Como cumplir la Ley de Protección de Datos Personales

Como ya sabrán, la ley de protección de datos personales en el Perú entro en vigencia en Mayo del 2013  y surge de la necesidad de legislar para fomentar y promover buenas prácticas en materia de privacidad para protección de las personas y nuestros clientes, en caso de qué se esté manejando información de carácter personal. El objetivo de la ley es proteger los datos personales en posesión de las empresas y se encarga de regular que dichos datos sean utilizados únicamente con la finalidad que fueron entregados, se tenga un control de quién y para qué los tiene y que el titular o dueño de los datos siempre esté informado del tratamiento que se realice sobre dichos datos.

Actualmente, las empresas ya deben de contar con el Responsable del Departamento de Datos Personales y el Aviso de Privacidad, éste último es un documento físico, electrónico o en cualquier otro formato (visual o sonoro) que es presentado al titular previo al tratamiento de sus datos personales, y básicamente debe contener la siguiente información:

·         Quién recaba (Nombre del responsable)

·         Qué es lo que se recaba (Los datos que van a ser solicitados)

·         Para qué se recaban

·         Cómo limitar su uso o divulgación

·         Cómo revocar el consentimiento

·         Indicar los medios por los cuáles el titular puede ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)

·         Si se acepta o no que los datos se comuniquen a terceros

·         Cómo se van a comunicar cambios en el aviso de privacidad

·         Indicar si se están recabando datos sensibles (datos que en caso de ser divulgados pueden afectar a la esfera más íntima del titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste, ejemplos: creencias religiosas, afiliación sindical, información genética, etc.)

Podemos mirar a países como España, Argentina y México que ya cuentan con experiencia en esta ley, sin embargo en el Perú hay poca información de qué pasos seguir para cumplir con la misma, y no sólo en el aspecto de contar con el aviso de privacidad y un responsable del Departamento de Protección de Datos, si no qué hacer para proteger la confidencialidad e integridad de dichos datos.

A continuación, se presenta un esquema cíclico por fases de que hacer para la protección de los datos personales, incluso se puede aplicar para protección de cualquier tipo de información (propiedad intelectual, patentes u otra información sensible de las organizaciones):

Descubrir y clasificar

1.     Conocer a la organización, identificar todos los perfiles de los colaboradores, cuáles son los alcances y funciones de cada tipo de colaborador. Tener claramente identificado si la información o los datos personales los va a tratar un tercero (ejemplo: callcenter, outsourcing de servicios, etc.) y que obligaciones debe de cumplir para el cuidado de los datos. Ejem. Firmar un contrato de confidencialidad.

2.     Clasificación de los datos personales por criticidad en Baja, Media o Alta, dicho nivel de prioridad se mueve en función de la publicidad del dato hacia la intimidad del mismo. Por ejemplo, en el nivel bajo podemos considerar los datos generales como nombre, apellido, fecha de nacimiento, en un nivel medio pudiera se el perfil profesional de un empleado o candidato, antecedentes legales y finalmente en el nivel alto se encuentran todos los datos que ya invaden la privacidad, es decir los datos sensibles. Se recomienda la intervención de un experto en el tema para que apoye identificar y clasificar los datos a la organización.

3.     Realizar un inventario de los activos  y sistemas de tratamiento de los datos de la organización. Contar con la lista de dispositivos móviles tales cómo laptops, smartphones, tablets, equipos de almacenamiento, discos duros externos, USB’s, servidores, workstations, impresoras, etc. Y no sólo ello si identificar quienes tienen o deberían tener acceso a dichos activos y sistemas, preguntarse ¿qué tipo de información se almacena y procesa por equipo, dispositivo o sistema? ¿cómo está controlando el acceso a los mismos? ¿Quiénes manejan esos datos?

Evaluar y asegurar

1.     El análisis de vulnerabilidades es un componente crítico de cualquier infraestructura de seguridad,  ya que representa un diagnóstico de las debilidades que puedan tener o tienen las organizaciones en sus sistemas de información y en sus equipos, permitiendo la detección proactiva y remediación de vulnerabilidades de seguridad.

2.     Análisis de comportamiento del flujo de los datos ¿quién accede o qué tipo de usuarios acceden a ellos y cómo?, con la finalidad de identificar una intrusión o mal uso de la información.

3.     La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación estimar las consecuencias que supondría tanto cuantitativamente como cualitativamente. ¿Qué puede ir mal?, ¿Con qué frecuencia puede ocurrir? ¿Cuáles serían sus consecuencias? ¿Qué se intenta proteger? ¿Cuál es su valor para la organización? ¿Frente a qué se intenta proteger (amenazas internas y externas)? ¿Cuál es la probabilidad de un ataque?

Monitorear y fortalecer

1.     Visualizar en tiempo real qué es lo que está pasando con la información, que nos ayude a determinar si es usuario privilegiado, cómo se está teniendo acceso a la información. Para ello, nos tendríamos que contar soluciones que nos ofrezcan dicha visibilidad y que nos permita tomar medidas preventivas con base en la información que nos está mostrando.

2.     El cumplimiento de gran parte de los nuevos procedimientos estará basado fundamentalmente en la concientización y la participación de los colaboradores sobre el trato que dan a la información de sus clientes, proveedores y a su mismo personal, y la cultura que en materia de seguridad tenga la organización.

3.     Bloquear el acceso a los datos con base en alertas en tiempo real, y a la par contengan información que apoye en la educación de los usuarios del uso apropiado de la información confidencial.

4.     Contar con una solución que permita el monitoreo de flujo de datos.

Auditar y Generar reportes

1.     Revisión constante y periódica de las políticas o reglas implementadas para la protección de la información y prevención de  su fuga.

2.     Verificaciones o auditorías externas para verificar las políticas de privacidad.

3.     Generar reportes de cumplimiento para el fortalecimiento de la seguridad en los datos.

4.     Identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Utilización de ciertas técnicas para la obtención de la evidencia.

A partir de la identificación, análisis, monitoreo y generación de reportes se debe realizar un análisis de las diferencias del estado actual versus el estado de cumplimiento y desarrollar un plan de trabajo para subsanar dichas deficiencias  en materia de seguridad. Así como crear políticas, procesos, procedimientos, implementar tecnologías que mantengan al día la protección de datos personales. El proyecto debe abarcar a toda la organización, lo que sólo puede lograrse con un fuerte respaldo de los directivos para su seguimiento y por lo tanto cumplimiento.

Finalmente, considero muy importante el ver a la ley desde una perspectiva positiva para nuestras organizaciones y no sólo por imposición, en el sentido de que le está transmitiendo a sus clientes la experiencia de que están trabajando o haciendo negocios con una empresa seria y confiable, y que puede ser un diferencial frente a su competencia y mejorar su imagen como organización.

Fuente: Jazmín Ortíz

IMPLANTACIÓN DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES

Realizando un breve análisis de la Directiva de Seguridad de la Ley de protección de datos personales – Perú. El 16 de octubre del 2013 se publicó en la página web de la Autoridad Nacional de Protección de Datos Personales la Directiva de Seguridad en la Información (la “Directiva de Seguridad”), con el fin de establecer lineamientos sobre las condiciones, requisitos y medidas técnicas que se deben adoptar para cumplir la Ley N° 29733, Ley de Protección de Datos Personales (la “Ley”) en materia de medidas de seguridad de los bancos de datos. La Directiva proporciona lineamientos sobre los siguientes aspectos vinculados a la protección de datos personales: (i) medidas de seguridad, (ii) medidas organizativas, (iii) medidas legales y (iv) medidas técnicas. En ese sentido, a continuación, se presenta un resumen de las medidas de protección reguladas por este documento.

I. Medidas de Seguridad

1.1 Disposiciones Generales

La Directiva clasifica el tratamiento de datos personales en cinco (5) categorías según las siguientes características: (i) volumen de registros, (ii) número de datos, (iii) periodo durante el cual se realiza el tratamiento, (iv) finalidad del tratamiento de los datos personales, (v) múltiples localizaciones y (vi) tratamientos de datos sensibles.

En atención a estos criterios, la Directiva regula las siguientes categorías de tratamiento:

Básica: (i) no contiene información de más de cincuenta (50) personas, (ii) número de datos

Personales tratados no es mayor a cinco (5), (iii) no incluyen datos sensibles y (iv) el titular del

banco es una persona natural.2 Simple: (i) no contiene información de más de cien (100) personas, (ii) el periodo de tratamiento para cumplir la finalidad es inferior a un (1) año, (iii) no incluyen datos sensibles, (iv) el titular del banco es una persona natural o jurídica.

Intermedio: (i) contienen la información de hasta mil (1000) personas, (ii) el periodo de tratamiento para cumplir la finalidad es un plazo indeterminado o superior a un (1) año, (iii) puede incluir datos sensibles, (iv) el titular del banco es una persona natural o jurídica.

Complejo: (i) sirven para el tratamiento de datos personales cuyo fin se cumple en un plazo indeterminado o superior a un (1) año; (ii) el tratamiento de datos personales es realizado en múltiples localizaciones (oficinas o dependencias diferentes en la misma ciudad o ciudades diferentes, servicios tercerizados o similares), (iii) pueden incluir datos sensibles, (iv) el titular del banco de datos personales es una persona jurídica o entidad pública.

Crítico: tratamiento de datos personales cuya finalidad está respaldada en una norma legal, (ii) el tratamiento de datos se cumple en un plazo indeterminado o superior a un (1) año; (iii) el tratamiento de datos personales es realizado en múltiples localizaciones (oficinas o dependencias diferentes en la misma ciudad o ciudades diferentes, servicios tercerizados o similares); (iv) pueden incluir datos sensibles; (v) tiene como titular a una persona jurídica o entidad pública.

1.2 Condiciones de seguridad

La Directiva establece ciertas condiciones internas y externas que deben cumplirse en materia de seguridad. Las condiciones externas implican el conocimiento y compromiso de cumplir las normas de protección de datos personales. Las condiciones internas implican la elaboración de una política de protección de datos personales y tener un enfoque de gestión del riesgo de los datos personales sobre los que se brinda tratamiento.

1.3 Requisitos de seguridad

Todas los bancos de datos personales deben cumplir requisitos de seguridad que varían dependiendo de la categoría de tratamiento de datos que realiza el titular del banco (básico, simple, intermedio, complejo o crítico). El tal sentido, las categorías de tratamiento deben cumplir (en mayor o menor medida) los siguientes

requisitos: (i) contar con una política de seguridad de datos, (ii) implementar medidas de seguridad (iii) mantener procedimientos documentado, (iv) adoptar un enfoque de riesgos para fundamentar su tratamiento (v) utilizar de guía la NTP-ISO/IEC 27001 o ISO/IEC 27001 en su edición vigente, (vi) desarrollar y mantener un documento maestro de seguridad de la información; y (vii) mantener actualizado un documento de compromiso de confidencialidad de seguridad en el tratamiento de datos personales.

1.4 Información complementaria sobre requisitos de seguridad

La política de protección de datos que debe mantener el titular del banco de datos es una declaración formal de compromiso y debe considerar: (i) ser clara y comprensible, (ii) apropiada para los objetivos de la organización, (iii) constituye un lineamiento de alto nivel organizacional, (iv) debe incluir un compromiso de cumplimiento de los requisitos de seguridad aplicables, (v) incluir compromiso de respeto; y (vi) comunicarse oportuna y claramente al interior de la organización. Asimismo, en materia de requisitos de seguridad, las categorías de tratamiento de datos personales, según corresponda, deben implementar los siguientes procedimientos documentados: (i) control de documentos y registros, (ii) registro de accesos, (iii) registros de personal con acceso autorizado, (iv) registro de incidentes y medidas adoptadas; y (v) registro de auditorías.

II. Disposiciones especificas

La Directiva ha regulado disposiciones específicas para las categorías de tratamientos de datos personales complejos o críticos, como por ejemplo implementar controles de seguridad de la información según la NTP-ISO/IEC 27001-EDI vigente. Asimismo, los tratamientos intermedios, complejos y críticos deben designar un responsable de seguridad del banco de datos personales, quien coordinará en la institución la aplicación de la Directiva.

Por otro lado, en todas las categorías de tratamiento, los bancos de datos personales deben contener la información estrictamente necesaria para cumplir la finalidad de su recopilación y se debe evaluar la posibilidad de implementar mecanismos de anonimización o disociación.

2.1 Medidas de Seguridad

La Directiva ha establecido que las distintas categorías de tratamiento de datos personales deben implementar (en mayor o menor intensidad) medidas de seguridad organizativas, jurídicas y técnicas, según se detalla a continuación.

2.1.1Medidas de Seguridad Organizativas

§  Desarrollar una estructura organizacional con roles y responsabilidades.

§  Compromiso documentado de respeto a la Ley.

§  Llevar un control y registro de operadores con acceso al banco de datos (trazabilidad).

§  Revisar periódicamente la efectividad de las medidas de seguridad adoptadas.

§  Adecuar los sistemas de gestión para el tratamiento de datos personales.

§  Adecuar los procesos del negocio en materia de datos personales.

§  Desarrollar procedimientos documentados para el tratamiento de datos personales.

§  Desarrollar programas de creación de conciencia y entrenamiento en materia de datos personales.

§  Desarrollar procedimiento de auditoría en materia de datos personales como un mínimo anual.

§  Desarrollar un procedimiento de asignación de privilegios de acceso al banco de datos personales.

2.1.2 Medidas de seguridad jurídicas

§  Mantener formatos de consentimiento adecuados para el tratamiento de datos personales.

§  Adecuación de contratos a la Ley.

§  Adecuación de contratos de terceros a la Ley.

2.1.3 Medidas de seguridad técnicas

1.       Relacionadas con el acceso no autorizado

§  Gestión y uso de contraseñas para el tratamiento a través de medios informáticos.

§  Revisión y registro de privilegios de acceso.

§  Protección contra acceso físico no autorizado al banco de datos personales.

§  Controlar e identificar las autorizaciones de acceso físico a los bancos de datos personales.

2.       Relacionadas con la alteración no autorizada del banco de datos personales

§  Gestionar autorizaciones para el retiro o traslado de datos personales.

§  Adoptar medidas para el traslado de datos personales.

§  Adoptar medidas para eliminar la información contenida en medios informáticos removibles.

§  Adoptar medidas de seguridad en materia de copias y/o reproducción de documentos.

§  Controlar la asignación de privilegios para el tratamiento de datos a usuarios no autorizados.

3.       Relacionados a la pérdida del banco de datos personales

§  Realizar copias de respaldo de los datos personales para permitir su recuperación n caso de pérdida o destrucción.

§  La recuperación de datos personales (desde su copia de respaldo) debe contar con la autorización del encargado del banco de datos personales.

§  Se deben realizar pruebas de recuperación de los datos personales respaldados para comprobar su buen funcionamiento.

4.       Relacionadas al tratamiento no autorizado del banco de datos personales.

§  El banco de datos personales no automatizado debe mantener los datos personales independizados de forma particular, de modo que pueda referirse unívocamente a un titular de datos personales sin exponer información de otro.

§  El titular del banco de datos personales debe informar al titular de los datos personales los incidentes que afecten significativamente sus derechos patrimoniales o morales, tan pronto se confirme el hecho.

§  Los equipos utilizados para el tratamiento de datos personales deben recibir el mantenimiento que corresponda de acuerdo a las especificaciones del proveedor.

§  Los equipos deben contar con protección contra software malicioso para proteger los datos personales.

§  La información electrónica que contiene datos personales debe ser almacenada en forma segura.

§  La información de datos personales que se transmite electrónicamente debe ser protegida para preservar su confidencialidad e integridad.

§  Adoptar medidas de seguridad en el flujo transfronterizo de datos personales.

§  Adoptar medidas de seguridad en servicios de tratamiento de datos personales por medios tecnológicos tercerizados.

§  Todo evento identificado que afecte la confidencialidad, integridad y disponibilidad de los datos personales o que indique un posible incumplimiento de las medidas de seguridad establecidas, debe ser reportado inmediatamente al encargado del banco de datos personales.

§  Restringir el uso de equipos de fotografía, vídeo, audio u otra forma de registro en el área de tratamiento de datos personales salvo autorización del titular del banco de datos personales.

§  Se debe realizar una auditoría sobre el cumplimiento de la presente directiva, bajo responsabilidad del titular del banco de datos personales.

§  Acciones correctivas y de mejora continua.

Finalmente, la Directiva establece que se debe considerar desarrollar programas de información dirigidos a los titularse de los datos personales sobre “consentimiento”, “derechos del titular de los datos personales” y “finalidad”. Asimismo, los encargados del tratamiento deben asegurar y mantener los mecanismos de auditoría, verificación y toma de decisiones del titular del banco que contrata sus servicios.

Análisis para implantar la Directiva de Seguridad de la Ley de protección de datos personales

En la Disposiciones específicas, la ley nos pide cumplir con la norma ISO 27001, implantada esta norma ISO nos garantiza un 80% de cumplimiento de la Ley de datos personales. Todos los que alguna vez pudimos leer la norma ISO 27001 nos dimos cuenta que se divide en clausulas globales (generales) y clausulas focales (especificas).

Como primer paso para implantar la Directiva Seguridad debemos empezar a identificar las clausulas focales, que sería:

1.       Crear un comité de la Directiva de Seguridad (integrada por: Directores, Gerentes y Jefes).

2.       Crear la Política de la ley de protección de datos personales.

3.       Plan de Concientización de la ley de protección de datos personales.

4.       Definir los roles y responsabilidades de la ley de protección de datos personales.

5.       Implementar procedimientos documentados de Seguridad Física y del entorno.

6.       Crear la Política de control de accesos.

7.       Identificar y clasificar los activos de la organización.

8.       Identificar y clasificar los procesos de la organización, contemplando procesos de mitigación de riesgos operativos.

Debemos utilizar el concepto  PDCA son el acrónimo de las palabras inglesas Plan, Do, Check, Act, equivalentes en español a Planificar, Hacer, Verificar, y Actuar.

La interpretación de este ciclo es muy sencilla: cuando se busca obtener algo, lo primero que hay que hacer es planificar cómo conseguirlo, después se procede a realizar las acciones planificadas (hacer), a continuación se comprueba qué tal se ha hecho (verificar) y finalmente se implementan los cambios pertinentes para no volver a incurrir en los mismos errores (actuar). Nuevamente se empieza el ciclo planificando su ejecución pero introduciendo las mejoras provenientes de la experiencia anterior.

Cada organización es diferente y cada tratamiento de datos de carácter personal también, lo es por lo que las acciones a emprender van a depender, entre otras cosas, del origen de los datos, del tipo de datos, de las características del tratamiento y del tipo de instalaciones y soporte en los que se encuentren almacenados dichos datos.

Espero que esta información sea de utilidad.

Troyano creado para robar credenciales bancarios GAMEOVER

El troyano bancario Zeus es uno de los más longevos que puede encontrarse hoy en día en la red. Además de su tiempo de actividad, hay que destacar el gran número de variantes que posee. De esta forma, investigadores han detectado la presencia de una  variante de este denominada Gameover, destinada a robar las credenciales de los servicios de banca en línea.

No se trata de la única versión que ha existido y que se ha distribuido bajo este nombre, ya que hace dos años una variante similar se estuvo distribuyendo apenas un par de meses utilizando el correo electrónico y las redes sociales.

En este caso, el malware se distribuye utilizando el correo electrónico, pero también se ha detectado la presencia de este en determinados mensajes en la red social Facebook.

Con lo dicho en anterioridad, es fácilmente visible que el troyano es capaz de afectar a cualquier usuario en cualquier lugar del mundo.

Las funciones del troyano Gameover

Una vez que llega al equipo del usuario, este se encarga de detectar cuando el usuario se encuentra en una página de una entidad bancaria y procede al almacenamiento de las credenciales introducidas, enviándose posteriormente a un servidor remoto en el que son almacenadas.

Además, el malware se encarga de llevar a cabo ataques de denegación de servicio contra los ordenadores de los usuarios para evitar que estos puedan acceder a los servicios de banca en línea.

Evidentemente el malware permite a sus creadores poder realizar transacciones bancarias con los datos de acceso robados.

Detección difícil para los software antivirus

El archivo ejecutable que llega al equipo se encuentra cifrado, por lo que la labor de los software antivirus instalados se vuelve muy complicado, imposibilitando la detección de este para la mayoría de los software existentes en la actualidad y quedando totalmente descartada si las definiciones de virus se encuentran desactualizadas.

Fuente: enhacke.com