Riesgos por el uso de Memorias USB

flash-drive-148778_640 - CopyLa edición online de WIRED publicó una nota sobre la vulnerabilidad inherente a las memorias USB, debido a la posibilidad de que códigos maliciosos capaces de tomar control de una PC, redirigir su tráfico de Internet (re: botnets) o alterar los archivos instalados desde el dispositivo, sean instalados en el firmware que controla el funcionamiento de dichos dispositivos de almacenamiento, de manera tal que podría permanecer en él aún después de que pareciera haberse elminado su contenido, riesgo que a decir de la pubicación no podría ser evitado a menos que se prohibiera el uso compartido de USBs, o sellaran los puertos USB de las terminales de cómputo.

Tal hallazgo y conclusiones son producto de la investigación de Karsten Nohl y Jakob Lell en SR Labs, quienes concluyen que por tratarse de una vulnerabilidad producto de la propia manera en que los USB operan, no hay forma de solventarla, por lo que “…habría que considerar un USB como infectado y desecharlo tan pronto como tocara una computadora no-confiable”. Esto hace eco de las palabras (si la memoria no me falla) de Antoni Bosch Pujol(Director del MASGDTIC), quien durante su participación en el “Foro Internacional sobre Seguridad de Datos Personales, las Recomendaciones del IFAI“, llevado a cabo el pasado 5 de diciembre del 2013 y comentado en este blog, calificó a los drives USB (palabras más o menos) como “armas de destrucción masiva para la seguridad de la información”.

Considerando esto con relación a la obligación de proveer a la serguridad de los Datos Personales a los que den tratamiento los Responsables obligados al cumplimiento de la LFPDPPP, a través de medidas de seguridad física, administrativa y técnica de nivel no menor al que ocupen para la seguridad de su propia información, ¿querría decir que habría que proscribir por completo el uso de memorias USB, y cancelar los puertos de las computadoras en toda la organización, como hacen bancos y hospitales, para evitar el riesgo de una transgresión a las normas de protección de datos personales?

Mi idea al respecto es que no necesariamente; instituciones como las referidas lo hacen por motivos de seguridad de la información que manejan, pero los puertos USB son necesarios para la conectividad de muchos equipos, desde un mouse a un proyector o impresoras. Claro está que hay dispositivos que permiten lograr la misma conectividad de manera inalámbrica, pero también habría que considerar la utilidad/necesidad del traslado de información que se ocupa en el trabajo diario. Esta contraposición entre confidencialidad y disponibilidad de la información es una dicotomía difícil, cuando no imposible, de conciliar.

Las Recomendaciones en Materia de Seguridad de Datos Personales primeramente publicadas para comentarios públicos por la Comisión Federal de Mejora Regulatoria en agosto del 2013 contienen un concepto que no figura en las que fueron publicadas en el Diario Oficial de la Federación el 30 de octubre del año pasado, y que es esencial para la toma de decisiones a este respecto: el “RIESGO RESIDUAL“, definido como “el riesgo remanente después de tratar el riesgo”, entendido éste último como la “combinación de la probabilidad de un evento y su consecuencia desfavorable”, y que referido a la seguridad alude al “potencial de que cierta amenaza pueda explotar las vulnerabilidades de un activo o grupo de activos en perjuicio de la organización”.

Tratamiento del RiesgoEl diagrama de flujo del primer documento citado que aborda el Tratamiento del Riesgo (vid. supra) ilustra la ida que se condensa en los párrafos siguientes:

Retener el Riesgo: Se puede tomar la decisión de retener el riesgo sin considerar medidas adicionales si a través de la evaluación del riesgo se determina que no hay necesidad inmediata de implementar controles adicionales o que estos controles se pueden implementar posteriormente”.

Aceptación del Riesgo Residual: Al llegar al punto de aceptar el riesgo se deben asumir y registrar formalmente las decisiones sobre el plan de tratamiento del riesgo, así como el riesgo residual, el plan de tratamiento del riesgo debe describir cómo se tratarán los riesgos valorados para alcanzar los niveles de aceptación. Es importante que la Alta Dirección apruebe y revise tanto los planes de tratamiento, como el riesgo residual. Del mismo modo, deberá registrarse cualquier condición asociada con tal aprobación”.

“Aceptar el riesgo implica que el riesgo residual no entre en conflicto con los criterios previamente establecidos en los objetivos y alcances de la organización, por ejemplo, el riesgo residual no puede considerar la aceptación de un riesgo relacionado al cumplimiento de la LFPDPPP si ésta forma parte de las metas planteadas en el SGSDP”.

En conclusión, el permiso o prohibición para la utilización de USBs es una decisión muy particular y siempre propia de cada Responsable, resulltado de  debe ser tomada con base “…en el resultado de la valoración del riesgo, los costos estimados, y los beneficios esperados de implementar estas opciones. Si se obtiene una considerable reducción del riesgo con un costo relativamente bajo, esto es una combinación a considerar para implementar los controles. En general, las consecuencias adversas de los riesgos deben reducirse lo más razonablemente posible con independencia de cualquier criterio absoluto, por ejemplo, se deben considerar los riesgos que no ocurren con frecuencia pero que serían severos, en cuyo caso también se deben implementar controles”.

Desafortunadamente, no hay sistema alguno que sea absolutamente invulnerable, y el uso de sistemas informáticos, aunque necesario, requiere de inversiones que pueden ser más o menos considerables. Es decir, nos encontramos ante un supuesto de aquello que en Deontología se resuelve optando por el mal menor. Puede ser que haya niveles de riesgo que sean aceptables o tolerables; lo que jamás puede serlo es la negligencia, más aun en el tratamiento de datos personales. En tal sentido, podría considerarse establecer en la Política de Privacidad y Relación de Medidas de Seguridad que el uso de memorias USB quedará limitado a las que hubieran sido adquiridas por el Responsable para uso de su personal y/o prestadores de servicios, excluyendo las propias de estos (es decir, “no” al bring your own device), así como una revisión periódica de las mismos.

Para concluir, debe mencionarse que conforme a la fracción IX del artículo 61 del Reglamento de la LFPDPPP, es obligación de los Responsables considerar entre las acciones para establecer y mantener la seguridad de los datos personales, el realizar un registro de los medios de almacenamiento de los datos personales a los que den tratamiento, registro que debe comprender incluso aquellas memorias USB que el Responsable adquiriese en el curso de sus operaciones.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Compliance Report

Compliance and Ethics Powered by The Red Flag Group

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC Corporate Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site