Successfully reported this slideshow.
Definiendo la Estrategia de Privacidad

9o Congreso de Prevención del Fraude y Seguridad

Bogotá, Colombia

Octubre de 2015
@carloschalico
Carlos Chalico
25/10/2015 2
18+
years
CISA
CISSP
CISM
ISO27001LA
CGEIT
CRISC
PbDA
@carloschalico
Había una vez…
25/10/2015 3
@carloschalico
Agenda
25/10/2015 4
• ¿Cómo llegamos hasta aquí?
• Conceptos
• ¿Cómo anda el mundo?
• ¿Qué está buscando La...
¿Cómo llegamos hasta aquí?

@carloschalico
El Derecho a ser Dejado Solo
25/10/2015 6
• La búsqueda de la privacidad inició hace mucho
tiempo
• “The Ri...
@carloschalico
La preocupación en Europa
25/10/2015 7
• Los eventos acontecidos en Europa entre 1933 y
1945 dejaron una ma...
@carloschalico
¡Guerra!
25/10/2015 8
• La comunidad japonesa en los Estados Unidos es
reinstalada después del ataque a Pea...
@carloschalico
Comunidades Marginadas
25/10/2015 9
Fuente: http://latinocalifornia.com/home/2012/02/denuncian-abusos-de-au...
@carloschalico
El Gran Hermano
25/10/2015 10
Fuentes: http://www.i4u.com/2015/07/92967/hacking-team-hack-exposes-400gb-dat...
@carloschalico
Internet evoluciona
25/10/2015 11
Internet de las cosas
Internet de las Cosas
25/10/2015 12
Cosa
Identidad Comunicación
Sentidos Control
Nativos
Habilitados @carloschalico
@carloschalico
¿Cómo ha sido posible?
25/10/2015 13
• Evolución de la tecnología
• Reducción de costos
• Mejora de estruct...
@carloschalico
Carnaval de Datos
25/10/2015 14
Para 2013 había más
dispositivos conectados
a internet que personas
sobre l...
@carloschalico
Internet de las Cosas
25/10/2015 15
@carloschalico25/10/2015 16
Volumen
Velocidad
Variedad
Big Data
@carloschalico25/10/2015 17
La Privacidad
¿Ha muerto?
Fuente: http://www.popsci.com/article/diy/how-repurpose-your-old-rad...
@carloschalico
Regulación creciente
25/10/2015 18
Fuente: http://dlapiperdataprotection.com
Conceptos
@carloschalico
Intimo, público, privado
25/10/2015 20
• Ernesto Garzón Valdés escribe un interesante texto
al respecto
- Í...
@carloschalico
Privacidad
25/10/2015 21
“La privacidad es el ámbito donde
pueden imperar exclusivamente los
deseos y prefe...
@carloschalico
Datos Personales
25/10/2015 22
Relativos al individuo, que lo identifican o lo
hacen identificable. Le dan ...
@carloschalico25/10/2015 23
Los Datos Personales
¿Deben Protegerse?
@carloschalico
Principios - Resolución de Madrid
25/10/2015 24
• Lealtad y legalidad
• Finalidad
• Proporcionalidad
• Cali...
¿Cómo anda el mundo?
@carloschalico
La regulación en el mundo
25/10/2015 26
Fuente: Ernst & Young México
@carloschalico25/10/2015 27
La regulación en el mundo
Artículo 15 Constitución Colombiana
Ley 1266/08Ley 1581Decreto 1377
@carloschalico25/10/2015 28
La regulación en el mundo
@carloschalico25/10/2015 29
La regulación en el mundo
¿Qué está buscando Latinoamérica?
@carloschalico
Panorama Latinoamericano
25/10/2015 31
•Derechos humanos
•Homologación y madurez regulatoria
•Credibilidad ...
Definiendo un modelo de cumplimiento
@carloschalico
Conociendo el Estado Actual
25/10/2015 33
• Patrocinio
• Políticas
• Procesos
• Inventario
• Estrategia de ...
@carloschalico25/10/2015 34
• Hay dos elementos maduros y valiosos, definidos
por Michael Porter que pueden considerarse a...
@carloschalico
Valores
25/10/2015 35
• ¿Por qué debo actuar con ética?
• Es importante reconocer la integración
de lo tecn...
@carloschalico
La Política General
25/10/2015 36
• La organización fija su posición frente al tema
• Muestra su compromiso...
@carloschalico
Interactuar con los interesados
25/10/2015 37
• El consentimiento es un gran actor en las
regulaciones de p...
@carloschalico25/10/2015 38
Interactuar con los interesados
• Facilitar el ejercicio de derechos ARCO (Habeas
Data)
• La c...
@carloschalico25/10/2015 39
Manejando el proceso interno
• Las respuestas deben generarse en el tiempo que se
exige
• De l...
@carloschalico25/10/2015 40
Interactuar con las autoridades
• No solamente los titulares pueden hacer
requerimientos
• Hay...
@carloschalico25/10/2015 41
Interactuar con las autoridades
• No solamente los titulares pueden hacer
requerimientos
• Hay...
@carloschalico25/10/2015 42
La normatividad interna
• ¿Qué más existe en la
organización?
- SOX
- Basilea
- Otras
• Los ma...
@carloschalico25/10/2015 43
Manejando datos personales
• ¿Cómo proteger lo que no se conoce o clasifica?
• Un modelo de go...
@carloschalico25/10/2015 44
Relaciones con terceros
• Históricamente, este es un punto débil en las
organizaciones
• Ejerc...
@carloschalico25/10/2015 45
Respetando requerimientos
• Los consentimientos deben ser claros
• Las cancelaciones respetada...
@carloschalico25/10/2015 46
Reaccionando ante emergencias
• Continuidad de la operación, respuesta a
incidentes = planes e...
@carloschalico25/10/2015 47
Reaccionando ante emergencias
• Continuidad de la operación, respuesta a
incidentes = planes e...
@carloschalico25/10/2015 48
Dando continuidad al proceso
• De nada servirán políticas, procedimientos, guías y
actividades...
@carloschalico25/10/2015 49
Gente, conciencia
• El elemento más débil de
la cadena es la gente,
aunque también es el que
l...
@carloschalico25/10/2015 50
Gente, conciencia
www.pantallasamigas.net
@carloschalico25/10/2015 51
Gente, conciencia
www.microsoft.com/es-xl/responsabilidadsocial/navegaprotegidomexico/default....
@carloschalico25/10/2015 52
Otros procedimientos
• ¿Qué más debe hacerse
• ¿Qué otros procesos son necesarios?
• ¿Hay exig...
@carloschalico25/10/2015 53
Certificaciones y herramientas
• Personales
• CISA
• CISM
• CISSP
• CIPP
• Corporativas
• ISO2...
Conclusiones
@carloschalico25/10/2015 55
Conclusiones
• La privacidad es un asunto de
competencia organizacional
• Indisolublemente vin...
@carloschalico25/10/2015 56
Bibliografía
• Canadian Privacy: Data Protection
Law and Policy for the Practitioner
Kris Klei...
@carloschalico25/10/2015 57
Preguntas
Carlos Chalico
LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDLA, ISO27000LA
Director Easte...
Prochain SlideShare
Chargement dans…5
×

Asobancaria definiendo la estrategia de privacidad

219 vues

Publié le

Conferencia presentada en el 9o Congreso de Prevención del Fraude y Seguridad de ASOBANCARIA en Bogotá, Colombia, Octubre de 2015

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Asobancaria definiendo la estrategia de privacidad

  1. 1. Definiendo la Estrategia de Privacidad
 9o Congreso de Prevención del Fraude y Seguridad
 Bogotá, Colombia
 Octubre de 2015
  2. 2. @carloschalico Carlos Chalico 25/10/2015 2 18+ years CISA CISSP CISM ISO27001LA CGEIT CRISC PbDA
  3. 3. @carloschalico Había una vez… 25/10/2015 3
  4. 4. @carloschalico Agenda 25/10/2015 4 • ¿Cómo llegamos hasta aquí? • Conceptos • ¿Cómo anda el mundo? • ¿Qué está buscando Latinoamérica? • Definiendo un modelo de cumplimiento • Conclusiones
  5. 5. ¿Cómo llegamos hasta aquí?

  6. 6. @carloschalico El Derecho a ser Dejado Solo 25/10/2015 6 • La búsqueda de la privacidad inició hace mucho tiempo • “The Right to Privacy”, Diciembre 15 de 1890, Harvard Law Review, Harvard Law School • Samuel Warren y Louis Brandeis • Uno de los ensayos más influyentes en la historia de las leyes norteamericanas • Sigue siendo usado ampliamente como referencia en diversos textos y foros
  7. 7. @carloschalico La preocupación en Europa 25/10/2015 7 • Los eventos acontecidos en Europa entre 1933 y 1945 dejaron una marca importante en lo referente a protección de datos personales Fuente:http://ancienthebrewlearningcenter.blogspot.ca/2015/01/ibm-nazi-holocaust-and-veterans.html
  8. 8. @carloschalico ¡Guerra! 25/10/2015 8 • La comunidad japonesa en los Estados Unidos es reinstalada después del ataque a Pearl Harbor en 1943 Fuentes: http://www.digitalhistory.uh.edu/active_learning/explorations/japanese_internment/internment_menu.cfm http://www.archives.gov/education/lessons/japanese-relocation/ http://www.bookmice.net/darkchilde/japan/camp.html https://en.wikipedia.org/wiki/Anti-Japanese_sentiment_in_the_United_States
  9. 9. @carloschalico Comunidades Marginadas 25/10/2015 9 Fuente: http://latinocalifornia.com/home/2012/02/denuncian-abusos-de-autoridades-a-indigenas-panamenos/ http://ayotzinapasomostodos.com/medio/ayotzinapa-las-huellas-de-los-militares/
  10. 10. @carloschalico El Gran Hermano 25/10/2015 10 Fuentes: http://www.i4u.com/2015/07/92967/hacking-team-hack-exposes-400gb-data http://www.marxist.com/the-case-of-chelsea-manning.htm http://www.wired.com/2014/08/edward-snowden/ http://waca.net.au/defending-julian-assange-is-defending-democracy/
  11. 11. @carloschalico Internet evoluciona 25/10/2015 11 Internet de las cosas
  12. 12. Internet de las Cosas 25/10/2015 12 Cosa Identidad Comunicación Sentidos Control Nativos Habilitados @carloschalico
  13. 13. @carloschalico ¿Cómo ha sido posible? 25/10/2015 13 • Evolución de la tecnología • Reducción de costos • Mejora de estructura del protocolo IP - IPv4 (32 bits) Vs. IPv6 (128 bits) Fuentes: http://www.analysysmason.com/About-Us/News/Insight/Insight-big-data-May2012/ Courtesy of IBM Archives, 2012 http://www.businessinsider.com/picture-of-ibm-hard-drive-on-airplane-2014-1
  14. 14. @carloschalico Carnaval de Datos 25/10/2015 14 Para 2013 había más dispositivos conectados a internet que personas sobre la Tierra Facebook tiene más de 1 billón de usuarios NYSE produce 1 Tb/día de datos transacciones Cada 2 días creamos tantos datos como los que se crearon en toda la historia de la humanidad hasta 2003 Los datos almacenados en el mundo se duplican cada 18 meses 10 20 30 40 50 BillonesdeEntidades 2010 2015 2020 6.8 7.2 7.6 Punto de Inflexión 12.5 25 50 Billones de “cosas” conectadas Adopción 5 veces más acelerada que la de Electricidad y Telefonía
  15. 15. @carloschalico Internet de las Cosas 25/10/2015 15
  16. 16. @carloschalico25/10/2015 16 Volumen Velocidad Variedad Big Data
  17. 17. @carloschalico25/10/2015 17 La Privacidad ¿Ha muerto? Fuente: http://www.popsci.com/article/diy/how-repurpose-your-old-radio-listen-meteor-showers
  18. 18. @carloschalico Regulación creciente 25/10/2015 18 Fuente: http://dlapiperdataprotection.com
  19. 19. Conceptos
  20. 20. @carloschalico Intimo, público, privado 25/10/2015 20 • Ernesto Garzón Valdés escribe un interesante texto al respecto - Íntimo. “Ámbito de los pensamientos propios, de la formación de decisiones, de las dudas, de lo reprimido, de lo aún no expresado” - Público. “Está caracterizado por la libre accesibilidad de los comportamientos y decisiones de las personas en sociedad” - Privado. “Ámbito reservado a un tipo de situaciones o relaciones interpersonales en donde la selección de los participantes depende de la libre decisión de cada individuo” Fuente: http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf
  21. 21. @carloschalico Privacidad 25/10/2015 21 “La privacidad es el ámbito donde pueden imperar exclusivamente los deseos y preferencias individuales. Es condición necesaria del ejercicio de la libertad individual” Ernesto Garzón Valdés Fuente: http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf
  22. 22. @carloschalico Datos Personales 25/10/2015 22 Relativos al individuo, que lo identifican o lo hacen identificable. Le dan identidad, lo describen, precisan su origen, edad, lugar de residencia, trayectoria académica, laboral o profesional. Además, también describen aspectos más sensibles como puede ser su forma de pensar, su estado de salud, sus características físicas, ideología o vida sexual, entre otros Fuente: Protección de Datos Personales: Compendio de lecturas y legislación, México
  23. 23. @carloschalico25/10/2015 23 Los Datos Personales ¿Deben Protegerse?
  24. 24. @carloschalico Principios - Resolución de Madrid 25/10/2015 24 • Lealtad y legalidad • Finalidad • Proporcionalidad • Calidad • Transparencia • Responsabilidad • Legitimación
  25. 25. ¿Cómo anda el mundo?
  26. 26. @carloschalico La regulación en el mundo 25/10/2015 26 Fuente: Ernst & Young México
  27. 27. @carloschalico25/10/2015 27 La regulación en el mundo Artículo 15 Constitución Colombiana Ley 1266/08Ley 1581Decreto 1377
  28. 28. @carloschalico25/10/2015 28 La regulación en el mundo
  29. 29. @carloschalico25/10/2015 29 La regulación en el mundo
  30. 30. ¿Qué está buscando Latinoamérica?
  31. 31. @carloschalico Panorama Latinoamericano 25/10/2015 31 •Derechos humanos •Homologación y madurez regulatoria •Credibilidad institucional •Control migratorio •Manejo de datos •Homologación de criterios público y privado •Educación 24 de marzo de 2015 Consejo de Derechos Humanos Resolución A/HRC/28/L.27 Individuo Responsable de: Monitorear, investigar y reportar violaciones a la privacidad en el mundo
  32. 32. Definiendo un modelo de cumplimiento
  33. 33. @carloschalico Conociendo el Estado Actual 25/10/2015 33 • Patrocinio • Políticas • Procesos • Inventario • Estrategia de control interno • Seguridad de la Información • ¿Se trabaja desde el diseño? • Alcances geográficos • Ambiente regulatorio • Estructura organizacional • Titular de la función • Modelo de negocio • Valores Ley 1581 Registro Nacional de Bases de Datos SIC Decreto 886
  34. 34. @carloschalico25/10/2015 34 • Hay dos elementos maduros y valiosos, definidos por Michael Porter que pueden considerarse a este respecto: - El análisis de las cinco fuerzas - El análisis de La cadena de valor Conociendo el Estado Actual
  35. 35. @carloschalico Valores 25/10/2015 35 • ¿Por qué debo actuar con ética? • Es importante reconocer la integración de lo tecnológico y lo filosófico • Debemos reconocer que somos organizaciones tecnosociales • Los datos personales deberían protegerse porque eso es lo correcto, no porque se nos obligue Fuente: http://www.ioew.de/uploads/tx_ukioewdb/future-IOEW_CSR-Study_Summary.pdf
  36. 36. @carloschalico La Política General 25/10/2015 36 • La organización fija su posición frente al tema • Muestra su compromiso de cumplimiento • Crea vínculos con otras normativas • Define al responsable de la función • Establece su punto de origen (diseño) • Confirma su relevancia • Cumple expectativas • Lo hace de forma: - Simple - Clara No hay exigencia en creación deOficial de PrivacidadProcesadores y Controladoresde datos obligados aofrecer seguridad y procesos internos
  37. 37. @carloschalico Interactuar con los interesados 25/10/2015 37 • El consentimiento es un gran actor en las regulaciones de privacidad y se hace presente en la comunidad latinoamericana, su obtención es crítica • Dependiendo de como se interactúe con los titulares, el consentimiento debe conseguirse de la forma correcta • El vínculo con el aviso de privacidad es indiscutible • El uso de herramientas electrónicas puede ser de gran valor
  38. 38. @carloschalico25/10/2015 38 Interactuar con los interesados • Facilitar el ejercicio de derechos ARCO (Habeas Data) • La comunicación de solicitudes de titulares debe facilitarse • La infraestructura de sucursales o puntos de acceso electrónicos deben facilitar esta interacción específica • Los canales de interacción con clientes deben soportar este ejercicio también, sin perder de vista la necesidad de autenticación
  39. 39. @carloschalico25/10/2015 39 Manejando el proceso interno • Las respuestas deben generarse en el tiempo que se exige • De la forma en que se espera • La especificación del derecho que quiera ejercerse puede influir en la definición de las acciones a ejecutar • El uso de un inventario de datos personales es altamente recomendable • La afectación a plazos de conservación o al cumplimiento de otras regulaciones es relevante • Listados de exclusión El mercadeo directo está regulado por la Ley 527/99 consentimiento opt/in
  40. 40. @carloschalico25/10/2015 40 Interactuar con las autoridades • No solamente los titulares pueden hacer requerimientos • Hay que ser especialmente cuidadosos con los requerimientos de las autoridades y actuar con agilidad • Las sanciones por incumplimiento pueden ser significativas • Ya se han aplicado varias • México parece llevar la cabecera en este ámbito y el INAI, aunque ha sido conciliador, también ha mostrado que puede ser exigente
  41. 41. @carloschalico25/10/2015 41 Interactuar con las autoridades • No solamente los titulares pueden hacer requerimientos • Hay que ser especialmente cuidadosos con los requerimientos de las autoridades y actuar con agilidad • Las sanciones por incumplimiento pueden ser significativas • Ya se han aplicado varias • México parece llevar la cabecera en este ámbito y el INAI, aunque ha sido conciliador, también ha mostrado que puede ser exigente SIC SFC Multas por incumplimiento a leyes 1266/08 y 1581 pueden alcanzar: 2,000 Salarios Mínimos Mensuales Equivalentes a 670,000 USD Ley 1581 aplica a individuos Ley 1273 tipifica los delitos relacionados con protección de datos e información y puede sancionar con cárcel de 48 a 96 meses Los titulares podrían iniciar “Acción de Tutela”
  42. 42. @carloschalico25/10/2015 42 La normatividad interna • ¿Qué más existe en la organización? - SOX - Basilea - Otras • Los marcos referenciales - COBIT - ISO27000 - ISO31000 - ISO38500 - ISO9000 - ITIL - COSO - NYMITY
  43. 43. @carloschalico25/10/2015 43 Manejando datos personales • ¿Cómo proteger lo que no se conoce o clasifica? • Un modelo de gobierno de datos será de mucha utilidad • La oficina de protección de datos custodiará el inventario • Conocimiento de procesos • La preparación es responsabilidad de todos • El mantenimiento también
  44. 44. @carloschalico25/10/2015 44 Relaciones con terceros • Históricamente, este es un punto débil en las organizaciones • Ejercicio de transferencia de riesgos • La oficina de protección de datos no podrá identificar terceros sin ayuda de los dueños de proceso • Las protecciones contractuales son relevantes • Certificaciones o revisiones independientes: ISO, ISAE • Involucramiento de auditoría interna • ISACA y CSA, fuentes valiosas Ley 1266/08 Decreto 1377Transferencia transfronterizay consentimiento Ley 1581 Ley 1266/08 Datos pueden transferirse fuera del país solamente si el país de destino tiene regulaciones de privacidad similares a las colombianas
  45. 45. @carloschalico25/10/2015 45 Respetando requerimientos • Los consentimientos deben ser claros • Las cancelaciones respetadas • Las oposiciones obedecidas • Los listados de exclusión dan soporte a estos eventos • Alimentarlos, mantenerlos actualizados y usarlos es una responsabilidad de la organización manejada por la oficina de protección de datos personales • Política de conservación y relaciones con otras regulaciones
  46. 46. @carloschalico25/10/2015 46 Reaccionando ante emergencias • Continuidad de la operación, respuesta a incidentes = planes existentes, probados y vigentes • Casi el 50% de las regulaciones sobre privacidad en América Latina requieren que se comuniquen vulneraciones e impactos • La tendencia es que esto se generalice • Ashley Madison, Target, Home Depot, son algunos de los ejemplos recientes de este tipo de incidentes
  47. 47. @carloschalico25/10/2015 47 Reaccionando ante emergencias • Continuidad de la operación, respuesta a incidentes = planes existentes, probados y vigentes • Casi el 50% de las regulaciones sobre privacidad en América Latina requieren que se comuniquen vulneraciones e impactos • La tendencia es que esto se generalice • Ashley Madison, Target, Home Depot, son algunos de los ejemplos recientes de este tipo de incidentes Ley 1266/08 Procesadores de datos DEBEN implantar sistemas de SEGURIDAD con medidas técnicas Ley 1581 y Decreto 1377 Requieren Medidas Físicas, Técnicas y Administrativas para los mismos fines Protección Exactitud Prevenir Daño Pérdida Uso o Acceso No Autorizado Art. 17 Ley 1581 requiere ciertas notificaciones
  48. 48. @carloschalico25/10/2015 48 Dando continuidad al proceso • De nada servirán políticas, procedimientos, guías y actividades que no se mantengan vigentes • La revisión frecuente es relevante (métricas) • El papel de Auditoría Interna es crucial • Es recomendable definir también un programa de revisiones externas • Entender el ambiente, el sector, las necesidades de la gente y las tendencias generales, será de valor • La actualización no parará
  49. 49. @carloschalico25/10/2015 49 Gente, conciencia • El elemento más débil de la cadena es la gente, aunque también es el que le a sentido • La educación es importante • La cultura indispensable • Las comunidades vulnerables nuestro foco
  50. 50. @carloschalico25/10/2015 50 Gente, conciencia www.pantallasamigas.net
  51. 51. @carloschalico25/10/2015 51 Gente, conciencia www.microsoft.com/es-xl/responsabilidadsocial/navegaprotegidomexico/default.aspx
  52. 52. @carloschalico25/10/2015 52 Otros procedimientos • ¿Qué más debe hacerse • ¿Qué otros procesos son necesarios? • ¿Hay exigencias particulares en mis áreas geográficas de alcance? • ¿Hay exigencias específicas para mi sector? • ¿Varían los requerimientos en mis interacciones con gobierno e iniciativa privada? • ¿He actualizado mis avisos de privacidad?
  53. 53. @carloschalico25/10/2015 53 Certificaciones y herramientas • Personales • CISA • CISM • CISSP • CIPP • Corporativas • ISO27000 • BS10012 • NYMITY
  54. 54. Conclusiones
  55. 55. @carloschalico25/10/2015 55 Conclusiones • La privacidad es un asunto de competencia organizacional • Indisolublemente vinculado con otras áreas de control interno • Incrustar la definición en el diseño • Reconocer este como un proceso contínuo • Entender nuestra responsabilidad • ¿Ha muerto la privacidad?
  56. 56. @carloschalico25/10/2015 56 Bibliografía • Canadian Privacy: Data Protection Law and Policy for the Practitioner Kris Klein • Building a Privacy Program Kirk M. Herath • Privacy Law in Latin America & the Caribbean Bloomberg • Privacy and Big Data Francis daCosta • La Protección de Datos Personales en México José Luis Piñar Mañas Lina Ornelas • IBM and the Holocaust Edwin Black • ISACA - www.isaca.org • Privacy by Design - www.privacybydesign.ca • Operationalizing Privacy by Design - www.privacybydesign.ca/index.php/paper/ operationalizing-privacy-by-design-a-guide-to- implementing-strong-privacy-practices/ • DLA PIPER - Fuente: dlapiperdataprotection.com
  57. 57. @carloschalico25/10/2015 57 Preguntas Carlos Chalico LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDLA, ISO27000LA Director Eastern Region Ouest Business Solutions Inc. +1(647)6388062 carlos.chalico@ouestsolutions.com

×