Resumen- Este trabajo nació de la necesidad de un cambio en el proceso de Seguridad por la necesidad de cumplimiento de PII (Personally identifiable information) de sus siglas en ingles donde no se realiza de la forma adecuada. Se pretende investigar sobre los diferentes marcos de para así verificar cual podría evitar los problemas que hay. El proceso de Seguridad es un proceso que no registra ningún dato sobre sus resultados por lo que el cliente no está seguro de si el trabajo que se realizó realmente está integro. Se ambiciona evaluar la forma de mejorar este proceso para que no se sigan entregando responsabilidades incompletas o mal hechos con falta de cumplimiento de Seguridad para la industria a como estas practicas son aplicables para todo el sector como la privacidad de la información es un tema de importancia mas con la emergente revolución industrial 4.0 del tecno-humanismo.

Palabras Claves

Buenas Prácticas, PII, Seguridad, Expedientes Digitales, Integridad, NIST.

Abstract— This work was born from the need for a change in the Security process due to the need for compliance with PII (Personally Identifiable Information) of its initials in English where the proper form is not performed. It is intended to investigate the different frameworks in order to verify which could avoid the problems that exist. The security process is a process that does not

32

Recibido 18/set/2019

Aprobado 11/nov/2019

record any data about its results, so the client is not sure if the work that was done is really integrated. It is ambitious to evaluate how to improve this process so that incomplete or poorly made notifications are not delivered with lack of security compliance for the industry as these practices are applicable to the entire sector as the privacy of the information is a more important issue. with the emerging industrial revolution 4.0 of techno- humanism.

Keywords

Best Practices, PII, Security, Digital Files, integrity, NIST.

I.Introducción

En la actualidad, los sistemas informáticos en especial los sistemas en línea, deben brindar a los usuarios la Seguridad suficiente para no exponer información personal identificable (PII por sus siglas en inglés) crítica o sencible que pueda afectar de forma directa o indirecta a la cuidadanía.

II.Información Personal

¿Qué es considerarado como Información Personal Identificable (PII)? Es todo aquel dato que unido con otro más puedan identificar a personas y locarlizarlas con respecto a su ubicación, dentro de la PII podemos encontrar: cédula, nombre completo, dirección, número de teléfono. Además de PII (NIST PHI, 2018), tenemos también la información de salud de las personas (PHI Personal Health Information

Tecnología Vital Enero - Junio 2020

(NIST PHI, 2018)), la cual se considera como información crítica o sencible, todo sistema que contenga esta información debe ser tratado con estrictas normas de seguridad.

Los requisitos recomendados para su uso en esta publicación se derivan de la publicación 200 de FIPS (Federal Information Processing Standards) y de la línea de base moderada de control de seguridad en la publicación especial NIST 800-53 (National Institute of Standards and Technology) y están basados en la regulación CUI (32 CFR Part 2002, Controlled Unclassified Information) (Executive Order 13556, Controlled Unclassified Information, 2010)

Figure 5(The NIST SP 800-171 Deadline - We've Got You Covered, 2018)

III.Actualidad Costarricense

Sobra decir que en nuestro amado país Costa Rica, la Ciberseguridad está en forma incipiente, necesita madurar mucho, en especial en el área de la salud. Se está haciendo grandes esfuerzos para asegurar la información PHI y PII por parte de las autoridades públicas, sin embargo, no hay una estandarización entre los sistemas de salud públicos y privados, la legislación costarricense no interviene de momento en este ámbito.

Debemos empezar a actualizar nuestra legislación para prevenir futuros riesgos de robo de registros médicos, planillas o demás registros personales; el problema principal es las repercuciones o las consecuencias de un

33

robo o pérdida de esta información.

Algunos ejemplos de este tipo de filtración de infomación son: llamadas telefónicas de ciertas operadoras de préstamo ofreciendo créditos preaprovados, en manos de terceros pueden presentarse casos de extorción, secuestro, suplantación de identidad, entre otros.

IV. Desafíos

Actualmente, sólo los contratistas de DoD (Department of Defense) están obligados a evaluar su cumplimiento y completar cualquier falta de cumplimiento antes del 31 de diciembre de 2017. (NIST 800-171 Compliance Criteria , 2018)

Sin embargo, la intención declarada por el gobierno federal de los EE. UU. (Estados Unidos) es que todos los contratos de FARS (Federal Acquisition Regulation Supplement) incluirán el requisito de ser conforme con NIST SP 800-171 durante los años próximos. Algunas regulaciones ya se han puesto en marcha, con más venidas.

A partir de diciembre de 2016, el NIST anunció la publicación de la (National Institute of Standards and Technology Framework for

Improving Critical Infrastructure Cybersecurity (as amended), 2018), Revisión 1, Protección de información no clasificada controlada en sistemas y organizaciones de información no federales. Esta publicación especial ha sido aprobada como final.

Figure 6(complianceforge, 2018)

V.¿Por dónde empezar?

Si tomamos el ejemplo de otros paises, por ejemplo los Estados Unidos, desde el año 2003

Tecnología Vital Enero - Junio 2020

rige la ley de protección de PHI mediante un estándard llamado HIPAA (Scholl, 2017) (PRODHAB, 2017), el cual regula la seguridad de todo sistema que contenga información relacionada con expedientes electrónicos e información personal identificable.

HIPAA contiene las mejores prácticas para asegurar la PHI de los clientes o asegurados de los centros médicos, así como la estandarización de las comunicaciones entre diferentes sistemas de salud utilizando el formato ASCX12 (Accredited Standards Committee X12) y protocolos de encripción para la información en tránsito, establece las mejores prácticas para la encripción de la información guardada en disco duro, así como la forma de clasificar la información de manera en que se pueda definir cual información asegurar y cual no.

Otro beneficio de utilizar HIPAA (Health Insurance Portability and Accountability Act), es la definición de reglas para los sistemas de información con respecto a usuarios, tiempo máximo de inactividad, establece roles y perfiles para acceder la información, además de brindar referencia para la seguridad física de las instalaciones, por ejemplo el uso de gafetes identificando visitantes, autenticación de multifactor y circuito cerrado de televisión.

Estos y otros más son controles que HIPAA establece dentro de su estándard, su implementación en nuestro país puede ser de gran beneficio y garantizará mayor nivel de protección de la PHI y PII.

VI. Requisitos de Seguridad

La publicación más reciente de NIST incluye numerosos requisitos de seguridad, en el presente artículo se hará mención de algunos puntos más relevantes en cada categoría.

34

Figure 7(The NIST SP 800-171 Deadline - We've Got You Covered, 2018)

VII. Control de acceso

•Limitar el acceso al sistema de información a usuarios autorizados, procesos que actúan en nombre de Usuarios o dispositivos (incluyendo otros sistemas de información).

•Limitar el acceso al sistema de información a los tipos de transacciones y funciones que los usuarios autorizados Se les permite ejecutar.

•Separar los deberes de los individuos para reducir el riesgo de actividad malévola sin colusión.

•Emplear el principio de los privilegios mínimos, incluso para funciones de seguridad específicas y Cuentas

A.Concienciación y formación

•Asegurar que los administradores y usuarios de sistemas de información estén conscientes de los riesgos de seguridad asociados a sus actividades y de las políticas aplicables, Normas y procedimientos relacionados con la seguridad de esos sistemas de información organizacional.

•Asegurar que el personal de la organización esté adecuadamente capacitado para llevar a cabo su Deberes y responsabilidades relacionados con la seguridad.

Tecnología Vital Enero - Junio 2020

• Proporcionar capacitación de sensibilización sobre la seguridad para reconocer y reportar posibles indicadores de información privilegiada amenaza.

B.Auditoría y rendición de cuentas

•Crear, proteger y retener los registros de auditoría del sistema de información en la medida necesaria para Monitoreo, análisis, investigación e información de actividades ilegales, no autorizadas o inapropiadas. Actividad del sistema de información.

•Asegúrese de que las acciones de los usuarios individuales del sistema de información se pueden rastrear para que los mismos puedan ser responsables de sus acciones.

•Revise y actualice los eventos auditados

VIII. Seguridad Física

¿Existen controles de acceso a las dependencias de la entidad (para aquéllas que no son de libre acceso al público: se anotan las personas y las fechas y horas en las que acceden)? Describa brevemente los controles existentes.

Enumerar los Centros de Procesos de Datos en los que se ubican los servidores de la entidad. Para cada uno de ellos, describa:

Inventario de Servidores

✓ Listado no exhaustivo de servidores ubicados en cada rack.

A.Controles de acceso

✓Ubicación.

✓Personal autorizado a acceder al mismo.

✓Método de control de acceso.

✓Procedimiento de acceso del personal externo (mantenimiento, limpieza, etc.).

✓Enumeración de grupos internos y externos autorizados al acceso físico al entorno de proceso informático.

B.Frases:

“El auténtico genio consiste en la capacidad para evaluar información incierta, aleatoria y contradictoria.” Winston Churchill, estadista. (comein, s.f.)

“Si puedes controlar la información, puede

controlar a la gente.” Tom Clancy, novelista. (comein, s.f.)

“Ya no estamos en la era de la información. Estamos en la era de la gestión de la información.”

Chris Hardwick, actor. (comein, s.f.)

IX.	El internet de las cosas

A.Definición

Ante los requerimientos que presupone el desarrollo de las sociedades actuales, surge la necesidad de generar nuevas maneras de concebir al Internet y el uso que se hace de esta tecnología.

Hasta hace poco tiempo Internet era considerado principalmente como una red informática global empleada como medio de comunicación y fuente de información y servicios. Sin embargo, el aumento del número de dispositivos conectados a Internet así como la posibilidad del intercambio de información que entre ellos puede generarse presupone una evolución de la gran red de redes.

Así puede hablarse del Internet de las cosas ó Internet of Things (IoT), definido como “un nuevo Internet” que permite la interacción entre personas, entre objetos y entre personas con objetos en referencia a la interconexión en red de los objetos cotidianos que a menudo

están equipados con inteligencia ubicua ( (Xia, 2012)). [Ver Figura 1]

Figura 1. Modelo del Internet de las Cosas (Xia, 2012)

Como resultado de la existencia de múltiples productos, servicios y tecnologías, el concepto de IoT tiene muchas variantes, por lo que también es conocido, de acuerdo con

Uckelmann, Harrison, Michahelles (Kranenburg, 2007), como: Tecnología Ambiental, Tecnología Ubicua, Computación Ubicua, Red de Sensores, Sensor Web, Red Inalámbrica de Sensores, Ecosistemas Inteligentes, Ciudades Inteligentes, Datos Inteligentes, Malla Inteligente, Cloud Data, Web 3.0 y Sistema de Nombramiento de Objetos.

Se considera que el modelo del IoT consiste, de acuerdo con Paolo Gaudiano (Bankinter, 2011)), en que “tanto personas como objetos puedan conectarse a Internet en cualquier momento y lugar”, teniendo como objetivo principal el logro de una interacción embebida que permita nuevas oportunidades para elevar la interacción entre sistemas y aumentar el valor de uso de los objetos (Kranz et al. 2010), lo cual plantea una nueva era de interconexión y ubicuidad en donde se generan novedosas formas de comunicación (Tan 2010) con base en “estándares abiertos” y “servicios persuasivos” (Bazzani et al. 2012).

36

Al respecto, (Kranenburg, 2007) plantea que, para lograr esta interacción y conectividad, el IoT debe componerse de varios protocolos tecnológicos englobados dentro de la

arquitectura IP (Internet Protocols), particularmente el IPv6, que permitan la interconexión entre sensores, dispositivos para la detección de diferentes condiciones físicas, smartphones, tabletas electrónicas, Internet, software y aplicaciones –propias o en la nube– para lograr la identificación, la gestión inteligente y remota así como la comunicación en un entorno de conectividad heterogénea (Kranenburg, 2007). Es por esto que el IoT incrementará la ubicuidad de Internet integrando cada objeto para la interacción por medio de sistemas embebidos que guiarán a una red de dispositivos altamente distribuida que se comunican con los seres humanos, así como con otros dispositivos ( (Xia, 2012)).

Así, el IoT pretende mejorar nuestro quehacer en la vida cotidiana mediante el manejo adecuado de la información y transformación de la misma haciendo que los dispositivos puedan percibir e integrar el presente para reaccionar en todo tipo de aspectos del mundo físico (Aberer, 2006). Esto, de alguna manera, permitirá crear contextos que mejoren la calidad de vida de los seres humanos, ayudando a los responsables de tomar decisiones mediante la recolección de datos de una gran red de sensores.

X.Conclusión

Costa Rica debe empezar a moverse en torno a protección de PII, actualmente se cuenta con la Agencia de Protección de Datos (PRODHAB, 2017), la cual ha empezado a realizar esfuerzos para asegurar la PII de los ciudadanos, sin embargo, la legislación debe cambiar para

fortalecer estos esfuerzos, con la implementación del estándard HIPAA, el gobierno de la republica puede garantizarle a la ciudadanía un mejor aseguramiento de la información personal identificable. Con lo demostrado adicionalmente con los estándares

Tecnología Vital Enero - Junio 2020

de NIST que ayudan a complementar los requerimientos de seguridad para los restos de hoy en día con IoT que abre la puerta de la Nube y de EDGE como la nueva frontera de servicios para optimizar las diversas opciones y aun así manteniendo control e integridad sobre el manejo adecuado de los datos y una administración.

Cerramos con una frase célebre:

“Los datos no son información, la información no es conocimiento.” Clifford Stoll, astrónomo y escritor. (comein, s.f.)

REFERENCIAS

Aberer, K. H. (2006). Middleware support for

the “ Internet of Things .” School of

Computer		and	Communication
Sciences, (5005).
Bankinter,	F.		d.		(2011).
https://www.fundacionbankinter.org/.
comein. (s.f.). comein.			Recuperado de
http://comein.uoc.edu/divulgacio/com
ein/es/numero36/articles/Article-
Josep-Cobarsi.html.
Executive	Order	13556,		Controlled
Unclassified		Information.			(2010,
November). Recuperado de .gpo.gov:
http://www.gpo.gov/fdsys/pkg/FR-
2010-11-09/pdf/2010-28360.pdf
Kranenburg,	A.		C.		(2007).

https://www.researchgate.net/profile/I van_Corredor/publication/259943140

_Architecting_the_Internet_of_Things/ links/0a85e52ea6e62681a1000000/Ar chitecting-the-Internet-of-Things.pdf.

National Institute of Standards and Technology Framework for Improving Critical Infrastructure Cybersecurity (as amended). (2018). Retrieved from

CybersecurityFramework: https://www.nist.gov/cyberframework NIST 800-171 Compliance Criteria . (2018). Recuperado de complianceforge: https://www.complianceforge.com/pro duct/nist-800-171-compliance-criteria-

ncc/

NIST PHI. (2018, 08 26). NIST. Recuperado de

NISTPII: https://csrc.nist.gov/Glossary/?term=5 852

PRODHAB. (2017, 06 01). Agencia de Protección de Datos de los Habitantes.

Recuperado de PRODHAB: http://www.prodhab.go.cr/

Scholl, M. (2017, Abril 4). NIST. Retrieved

from HIPAA Security Rule: https://www.nist.gov/healthcare/securi ty/hipaa-security-rule

Xia, F. Y. (2012). Internet of Things.

International Journal of Communication Systems, 25, 1101- 1012.