Auditoria y Protección de Datos

Las auditorías de TI y su relación con la ley de protección de datos personales

24 de Enero de 2013

Las auditorías de TI y su relación con la ley de protección de datos personales

Contenido Introducción. ....................................................................................................................................... 3

Tipos de extracción de información ................................................................................ 4 Externas ..................................................................................................................................... 4 Internas ...................................................................................................................................... 4 Qué se ha hecho en el tema de protección de datos personales alrededor del mundo .. 4 La situación en México ................................................................................................... 5 Estructura la Ley Federal de protección de datos........................................................... 5 Principios ................................................................................................................................... 5 Derechos .................................................................................................................................... 5 Procedimientos ......................................................................................................................... 6 Tipos de seguridad ......................................................................................................... 6 Tipos de seguridad: administrativa, física y técnica ........................................................ 6 

Medidas de seguridad administrativa ............................................................................ 6



Medidas de seguridad física ........................................................................................... 6



Medidas de seguridad técnica ........................................................................................ 6

Tipos de Soportes .......................................................................................................... 7 Nivel de protección que requieren los datos personales ................................................. 7 

Nivel de protección básico .............................................................................................. 7



Nivel de protección medio ............................................................................................... 7



Nivel de protección alto ................................................................................................... 7

Tipo de transmisiones de datos personales ................................................................... 7 

Interinstitucionales............................................................................................................ 7



Internacionales. ................................................................................................................. 7



Con entes privados u organizaciones civiles públicas o privadas ............................ 7

Tipos de modalidades de envío de datos personales ..................................................... 7 

Traslado de soportes físicos ........................................................................................... 7



Traslado físico de soportes electrónicos. ..................................................................... 7

1

Las auditorías de TI y su relación con la ley de protección de datos personales



Traslado sobre redes electrónicas.- .............................................................................. 7

Diferencias entre identificar, autenticar y autorizar en el control de acceso .................... 8 

Identificar.- ......................................................................................................................... 8



 Autentificar. ........................................................................................................................ 8



 Autorizar............................................................................................................................. 8

 Auditorias de TI .............................................................................................................. 8  Aplicaciones .............................................................................................................................. 8 Desarrollo de Sistemas ............................................................................................................ 8  Ambiente de proceso de Información .................................................................................... 8 Objetivos de una auditoría.............................................................................................. 8 Metodología de una auditoría de sistemas ..................................................................... 8 

Estudio preliminar.- .......................................................................................................... 8



Revisión y evaluación de controles y seguridades ..................................................... 9



Examen detallado de áreas críticas .............................................................................. 9



Comunicación de resultados .......................................................................................... 9

Modelo de Protección de Datos Personales ................................................................... 9 Fase II. Revisión de estado actual.............................................................................................. 10 Fase III. Implementación de medidas de control ...................................................................... 10 Fase IV. Revisiones .................................................................................................................... 11 Fase V. Mejora continua............................................................................................................ 11 Conclusiones ..................................................................................................................................... 12

2

Las auditorías de TI y su relación con la ley de protección de datos personales

Introducción. Las vulneraciones de seguridad generan altos costos institucionales además de afectaciones en la esfera de otros derechos y libertades fundamentales de las personas (por ejemplo, el acceso no autorizado a información del estado de salud de un individuo por personas ajenas al tratamiento de dicho paciente). Las dependencias y entidades deben expedir un documento de seguridad que contenga las medidas de seguridad administrativa, física y técnica aplicables a la protección de sistemas de datos personales. En 1980 se conformó el estándar internacional en materia de seguridad de la información ISO/IEC 27002:2005 (anterior ISO/IEC 17799:2005), estos estándares determinan medidas de seguridad para los activos que poseen los sujetos obligados y los riesgos a los que dichos activos están expuestos.

3

Las auditorías de TI y su relación con la ley de protección de datos personales

Tipos de extracción de información Externas 

Externas . Son ataques dirigidos desde el exterior de las instituciones que vulneran su seguridad y extraen información. Un ejemplo de esto es el hackeo  a la bases de datos de tarjetas de crédito, lo cual puede afectar a cerca de millones de usuarios cuya información personal pudo ser vulnerada.

Internas 

Internas . Son robos de información realizados por personal propio de las instituciones y típicamente no se pueden rastrear y por lo tanto tampoco encontrar a los responsables

Qué se ha hecho en el tema de protección de datos personales alrededor del mundo En el orden internacional se destacan antecedentes de la protección de la intimidad y el honor de la persona en el tratamiento de sus datos. Algunas de las regulaciones más representativas se muestran en el siguiente mapa:

Figura 1. Mapa de leyes en el mundo

4

Las auditorías de TI y su relación con la ley de protección de datos personales

Más restrictiva  Argentina  Alemania Suecia México

Restrictiva Austria Bélgica Bulgaria Dinamarca Francia Portugal España Italia Grecia  Austria

Algunas restricciones Estonia Hungría Corea del Sur Canadá Israel

Mínimas restricciones Hong Kong India Australia Colombia Chile Japón Paraguay

Legislación proceso Malasia Singapur  China Turquía

en

La situación en México Después de un arduo camino y mucha polémica, el 27 de abril de 2010 se aprobó en el pleno del Senado la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), y el pasado 5 de julio de 2010 se publicó en el Diario Oficial de la Federación (DOF); esta ley tiene como finalidad proteger los datos personales en posesión de los particulares y regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. A decir de expertos es una de las leyes de protección de datos más avanzada del mundo.

Estructura la Ley Federal de protección de datos Está estructurada en:

Principios, que definen los pilares en los que se basa la protección de datos personales, los cuales son: 





 

 



Licitud , prohíbe la obtención de datos personales por medios ilícitos, engañosos o fraudulentos. Consentimiento , manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos. El consentimiento debe ser tácito, expreso y por  escrito. Información , el titular tiene derecho a conocer quién trata su información personal y qué se hace con ella. Calidad , los datos personales deben ser pertinentes, correctos y actualizados. Finalidad , establece que la obtención y tratamiento de los datos deberá estar relacionada con la finalidad del tratamiento previsto en el aviso de privacidad  – documento que establece lo que se hará con la información del titular y establece los derechos ARCO . Lealtad , respetar la expectativa razonable de privacidad. Proporcionalidad , el responsable sólo debe tratar la mínima cantidad de información necesaria para conseguir la finalidad perseguida. Responsabilidad , establece que el responsable debe velar por el cumplimiento de los principios y rendir cuentas al titular en caso de incumplimiento.

Derechos, que definen cómo el titular de los datos personales puede ejercer unos derechos que concretan los principios teóricos en los que se basa la ley y que son:

5

Las auditorías de TI y su relación con la ley de protección de datos personales



 



Acceder a sus datos personales y al aviso de privacidad para conocer qué datos son objeto de tratamiento y con qué objetivo son tratados. Rectificar inexactitudes en los datos personales del titular. Cancelar sus datos personales, esto obedece al bloqueo de los datos por un periodo en el que el responsable deberá conservarlos bajo su custodia y, cumplido tal periodo, se deberán suprimir. Oponerse al tratamiento de los datos personales cuando exista una causa legítima, si este derecho resulta procedente el responsable excluirá los datos del tratamiento.

Procedimientos, de los que se tienen dos tipos: el procedimiento de protección de datos y el procedimiento de verificación. El primero establece el mecanismo mediante el cual el titular podrá reclamar la protección de los derechos ARCO ante el IFAI (Instituto Federal de Acceso a la Información). El procedimiento de verificación tiene por objetivo comprobar el cumplimiento de la ley y de la normativa que se desarrolle para lo cual el IFAI tendrá acceso a la información y documentación que considere necesaria y, en caso de incumplimiento, la ley prevé sanciones que van desde una llamada de atención hasta la imposición de multas entre 100,000 y 320,000 días de salario mínimo vigente en el DF, con doble imposición por  reincidencia. Además, estas penas y sanciones se duplicarán en los casos relativos a datos personales sensibles y, de acuerdo a la gravedad del delito, podrán existir  responsabilidades civiles y penales.

Tipos de seguridad Tipos de seguridad: administrativa, física y técnica







Medidas de seguridad administrativa Política de seguridad o Cumplimiento de la normatividad o Organización de la seguridad de la información o Clasificación y control de activos o Seguridad relacionada a los recursos humanos o Administración de incidentes o Continuidad de las operaciones o Medidas de seguridad física Seguridad física y ambiental o Medidas de seguridad técnica Gestión de comunicaciones y operaciones o Control de acceso o Adquisición, desarrollo, uso y mantenimiento de sistemas de información o

6

Las auditorías de TI y su relación con la ley de protección de datos personales

Tipos de Soportes 



Soportes físicos.- Son los medios de almacenamiento inteligibles a simple vista, ej. Documentos, oficios, formularios impresos, fotografías, placas radiológicas, etc. Soportes electrónicos.- Cintas magnéticas de audio, video y datos, fichas de microfilm, discos ópticos (CD’s y DVD’s), discos magnéticos (flexibles y duros), etc.

Nivel de protección que requieren los datos personales 





Nivel de protección básico Datos de identificación o Datos laborales o Nivel de protección medio Datos patrimoniales o Datos sobre procedimientos administrativos seguidos en forma de juicio y/o o  jurisdiccionales Datos académicos o Datos de transito y movimientos migratorios o Nivel de protección alto Datos ideológicos o Datos de salud o Características personales o Características físicas o Vida sexual o Origen o

Los niveles de protección señalados definen el mayor o menor grado de confidencialidad, disponibilidad e integridad que el sujeto obligado debe asegurar de acuerdo con la naturaleza de los datos contenidos en los sistemas de datos personales que custodia.

Tipo de transmisiones de datos personales



Interinstitucionales.- Transmisiones de datos a dependencias y entidades federativas y municipales. Internacionales.- Transmisiones a gobiernos u organismos internacionales



Con entes privados u organizaciones civiles públicas o privadas



Tipos de modalidades de envío de datos personales 





Traslado de soportes físicos.- Ej. Es cuando correspondencia oficios o formularios impresos.

una

dependencia

envía

por 

Traslado físico de soportes electrónicos.- Ej. Es cuando una dependencia entrega a otra por mensajería oficial un archivo electrónico con datos personales contenidos en discos flexibles, discos compactos o dispositivos de memoria USB, entre otros. Traslado sobre redes electrónicas.- Ej. Cuando un archivo electrónico con un listado de beneficiarios se envía de una dependencia a otra por Internet. 7

Las auditorías de TI y su relación con la ley de protección de datos personales

Diferencias entre identificar, autenticar y autorizar en el control de acceso El control de acceso es una medida de seguridad que permite el acceso únicamente a quien está autorizado para ello. 





Identificar.- Consiste en tomar conocimiento de que una persona es quien dice ser. Autentificar.- Autentificar o autenticar a una persona se refiere a comprobar que esa persona es quien dice ser. Autorizar.- Se refiere al acceso que se le permite a la persona que se ha identificado y autenticado apropiadamente.

 Auditorias de TI La auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. Las auditorías de TI se realizan en tres áreas:

Aplicaciones. Incluyen todas las funciones de información del negocio, donde la computadora  juegue un rol en el procesamiento. Desarrollo de Sistemas. Cubre las actividades de los analistas de sistemas y programadores. Ambiente de proceso de Información . Incluye todas las actividades involucradas en el equipo computacional y archivos (operaciones computacionales, librería de archivos, equipamiento de entrada y distribución de datos).

Objetivos de una auditoría Dentro de los objetivos de la auditoría de TI, encontramos: • Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. • Seguridad de personal, datos, hardware, software e instalaciones.

Metodología de una auditoría de sistemas Cuatro fases básicas de un proceso de revisión: 

Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar  visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios de TI.

8

Las auditorías de TI y su relación con la ley de protección de datos personales







Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, etc. Examen detallado de áreas críticas.-Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado. Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría. El informe debe contener lo siguiente: o Motivos de la Auditoría o Objetivos o Alcance o Estructura Orgánico-Funcional del área Informática o Configuración del Hardware y Software instalado o Control Interno o Resultados de la Auditoría o

Modelo de Protección de Datos Personales

Figura 2. Modelo de Protección de Datos Personales El modelo define cinco fases, las cuales se describen a continuación:

Fase I. Análisis de procesos y flujo de información Como primera fase es importante que la empresa realice un análisis y diagnóstico de sus procesos de negocio y cómo estos están siendo operados. La empresa debe identificar si está solicitando

9

Las auditorías de TI y su relación con la ley de protección de datos personales

información de datos personales a los titulares que no le estén generando algún beneficio ni operativo ni económico, y analizar la factibilidad de dejarlos de recabar y, de esta manera, evitar el uso de recursos para el cumplimiento de la LFPDPPP.

Fase II. Revisión de estado actual En esta fase el objetivo es conocer el grado de cumplimiento y madurez que mantiene la empresa respecto a la LFPDPPP, e identificar desviaciones existentes entre las prácticas de administración y operación actuales, lo cual permitirá identificar los riesgos a los que está expuesta la empresa y, con base en ello, dar prioridad a líneas de acción para la implementación de controles.

Fase III. Implementación de medidas de control Los controles tecnológicos mínimos que se deberán implementar para la protección de datos personales son los siguientes:      

Mecanismo seguro para el intercambio de información con terceros. Mecanismo de retención y eliminación segura de datos personales y datos sensibles. Mecanismo de almacenamiento seguro. Mecanismo de acceso y autenticación. Aseguramiento de bases de datos. Mecanismo de prevención de fuga de información.

Los controles de procesos y políticas mínimas que deberán ser desarrolladas e implementadas son las siguientes:  



            

Política de protección de datos personales y datos sensibles. Modelo de responsabilidades que incluya los siguientes actores: responsable, custodio, titular, encargado de seguridad. Procedimientos para la obtención de información de datos personales y datos personales sensibles. Procedimientos para el tratamiento de información de datos personales. Política de retención y eliminación de datos personales y datos personales sensibles. Proceso de evaluación formal de riesgos. Proceso de control de accesos. Proceso de respaldo de datos. Proceso de respuesta a incidentes. Proceso de investigación forense. Proceso de control de cambios. Procedimiento de monitoreo. Procedimientos de revisión de registros y bitácoras. Formatos del aviso de privacidad y del aviso de consentimiento. Acuerdos para el intercambio seguro de datos personales y datos sensibles. Otros.

En el ámbito de los controles orientados al personal se deberá considerar: 

Programa de conciencia de seguridad dirigido a: Administradores de red. o Desarrolladores y analistas. o Personal involucrado en el manejo de la información de datos personales y datos o sensibles.

10

Las auditorías de TI y su relación con la ley de protección de datos personales

 

Capacitación en auditorías de sistemas. Capacitación en el entendimiento de la LFPDPPP

Fase IV. Revisiones En esta fase se deberán realizar auditorías internas por parte de la empresa a través del departamento de “auditoría” para detectar las áreas de oportunidad en la eficiencia de la implantación de los controles de seguridad y determinar el nivel de cumplimiento con la LFPDPPP, con el objetivo de simular la auditoría por parte de la entidad reguladora (IFAI)

Fase V. Mejora continua En esta fase la empresa deberá implementar las acciones correctivas derivadas de las auditorías realizadas. Algunas actividades a contemplar son: dar prioridad a las acciones correctivas y preventivas identificadas, e identificación de los responsables de llevar a cabo las acciones correctivas.

11

Las auditorías de TI y su relación con la ley de protección de datos personales

Conclusiones •

•

•

•

En un mundo cuya economía gira en torno a la información, es de extrema importancia contar con una legislación que proteja los datos personales. Las empresas deben reforzar la seguridad de TI y hacer de la protección de información una práctica común en la operación del negocio. Es necesario que diversas áreas se vean involucradas para cubrir esta necesidad, como serían los dueños de procesos de negocio, el área legal, sistemas y TI. Hay que recordar que una falla en este sentido puede traer serias consecuencias, incluyendo multas sustanciales y demandas legales que afectarán directamente la salud financiera de la empresa.

12