Las auditoras de TI y su relacin con la ley de proteccin de datos personales

24 de Enero de 2013

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

Contenido

Introduccin. ....................................................................................................................................... 3 Tipos de extraccin de informacin ................................................................................ 4 Externas ..................................................................................................................................... 4 Internas ...................................................................................................................................... 4 Qu se ha hecho en el tema de proteccin de datos personales alrededor del mundo .. 4 La situacin en Mxico ................................................................................................... 5 Estructura la Ley Federal de proteccin de datos ........................................................... 5 Principios ................................................................................................................................... 5 Derechos .................................................................................................................................... 5 Procedimientos ......................................................................................................................... 6 Tipos de seguridad ......................................................................................................... 6 Tipos de seguridad: administrativa, fsica y tcnica ........................................................ 6 Medidas de seguridad administrativa ............................................................................ 6 Medidas de seguridad fsica ........................................................................................... 6 Medidas de seguridad tcnica ........................................................................................ 6

Tipos de Soportes .......................................................................................................... 7 Nivel de proteccin que requieren los datos personales ................................................. 7 Nivel de proteccin bsico .............................................................................................. 7 Nivel de proteccin medio ............................................................................................... 7 Nivel de proteccin alto ................................................................................................... 7

Tipo de transmisiones de datos personales ................................................................... 7 Interinstitucionales............................................................................................................ 7 Internacionales.................................................................................................................. 7 Con entes privados u organizaciones civiles pblicas o privadas ............................ 7

Tipos de modalidades de envo de datos personales ..................................................... 7 Traslado de soportes fsicos ........................................................................................... 7 Traslado fsico de soportes electrnicos. ..................................................................... 7

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

Traslado sobre redes electrnicas.- .............................................................................. 7

Diferencias entre identificar, autenticar y autorizar en el control de acceso .................... 8 Identificar.- ......................................................................................................................... 8 Autentificar. ........................................................................................................................ 8 Autorizar. ............................................................................................................................ 8

Auditorias de TI .............................................................................................................. 8 Aplicaciones .............................................................................................................................. 8 Desarrollo de Sistemas............................................................................................................ 8 Ambiente de proceso de Informacin.................................................................................... 8 Objetivos de una auditora.............................................................................................. 8 Metodologa de una auditora de sistemas ..................................................................... 8 Estudio preliminar.- .......................................................................................................... 8 Revisin y evaluacin de controles y seguridades ..................................................... 9 Examen detallado de reas crticas .............................................................................. 9 Comunicacin de resultados .......................................................................................... 9

Modelo de Proteccin de Datos Personales ................................................................... 9 Fase II. Revisin de estado actual.............................................................................................. 10 Fase III. Implementacin de medidas de control ...................................................................... 10 Fase IV. Revisiones .................................................................................................................... 11 Fase V. Mejora continua............................................................................................................ 11 Conclusiones ..................................................................................................................................... 12

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

Introduccin.
Las vulneraciones de seguridad generan altos costos institucionales adems de afectaciones en la esfera de otros derechos y libertades fundamentales de las personas (por ejemplo, el acceso no autorizado a informacin del estado de salud de un individuo por personas ajenas al tratamiento de dicho paciente). Las dependencias y entidades deben expedir un documento de seguridad que contenga las medidas de seguridad administrativa, fsica y tcnica aplicables a la proteccin de sistemas de datos personales. En 1980 se conform el estndar internacional en materia de seguridad de la informacin ISO/IEC 27002:2005 (anterior ISO/IEC 17799:2005), estos estndares determinan medidas de seguridad para los activos que poseen los sujetos obligados y los riesgos a los que dichos activos estn expuestos.

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

Tipos de extraccin de informacin

Externas Externas. Son ataques dirigidos desde el exterior de las instituciones que vulneran su seguridad y extraen informacin. Un ejemplo de esto es el hackeo a la bases de datos de tarjetas de crdito, lo cual puede afectar a cerca de millones de usuarios cuya informacin personal pudo ser vulnerada. Internas Internas. Son robos de informacin realizados por personal propio de las instituciones y tpicamente no se pueden rastrear y por lo tanto tampoco encontrar a los responsables

Qu se ha hecho en el tema de proteccin de datos personales alrededor del mundo En el orden internacional se destacan antecedentes de la proteccin de la intimidad y el honor de la persona en el tratamiento de sus datos. Algunas de las regulaciones ms representativas se muestran en el siguiente mapa:

Figura 1. Mapa de leyes en el mundo

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

Ms restrictiva Argentina Alemania Suecia Mxico

Restrictiva Austria Blgica Bulgaria Dinamarca Francia Portugal Espaa Italia Grecia Austria

Algunas restricciones Estonia Hungra Corea del Sur Canad Israel

Mnimas restricciones Hong Kong India Australia Colombia Chile Japn Paraguay

Legislacin proceso Malasia Singapur China Turqua

en

La situacin en Mxico Despus de un arduo camino y mucha polmica, el 27 de abril de 2010 se aprob en el pleno del Senado la Ley Federal de Proteccin de Datos Personales en Posesin de Particulares (LFPDPPP), y el pasado 5 de julio de 2010 se public en el Diario Oficial de la Federacin (DOF); esta ley tiene como finalidad proteger los datos personales en posesin de los particulares y regular su tratamiento legtimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminacin informativa de las personas. A decir de expertos es una de las leyes de proteccin de datos ms avanzada del mundo.

Estructura la Ley Federal de proteccin de datos

Est estructurada en: Principios, que definen los pilares en los que se basa la proteccin de datos personales, los cuales son: Licitud, prohbe la obtencin de datos personales por medios ilcitos, engaosos o fraudulentos. Consentimiento, manifestacin de la voluntad del titular de los datos mediante la cual se efecta el tratamiento de los mismos. El consentimiento debe ser tcito, expreso y por escrito. Informacin, el titular tiene derecho a conocer quin trata su informacin personal y qu se hace con ella. Calidad, los datos personales deben ser pertinentes, correctos y actualizados. Finalidad, establece que la obtencin y tratamiento de los datos deber estar relacionada con la finalidad del tratamiento previsto en el aviso de privacidad documento que establece lo que se har con la informacin del titular y establece los derechos ARCO. Lealtad, respetar la expectativa razonable de privacidad. Proporcionalidad, el responsable slo debe tratar la mnima cantidad de informacin necesaria para conseguir la finalidad perseguida. Responsabilidad, establece que el responsable debe velar por el cumplimiento de los principios y rendir cuentas al titular en caso de incumplimiento.

Derechos, que definen cmo el titular de los datos personales puede ejercer unos derechos que concretan los principios tericos en los que se basa la ley y que son:

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

Acceder a sus datos personales y al aviso de privacidad para conocer qu datos son objeto de tratamiento y con qu objetivo son tratados. Rectificar inexactitudes en los datos personales del titular. Cancelar sus datos personales, esto obedece al bloqueo de los datos por un periodo en el que el responsable deber conservarlos bajo su custodia y, cumplido tal periodo, se debern suprimir. Oponerse al tratamiento de los datos personales cuando exista una causa legtima, si este derecho resulta procedente el responsable excluir los datos del tratamiento.

Procedimientos, de los que se tienen dos tipos: el procedimiento de proteccin de datos y el procedimiento de verificacin. El primero establece el mecanismo mediante el cual el titular podr reclamar la proteccin de los derechos ARCO ante el IFAI (Instituto Federal de Acceso a la Informacin). El procedimiento de verificacin tiene por objetivo comprobar el cumplimiento de la ley y de la normativa que se desarrolle para lo cual el IFAI tendr acceso a la informacin y documentacin que considere necesaria y, en caso de incumplimiento, la ley prev sanciones que van desde una llamada de atencin hasta la imposicin de multas entre 100,000 y 320,000 das de salario mnimo vigente en el DF, con doble imposicin por reincidencia. Adems, estas penas y sanciones se duplicarn en los casos relativos a datos personales sensibles y, de acuerdo a la gravedad del delito, podrn existir responsabilidades civiles y penales.

Tipos de seguridad
Tipos de seguridad: administrativa, fsica y tcnica

Medidas de seguridad administrativa o Poltica de seguridad o Cumplimiento de la normatividad o Organizacin de la seguridad de la informacin o Clasificacin y control de activos o Seguridad relacionada a los recursos humanos o Administracin de incidentes o Continuidad de las operaciones Medidas de seguridad fsica o Seguridad fsica y ambiental Medidas de seguridad tcnica o Gestin de comunicaciones y operaciones o Control de acceso o Adquisicin, desarrollo, uso y mantenimiento de sistemas de informacin

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

Tipos de Soportes
Soportes fsicos.- Son los medios de almacenamiento inteligibles a simple vista, ej. Documentos, oficios, formularios impresos, fotografas, placas radiolgicas, etc. Soportes electrnicos.- Cintas magnticas de audio, video y datos, fichas de microfilm, discos pticos (CDs y DVDs), discos magnticos (flexibles y duros), etc.

Nivel de proteccin que requieren los datos personales

Nivel de proteccin bsico o Datos de identificacin o Datos laborales Nivel de proteccin medio o Datos patrimoniales o Datos sobre procedimientos administrativos seguidos en forma de juicio y/o jurisdiccionales o Datos acadmicos o Datos de transito y movimientos migratorios Nivel de proteccin alto o Datos ideolgicos o Datos de salud o Caractersticas personales o Caractersticas fsicas o Vida sexual o Origen

Los niveles de proteccin sealados definen el mayor o menor grado de confidencialidad, disponibilidad e integridad que el sujeto obligado debe asegurar de acuerdo con la naturaleza de los datos contenidos en los sistemas de datos personales que custodia.

Tipo de transmisiones de datos personales

Interinstitucionales.- Transmisiones de datos a dependencias y entidades federativas y municipales. Internacionales.- Transmisiones a gobiernos u organismos internacionales Con entes privados u organizaciones civiles pblicas o privadas

Tipos de modalidades de envo de datos personales

Traslado de soportes fsicos.- Ej. Es cuando correspondencia oficios o formularios impresos. una dependencia enva por

Traslado fsico de soportes electrnicos.- Ej. Es cuando una dependencia entrega a otra por mensajera oficial un archivo electrnico con datos personales contenidos en discos flexibles, discos compactos o dispositivos de memoria USB, entre otros. Traslado sobre redes electrnicas.- Ej. Cuando un archivo electrnico con un listado de beneficiarios se enva de una dependencia a otra por Internet.

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

Diferencias entre identificar, autenticar y autorizar en el control de acceso

El control de acceso es una medida de seguridad que permite el acceso nicamente a quien est autorizado para ello. Identificar.- Consiste en tomar conocimiento de que una persona es quien dice ser. Autentificar.- Autentificar o autenticar a una persona se refiere a comprobar que esa persona es quien dice ser. Autorizar.- Se refiere al acceso que se le permite a la persona que se ha identificado y autenticado apropiadamente.

Auditorias de TI
La auditora es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo. Las auditoras de TI se realizan en tres reas: Aplicaciones. Incluyen todas las funciones de informacin del negocio, donde la computadora juegue un rol en el procesamiento. Desarrollo de Sistemas. Cubre las actividades de los analistas de sistemas y programadores. Ambiente de proceso de Informacin. Incluye todas las actividades involucradas en el equipo computacional y archivos (operaciones computacionales, librera de archivos, equipamiento de entrada y distribucin de datos).

Objetivos de una auditora

Dentro de los objetivos de la auditora de TI, encontramos: Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Seguridad de personal, datos, hardware, software e instalaciones.

Metodologa de una auditora de sistemas

Cuatro fases bsicas de un proceso de revisin: Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios de TI.

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

Revisin y evaluacin de controles y seguridades.- Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas crticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, etc. Examen detallado de reas crticas.-Con las fases anteriores el auditor descubre las reas crticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usar, definir la metodologa de trabajo, la duracin de la auditora, Presentar el plan de trabajo y analizar detalladamente cada problema encontrado con todo lo anteriormente analizado. Comunicacin de resultados.- Se elaborar el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentar esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditora. o El informe debe contener lo siguiente: o Motivos de la Auditora o Objetivos o Alcance o Estructura Orgnico-Funcional del rea Informtica o Configuracin del Hardware y Software instalado o Control Interno o Resultados de la Auditora

Modelo de Proteccin de Datos Personales

Figura 2. Modelo de Proteccin de Datos Personales El modelo define cinco fases, las cuales se describen a continuacin:

Fase I. Anlisis de procesos y flujo de informacin

Como primera fase es importante que la empresa realice un anlisis y diagnstico de sus procesos de negocio y cmo estos estn siendo operados. La empresa debe identificar si est solicitando

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

informacin de datos personales a los titulares que no le estn generando algn beneficio ni operativo ni econmico, y analizar la factibilidad de dejarlos de recabar y, de esta manera, evitar el uso de recursos para el cumplimiento de la LFPDPPP.

Fase II. Revisin de estado actual

En esta fase el objetivo es conocer el grado de cumplimiento y madurez que mantiene la empresa respecto a la LFPDPPP, e identificar desviaciones existentes entre las prcticas de administracin y operacin actuales, lo cual permitir identificar los riesgos a los que est expuesta la empresa y, con base en ello, dar prioridad a lneas de accin para la implementacin de controles.

Fase III. Implementacin de medidas de control

Los controles tecnolgicos mnimos que se debern implementar para la proteccin de datos personales son los siguientes: Mecanismo seguro para el intercambio de informacin con terceros. Mecanismo de retencin y eliminacin segura de datos personales y datos sensibles. Mecanismo de almacenamiento seguro. Mecanismo de acceso y autenticacin. Aseguramiento de bases de datos. Mecanismo de prevencin de fuga de informacin.

Los controles de procesos y polticas mnimas que debern ser desarrolladas e implementadas son las siguientes: Poltica de proteccin de datos personales y datos sensibles. Modelo de responsabilidades que incluya los siguientes actores: responsable, custodio, titular, encargado de seguridad. Procedimientos para la obtencin de informacin de datos personales y datos personales sensibles. Procedimientos para el tratamiento de informacin de datos personales. Poltica de retencin y eliminacin de datos personales y datos personales sensibles. Proceso de evaluacin formal de riesgos. Proceso de control de accesos. Proceso de respaldo de datos. Proceso de respuesta a incidentes. Proceso de investigacin forense. Proceso de control de cambios. Procedimiento de monitoreo. Procedimientos de revisin de registros y bitcoras. Formatos del aviso de privacidad y del aviso de consentimiento. Acuerdos para el intercambio seguro de datos personales y datos sensibles. Otros.

En el mbito de los controles orientados al personal se deber considerar: Programa de conciencia de seguridad dirigido a: o Administradores de red. o Desarrolladores y analistas. o Personal involucrado en el manejo de la informacin de datos personales y datos sensibles.

10

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

Capacitacin en auditoras de sistemas. Capacitacin en el entendimiento de la LFPDPPP

Fase IV. Revisiones

En esta fase se debern realizar auditoras internas por parte de la empresa a travs del departamento de auditora para detectar las reas de oportunidad en la eficiencia de la implantacin de los controles de seguridad y determinar el nivel de cumplimiento con la LFPDPPP, con el objetivo de simular la auditora por parte de la entidad reguladora (IFAI)

Fase V. Mejora continua

En esta fase la empresa deber implementar las acciones correctivas derivadas de las auditoras realizadas. Algunas actividades a contemplar son: dar prioridad a las acciones correctivas y preventivas identificadas, e identificacin de los responsables de llevar a cabo las acciones correctivas.

11

Las auditoras de TI y su relacin con la ley de proteccin de datos personales

Conclusiones
En un mundo cuya economa gira en torno a la informacin, es de extrema importancia contar con una legislacin que proteja los datos personales. Las empresas deben reforzar la seguridad de TI y hacer de la proteccin de informacin una prctica comn en la operacin del negocio. Es necesario que diversas reas se vean involucradas para cubrir esta necesidad, como seran los dueos de procesos de negocio, el rea legal, sistemas y TI. Hay que recordar que una falla en este sentido puede traer serias consecuencias, incluyendo multas sustanciales y demandas legales que afectarn directamente la salud financiera de la empresa.

12