triton detiene más amenazas. podemos demostrarlo.

Anuncio
Tiro 1
TRITON DETIENE MÁS AMENAZAS.
PODEMOS DEMOSTRARLO.
Pagina 8
LEY 1581 Y LA PROTECCION DE DATOS
PERSONALES EN COLOMBIA
Pagina 1
retiro 1
LEY 1581 Y LA PROTECCIÓN DE DATOS PERSONALES EN COLOMBIA
LEY 1581 Y LA PROTECCIÓN DE DATOS PERSONALES EN COLOMBIA
Resumen—La privacidad de los datos se ha convertido en un reto empresarial, técnico y jurídico, es por
esto que el estado Colombiano ha creado la ley estatutaria 1581 del 17 de octubre de 2012 para la protección
de los datos personales. Este artículo propone una estrategia para que las organizaciones puedan cumplir
CONCLUSIONES
»
obligatorio cumplimiento para todas las empresas de Colombia
la protección de los datos sensibles sin importar su tamaño. Para ello introduce antecedentes globales que
muestran fuentes independientes que detallan la mayor causa de pérdida, muestra la pérdida por países y
los incidentes por mercados.
Finalmente demuestra que se deben seguir metodologías globales y clasificar la información para poderla
La Ley Estatutaria 1581 del 17 de octubre de 2012 para la “Protección de datos personales”, es de
»
»
A la ley 1581 se le puede llamar ley de “Habeas Data” versión II
El sector financiero promulgó la ley de “Habeas Data” versión I, entonces la ley 1581 o Habeas
Data versión II es la extensión de Habeas Data I que aplica para el resto de los sectores de la
volver insumo de herramientas tecnológicas que permitan gestionar y controlar la información sensible.
economía más allá del sector financiero
»
INTRODUCIÓN
El desconocimiento de la ley por parte de los ingenieros responsables de la información no
los exonera de su cumplimiento y mucho menos del respeto a los derechos fundamentales de
las personas
Hace algunos años la preocupación de la seguridad informática se centraba en el perímetro, pero hoy el
comercio electrónico está cambiando nuestra forma de pensar. Esto se debe a que el perímetro ahora está
»
distribuido geográficamente; ahora es global y se habla de la nube como tendencia informática de muchos
gobiernos y empresas particulares. En general las organizaciones empiezan a tener información sensible en su
portal web y el servicio de correo electrónico en la nube, es decir fuera de su perímetro.
Se debe clasificar la información para saber qué datos son personales y dentro de estos cuáles
son sensibles
»
Hay que concentrarse en los datos sensibles como resultado de la clasificación de la información
»
Hay que cifrar para proteger la confidencialidad de las huellas dactilares que hoy almacenamos
cuando se accede a edificios o instalaciones físicas pues la huella se asocia al nombre de la
persona generando un perfil de dato privado y confidencial
Se entiende como ‘datos sensibles’ aquellos que revelen el origen racial o étnico, la orientación política,
las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos
»
humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de
partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
Específicamente, en esos sistemas de información, los datos personales son datos sensibles o confidenciales
»
»
de 2012 (Habeas Data II) la última ley que en Colombia obliga a todas las organizaciones a proteger los datos
sensibles de las personas so pena de ser multados por el estado si esta no se cumpliese. El 23 de diciembre
Se debe crear un procedimiento de reclamos para las personas que tengan quejas y/o reclamos
sobre el tratamiento que se hace de sus datos personales
y es obligación del estado protegerlos por la constitución. Desde 1991 la Constitución de Colombia prohíbe la
tenencia de datos personales sin la autorización expresa de su titular y es precisamente la ley 1581 de octubre
Hay que cifrar para proteger la confidencialidad de los datos relativos a la salud de la personas,
su inclinación política, su raza, así como a cualquier dato sensible estipulado por la ley
Se debe crear un procedimiento de suministro de información de las bases de datos a la SIC para
informarles las novedades relativas a los datos sensibles sobre los que se hace tratamiento
»
La ley de protección de datos personales es una tendencia mundial
de la nueva ley. Esta autoridad se llamó “Delegatura para la Protección de Datos Personales (DPDP) de la
»
El derecho sigue a los hechos
Superintendencia de Industria y Comercio (SIC)”.
»
de 2011 se creó la autoridad de control de protección de datos personales en Colombia como preámbulo
Hay herramientas como la solución Websense Triton Enterprise que le permite a las
organizaciones cumplir la ley 1581 de octubre de 2012
Dentro de la DPDP existe la Dirección de Investigación de Protección de Datos Personales la cual tiene a su
cargo las siguientes funciones: vigilancia de los operadores, fuentes y usuarios de información relacionada
REFERENCIAS
con el cumplimiento e incumplimiento de obligaciones dinerarias; supervisión del cumplimiento de las
[1] http: //datalossdb.org/statistics, revisado el 10 de abril de 2013
instrucciones que emita la SIC; investigaciones y sanciones, si es procedente; auditorías para verificar el
cumplimiento de las normas sobre protección de datos personales y administración del Registro Nacional
[2] http: // www. alcaldiabogota. gov. co/ sisjur/ normas/ Norma1.jsp? i=49981, revisado el 22 de abril de 2013
[3] http://www.rae.es/rae.html, revisado el 22 de abril de 2013
Público de Bases de Datos.
[4] Presentación “Nueva ley de protección de datos: De las reflexiones jurídicas a la implementación práctica”,
Antes de aprobarse la ley 1581 o Habeas Data II, es interesante saber que hasta Octubre de 2012, según la
ley de Habeas Data I, la SIC (Superintendencia de Industria y Comercio) recibió 5963 quejas de los usuarios
VIII Jornadas GECTI de actualización, JEIMY J. CANO M., Ph.D, CFE, [email protected], Bogotá,
noviembre 17 de 2011
[5] Whitepaper “Protección de datos en Colombia – Ley 1581 de 2012”, Rafael Gamboa, abril de 2013,
del sector Financiero/Bancario, abrió 1140 investigaciones e impuso 338 multas por un valor total de
$4.308.666.050 pesos a las organizaciones del sector financiero. Entonces, basados en estos hechos, se
espera que en los años 2013 y 2014 se tenga por lo menos el doble de sanciones y es por ello que hay que
Websense, Bogotá, Colombia
protegerse de inmediato. La buena noticia es que ya existen metodologías, procedimientos y herramientas que
AUTORES
se expondrán en este artículo para hacer más fácil esta tarea de gestión y control.
Armando Enrique Carvajal Rodriguez, Gerente Arquitecto de Soluciones & Rafael H. Gamboa Bernate, Abogado.
Obtenga más información en www.websense.com/latam
TRITON DETIENE MÁS AMENAZAS. PODEMOS DEMOSTRARLO.
Página 2
Pagina 2
© 2013 Websense, Inc. Todos los derechos reservados. Websense y TRITON logos son marcas registradas de Websense, Inc. en los Estados Unidos y en varios países. Todo otros registros son propiedad de sus respectivos dueños. June-6-2013 ESLA.
Página 7
Pagina 7
tiro 2
LEY 1581 Y LA PROTECCIÓN DE DATOS PERSONALES EN COLOMBIA
LEY 1581 Y LA PROTECCIÓN DE DATOS PERSONALES EN COLOMBIA
LEY 1581 Y LA PROTECCIÓN DE DATOS PERSONALES EN COLOMBIA
WEBSENSE TRITON ENTERPRISE Y LA PROTECCIÓN DE DATOS SENSIBLES
PARA CUALQUIER EMPRESA
ANTECEDENTES
WEBSENSE
TRITON ENTERPRISE Y LA PROTECCIÓN DE DATOS SENSIBLES
Existe evidencia
escrita y pública
en portales web de cómo están ocurriendo los incidentes de robo de datos
PARA
CUALQUIER
EMPRESA
Websense Triton Enterprise es una solución de seguridad de la información que permite proteger los datos
sensibles del negocio. Es una solución modular de tipo DLP (Data loss/leak prevention) que cubre los distintos
canales de comunicación en las organizaciones:
sensibles, por ejemplo, si miramos la figura 1, se puede concluir que en el el sector negocios y gobierno está la
Websense Triton Enterprise es una solución de seguridad de la información que permite proteger los datos
mayor de perdida de datos sensibles, acumulando un 70% de la muestra (negocios 52% y gobierno 18%), el sector
sensibles del negocio. Es una solución modular de tipo DLP (Data loss/leak prevention) que cubre los distintos
educativo es la representación más pequeña con un 14% del total de incidentes [1].
canales de comunicación en las organizaciones:
DQWLPDOZDUH
GH85/
&ODVLILFDFLyQ
GHGDWRVHQ
WLHPSRUHDO
Figura 1: Incidentes
globales por
tipo de negocios
0RWRUHV
&ODVLILFDFLyQ
0RWRUHV
DQWLPDOZDUH
18%
Government
52%
Business
$QiOLVLVGH
UHSXWDFLyQ
&ODVLILFDFLyQ
GHGDWRVHQ
WLHPSRUHDO
&ODVLILFDFLyQ
GH85/
$QiOLVLVGH
UHSXWDFLyQ
&ODVLILFDFLyQ
GHOFRQWHQLGR
HQWLHPSRUHDO
16%
Medical
$QWLVSDP
3KLVKLQJ
GLULJLGR
&ODVLILFDFLyQ
GHOFRQWHQLGR
HQWLHPSRUHDO
$QWLVSDP
3KLVKLQJ
GLULJLGR
0%
&ODVLILFDFLyQ
Unknown
GHODVHJXULGDG
HQWLHPSRUHDO
14%
Education
&ODVLILFDFLyQ
GHODVHJXULGDG
HQWLHPSRUHDO
INCIDENTS BY BUSINESS TYPE - ALL TIME
Ahora en la figura 2 se revisan las cifras del comportamiento de incidentes por año desde 2004 hasta la fecha:
Web Security Gateway de Websense utiliza los análisis
de ACE para detectar las amenazas en tiempo real
Web Security Gateway de Websense utiliza los análisis
DATALOSSDB.ORG INCIDENTS OVER TIME
de ACE para detectar las amenazas en tiempo real
1586
Data Security: Asegura los canales de comunicación (Web, Correo, Impresión, etc.), para los Datos en
Movimiento, Datos en Uso y Datos en Reposo. Esta solución ayuda a proteger los datos para las organ-
Data Security: Asegura
1500 los canales de comunicación (Web, Correo, Impresión, etc.), para los Datos en
Movimiento, Datos en Uso y Datos en Reposo. Esta solución ayuda a proteger los datos para las organ-
izaciones sin fronteras que hacen uso de herramientas modernas como Teléfonos Inteligentes, Tabletas y
izaciones sin fronteras que hacen uso de herramientas modernas como Teléfonos Inteligentes, Tabletas y
Almacenamiento en la Nube.
Almacenamiento en la Nube.
1000
774
Email Security: Protege el canal más utilizado dentro de las organizaciones: el correo electrónico corporativo.
1090
1048
644
727
828
Se integra de manera transparente con Data Security para las funcionalidades de la información en la
Email Security: Protege el canal más utilizado dentro de las organizaciones: el correo electrónico corporativo.
500 transparente con Data Security para las funcionalidades de la información en la
Se integra de manera
transmisión de datos por este medio, cumpliendo funciones de protección de la información e incorporando
transmisión de datos por este medio, cumpliendo funciones de protección de la información e incorporando
a las reglas basadas en funciones, origen, destino, etc., aplicando cifrado, cuarentenas y notificaciones, de
a las reglas basadas en funciones, origen, destino, etc., aplicando cifrado, cuarentenas y notificaciones, de
43
0
acuerdo a las necesidades
de la organización.
acuerdo a las necesidades de la organización.
370
157
Figura 2: Incidentes globales por año
Web Security: Hoy en día, el uso de Internet como herramienta de trabajo en las organizaciones y los grandes
los Teléfonos Inteligentes, las Tabletas y el Almacenamiento de Datos en la Nube, son un riesgo en el uso de los
Web Security: Hoy en día, el uso de Internet como herramienta de trabajo en las organizaciones y los grandes
Se nota claramente que a nivel mundial el año 2012 fue el de mayor siniestralidad respecto de la perdida de datos
riesgos que esta apertura representa, hacen imperativo el contar con herramientas de tipo “Enterprise” que
sensibles con un número singular de 1586 incidentes reportados.En la figura 3 se analizan los incidentes por
permitan el uso adecuado de los medios disponibles para habilitar el negocio. Las Redes Sociales o Web 2.0,
vector de ataque:
los Teléfonos Inteligentes, las Tabletas y el Almacenamiento de Datos en la Nube, son un riesgo en el uso de los
datos, así como en el acceso a Internet. Websense Web Security permite controlar dicho acceso sin perder el
datos, así como en el acceso a Internet. Websense Web Security permite controlar dicho acceso sin perder el
riesgos que esta apertura representa, hacen imperativo el contar con herramientas de tipo “Enterprise” que
permitan el uso adecuado de los medios disponibles para habilitar el negocio. Las Redes Sociales o Web 2.0,
INCIDENTS BY VECTOR - ALL TIME
20% las nuevas herramientas10%
control, minimizando el riesgo y habilitando
del negocio.
control, minimizando el riesgo y habilitando las nuevas herramientas del negocio.
Inside-Malicious
7%
Unknown
Websense Triton Enterprise cubre de manera integral el Ciclo de Vida de la Información. Los riesgos actuales
5%para las empresas que no
a la seguridad de TI son de alto impacto, dinámicos y costosos, especialmente
Inside
Inside-Accidental
Websense Triton Enterprise cubre de manera integral el Ciclo de Vida de la Información. Los riesgos actuales
a la seguridad de TI son de alto impacto, dinámicos y costosos, especialmente para las empresas que no
tienen implementada la seguridad correcta. Los antivirus y antispam son productos de punto final, no son
tienen implementada la seguridad correcta. Los antivirus y antispam son productos de punto final, no son
soluciones completas para la seguridad de TI. Su empresa necesita la mejor seguridad para contener las
soluciones completas para la seguridad de TI. Su empresa necesita la mejor seguridad para contener las
amenazas modernas al menor costo total de propiedad, y eso es exactamente lo que brinda Websense.
amenazas modernas al menor costo total de propiedad, y eso es exactamente lo que brinda Websense.
Websense® proporciona las mejores soluciones de seguridad unificada de contenido web, datos y email líderes
Websense® proporciona las mejores57%
soluciones de seguridad unificada de contenido web, datos y email líderes
de la industria que aprovechen de manera segura las ventajas de las nuevas herramientas de comunicación,
de la industria que aprovechen de manera segura las ventajas de las nuevas herramientas de comunicación,
colaboración y creación de negocios en la Web 2.0 sin perder la confidencialidad de sus datos.
colaboración y creación de negocios en la Web 2.0 sin perder la confidencialidad de sus datos.
Página 6
Pagina 6
Outside
Figura 3: Incidentes globales por vector
Página 36
Página
Pagina 3
retiro 2
LEY 1581 Y LA PROTECCIÓN DE DATOS PERSONALES EN COLOMBIA
LEY 1581 Y LA PROTECCIÓN DE DATOS PERSONALES EN COLOMBIA
La figura 3 muestra que el dato más relevante es la siniestralidad debido al robo externo de datos sensibles
con un 57% de la muestra, esto es grave pues el dolo es el origen del robo externo. Le siguen los incidentes
o siniestros accidentales (robo no voluntario) con un 20% de la muestra, lo interesante de esta cifra es que
no está acompañada del dolo, pero es preocupante el acumulado de crecimiento del robo interno o mal
intencionado mostrando un acumulado del 15% creciente (Inside Malicious 10% + inside 5%).
Se recomienda en especial al sector gobierno y defensa clasificar la información según lo demanda la directiva
de gobierno en línea para saber qué es secreto, público, uso interno y en especial qué es un dato personal.
Si esta información es conocida por la organización entonces tratarla, gestionarla y controlarla será muy fácil:
LEY 1581 DE OCTUBRE DE 2012 Y SUS MULTAS
La ley exige conservar la información bajo las condiciones de seguridad que sean necesarias para impedir
su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Exige además informar a la
autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan
riesgos en la administración de la información de los titulares. Esta ley consagra sanciones que puede
imponer la SIC a los Responsables del Tratamiento y Encargados del Tratamiento como [2]:
»
Multas de carácter personal e institucional, hasta por el equivalente de 2000 salarios
mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas
Figura 5: Clasificación de la información: la base fundamental
para un proyecto de prevención de pérdida de datos
podrán ser sucesivas mientras subsista el incumplimiento que las originó.
»
»
Suspensión de las actividades relacionadas con el tratamiento hasta por un término de 6 meses.
Cierre temporal de las operaciones relacionadas con el tratamiento, una vez transcurrido el
En concreto se deberá llevar a cabo un ciclo de vida de la información como el propuesto por el Dr. Rafael
término de suspensión sin que se hubieren adoptado los correctivos ordenados por la SIC.
»
Gamboa en su artículo “Protección de datos en Colombia – ley 1581 de 2012” de acuerdo a las siguientes fases [5]:
Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.
COMPONENTES CLAVES EN UN PROGRAMA INTERNACIONAL DE PRIVACIDAD
DE DATOS
El desarrollo de la Sociedad de la Información y la expansión de la Informática y de las Telecomunicaciones
»
Identificar los activos de información que conforman la cadena de valor de su negocio
»
Clasificar perfiles de cada uno de los miembros internos y externos de la organización
»
plantean nuevas amenazas para la privacidad que han de ser afrontadas desde diversos puntos de vista: social,
cultural, legal y tecnológico. La siguiente metodología es recomendada para iniciar un programa de protección
»
Redactar políticas de seguridad de la información con respecto a las diversas fases de
tratamiento de datos personales
de datos según Jeimy Cano, CISO de Ecopetrol, en su presentación “Nueva ley de protección de datos: De las
reflexiones jurídicas a la implementación práctica”, [4].
Determinar cómo interactúa con la información a la que tiene acceso (incluya la categoría de
datos personales)
»
Identificar los sistemas de información de su organización que incluyan datos personales en
su contenido
»
Categorizar los datos y en función de ello: redefinir perfiles del recurso humano y los
correspondientes permisos del tratamiento
»
Realizar la implementación de un sistema de información que le permita detectar cuándo el
recurso humano esté realizando un tratamiento de datos personales no permitido: esto es desde
una modificación, eliminación, transferencia o incluso, la extracción de los datos de los sistemas
de información y sus correspondientes repositorios
»
Documentar perfiles, permisos, incidencias y solución de incidencias
»
Websense Triton Enterprise y la protección de datos sensibles para cualquier empresa
Figura 4: Componentes claves para un programa de privacidad de los datos
Página 4
Pagina 4
Página 5
Pagina 5
Descargar