Usar Contraseñas Inadecuadas Expondría a Multas del IFAI

ReformaContraseñas

Incorrect PasswordEl martes Reforma publicó una nota sobre lo común que es el uso de contraseñas poco robustas en empresas que, de suyo, son responsables del tratamiento de dado personales. Empresas especializadas en seguridad y protección informática como Symantec y Mattica reportan amplia y frecuentemente al respecto; y si, en efecto es muy común que la gente use “password”, su nombre o fecha de nacimiento, o los de una persona cercana a ellos, como contraseña.  El asunto no es de poca importancia, ya que podría exponer a tales responsables a sanciones por el IFAI.

Ello dado que la Ley y su Reglamento consagran 8 principios rectores en sus artículos 6 y 9, respectivamente; uno de ellos es el de Responsabilidad, desarrollado en los artículos 14 y 47 de la Ley y Reglamento, respectivamente, el cual consiste, esencialmente, en que el respnsable lo es ante los titulares de los datos tratados y ante la autoridad por el tratamiento que lleva a cabo, y ello incluye la seguridad de tales datos, que debe ser implementada a través de medidas físicas, administrativas y técnicas tendientes a prevenir o evitar que ocurran las vulneraciones de seguridad previstas en su artículo 63, a saber:

  1. La pérdida o destrucción no autorizada;
  2. El robo, extravío o copia no autorizada;
  3. El uso, acceso o tratamiento no autorizado, o
  4. El daño, la alteración o modificación no autorizada.
Con la intención de orientar a los Responsables en la determinación de las medidas de seguridad que deberían implementar en el Sistema de Gestión de Seguridad de Datos Personales con el que deberían contar de acuerdo con sus Recomendaciones en Materia de Seguridad de Datos Personales, a fin de poder acogerse al beneficio de atenuación de sanciones previsto por el artículo 58 del Reglamento, el IFAI desarrolló una Metodología de Análisis de Riesgo “BAA”, que son las siglas para “Beneficio (para el atacante), Accesibilidad (para dicho atacante) y Anonimidad (del atacante)”. El asunto de las contraseñas inseguras se relaciona directamente con el tema de Acceso a los Sistemas de Tratamiento de Datos Personales.
Para empezar, las contraseñas se denominan técnicamente “Factores de Autenticación“: mecanismos, tangibles o intangibles, basados en dispositivos, o en características del Usuario o información que sólo éste posea o conozca que se utilizan en las técnicas y procedimientos para verificar su identidad y facultad para reaizar operaciones en tales Sistemas. A este respecto es importante mencionar que en términos de los artículos 89 y 90, fracción II, del Código de Comercio, la combinación de un nombre de usuario y su contraseña constituyen una Firma Electrónica, y como tal su uso produce los mismos efectos jurídicos que la firma autógrafa, generando la presunción de que quien hizo uso de ellos era el respectivo Usuario. Dicho de otro modo, no proteger debidamente el nombre de Usuario y contraseña de acceso a un Sistema expone a dicho Usuario al riesgo de que las acciones realizadas por el tercero le sean atribuidas, y por ello pudiera ser sujeto de responsabilidad laboral, civil o incluso penal.
De acuerdo con la Metodología de Análisis de Riesgo BAA del IFAI, las medidas de seguridad deben ser determinadas considerando, además del Nivel de Riesgo Inherente de los datos personales tratados, y el Riesgo por Tipo de Dato, el Nivel de Anonimidad del Entorno desde el cual se acceda a los Sistemas de Tratamiento del Responsable. Para ello se determinaron 5 clases de Entornos, gradados de menor a mayor anonimidad:
  1. Físico;
  2. Red Interna;
  3. Red Inalámbrica;
  4. Red de Terceros, e
  5. Internet.

De tal manera, si el Responsable únicamente da Tratamiento a los Datos Personales a través de Sistemas en medios Físicos, como expedientes impresos, archiveros, directorios, etc., debería determinar qué Usuarios pueden o deben tener derecho para acceder a ellos, con qué nivel, y conservar un registro de los accesos realizados.

Por otra parte, si el Responsable da Tratamiento a los Datos Personales a través de Sistemas en una Red Interna, debería asignar a los Usuarios un identificador único (nombre de Usuario), y requerirles el uso de contraseñas de mínimo 10 a 12 caracteres, determinadas siguiendo buenas prácticas de seguridad.Si el acceso a los Sistemas de Tratamiento se lleva a cabo por medio de alta anonimidad, como redes inalámbricas o Internet, además se debe identificar a los Usuarios por medio de la dirección MAC o IP mediante la cual acceden, entre otras medidas.

Ahora bien, en caso de que la falta de constraseñas de acceso adecuadas provoque una vulneración de seguridad, la obligación de los Responsables es notificar a los Titulares afectados sobre (i) la naturaleza del incidente; (ii) los datos personales comprometidos; (iii) las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; (iv) las acciones correctivas realizadas de forma inmediata, y (v) los medios donde puede obtener más información al respecto.

Por ejemplo, un banco o SOFOM notificaría a sus tarjetahabientes que se dio un acceso no autorizado a sus sistemas de administración de cartera de crédito al consumo, por el que fueron sustraídos números de tarjeta de crédito y datos de identificación y ubicación de sus titulares (los cuales son considerados como de “riesgo reforzado” en las Recomendaciones de Seguridad del IFAI), por lo que las vulnerabilidades explotadas por el atacante están siendo resueltas y se les expidrán nuevos plásticos, a fin de evitar que el uso indebido de la información sustraída les provoque perjuicios patrimoniales.

¿Cuál es el riesgo al que se exponen los Responsables que no implementen una Política de Privacidad, incluyendo debida capacitación, ni Medidas de Seguridad que requieran a sus trabajadores o prestadores de servicio para resguardar debidamente sus Factores de Autenticación y tener contraseñas robustas? Una multa de 100 a 160,000 veces el salario mínimo general vigente en el D.F., con fundamento en el artículo 64, fracción II, de la Ley (dependiendo de la capacidad económica del infractor, la naturaleza de los datos vulnerados y el carácter intencional de la infracción conforme a su artículo 65), por dar tratamiento a los datos personales en contravención al citado Principio de Responsabilidad, infracción prevista en el artículo 63, fracción IV, de dicha Ley.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Compliance Report

Compliance and Ethics Powered by The Red Flag Group

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC Corporate Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site