México, rezagado en seguridad de datos

“Comparado con países como Estados Unidos, México está casi 5 años retrasado en la cultura de protección de información y datos personales”, dijo Juan Carlos Carrillo, representante en el país del área de Seguridad de la firma Oracle.

“En México, la mayoría de las empresas consideran que las inversiones en el área de Tecnologías de la Información (TI) son una disminución en sus presupuestos que no reporta beneficios”, comentó Carrillo.

El integrante de la firma Oracle añadió: “La única variable que provoca que las compañías inviertan en tecnología de seguridad es un tema de cumplimiento regulatorio como el que exigen diferentes organismos como el Instituto Federal de Acceso a la Información y Protección de Datos, que implementó legislaciones que obligan a las empresas a proteger los datos personales de sus clientes”.

De acuerdo con reportes del Instituto Nacional de Estadística y Geografía (INEGI), en 2014 México tenía 5.6 millones de empresas, de ellas, las correspondientes al sector financiero (que en porcentaje representan una minoría) son las únicas que cumplen de manera satisfactoria con las regulaciones en materia de seguridad.

“Es muy difícil que fuera de ese sector encuentres un proyecto bien armado de seguridad de la información. La mayoría de las compañías solo actúan cuando se dan cuenta que su información fue sustraída. Entonces sí responden con una inversión fuerte, pero sin un plan de largo plazo, por lo que al siguiente año lo dejan de lado”, explicó Carrillo.

Dijo que a pesar de que desde hace cinco años se encuentra vigente la Ley de Protección de Datos Personales en Posesión de Particulares, las empresas todavía no la cumplen en su totalidad. Al respecto, el especialista aseguró que es mejor invertir de manera preventiva en temas de resguardo de información, ya que varios estudios demuestran que por cada dato sustraído, las empresas pierden en promedio 200 dólares.

http://www.eluniversalqueretaro.mx/vida-q/08-05-2015/mexico-rezagado-en-seguridad-de-datos#sthash.8sXmpngR.dpuf

RSA Conference: We need better cyber hygiene

Presentación sobre CiberCrimen por parte de Juan Carlos Carrillo, CIPP/IT CIRM Security Executive Oracle México

Fight Cybercrime with Oracle Security from the Inside Out from Juan Carrillo

http://event.on24.com/eventRegistration/console/EventConsoleNG.jsp?uimode=nextgeneration&simulive=y&eventid=837212&sessionid=1&username=&partnerref=&format=fhvideo1&mobile=false&flashsupportedmobiledevice=false&helpcenter=false&key=7984E8EBC1E05FAC3A886BB8252D30AB&text_language_id=en&playerwidth=1000&playerheight=650&overwritelobby=y&eventuserid=104304548&contenttype=A&mediametricsessionid=82136496&mediametricid=1311867&usercd=104304548&mode=launch#

Presentación Privacidad en Campus Night

Les comparto la liga de la presentación en Campus Night sobre Privacidad en México
http://www.campus-night.com.mx/juancarloscarrillo.html

Proteja los Datos más Sensibles

To see the complete presentation visit the complete webcast

DATA PROTECTION AND SECURITY MEASURES

How to comply with the Responsibility Principal in the Mexican Data Protection field. (PART I)

You can see my latest blog entry in http://www.molet.mx/noticias 

Regulación Bancaria en México - Capitulo X CNBV

En Privacidad… 10 preguntas para toda organización.

Cuando visitó a las organizaciones es normal que las personas me digan que ya tienen TODO o no tienen NADA en materia de privacidad.

Diría mi abuelo, ni tanto que queme al Santo, ni tanto que no lo alumbre.

¿Cómo saber en donde estoy en el tema de privacidad?

Anexo 10 grupos de preguntas para medir en donde se encuentra tu empresa en materia de protección de datos personales.

1.     ¿Quién es tu Chief Privacy Officer (CPO) y quién es tu Chief Information Security Officer (CISO)?

a.     Todo en la compañía los conocen?

2.     ¿Quién es el ejecutivo que lidera la seguridad y privacidad de la información?

a.     ¿Es una posición formal o informal?

b.     ¿Existe un comité de seguridad y/o privacidad?

c.      ¿Esta la seguridad representada en la mesa directiva?

d.     ¿Se tiene el entendimiento de la mesa directiva de la importancia de la privacidad?

e.     ¿Conoce la mesa directiva las posibles multas y penas?

f.      ¿Esta incorporada la privacidad en la estrategia de ventas?

3.     ¿Se tiene un inventario de datos personales y clasificación de los mismo (Que datos, Donde estan y Quien tiene acceso a ellos)

4.     ¿Quién es más probable que quiera acceder a los sistemas de tu empresa?

a.     ¿Qué nivel de sofisticación, alcance geográfico y los motivos (por ejemplo económica / malversación, robo de identidad, robo de secretos comerciales) pueden tener estos enemigos?

5.     ¿Tu empresa tiene un plan de respuesta a incidentes?

a.     ¿Tu empresa ha identificado a los miembros clave internos y externos (IT, legal, relaciones públicas, marketing, etc.) que deberían involucrarse en el caso de una vulneración a la seguridad?

b.     ¿Tu empresa tiene un plan para comunicarse con las autoridades policiales?

6.     ¿Está su empresa un entorno BYOD?

a.     ¿Cuál es la política sobre BYOD?

7.     ¿Tu empresa tiene una visión clara de los flujos de datos?

a.     ¿Qué flujos de datos tienen interacción con terceros o contratistas?

b.     ¿Cómo confirmas la integridad de los contratistas?

c.      ¿Cómo te aseguras que las soluciones de terceros, incluido el software, están libres de problemas e incluyen la indemnización por posibles defectos?

8.     ¿Tu empresa ha evaluado la amenaza interna?

a.     ¿Tiene tu empresa monitoreo de las redes internas para el acceso o el uso compartido de archivos?

9.     ¿Tiene tu empresa una administración activa tanto la seguridad física y cibernética?

a.     ¿Cómo y cada cuanto se revisa?

10. ¿Se tiene documentada la forma en que se interactúa con los proveedores, clientes y socios?

a.     ¿Hasta qué punto tiene tu compañía ofrecer productos o servicios que, si se ve comprometida o mal usada la información, afectarían a la empresa?

b.     ¿Cada cuanto se está entrenando a su personal con un programa continuo? 

La importancia de la seguridad de la información

¿Dejarías la puerta de tu casa abierta o sin cerradura? Estoy seguro que en la ciudad de México o muchas ciudades del mundo, la respuesta es no. Pero si te pregunto si bloqueas tu maquina (el famoso windows+L) cada vez que te paras de tu lugar, o si tiene la ultima versión de antivirus o si revisas los parches de seguridad, no estaría tan seguro de que todos contestaran de forma positiva.

Si estuviéramos en una reunión de amigos, nadie diría “Que creen? Nunca le pongo el seguro a mi coche y además nunca pago el seguro de mi coche, jajaja” y si alguien lo dijera todos los presentes lo voltearíamos a ver pensando que esta loco.

¿Cuánto cuesta tu coche? ¿o la seguridad de tu casa? ¿Cuánto cuesta la seguridad de la información de tu empresa?

Créelo o no, la seguridad de la información está para el mayor valor de la empresa.

Muchas empresas no ven en el tema de la seguridad de la información un valor. Pero si yo te doy a escoger entre tres bancos y uno de los tres tiene más de 5 años de que ninguno de sus clientes tenga un robo de dinero o información y los otros dos no tienen o no publican dicha información y te ofrecen exactamente los mismos servicios ¿Con cuál te quedas?

La seguridad de la información deberá ser en el futuro un factor del marketing de la empresa. Hay una empresa en Estados Unidos (TJX) que debido a que varios hackers aprovecharon fallas en la seguridad de la empresa durante 18 meses teniendo un impacto según la misma empresa de cerca de los 120 millones de dólares (haz la cuenta a 13 pesos por dólar, suena un buen negocio ser hacker, no?) mas lo que perdieron en multas, pago de abogados y costos extras, ¿pero saben donde perdió mas la empresa?…Prestigio.

¿Cuánto tiempo se tardara la empresa en restablecer su confianza? ¿Qué información le va a compartir a dicha empresa? ¿Cuánto vale la confianza de sus clientes?

Durante mi último año de gerente de infraestructura, tuve la gran ventaja de trabajar junto a un gran socio como encargado de seguridad, el Señor Ayón, quien ayudo a que tuviéramos una visión de dónde, por qué y para qué necesitábamos poner candados, controles, reportes, etc. Antes que de que tuviéramos la función de seguridad los temas se median en velocidad y efectividad, pero no en una visión de protección al negocio.

Debemos de despertar e invertir en estos temas, el enemigo esta en casa. En una encuesta de seguridad reciente se reporto que el 70% de los ataques de seguridad fue realizado, planeado o con colaboración de uno o mas empleados de la misma compañía, debemos de pasar de la mentalidad de “estoy seguro con mi antivirus actualizado” a la mentalidad de cómo convierto la seguridad de la información en una fuerza de la empresa, un valor tal que nuestros clientes vean en nuestra seguridad; un valor que la competencia no les puede ofrecer.

Te invito a participar en la siguiente encuesta sobre la seguridad de la información

http://polls.linkedin.com/p/45786/msefo

La seguridad de Información en México

En los pasados días he participado en eventos de seguridad muy interesantes, el día 16 en el IBM Security day y el día 17 el equipo de seguridad de E&Y presento su reporte global sobre la seguridad, con un enfoque muy particular de México.

Mis reflexiones de ambos días son muy similares... Los altos directivos, como CFO o CEO, no se han dado cuenta que la seguridad de la información no es un tema que pueda ser un rubro mas de las actividades y funciones del CIO. Po mas capaz, inteligente, brillante y/o visionario que pueda ser un CIO, nunca podrá tener toda la visión de negocio que pueden tener los que gobiernan y dirigen las compañías.

Tuve la experiencia hace unos años de trabajar con una empresa de consultoría en la creación de un BIA (Business Impact Analysis), y cuando empezamos el proyecto, coordinamos el hacer un ejercicio en el cual a todos los mandos medios y altos de la compañía se les harían 10 preguntas, sobre los planes de contingencia y remediación de la empresa. La reacción de todos y cada uno de ellos fue la de voltear a ver al gerente de TI (léase yo) para ver que respondían y con una risa entre nerviosa e ignorante, todos y cada uno de los presentes no tuvo mas de 6 preguntas correctas... Creen que alguien salió de aquella sala de juntas preocupado, molesto, motivado o tan siquiera inquieto de involucrarse en lo que podría mejorar? Quieren la respuesta o la imaginan?

Todo quedaría como una anécdota sino tuviéramos situaciones como la de Julio a Septiembre de 2006 en la avenida reforma de nuestra bella ciudad de México o los constantes temblores que sufre nuestra ciudad o mas recientemente la influenza. Citando la Biblia “Nadie sabe el día ni la hora...”, lo que si sabemos es que la seguridad de la información dentro de las empresas tiene un valor intangible (No tan intangible como los 96 millones de euros de Cristiano Ronaldo), y el problema es que quienes empiezan a conocer mejor el valor del negocio y la información son los delincuentes que ven con ojos de beneplácito como los dueños y altos directivos no se reúnen a revisar sus planes de seguridad y continuidad.

He leído en diferentes lugares, la seguridad no es un proyecto, o no es un fin, sino un proceso, el problema es que al proceso le falta la cereza, es decir directivos que no sean de TI o de auditorias o de cumplimiento, sino directivos como pueden ser los directivos de recursos humanos de áreas de negocio, ventas, mercadotecnia, finanzas, administración, etc.

Solo cuando todos pongan en sus funciones diarias una parte de trabajo de mantenimiento y mejoramiento de la seguridad, podremos hablar que hemos iniciado el proceso de seguridad, antes de eso, solamente podemos hablar de esfuerzos aislados por despertar a la realidad.

El trabajo a realizar depende de TODOS, ¿quienes son TODOS? Pues desde los estudiantes de las universidades en entender los temas de seguridad de la información, el que cada empleado sienta que es parte de su función el proteger los activos de la compañía, de los gerentes de cumplimiento, TI, auditoria y demás áreas que hasta el día de hoy han cargado con la responsabilidad de la seguridad y continuidad de los negocios y por ultimo y los que mas requieren de involucrarse en estos temas, a la alta dirección de las empresas