Internet de las Cosas, el Camino a las Ciudades Inteligentes

Internet de las Cosas es uno de los hìtos tecnológicos mas relevantes de este tiempo, este video es una introducción a esta materia. Imprescindible para avanzar en el tema

 

Novedades sobre la norma ISO/IEC 27001:2013

Mucho tiempo ha pasado desde la creación de los estándares BS 7779-2 y BS 7779-1 hasta la elaboración de la norma ISO/IEC 27001:2005. Durante el periodo transcurrido hubo grandes avances tecnológicos, junto a cambios muy significativos en la seguridad, como la aparición de nuevas amenazas y vulnerabilidades.

Hace algunos años se inició el proyecto de actualización de la norma ISO/IEC 27001:2005, que ha contado con la participación de especialistas de decenas de países, llegándose así a la versión actual ISO/IEC 27001:2013. Esta es la única norma internacional de Sistemas de Gestión de Seguridad de la Información (SGSI) auditable, certificable y que define los requisitos para un SGSI.

Evol

La norma o estándar fue concebida para garantizar la selección de controles de seguridad adecuados y proporcionales a cada organización. La nueva versión incluye novedades, tanto a nivel del sistema de gestión como a nivel de los controles de seguridad de la información. Brevemente, mencionaremos que la estructura de la norma se basa en el Anexo SL y esta estructura es común a la de otras normas, como por ejemplo: ISO 22301:2012 de gestión de la continuidad del negocio.

Sobre el Anexo SL
Desarrollado en el año 2012, este propone un marco genérico para cualquier sistema de gestión. Se tiene la intención de que a partir de la aparición del anexo toda norma ISO de sistema de gestión siga la estructura que se indicada en el mismo de forma tal que todas las normas de sistemas de gestión converjan en una estructura común y con el mismo contenido a excepción de los requisitos específicos de cada una. Se espera que esta estrategia facilite la interpretación de las mismas y la implantación de manera conjunta.

 

Gracias a la aceptación que ha tenido dentro de las organizaciones, la norma ha evolucionado hasta llegar a la versión actual. La versión 2013 es una evolución, y no una revolución o nuevo paradigma de Seguridad de la Información.

 EvolNum

 

Para qué y para quién
La norma ISO/IEC 27001 es adecuada para cualquier organización, independientemente de su tamaño, y de cualquier sector: público o privado. La norma es especialmente útil cuando la protección de la información es crítica, como por ejemplo, en las áreas de gobierno, banca y finanzas, salud, empresas de servicios de tecnología de la información o comunicaciones, o cualquier otro ámbito donde los activos de información requieran de una adecuada protección.
Para leer más sobre las diferencias entre las versiones 2005 y 2013 de la norma puede descargar un documento en formato PDF en el siguiente enlace:

https://oscargiudice.files.wordpress.com/2014/08/iso_27001-2013_principalescambios_ccat.pdf

 

 

La Norma ISO/IEC 27002: Seguridad de la Información, Protección de Datos Personales y Responsabilidad Social.

La expansión del modelo cloud computing, las aplicaciones SaaS (Software as a Servicess) y las móviles, en síntesis el grado actual de penetración de las TICs en nuestras vidas trae aparejados nuevos desafíos, al menos en dos campos absolutamente distintos: el legal y el de la seguridad de la información.

Profesionales de las TICs y del derecho nos hemos acercado y estrechado algunos vínculos en los últimos 10 o 15 años y juntos podemos trabajar en pos de una sociedad de la información más justa, segura y transparente.

Hace ya bastante tiempo que contamos con herramientas para que los nuevos desafíos tecnológicos puedan contribuir a esa sociedad de la información.  Desde el punto de vista legal tenemos nuevas leyes o, leyes adaptadas a los tiempos que corren, y desde las TICs varios estándares, normas y buenas prácticas recomendadas, inclusive algunas específicamente orientadas a distintos sectores o industrias.

Con toda esta nueva tecnología y aplicaciones dando vueltas a nuestro alrededor y con la creciente masificación de su uso hay algunas cuestiones que deben ser tomadas muy seriamente, una de ellas es: cuidar los datos y la información, pero ¿qué datos, que información? Todos es una respuesta, y especialmente cuando de datos personales se trata.

Anteriormente, mencioné la existencia de herramientas. Quiero entonces presentar aquí dos de ellas, que si bien provienen de mundos distintos, tienen algunos puntos en común:

1) La Ley 25.326, Ley de protección de datos personales

Es la “herramienta” legal  que tenemos en Argentina, sancionada el  4 de octubre de 2000. Con el correr del tiempo muchas empresas fueron cumplimentando un requisito básico: la inscripción de las bases de datos personales en la Dirección Nacional de Protección de datos Personales, dirección creada a tal efecto bajo el ámbito del Ministerio de Justicia de la Nación. Pero ¿Cuántas de las empresas que inscribieron sus bases de datos conocen y han cumplido con la implantación de las medidas de seguridad establecidas,  y necesarias, en la Disposición 11/2006 de la DNPDP?

Las medidas de seguridad de la disposición 11/2006 incluyen un plazo para su implementación. Ese plazo

-prórroga mediante- ya se ha cumplido. Hoy,  las medidas de seguridad son un requisito exigible con el que deben cumplir las bases de datos con datos personales.

2) Seguridad de la Información ISO/IEC 27001 y 27002

Las normas internacionales de SI (seguridad de la información), certificable en el caso de la ISO/IEC 27001 y guía de buenas prácticas en el caso de la 27002. La primera fue publicada en el año 2005 mientras la segunda, evolución de la ISO 17.799, fue publicada en el mismo año como ISO/IEC 27002:2005.

Desde ese entonces al presente,  las normas mencionadas han sabido hacerse un lugar como referentes en la materia. Sucederá entonces, como sucedió hace años con la norma de calidad ISO 9001, que una empresa con certificación ISO 27001 tendrá más chances comerciales respecto de otra sin esa certificación.

Sin embargo, no se trata sólo de oportunidades comerciales. Mantener la Confidencialidad, Integridad y Disponibilidad de la Información es un factor crítico para toda organización con intenciones de sobrevivir en este mundo, mucho más cuando de datos personales se trata.

¿A quién confiaría o está confiando usted sus datos personales? ¿Qué garantías exige, como titular de sus datos, a las organizaciones que le solicitan información sobre su persona? Si no se fija en esto, después no se queje si aparece en cientos de listas y recibe infinidad de correo basura, sólo para mencionar males menores.

Quizás Ud. se esté preguntando a esta altura ¿qué tienen en común la Ley 25.326 y la norma ISO/IEC 27002? Observe la imagen 1, se representan en ella los 11 dominios en los que se estructura la norma, y cada uno de éstos posee una serie de controles. Si todavía no lo vio,  la respuesta es el dominio: conformidad, es decir, cumplimiento de leyes y regulaciones.

Imagen 1

En cada dominio se establecen distintos tipos de controles. En el dominio que se ocupa de la conformidad se establecen una serie de controles habituales orientados al cumplimiento legal y de la seguridad de la información, éstos son:

+ Identificación de la legislación aplicable.

+ Cumplimiento con los derechos de propiedad intelectual e industrial de terceros.

+ Protección de los archivos y bases de datos de la organización.

+ Protección de los datos de carácter personal.

+ Prevención del abuso de los sistemas de información.

+ Uso de los controles criptográficos, incluyendo la firma electrónica y el cifrado de la información.

Vemos entonces que, entre otras cosas, la norma nos remite a: 1) identificar la legislación aplicable y 2) al cuidado y protección de los datos personales. He aquí el punto en común.

En nuestro taller nos proponemos  dar una mirada, desde la óptica de la norma ISO 27002, a los principios protegidos en la Ley 25.326 y a las medidas de seguridad de la resolución 11/2006 de la DNPDP con el objetivo de confeccionar el documento de seguridad de la información exigido por esa Dirección nacional.

Hacia un ecosistema de información protegida y segura

Pero aquí no termina todo. Hace algunos años hemos comenzado a escuchar que se habla sobre la Responsabilidad Social Empresaria. En la imagen 2 se observa la pirámide de la RSE y, una vez más, nos encontramos con cumplimiento.

Lo invito a sacar sus propias conclusiones……

Responsabilidad Social Empresaria y Protección de Datos Personales

Finalizaba el año 2011 y nos reuníamos con unos colegas amigos en un bar de la Ciudad Vieja, en Montevideo. Pocos días antes había regresado nuevamente de BS. As.  y, como tantas otras veces, mi cabeza se encontraba convertida en un tsunami de proyectos e ideas. Una de estas era: La protección de Datos Personales es cuestión de Responsabilidad Social de las Empresas. Comenté esta ocurrencia con algunas personas  y resultó que me echaron Flit* ¿Por qué digo esto? ¿Cuál fue mi ocurrencia?  

Una organización que almacene datos -en cualquier tipo de formato y medio-  es responsable de la seguridad de esos datos, en principio y no solo,  porque son útiles a su negocio. Ahora,  si de Datos Personales se trata,  su responsabilidad es aún mayor, en la medida en que es responsable de información sobre terceras personas. La situación, en realidad  la responsabilidad, aumenta cuando esa información se encuentra en Internet y mucho más con tecnologías Cloud Computing y modalidades de trabajo como SaaS (Software as a Service).

Al llegar a mi casa, y sin dejarme deprimir por los que empuñaron el antiguo mata mosquitos, me puse a investigar un poco en Internet sobre RSE (Responsabilidad Social Empresaria) y una de las primeras cosas que vi fue la pirámide de la figura.

No grité EUREKA, simplemente dije: ahá!

En la base de la pirámide se ubica el cumplimiento. Entonces no estaba equivocado, RSE no es sólo poner carteles en una plaza con la leyenda: esta plaza la cuida XYZ SA. RSE es mucho más que eso….

Para mayor sorpresa mía, días después, me entero por UNIT (Instituto Uruguayo de Normas Técnicas) de la existencia de la norma UNIT-ISO 26000 de Responsabilidad Social.

Tenemos la definición de una prestigiosa organización internacional, como  es ISO, que trata el tema y define Responsabilidad Social como:

“Responsabilidad de una organización ante los impactos que sus decisiones y actividades ocasionan en la sociedad y el medio ambiente, mediante un compromiso ético y transparente que:

  • Contribuya al desarrollo sostenible, incluyendo la salud y el bienestar general de la sociedad;
  • Tome en consideración las expectativas de sus partes interesadas;
  • Cumpla con la legislación aplicable y sea coherente con la normativa internacional de comportamiento;
  • Esté integrada a través de toda la organización y se lleve a la práctica en sus relaciones.”

Por lo visto tiene alguna vinculación con la familia de normas ISO/IEC  27000 de Seguridad de la Información. La norma ISO/IEC 27002 en su cláusula 15 nos habla de conformidad y parte de la legislación aplicable es la Protección de Datos Personales.

Agradecimiento:

Agradezco a Gabriel Fernández la revisión de este post.

 * Nota:

Flit es el nombre comercial de un insecticida.

Flit is the brand name for an insecticide. The original product, launched in 1923[1] and mainly intended for killing flies and mosquitoes, was mineral oil based and manufactured by the Standard Oil Company of New Jersey before the company, now part of ExxonMobil,

(Tomado de: Wikipedia, the free encyclopedia)

Nuevo Taller de Continuidad Operacional y Recuperación de Desastres

Martes 26 y jueves 28 de JULIO

de 9:30 a 12:30 Hs (6 horas en total)

 Taller Desarrollo de Plan de Continuidad Operacional: Identificación de activos de información. Clasificación de eventos de pérdida. Documentación del plan de continuidad requerido por la normativa bancocentralista.

Se trataran los tópicos principales que permitirán, a pequeñas y medianas empresas, elaborar o supervisar un plan de continuidad. Los asistentes dispondrán de distintos plantillas de trabajo que podrán adaptadas y aplicados a la realidad de cada empresa.

 Coordinador: Oscar Fernando Giudice – Mat. Nro.:T-2479 (COPITEC, Argentina)

 Lugar: Edificio Torre X. Juncal 1378 (Esquina Plaza independencia) – Planta Baja

Cupos limitados (hasta 12 asistentes por taller)

Valor de la inversión: USD 245 + IVA.

Incluye material y certificado de asistencia.

Regístrese ahora aquí, o por email: info@mvcrisks.com, consultas telefónicas al+598 2903.1144

Un Río y Dos Orillas en Protección de Datos Personales

Protección de datos personales y la familia de normas ISO 27.000

(Parte II)

En la primer parte de esta serie de notas sobre la familia de normas ISO 27.000 y las leyes de protección de datos me referí, en particular, a la Ley Uruguaya de PDP (Protección de Datos Personales) 18.331 y el decreto 414-009.

Poco tiempo después de posteada esa nota la AGESIC (1) desarrolla y publica las “Directrices para la aplicación de la Ley 18.331” esta recomendación o guía de buenas prácticas se encuentra basada en la familia de normas UNIT-ISO/IEC 27.000 en particular en la 27.002. Cabe aclarar que esto no es merito personal alguno, nada tuve que ver en ello. Lo que si tuve fue la visión de cuál era el camino adecuado, al menos según mi criterio y pareciera que el de AGESIC también.

Distinto es el caso de Argentina, país donde nací. La Ley de protección de datos personales, Ley 25.326, se sanciono (octubre de 2000) esto es bastante tiempo antes que la Ley Uruguaya homóloga se sancionase. En Argentina las  “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados” fueron establecidas por la DNPDP (2) mediante la  Disposición 11/2006 (Publicación en B.O.: 22/9/2006). Estas medidas se estructuran en tres categorías según la clasificación de los datos que se almacene, medidas de seguridad de nivel: básico (personales en gral.), medio (ej. Datos bancarios) y alto (datos sensibles). Esta clasificación es similar a la LOPD (3) de la AEPD (4).

A mi parecer a las medidas de seguridad emitidas por el órgano de control Argentino les falta la referencia o marco de un estándar internacional como son los ISO. Si bien muchos de los puntos exigidos por la DNPDP en las medidas de seguridad se encuentran detallados en la ISO 27.002 en ningún documento se hace mención a esta. Resulta rara esta situación cuando en distintos documentos del ArCERT (5) y del ONTI (6) se mencionan a las normas de la familia IRAM/ISO 27.000 o su antecesora la IRAM/ISO 17.799.

Más allá de todo esto y, a modo de ejemplo, veamos un caso práctico de aplicación de la noma ISO 27.002 para el cumplimiento de las leyes de protección de datos personales. Voy a tomar para este ejemplo el principio de legalidad o licitud aplicado a una base de datos de carácter personal.

Si se encuentra interesado en seguir leyendo puede descargar el artículo desde la sección de terceros del sitio Segu-Info: http://www.segu-info.com.ar/terceros/, a quienes agradezco su publicación.

www.tecnointegracion.net

Protección de datos personales y la familia de normas ISO/IEC 27000

Protección de datos personales y la familia de normas UNIT-ISO/IEC 27000

(Parte I)

Medidas Organizativas y de Seguridad para la Protección de Archivos con Datos de Carácter Personal

Ley 18.331 y Decreto 414-009

El día 14 de diciembre de 2009 venció el plazo para realizar el registro de las bases de datos que contengan datos personales. El registro debe realizarse en la URCDP, Unidad Reguladora y de Control de Datos Personales. La puesta en vigencia de la Ley y el organismo de regulación pertinente son un paso fundamental en la protección de los datos de las personas y en el derecho a la intimidad. Esta Ley permite a Uruguay ser considerado “país seguro” (en cuanto al tratamiento de datos personales) dentro de la CE y en algunos países de América Latina, que ya cuentan con este tipo de normativa, como la Rep. Argentina.

La inscripción de las bases es sólo una parte de la obligación, para que éstas se encuentren inscriptas debidamente se debe adecuar métodos, procedimientos y sistemas a lo solicitado por la Ley, entre otras cosas “Asegurar la Información

En cuanto a seguridad se refiere el texto del decreto 414/009 dice:

“Artículo 7º.- Medidas de seguridad. Tanto el responsable como el encargado de la base de datos o tratamiento deberán proteger los datos personales que sometan a tratamiento, mediante aquellas medidas técnicas y organizativas que resulten idóneas para garantizar su integridad, confidencialidad y disponibilidad.”

Vemos que la Ley nos habla de:

Medidas técnicas y organizativas que resulten idóneas para garantizar integridad, confidencialidad y disponibilidad.

El significado de esto según la norma UNIT-ISO/IEC 27000:2009 (tecnología de la información – visión general y vocabulario) es:

Integridad (2.25): es la Propiedad de salvaguardar la exactitud y completitud de los activos.

En otras palabras: La información es íntegra cuando es completa, precisa y se encuentra protegida contra modificaciones no autorizadas.

Confidencialidad (2.25):es la Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados

En otras palabras: La información sólo puede ser accedida por aquellas personas que están debidamente autorizadas y para lo cual están autorizadas.

Disponibilidad(2.7): es la “Propiedad de ser accesible y utilizable por solicitud de una entidad autorizada”.

En otras palabras: Que la información esté disponible y utilizable cuando sea lo requiera.

Nota: Los números entre paréntesis son las referencias
UNIT-ISO/IEC 27000:2009

Hasta aquí todo parece bastante claro, pero ¿Qué nos quieren decir con Medidas técnicas y organizativas que resulten idóneas?

El término “idóneo“, si de seguridad hablamos, me parece un poco vago e impreciso y en lo que a seguridad de la información se refiere no nos podemos permitir vaguedades e imprecisiones, mucho más si nos vamos a referir a datos personales, y en particular a aquellos que se consideran datos sensibles o especialmente protegidos, esto son:

Datos sensibles o especialmente protegidos

“los datos personales que revelen origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o a la vida sexual”.

Una manera de salir de la imprecisión es la adoptar un estándar o norma reconocida internacionalmente, en este caso y por lo que puede averiguar asistiendo a distintas charlas y conferencias la propuesta es: la familia de normas UNIT-ISO/IEC 27000, en particular la ISO 27002 – “Código de buenas prácticas para la gestión de la seguridad de la información”

Qué nos provee esta famila de normas:

ISO 27002 es el nuevo nombre de ISO 17799:2005 (año de edición). Está es una guía de buenas prácticas que describe: objetivos de control (39 objetivos), controles recomendables (133 controles), éstos se encuentran agrupados en 11 dominios, siendo estos:

* Política de seguridad

* Aspectos organizativos para la seguridad

* Clasificación y control de activos

* Seguridad ligada al personal

* Seguridad física y del entorno

* Gestión de comunicaciones y operaciones

* Control de accesos

* Desarrollo y mantenimiento de sistemas

* Gestión de incidentes de seguridad de la información

* Gestión de continuidad de negocio

* Conformidad

Dentro de cada dominio o sección, se especifican los objetivos de los distintos controles y para cada uno de éstos controles se indica una guía para su implantación, dentro de sus alcances leemos:

“Este Estándar Internacional establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Los objetivos delineados en este Estándar Internacional proporcionan un lineamiento general sobre los objetivos de gestión de seguridad de la información generalmente aceptados.

Los objetivos de control y los controles de este Estándar Internacional son diseñados para ser implementados para satisfacer los requerimientos identificados por una evaluación del riesgo.

Este Estándar Internacional puede servir como un lineamiento práctico para desarrollar estándares de seguridad organizacional y prácticas de gestión de seguridad efectivas y para ayudar a elaborar la confianza en las actividades inter-organizacionales”. *

Nota: cita textual de la Norma.

Es importante tener en cuenta que cada el estándar habla de “lineamientos y principios generales” por lo cual queda en manos de cada organización considerar previamente cuantos y que controles serán realmente los aplicables según sus propias necesidades, posibilidades y objetivos.

En una próxima entrega nos adentraremos en los controles que son aplicables a las bases de datos de carácter personal.

Links:

* UNIT

* ISO

* IEC

www.tecnointegracion.net