Friday, November 16, 2012
Más respuestas a la protección de datos
Les comparto un a columna que escribí en Abril de este año sobre protección de datos personales. En relación a las acciones para la seguridad de los datos personales
Artículo 61. A fin de establecer y mantener la seguridad de los datos personales, el responsable deberá considerar las siguientes acciones:
I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
II. Determinar las funciones y obligaciones de las personas que traten datos personales;
III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;
IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;
V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;
VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;
VII. Llevar a cabo revisiones o auditorías;
VIII. Capacitar al personal que efectúe el tratamiento, y
IX. Realizar un registro de los medios de almacenamiento de los datos personales.
El responsable deberá contar con una relación de las medidas de seguridad derivadas de las fracciones anteriores.
Monday, October 1, 2012
Monday, August 27, 2012
Monday, August 20, 2012
La privacidad, de la innovación a un tema de masas
Llega un punto en muchas situaciones
donde hay que reconocer que dejamos de hablar de un tema innovador o solo para
ingenuos y vemos que aplica para todos. Es la historia del adolecente que no
solo se roba la bolsa, se ha robado la cartera y las llaves del coche y ha
tomado la carretera para Acapulco… perdimos el control y esta afectándonos a
todos.
Y tal es el caso cuando se trata de
la vigilancia y la privacidad. Por ejemplo, The New York Times
informa que los legisladores alemanes han vuelto a abrir su investigación sobre
Facebook.
El problema de Alemania con Das Facebook
comenzó a principios de 2012, cuando el comisionado de protección de datos de
la Oficina de Hamburgo de Protección de Datos y Libertad de Información,
Johannes Caspar, denunció que la empresa estaba ilegalmente en la construcción
de una base de datos de fotos de los miembros de Facebook sin su consentimiento
y esto provoco una investigación. La investigación fue suspendida en junio, en
la creencia de que Facebook podría reparar sus malos caminos y cambiar sus
políticas.
Por desgracia, la investigación ha
sido abierta de nuevo debido a que parece que Facebook sich fügte (se paso de la raya), y en relación con la
reapertura de la investigación el comisario señaló que la cuestión del
reconocimiento facial tiene "graves
consecuencias para los datos personales."
En el corazón del problema de
Alemania es la política de Facebook que los usuarios son automáticamente opt-in por el proceso de archivo de
imágenes y los usuarios tienen que hacer opt-out
explícitamente a evitar ser envasado y etiquetado. Los alemanes piensan que
esto es nicht gut (no está bien) y quiere Schlag auf den Kopf ihre Köpfe Facebook (Darle un buen zape a Facebook).
Esto, por supuesto, sería un golpe
de menor importancia a Facebook en comparación con su, digamos, pésima
actuación en el mercado de capitales. Sus acciones han bajado un poco más del
50% $19.09 versus $38 dólares por acción que fue su precio de salida el 17 de
mayo .Eso es una caída que, de acuerdo con Bloomberg, ha acabado con más de $
40 millones de valor de mercado de la empresa desde su salida a bolsa y por eso
se ha ganado la distinción de ser la peor empresa en desempeño de todas las OPI
grandes en la historia. Junto a ese desastre, los problemas de los alemanes con
el programa de la compañía de reconocimiento facial debe parecer un Heulsuse (bebe
llorón).
Tengo que hacer una digresión por un
momento y preguntar cómo alguien pudo haber sido engañado por la salida a bolsa
de Facebook? ¿En serio? Una compañía sin fuente de ingresos importante,
sostenible o claramente definida y sin grandes planes para el crecimiento
futuro de los ingresos? Si usted fue uno de los primeros idio.., perdón, se
dice inversionistas que compraron acciones de Facebook, tengo vochito sin motor
1960 que estoy buscando vender ... esta hermoso
...
De todos modos, a pesar de que los
alemanes tienen una buena plataforma ética para sus problemas con Facebook creo
que es spät zu (demasiado tarde), porque en la
gran escala todo está Wasser
Unter der Brücke (el
agua bajo el puente). ¿Por qué? Debido a que el gobierno de Estados Unidos mediante
la Agencia de Seguridad Nacional y la Agencia Central de Inteligencia y muchas
otras agencias han estado haciendo eso y mucho más en los últimos años.
En Estados Unidos, el senador Al Franken (D-Minn.) presidente del subcomité
de privacidad del Comité Judicial del Senado, ha hecho un llamamiento para la
regulación de reconocimiento facial y "pidió al FBI y Facebook para
cambiar el modo en que utilizan la tecnología de reconocimiento facial. " Franken ha dicho: "Creo que tenemos un
derecho fundamental de controlar nuestra información privada."
El senador esta en lo correcto, se tenía
un derecho fundamental... por desgracia, en los Estados Unidos., ese derecho
fue violado y luego triturado y finalmente destruido hace muchos años. En
México tenemos la LFPDPPP (Ley Federal de Protección de Datos Personales en
Posesión de los Particulares) que trata como un derecho fundamental la
privacidad, pero hago una pregunta básica, ¿A cuántos edificios hemos entrado
donde nos toman una foto y no pedimos un aviso de privacidad o cuestionamos el
porqué y él para que de dicha fotografía? El no tener una ley, como Estados
Unidos, o tener una ley que no sabemos usar, como en México, parece lo mismo.
El hecho es que nuestros datos
personales han sido capturados, catalogados, indexados, cortados en cubitos y
durante tanto tiempo que no hay vuelta atrás. Es como contraer cáncer... usted
puede recibir tratamiento y poder mejorar, pero nunca está curado técnicamente,
estás simplemente "indultado".
Si tan sólo el reconocimiento facial
fuera todo el problema. El hecho es que en el mundo real que tenemos cámaras de
video vigilancia en todas partes, las llamadas telefónicas privadas son rutinariamente
interceptadas, los radares terahertz está emergiendo con la capacidad de ver a
través de las paredes y a través de la ropa desde una milla de distancia,
aviones no tripulados que pueden revolotear por encima y alrededor usted y
espiarnos sin que nos demos cuenta y lo más sorprendente, se están convirtiendo
en algo común, algo del día a día.
Pero eso no es todo! Todo lo que está
en línea, cada e-mail, anuncio de Facebook, cada actualización de Twitter -
está siendo monitoreado por varias empresas o agencias, ya sea en algún lugar
de su ISP, el FBI, la CIA o la NSA... y todo está siendo grabado, tabulados, referenciados
de forma cruzadas y almacenados por quién sabe cuánto tiempo.
Y ese es el problema con todos los
intentos necesarios para poner regresar el reloj de la privacidad: Es demasiado
tarde, y no sólo un poquito, creo que es demasiado tarde. El adolecente ya salió
de la casa, el barco ha partido, la gorda ha cantado, el telón ha bajado, y es hora
de contarle un cuento a la privacidad... a menos que...
Sí, hay una manera de recobrar
nuestra privacidad... Exijamos lo que las leyes ya nos dieron, el derecho que
estipula constitución Mexicana en el artículo 16 “Nadie puede ser molestado en
su persona, familia, domicilio, posesiones o derechos sino en virtud de
mandamiento escrito de la autoridad competente debidamente fundado y motivado”
¿Nos seguimos quejando? O ¿Empezamos
a exigir lo que por derecho es nuestro?
Wednesday, April 25, 2012
8 de cada 10 empresas resguardan algún tipo de datos personales de sus clientes, proveedores, de su recurso humano o de potenciales clientes, entre los cuáles 90% conserva sólo datos de identificación (nombre, edad, domicilio, sexo, RFC y CURP); 33% guarda datos patrimoniales (cuentas bancarias, saldos, propiedades, deudas, etc.) y 18% resguarda datos sensibles como estados de salud físico y mental, resultados de análisis clínicos, tipo de sangre y otros. Sin embargo, 74%de las empresas evaluadas considera que la LFPDPPP no ha sido difundida apropiadamente, sobre todo en lo referente a las ventajas que puede representar para los negocios en línea.
En el marco del Seminario de Protección de Datos Personales que la Asociación Mexicana de Internet (AMIPCI) se mostraron los resultados de una encuesta para conocer qué tan preparadas están las empresas e internautas para dar cumplimiento a las disposiciones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Según los datos que arroja este estudio, 28% de las empresas evaluadas no pudo definir lo que es un dato personal; el 18% desconoce la LFPDPP y su reglamento, y sólo el 26% ha escuchado sobre ella, lo que arroja que sólo un 56% de las empresas está al tanto de las obligaciones que impone dicha legislación.
Al hacer la presentación de los resultados, Renato Juárez , vicepresidente de Investigación de Mercados de la AMIPCI, explicó que la AMIPCI decidió hacer este estudio ante la importancia de la LFPDPPP en la industria de Internet, ya que, como puede observarse, el fundamento de estos negocios está en el orden y adecuación que den a sus bases de datos, que determinan el contacto que tienen principalmente con sus clientes y proveedores.
El estudio reveló que 20% de las empresas no saben lo que son los derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO), y 3 de cada 10 sólo ha escuchado sobre ellos, lo que indica que la mitad de las empresas encuestadas posee conocimientos insuficientes sobre estos derechos. Por el contrario, sólo 3 de cada 10 firmas han definido un proceso interno para la atención de solicitudes de ejercicio de derechos ARCO por parte de los titulares de los datos que están en sus expedientes.
Finalmente, entre las empresas que tienen conocimiento de sus responsabilidades en materia de protección de datos personales, casi la totalidad (9 de cada 10 empresas) declara que consideran y analizan las políticas o herramientas de privacidad y seguridad de la información que ofrecen los productos y servicios de software o servicios en la nube, antes de utilizarlos.
El estudio incluye, adicionalmente, una encuesta a usuarios de Internet en donde se les cuestionó sobre su conocimiento de los derechos que la Ley les otorga como titulares de sus datos personales.
Este segmento indicó que 9 de cada 10 usuarios de Internet han entregado datos de identificación y 4 de cada 10 han revelado datos sensibles. Los sitios de Internet dónde los usuarios declaran haber entregado sus datos personales son:
- Sitios de redes sociales (77%)
- Banca en línea (63%)
- Compras en línea (62%)
Sobre el aviso de privacidad de los sitios de Internet donde los usuarios entregan datos personales, 4 de cada 10 dice revisarlo siempre o casi siempre, pero sólo 4% conoce el objetivo de que exista un aviso de privacidad en estos sitios.
Otros datos importantes del estudio señalan que:
- Casi la mitad de los internautas evaluados consideran los derechos ARCO como muy importantes, aunque sólo 3 de cada 10 ven como probable el ejercer sus derechos ARCO ante el responsable del tratamiento de sus datos personales.
- 76% de los internautas evaluados han habilitado configuraciones de privacidad que ofrecen las redes sociales.
- 61% no saben qué tratamiento le darán a sus datos personales en las redes sociales en las que se encuentran inscritos.
Para consultar el “Primer Estudio sobre Protección de Datos Personales”, visita: http://bit.ly/IGFDB0
Tuesday, April 10, 2012
Ley Federal de Protección de Datos Personales en Posesión de Particulares
El pasado mes de julio de 2010 se publicó en el Diario Oficial de la Federación la Ley Federal de Protección de Datos Personales en Posesión de Particulares. Este tipo de ley no es nueva en el mundo, pues tanto en Europa como en Estados Unidos existen leyes parecidas a la nuestra desde hace varios años. En México tenemos la ventaja de que la ley integra conceptos que no contemplan las leyes de otros países, ya que la innovación tecnológica de los últimos diez años hace que el tratamiento de datos personales sea completamente distinto.
El objetivo de la ley es proteger los datos personales en posesión de las empresas, así como regular que dichos datos sean usados únicamente para la finalidad que fueron entregados, que se tenga un control de quién y para qué los tiene y que el titular o dueño de los datos siempre esté informado del trato de dichos datos, buscando con lo anterior garantizar la privacidad y el derecho a la autodeterminación informativa de los individuos.
La ley define a los datos personales como cualquier información que haga a una persona identificada o identificable, y a su vez menciona que, son datos personales sensibles aquellos datos que afecten a la esfera más íntima de su titular, como podrían ser estado de salud, preferencias religiosas o sexuales.
La ley les otorga a los titulares de datos personales, léase que esta ley no sólo aplica a los mexicanos, sino a cualquier persona que entregue datos personales, cuatro derechos fáciles de recordar, pero que serán un dolor de cabeza para las empresas. Dichos derechos son: (1) acceso a sus datos; (2) rectificación de datos erróneos o incompletos, así como la responsabilidad de que las empresas notifiquen a sus terceros dichas rectificaciones; (3) Cancelación de los datos, que puede involucrar el que sean bloqueados por un periodo o su total borrado, y (4) Oposición, por la cual, el titular puede solicitar la exclusión de los datos de cualquier tipo de tratamiento.
Uno de los temas más importantes de la ley es el reparto de responsabilidades. Ahora, la autoridad responsable tiene el poder de realizar verificaciones de oficio o a petición de parte, poner penas de hasta 10 años de prisión o multas de hasta 76 millones de pesos, y por último, publicar los resultados y resoluciones de forma pública, lo que implica un riesgo reputacional, altísimo.
Durante los últimos meses he impartido distintas conferencias sobre la Ley de Protección de Datos; en la gran mayoría de los casos, las personas no conocen la ley, ni sus derechos, y aún peor, las empresas están realizando esfuerzos mínimos para proteger a los titulares. ¿Por qué ocurre esta situación? Hay dos aspectos básicos:
- Dado que se trata de una ley, quienes la están leyendo-entendiendo son únicamente las áreas legales, dejando de lado las áreas de sistemas, recursos humanos, operaciones, finanzas, riesgos, etcétera.
- En nuestro país tenemos una escasa cultura sobre seguridad informática, por lo que nos parece que una ley como ésta es letra muerta, y que las autoridades no cumplirán ni con las penas ni con las multas que la ley prescriba.
¿Qué debemos hacer? Existen tres visiones distintas, las cuales quiero contemplar:
- Como titulares de datos personales, debemos exigir a los responsables del tratamiento de nuestros datos personales, que antes de julio de este año, nos hagan llegar nuestro aviso de privacidad y así poder leerlo a conciencia. Tenemos derecho a que nos expliquen detalladamente aquello que no nos quede claro.
- Como empleados de una empresa responsable de protección de datos personales, es necesario estar conscientes de nuestra responsabilidad en la protección de los datos de mi empleador, ya que la inobservancia de esto podría significarle a una persona hasta 10 años de cárcel (Artículo 67,68 y 69). Por otro lado, es imperativo exigir a nuestro empleador que nos comunique el tratamiento de nuestros datos personales (aviso de privacidad) a la mayor brevedad.
- Las empresas responsables de protección de datos Requieren tomar en cuenta que estamos a menos de tres meses para que todos los obligados por la ley entreguen a los titulares sus avisos de privacidad y designen al responsable de protección de datos. La mayoría de los responsables no han enviado, publicado o presentado sus avisos de privacidad. En general, existe un desconocimiento al respecto, en algunos casos no saben que lo tienen que hacer, en otros no están al tanto de qué datos personales tienen de los titulares (sus clientes) y, en el peor de los escenarios, creen que sus áreas legales lo pueden hacer en unas semanas antes de la fecha límite (5 de julio del 2011).
Es necesario comprender que no todo el mundo necesita proteger los datos de la misma manera; es imposible pedir el mismo nivel de seguridad a los pequeños comercios que manejan pocos o ningún dato personal, comparado con las grandes compañías internacionales que utilizan millones de datos personales de los clientes.
La visión de los riesgos financieros, operativos o tecnológicos se ha centrado en establecer calificaciones subjetivas para los diferentes factores que influyen en dichos riesgos. Las valoraciones son subjetivas, hay una tendencia para atribuir valores a los riesgos que no reflejan completamente la realidad, atribuyéndose comúnmente esta tarea a la experiencia previa del consultor o de la empresa que lo realiza.
¿Cuál es la solución? Hay que administrar los riesgos relacionados con los datos personales en tres niveles:
- Riesgo Accidental: Históricamente, las áreas de TI entienden muy bien este riesgo y elaboran sus planes de recuperación ante desastres, o bien la empresa crea sus procedimientos de continuidad de negocio. Para el tratamiento de este riesgo debemos medir el mejor esfuerzo, donde únicamente una fuente de poder, puerto, enlace o servidor funcione adecuadamente para mitigar este riesgo. La forma en que solventamos los riesgos accidentales es aplicando controles de disponibilidad de los datos y la información.
- Riesgo oportunista: La mayor parte de los datos personales está amenazada por este tipo de riesgo; aquí tenemos que aumentar la altura y grosor de nuestras "paredes", ya sean internas o externas. Una analogía de esta propuesta es la siguiente: hay dos automóviles iguales en diferentes situaciones; el primero tiene alarma, bastón para el volante, las ventanillas cerradas y se encuentra en un estacionamiento que cuenta con seguridad y video-grabación continua; el segundo está estacionado en una calle sin luz y con las ventanillas mal cerradas. Si un ladrón roba cualquiera de los dos vehículos, obtiene el mismo beneficio económico, pero si roba el segundo su oportunidad de hacerlo requiere un esfuerzo menor y su riesgo está atenuado por el entorno. El riesgo oportunista es mitigado colocando “la reja más alta de la calle”, es decir, no requerimos tener los controles más estrictos, sino únicamente mejores controles que los que tiene nuestra competencia, el estándar o la industria. “No hay que correr más rápido que el dragón, únicamente, más rápido que el hobbit”. Este riesgo se minimiza implementando la mayor cantidad de controles (entre más mejor) y manteniendo buenas prácticas.
- Riesgo intencional: Este riesgo es atendido mediante controles de privacidad y de integridad. Cualquier error en un control podría significar la pérdida de datos.
Si no entendemos esta categoría diferente, no podemos evolucionar en la gestión de riesgos. El riesgo de un presidente de ser asaltado, secuestrado o atacado es tan alto, que los niveles de seguridad que requiere, deben ser los más rigurosos en todo momento. Sus atacantes no lo agredirán por accidente, ni porque exista la oportunidad, lo harán con una intención directa, tendrán tiempo de planear el ataque y por lo mismo los controles deben ser máximos, ya que una sola falla en el sistema de protección provocaría que todo el esquema de seguridad se afectara.
Una vez analizados estos tres tipos de riesgo, y ante la inminente entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, debemos tener claro que en la protección de datos, el mayor riesgo es que no exista la administración de riesgos.
Como un método rápido y sencillo de lo qué las empresas deben hacer, sugiero tres pasos muy simples, pero efectivos:
- Concientización de los empleados sobre el trato que dan a la información de sus clientes, proveedores y su mismo personal.
- Realizar un análisis del impacto de privacidad, en dónde se encuentren las diferencias del estado actual versus el estado de cumplimiento y desarrollar un plan para subsanar dichas deficiencias.
- Crear procesos que mantengan al día la protección de datos personales.
Por nuestra parte, en tanto titulares de datos personales, lo más importante es estar informados y conocer nuestros derechos y obligaciones, la mejor forma de lograrlo es leer, entender y ejercer nuestros derechos.
Los lectores pueden consultar, la publicación de esta ley en el sitio:
http://dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010, si al leerla la encuentra complicada, el IFAI (http://www.ifai.org.mx) ha creado información sencilla y entendible para aquellas personas que quieran una referencia rápida del tema.
@juan_carrillo
PlayStation Network breach
Un resumen de lo que sabemos:
¿cómo PSN fue hackeado?, lo que Sony está haciendo al respecto, si las tarjetas de crédito fueron robados, y cómo la compañía está tratando de recuperar la confianza de sus clientes.
Ha sido una montaña rusa para Sony y sus clientes.
Al principio lo que parecía una caída de la red vergonzoso que mantiene a los clientes el acceso a PlayStation ® Network, la red de juego online de Sony y el servicio de streaming de vídeo, resultó ser mucho peor: un ataque cibernético sofisticado se hicieron con los datos de los clientes de 77 millones de PSN y clientes Qriocity.
Sony no fue muy afortunado con la información que comunico en un primer momento - que fue un par de días antes de que se reconoció publicamente por PSN, y 2 días después de que confirmó el fallo de seguridad. El siguiente fin de semana, el hombre N º 2 de Sony, Kazuo Hirai, subió al escenario en una conferencia de prensa organizada en Tokio a toda prisa para tratar de explicar lo que llevó al ataque, ¿qué fue robado en la intrusión en su red, y cómo Sony planea compensar a sus clientes?
Y luego, justo cuando parecía que Sony estaba en camino para empezar a recuperarse de la debacle, el golpe más malas noticias: Sony dijo que la misma vulneración de la información del cliente comprometida en PSN y Qriocity se extiende a los clientes de Sony Online Entertainment también.
La información sobre los abonados al servicio de juego multijugador en línea como: nombres, direcciones, correo electrónico, sexo, fechas de nacimiento, números de teléfono, nombres de usuario y contraseñas, fue expuesta, al igual que una "anticuada" base de datos de tarjetas de crédito de 12,700 personas.
Juan Carlos Carrillo
@juan_carrillo
¿cómo PSN fue hackeado?, lo que Sony está haciendo al respecto, si las tarjetas de crédito fueron robados, y cómo la compañía está tratando de recuperar la confianza de sus clientes.
Ha sido una montaña rusa para Sony y sus clientes.
Al principio lo que parecía una caída de la red vergonzoso que mantiene a los clientes el acceso a PlayStation ® Network, la red de juego online de Sony y el servicio de streaming de vídeo, resultó ser mucho peor: un ataque cibernético sofisticado se hicieron con los datos de los clientes de 77 millones de PSN y clientes Qriocity.
Sony no fue muy afortunado con la información que comunico en un primer momento - que fue un par de días antes de que se reconoció publicamente por PSN, y 2 días después de que confirmó el fallo de seguridad. El siguiente fin de semana, el hombre N º 2 de Sony, Kazuo Hirai, subió al escenario en una conferencia de prensa organizada en Tokio a toda prisa para tratar de explicar lo que llevó al ataque, ¿qué fue robado en la intrusión en su red, y cómo Sony planea compensar a sus clientes?
Y luego, justo cuando parecía que Sony estaba en camino para empezar a recuperarse de la debacle, el golpe más malas noticias: Sony dijo que la misma vulneración de la información del cliente comprometida en PSN y Qriocity se extiende a los clientes de Sony Online Entertainment también.
La información sobre los abonados al servicio de juego multijugador en línea como: nombres, direcciones, correo electrónico, sexo, fechas de nacimiento, números de teléfono, nombres de usuario y contraseñas, fue expuesta, al igual que una "anticuada" base de datos de tarjetas de crédito de 12,700 personas.
Juan Carlos Carrillo
@juan_carrillo
Subscribe to:
Posts (Atom)
