina.com Privacidad y Ciberseguridad LinkedIn: https://linkedin.com/in/fabiandescalzo Grupo Linkedin: https://www.linkedin.com/groups/12188431/ https://www.instagram.com/fabiandescalzo/ Slide Share: https://slideshare.net/fabiandescalzo Twitter: https://www.twitter.com/fabiandescalzo YouTube: https://www.youtube.com/fabdescalzo https://landing.bdoargentina.com/data-privacy/