archivo

Archivo de la etiqueta: Diario Oficial de la Federación

flash-drive-148778_640 - CopyLa edición online de WIRED publicó una nota sobre la vulnerabilidad inherente a las memorias USB, debido a la posibilidad de que códigos maliciosos capaces de tomar control de una PC, redirigir su tráfico de Internet (re: botnets) o alterar los archivos instalados desde el dispositivo, sean instalados en el firmware que controla el funcionamiento de dichos dispositivos de almacenamiento, de manera tal que podría permanecer en él aún después de que pareciera haberse elminado su contenido, riesgo que a decir de la pubicación no podría ser evitado a menos que se prohibiera el uso compartido de USBs, o sellaran los puertos USB de las terminales de cómputo.

Tal hallazgo y conclusiones son producto de la investigación de Karsten Nohl y Jakob Lell en SR Labs, quienes concluyen que por tratarse de una vulnerabilidad producto de la propia manera en que los USB operan, no hay forma de solventarla, por lo que “…habría que considerar un USB como infectado y desecharlo tan pronto como tocara una computadora no-confiable”. Esto hace eco de las palabras (si la memoria no me falla) de Antoni Bosch Pujol(Director del MASGDTIC), quien durante su participación en el “Foro Internacional sobre Seguridad de Datos Personales, las Recomendaciones del IFAI“, llevado a cabo el pasado 5 de diciembre del 2013 y comentado en este blog, calificó a los drives USB (palabras más o menos) como “armas de destrucción masiva para la seguridad de la información”.

Considerando esto con relación a la obligación de proveer a la serguridad de los Datos Personales a los que den tratamiento los Responsables obligados al cumplimiento de la LFPDPPP, a través de medidas de seguridad física, administrativa y técnica de nivel no menor al que ocupen para la seguridad de su propia información, ¿querría decir que habría que proscribir por completo el uso de memorias USB, y cancelar los puertos de las computadoras en toda la organización, como hacen bancos y hospitales, para evitar el riesgo de una transgresión a las normas de protección de datos personales?

Mi idea al respecto es que no necesariamente; instituciones como las referidas lo hacen por motivos de seguridad de la información que manejan, pero los puertos USB son necesarios para la conectividad de muchos equipos, desde un mouse a un proyector o impresoras. Claro está que hay dispositivos que permiten lograr la misma conectividad de manera inalámbrica, pero también habría que considerar la utilidad/necesidad del traslado de información que se ocupa en el trabajo diario. Esta contraposición entre confidencialidad y disponibilidad de la información es una dicotomía difícil, cuando no imposible, de conciliar.

Las Recomendaciones en Materia de Seguridad de Datos Personales primeramente publicadas para comentarios públicos por la Comisión Federal de Mejora Regulatoria en agosto del 2013 contienen un concepto que no figura en las que fueron publicadas en el Diario Oficial de la Federación el 30 de octubre del año pasado, y que es esencial para la toma de decisiones a este respecto: el “RIESGO RESIDUAL“, definido como “el riesgo remanente después de tratar el riesgo”, entendido éste último como la “combinación de la probabilidad de un evento y su consecuencia desfavorable”, y que referido a la seguridad alude al “potencial de que cierta amenaza pueda explotar las vulnerabilidades de un activo o grupo de activos en perjuicio de la organización”.

Tratamiento del RiesgoEl diagrama de flujo del primer documento citado que aborda el Tratamiento del Riesgo (vid. supra) ilustra la ida que se condensa en los párrafos siguientes:

Retener el Riesgo: Se puede tomar la decisión de retener el riesgo sin considerar medidas adicionales si a través de la evaluación del riesgo se determina que no hay necesidad inmediata de implementar controles adicionales o que estos controles se pueden implementar posteriormente”.

Aceptación del Riesgo Residual: Al llegar al punto de aceptar el riesgo se deben asumir y registrar formalmente las decisiones sobre el plan de tratamiento del riesgo, así como el riesgo residual, el plan de tratamiento del riesgo debe describir cómo se tratarán los riesgos valorados para alcanzar los niveles de aceptación. Es importante que la Alta Dirección apruebe y revise tanto los planes de tratamiento, como el riesgo residual. Del mismo modo, deberá registrarse cualquier condición asociada con tal aprobación”.

“Aceptar el riesgo implica que el riesgo residual no entre en conflicto con los criterios previamente establecidos en los objetivos y alcances de la organización, por ejemplo, el riesgo residual no puede considerar la aceptación de un riesgo relacionado al cumplimiento de la LFPDPPP si ésta forma parte de las metas planteadas en el SGSDP”.

En conclusión, el permiso o prohibición para la utilización de USBs es una decisión muy particular y siempre propia de cada Responsable, resulltado de  debe ser tomada con base “…en el resultado de la valoración del riesgo, los costos estimados, y los beneficios esperados de implementar estas opciones. Si se obtiene una considerable reducción del riesgo con un costo relativamente bajo, esto es una combinación a considerar para implementar los controles. En general, las consecuencias adversas de los riesgos deben reducirse lo más razonablemente posible con independencia de cualquier criterio absoluto, por ejemplo, se deben considerar los riesgos que no ocurren con frecuencia pero que serían severos, en cuyo caso también se deben implementar controles”.

Desafortunadamente, no hay sistema alguno que sea absolutamente invulnerable, y el uso de sistemas informáticos, aunque necesario, requiere de inversiones que pueden ser más o menos considerables. Es decir, nos encontramos ante un supuesto de aquello que en Deontología se resuelve optando por el mal menor. Puede ser que haya niveles de riesgo que sean aceptables o tolerables; lo que jamás puede serlo es la negligencia, más aun en el tratamiento de datos personales. En tal sentido, podría considerarse establecer en la Política de Privacidad y Relación de Medidas de Seguridad que el uso de memorias USB quedará limitado a las que hubieran sido adquiridas por el Responsable para uso de su personal y/o prestadores de servicios, excluyendo las propias de estos (es decir, “no” al bring your own device), así como una revisión periódica de las mismos.

Para concluir, debe mencionarse que conforme a la fracción IX del artículo 61 del Reglamento de la LFPDPPP, es obligación de los Responsables considerar entre las acciones para establecer y mantener la seguridad de los datos personales, el realizar un registro de los medios de almacenamiento de los datos personales a los que den tratamiento, registro que debe comprender incluso aquellas memorias USB que el Responsable adquiriese en el curso de sus operaciones.

 

El Economista reportó a principios de agosto que Ramón Cabrera, Subprocurador Fiscal de Investigaciones de la SHCP, afirmó que estaba listo un primer borrador del Reglamento de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, y que confirmó que el documento definitivo estaría listo antes del 16 de agosto.

Pues conforme a lo dicho por él, el Reglamento fue publicado hoy en el Diario Oficial de la Federación. ¿Qué implica esto para la práctica en la materia?

Por principio, que la presentación de los Avisos que quienes realicen Actividades Vulnerables están obligados a llevar a cabo se realizará por primera vez el 30 de Octubre. Ello toda vez que:

  • De acuerdo con el artículo 23 de la Ley, los Avisos de quienes realicen Actividades Vulnerables deberán ser presentados a más tardar el día 17 del mes inmediato siguiente a aquel en que se hubiera llevado a cabo la operación que le diera origen y que fuera objeto de Aviso.
  • El párrafo segundo del Artículo Cuarto Transitorio de la propia Ley dispone que la presentación de los Avisos se llevará a cabo por primera vez, a la entrada en vigor de su Reglamento, y que tales Avisos deberán contener la información de los actos u operaciones celebrados a partir de la fecha de entrada en vigor del citado Reglamento, y
  • Los Artículos Primero y Segundo Transitorios del Reglamento establecen: (i) que dicho estatuto entrará en vigor el 1 de Septiembre, y que las disposiciones sobre presentación de Avisos por Actividades Vulnerables entrarán en vigor a los 60 días siguientes a la entrada en vigor del propio Reglamento, debiendo contener dichos primeros avisos la información de los actos u operaciones relacionados con las Actividades Vulnerables realizadas a partir del 1 de septiembre de 2013.
En tal virtud, el primer Aviso de quienes realicen Actividades Vulnerables, por operaciones realizadas en Septiembre, deberá ser presentado al finalizar Octubre, y el 17 de Noviembre deberá presentarse el Aviso por las operaciones de Octubre.
Ahora bien, no obstante que el artículo 39 de la Ley establece que la información que derive de los Avisos que se presenten ante las autoridades competentes, será utilizada exclusivamente para la prevención, identificación, investigación y sanción deoperaciones con recursos de procedencia ilícita y demás delitos relacionados con éstas, la íntima relación del régimen de identificación y prevención de operaciones con recursos de procedencia ilícita con la recaudación fiscal es obvia.
Por principio, como tipo penal accesorio las operaciones con recursos de procedencia ilícita generalmente implican también uno o más delitos fiscales; por otra parte, el Servicio de Administración Tributaria tiene ya claro el universo mínimo de sujetos obligados que realizan Actividades Vulnerables por la información que obtiene a través de las Declaraciones Informativas de Operaciones con Terceros (DIOTs), de manera que no es gratuito el hecho que los Avisos deban ser dados a ese órgano desconcentrado.
Por ello de acuerdo con el artículo 12 del Reglamento quienes lleven a cabo Actividades Vulnerables deben estar inscritos ante el RFC y tener certificado digital de FIEL. De no haberlo hecho ni contar con FIEL, tendrán que hacerlo y enviar al propio SAT desde el 1 de octubre del 2013 la información de identificación que sea prevista en las Reglas de Carácter General que emita la SHCP.

Si bien éstas últimas están pendientes y no aparecen aún en el buscador de regulaciones de la Comisión Federal de Mejora Regulatoria (al igual que el Reglamento no figuró en su momento), el hecho de que este ordenamiento hubiera sido expedido en tiempo y contra toda expectativa del público y el foro en general es indicativo de la importancia y prioridad de la matera.

Momento de poner manos a la obra en cumplimiento normativo, mismo que Galaz, Yamazaki, Ruiz Urquiza, S.C. (“Deloitte” México) estiman puede tener un costo de entre $50,000.00 y $80,000.00 M.N. para pequeñas y medianas empresas.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site