servicio fitosanitario del estado auditoría interna€¦ · 4.2.1 tendencia informática de...

POR UNA AGRICULTURA MÁS COMPETITIVA Y SOSTENIBLE

Servicio Fitosanitario del Estado, MAG • Teléfono: (506) 2549-3400 • www.sfe.go.cr

Correo electrónico [email protected]; Teléfono directo: 2549-3450 / Extensión: 1050

i

Servicio Fitosanitario del Estado Auditoría Interna

Martes 10 de junio de 2014 AI SFE 104-2014 Ingeniera Magda González Arroyo, Directora Servicio Fitosanitario del Estado (SFE) Estimada señora: El día 22/05/2014 el que suscribe participó en el evento organizado por la Contraloría General de la República, en el Auditorio del Poder Judicial “Miguel Blanco Quirós”, que tenía como eje temático la “Computación en la nube y Ley de Protección de Datos: Retos para la Auditoría Interna”. Considerando los temas que fueron presentados por los conferencistas, esta Auditoría Interna consideró conveniente remitir para su valoración el presente informe de asesoría N° AI-SFE-SP-INF-003-2014, conforme con lo establecido en el inciso d) del artículo Nº 22 de la Ley General de Control Interno Nº 8292. No obstante lo anterior, procedemos a adoptar las previsiones del caso, con el propósito de que no se comprometa nuestra independencia y objetividad en la ejecución de servicios posteriores vinculados con los asuntos tratados. A fin de dar seguimiento al presente informe, se deberá remitir copia a esta Auditoría Interna de los acuerdos respectivos que adopte la administración activa. Atentamente, Lic. Henry Valerín Sandino Auditor Interno HVS/CQN/RCJ/IRJ

C./ Ing. Carlos Padilla Bonilla, Subdirector del SFE Lic. Adrián Gómez Díaz, Jefe Unidad de Planificación, Gestión de la Calidad y Control Interno Lic. Didier Suárez Chaves, Jefe Unidad de Tecnología de la Información

Archivo / Legajo




ii


INFORME Nº AI-SFE-SP-INF-003-2014 10 de junio de 2014

INFORME DE ASESORÍA

SOBRE ASPECTOS GENERALES RELACIONADOS CON LA TENDENCIA INFORMÁTICA DE

COMPUTACIÓN EN LA NUBE (CLOUD COMPUTING) Y LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES, Nº 8968

(Y SU REGLAMENTO, DECRETO EJECUTIVO N° 37554-JP).

Apoyo redacción de informe:

MBA. Christian Quirós Núñez Lic. Ronald Canales Jiménez

Auditores Asistentes

Revisado y Aprobado: Lic. Henry Valerín Sandino

Auditor Interno




iii


ÍNDICE 1. PRESENTACIÓN .......................................................................................................... 1

2. INTRODUCCIÓN ......................................................................................................... 2 2.1. ORIGEN ...................................................................................................................... 2 2.2. OBJETIVO ................................................................................................................... 2 2.3. ALCANCE .................................................................................................................... 2 2.4. LIMITANTES ............................................................................................................... 3 2.5. NORMAS TÉCNICAS DE AUDITORÍA .......................................................................... 3

3. ANTECEDENTES .......................................................................................................... 4 3.1 Tendencia informática de computación en la nube (Cloud Computing) .................... 4 3.2 Datos de la Ley de Protección de la persona frente al tratamiento de sus datos

personales, Nº 8968 y su Reglamento (Decreto Ejecutivo N° 37554-JP) ................. 4

4. RESULTADOS .............................................................................................................. 5 4.1 CRITERIO ................................................................................................................... 5 4.2 CONDICIÓN................................................................................................................ 5 4.2.1 Tendencia informática de computación en la nube (Cloud Computing) ............... 5 4.2.2 Protección de Datos ............................................................................................ 10 4.2.3 Situación actual del SFE con respecto a los temas descritos en los numerales

4.2.1 y 4.2.2 anteriores........................................................................................ 13

5. ASESORÍA ................................................................................................................ 16




Página 1 de 19


1. PRESENTACIÓN La Auditoría Interna fiscaliza que la actuación de la administración activa se ejecute conforme al marco legal y técnico y las sanas prácticas administrativas, gestión que se realiza a través de la ejecución de auditorías y estudios especiales, así como mediante las funciones de asesoría y advertencia. El quehacer de la Auditoría Interna por lo general consiste en una labor que se desarrolla con posterioridad a los actos de la administración; sin embargo, en asuntos que sean de su conocimiento o a solicitud del jerarca y/o titulares subordinados, también emite en forma previa, concomitante o posterior a dichos actos, criterios en aspectos de su competencia y en cumplimiento de su labor de asesoría y advertencia, adoptando las previsiones del caso a efecto de que no se perjudique o comprometa la independencia y objetividad en la ejecución de servicios de auditoría posteriores. Con respecto al servicio de asesoría, el mismo corresponde a una función preventiva orientada a fortalecer el sistema de control interno institucional y consiste en asesorar oportunamente (en materia de competencia) al jerarca; sin perjuicio de las asesorías que en esa materia, a criterio del Auditor Interno, correspondan dirigir a otros niveles de la organización. En el presente informe de asesoría, se irán vinculando en forma directa e indirecta los aspectos contenidos en el numeral 3 denominado “Antecedentes”; así como en el numeral 4.1 correspondiente al “Criterio” y los hechos descritos en el numeral 4.2 denominado “Condición”, situación que permitirá a esta Auditoría Interna emitir comentarios orientados a asesorar a la administración activa sobre el tema tratado, contenidos en el numeral 5.




Página 2 de 19


2. INTRODUCCIÓN

2.1. ORIGEN El día 22/05/2014 el Auditor Interno del SFE participó en un evento de capacitación organizado por la Contraloría General de la República, en el Auditorio del Poder Judicial “Miguel Blanco Quirós”, que tenía como eje temático la “Computación en la nube y Ley de Protección de Datos: Retos para la Auditoría Interna”. Considerando los temas que fueron presentados por los conferencistas, este órgano de fiscalización consideró conveniente planificar el presente servicio preventivo de asesoría; con cargo a los recursos destinados en el punto 1.1 del Plan Anual de Labores de la Auditoría Interna del SFE para el año 2014.

2.2. OBJETIVO

Asesorar a la administración del SFE sobre aspectos generales relacionados con la tendencia informática de computación en la nube (Cloud Computing) y la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, Nº 8968 (y su Reglamento, Decreto Ejecutivo N° 37554-JP).

2.3. ALCANCE Considerando los términos del citado objetivo, se procedió a realizar lo siguiente:

a) Análisis de los fundamentos de la tendencia informática de computación en la nube (Cloud Computing).

b) Análisis de los alcances de la Ley de Protección de la Persona Frente al Tratamiento de sus

Datos Personales, Nº 8968 (y su Reglamento, Decreto Ejecutivo N° 37554-JP).

c) Análisis de los aspectos relevantes contenidos en las presentaciones de los conferencistas: (evento gestionado por la Contraloría General de la República)

Dra. Alejandra Castro Bonilla, Bufete para América Central – Arias & Muñoz. Lic. Alejandro Herrera, funcionario de la Contraloría General de la República. Eric Mora, Senior Manager KPMG.

Lic. Nathalie Artavia, Agencia de Protección de Datos de los Habitantes del Ministerio de Justicia y Paz.

Lic. Ricardo Arce, Auditoría Interna del Instituto Nacional de Seguros.

mailto:[email protected]




Página 3 de 19


d) Identificación de los aspectos relevantes que deben ser comunicados a la administración del SFE para su valoración y atención, según los términos del presente informe.

2.4. LIMITANTES No se presentaron limitaciones que impidieran la emisión y comunicación del informe relativo al presente servicio preventivo de asesoría.

2.5. NORMAS TÉCNICAS DE AUDITORÍA En la ejecución del presente servicio preventivo (de asesoría) se observaron las regulaciones establecidas para las Auditorías Internas en la Ley General de Control Interno Nº 8292, normas técnicas, directrices y resoluciones emitidas por la Contraloría General de la República; así como lo dispuesto en el artículo 40 (inciso b) y artículo 42 (último párrafo) del Reglamento de Organización y Funcionamiento de la Auditoría Interna del Servicio Fitosanitario del Estado (Decreto Ejecutivo Nº 36356-MAG).




Página 4 de 19


3. ANTECEDENTES

3.1 Regulación sobre la tendencia informática de computación en la nube (Cloud Computing)

Mediante el oficio AI SFE 078-2013 del 17/05/2013, la Auditoría Interna comunicó a la Dirección del SFE que en la Gaceta N° 93 del 16/05/2013, se publicó la Directriz N° 46-H-MICITT, mediante la cual se regula el tema denominado “Cómputo en la Nube”, apoyándose en lo que disponen las “Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOR), emitidas por la Contraloría General de la República. Al respecto, es criterio de la Auditoría Interna que el SFE debe integrar conforme a sus políticas y necesidades tecnológicas lo dispuesto en la mencionada directriz, como parte del proceso que viene realizando para fortalecer su sistema de control interno relativo a la materia de tecnologías de la información; para lo cual debería apoyarse en su Unidad de Tecnologías de la Información. Con la implementación de la Directriz No. 046-H-MICIT, se pretende instar a las empresas e instituciones del Estado para que consideren la viabilidad de orientar su adquisición de infraestructura tecnológica hacia la computación en la Nube. Lo anterior, considerando que dicha modalidad permite el acceso a una gran cantidad de recursos informáticos, incluyendo lo necesario para la sostenibilidad de los sistemas de cómputo de forma segura, rápida y con alta disponibilidad para los usuarios finales.

3.2 Datos de la Ley de Protección de la persona frente al tratamiento de sus datos personales, Nº 8968 y su Reglamento (Decreto Ejecutivo N° 37554-JP)

Ley 8968 Decreto 37554-JP

Ente emisor Asamblea Legislativa Poder Ejecutivo

Fecha de vigencia desde 05/09/2011 05/03/2013

Versión de la norma 1 de 1 del 07/07/2011 1 de 1 del 30/10/2012

Nº Gaceta 170 del 05/09/2011 45 del 05/03/2013 (Alcance: 42)




Página 5 de 19


4. RESULTADOS

4.1 CRITERIO

4.1.1 Constitución Política, artículo 11. 4.1.2 Ley General de la Administración Pública, artículo 11. 4.1.3 Ley General de Control Interno N° 8292, artículos 7, 8 y 10. 4.1.4 Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales,

Nº 8968. 4.1.5 Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos

Personales (Decreto Ejecutivo N° 37554-JP). 4.1.6 Directriz N° 46-H-MICITT (Gaceta N° 93 del 16/05/2013), mediante la cual se regula el

tema denominado “Cómputo en la Nube”.

4.2 CONDICIÓN

4.2.1 Tendencia informática de computación en la nube (Cloud Computing)

a) Generalidades computación en la nube (Cloud Computing)1

“La computación en la nube, concepto conocido también bajo los términos servicios en la nube, informática en la nube, nube de cómputo o nube de conceptos, del inglés cloud computing, es un paradigma que permite ofrecer servicios de computación a través de Internet. En este tipo de computación todo lo que puede ofrecer un sistema informático se ofrece como servicio, de modo que los usuarios puedan acceder a los servicios disponibles ‘en la nube de Internet’ sin conocimientos (o, al menos sin ser expertos) en la gestión de los recursos que usan.

1 Fuente de información: http://es.wikipedia.org/wiki/Computaci%C3%B3n_en_la_nube#

http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s

http://es.wikipedia.org/wiki/Paradigma_de_programaci%C3%B3n

http://es.wikipedia.org/wiki/Servicio_Web

http://es.wikipedia.org/wiki/Internet

http://es.wikipedia.org/wiki/Servicio_Web




Página 6 de 19


La computación en la nube son servidores desde Internet encargados de atender las peticiones en cualquier momento. Se puede tener acceso a su información o servicio, mediante una conexión a internet desde cualquier dispositivo móvil o fijo ubicado en cualquier lugar. Sirven a sus usuarios desde varios proveedores de alojamiento repartidos frecuentemente por todo el mundo. Esta medida reduce los costes, garantiza un mejor tiempo de actividad y que los sitios web sean invulnerables a los hackers, a los gobiernos locales y a sus redadas policiales. ‘Cloud computing’ es un nuevo modelo de prestación de servicios de negocio y tecnología, que permite incluso al usuario acceder a un catálogo de servicios estandarizados y responder con ellos a las necesidades de su negocio, de forma flexible y adaptativa, en caso de demandas no previsibles o de picos de trabajo, pagando únicamente por el consumo efectuado, o incluso gratuitamente en caso de proveedores que se financian mediante publicidad o de organizaciones sin ánimo de lucro. El cambio que ofrece la computación desde la nube es que permite aumentar el número de servicios basados en la red. Esto genera beneficios tanto para los proveedores, que pueden ofrecer, de forma más rápida y eficiente, un mayor número de servicios, como para los usuarios que tienen la posibilidad de acceder a ellos, disfrutando de la ‘transparencia’ e inmediatez del sistema y de un modelo de pago por consumo. Así mismo, el consumidor ahorra los costes salariales o los costes en inversión económica (locales, material especializado, etc.). Computación en nube consigue aportar estas ventajas, apoyándose sobre una infraestructura tecnológica dinámica que se caracteriza, entre otros factores, por un alto grado de automatización, una rápida movilización de los recursos, una elevada capacidad de adaptación para atender a una demanda variable, así como virtualización avanzada y un precio flexible en función del consumo realizado, evitando además el uso fraudulento del software y la piratería. La computación en nube es un concepto que incorpora el software como servicio, como en la Web 2.0 y otros conceptos recientes, también conocidos como tendencias tecnológicas, que tienen en común el que confían en Internet para satisfacer las necesidades de cómputo de los usuarios.”

b) Aspectos específicos sobre la “Cómputo en la Nube” 2

Se puede decir que el “Ambiente de la Nube” tiene como propósito tener “Acceso e intercambio de datos a través de Internet” y “Acceso a aplicaciones e informática a bajo costo a través del internet”.

2 Fuente de información: Presentación conferencia de Eric Mora, Senior Manager KPMG.

http://es.wikipedia.org/wiki/Hacker

http://es.wikipedia.org/wiki/Software-como-servicio

http://es.wikipedia.org/wiki/Web_2.0




Página 7 de 19


La computación en la nube está regulada por cinco características esenciales:

Los modelos de servicio y desarrollo en la nube, se muestran en el cuadro siguiente:

Modelos de Servicios

en la Nube

Software como Servicio Operaciones del negocio sobre la red. (SaaS)

Modelos de Desarrollo

en la Nube

Privado Opera para una única organización

Plataforma como Servicio Aplicaciones creadas por clientes en la nube (PaaS)

Público Disponible para el público en general o grupos industriales, tomado por una organización que vende servicios en la nube.

Infraestructura como Servicio Procesamiento, almacenamiento, alquiler de red y otros recursos (IaaS)

Comunitario Compartido por varias organizaciones, soportando una comunidad específica

Con relación a la adopción de la “computación en la nube”, algunos de los riesgos claves y retos que se deben tener presente, se describen seguidamente: b.1) Sobre la Administración de Proveedores:

• La falta de claridad sobre la propiedad de las responsabilidades entre el proveedor de la nube y la empresa usuaria.

• No hay normas prevalentes de interoperabilidad3 de proveedores. • Amplia confianza en el proveedor de servicios.

b.2) Sobre la Seguridad y Privacidad:

• No hay control sobre áreas críticas de seguridad, como la administración de la vulnerabilidad, infraestructura y seguridad física.

• Controles débiles de acceso lógico debido a los proveedores de la nube.

3 Entendiendo la interoperabilidad como “...la habilidad de organizaciones y sistemas dispares y diversos para interaccionar

con objetivos consensuados y comunes y con la finalidad de obtener beneficios mutuos. La interacción implica que las

organizaciones involucradas compartan información y conocimiento a través de sus procesos de negocio, mediante el

intercambio de datos entre sus respectivos sistemas de tecnología de la información y las comunicaciones.” (fuente de

información: http://es.wikipedia.org/wiki/Interoperabilidad#cite_note-2)




Página 8 de 19


• Los datos pueden residir físicamente en una jurisdicción legal donde los derechos de las informaciones amparadas no están protegidos.

b.3) Sobre las Operaciones:

• La nube hace que algunos roles y habilidades sean redundantes. • La adopción de la nube introduce cambios rápidos en las organizaciones. • Necesidades y planes de recuperación de desastres se ven afectados.

b.4) Sobre las Tecnologías de Información:

• La adopción de esta tendencia permite pasar de tener información resguardada en un centro de datos con ubicación física determinada (servidor), a información resguardada en la nube; situación que la administración debe analizar desde el punto de vista de los riesgos que conlleva la adopción de esta tendencia, así como las medidas necesarias para la mitigación de los mismos.

• Las empresas pueden pasar por alto la función de TI para implementar soluciones de tecnología, lo que hace desafiante el gobierno de TI.

• Modelos de entrega de la nube cambian radicalmente el paradigma de cómo la TI ofrece servicios de tecnología para apoyar los requerimientos del negocio.

• Riesgo de crear islas de información. b.5) Sobre los riesgos de la nube: De acuerdo con la consultora Gartner4, los siete riesgos de la nube a considerar son:

Riesgo Descripción Mitigación/Respuesta 1. Acceso a usuarios con

privilegios

Los datos procesados fuera de la organización

traen consigo un nivel de riesgo inherente, ya que

los servicios subcontratados no están sujetos a los

controles físicos, lógicos y de personal vigentes en

la organización

Entender la responsabilidad de los

proveedores y de los clientes

Controles configurables

Encriptación

Autenticación segura

Capacidades de Auditoría

Informes de Auditoría

2. Cumplimiento de Normativas Los clientes son los responsables de la seguridad

e integridad de sus propios datos, incluso cuando

están en manos de un proveedor de servicios

Servicios de Auditoría deben aplicarse a

los proveedores de la nube de la misma

manera que a proveedores de “hosting”

tradicionales

Mejorar las habilidades de los auditores:

conocimiento de la virtualización, entre

otros

4 Gartner Inc. es una empresa consultora y de investigación de las tecnologías de la información con sede en Stamford,

Connecticut, Estados Unidos.

http://es.wikipedia.org/wiki/Tecnolog%C3%ADas_de_la_informaci%C3%B3n

http://es.wikipedia.org/wiki/Stamford_(Connecticut)

http://es.wikipedia.org/wiki/Connecticut

http://es.wikipedia.org/wiki/Estados_Unidos




Página 9 de 19


Riesgo Descripción Mitigación/Respuesta

3. Ubicación de Datos

Una característica de la computación en nube es su elasticidad y la replicación. Los datos pueden cambiar las ubicaciones físicas, es decir, diferentes servidores o centros de datos durante el procesamiento normal

Determinar las necesidades de ubicación de datos

Contratos

4. Segregación de Datos Los datos en la nube se encuentran típicamente en un entorno compartido junto con los datos de otros clientes

Comprender el modelo de almacenamiento de datos, lógica o separación física

Considerar la implementación de modelos en la nube - IaaS, PaaS SaaS

Determinar el enfoque a utilizar para la “limpieza de datos”

5.Recuperación

Una característica asociada a menudo con la computación en nube es su capacidad de recuperación

Entender el enfoque para la replicación de datos

Determinar la necesidad de participación de los usuarios en la prueba de continuidad

Desarrollar un plan para la falta de disponibilidad de servicio en la nube debido a un fallo de comunicación

6. Apoyo a la investigación

Los servicios en la nube son especialmente difíciles de investigar, porque el registro y los datos para múltiples clientes pueden ser colocados juntos, y también pueden estar dispersos en un conjunto siempre cambiante de “host” y centros de datos

Entender el enfoque para la investigación de incidentes y análisis forense

Las disposiciones contractuales sobre el acceso a los registros y otros datos

7.Viabilidad a largo plazo

La portabilidad nube es esencial para asegurar que la organización no sea dependiente a una única solución

Comprender la compatibilidad de datos

c) Aspectos generales sobre la situación actual “Cómputo en la Nube”5

La tecnología de Nube ha modificado los estándares de administración y manejo de recursos

informáticos, logrando con esto una importante economía a escala, mayor confiabilidad por el uso de plataformas tecnológicas de altísima calidad, seguridad y recursos disponibles para los usuarios.

En una nube pública (Facebook, Youtube, y Flick para compartir archivos, videos y fotografías) todos estos recursos están en servidores en el mundo, con alta disponibilidad (siempre están accesibles).

En nuestras instituciones públicas, debe reducirse el gasto en cambios de tecnología en sus datacenters (centros de cómputo), para implementar el cómputo en la nube, aceptando que esta nueva tendencia tecnológica le da mayor cobertura a la demanda de requerimientos de sus usuarios.

El volumen y la sensibilidad de los datos que gestionan las empresas y en particular la Administración Pública, conllevan unos riesgos específicos que deben ser objeto de análisis riguroso en cada escenario en el que se plantee su utilización. Estos riesgos específicos

5 Fuente de información: Presentación conferencia de Lic. Nathalie Artavia, Agencia de Protección de Datos de los

Habitantes del Ministerio de Justicia y Paz.




Página 10 de 19


aconsejan la adopción de cautelas adicionales en su implantación, de forma que no se vean comprometidos los derechos y la seguridad de los ciudadanos.

La posibilidad de tratamiento de los datos fuera del territorio nacional, característica del “cloud computing”, debe tenerse en cuenta que nuestra normativa por principio de extraterritorialidad no regula los movimientos internacionales de datos, por lo que se recomienda contratar los servicios de nube privada.

4.2.2 Protección de Datos

Considerando los términos de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Nº 8968), se describen aspectos generales y relevantes contenidos en esta ley:

a) Propósito de la Ley N° 8968 La Ley Nº 8968 “… es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.”. (Artículo 1)

b) Ámbito de aplicación La Ley Nº 8968, “… será de aplicación a los datos personales que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos. El régimen de protección de los datos de carácter personal que se establece en esta ley no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean vendidas o de cualquier otra manera comercializadas.”. (Artículo 2)

c) Categorías particulares de los datos contenidas en la Ley 89686

En la Ley N° 8968 se establecen las categorías particulares de los datos, las cuales se clasifican en “Datos sensibles”, “Datos personales de acceso restringido”, “Datos personales de acceso irrestricto” y “Datos referentes al comportamiento crediticio”; lo anterior tal y como se resume en el cuadro que se muestra en la página siguiente. (Artículo 9)

6 Fuente de Información: Presentación de la Dra. Alejandra Castro Bonilla, Bufete para América Central – Arias & Muñoz




Página 11 de 19


d) Transferencia de datos personales, regla general De acuerdo con la Ley Nº 8968, “Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.”. (Artículo 14)

e) Agencia de Protección de Datos de los habitantes (Prodhab) La Prodhab es un órgano de desconcentración máxima adscrito al Ministerio de Justicia y Paz; que cuenta con personalidad jurídica instrumental. Este órgano goza de independencia de criterio. (Artículo 15)

Registro de archivos y bases de datos Toda base de datos, pública o privada, administrada con fines de distribución, difusión o comercialización, debe inscribirse en el registro que al efecto habilite la Prodhab. (Artículo 21)

Divulgación La Prodhab elaborará y ejecutará una estrategia de comunicación dirigida a permitir que los administrados conozcan los derechos derivados del manejo de sus datos personales, así como los mecanismos que el ordenamiento prevé para la defensa de tales prerrogativas. (Artículo 22). Asimismo, promoverá entre las personas y empresas que recolecten, almacenen o manipulen datos personales, la adopción de prácticas y protocolos de actuación acordes con la protección de dicha información. (Artículo 22)




Página 12 de 19


Recepción y trámite de denuncias Cualquier persona que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Prodhab, que una base de datos pública o privada actúa en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa establecidas en esta ley. (Artículo 24) La Prodhab deberá tramitar las denuncias, emitir la resolución estimatoria, aplicar el procedimiento sancionatorio y definir el tipo de sanciones, según corresponda. (Artículo 26)

Tipos de sanciones7 (Artículos 28, 29, 30 y 31)

Faltas Leves Faltas Graves Faltas Gravísimas Recolectar datos personales para su

uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones del artículo 5, apartado I.

Recolectar, almacenar y transmitir

datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

Sanción de hasta 5 salarios base

Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta ley.

Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en el capítulo III de esta ley.

Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.

Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

Sanción de 5 a 20 salarios base.

Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el artículo 3 de esta ley.

Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.

Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la ley.

Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.

Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la Prodhab, en el caso de los responsables de bases de datos cubiertos por el artículo 21 de esta ley.

Transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.”

Sanción de 15 a 30 salarios base con suspensión del responsable en su cargo de 1 a 6 meses.

7 Fuente de Información: Presentación de la Dra. Alejandra Castro Bonilla, Bufete para América Central – Arías & Muñoz




Página 13 de 19


4.2.3 Información suministrada por la Jefatura de la UTI del SFE

Ante consultas planteadas a la Jefatura de la Unidad de Tecnologías de la Información (UTI) sobre aspectos generales relacionados con el desarrollo de los temas “computación en la nube” y la “protección de datos” a lo interno del SFE, se nos informó de lo siguiente:

1. ¿Cuáles acciones ha emprendido el SFE con relación a la Directriz N° 46-H-MICITT (publicada en la Gaceta N° 93 del 16/05/2013), mediante la cual se regula el tema denominado “Cómputo en la Nube”? (aspecto informado por esta Auditoría Interna a la Dirección del SFE con oficio AI SFE 078-2013 del 17/05/2013, del cual se remitió copia a la Unidad de Tecnología de la Información).

Actualmente tenemos los servicios de antivirus en la nube, la Unidad de TI realizó la migración de 401 cuentas de antivirus durante el periodo 2012. Es importante además mencionar que en acato a la directriz N° 46-H-MICITT, La unidad de TI, tiene en sus planes para el próximo año, la migración del correo electrónico institucional a un servicio de correo en la nube, para ello se están evaluando soluciones como Google Apps, y Exchange Online que nos ofrecen alta disponibilidad para nuestros colaboradores en cualquier parte del planeta con solo acceso a internet, a un costo razonable y nos asegura contar siempre con la última versión de la tecnología desarrollada por el fabricante. También se está analizando a lo interno de TI, qué otros servicios podríamos migrar a la Nube. 2. ¿Se utiliza como una opción tecnológica a lo interno del SFE el recurso denominado

computación en la nube (Cloud Computing)? De ser así, describir cómo se está utilizando dicho recurso o si por el contrario se tiene programado interactuar con el mismo.

Como se mencionó en el punto anterior, los servicios de antivirus se administran desde la nube, la Unidad de TI gestiona toda la administración de la aplicación a través de una consola. Desde esta aplicación se pueden realizar instalaciones, desinstalaciones, actualizaciones, ver el estado de las aplicaciones, realizar análisis, ver reportes y aplicar reglas de filtrado en donde quiera que se encuentre el equipo. 3. ¿Cuenta el SFE con regulaciones internas (protocolos, procedimientos, políticas,

lineamientos, etc) orientados a regular el tema denominado computación en la nube (Cloud Computing)? (incluye lo relativo a servicios contratados e inclusive los que establecen ciertos proveedores en su condición de uso libre y gratuito)




Página 14 de 19


A la fecha no existen regulaciones a lo interno del SFE sobre este tema debido a que apenas estamos incursionando en el tema de “Cloud Computing”, además, en los últimos años se ha realizado una importante inversión en infraestructura tecnológica. La Unidad de TI del SFE está valorando la posibilidad de utilizar este tipo de tecnología, sin embargo, no podemos dejar de lado la legislación existente que restringe en alguna medida la colocación de datos personales en bases de datos fuera de nuestras fronteras, para ello es importante también contar con la colaboración de la Unidad de Asuntos Jurídicos para que nos aclaren algunos aspectos sobre el tema y poder generar en conjunto las políticas y procedimientos a lo interno de nuestra Institución. 4. ¿El personal de la Unidad de Tecnologías de la Información ha recibido capacitación

sobre el tema denominado computación en la nube (Cloud Computing)? De ser así, indique el nombre de la capacitación y los funcionarios que participaron.

Durante el primer semestre del 2014, los funcionarios Jeymer Mora y Gilbert Alfaro asistieron al evento denominado Microsoft Destino: La Nube. Hace algunas semanas los funcionarios Jesús Castro, Jeymer Mora y este servidor, asistimos al Technology Day, donde se trataron temas sobre algunos servicios en la nube. Además, hemos recibido algunas charlas sobre este tema por parte de los proveedores que analizan a su conveniencia la aplicación de la ley, sin embargo no hemos recibido capacitación de los entes gubernamentales como MICIT, lo cual sería de mucha ayuda para entender mejor las implicaciones legales y la correcta aplicación de la legislación Costarricense desde un punto de vista objetivo. Reitero la importancia de que la Unidad de Asuntos Jurídicos del SFE se involucre en el tema. 5. ¿Conoce los términos de las regulaciones contenidas en la Ley de Protección de la

Persona Frente al Tratamiento de sus Datos Personales, Nº 8968 (y su Reglamento, Decreto Ejecutivo N° 37554-JP)?

Se está en proceso de estudio e interpretación de la ley mencionada y su reglamento. Este mismo estudio nos ha revelado que existen muchos términos legales y aspectos que deben ser entendidos desde un punto de vista jurídico/legal. 6. ¿Se han girado instrucciones superiores a efecto de determinar si al SFE

considerando la naturaleza de sus bases de datos, le es aplicable lo dispuesto en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, Nº 8968 (y su Reglamento, Decreto Ejecutivo N° 37554-JP)?




Página 15 de 19


No se han girado instrucciones superiores a efecto de determinar si esta Ley es aplicable a nuestra Institución. No obstante lo anterior, existe una iniciativa del sector agropecuario para realizar el Modelado de Arquitectura de Datos Institucionales. 7. De haberse realizado a la fecha un análisis de lo dispuesto en la Ley de Protección

de la Persona Frente al Tratamiento de sus Datos Personales, Nº 8968 (y su Reglamento, Decreto Ejecutivo N° 37554-JP), suministrar la siguiente información:

Resultados de ese análisis. De haberse identificado, ¿Cuáles serían las bases de datos

(contenidas en los sistemas de información respectivos) que deben cumplir con lo dispuesto en el citado ordenamiento?

A la fecha no se ha realizado un análisis de lo dispuesto esta Ley, sin embargo consideramos que esta labor debe solicitarse a la Dirección con el fin de que se haga este análisis en conjunto con la Unidad de Asuntos Jurídicos, TI y Archivo.




Página 16 de 19


5. ASESORÍA Considerando lo descrito en los apartados denominados “Antecedentes” y “Resultados” del presente informe (numerales 3 y 4 respectivamente), se asesora sometiendo a valoración de la administración activa del SFE lo que se comenta en el presente apartado; lo anterior con el propósito de suministrar elementos (insumo) que faciliten la toma de decisiones con respecto a los temas desarrollados en el citado informe. No obstante, tal como lo hemos reiterado en otras ocasiones, la administración activa del SFE puede apoyarse en criterios y el asesoramiento adicional que provenga de instancias externas competentes (considerando los criterios legales y técnicos que se hayan emitido o emitan a lo interno de la organización), para tratar de la mejor manera los temas que originaron esta asesoría. Al respecto, se procede a comentar lo siguiente:

5.1 Sobre la computación en la nube (cloud computing)

5.1.1 Además de lo descrito en el numeral 4.2.1 del presente informe, la administración deberá valorar con relación al desarrollo del tema denominado “computación en la nube”, lo siguiente:

a) La contratación de servicios “cloud computing” por parte de las Administraciones Públicas, que

impliquen el tratamiento de datos de carácter personal, requiere la formalización de un contrato escrito, garantizando que: 8

• Dicho tratamiento se haya especificado en el contrato firmado por la administración

contratante y el prestador de servicios. • El tratamiento de datos personales se ajuste a las instrucciones de la administración

que actúa como responsable del tratamiento. • Debe especificar las medidas técnicas y organizativas que el prestador tiene previstas

para garantizar la seguridad de los datos. Asimismo, los especiales requisitos de disponibilidad, confidencialidad e integridad que puedan requerir ciertos servicios electrónicos prestados por la Administración Pública.

• La complejidad de los servicios contratados puede aconsejar la designación de un responsable del contrato, con el fin de asegurar la correcta realización de la prestación pactada (la designación de dicha figura no modifica el régimen de obligaciones y responsabilidades al que está sujeto el responsable del tratamiento en materia de protección de datos de carácter personal; o sea, teniendo presente lo dispuesto en la Ley N° 8968 y el Decreto Ejecutivo N° 37554-JP).

8 Fuente de información: Presentación conferencia de Lic. Nathalie Artavia, Agencia de Protección de Datos de los

Habitantes del Ministerio de Justicia y Paz.




Página 17 de 19


b) Considerar como un insumo más lo descrito en el numeral 4.2.1 inciso b.5) “Sobre los riesgos

en la nube” del presente informe, a efectos de que la administración tenga la posibilidad de establecer una adecuada administración del riesgo relacionada con la computación en la nube.

5.1.2 La contratación de servicios “cloud computing” en los que incursione el SFE, deberán

estar soportados en términos de referencia y contratos que le permitan a la organización satisfacer sus necesidades, pero estableciendo el marco de referencia que le garantice en forma razonable ejercer un adecuado control sobre la naturaleza de ese tipo de servicios; para lo cual se deberá apoyar la administración en insumos como la valoración del riesgo y las políticas (incluye las de seguridad de TI) y lineamientos que sobre este tema establezca el SFE.

5.2 Sobre la protección de datos

Considerando lo dispuesto en el Ley 8968, en el Decreto Ejecutivo N° 37554-JP (artículo 3) se establece que las regulaciones serán de aplicación a los datos personales que figuren en las bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos, en tanto surtan efectos dentro del territorio nacional, o les resulte aplicable la legislación costarricense derivada de la celebración de un contrato o en los términos del derecho internacional. Asimismo, se exceptúa del citado régimen de protección, a los datos de carácter personal que se mantienen en bases de datos por parte de personas físicas o jurídicas, públicas o privadas, con fines exclusivamente internos, personales o domésticos, siempre y cuando éstas no sean de cualquier manera comercializadas. En ese sentido, será conforme al diagnóstico que lleve a cabo la organización y que de acuerdo con la naturaleza de sus bases de datos, proceda a determinar si dicha normativa debe ser aplicada. Eventualmente de corresponderle al SFE la aplicación del citado ordenamiento, tendría la obligación de adoptar las medidas necesarias que le permitan definir las líneas de acción que le garanticen en forma razonable dar cumplimiento a cabalidad a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Nº 8968) y su Reglamento (Decreto Ejecutivo N° 37554-JP). Lo anterior debe permitir la identificación de los sistemas de información automatizados que deban estar inscritos ante la Agencia de Protección de Datos de los habitantes (Prodhab); o caso contrario, declarar que las condiciones actuales no obligan a cumplir con dicho ordenamiento. Para tales efectos, el SFE se podrá apoyar en su Unidad de Tecnologías de la Información y en su Unidad de Asuntos Jurídicos, según corresponda; así como externamente y de considerarse necesario, en la Prodhab. Al respecto, de corresponder al SFE la aplicación del citado ordenamiento, se debe considerar, entre otros aspectos, lo siguiente:




Página 18 de 19


a) De acuerdo con el Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Artículo 32 del Decreto Ejecutivo N° 37554-JP), se deberán establecer los protocolos mínimos de actuación (medidas, así como sus posteriores modificaciones, deberán ser inscritas ante la Prodhab), considerando lo siguiente:

• Elaborar políticas y manuales de privacidad obligatorios y exigibles al interior de la

organización. • Poner en práctica un manual de capacitación, actualización y concientización del

personal sobre las obligaciones en materia de protección de datos personales. • Establecer un procedimiento de control interno para el cumplimiento de las políticas de

privacidad. • Instaurar procedimientos ágiles, expeditos y gratuitos para recibir y responder dudas y

quejas de los titulares de los datos personales o sus representantes; así como, para acceder, rectificar, modificar, bloquear o suprimir la información contenida en la base de datos y revocar su consentimiento.

• Crear medidas y procedimientos técnicos que permitan mantener un historial de los datos personales durante su tratamiento.

• Constituir un mecanismo en el cual el responsable transmitente, le comunica al responsable receptor, las condiciones en las que el titular consintió la recolección, la transferencia y el tratamiento de sus datos.

b) De acuerdo con el Reglamento a la Ley de Protección de la Persona frente al Tratamiento de

sus Datos Personales (Decreto 37554-JP), se deberán establecer las medidas de seguridad, considerando lo siguiente:

b.1) Factores para determinar las medidas de seguridad: (artículo 35)

• La sensibilidad de los datos personales tratados, en los casos que la Ley Nº 8968 lo

permita. • El desarrollo tecnológico. • Las posibles consecuencias de una vulneración para los titulares de sus datos

personales. • El número de titulares de datos personales. • Las vulnerabilidades previas ocurridas en los sistemas de tratamiento o

almacenamiento. • El riesgo por el valor, cuantitativo o cualitativo, que pudieran tener los datos

personales.




Página 19 de 19


b.2) Acciones para la seguridad de los datos personales, a fin de establecer y mantener la seguridad física y lógica de los datos personales: (artículo 36)

• Elaborar una descripción detallada del tipo de datos personales tratados o almacenados.

• Crear y mantener actualizado un inventario de la infraestructura tecnológica, equipos y programas de cómputo y sus licencias.

• Señalar el tipo de sistema, programa, método o proceso utilizado en el tratamiento de los datos.

• Contar con un análisis de riesgos, identificar peligros y estimar los riesgos hacia los datos personales.

• Establecer las medidas de seguridad aplicables a los datos personales, e identificar aquellas implementadas de manera efectiva.

• Calcular el riesgo residual existente basado en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales.

• Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivados del resultado del cálculo del riesgo residual.

5.3 Sobre el sistema de control interno de TI La Unidad de Tecnología de la Información deberá analizar en forma integral el presente informe de asesoría, con el fin de que su sistema de control interno, considere en lo aplicable, lo relativo a la “computación en la nube” y según corresponda, lo correspondiente a “protección de datos” conforme la Ley N° 8968 y el Decreto Ejecutivo N° 37554-JP. En ese sentido, deberán las autoridades superiores analizar los aspectos citados en el párrafo anterior (teniendo como insumo lo descrito en el numeral 4.2.3 anterior), con el apoyo de la Unidad de TI y su Unidad de Asuntos Jurídicos; situación que le debería permitir al SFE, entre otros aspectos, establecer las políticas, lineamientos, directrices, procedimientos, estructuras bases contractuales, valoración del riesgo, etc, que propicien un fortalecimiento de su sistema de control interno.

Lo anterior toma mayor relevancia, considerando que:

El SFE ya ha incursionado en el uso de los servicios que ofrece la “computación en la nube” y según sus proyecciones, se continuará explorando el ampliar los servicios hasta hoy contratados.

A la fecha, la administración no tendría certeza de si algunas de sus bases de datos (por su naturaleza) obligarían a la organización a cumplir con la citada ley y su Reglamento.

servicio fitosanitario del estado auditoría interna€¦ · 4.2.1 tendencia informática de...

Documents