Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 1

De los incidentes de seguridad en la gestión de la protección de datos

personales y la Industria 4.0

Jeimy J. Cano M., Ph.D, CFEProfesor Asociado

Escuela de Administración

Agenda

Introducción

Fundamentos conceptuales de Seguridad y Privacidad

Protección de datos personales en la industria 4.0

Retos de la protección de datos personales en la Industria 4.0- Dispositivos médicos implantados-

Gestión de incidentes de seguridad en la protección de datos personales

Prácticas emergentes de protección datos personales en la Industria 4.0

Reflexiones finales

2

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 2

Introducción

3

Retos de la transformación digital4

WEF-Accenture (2017) Digital TransformationInitiative. P.63. Recuperado de: http://reports.weforum.org/digital-transformation

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 3

Tendencias actuales5

Tendencias actuales6

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 4

Si el objetivo más alto de un capitán fuera preservar su barco, lo mantendría en el puerto por siempre.

Santo Tomás de Aquino

Fundamentos ConceptualesSeguridad de la Información y Privacidad

8

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 5

Seguridad y privacidad de la información9

VARIABLES SEGURIDAD DE LA INFORMACIÓN PRIVACIDAD DE LA INFORMACIÓN

Fundamento Es un proceso Es un derecho

Finalidad Protección de la información empresarial Protección de la información personal

PrincipiosConfidencialidad, integridad y

disponibilidad

Calidad, seguridad, apertura, “responsabilidad”, participación individual, limitación de uso, especificación de propósito, limitación de

recolección

Servicios que se deben asegurarAutenticación, autorización, no repudio y

auditabilidad

Anonimato, la imposibilidad para vincular, la imposibilidad para distinguir, la imposibilidad para

rastrear y la pseudonimia

Responsable Chief Information Security Officer (CISO)Delegado de Protección de Datos personales

(DPDP) / Chief Privacy Officer (CPO)

Foco Centrado en los datos Centrado en la persona

Buenas prácticasSerie ISO 27000, Documentos del NIST y del

ENISAISO/IEC 29100 Information Technology –Security

Techniques –Privacy framework

Reporte Independiente Independiente

Programa de protección de datos personales 10

Data BreachIncident Plan

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 6

¿Qué dicen las buenas prácticas y los estándares?11

1 Evento

Cualquier cambio de estado que tenga importancia para la gestión de un elemento de un

servicio de TI. (ITIL)

2 IncidenteCualquier evento que no forma parte del

desarrollo habitual del servicio y que causa, o puede causar una interrupción del mismo o una reducción de la calidad de dicho servicio (ITIL)

3 BrechaEs el resultado no autorizado de una serie de

eventos realizados por un agente que aprovechan o explotan vulnerabilidades de un servicio,

tecnología o sistema de información.Adaptado de: Howard y Longstaff, 1998

Ventana de Exposición en InfoSec 12

Exposiciónlatente

ExposiciónReal

Exposición Residual

Descubrimiento Revelación Solución Adaptado de: Arbaugh, W., Fithen, W. y McHugh, J. (2000) Windows of vulnerability: A case study analysis. IEEE Computer. December. Pág. 53

Exposición a los riesgosinherentes los sistemasde información

Se materializa la vulnera-bilidad en el sistema.

-Divulgación-

Se libera la solución, se prueba,se aplica y se controla la vulnera-bilidad.

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 7

“Sólo existen dos tipos de empresas: aquellas que han sido hackeadas, y otras que lo serán en el futuro”.

Robert Mueller, Director FBI, 2012

Protección de datos personales en la Industria 4.0

14

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 8

Industria 4.0 15

INDUSTRIA 1.0Era de la mecanización

Producción mecánica impulsada por aguay vapor

1784 Primer telar mecánico

INDUSTRIA 2.0Era de la electricidad

Producción masiva impulsada por energíaeléctrica

1870 Primera línea de producción

INDUSTRIA 3.0Era de la automatización

Producción automatizada por dispositivoselectrónicos y TI

1969 Primer controlador lógicoprogramable (PLC)

INDUSTRIA 4.0Era de las redes de humanos, máquinas y cosas

Producción a través de sistemas ciber-físicos

Nivel de complejidad

Inicio del siglo XXFinales del siglo XVIII Inicia en los 70’s Actualmente

Industria 4.0 16

Tomada de: https://www.pwc.com/ca/en/industries/industry-4-0.html

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 9

Productos/Servicios digitalmente modificados 17P

orter,

M.

yH

epp

elman

n,

J.(2014

)H

ow

Smart,

conn

ectedp

rodu

ctsare

transfo

rmin

gco

mp

etition

.Ha

rvard

Bu

siness

Review

.No

viemb

re.p

.7

Protegiendo objetos conectados18

Adaptado de: Waslo, R., Lewis, T. Hajj, R. y Carton, R. (2017) Industry 4.0 and cybersecurity. Managing risk in an age of connected production. A Deloitte series on digitalmanufacturing. Marzo. Recuperado de: https://dupress.deloitte.com/dup-us-en/focus/industry-4-0/cybersecurity-managing-risk-in-age-of-connected-production.html

ObjetosConectados

SEGURIDAD Y PRIVACIDAD

VIGILANCIA

RESILIENCIA

Desde el diseño

Protección de losdatos

Remediación de losefectos de losataques

Uso de ciclo de vida dedesarrollo seguro de softwarepara producir unproducto/servicio digitalmentemodificado functional yconfiable

Preservar las condiciones deseguridad y control a través elciclo de vida de los datos

Minimizar los efectos de un incidente mientras rápidamentese restauran la seguridad y las operaciones.

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 10

Jeimy J. Cano M.

“En la era de las transformaciones digitales, tomar riesgos calculados y retadores no es opcional. En este sentido, la incertidumbre deja de ser algo que se debe minimizar, para convertirse en una oportunidad para probar y simular; un camino para diferenciarse en su entorno de negocios”.

Retos de la protección de datos personales en la Industria 4.0

- Dispositivos médicos implantados-

20

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 11

21Modelo digital de la administración de la salud

WEF-A

ccentu

re(2

01

7) D

igital Transfo

rmatio

nIn

itiative. P

.51. Recu

perad

o d

e: h

ttp://rep

orts.w

eforu

m.org/d

igital-transform

ation

22

Retos seguridad y control en dispositivos médicos

https://opentechdiary.wordpress.com/author/sukanyamandal06/

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 12

La persona que pierde suintimidad lo pierde todo.

Milán Kundera

Gestión de incidentes de seguridad en la protección de datos personales

24

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 13

Marco General de Acción 25

Incrementa Responsabilidad Demostrada

ANTES DURANTE DESPUÉS

GOBIERNO DEL RIESGO DE PRIVACIDAD

• Deberes de la junta directivafrente al riesgo de privacidad

• Informes de análisis y seguimiento al riesgo de privacidad

• Estándares de debido cuidado y responsabilidad demostrada

ATENCIÓN Y CONTROL DE LA BRECHA

• Detectar, contener, remover y aprender de la brecha

• Comunicar y reportaradecuadamente las accionesrealizadas

• Manejar las expectativas de losgrupos de interés

ANÁLISIS DE RESPONSABILIDADES

• Activar el programa legal frente al riesgo de privacidad

• Validar y confirmar los deberes de protección de información de la empresa

• Evaluar la efectividad de la respuesta frente a la brecha

26

Shaw, T. (2011) Information security and privacy. A practical guide for Global Executives, Lawyers and Technologist. USA: American Bar Association. P.3

1. Identificación de obligacioneslegales y normativas

Seguridad y protección de datos

2. Identificación de potencialesfuentes de responsabilidad

Identificación de información “tóxica”

3. Políticas y valoraciones de riesgos de seguridad y privacidad

Gestión de riesgos de seguridad y protección de datos

4. Selección, diseño e implementaciónde controles

Estándares y buenas prácticas

5. Cumplimiento, auditoria y certificación

Monitoreo, evaluación y aseguramiento de controles

PROTECCIÓN DE LA INFORMACIÓN

ANTES

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 14

27

GESTIÓN DE BRECHASDE INFOSEC

DETECTAR CONTENER

APRENDER REMOVER

Identificar y valorar la brecha Limitar el alcance de la brecha

Iden

ificar la causa raíz

de la b

recha

Reg

istr

ar la

s le

ccio

nes

Ap

ren

did

as y

re

po

rtar

DURANTE

28DESPUÉS

ACTIVOS DE INFORMACIÓN TERCEROS INVOLUCRADOS REPORTE A SUPERVISORES PLANES DE ASEGURAMIENTO

Clasificación de la información por nivelde sensibilidad.

Listado y verificación de controles establecidospor nivel de sensibilidad.

Incidentes de seguridadde la informaciónreportados y atendidos.

Listado de terceros con acceso a la informaciónsensible de la empresa.

Verificación del estadode la práctica de seguridad y control del tercero.

Cláusulas contractualessobre la protección de la información sensible.

Preparación de cartas de notificación de la brecha.

Plan de acción para cierre y aseguramientode la brecha.

Asignación de responsabilidades para seguimiento de losplanes establecidos.

Informes de auditoria y seguimiento a cierre de hallazgos.

Ciclos de pruebas y verificaciones de controles.

Ajustes a los estándaresde debido cuidado

ANÁLISIS DE RESPONSABILIDADES

IMPLICACIONES LEGALES

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 15

“Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni

entiendes los problemas ni entiendes la tecnología”.

Bruce Schneier

Prácticas emergentes de protección datos personales en la Industria 4.0

30

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 16

Ingeniería de ciberresiliencia31

Ideas tomadas de: Bodeau, D. y Graubart, R. (2013) Cyber Resiliency and NIST Special Publication 800-53 Rev.4 Controls. Mitre Technical Report. MTR130531. Recuperado de: https://www.mitre.org/sites/default/files/publications/13-4047.pdf

ANTICIPAR

RECUPERAR

MANTENEREVOLUCIONARPROTECCIÓN DE DATOSProductos y servicios digitalmente

modificados

Mantenerse informado de las tendencias del entorno y sus potenciales condiciones adversas

Restaurar los fundamentos de la seguridad y operación durante y

después del incidente

Conservar y custodiar la esencia de los controles vigentes a pesar de las condiciones adversas

Ajustar y actualizar los fundamentos de seguridad y privacidad frente a las condiciones

adversas actuales o futuras

Gobierno y gestión de la complejidad32

Ciclo de adaptación

Simulaciones Prototipos

Ciclo de regulación

Ejercicios de auditoríainterna y externa

Mejores prácticas y estándares

Escenarios

Ciclo de adaptación:Pensar en el “afuera y el mañana”, creando el futuroatravés de simulaciones y prototipos para anticiparposibles y probables escenarios para crearcapacidades distintiva.

Ciclo de regulación:Asegurar el “interno y el ahora”, incorporando lasmejores prácticas y estándares de la industria, bajo lasexigencias de los ejercicios de auditoría interna yexterna, cuyos resultados permiten afinar losescenarios posibles y probables que creancapacidades distintivas.

Basado en el Modelo del Sistema Viable de Stafford Beer.

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 17

Marco de protección de la privacidad33

Grado de efectividad de la práctica

Gra

do

de

vuln

erac

ión

de

la

pri

vaci

dad

Vulneración específica

Vulneración especializada

Vulneración específica

Vulneración especializada

Efectividad a corto plazo

Efectividad a corto plazo Efectividad a largo plazo

Efectividad a largo plazo

Corto Plazo Largo Plazo

Específica

Especializada

ESTRATÉGICOEVOLUTIVO

ACTUAL RESISTENTE

Cano, J. (2016) Privacidad en era de la monitorización y la vigilancia: Un marco conceptual de protección de datos personales. ISACA Journal. Vol. 4. Recuperado de: https://www.isaca.org/Journal/archives/2016/volume-4/Pages/privacy-in-the-era-of-monitoring-and-surveillance-spanish.aspx

Lo verdaderamente importante eneste mundo no es tanto donde teencuentras, como en qué direcciónte estas moviendo.

Anónimo

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 18

Reflexiones finales

35

36

Transformación digitalMayores exigencias de innovación y agilidad para superar lasexpectativas de los clientes.

Convergenciatecnológica

Acelerada integración de tecnologías y usos intensivos de datos para crear experiencias distintas.

Múltiples fuentes de vulnerabilidades

Uso intensivo de ambientes descentralizados, móviles, virtualizados, enla nube y con tecnologías inteligentes.

Evolución de los perfilesde los atacantes

Mutación acelerada de motivaciones de los atacantes: Monetización de la información.

Interdependencia de proveedores

Mayor dependencia de terceros para asegurar la operación y protegerlas información de las empresas y personas.

Ideas tomadas de: Sigma (2017) Cyber: Getting to grips with complex risk. Swiss Re Institute. Economic Research & Consulting. No. 1. Recuperado de:http://institute.swissre.com/research/overview/sigma/01_2017.html

Universidad del RosarioEscuela de Administración

Junio/2017

JCM-17 19

PRIVACIDADPRÓXIMA SALIDA

SALIDA 1A

De los incidentes de seguridad en la gestión de la protección de datos

personales y la Industria 4.0

Jeimy J. Cano M., Ph.D, CFEProfesor Asociado

Escuela de Administración

Blog:

http://insecurityit.blogspot.com

@itinsecure