Definiendo la Estrategia de Privacidad9o Congreso de Prevención del Fraude y Seguridad

Bogotá, Colombia Octubre de 2015

@carloschalico

Carlos Chalico

25/10/2015 2

18+ years

CISA CISSP CISMISO27001LA

CGEIT CRISC PbDA

@carloschalico

Había una vez…

25/10/2015 3

@carloschalico

Agenda

25/10/2015 4

• ¿Cómo llegamos hasta aquí? • Conceptos • ¿Cómo anda el mundo? • ¿Qué está buscando Latinoamérica? • Definiendo un modelo de cumplimiento • Conclusiones

¿Cómo llegamos hasta aquí?

@carloschalico

El Derecho a ser Dejado Solo

25/10/2015 6

• La búsqueda de la privacidad inició hace mucho tiempo

• “The Right to Privacy”, Diciembre 15 de 1890, Harvard Law Review, Harvard Law School

• Samuel Warren y Louis Brandeis • Uno de los ensayos más influyentes en la historia

de las leyes norteamericanas • Sigue siendo usado ampliamente como referencia

en diversos textos y foros

@carloschalico

La preocupación en Europa

25/10/2015 7

• Los eventos acontecidos en Europa entre 1933 y 1945 dejaron una marca importante en lo referente a protección de datos personales

Fuente:http://ancienthebrewlearningcenter.blogspot.ca/2015/01/ibm-nazi-holocaust-and-veterans.html

@carloschalico

¡Guerra!

25/10/2015 8

• La comunidad japonesa en los Estados Unidos es reinstalada después del ataque a Pearl Harbor en 1943

Fuentes: http://www.digitalhistory.uh.edu/active_learning/explorations/japanese_internment/internment_menu.cfm http://www.archives.gov/education/lessons/japanese-relocation/ http://www.bookmice.net/darkchilde/japan/camp.html https://en.wikipedia.org/wiki/Anti-Japanese_sentiment_in_the_United_States

@carloschalico

Comunidades Marginadas

25/10/2015 9

Fuente: http://latinocalifornia.com/home/2012/02/denuncian-abusos-de-autoridades-a-indigenas-panamenos/ http://ayotzinapasomostodos.com/medio/ayotzinapa-las-huellas-de-los-militares/

@carloschalico

El Gran Hermano

25/10/2015 10

Fuentes: http://www.i4u.com/2015/07/92967/hacking-team-hack-exposes-400gb-data http://www.marxist.com/the-case-of-chelsea-manning.htm http://www.wired.com/2014/08/edward-snowden/ http://waca.net.au/defending-julian-assange-is-defending-democracy/

@carloschalico

Internet evoluciona

25/10/2015 11

Internet de las cosas

Internet de las Cosas

25/10/2015 12

Cosa

Identidad Comunicación

Sentidos Control

Nativos

Habilitados @carloschalico

@carloschalico

¿Cómo ha sido posible?

25/10/2015 13

• Evolución de la tecnología • Reducción de costos • Mejora de estructura del protocolo IP

- IPv4 (32 bits) Vs. IPv6 (128 bits)

Fuentes: http://www.analysysmason.com/About-Us/News/Insight/Insight-big-data-May2012/ Courtesy of IBM Archives, 2012 http://www.businessinsider.com/picture-of-ibm-hard-drive-on-airplane-2014-1

@carloschalico

Carnaval de Datos

25/10/2015 14

Para 2013 había más dispositivos conectados a internet que personas sobre la Tierra

Facebook tiene más de 1 billón de usuarios

NYSE produce 1 Tb/día de datos transacciones

Cada 2 días creamos tantos datos como los que se crearon en toda la historia de la humanidad hasta 2003

Los datos almacenados en el mundo se duplican cada 18 meses

10

20

30

40

50

Billones

de

Ent

idad

es

2010 2015 2020

6.8 7.2 7.6

Punto de Inflexión

12.5

25

50 Billones de “cosas” conectadas

Adopción 5 veces más acelerada que la de Electricidad y Telefonía

@carloschalico

Internet de las Cosas

25/10/2015 15

@carloschalico25/10/2015 16

Volumen

Velocidad

Variedad

Big Data

@carloschalico25/10/2015 17

La Privacidad ¿Ha muerto?

Fuente: http://www.popsci.com/article/diy/how-repurpose-your-old-radio-listen-meteor-showers

@carloschalico

Regulación creciente

25/10/2015 18Fuente: http://dlapiperdataprotection.com

Conceptos

@carloschalico

Intimo, público, privado

25/10/2015 20

• Ernesto Garzón Valdés escribe un interesante texto al respecto - Íntimo. “Ámbito de los pensamientos propios, de la

formación de decisiones, de las dudas, de lo reprimido, de lo aún no expresado”

- Público. “Está caracterizado por la libre accesibilidad de los comportamientos y decisiones de las personas en sociedad”

- Privado. “Ámbito reservado a un tipo de situaciones o relaciones interpersonales en donde la selección de los participantes depende de la libre decisión de cada individuo”

Fuente: http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf

@carloschalico

Privacidad

25/10/2015 21

“La privacidad es el ámbito donde pueden imperar exclusivamente los

deseos y preferencias individuales. Es condición necesaria del ejercicio de la

libertad individual” Ernesto Garzón Valdés

Fuente: http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf

@carloschalico

Datos Personales

25/10/2015 22

Relativos al individuo, que lo identifican o lo hacen identificable. Le dan identidad, lo describen, precisan su origen, edad, lugar de residencia, trayectoria académica, laboral o profesional. Además, también describen aspectos más sensibles como puede ser su forma de pensar, su estado de salud, sus características físicas, ideología o vida sexual, entre otros

Fuente: Protección de Datos Personales: Compendio de lecturas y legislación, México

@carloschalico25/10/2015 23

Los Datos Personales ¿Deben Protegerse?

@carloschalico

Principios - Resolución de Madrid

25/10/2015 24

• Lealtad y legalidad • Finalidad • Proporcionalidad • Calidad • Transparencia • Responsabilidad • Legitimación

¿Cómo anda el mundo?

@carloschalico

La regulación en el mundo

25/10/2015 26Fuente: Ernst & Young México

@carloschalico25/10/2015 27

La regulación en el mundo

Artículo 15 Constitución Colombiana

Ley 1266/08 Ley 1581 Decreto 1377

@carloschalico25/10/2015 28

La regulación en el mundo

@carloschalico25/10/2015 29

La regulación en el mundo

¿Qué está buscando Latinoamérica?

@carloschalico

Panorama Latinoamericano

25/10/2015 31

•Derechos humanos •Homologación y madurez regulatoria •Credibilidad institucional •Control migratorio •Manejo de datos •Homologación de criterios público y privado

•Educación24 de marzo de 2015

Consejo de Derechos Humanos Resolución A/HRC/28/L.27 Individuo Responsable de:

Monitorear, investigar y reportar violaciones a la privacidad en el mundo

Definiendo un modelo de cumplimiento

@carloschalico

Conociendo el Estado Actual

25/10/2015 33

• Patrocinio • Políticas • Procesos • Inventario • Estrategia de control

interno • Seguridad de la

Información

• ¿Se trabaja desde el diseño?

• Alcances geográficos • Ambiente regulatorio • Estructura organizacional • Titular de la función • Modelo de negocio • Valores

Ley 1581

Registro Nacional de Bases de Datos SIC Decreto 886

@carloschalico25/10/2015 34

• Hay dos elementos maduros y valiosos, definidos por Michael Porter que pueden considerarse a este respecto: - El análisis de las cinco fuerzas - El análisis de La cadena de valor

Conociendo el Estado Actual

@carloschalico

Valores

25/10/2015 35

• ¿Por qué debo actuar con ética? • Es importante reconocer la integración

de lo tecnológico y lo filosófico • Debemos reconocer que somos

organizaciones tecnosociales• Los datos personales

deberían protegerse porque eso es lo correcto, no porque se nos obligue

Fuente: http://www.ioew.de/uploads/tx_ukioewdb/future-IOEW_CSR-Study_Summary.pdf

@carloschalico

La Política General

25/10/2015 36

• La organización fija su posición frente al tema • Muestra su compromiso de cumplimiento • Crea vínculos con otras normativas • Define al responsable de la función • Establece su punto de origen (diseño) • Confirma su relevancia • Cumple expectativas • Lo hace de forma:

- Simple - Clara

No hay exigencia en creación de Oficial de Privacidad Procesadores y Controladores de datos obligados a ofrecer seguridad y procesos internos

@carloschalico

Interactuar con los interesados

25/10/2015 37

• El consentimiento es un gran actor en las regulaciones de privacidad y se hace presente en la comunidad latinoamericana, su obtención es crítica

• Dependiendo de como se interactúe con los titulares, el consentimiento debe conseguirse de la forma correcta

• El vínculo con el aviso de privacidad es indiscutible • El uso de herramientas electrónicas puede ser de

gran valor

@carloschalico25/10/2015 38

Interactuar con los interesados• Facilitar el ejercicio de derechos ARCO (Habeas

Data) • La comunicación de solicitudes de titulares debe

facilitarse • La infraestructura de sucursales o puntos de acceso

electrónicos deben facilitar esta interacción específica

• Los canales de interacción con clientes deben soportar este ejercicio también, sin perder de vista la necesidad de autenticación

@carloschalico25/10/2015 39

Manejando el proceso interno• Las respuestas deben generarse en el tiempo que se

exige • De la forma en que se espera • La especificación del derecho que quiera ejercerse

puede influir en la definición de las acciones a ejecutar • El uso de un inventario de datos personales es altamente

recomendable • La afectación a plazos de conservación o al

cumplimiento de otras regulaciones es relevante • Listados de exclusión

El mercadeo directo

está regulado por la Ley 527/99

consentimiento opt/in

@carloschalico25/10/2015 40

Interactuar con las autoridades• No solamente los titulares pueden hacer

requerimientos • Hay que ser especialmente cuidadosos con los

requerimientos de las autoridades y actuar con agilidad • Las sanciones por incumplimiento pueden ser

significativas • Ya se han aplicado varias • México parece llevar la cabecera en este ámbito y el

INAI, aunque ha sido conciliador, también ha mostrado que puede ser exigente

@carloschalico25/10/2015 41

Interactuar con las autoridades• No solamente los titulares pueden hacer

requerimientos • Hay que ser especialmente cuidadosos con los

requerimientos de las autoridades y actuar con agilidad • Las sanciones por incumplimiento pueden ser

significativas • Ya se han aplicado varias • México parece llevar la cabecera en este ámbito y el

INAI, aunque ha sido conciliador, también ha mostrado que puede ser exigente

SIC SFC

Multas por incumplimiento a leyes 1266/08 y 1581 pueden alcanzar: 2,000 Salarios Mínimos Mensuales

Equivalentes a 670,000 USD Ley 1581 aplica a individuos

Ley 1273 tipifica los delitos relacionados con protección de datos e información

y puede sancionar con cárcel de 48 a 96 meses

Los titulares podrían iniciar “Acción de Tutela”

@carloschalico25/10/2015 42

La normatividad interna• ¿Qué más existe en la

organización? - SOX - Basilea - Otras

• Los marcos referenciales - COBIT - ISO27000 - ISO31000 - ISO38500 - ISO9000 - ITIL - COSO - NYMITY

@carloschalico25/10/2015 43

Manejando datos personales• ¿Cómo proteger lo que no se conoce o clasifica? • Un modelo de gobierno de datos será de mucha

utilidad • La oficina de protección de datos custodiará el

inventario • Conocimiento de procesos • La preparación es responsabilidad de todos • El mantenimiento también

@carloschalico25/10/2015 44

Relaciones con terceros• Históricamente, este es un punto débil en las

organizaciones • Ejercicio de transferencia de riesgos • La oficina de protección de datos no podrá identificar

terceros sin ayuda de los dueños de proceso • Las protecciones contractuales son relevantes • Certificaciones o revisiones independientes: ISO, ISAE • Involucramiento de auditoría interna • ISACA y CSA, fuentes valiosas Ley 1266/08 Decreto 1377 Transferencia transfronteriza y consentimiento

Ley 1581 Ley 1266/08

Datos pueden transferirse fuera del país

solamente si el país de destino

tiene regulaciones de privacidad

similares a las colombianas

@carloschalico25/10/2015 45

Respetando requerimientos• Los consentimientos deben ser claros • Las cancelaciones respetadas • Las oposiciones obedecidas • Los listados de exclusión dan soporte a estos eventos • Alimentarlos, mantenerlos actualizados y usarlos es

una responsabilidad de la organización manejada por la oficina de protección de datos personales

• Política de conservación y relaciones con otras regulaciones

@carloschalico25/10/2015 46

Reaccionando ante emergencias• Continuidad de la operación, respuesta a

incidentes = planes existentes, probados y vigentes • Casi el 50% de las regulaciones sobre privacidad en

América Latina requieren que se comuniquen vulneraciones e impactos

• La tendencia es que esto se generalice • Ashley Madison, Target, Home Depot, son algunos

de los ejemplos recientes de este tipo de incidentes

@carloschalico25/10/2015 47

Reaccionando ante emergencias• Continuidad de la operación, respuesta a

incidentes = planes existentes, probados y vigentes • Casi el 50% de las regulaciones sobre privacidad en

América Latina requieren que se comuniquen vulneraciones e impactos

• La tendencia es que esto se generalice • Ashley Madison, Target, Home Depot, son algunos

de los ejemplos recientes de este tipo de incidentes

Ley 1266/08 Procesadores de datos DEBEN

implantar sistemas de

SEGURIDAD con medidas técnicas

Ley 1581 y Decreto 1377 Requieren Medidas Físicas,

Técnicas y Administrativas para los mismos fines

Protección

Exactitud

Prevenir

Daño

Pérdida

Uso o Acceso No Autorizado

Art. 17 Ley 1581

requiere ciertas notificaciones

@carloschalico25/10/2015 48

Dando continuidad al proceso• De nada servirán políticas, procedimientos, guías y

actividades que no se mantengan vigentes • La revisión frecuente es relevante (métricas) • El papel de Auditoría Interna es crucial • Es recomendable definir también un programa de

revisiones externas • Entender el ambiente, el sector, las necesidades de

la gente y las tendencias generales, será de valor • La actualización no parará

@carloschalico25/10/2015 49

Gente, conciencia• El elemento más débil de

la cadena es la gente, aunque también es el que le a sentido

• La educación es importante

• La cultura indispensable • Las comunidades

vulnerables nuestro foco

@carloschalico25/10/2015 50

Gente, conciencia

www.pantallasamigas.net

@carloschalico25/10/2015 51

Gente, conciencia

www.microsoft.com/es-xl/responsabilidadsocial/navegaprotegidomexico/default.aspx

@carloschalico25/10/2015 52

Otros procedimientos• ¿Qué más debe hacerse • ¿Qué otros procesos son necesarios? • ¿Hay exigencias particulares en mis áreas

geográficas de alcance? • ¿Hay exigencias específicas para mi sector? • ¿Varían los requerimientos en mis interacciones

con gobierno e iniciativa privada? • ¿He actualizado mis avisos de privacidad?

@carloschalico25/10/2015 53

Certificaciones y herramientas

• Personales • CISA • CISM • CISSP • CIPP

• Corporativas • ISO27000 • BS10012 • NYMITY

Conclusiones

@carloschalico25/10/2015 55

Conclusiones• La privacidad es un asunto de

competencia organizacional • Indisolublemente vinculado con

otras áreas de control interno • Incrustar la definición en el diseño • Reconocer este como un proceso

contínuo • Entender nuestra responsabilidad • ¿Ha muerto la privacidad?

@carloschalico25/10/2015 56

Bibliografía• Canadian Privacy: Data Protection

Law and Policy for the Practitioner Kris Klein • Building a Privacy Program Kirk M. Herath • Privacy Law in Latin America &

the Caribbean Bloomberg • Privacy and Big Data Francis daCosta • La Protección de Datos Personales

en México José Luis Piñar Mañas Lina Ornelas

• IBM and the Holocaust Edwin Black • ISACA - www.isaca.org • Privacy by Design - www.privacybydesign.ca

• Operationalizing Privacy by Design - www.privacybydesign.ca/index.php/paper/operationalizing-privacy-by-design-a-guide-to-implementing-strong-privacy-practices/

• DLA PIPER - Fuente: dlapiperdataprotection.com

@carloschalico25/10/2015 57

Preguntas

Carlos Chalico LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDLA, ISO27000LA

Director Eastern Region Ouest Business Solutions Inc.

+1(647)6388062 carlos.chalico@ouestsolutions.com