martes, 7 de abril de 2020

La protección de Datos personales clave en la definición del MSPI

La definición de políticas y controles para el correcto manejo de la información personal de clientes, empleados y demás actores dentro de las actividades que desarrolla la entidad es una pieza clave en el MSPI.




Dentro de la metodología para la correcta definición del Modelo de Seguridad y Privacidad de la Información (MSPI definido por MINTIC), se hace énfasis en controles que se deben aplicar a la información de datos personales que la entidad maneja, lo anterior va en concordancia con la ley 1266 del 2008 (Habeas data).

Un paso adicional y recomendado es reportar las bases de datos donde almacena esta información a la Superintendencia de industria y comercio (SIC), (Ley 1581 de 2012) entidad encargada por el Gobierno Nacional para proveer los mecanismos de control sobre estas bases de datos.

Para definir y catalogar las bases de datos que se deben reportar se aconseja seguir los lineamientos definidos por la SIC:
  • Finalidad de la Base de datos. 
  • Tipo de Norma que obliga su tratamiento. 
  • Ubicación física de la información. 
  • Tipos de datos personales almacenados.
  • Controles de seguridad sobre los datos.


Finalidad de la base de datos.

Identifique que procesos de la empresa están soportando estos datos personales, por cuanto tiempo mínimo los requiere almacenar y si son suficientes o esta almacenando más datos de los que requiere, algunos ejemplos de finalidades son: 
  • Actividades asociativas, culturales, recreativas, deportivas y sociales - Asistencia social 
  • Educación y cultura - Enseñanza Informal 
  • Finalidades varias - Procedimientos administrativos 
  • Gestión contable, fiscal y administrativa - Gestión de facturación 
  • Hacienda pública y gestión económico-financiera - Gestión tributaria y de recaudación 
  • Prestación de Servicios - Prestación de servicios de comunicaciones 
  • Recursos humanos - Gestión de personal 
  • Seguridad pública y defensa - Protección civil 
  • Servicios económico-financieros y seguros - Gestión de patrimonios 
  • Trabajo y bienestar social - Pensiones, subsidios y otras prestaciones económicas 
  • Finalidades varias – Custodia y gestión de información y bases de datos 
  • Gestión contable, fiscal y administrativa – Verificación de requisitos jurídicos, técnicos y/o financieros 
  • Gestión Técnica y Administrativa – Envío de comunicaciones 
  • Servicios de salud – Gestión de órdenes médicas y medicamentos 


Tipo de norma que obliga el tratamiento.

El tratamiento de datos personales sensibles o privados generalmente están sugestos a una norma o ley emitida por el entes gubernamentales.


Ubicación física de la información.

Aunque las bases de datos con datos personales pueden estar almacenados en forma física (carpetas, hojas impresas, cajas de cartón, etc.), o en medios magnéticos (computadores, USB, DVDs, etc.), es necesario conocer exactamente en que país están almacenados y, garantizar que el país exija los controles necesarios para la protección de estos datos personales.

NOTA: tenga en cuenta la definición del responsable y del encargado de los datos personales ya que dependiendo del rol también dependerá las responsabilidades que tenga ante una posible queja en la SIC.


Tipos de datos almacenados.

Es muy importante que identifique y tenga clara los diferentes tipos de datos personales definidos por la ley, entre mayor sea su sensibilidad; mayores controles debe garantizar para asegurar sus seguridad y evitar multas o sanciones que puede generar la SIC.
Controles de seguridad sobre los datos:

Es muy importante que identifique dentro de su empresa los riesgos a los que pueden estar expuestos los datos personales que administra, riesgos que pueden ocasionar el mal uso, la pérdida o el robo de los mismos para que así pueda definir políticas y controles tendientes a garantizar su correcta seguridad.

Estos controles pueden definirse dependiendo entre otros factores: el tipo de base de datos, la forma en que se tiene acceso a esta información, las personas autorizadas para manipularla, el tiempo que se requiere esta información, los fines para los que se usan, etc.



Fuentes: 

jueves, 6 de junio de 2019

MSPI - Cómo garantizar la restauración oportuna de sus operaciones?

Toda entidad debe identificar los impactos potenciales que amenazan la continuidad de sus actividades, generando así: respuestas efectivas para asegurar la prestación de los servicios a los ciudadanos.






lunes, 13 de mayo de 2019

Portal Único del Estado Colombiano - como único punto de acceso digital del ciudadano

Las entidades públicas deben implementar los lineamientos establecidos para publicar sus servicios en el Portal Único del Estado (Directiva Presidencial número 02 del 02 de abril de 2019).







MinTIC ya habilito los estandares, las directivas y los mecanismos de integración para que las entidades públicas de la Rama Ejecutiva del orden nacional y las entidades del orden territorial (en los términos del artículo 39 de la Ley 489 de 1998), integren sus trámites, servicios, ejercicios de participación, acceso a la información, colaboración y control social,etc, con el Portal Único del Estado Colombiano, esto en el marco de la Política de Gobierno Digital.



lunes, 1 de abril de 2019

Delitos cibernéticos y ataques dirigidos: resumen de amanazas de seguridad para el 2018

Los ataques informáticos llegan cada vez más a través de canales confiables, utilizando métodos de ataque sin archivos o usando herramientas legítimas con fines maliciosos.




La ausencia de una cultura en Seguridad de la Información en las organizaciones, la falta de controles y desconocimiento acerca del tema facilitan  a los delincuentes el acceso a la información. La implementación de un sistema de Gestión de la Seguridad de la Información (SGSI) basado en el Modelo de Seguridad y Privacidad de la Información (MSPI) para el caso de las entidades públicas, permite establecer políticas, controles  y procedimientos que a través del ciclo de mejora continua permite mitigar los riesgos de seguridad de la información en las organizaciones.



Los ciberdelincuentes buscan: desde el robo de información, causar interrupción o caída de servicios de producción, secuestro de información o monitoreo de sistemas para crear y orquestar ataques dirigidos que pueden causar serios daños reputacionales y económicos a las organizaciones.

A continuación, un resumen de las amenazas de seguridad mas relevantes durante el 2018:

Ataques a la cadena de suministro

Los ataques a la cadena de suministro continuaron siendo una característica del panorama de amenazas, con un aumento de los ataques del 78% en 2018, aprovechan servicios y software de terceros para comprometer un objetivo final. Es de destacar que los equipos de desarrolladores continuaron siendo explotados como fuente de ataques en la cadena de suministro: ya sea por el robo de las credenciales para herramientas de control de versiones o por el compromiso de las bibliotecas de terceros que están integradas en proyectos de software más grandes. 

Esto se ve reflejado en el aumento de robo de datos de las tarjetas de crédito y débito (formjacking) en compras a minoristas online que vieron comprometidos sus servicios prestados por terceros.

Powershell 

Procedimientos automáticos que pueden comprometer la configuración completa de un equipo informático, sólo para windows su uso aumentó en un 1.000% en el 2018.

Uso de herramientas del día a día sin utilizar código malicioso

Va en aumento ya que puede ayudar a los grupos de ataque a mantener un perfil bajo al ocultar su actividad en un volumen de procesos legítimos. Usan herramientas estándar y características del sistema operativo para llevar a cabo los ataques. 

Amenazas autopropagantes 

Continuaron creando dolores de cabeza para las organizaciones, pero, a diferencia de los gusanos antiguos, los gusanos modernos, no utilizan las vulnerabilidades de explotación remota para propagarse ahora buscan acceso forzado a recursos compartidos de la red para moverse lateralmente a través de una red. 

Aplicaciones en la nube

Desde problemas simples de mala configuración (deficiente), uso de bases de datos abiertas como MongoDB en la cual grupos de ataque lograron borrar sus contenidos y exigieron el pago para restaurarlos. 

Spam

El 55% de los correos electrónicos recibidos en 2018 se clasificaron como spam, donde:
  • La tasa de malware de correo electrónico se mantuvo estable. Los archivos de Microsoft Office representaron casi la mitad (48%) de todos los archivos adjuntos de correo electrónico maliciosos, continua el uso de macros en los archivos de Office como uno de los métodos preferidos para propagar las cargas útiles maliciosas, aunque iniciam a experimentar con archivos XML maliciosos y archivos de Office con cargas útiles DDE. 
  • Los niveles de phishing disminuyeron. ya que los grupos de ataque se centraron en el uso de archivos adjuntos de correo electrónico maliciosos como un vector de infección primario.

Permítanos conocer sus necesidades y elaborar estrategias para ayudarlos a detectar y minimizar los riesgos que estos nuevos ataques pueden traer a sus organizaciones.


Recuerden seguirnos en facebook, twitter, linkedIn, somos @bsolutiongroup



martes, 10 de julio de 2018

La evolución hacia la Política de Gobierno Digital - Estado y Ciudadanos generando soluciones

La tecnología como un factor para consolidar la generación de soluciones reales a problemas del país (Generación de valor público).





El plan de uso y aprovechamiento de la tecnología nace para garantizar la oferta de información, trámites y servicios, así como la participación y la democracia por medios electrónicos a los ciudadanos. Después de varios años de ejecución del plan empieza a desarrollarse en entornos de Confianza Digital donde el Estado y cada uno de los ciudadanos debe aportar soluciones a problemas reales del país.



Con base en lo anterior el Gobierno nacional establece lineamientos generales de la Política de Gobierno Digital para Colombia (ver DECRETO 1008 DE 2018), antes estrategia de Gobierno en Línea, que cada entidad que conforma la Administración Pública en los términos del artículo 39 de la Ley 489 de 1998 y los particulares que cumplen funciones administrativas deben implementar.

martes, 26 de junio de 2018

Monitorear el avance en la Gestión de TI en Entidades de la Administración Pública

Colombia ya tiene indicadores del avance de la implementación de las políticas de Gobierno Electrónico para monitorear el cumplimiento de los plazos para Entidades de la Administración Pública (Decreto 2573 de 2014).




martes, 30 de enero de 2018