Download El yin y yang - Privacidad de Datos
Document related concepts
no text concepts found
Transcript
Administración de riesgo El yin y yang de la privacidad y protección de datos de los clientes. En este punto de vista, se abordan los desafíos que las organizaciones enfrentan con la necesidad de proteger la privacidad de los datos de sus clientes y las regulaciones existentes en Panamá al respecto. RISCCO Punto de vista En este punto de vista Introducción: De la filosofía oriental a la privacidad 2 Los incidentes de seguridad se abren paso frente a la legislación 3 ¿Cómo enfrentar el problema de privacidad? 4 Introducción: De la filosofía oriental a la privacidad El yin y yang, según la filosofía oriental, son dos fuerzas aparentemente opuestas y que se complementan. Una no puede existir sin la otra. Por ejemplo: día/noche, riqueza/pobreza, vida/muerte. Además, indica que ambas fuerzas duales y universales se encuentran en todas las cosas y en todo lo que hacemos. Siguiendo esta línea de pensamiento, la privacidad y protección de los datos, ya sean de sus clientes o de la compañía, también tienen su yin y yang. Clasificación de datos – representa todo lo relacionado con determinar qué dato es confidencial o público, regulaciones y legislaciones existentes con las que se debe cumplir. Estructuras de soporte – seguridad de redes, software de encriptación de datos, controles de accesos, políticas, procesos y procedimientos de seguridad. Si deseamos establecer una filosofía en la organización para la privacidad y protección de datos, tanto la clasificación de datos y las estructuras de soporte, deben complementarse y coexistir. Lamentablemente es frecuente observar en las corporaciones algunas de las siguientes situaciones: • Se tiene preocupación por el tema, pero no se logra dimensionar el problema y su impacto en la organización. Consecuentemente, un plan para abordar el tema siempre presenta atrasos. • Se considera que el tema es algo del radar de acción del grupo de tecnología y/o seguridad de información, en lugar de advertir que francamente es sobre administración de riesgo y cumplimiento. • Se piensa que el problema se resuelve con solo adquirir herramientas de “encriptación de datos” y se olvidan de clasificar los datos, de las regulaciones y de las estructuras de soporte. • Inexistencia de programas formales de educación sobre la privacidad y protección de datos a los colaboradores. No es difícil entonces comprender por qué es tan frecuente ver en los medios de comunicación noticias sobre incidentes de seguridad relacionados con el robo o pérdida de millones de números de tarjetas de crédito o débito y el uso fraudulento de muchas de ellas. Al parecer la legislación existente sobre la privacidad y protección de datos no ha sido freno para los delincuentes digitales. RISCCO Punto de vista 2 Los incidentes de seguridad se abren paso frente a la legislación En enero de 2009 una compañía procesadora de transacciones de pago de tarjetas de crédito/débito reconoció haber sufrido un incidente de seguridad relacionado con la pérdida de datos personales de sus clientes. Esta compañía procesa cerca de 3.5 millones de transacciones diarias. Aunque cuando se escribía este documento, dicha compañía no había reconocido el número de registros de clientes comprometidos, los medios estiman que serán más de 100 millones de registros con datos de las tarjetas de crédito y débito. ¿Consecuencias? El valor de la acción bajó un 46% en solo tres días desde que se hizo público el incidente. En marzo de 2009 Visa Internacional revocó temporalmente la certificación de seguridad PCI (Payment Card Industry) otorgada a esta compañía. Más aún, ya la compañía ha sido demandada. En los Estados Unidos, lugar donde ocurrió este incidente, existen muchas leyes y regulaciones relacionadas sobre la privacidad y protección de datos. Europa dispone de una legislación más extensa y madura que Occidente en esta materia. En Panamá, al menos las siguientes leyes o regulaciones establecen que se tomen medidas concretas para proteger la privacidad y protección de datos de los clientes: • Ley No. 43 de 2001 (Firmas y Documentos Electrónicos), artículo No.49-9. • Ley No.24 de 2002 (Historial de Crédito de Consumidores), artículos No. 1 y 5. • Acuerdo No. 1 de 2007, Superintendencia de Bancos, artículo No. 2. • Nueva Ley Bancaria de 2008, artículos No. 85 y 138-G. • Ley No. 6 de 2002 que regula aspectos de transparencia en el sector público. Es evidente que regulaciones vigentes en Panamá en esta materia existen. Es claro que las organizaciones deben cumplir con las regulaciones o al menos estar trabajando para estar en cumplimiento. Los entes reguladores y especialmente sus clientes no solo esperan sino que exigen que sus datos personales, almacenados en sus redes, computadores y dispositivos móviles (USB, teléfonos PDA, discos compactos, entre otros), estén protegidos de manera efectiva. Frente a la presión de los clientes, regulaciones y entes reguladores, una estrategia para enfrentar el problema surge como una responsabilidad. Dicha estrategia no solo hay que crearla sino que también hay que implantarla y mantenerla operativa permanentemente. RISCCO Punto de vista 3 ¿Cómo enfrentar el problema de privacidad? En una estrategia de privacidad y protección de datos, existen ciertos preceptos que deberían darse por sentado. Revise que estos se den en su organización, de lo contrario, trabaje primero en ellos. Estos son: • Las políticas y procedimientos de seguridad de la información deben existir y tener cierto nivel de madurez. • La seguridad de información debe administrase preferentemente con un enfoque que considere riesgo. • Es necesario definir claramente quién es el dueño los datos para los diferentes procesos. En adición a lo indicado, las organizaciones deben tener presente el concepto del yin y yang para la privacidad de datos, es decir: Clasificación de datos – determinar qué es confidencial o público, regulaciones y legislaciones existentes con las que se debe cumplir. Estructuras de soporte – seguridad de redes, software de encriptación de datos, controles de accesos, políticas, procesos y procedimientos de seguridad. No cometa el error típico de “todo o nada”, es decir “encriptar todos los datos” y así tratar de resolver el problema sin hacer el ejercicio de clasificación. Si lo hace así, es probable que invierta tiempo y recursos en proteger datos innecesariamente. En su lugar, sugerimos un enfoque más práctico. RISCCO Punto de vista 1. El líder y dueño de este tipo de proyecto debe ser, preferiblemente, el área de administración de riesgo o cumplimiento y no la de tecnología/seguridad. 2. Invariablemente utilice un enfoque basado en riesgo. De lo contrario, el proyecto será muy extenso y costoso. 3. Si el tamaño de su organización lo permite, debe crear la posición de Oficial de Privacidad de Datos. Esta posición existe cada día más sobre todo en la industria de servicios financieros. De no ser posible, asigne la responsabilidad al oficial de seguridad de información. 4. Determine dónde y en qué formato están los datos personales de sus clientes. Puede parecer una tarea innecesaria, pero no lo es. ¿Solo pregúntese en cuántos dispositivos móviles (USB, teléfonos PDA, etc.) pueden existir datos personales de sus clientes? 4 5. Compile y comprenda cada una de las regulaciones locales e internacionales que debe cumplir. Muchos reguladores internacionales como el PCAOB y SEC, por mencionar algunos, ven positivo utilizar un enfoque basado en riesgo para cumplir con las regulaciones existentes al respecto. En este punto tengamos presente lo que la regulación solicita y no lo que “me gustaría” cumplir. 6. Identifique los procesos críticos de su organización y para cada uno determine que regulación aplica. 7. Establezca un proceso de clasificación de datos inherentes a los procesos del punto anterior. Tenga presente que los datos tienen tres características (confidencialidad, integridad y disponibilidad). La clasificación de datos debería considerar las tres. Si por recursos esto no es posible, concéntrese en la característica de confidencialidad. 8. Determine e implante los procedimientos y herramientas que utilizará para proteger los datos. Esto tomará tiempo, considerando que habrá que proteger datos mantenidos en correos electrónicos, notebooks, desktops, dispositivos móviles como USB, bases de datos, cintas de respaldo, entre otros. 9. Establezca un proceso de monitoreo. Las regulaciones, la tecnología y sobre todo los riesgos no son estáticos. Somos de la opinión que los entes reguladores y los clientes no esperan que se cumpla impecablemente y al 100% con todas las regulaciones. Más bien las organizaciones deben demostrar que han sido diligentes en proteger los datos de sus clientes. RISCCO Punto de vista 5 Independencia. Integridad. Conocimiento. Credibilidad. RISCCO es una compañía independiente dedicada de manera exclusiva a la consultoría en riesgo, negocios y auditoría interna. Para mayor información sobre el contenido de este documento o conocer más sobre la forma cómo estamos ayudando a las organizaciones a enfrentar sus desafíos en materia de administración de riesgo, riesgos de tecnología o auditoría interna, por favor contáctenos. [email protected] Teléfono: +507 279-1410 RISCCO Ave. Ricardo J. Alfaro Panamá, Rep. de Panamá www.riscco.com © 2009 RISCCO. Todos los derechos reservados. RISCCO y su logo son una marca registrada de RISCCO, S. de R. L. RISCCO no está registrada ni licenciada como una firma de contadores públicos y no emite opinión sobre estados financieros u ofrece servicios de atestación.