Joven hacker sonriendo

¿Dónde se encuentra la seguridad con la privacidad?

La protección de datos personales es un derecho fundamental que está vinculado fuertemente con la globalización y el crecimiento en el uso de las tecnologías por lo que a su alrededor se han creado leyes internacionales y nacionales para proteger la información sensible de los usuarios (PII – Personally identifiable information). El pasado 28 de Enero en el día internacional de Protección de Datos Personales muchas organizaciones como la iapp (International Association of Privacy Professionals) nos invitaron a reflexionar sobre temas de privacidad y datos personales que impactan a los individuos en su vida cotidiana. Es por esto que debemos tener en cuenta que como CISO y administradores de tecnología la privacidad de la información está estrictamente ligada a los procesos y administración de seguridad en todos los sistemas de la organización.

En general no solo las entidades bancarias están obligadas (por regulaciones y/o estandares) a proteger los datos de sus usuarios, toda empresa que guarde PII ya sea de clientes o de sus mismos trabajadores están obligados a velar por la privacidad de esta información. En el mundo los estándares más conocidos por su robustez en la protección de los datos personales son la FIPS (Federal Information Processing Standards) y la GDPR (General Data Protection Regulation) que regulan a Estados Unidos y a la Unión Europea respectivamente, estas dos buscan regular y estandarizar a los responsables de proteger la PII, con esto más el Habeas Data los usuarios nos podemos sentir tranquilos porque están velando adecuadamente por nuestros derechos.

privacidad
Figura 1. Como usuarios entregamos mucha información y los sistemas deben entregar las herramientas para controlarla adecuadamente: androsis

Generalidades claves de varias regulaciones de privacidad a nivel de seguridad y características técnicas que pueden ser aprovechadas y reutilizadas.

  • La información sensible debe ser cifrada usando 256 bits y las claves deben ser almacenadas por separado y utilizar SSl/TLS 1.2

  • El diseño de los sistemas y su construcción deben integrar la privacidad y la seguridad en etapas tempranas del SDLC como se hablaba en artículos pasados

    • Incluir a los arquitectos de las bases de datos al momento de definir los controles de privacidad y seguridad.

    • Entender claramente cómo está relacionada la información y sus respectivas entidades dentro del sistema. Anonimización o pseudoanonimizacion de las estructura de datos y columnas.

  • Minimizar al máximo las políticas de retención y borrado seguro de la información.

  • Entre menos información almacenes (cantidad y tiempo) significa menos riesgos que asumir.

    • No importa qué tipo de información sea esta siempre será un objetivo clave para un atacante, utilízala y guárdala solo el tiempo mínimo necesario y eliminala adecuadamente.

  • Mantener inventarios de qué tipo de información personal almacenas, donde esta (tecnología) y sus respectivos dueños.

    • Documentar que tienes y porqué

    • Cuando pasas información a terceros por alguna regulación específica (ej. PCI), eso no te libera de tu responsabilidad como dueños debemos garantizar que el tercero también cumpla adecuadamente con las políticas de privacidad de la información.

  • Tener ambientes técnicos seguros usando tecnologías y procedimientos razonables, prácticos, que sigan estándares de la industria y están disponibles fácilmente (ej. segundo factor de autenticación).

  • Implementar procedimientos y tecnologías para la prevención, preparación, notificación y respuesta ante incidentes.

    • Documentar planes, mejores prácticas (estándares) y divulgarlas adecuadamente en la organización.

    • Velar por que se estén cumpliendo adecuadamente todas las normas y procedimientos (auditoría).

  • Minimizar el acceso a la información, limitaciones, segmentación de servidores…

La información de todos los tipos suele existir junta en un mismo ambiente y en especial la sensible se arrastra por todas partes de forma gradual que al final termina siendo un problema de exposición de datos.

ejemplo
Figura 2. Ejemplos de tipos de información.

Muchas veces manejamos muchos tipos de información de una persona como organización entre varios sistemas y suele verse como elementos separados sin ningún valor, pero estos pueden llegar a ser PII si se perfilan y/o procesan juntos generándole valor a un atacante.

¿Cómo funciona en Colombia?

En Colombia también tenemos varias leyes y regulaciones que velan por la seguridad de la información, como es el caso de la Ley 1581 de 2012 que busca garantizar la protección, almacenamiento y buen uso de sus datos personales y como dueño de dicha información usted puede ejercer su derecho a conocerlos o suprimirlos diligenciando un formato de autorización o reclamación de tratamiento de datos personales.

“La privacidad convierte a la seguridad en un problema legal”

Adicional a esto se implementó el RNBD (Registro Nacional de Bases de Datos) este es el directorio público de las bases de datos sujetas a tratamiento que operan en el país, el cual será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos (SIC) De acuerdo con el Artículo 2.2.2.26.2.1 del Decreto 1074 del 2015 la información mínima que se debe entregar en el RNBD es la siguiente:

  1. Datos de identificación, ubicación y contacto del Responsable del Tratamiento de la base de datos.

  2. Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos.

  3. Canales para que los titulares ejerzan sus derechos.

  4. Nombre y finalidad de la base de datos.

  5. Forma de Tratamiento de la base de datos (manual y/o automatizada).

  6. Política de Tratamiento de la información.

En general como las leyes anteriores existen otras disposiciones como la Ley 1266 de 2008 en la que se especifican las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales. Puede parecer mucho por hacer pero lo importante es tener claro qué información se tiene, el porqué y que aplica a tu organización teniendo claro los requerimientos que existen por País y/o en estándares internacionales.


Foto del autor

Paula Velez

Ingeniera en informatica

Viajar para correr es un mundo de posibilidades


Relacionado





Haz un comentario