Con el incremento del uso de las TIC y la revalorización de la información, la Seguridad de la Información se convierte en una necesidad para niños, adultos, empresas y autoridades.
Necesitamos crear una cultura de seguridad de la información, ya que el mal uso que se le de a la información puede tener implicaciones en nuestra vida privada, patrimonio, etc.
1. SEGURIDAD DE LA INFORMACIÓN
Jonathan López Torres
@JonathanLpezTor
Derecho, TIC y Conocimiento Abierto
http://jonathanlpeztor.blogspot.mx/
2. ¿Qué es la seguridad de la información?
“The protection of information and information systems from
unauthorized access, use, disclosure, disruption, modification,
or destruction in order to provide confidentiality, integrity,
and availability.” NIST 2013.
“La capacidad de preservar la confidencialidad, integridad y
disponibilidad de la información, así como la autenticidad,
confiabilidad, trazabilidad y no repudio de la misma.” Acuerdo
EDN 2014.
3. ¿Qué es la confidencialidad?
“La característica o propiedad por la cual la información sólo es revelada
a individuos o procesos autorizados.” MAAGTICSI 2014
NIST 2013:
Preserving authorized restrictions on information access and disclosure,
including means for protecting personal privacy and proprietary
information.
The property that sensitive information is not disclosed to
unauthorized individuals, entities, or processes.
The property that information is not disclosed to system entities
(users, processes, devices) unless they have been authorized to access
the information.
4. ¿Qué es la integridad?
“La acción de mantener la exactitud y corrección de la
información y sus métodos de proceso.” MAAGTICSI 2014
NIST 2013:
The property that data has not been altered in an
unauthorized manner. Data integrity covers data in
storage, during processing, and while in transit.
The property that data has not been changed, destroyed,
or lost in an unauthorized or accidental manner.
5. ¿Qué es la disponibilidad?
“La característica de la información de permanecer
accesible para su uso cuando así lo requieran individuos o
procesos autorizados.” MAAGTICSI 2014.
NIST 2013:
Ensuring timely and reliable access to and use of
information.
The property of being accessible and useable upon
demand by an authorized entity.
6. Principios modelo estándar…
C: Confidencialidad
I: Integridad
D: Disponibilidad
Autenticidad | Confiabilidad | Trazabilidad | No repudio de la misma
C
I
INFORMACIÓN
D
7. Principios modelo estándar…
¿suficiente?
Rendición de
cuentas
Ética Posesión Legalidad Precisión
Relevancia Utilidad Respuesta Coherencia Responsabilida
d
Autenticidad Integridad No repudio Titularidad Control
8. ¿Cuál es el objetivo de la seguridad de
la información?
“Mitigar el riesgo”
“Riesgo: La posibilidad de que una amenaza pueda explotar una
vulnerabilidad y causar una pérdida o daño sobre los activos de TIC,
las infraestructuras críticas o los activos de información…” MAAGTICSI 2014
(datos personales).
10. ¿Qué se trata de proteger?
“Cualquier tipo de información”
“datos personales”
11. ¿Cómo se clasifica la información?
1. Personal: pertenece a los particulares.
2. Pública: disponible para el público en general .
3. Confidencial: uso por los empleados, contratistas
y socios de negocios.
4. Propietaria: propiedad intelectual de la
organización que sea manejada por las partes
autorizadas.
5. Secreta: uso exclusivo por personas que tengan
necesidad de conocerla.
12. ¿Por qué se trata de proteger?
A. Por iniciativa propia, intereses
propios, compromiso con los
titulares de la información,
conocimiento del valor de la
información, etc.
B. Por obligación legal (cumplimiento de
la normatividad).
13. ¿Por qué se trata de proteger?
Importancia
Vulnerabilidad
Sensibilidad
15. Documentación de seguridad ¿cómo se integra?
Políticas: declaración de alto nivel de exigencia, es la principal manera en
que las expectativas de la administración de la seguridad se proporcionan a
quienes operan los sistemas de seguridad y a los usuarios.
Estándares: especifican cómo configurar dispositivos, cómo instalar y
configurar el software, y cómo utilizar los sistemas informáticos y otros
activos de la organización, para cumplir con los objetivos de la política.
Procedimientos: especifican paso a paso las instrucciones para realizar
diversas tareas de acuerdo con las políticas y normas.
Directrices: son consejos sobre cómo lograr los objetivos de la política de
seguridad, pero son sugerencias, no reglas. Son una importante herramienta
de comunicación para que la gente sepa cómo dar seguimiento a la política.
16. Estándares de seguridad de la información
Control Objectives for Information and related Technology
(COBIT): Publicado por ISACA (Information Systems Audit and Control
Association). 95.000 asociados en 160 países, ISACA (www.isaca.org)
es un líder global proveedor de conocimiento, certificaciones,
comunidad, promoción y educación sobre aseguramiento y seguridad
de sistemas de información, gobierno empresarial y gestión de TI y
riesgo relacionado con TI y cumplimiento. No es un estándar
específico de seguridad de la información, peró sí es un estándar
general de TI.
International Organization for Standardization (ISO): Familia de
estándares ISMS (Information Security Management System)., provén
un marco de referencia para el desarrollo de un programa de
seguridad de la información (ISO/IEC 27 000, 01, 02…)
National Institute of Standards and Technology (NIST): Depende del
Departamento de Comercio de EU, proporciona un conjunto de
"Publicaciones Especiales" para ayudar a la industria, el gobierno y
las organizaciones académicas. “800 series es un conjunto de
publicaciones específicas de seguridad.
17. México y la seguridad de la información (público)
ACUERDO que tiene por objeto emitir las políticas y disposiciones
para la Estrategia Digital Nacional, en materia de tecnologías de la
información y comunicaciones, y en la de seguridad de la
información, así como establecer el Manual Administrativo de
Aplicación General en dichas materias. DOF 08/05/2014
Objeto: emitir políticas y disposiciones para la Estrategia Digital
Nacional, en materia de tecnologías de la información y
comunicaciones, y en la de seguridad de la información, así como
establecer el Manual Administrativo de Aplicación General en dichas
materias, contenido en su Anexo Único, que serán de observancia
obligatoria en la APF y en la PGR.
Acuerdo MAAGTICSI:
18. Marco jurídico del MAAGTICSI…
Ley Federal de Transparencia y Acceso a la Información
Pública Gubernamental
Lineamientos de Protección de Datos Personales. DOF
30/09/2005
Recomendaciones sobre medidas de seguridad
aplicables a los Sistemas de Datos Personales DOF:
06/12/2006
19. Ley Federal de Transparencia…y Reglamento
INAI: atribución de establecer los lineamientos y políticas
generales para el manejo, mantenimiento, seguridad y
protección de los datos personales, que estén en posesión
de las dependencias y entidades ( Ley art. 39 fracción IX).
Procedimientos para acceder a los datos personales que
estén en posesión de las dependencias y entidades
garantizarán la protección de los derechos de los
individuos, en particular, a la vida privada y a la intimidad,
así como al acceso y corrección de sus datos personales,
de conformidad con los lineamientos que expida el
Instituto y demás disposiciones aplicables para el manejo,
mantenimiento, seguridad y protección de los datos
personales (Reglamento art. 47).
Sistema de datos personales: el conjunto ordenado de datos
personales que estén en posesión de un sujeto obligado
20. Lineamientos de Protección de Datos Personales
Principio de seguridad
En el tratamiento de datos personales, las dependencias y
entidades deberán observar los principios de licitud,
calidad, acceso y corrección, de información, seguridad,
custodia y consentimiento para su transmisión
(lineamiento 5°).
Se deberán adoptar las medidas necesarias para garantizar
la integridad, confiabilidad, confidencialidad y
disponibilidad de los datos personales mediante acciones
que eviten su alteración, pérdida, transmisión y acceso no
autorizado (lineamiento 10°).
Los datos personales sólo podrán ser tratados en sistemas
de datos personales que reúnan las condiciones de
seguridad establecidas en los presentes lineamientos y en
las demás disposiciones aplicables (lineamiento 16°).
21. Lineamientos de Protección de Datos Personales
Otros aspectos…
Tratamiento de datos por terceros: estipularse en el contrato la
implementación de medidas de seguridad y custodia, así como
penas convencionales (L. 21°).
Medidas de seguridad y custodia en la transmisión de SDP (L. 26).
Designación de responsables, emisión de criterios de seguridad,
difusión de la normatividad, capacitación en materia de
seguridad (L. 27).
Documento de seguridad que contenga las medidas
administrativas técnicas y físicas (L. 33).
Operaciones de acceso, actualización, respaldo y recuperación
(L. 37°)
22. Recomendaciones sobre medidas de seguridad aplicables a los SDP
Estructura del documento…
Instructivo
Niveles de seguridad
Abreviaturas
Definiciones
Recomendaciones
23. Recomendaciones sobre medidas de seguridad aplicables a los SDP
Estructura de las recomendaciones…
MS para DP en soportes físicos y electrónicos
MS para transmisión de DP
MS para equipos de cómputo en zonas de acceso restringido
MS para asegurar continuidad y enfrentar desastres
Documentación de MS en procesos y políticas del SDP
24. Vulneraciones de datos personales…
La pérdida o
destrucción no
autorizada
El robo,
extravío o
copia no
autorizada
El uso, acceso
o tratamiento
no autorizado
El daño, la
alteración o
modificación
no autorizada