Villacorp Blog Exclusivo en Mexico de Contraespionaje y Hacking Profesional

14Mar/12Off

Ley Federal de Datos Personales (1)

LeyDatos

ANTECEDENTES

En esta serie de tres publicaciones realizo una Interpretación Práctica de la nueva Ley Federal de Protección de Datos Personales y de su Reglamento. El propósito es analizar sus aspectos más relevantes y dar algunos tips prácticos, pero desde el punto de vista de Tecnologías de Información.

Hasta donde tengo conocimiento, Villacorp & Asociados es la primera Empresa en aportar este tipo de análisis, para facilitar la implementación de medidas efectivas de seguridad. Todos los Artículos mencionados corresponden al Reglamento de la Ley, salvo que indique lo contrario.

INTRODUCCIÓN

En primer lugar, esta Ley es la más importante en materia de Seguridad Informática que ha aparecido en nuestro País, siendo indispensable que todas las Empresas se familiaricen con sus aspectos más relevantes.

En segundo lugar, la Ley es de caracter obligatorio para casi todas las Organizaciones en México, tanto del Sector Público como del Privado, así como para las personas físicas. El Artículo 2 de la Ley indica que las únicas exentas son las Sociedades que manejan información crediticia (es decir, el Buró de Crédito) y los individuos que recopilen información sin fines comerciales.

El IFAI es la Institución facultada para vigilar su cumplimiento y aplicar sanciones cuando detecte violaciones a la seguridad.

Por tratarse de Normatividad muy reciente (el Reglamento se publicó apenas en Diciembre de 2011), muchas Empresas todavía desconocen sus obligaciones en materia de Protección de datos, dejándolas expuestas a caer en el incumplimiento, con los riesgos legales que esto representa.

PRESUPUESTO PARA SEGURIDAD INFORMÁTICA

El Artículo 48 indica que las Organizaciones deben asignar Recursos para implementar las disposiciones de la Ley. Cuando hablamos de Recursos, obviamente nos referimos al aspecto Presupuestal, Humano y Físico necesarios para tener un Programa efectivo de Seguridad Informática.

Considero que este Artículo es el más importante de todos, porque ayuda a combatir el argumento más común que usan las Empresas para tener desprotegida su información: "...es que no tenemos presupuesto asignado para Seguridad!".

Por otro lado, el Artículo 59 faculta a las Organizaciones a contratar Servicios de Seguridad Informática con terceros. Por el alto nivel de especialización que existe en este Campo, la disposición resulta muy valiosa, posibilitando asesorarse de expertos externos.

SEGURIDAD ADMINISTRATIVA, FÍSICA Y TÉCNICA

El Artículo 57 indica que las Organizaciones deben establecer mecanismos de Seguridad para cubrir tres aspectos: Administrativo, Físico y Técnico para proteger los Datos Personales bajo su custodia.

SEGURIDAD TÉCNICA. Con base en la experiencia práctica de más de quince años que tenemos en Seguridad Ofensiva, recomendamos fuertemente asignar prioridad al aspecto TÉCNICO de la Seguridad, por el poderoso motivo que los Delitos Cibernéticos más graves y costosos de la Historia han sido posibles por la existencia de vulnerabilidades técnicas en las Empresas.

Como ejemplo concreto, podemos mencionar el "Hackeo" más grave de todos los tiempos, ocurrido a la Empresa Sony. Este Incidente le costó 170 millones de dólares en multas, demandas y fallas en sus servicios. Lo importante a destacar es que este ataque fue posible por la existencia de una vulnerabilidad técnica en su Portal de Internet.

El segundo Hackeo más costoso de la historia (de 140 millones de dólares, a la Empresa Heartland, procesadora de tarjetas de crédito), fue causado también por una vulnerabilidad técnica, pero en ese caso, en su Red Inalámbrica.

En otro Incidente en México, ocurrido apenas hace algunos días, el Hackeo a una Base de Datos de la PGR, también fue posible por la existencia de una vulnerabilidad técnica en su Portal de Internet.

La lección más importante de estos Incidentes (denominados "Vulneraciones de Seguridad" en la Ley), es que la mayoría de los ataques a las Bases de Datos llegan en forma indirecta, a través del Entorno Digital que las rodea (como las Aplicaciones Web, Red Local, Red Inalámbrica, Servidores, Accesos Remotos y Perimetral). Por tanto, para blindar la Base de Datos contra delitos cibernéticos, tenemos que blindar toda la infraestructura tecnológica que se encuentra alrededor de la misma.

La otra lección crítica de esos Incidentes es que pudieron haberse evitado sin necesidad de adquirir equipos nuevos o cambiar la infraestructura tecnológica existente. En la gran mayoría de los casos, podemos blindarnos fuertemente explotando al máximo la capacidad de seguridad que ya existe en la infraestructura actual, pero que no se encuentra activa de fábrica.

Para activar esta capacidad latente, es muy recomendable apoyarse de expertos externos, porque esta tarea suele requerir conocimientos técnicos sumamente especializados, tanto de "Hacking Ético" como de Seguridad, que no son parte de las labores cotidianas que realiza el Administrador de Sistemas de la Empresa.

Recuerde que el Artículo 61 le solicita efectuar Revisiones de su Infraestructura, y los Estándares Internacionales le indican claramente que deben ser realizadas por especialistas externos a su Organización, para obtener una visión realmente independiente y neutral de la Seguridad en su Empresa.

Por tanto, nuestra recomendación es que primero invierta en Capacitación y Revisiones Técnicas para blindar su Infraestructura actual, antes de invertir en nuevos equipos y sistemas de Seguridad.

Por este motivo, Villacorp & Asociados se especializa en Auditorías y Revisiones Técnicas Avanzadas, para identificar oportunidades de mejora en todos los puntos críticos del Entorno Digital, antes de que sean atacados por un agente malicioso. Nuestros Cursos de Adiestramiento también son cien por ciento técnicos, para atender los riesgos más importantes a la seguridad de los Datos Personales.

SEGURIDAD ADMINISTRATIVA. El aspecto administrativo como la Clasificación de la Información (Art 2, Sección 5), Diseño de Políticas, Normas y Certificaciones, aunque importante, es recomendable planearlos a largo plazo, después de haber cubierto por completo el aspecto Técnico.

Invertir tiempo y dinero para implementar un Sistema de Gestión Administrativa se ve muy bonito en el papel. Sin embargo, la experiencia nos ha demostrado que cumplir con Estándares de Seguridad, por sí mismo casi nunca sirve para protegerse contra delitos cibernéticos.

Un ejemplo muy reciente de esta situación le acaba de suceder al Gobierno de Guanajuato. Aquí presumía de contar con un avanzado "Sistema de Gestión de Seguridad de la Información (SGSI)", basado en los mejores Estándares Internacionales. Sin embargo, este Incidente demostró en forma contundente que el Super-Sistema Administrativo falló miserablemente.

Al igual que los ataques a Sony, Heartland y la PGR, ese Hackeo fue posible por la existencia de vulnerabilidades técnicas en su Infraestructura. La experiencia nos ha enseñado repetidamente que cuando las Empresas asignan prioridad a la Gestión Administrativa con esquemas como ISO, Cobit e ITIL, en lugar de enfocarse en el aspecto Técnico, es mucho más probable que sean víctimas de los ataques.

(Cabe aclarar que como Consultor Independiente, soy totalmente neutral. No tengo ningún interés político en criticar al Gobierno Panista de Guanajuato. Lo uso de ejemplo, simplemente porque es el ataque público más reciente).

SEGURIDAD FÍSICA. Por último, para fines prácticos, considero que el aspecto FÍSICO de la Seguridad ya se encuentra cubierto satisfactoriamente en la mayoría de las Organizaciones en México. Es raro encontrar una Empresa importante que no tenga ya mecanismos como Vigilancia, Registro de Visitantes, Uso de Gafetes, Control de Acceso y Circuitos Cerrados de Televisión.

En estos casos, se recomiendan auditorías rápidas, simplemente para verificar la efectividad de esos mecanismos.

© 2012 Javier Villanueva. Todos los derechos reservados.

[Slashdot] [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]
Filed under: Legal Comments Off
Comments (0) Trackbacks (0)

Sorry, the comment form is closed at this time.

No trackbacks yet.

Powered by Netfirms