data risk management december 30th
Post on 19-Feb-2017
108 Views
Preview:
TRANSCRIPT
Data Risk frente a la explosion de Datos
EXPLOSION EN CUANTO A:volumen y velocidad de datos;
Crecen fuentes de diseminación de datos (dispositivos móviles inteligentes, IoT, Big data y percepciones de los datos “perfiles”).
Contexto del Data Risk
Desprotección de la Privacidad y datos personales.
Internet = Libertad de Expresión + Snowden vs Ciber seguridad +
Nueva Ciudadanía Digital. Autodeterminación informática
Revolución de Datos
Gestión del Data RiskA considerar:
Nueva generación de usuarios y empoderamiento ciudadano a través de
derechos con alcance indefinidos y dependiente del tipo de dato del que se
trate.
Gestión del Data Risk Muchos tipos de Data
Open data: Contenido político y de nueva forma de participación ciudadana moderna en la gestión de la cosa pública dentro de una concepción de una democracia más participativa.
Big Data e IoT: Nuevo activo y actividad. Revolución de la información. Importancia de los datos para fijar valor en nuevos modelos de negocios basados en la base de clientes existentes.
Data Breach y Data Security: Obligación de reportes y medidas de seguridad ante ataque a las redes con impacto sobre el control de datos personales de terceros.
Personal Data: Es el derecho humano en el ámbito digital.
.
Gestión del Data Risk Insumo de muchos negocios bajo
la economía digitalDATOS PUBLICOS
De titularidad de la ciudadanía pero en poder del Estado.
PRINCIPIO DE MAXIMA APERTURA. NECESIDAD DE MARCO LEGAL EXIGIENDOLO.
ES LA PUERTA DE ACCESO PARA EL EJERCICIO DE OTROS DERECHOS CIUDADANOS.
NUEVA FORMA DE PARTICIPACION POLITICA. DEMOCRACIA PARTICIPATIVA ANTE CRISIS DE REPRESENTATIVIDAD POLITICA.
NO HAY MARCO LEGAL EN LA ARGENTINA
DATOS PRIVADOS Protección constitucional que representa el
derecho de privacidad en esta era digital.
PRINCIPIOS OPUESTOS A LOS APLICABLES A LOS DATOS PUBLICOS. CONFIDENCIALIDAD.
CRITERIO RESTRICTIVO DE APERTURA O CESION.
NECESIDAD DE CONSENTIMIENTO COMPLETO.
HAY MARCO LEGAL EN LA ARGENTINA. LEY DE PROTECCION DE DATOS PERSONALES. LEY 25.326.
Gestión del Data Risk Protección de los datos personales en
Internet incluye: a) Principio de Legalidad: Recepción en textos legales de las
obligaciones de los que recogen y procesan datos de carácter personal así como los derechos de los titulares de los datos personales en juego.
b) Obligaciones de los colectores de datos: - Recopilación, uso, divulgación y conservación de los datos
personales de acuerdo a política de privacidad transparente que permita controlar a sus titulares sobre el uso que se le da a los mismos.
- Obtención del consentimiento informado del titular con respecto al contenido, efectos, ubicación de almacenamiento, la duración y los mecanismos para el acceso, recuperación y corrección de los datos. - Efectivizar el cumplimiento del derecho del titular de los datos a acceder, recuperar y eliminar los datos personales recogidos sobre ellos.
Gestión del Data Risk c) Normas mínimas a cumplir para el uso de datos personales: Minimización de la cantidad de datos y tiempo.Los recolectores de datos tienen la obligación de solicitar el consentimiento activo y notificar a las personas si su información ha sido transmitida a terceros, perdida, robada o mal utilizada.
Adopción de medidas de seguridad adecuadas para la protección de datos personales almacenados en ficheros automatizados contra la destrucción accidental o no autorizada o la pérdida accidental, así como contra el acceso no autorizado, alteración o difusión de estos datos.
Gestión del Data Risk POLITICA CORPORATIVA INSTITUCIONAL. TONE FROM THE TOP. Políticas y prácticas a ser implementadas para la debida protección de datos personales de propios y extraños. Empatía con nuevos usuarios . Diferenciación en le mercado
RISK ASSESMENT Analizar el impacto sobre negocios, compliance y contingencias legales. Forma en que se deberán analizar los datos para actividades de marketing, prevención de fraude y respuestas a los litigios e investigaciones que se puedan derivar de este insumo valioso.
AUDITORIA CUMPLIMIENTO Y CONTROL SOBRE DATA COMO ACTIVO Due Diligence acerca de la legitiimidad de los datos procesados. Verificando la existencia de la debida legalidad de los datos procesados.
Gestión del Data RiskTONE FROM THE TOP. MENSAJE INTERNO Y A LOS USUARIOS
Claras políticas de privacidad. Las cuales deberán ser públicas y prever las características propias de los datos en relación a su titularidad y uso por terceros y las consecuencias legales que se deriven. Ejemplo, responsabilidad por la falsedad de los datos, o por un quiebre en la seguridad de las redes y responsabilidad por terceros proveedores (Cloud Computing).
Complementado con diferentes protocolos específicos para procedimientos de situaciones puntuales:
Manejo de data en investigaciones y auditorías internas (preservación vs derecho de privacidad de los empleados),
Procedimientos para resguardo de Evidencia o Prueba Digital en futuros juicios. Supuestos de Fraude Corporativo Digital.
Gestión de Data RiskNUEVO CAPITULO EN COMPLIANCE Y
AUDITORIA DE DATOSResguardar activo valioso con título perfecto para
su uso y transferencia.
Impacto por actividades que realicen terceros (cloud computing, cibersecurity proveedores).
Gestión del Data Risk
EVOLUCION DE OBLIGACIONES REGULATORIAS Impacto por contingencias sancionatorias y judiciales
futuras. Análisis del marco legal de las actividades desarrolladas. Privacy by Design, Big Data, involucramiento con IoT, etc. Data Breach: Adopción de medidas para garantizar la
seguridad y confidencialidad de los datos personales y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
Gestión del Data Risk Dificultades de implementación de políticas de
privacidad robustas y coherentes sin costos significativos.
Obligación legal de ciberseguridad si se custodian datos de terceros.
Medidas de mitigación del riesgo de sanciones por investigaciones bajo marcos legales en continua evolución.
Gestión del Data RiskCiclo de los datos en una organización:
RECOLECTAR ALMACENAR USAR Y PROCESAR COMPARTIR ARCHIVAR DESTRUIR
Gestión del Data Risk
Políticas Corporativas de Protección de Datos Personales o de Data Risk Assesment como presupuesto mínimo.
Determinar el ciclo de vida de los datos dentro de cada organización. Pauta de Orientación Local: Disposición DNPDP Nro 7/08 pero para el sector público.
Gestión del Data RiskIdeal de configuración del Privacy by Design
Aseguramiento que la protección de la privacidad sea el modo de operación predeterminado de una organización.Aplicables a
Sistemas de Tecnologías de la Información (TICs)Prácticas de Negocios Responsables Diseño físico e infraestructura de red.
Gestión del Data Risk
Ideal de configuración del Privacy by Design
Win to Win
Cibernauta: Obtener control personal de la información propia
✚ ✜ ✚
Organizaciones: Obtener ventaja competitiva sostenible
Gestión del Data Risk7 principios del Privacy by Design
1) Proactivo, no Reactivo; Preventivo no Correctivo2) Privacidad como la Configuración Predeterminada
3) Privacidad Incrustada en el Diseño4) Funcionalidad Total- Todos ganan
5) Seguridad Extremo a Extremo. Protección de Ciclo de Vida Completo
6) Visibilidad y Transparencia. Mantenerlo Abierto7) Respeto por la Privacidad de los Usuarios. Mantener
un enfoque centrando en el Usuario.
Gestión del Data RiskConsideraciones al implementar Política de
Protección de Datos de una compañía Flexibilidad de la política y sujeta a revisión y
adaptación continua. Preservar la privacidad de los datos es
responsabilidad de todas las áreas de la compañía.
Contar con plan actual y testeado ante un incidente de pérdida de datos.
Gestión del Data RiskConsideraciones al implementar Política de
Protección de Datos de una compañía
Recomendaciones emitidas en el mundo:
CANADA: Accountability in a Privacy Management Program(Canada, Alberta and British Columbia 2012).
HONG KONG: A Best Practise Guide to Privacy Management Programme (2014)
COLOMBIA: Guía para la implentación del principio de responsabilidad demostrada (accountability) (Superintencia de Industria y Comercio 2015).
Elementos de un Data Management Program
GOVERNANCE
RISK ASSESMENT
CONTROL & PROCCESSE
S
SECURITY TRAINNING
VENDOR MANAGEME
NT
MONITORING
INCIDENT RESPONSE
Gestión del Data RiskElementos indispensables de una
Política de Datos de una Organización Políticas de BYOD y de administración de dispositivos. Clasificación de Datos (tipos, críticos y sensibles, titularidad,
ubicación y forma de control, etc.). Otorgamiento de criterios específicos de accesos para datos
sensibles. Inventario de sistemas de acceso y credenciales. (proveedores
de hosting y cloud, empleados). Establecimiento de controles y exigencias a cumplimentar por
terceros. Digital Right Management (controlar y limitar acceso a datos
propios o sujeta a copyright).
Gestión del Data Risk Elementos indispensables de una
Política de Datos de una Organización
Implementación de Tecnología de Prevención de Pérdidas de Datos.
Minimización de datos y De-identificación. Políticas de destrucción de datos. Protocolos para manejo de data en investigaciones y
auditorías internas preservando derecho de privacidad de los empleados.
Procedimientos para resguardo de Evidencia o Prueba Digital en futuros juicios.
Gestión del Data Risk Elementos indispensables de una
Política de Datos de una Organización
Políticas de administración de passwords y de acceso de los usuarios.
Prácticas de pruebas de penetración y desarrollo de un plan de respuesta ante un ataque. Proceso de reporte y escalación. Creación de equipos de respuesta ante incidentes. Cumplimiento de obligaciones de notificación.
Training a los empleados. Adecuada asignación de presupuesto. Adopción de seguros que cubran incidentes de ciberseguridad. Criterios de comunicación institucional y de adopción de criterios
efectivos de respuesta.
Elementos indispensables de una Política de Datos de una
Organización Data Due Process: Nuevas exigencias procedimentales para administrar estos recursos.
Particularidades en caso de utilizarlos como evidencia en procesos judiciales o administrativos.
TENER MUY EN CUENTA PARA LA DOCUMENTACION A APORTAR EN PROCESOS PENALES DE FRAUDE CORPORATIVO DIGITAL.
PRUEBAS ELECTRONICAS
Forensic: Auxiliar necesario en caso de litigio para acreditar con herramientas y técnicas específicas potencial contenido o actividad relevante del usuario on line.
Necesidad de inspecciones amplias sobre nuestros archivos y asegurar evidencia importante. Diferentes etapas:1) Preservar las fuentes de datos. Debida manipulación para no solo evitar perder el contenido
del dato sino también la metadata.2) Análisis. Protocolo de análisis acordado con la otra parte para definir el alcance del estudio. 3) Producción. Los resultados relevantes del análisis traerá aparejado la adopción de ciertas
acciones. Identificación de documentos relevantes, recuperación de fragmentos de datos borrados, etc.
Gestión del Data Risk
If your company isn´t focused on keeping their information safe you should stop collecting
it.
Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.(Art. 9 Ley 25.326)
Data Risk ManagementINCIDENTES DE DATA BREACH Y TEMOR AL ATAQUES DE OTRAS
NACIONES.
Sony, Home Depot, Bank of America. Todas víctimas de ataques.Multa de FTC a AT&T de U$S 25 M por data breach de sus clientes en redes del exterior de EEUU. ¿Ataque chino a EEUU? Renuncia de Office of Personal Management (OPM).Target. Acuerdo con Visa por pérdida de datos de sus clientes. Ashley Madison (datos muy sensibles 30 millones de parejas infieles en juego).Declaración de Naciones Unidas de Julio 22, 2015 sobre ICT en el campo de seguridad internacional. (Reporte del grupo de expertos gubernamentales)
Gestión de Data Risk INCIDENTES DE DATA BREACH
MAS VALE PREVENIR QUE CURAR
Negocio mundial de Ciberseguridad en 2015 U$S 75bn. (4,9% + que 2014)
2020 U$S 170bn. (Crecimiento anual 9,8% 2015-20)
Gestión del Data Risk
INCIDENTES DE DATA BREACH
Estimación del costo promedio de cada data breach en EEUU es de:
U$S 3,5 millones.
Incluye investigación, notificación a los afectados y acciones a adoptar frente a un incidente.
Fuente: 2014 Cost of Data Breach Study Global Analysis de Ponemon Institute
Gestión del Data Risk
INCIDENTES DE DATA BREACH
El mayor impacto es REPUTACIONAL
¿LO INFORMO SI NO TENGO OBLIGACION LEGAL?¿CÓMO SE COMUNICA AL MERCADO?
¿ES SECTORIAL O PARTICULAR?
Gestión de Data RiskOBLIGACION LEGAL DE ADOPTAR MEDIDAS DE
SEGURIDAD Y CONFIDENCIALIDAD DE LOS DATOS
En Argentina hay obligación legal de adoptar medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales.
Gestión de Data Risk
OBLIGACION LEGAL DE ADOPTAR MEDIDAS DE SEGURIDAD Y CONFIDENCIALIDAD DE LOS DATOS (Art.9 LPDP).
¿En qué consisten?
Evitar adulteración, pérdida, consulta o tratamiento no autorizado de datos personales, y que permitan detectar desviaciones intencionales o no de información, ya sea que provengan de acción humana o del medio técnico utilizado. ¿A cargo de quién?
Responsable o usuario de los datos personales.
Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.(Art. 9 LPDP).
Gestión del Data RiskINCIDENTES DE DATA BREACH
Parámetros recomendados de debida diligencia en ciberseguridad para que una empresa no sea considerada
responsableEEUU: NIST (National Institute of Standards and Technology) para infraestructura crítica.
IDENTIFICAR sistemas críticos del negocio,
PROTEGER (medidas para garantizar la provisión de servicios críticos),
DETECTAR (cuando un evento de ciberseguridad ocurre),
RESPONDER (acciones para terminar o mitigar la amenaza),
RECUPERAR (restablecer funciones o servicios que fueron afectados por los eventos).
Gestión del Data RiskINCIDENTES DE DATA BREACH
Parámetros recomendados de debida diligencia en ciberseguridad para que una empresa no sea considerada responsable
Estados Unidos En 8/15 la justicia (caso Wyndham) le ha reconocido a la FTC la autoridad
de cuestionar las prácticas de ciberseguridad como injustas bajo su competencia para regular prácticas injustas que afecten el comercio.
En 2008 y 2009 este hotel padeció 3 ataques informáticos en sus redes que ocasionó la pérdida de información de tarjetas de crédito de 600.000 clientes y pérdidas deU$S 10 millones por fraude.
Las compañías que manejan datos de sus clientes deben establecer prácticas de privacidad y seguridad de datos razonables, que deberán ser revisadas en forma regular y corregidas sus deficiencias.
Gestión del Data RiskINCIDENTES DE DATA BREACH
Parámetros recomendados de debida diligencia en ciberseguridad para que una empresa no sea
considerada responsableCanadá: Criterio de Comisionado de DP. Numerosas
medidas de prevención en funcionamiento al momento del incidente: (i) uso de firewalls, (ii) encriptamiento de información sensible, (iii) guarda separada de llaves de encriptamiento, (iv) múltiples sistema de detección de intrusión (detectó el ataque).
Gestión del Data Risk Marcos legales díspares: Estados Unidos (leyes
estaduales 47 diferentes) sobre obligaciones de reporte de data breach sin ley federal. Varios países con leyes similares recientes (Canadá PIPEDA, Alemania, Hungría, Australia (proyecto)).
Nueva directiva de la Unión Europea sobre protección de datos personales con requisitos exigentes.
Extensión de la jurisdicción de la futura directiva europea de protección de datos personales a datos pertenecientes a ciudadanos europeos por más que estén fuera de la Unión Europea.
Gestión del Data Risk Impacto de inminente Directiva de la Unión Europea spbre Protección de Datos
Personales:
Ambito territorial: Amplio por aplicarse a datos de ciudadanos europeos por más que estén fuera de la UE. Formas de otorgamiento de consentimiento: Se otorga en forma explícita, totalmente informado a todo aquel que procese datos personales (incluyendo la actividad de análisis) y teniendo la facultad de retirar el consentimiento así como lo otorgaron. Edad de menores para redes sociales. Creación de Perfiles: Posibles nuevas restricciones en profiling, otorgando un derecho a objetar.Data Portability, Derecho al olvido, Derecho a compensación: Por el daños originado por un procesamiento de datos personales ilegítimo. Obligaciones regulatorias: Compañias grandes tener un diagnóstico sobre el riesgo del manejo de los datos y designación de un oficial de cumplimiento de protección de datos personales. Obligaciones de reporte a todos los intervinientes en la cadena de cloud computing.Sanciones severas: Multas por no cumplimiento pueden alcanzar los 100 millones de euros of 5% de los ingresos mundiales, lo que sea mayor.
Gestión del Data RiskImpacto del Nuevo Código Civil y Comercial de Argentina sobre la actividad.El nuevo Código Civil y Comercial tiene el artículo 52 que dice: “La persona humana afectada en su intimidad personal o familiar, honra o reputación, imagen o identidad, o reclamar la prevención y reparación de los daños que de cualquier modo sufridos, conforme a lo dispuesto en el Libro Tercero, Título V.”
Gestión del Data RiskImpacto del Nuevo Código Civil y Comercial de Argentina sobre la actividad.Nuevos criterios de responsabilidad aplicables. Implicancia de los contratos de adhesión y contratos conexos. Posibilidad de requerir prevención de daños.
Gestión del Data RiskRegulación sobre normas de seguridad:
Disposición DNPDP Nro 11/06 y 9/08. (Medida de nivel básico, de nivel medio y de nivel crítico). Medidas de seguridad para el tratamiento y la conservación de los datos personales. Aprueba Documento de Seguridad.Regulación sectorial incipiente para datos personales: Publicidad: Obligación de opt out. Disposición DNPDP Nro 4/09. Software: Disposición DNPDP Nro 18/15. Aplicación del criterio
de Privacy by Design. Drones: Disposición DNPDP Nro 20/15. Video Vigilancia: Disposición DNPDP Nro 10/15.
Gestión del Data RiskNuevas cuestiones legales a ser consideradas:o Todos los sistemas basados en la nube tendrán sus propias
complicaciones, y cada uno de los eslabones de la cadena del cloud será directamente responsable y auditable sobre la privacidad de los datos.
o Determinar momentos de reportes al regulador para morigerar cualquier responsabilidad legal por penalidades.
o Costos adicionales surgirán si se le exigen criterios objetivos de responsabilidad y de prestación del servicio con niveles de garantías altos.
o Nuevas cuestiones laborales surgidas del manejo de los datos.
Gestión del Data RiskNuevas cuestiones legales a ser consideradas:o Facilitar la integración de datos propios con los de
terceras partes a través de mecanismos que faciliten acceso a datos de terceros (venta, compartimiento o la adopción de incentivos (regulatorio) para el acceso.
o El acceso a datos externos debe estar facilitado a través de un marco tecnológico adecuado consistente en la estandarización de los formatos de los datos, implementación de alimentación de datos, etc.
o La creación de sistemas de clasificación de datos genera preocupación porque dichos procesos distan de ser neutrales, automáticos y sin intervención humana dado que a la larga reflejan los valores implícitos o explícitos de los diseñadores de dichos sistemas.
Gestión del Data RiskNuevas cuestiones legales a ser consideradas:
“Pero todo esto, a mí ¿en que me afecta?”Grado de responsabilidad a ser asignado a los miembros del Directorio como consecuencia del no cumplimiento de las diligencias propias del buen hombre de negocios en la protección de los datos personales bajo su custodia. Criterio de responsabilidad residual. ¿Hay cuestiones penales?Afectación del derecho humano del “consumidor digital”. Impacto comunicacional expansivo. La afectación de la privacidad desplazó de la prensa al derecho ambiental aún ante al acuerdo de Paris sobre cambio climático. El desastre ecológico es reemplazado por escándalos de vigilancia digital no autorizada.
Participación requerida de, al menos, los siguientes sectores :
IT
LEGALES
SecurityCOMPLIANCE
HR
Gestión del Data RiskSURGE LA GRAN DUDA
ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN JUEGO
¿No es aconsejable implementar un oficial de cumplimiento de protección de los datos personales
como posición autónoma y dedicada dentro de la empresa?
NO SOMOS NADA ORIGINALES EN LA PREGUNTA ES el criterio a aplicar a las grandes empresas bajo el proyecto de nueva directiva de protección de datos
personales de la UE.
Gestión del Data RiskSURGE LA GRAN DUDA
ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN JUEGO
No lo recomendamos. No puede haber una sola persona encargada de esta difícil
misión sino que debe haber concientización de todos los sectores respecto a la protección de los datos personales en todo el ciclo de nuestro
negocio, por tratarse tanto de una garantía constitucional individual como de un insumo muy valioso sobre el cual se estructuran muchos planes de negocio bajo la nueva economía digital.
Gestión del Data RiskSURGE LA GRAN DUDA
ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN JUEGO
SE VISLUMBRA POSIBLE SIGNIFICATIVA CONTINGENCIA REGULATORIA Y LEGAL CON
ALCANCES INDEFINIDOS.CONTAR CON POLITICA COMPLETA DE
PRIVACIDAD Y NO BASTA CON PLAN DE PREVENCION Y MITIGACION COMO SOLUCION
TEMPORARIA
Gestión del Data RiskSOLUCION PROPUESTA
CONTAR CON POLITICA COMPLETA DE PRIVACIDAD CON ADAPTACIONES AL MERCADO LOCAL
(NO VALE TRADUCCION DE LA POLITICA DE CASA MATRIZ) LOS TOQUES LOCALES PUEDEN SER BENEFICIOSOS EN ASPECTOS
CRUCIALES COMO LA TRANSFERENCIA INTERNACIONAL DE DATOS A LA UNION EUROPEA
VENTAJA COMPETITIVA DE EMPRESAS LOCALES RESPECTO A LAS ESTADOUNIDENSES QUE NO SON CONSIDERADAS BAJO UN REGIMEN
LEGAL DE PROTECCION DE DATOS ADECUADO (Caso Schrems) NUESTRO REGIMEN de PROTECCION DE DATOS PERSONALES POR
AHORA ES CONSIDERADO COMO ADECUADO.
top related