Jorge Navarro Abogado en TIC/Seguridad de la … · •Normas generales de entidades de los poderes federales y ... •Código de Comercio / Reglamento en materia de Prestación de

Jorge Navarro

Abogado en TIC/Seguridad de la Información

4 de septiembre de 2014

Agenda

I. Ciberseguridad: ¿Solo leyes y tratados?

II. Ecosistema legal internacional

III. Ecosistema legal nacional

IV. Conclusiones

La Ley en la ciberseguridad

2© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.

I. Ciberseguridad

¿Solo leyes y tratados?


• Constitución Federal

• Constituciones de los Estados y

Estatuto Orgánico del D.F.

• Leyes Federales y estatales: Orgánicas o reglamentarias

• Normas generales de entidades de los poderes federales y

estatales

• Jurisprudencia y Criterios del PJ: Federal y de los Estados

Ámbito nacional


i) Reglamentos

ii) Decretos

iii) Acuerdos

iv) Órdenes

v) Planes

vi) Programas

vii) Reglas Generales

viii) Normas Oficiales

Mexicanas

ix) Normas Técnicas

x) Disposiciones

Generales

xi) Circulares

xii) Resoluciones

xiii) Manuales

xiv) Formatos Oficiales

xv) Lineamientos

xvi) Parámetros

xvii) Agendas

xviii) Estrategias

xix) Códigos de Ética

xx) Convenios entre

poderes y/o con

particulares

• Tratados celebrados por el

Presidente ratificados por el Senado

(Art. 133 Constitucional):

• Otros instrumentos

• Sentencias de Tribunales extranjeros (i.e. TCE)

Ámbito internacional


i) Acuerdos

ii) Convenios

iii) Convenciones

i) las Leyes Modelo

ii) las Declaraciones

iii) las Resoluciones

iv) las Directrices

v) los Manuales

vi) los Estándares

xvi) las Reglas

xviii) los Marcos

xix) Mejores Prácticas Internacionales

iv) Pactos o

v) Protocolos, y pueden ser

bilaterales o multilaterales

Recomendación UIT–T X.1205

“Ciberseguridad”

• Herramientas, políticas, conceptos de

seguridad, salvaguardas de seguridad,

directrices, métodos de gestión de

riesgos, acciones, formación, prácticas

idóneas, seguros y tecnologías

• Protegen activos de organización y

usuarios en ciberentorno

• Dispositivos informáticos conectados,

Usuarios, servicios/aplicaciones,

sistemas de comunicaciones,

comunicaciones multimedios

¿Qué es la ciberseguridad?

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 6

• Totalidad de la información transmitida y/o

almacenada en el ciberentorno

• Garantiza se alcancen y mantengan

propiedades de seguridad de activos y

usuarios contra riesgos de seguridad en

ciberentorno

• Las propiedades de seguridad:

disponibilidad; integridad, que puede

incluir la autenticidad y el no repudio;

confidencialidad

¿Qué es la ciberseguridad?


Actores internacionales de la ciberseguridad


Leyes, regulación

administrativa y

su ejecución

Vigilancia, alerta y

respuesta a incidentes

Privacidad,

protección de datos

y al consumidor

Estándares técnicos y

soluciones industriales

Combate al spam

Intercambio

de información

ITU


Leyes, regulación

administrativa y su ejecución

• APEC

• OEA

• ASEAN

• Interpol

• ONUCDPC

• Consejo de Europa

• Grupo de los 6 (G8)

• Unión Europea

• Ministerios de

Justicia Nacionales

ITUVigilancia, alerta y

respuesta a incidentes

• FIRST

• ENISA

• Grupo EGC

• IWWN

• CERT-CC

Intercambio de información

• OCDE

• Telecomunidad Asia-

Pacífico (APT)

• APEC

• ENISA

• Banco Mundial

• Unión Africana

• OEA

• Liga Árabe


Privacidad, protección de

datos y al consumidor

• Grupo discusión sobre

administración de la

Identidad ITU-T

• EPIC

• Privacy International

• OCDE

• Conf. Internacional de

Protección de Datos y Priv.

• IWGDPT

• Unión Europea

ITUEstándares técnicos y

soluciones industriales

• Cámara de Comercio

Internacional

• Grupo de Estudio 17 ITU-T

• ISO

• ETSI

• IETF


Combate al Spam

• Seoul-Melbourne MoU

• Plan de Acción de Londres (LAP)

• OCDE

• APECTEL, ECSG

• Antiphising Working Group (APWG)

• CNSA

• MAAWG

• CAUCE Regional y Nacional

• Stop Spam Alliance

ITU

Plataforma de cinco elementos

Agenda sobre ciberseguridad global


Secretario General de la UIT | GEANC

01/ MEDIDAS LEGALES

Las metas incluyen estrategias para diseñar

legislación modelo sobre ciberdelito que es

compatible y aplicable mundialmente

02/ MEDIDAS TÉCNICAS Y DE PROCEDIMIENTO

Las metas incluyen estrategias para diseñar un

marco mundial de protocolos de seguridad,

normas y planes de acreditación de programas

y equipos informáticos




03/ ESTRUCTURAS INSTITUCIONALES

Los métodos incluyen estrategias mundiales –

tendentes- a establecer estructuras

institucionales y políticas sobre ciberdelito,

vigilancia, alerta y respuesta ante incidentes, y

un sistema de identidad digital genérica y

universal

04/ CREACIÓN DE CAPACIDADES

Las metas incluyen objetivos estratégicos para

facilitar la constitución de capacidades

humanas e institucional en las esferas 1, 2 y 3




05/ COOPERACIÓN INSTITUCIONAL

Los métodos incluyen propuestas encaminadas

a establecer un marco de diálogo, cooperación

y coordinación internacionales

II. Ecosistema

legal internacional


La Supercarretera de la Información


https://youtu.be/LaUsZQGwNXY

https://youtu.be/LaUsZQGwNXY

Ecosistema legal internacional

• Organización del Tratado del Atlántico Norte (OTAN)

• Comisión de las Naciones Unidas para el Derecho Mercantil

Internacional (CNUDMI o UNCITRAL)

• Unión Internacional de Telecomunicaciones / UIT

• Comisión Económica para América Latina y el Caribe de las

Naciones Unidas (CEPAL)

• Organización de Estados Americanos (OEA) /

Comité Interamericano contra el Terrorismo (CICTE)


Ecosistema legal internacional

• Organización para la Cooperación y

el Desarrollo Económicos (OCDE)

• Foro de Cooperación Económica

Asia-Pacífico (APEC)

• Unión Europea / Consejo de Europa

• NETMundial

• Relatores de los Derechos Humanos

ONU y OEA

• Otros instrumentos internacionales


III. Ecosistema

legal nacional


Algunos retos para la ciberseguridad

Estados de Desarrollo de Gobierno Electrónico

Principios

1. Gobierno al alcance de todos desde cualquier parte

2. No pedir al ciudadano información que ya está en registros del gobierno

3. Calidad de servicios homogénea en todas las agencias de gobierno


Fuente: Moreno, Hernán. El fin del Gobierno electrónico, CEPAL, 2007

B Burocracia

Burocracia e Informática

Burocracia e Informática

e Interoperabilidad

BI

BII

Algunos retos para la ciberseguridad

Tipología de Análisis y Estados Desarrollo

Desafío /

Estado evolución B BI BII

Semántico Formularios papelFormularios papel y

digitalesFormularios digitales

Organizacional Agencias autónomas en manejo de información

Agencias autónomas en

manejo de información

propia. Uso de información

de otras agencias.

Técnico

Máquinas de escribir,

calculadoras, archivo,

documentos papel,

certificaciones, sellos

Máquinas de escribir,

calculadoras, archivo,

documentos papel,

computadoras,

impresoras, archivos

digitales, certificaciones,

sellos

Computadoras, impresoras,

archivos digitales, firma y

pago electrónico

Gobernanza Marco legal, reglamento interno agencia

Marco legal, reglamento

interno agencia,

interoperabilidad,

estándares, coordinación con

otras agencias

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Fuente: Moreno, Hernán. El fin del Gobierno electrónico, CEPAL, 200721

¿Un problema de feudos?


Ecosistema legal nacional

• Constitución Federal

• Ley Federal de Transparencia y Acceso a la Información Pública

Gubernamental / Reglamento / Lineamientos

• Ley Federal de Protección de Datos en Posesión de los Particulares /

Reglamento / Recomendaciones/ Lineamientos / Parámetros / Criterios

• Ley Federal de Telecomunicaciones y Radiodifusión

• Ley Federal de Archivos /Reglamentos/ Lineamientos para la

clasificación

• Código de Comercio / Reglamento en materia de Prestación de

Servicios de Certificación; Normas Generales; NOM-151

• Código Fiscal de la Federación / Reglamento / Miscelánea Fiscal 2014



• Ley de Instituciones de Crédito; Circular Única

de Bancos

• Ley de la Propiedad Industrial; Ley Federal del

Derecho de Autor

• Código Penal Federal; Código Federal de

Procedimientos Penales; Ley de Seguridad

Nacional, Acuerdos de PGR para preservar

evidencias 2011

• Ley Federal del Trabajo

• Ley Federal de Responsabilidades

Administrativas de los Servidores Públicos



• Ley Orgánica de la Administración Pública

Federal / Reglamentos Interiores/ Estatutos

Orgánicos; Ley Federal de la Policía Federal

• PND 2013- 2018; Programa Nacional de

Seguridad Pública 2014-2018; Programa para

la Seguridad Nacional 2014- 2018; Estrategia

Digital Nacional; Acuerdo (Mayo 8, 2014) y

MAAGTICSI.


Reglamento

LFPDPPP


1 Persona o

departamento de

datos personales

2 Avisos de

privacidad

3 Derechos de

acceso,

rectificación,

cancelación y

oposición

4Medidas de seguridad

administrativas,

técnicas y físicas para

proteger los datos

personales

5 Procedimiento para la

atención de

reclamaciones de

protección de derechos

A

Designación

persona o

departamento

datos personales

• Elemento del aviso

• Elaborar aviso

• Estrategia de

publicación

• Organización y

normatividad

• Modelo operativo

• Inventario datos

personales

• Cultura organizacional

• Formación

• Flujo de atención

• Responsabilidades

B

• Estructura

organizacional

• Formación

• Marco normativo

• Avisos en

aplicaciones

• Avisos en procesos

• Capacitación

atención ARCO

• Modelo de

atención

• Modelo de gestión

• Medidas de protección

datos personales

• Análisis GAP

• Plan director

• Gestión de incidentes

• Funciones y obligaciones

• Directrices, lineamientos,

principios, derechos,

deberes y organización

• Formación y

sensibilización

C

• Documentar

funciones

• Mejora continua

• Autoevaluación

• Avisos en nuevos

productos y

servicios

• Actualización de

avisos con cambios

normativos

• Código y modelo

de autorregulación

ARCO

• Código y modelo de

autorregulación datos

personales

• Manual de funciones y

obligaciones

• Implementación de

funciones

A – Acciones básicas

B – Implementación de organización, atención y plan

de implementación de medidas de seguridad

C – Modelo de autorregulación

1 Art 6, 14 y 30 de la Ley; Arts 47 y 48 del Reglamento2 Arts 16 y 17 de la ley; Arts 23 a 31 del Reglamento3 Capítulo IV de la Ley y Capítulo VI del Reglamento4 Art 19 de la Ley; Arts 3 Fraccs. V, VI y VII; 48 y Capítulo III del Reglamento5 Capítulo VII de la Ley; Capítulo VIII del Reglamento

Reglamento

LFPDPPP


Mejores prácticas

Recomendaciones en materia de

Seguridad de Datos personales del

IFAI (DOF: 30/10/2013)

Recomendación General consiste en

adoptar un Sistema de Gestión de

Seguridad de Datos Personales

(SGSDP) basado en el ciclo PHVA

(Planear-Hacer-Verificar-Actuar).

El SGSDP tiene como objetivo proveer

un marco de trabajo para el tratamiento

de datos personales, que permita

mantener vigente y mejorar el

cumplimiento de la legislación sobre

protección de datos personales y

fomentar las buenas prácticas.

Planear

Implementar /

Operar

Monitorear /

Revisar

Mejorar

SGSDP


Recomendaciones en materia de Seguridad de

Datos personales del IFAI (DOF: 30/10/2013)

12

3

546

789

Establecer el alcance y objetivos

Elaborar una política de

gestión de datos personalesEstablecer funciones y obligaciones

de quienes traten datos personalesElaborar un inventario

de datos personales

Realizar el análisis de riesgo

de los datos personalesIdentificar las medidas de

seguridad y análisis de brecha

Implementar las medidas de

seguridad aplicables a los

datos personales

Revisiones y Auditoría

Mejora continua y capacitación


Mejores prácticas


¿Seguridad de

la Información?

Benditas selfies


Investigación de delitos informáticos

Procesos en la investigación

Procesamiento del

lugar de los hechos

IDENTIFICACIÓN

FIGURACIÓN Y

ASEGURAMIENTO

EMBALAJE Y

PRESERVACIÓN

Procesamiento de la

posible evidencia

PRESERVACIÓN

PROCESAMIENTO

Emisión de

resultados

ANÁLISIS

CONCLUSIONES

SOLICITUD DE

INTERVENCIÓN

INTEGRACIÓN DE

LA INVESTIGACIÓN

CADENA DE CUSTODIA


Delitos informáticos

Código Penal Federal

Espionaje Art 127 al 129

Códigos maliciosos, ingeniería social, intervención de comunicaciones

Rebelión Art 133 al 135

Páginas WEB, comunicaciones móviles

Terrorismo Art 133 al 135

Códigos maliciosos, páginas WEB, comunicaciones móviles

Sabotaje Art 140

Códigos maliciosos, ingeniería social, accesos no autorizados

Conspiración Art 141

Difusión a través de internet y dispositivos móviles

Delitos en materia de vías de comunicación Art 167 a 168

Códigos maliciosos, intervención de comunicaciones, decodificación de

comunicaciones© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 33



Violación de correspondencia Art 173, 176 177

Códigos maliciosos, intervención de comunicaciones, decodificación de

comunicaciones

Delitos contra la salud Art 193 y 194

Difusión a través de Internet y dispositivos móviles

Corrupción de las personas Art 200, 202, 202 bis


Trata de personas Art 205, 206 bis


Revelación de secretos Art 210, 211, 211 bis

Códigos maliciosos, ingeniería social, redes bot

Accesos no autorizados a sistemas de cómputo Art 211 bis 1 al 211 bis 7

Códigos maliciosos, ingeniería social, redes bot© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 34



Falsedad Art 234 al 246

Falsificación de documentos a través de software y hardware, phising,

distribución a través de internet y dispositivos móviles

Delitos contra la paz y seguridad de las personas (amenazas) Art 282 y 283

Correo electrónico, mensajería instantánea, mensajes escritos, telefonía móvil

Homicidio Art 302

Códigos maliciosos, redes informáticas, sistemas informáticos

Robo Art 367, 368Códigos maliciosos, ingeniería social, redes informáticas, sistemas informáticos

Fraude Art 286

Phising, pharming, ingeniería social, códigos maliciosos, redes bot

Extorsión Art 390

Correos electrónicos, mensajería instantánea, mensajes de texto




Operaciones con recursos de procedencia ilícita Art 400

Fraudes financieros, páginas WEB, dispositivos móviles

Delitos electorales Art 403, 405

Correos electrónicos, redes sociales, mensajería instantánea

Delitos en materia de derechos de autor Art 424

Códigos maliciosos, ingeniería social, redes bot


IV. Conclusiones


Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro,

cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructura legal

de Deloitte Touche Tohmatsu Limited y sus firmas miembro.

Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a clientes públicos y privados de diversas industrias.

Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes,

aportando la experiencia necesaria para hacer frente a los retos más complejos de los negocios. Cuenta con más de 200,000 profesionales,

todos comprometidos a ser el modelo de excelencia.

Tal y como se usa en este documento, “Deloitte” significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en,

y limita sus negocios a, la prestación de servicios de auditoría, consultoría fiscal, asesoría financiera y otros servicios profesionales en México,

bajo el nombre de “Deloitte”.

Esta publicación sólo contiene información general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas

(en conjunto la “Red Deloitte”), presta asesoría o servicios por medio de esta publicación. Antes de tomar cualquier decisión o medida que pueda afectar sus

finanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, será responsable de pérdidas que pudiera sufrir

cualquier persona o entidad que consulte esta publicación.

Documents

Jorge Navarro Abogado en TIC/Seguridad de la … · •Normas generales de entidades de los poderes federales y ... •Código de Comercio / Reglamento en materia de Prestación de