Gestión del riesgo de los datos (Data Risk)

Gestión del riesgo de los datos

(Data Risk) en el medio de la

Revolución de los Datos

EXPLOSION RESPECTO A: -volumen y velocidad en que los datos son

producidos;

-el número de productores de datos;

-la diseminación de datos y el grado de cosas

en donde hay datos (de nuevas tecnologías

móviles inteligentes, IoT, y otras fuentes

como data cualitativa , datos generados por

ciudadanos e impresiones y percepciones de

los datos “perfiles”).

Contexto bajo el cual se debe

hacer la gestión del Data Risk

Desprotección de la Privacidad y datos personales.

Internet = Libertad de Expresión +

Snowden vs Ciber seguridad +

Nueva Ciudadanía Digital. Autodeterminación informática

Revolución de los Datos

Gestión del Data Risk

A considerar:

Nueva generación de usuarios y empoderamiento

ciudadano a través de derechos con alcance

indefinidos y dependiente del tipo de dato que se

trate.


Muchos tipos de Data

Open data: Contenido políticoy de nueva forma departicipación ciudadanamoderna en la gestión de lacosa pública dentro de unaconcepción de unademocracia más participativa.

Big Data e IoT: Nuevo activo yactividad. Revolución de lainformación. Importancia delos datos para fijar valor ennuevos modelos de negociosbasados en la base de clientesexistentes.

Data Breach y Data Security:Obligación de reportes ymedidas de seguridad anteataque a las redes conimpacto sobre el control dedatos personales de terceros.

Personal Data: Garantíaconstitucional en el ámbitodigital. Vinculada a laprivacidad.

.


Insumo de muchos negocios bajo la

economía digital

DATOS PUBLICOS

De titularidad de la ciudadanía pero enpoder del Estado.

PRINCIPIO DE MAXIMA APERTURA. NECESIDAD DE MARCO LEGALEXIGIENDOLO.

ES LA PUERTA DE ACCESO PARA EL EJERCICIO DE OTROS DERECHOSCIUDADANOS.

NUEVA FORMA DE PARTICIPACION POLITICA. DEMOCRACIAPARTICIPATIVA ANTE CRISIS DE REPRESENTATIVIDAD POLITICA.

NO HAY MARCO LEGAL EN LA ARGENTINA

DATOS PRIVADOS

Protección constitucional que representa el derecho de privacidad enesta era digital.

PRINCIPIOS OPUESTOS A LOS APLICABLES A LOS DATOS PUBLICOS.CONFIDENCIALIDAD.

CRITERIO RESTRICTIVO DE APERTURA O CESION.

NECESIDAD DE CONSENTIMIENTO COMPLETO.

HAY MARCO LEGAL EN LA ARGENTINA. LEY DE PROTECCION DEDATOS PERSONALES. LEY 25.326.

Gestión del Data Risk Protección de los datos personales en Internet

incluye:

a) Principio de Legalidad: Recepción en textos legales de las obligaciones de los que recogen yprocesan datos de carácter personal así como los derechos de los titulares de los datospersonales en juego.

b) Obligaciones de los colectores de datos:

- Recopilación, uso, divulgación y conservación de los datos personales de acuerdo apolítica de privacidad transparente que permita controlar a sus titulares sobre el uso que se le da alos mismos.

- Obtención del consentimiento informado del titular con respecto al contenido, efectos,ubicación de almacenamiento, la duración y los mecanismos para el acceso, recuperación ycorrección de los datos.

- Efectivizar el cumplimiento del derecho del titular de los datos a acceder, recuperar yeliminar los datos personales recogidos sobre ellos.


c) Normas mínimas a cumplir para el uso de datos personales:Minimización de la cantidad de datos y tiempo.

Los recolectores de datos tienen la obligación de solicitar elconsentimiento activo y notificar a las personas si suinformación ha sido transmitida a terceros, perdida, robada omal utilizada.

Adopción de medidas de seguridad adecuadas para la protecciónde datos personales almacenados en ficheros automatizados contrala destrucción accidental o no autorizada o la pérdida accidental,así como contra el acceso no autorizado, alteración o difusión deestos datos.


POLITICA CORPORATIVAINSTITUCIONAL. TONE FROM THETOP. Políticas y prácticas a serimplementadas para la debidaprotección de datos personales depropios y extraños. Empatía connuevos usuarios . Diferenciación enle mercado

RISK ASSESMENT

Analizar el impacto sobrenegocios, compliance ycontingencias legales. Forma enque se deberán analizar los datospara actividades de marketing,prevención de fraude y respuestasa los litigios e investigaciones quese puedan derivar de este insumovalioso.

AUDITORIA,CUMPLIMIENTO YCONTROL SOBRE DATACOMO ACTIVO

Due Diligence acerca de lalegitiimidad de los datosprocesados. Verificando laexistencia de la debidalegalidad de los datosprocesados.


TONE FROM THE TOP. MENSAJE INTERNO Y A LOS USUARIOS

Claras políticas de privacidad. Las cuales deberán ser públicas y prever lascaracterísticas propias de los datos en relación a su titularidad y uso por tercerosy las consecuencias legales que se deriven. Ejemplo, responsabilidad por lafalsedad de los datos, o por un quiebre en la seguridad de las redes yresponsabilidad por terceros proveedores (Cloud Computing).

Complementado con diferentes protocolos específicos para procedimientos desituaciones puntuales:

Manejo de data en investigaciones y auditorías internas (preservación vs derechode privacidad de los empleados),

Procedimientos para resguardo de Evidencia o Prueba Digital en futuros juicios.Supuestos de Fraude Corporativo Digital.

Gestión de Data Risk

NUEVO CAPITULO EN COMPLIANCE Y AUDITORIA DE

DATOS

Resguardar activo valioso que tenga título perfecto para

su uso y transferencia.

Impacto por actividades que realicen terceros (cloud

computing, cibersecurity proveedores).


EVOLUCION DE OBLIGACIONES REGULATORIAS

Impacto por contingencias sancionatorias y judiciales futuras.

Análisis de los marcos legales por los cuales se encuentran

alcanzadas las actividades desarrolladas.

Privacy by Design, Big Data, involucramiento con IoT, etc.

Data Breach: Adopción de medidas para garantizar la

seguridad y confidencialidad de los datos personales y que

permitan detectar desviaciones, intencionales o no, de

información, ya sea que los riesgos provengan de la acción

humana o del medio técnico utilizado.


Dificultades de implementación de políticas de

privacidad robustas y coherente sin significativos costos.

Obligación legal de ciberseguridad si se custodian datos

de terceros.

Medidas de mitigación ante nueva contingencia de

litigios judiciales y riesgo de sanciones por

investigaciones bajo marcos legales en continuo cambio

y evolución.


Ciclo de los datos en una organización:

RECOLECTAR ALMACENARUSAR Y

PROCESARCOMPARTIR ARCHIVAR DESTRUIR


Políticas Corporativas de Protección de Datos

Personales o de Data Risk Assesment como

presupuesto mínimo. Ante el cúmulo de datos se debe

determinar el ciclo de vida de los datos dentro de una

empresa.

Pauta de Orientación Local: Disposición DNPDP Nro 7/08

pero para el sector público.


Consideraciones al implementar Política de Protección

de Datos de una compañía

Flexibilidad de la política y sujeta a revisión y

adaptación continua.

Preservar la privacidad de los datos es responsabilidad

de todas las áreas de la compañía.

Contar con plan actual y testeado ante un incidente de

pérdida de datos.

Elementos de un Data Management

Program

GOVERNANCE

RISK ASSESMENT

CONTROL & PROCCESSES

SECURITY TRAINNING

VENDOR MANAGEMENT

MONITORING

INCIDENT RESPONSE


Elementos indispensables de una Política

de Datos de una Organización

Políticas de BYOD y de administración de dispositivos.

Clasificación de Datos (tipos, críticos y sensibles, titularidad,ubicación y forma de control, etc.).

Otorgamiento de criterios específicos de accesos para datossensibles.

Inventario de sistemas de acceso y credenciales. (proveedores dehosting y cloud, empleados).

Establecimiento de controles y exigencias a cumplimentar porterceros.

Digital Right Management (controlar y limitar acceso a datospropios o sujeta a copyright).




Implementación de Tecnología de Prevención de Pérdidas de

Datos.

Minimización de datos y De-identificación.

Políticas de destrucción de datos.

Protocolos para manejo de data en investigaciones y

auditorías internas preservando derecho de privacidad de los

empleados.

Procedimientos para resguardo de Evidencia o Prueba Digital

en futuros juicios.




Políticas de administración de passwords y de acceso de losusuarios.

Prácticas de pruebas de penetración y desarrollo de un plan derespuesta ante un ataque. Proceso de reporte y escalación.Creación de equipos de respuesta ante incidentes. Cumplimientode obligaciones de notificación.

Training a los empleados.

Adecuada asignación de presupuesto.

Adopción de seguros que cubran incidentes de ciberseguridad.

Criterios de comunicación institucional y de adopción de criteriosefectivos de respuesta.

Elementos indispensables de una

Política de Datos de una Organización

Data Due Process: Nuevas exigencias procedimentales para administrar estos recursos. Particularidades en caso de utilizarlos como evidenciaen procesos judiciales o administrativos.

TENER MUY EN CUENTA PARA LA DOCUMENTACION A APORTAR EN PROCESOS PENALES DE FRAUDE CORPORATIVO DIGITAL.

PRUEBAS ELECTRONICAS

Forensic: Auxiliar necesario en caso de litigio para acreditar con herramientas y técnicas específicas potencial contenido o actividad relevante del usuario on line.

Necesidad de inspecciones amplias sobre nuestros archivos y asegurar evidencia importante.

Diferencias etapas:

1) Preservar las fuentes de datos. Debida manipulación para no solo evitar perder el contenido del dato sino también la metadata.

2) Análisis. Protocolo de análisis acordado con la otra parte para definir el alcance del estudio.

3) Producción. Los resultados relevantes del análisis traerá aparejado la adopción de ciertas acciones. Identificación de documentos relevantes, recuperación de fragmentos de datos borrados, etc.


If your company isn´t focused on keeping their

information safe you should stop collecting it.

Queda prohibido registrar datos personales en archivos,

registros o bancos que no reúnan condiciones técnicas

de integridad y seguridad.(Art. 9 Ley 25.326)

Data Risk Management

INCIDENTES DE DATA BREACH Y TEMOR AL ATAQUES DE OTRAS NACIONES.

Sony, Home Depot, Bank of America. Todas víctimas de ataques.

Multa de FTC a AT&T de U$S 25 M por data breach de sus clientes enredes del exterior de EEUU.

¿Ataque chino a EEUU? Renuncia de Office of Personal Management(OPM).

Target. Acuerdo con Visa por pérdida de datos de sus clientes.

Ashley Madison (datos muy sensibles 30 millones de parejas infieles enjuego).

Declaración de Naciones Unidas de Julio 22, 2015 sobre ICT en el campode seguridad internacional (Reporte del grupo de expertosgubernamentales)


INCIDENTES DE DATA BREACH

MAS VALE PREVENIR QUE CURAR



Estimación del costo promedio de cada data breach en

EEUU es de:

U$S 3,5 millones.

Incluye investigación, notificación a los afectados y

acciones a adoptar frente a un incidente.

Fuente: 2014 Cost of Data Breach Study Global Analysis de Ponemon

Institute


OBLIGACION LEGAL DE ADOPTAR MEDIDAS DE SEGURIDAD

Y CONFIDENCIALIDAD DE LOS DATOS

En Argentina hay obligación legal de adoptar medidas

técnicas y organizativas necesarias para garantizar la

seguridad y confidencialidad de los datos personales.


OBLIGACION LEGAL DE ADOPTAR MEDIDAS DE SEGURIDAD Y CONFIDENCIALIDAD DE LOS DATOS (Art.9 LPDP).

¿En qué consisten?

Evitar adulteración, pérdida, consulta o tratamiento no autorizadode datos personales, y que permitan detectar desviacionesintencionales o no de información, ya sea que provengan de acciónhumana o del medio técnico utilizado.

¿A cargo de quién?

Responsable o usuario de los datos personales.

Queda prohibido registrar datos personales en archivos, registroso bancos que no reúnan condiciones técnicas de integridad yseguridad.(Art. 9 LPDP).



Parámetros recomendados de debida diligencia en ciberseguridad para que una empresa no sea considerada responsable

EEUU: NIST (National Institute of Standards and Technology) para infraestructura crítica.

IDENTIFICAR sistemas críticos del negocio,

PROTEGER (medidas para garantizar la provisión de servicios críticos),

DETECTAR (cuando un evento de ciberseguridad ocurre),

RESPONDER (acciones para terminar o mitigar la amenaza),

RECUPERAR (restablecer funciones o servicios que fueron afectados por loseventos).



Parámetros recomendados de debida diligencia en ciberseguridad para que una empresa no sea considerada responsable

Estados Unidos

En 8/15 la justicia (caso Wyndham) le ha reconocido a la FTC la autoridad de cuestionar las prácticasde ciberseguridad como injustas bajo su competencia para regular prácticas injustas que afecten elcomercio.

En 2008 y 2009 este hotel padeció 3 ataques informáticos en sus redes que ocasionó la pérdida deinformación de tarjetas de crédito de 600.000 clientes y pérdidas deU$S 10 millones por fraude.

Las compañías que manejan datos de sus clientes deben establecer prácticas de privacidad y seguridadde datos razonables, que deberán ser revisadas en forma regular y corregidas sus deficiencias.



Parámetros recomendados de debida diligencia en

ciberseguridad para que una empresa no sea

considerada responsable

Canadá: Criterio de Comisionado de DP. Numerosas

medidas de prevención en funcionamiento al momento

del incidente: (i) uso de firewalls, (ii) encriptamiento

de información sensible, (iii) guarda separada de llaves

de encriptamiento, (iv) múltiples sistema de detección

de intrusión (detectó el ataque).


Marcos legales díspares: Estados Unidos (leyesestaduales 47 diferentes) sobre obligaciones de reportede data breach sin ley federal. Varios países con leyessimilares recientes (Canadá PIPEDA, Alemania, Hungría,Australia (proyecto)).

Nueva directiva de la Unión Europea sobre protecciónde datos personales con requisitos exigentes.

Extensión de la jurisdicción de la futura directivaeuropea de protección de datos personales a datospertenecientes a ciudadanos europeos por más queestén fuera de la Unión Europea.


Impacto de inminente Directiva de la Unión Europea spbre Protección de Datos Personales:

Ambito territorial: Amplio por aplicarse a datos de ciudadanos europeos por más que estén fuera de la UE.

Formas de otorgamiento de consentimiento: Se otorga en forma explícita, totalmente informado a todo aquel queprocese datos personales (incluyendo la actividad de análisis) y teniendo la facultad de retirar el consentimiento asícomo lo otorgaron.

Creación de Perfiles: Posibles nuevas restricciones en profiling, otorgando un derecho a objetar.

Derecho a compensación: Por el daños originado por un procesamiento de datos personales ilegítimo.

Obligaciones regulatorias: Compañias grandes tener un diagnóstico sobre el riesgo del manejo de los datos ydesignación de un oficial de cumplimiento de protección de datos personales. Obligaciones de reporte a todos losintervinientes en la cadena de cloud computing.

Sanciones severas: Multas por no cumplimiento pueden alcanzar los 100 millones de euros of 5% de los ingresos mundiales, lo que sea mayor.


Impacto del Nuevo Código Civil y Comercial de

Argentina sobre la actividad.

El nuevo Código Civil y Comercial tiene el artículo 52 que

dice: “La persona humana afectada en su intimidad

personal o familiar, honra o reputación, imagen o

identidad, o reclamar la prevención y reparación de los

daños que de cualquier modo sufridos, conforme a lo

dispuesto en el Libro Tercero, Título V.”


Impacto del Nuevo Código Civil y Comercial de

Argentina sobre la actividad.

Nuevos criterios de responsabilidad aplicables.

Implicancia de los contratos de adhesión y contratos

conexos.

Posibilidad de requerir prevención de daños.


Regulación sobre normas de seguridad:

Disposición DNPDP Nro 11/06 y 9/08. (Medida de nivel básico, denivel medio y de nivel crítico). Medidas de seguridad para eltratamiento y la conservación de los datos personales. ApruebaDocumento de Seguridad.

Regulación sectorial incipiente para datos personales:

Publicidad: Obligación de opt out. Disposición DNPDP Nro 4/09.

Software: Disposición DNPDP Nro 18/15. Aplicación del criteriode Privacy by Design.

Drones: Disposición DNPDP Nro 20/15.

Video Vigilancia: Disposición DNPDP Nro 10/15.


Nuevas cuestiones legales a ser consideradas:

o Todos los sistemas basados en la nube tendrán sus propias complicaciones, y cadauno de los eslabones de la cadena del cloud será directamente responsable yauditable sobre la privacidad de los datos.

o Determinar momentos de reportes al regulador para morigerar cualquierresponsabilidad legal por penalidades.

o Costos adicionales surgirán si se le exigen criterios objetivos de responsabilidad yde prestación del servicio con niveles de garantías altos.

o Nuevas cuestiones laborales surgidas del manejo de los datos.


Nuevas cuestiones legales a ser consideradas:

o Para integrar datos propios con los de terceras partes, mecanismosque faciliten el acceso a datos de terceros ya sea a través de laventa, compartimiento o la adopción de algún incentivo(regulatorio) para el acceso.

o El acceso a datos externos debe estar facilitado a través de unmarco tecnológico adecuado consistente en la estandarización de losformatos de los datos, implementación de alimentación de datos,etc.

o La creación de sistemas de clasificación de datos generapreocupación porque dichos procesos distan de ser neutrales,automáticos y sin intervención humana dado que a la larga reflejanlos valores implícitos o explícitos de los diseñadores de dichossistemas.

o Grado de responsabilidad a ser asignado a los miembros delDirectorio como consecuencia del no cumplimiento de las diligenciaspropias del buen hombre de negocios en la protección de los datospersonales bajo su custodia. Criterio de responsabilidad residual.

Participación requerida de, al menos, los

siguientes sectores :

IT

LEGALES

SecurityCOMPLIANCE

HR


SURGE LA GRAN DUDA

ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN

JUEGO

¿No es aconsejable implementar un oficial de

cumplimiento de protección de los datos personales como

posición autónoma y dedicada dentro de la empresa?

NO SOMOS NADA ORIGINALES EN LA PREGUNTA ES el

criterio a aplicar a las grandes empresas bajo el proyecto

de nueva directiva de protección de datos personales de la

UE.


SURGE LA GRAN DUDA

ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN JUEGO

No lo recomendamos.

No puede haber una sola persona encargada de esta difícil misión sino que

debe haber concientización de todos los sectores respecto a la protección de los datos personales en todo el ciclo de nuestro

negocio,

por tratarse tanto de una garantía constitucional individual como de un insumo muy valioso sobre el cual se estructuran muchos

planes de negocio bajo la nueva economía digital.


SURGE LA GRAN DUDA

ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN

JUEGO

SE VISLUMBRA POSIBLE SIGNIFICATIVA CONTINGENCIA

REGULATORIA Y LEGAL CON ALCANCES INDEFINIDOS.

CONTAR CON POLITICA COMPLETA DE PRIVACIDAD Y NO

BASTA CON PLAN DE PREVENCION Y MITIGACION COMO

SOLUCION TEMPORARIA


SURGE LA GRAN DUDA

ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN JUEGO

CONTAR CON POLITICA COMPLETA DE PRIVACIDAD

Y NO ALCANZA CON EFECTUAR UNA TRADUCCION DE LA POLITICA DE CASA MATRIZ

SIN CONSIDERAR LAS PARTICULARIDADES LOCALES

QUE EN ALGUNOS CASOS PUEDE SER BENEFICIOSA EN ASPECTOS SIGNIFICATIVOS COMO LA TRANSFERENCIA INTERNACIONAL DE DATOS A LA UNION EUROPEA

A DIFERENCIA DE LO QUE SUCEDE CON LAS EMPRESAS ESTADOUNIDENSES QUE NO SON CONSIDERADAS BAJO UN REGIMEN LEGAL DE PROTECCION DE DATOS ADECUADO (Caso

Schrems)

NUESTRO REGIMEN de PROTECCION DE DATOS PERSONALES POR AHORA ES CONSIDERADO COMO ADECUADO.

Gestión del riesgo de los datos (Data Risk)

Technology

Transcript of Gestión del riesgo de los datos (Data Risk)