Breadcrumb

  1. Inicio
  2. Privacy act
  3. OFICINA DE TECNOLOGÍA DE LA INFORMACIÓN (OIT)

OFICINA DE TECNOLOGÍA DE LA INFORMACIÓN (OIT)

Política sobre aviso de filtración de información

Abril de 2017

Versión 2



HISTORIAL DE CAMBIOS DEL DOCUMENTO

Las modificaciones que se realizan a este documento se incorporan al siguiente registro de cambios/revisiones. Este registro deberá conservarse durante toda la vigencia del documento.

Fecha Sección Versión Descripción del cambio Autor
Mayo de 2007 Toda 1.0 Copia preliminar inicial Pierrette McIntire
Mayo de 2008 Toda 1.1 Actualización anual Pierrette McIntire
Agosto de 2008 4.1 1.2 Se agregó la portada y la tabla de historial de cambios. También se modificó el título, de "Procedimiento para el aviso de filtración de información" a "Política y procedimiento en materia de PII". Sam Musa

Junio de 2010

Toda 1.2 Revisión anual; se modificó el título, de "Política y procedimiento en materia de PII" a "Política sobre aviso de filtración de información". Sam Musa
Octubre de 2013 4.3 1.3 Se indicaron suposiciones para el período de control de créditos. Pierrette McIntire
Abril de 2017 Abril de 2017 2 Se actualizó por motivos de cumplimiento con M-17-12. Pierrette McIntire


HISTORIAL DE APROBACIONES

Aprobado por


Pierrette J. McIntire, CISO




Índice

  1. INTRODUCCIÓN
  2. ANTECEDENTES
  3. REVISIÓN DE CUMPLIMIENTO
  4. REQUISITOS PARA EL MANEJO E INFORME DE INCIDENTES DE FILTRACIÓN DE INFORMACIÓN
  5. CAPACITACIÓN Y CONCIENTIZACIÓN
  6. SEGUIMIENTOS

PROGRAMAS DE ADMINISTRACIÓN
TECNOLOGÍA DE LA INFORMACIÓN

  1. INTRODUCCIÓN

    Es fundamental proteger la información que permite la identificación personal (PII)(1) y que obra en poder del gobierno, y evitar su filtración para asegurar que el gobierno conserve la confianza del público estadounidense. Siguiendo la guía que se describe en el Memorándum de la Oficina de Administración y Presupuesto (OMB) M-17-12, Cómo prepararse y responder ante una filtración de información que permite la identificación personal(2), la Comisión para la Igualdad de Oportunidades en el Empleo (EEOC) de los EE. UU. elaboró esta Política sobre aviso de filtración de información para minimizar el riesgo y asegurar la pronta y adecuada toma de medidas en el caso de que tenga lugar una filtración de este tipo. A los fines de esta Política, el término "filtración" incluye la pérdida de control, el compromiso, la divulgación o la adquisición no autorizadas, o cualquier evento similar en el que (1) una persona distinta al usuario autorizado acceda o potencialmente acceda a PII o (2) un usuario autorizado acceda o potencialmente acceda a PII para fines distintos al propósito autorizado. Una filtración también puede incluir la pérdida o el robo de documentos físicos con PII y de medios portátiles de almacenamiento electrónico que contengan PII, la divulgación involuntaria de PII en un sitio web público o la divulgación oral de PII a una persona que no esté autorizada a recibir dicha información.

  2. ANTECEDENTES

    Es responsabilidad de todos los usuarios de los sistemas de la EEOC ayudar a garantizar la seguridad e integridad de la información que obra en los sistemas de registros automatizado y manual de la Comisión. En la circular A-130 de la Oficina de Administración y Presupuesto(3), en la Ley de Privacidad de 1974 y en la Ley Federal de Modernización de la Seguridad de la Información de 2014(4), se define dicha información -así como la tecnología empleada para conservarla- como un activo fundamental para el gobierno. Las personas que controlan o usan esta información son responsables de su cuidado, custodia y protección. Se espera que todos los usuarios de sistemas de la EEOC, ya sea que se trate de empleados, contratistas, pasantes y trabajadores eventuales de la EEOC, y otros usuarios de información y sistemas de información de la EEOC tengan conocimiento de determinadas normas y políticas legales que deban seguirse para proteger dicha información. En la Orden 240.005, Anexo A de la EEOC, Responsabilidades en materia de seguridad de la información para usuarios de los sistemas de la EEOC(5), se describen estas responsabilidades fundamentales.

    En respuesta al Memorándum M-06-16 de la OMB, la EEOC desarrolló una Política para el retiro de extractos de datos que permiten la identificación personal de las instalaciones de la EEOC(6). A principios del año fiscal 2017, la EEOC desarrolló una política sobre Protección de la información confidencial(7). En estas políticas, se describen las medidas de protección que deben seguirse cada vez que se maneje o almacene PII o cuando se retiren extractos con PII de las instalaciones de la EEOC.

    Además, la EEOC implementó controles técnicos robustos para garantizar la seguridad y confidencialidad de los registros y para brindar protección contra las amenazas a su seguridad e integridad. Esto incluye la categorización del sistema frente a la Norma Federal para el Procesamiento de Información (FIPS) 199, Normas para la categorización de la seguridad de la información y de los sistemas de información federales; la implementación de los controles de seguridad que se mencionan en la FIPS 200, Requisitos mínimos de seguridad para la información y sistemas de información federales, y la publicación especial 800-53 del Instituto Nacional de Normas y Tecnología (NIST), Controles de seguridad recomendados para los sistemas de información federales; la autorización para ejecutar procesos para sistemas de información principales; las evaluaciones del impacto en la privacidad, reglas de conducta del sistema; y la capacitación anual de concientización, que incluye una descripción general de las responsabilidades en materia de privacidad y seguridad.

    Para reducir aún más el riesgo, la EEOC mantuvo una postura muy proactiva al eliminar el uso y el almacenamiento de los números del Seguro Social en nuestros sistemas de información automatizados. Para brindar mayor protección a la privacidad de las personas que solicitan los servicios de la EEOC, en octubre de 2006, la agencia eliminó los números del Seguro Social (SSN) de las personas que presentan cargos de discriminación en el empleo de nuestro principal sistema de información, el Sistema integrado de misiones.

  3. REVISIÓN DE CUMPLIMIENTO

    Todos los años, la Oficina de Tecnología de la Información y la Oficina del Asesor Legal de la EEOC deben revisar toda la información que permita la identificación personal con la que se cuente en ese momento, deben reducir las recopilaciones de PII al mínimo necesario para el debido desempeño de las funciones de la agencia y deben asegurar, en la mayor medida de lo posible, que dicha información con la que se cuenta sea precisa, relevante, oportuna y esté completa.

  4. REQUISITOS PARA EL MANEJO E INFORME DE INCIDENTES DE FILTRACIÓN DE INFORMACIÓN

    En el caso de que tenga lugar un incidente de seguridad o filtración de información, la EEOC debe estar preparada para responder de una manera que proteja su propia información y, a la vez, ayude a proteger la información de terceros que puedan verse afectados a raíz del incidente. En el Plan de respuesta ante incidentes de la EEOC, se describen los requisitos en materia de funciones y responsabilidades, amenazas, prevención y respuestas, procedimientos, recuperación y presentación de informes. Esta Política sobre aviso de filtración de información incrementa el Plan de respuesta ante incidentes de la EEOC en lo que respecta a la filtración o presunta pérdida de PII.

    • 4.1 AVISO DEL INCIDENTE

      De conformidad con el Plan de respuesta ante incidentes de la EEOC, el personal/los contratistas de la EEOC deben notificar de inmediato a la gerencia todo incidente vinculado con la pérdida o presunta filtración de PII. La gerencia debe notificar de inmediato al director de Información (CIO)/oficial sénior de Privacidad de la agencia (SAOP), al director de Seguridad de la Información (CISO) y al asesor legal de la EEOC respecto de la filtración de PII con el mayor detalle posible. Acto seguido, se debe redactar un informe completo sobre el incidente.

      • Los usuarios/gerentes no deben esperar a que se confirme que ha tenido lugar una filtración de información para notificar al respecto al CIO/SAOP y CISO, ya que dicha demora podría socavar la capacidad de la agencia de aplicar medidas preventivas y resarcitorias para proteger la PII o reducir el riego de ocasionar un daño a las personas potencialmente afectadas. Además, la demora podría reducir la probabilidad de que la agencia pueda recuperar un dispositivo o documento físico perdidos o robados.

      Una vez que el SAOP o CISO tome conocimiento de una filtración presunta o confirmada, deberá determinar si la respuesta de la agencia puede llevarse a cabo a nivel del personal o si la agencia debe convocar al equipo de administración de respuesta ante filtraciones de información. Si la respuesta puede llevarse a cabo a nivel del personal, se puede optar por no convocar a dicho equipo. Como mínimo, se deberá convocar al equipo de administración de respuesta ante filtraciones de información cuando una filtración constituya un incidente mayor, conforme se define en la guía de OMB (M-17-12, Sección VII.D.3).

      El CIO/SAOP o CISO de la EEOC deberá confirmar los detalles del incidente y deberá seguir las Pautas federales de respuesta ante incidentes(8) para informar la filtración al Equipo de preparación de emergencia informática de Estados Unidos (US-CERT) (en el término de una hora), a las entidades a cargo de la aplicación y supervisión de las leyes, y al Congreso, según corresponda. (Nota: De acuerdo con las nuevas pautas, solo la información almacenada digitalmente o como registros electrónicos debe informarse al US-CERT).

    • 4.2 EQUIPO DE ADMINISTRACIÓN DE RESPUESTA ANTE FILTRACIONES DE INFORMACIÓN

      Cuando corresponda, el CIO o CISO deberá notificar de inmediato al Equipo de administración de respuesta ante filtraciones de información de EEOC respecto del incidente. El Equipo de administración de respuesta ante filtraciones de información está integrado por el director operativo, el CIO/SAOP, el asesor legal, el inspector general (IG), el CISO, el subasesor legal, el director financiero, el director de la Oficina de Comunicaciones y Asuntos Legislativos y el gerente sénior de programa del programa afectado por la filtración. Según sea necesario, se podrá incluir a otros ejecutivos en la notificación.

      • El Equipo de administración de respuesta ante filtraciones de información llevará a cabo un análisis de riesgo para determinar si el incidente plantea problemas vinculados con el robo de identidad o áreas de potencial daño. Se utilizará la guía que se describe en el OMB M-17-12 para ayudar con esta determinación.

      Si se determina que el incidente podría plantear problemas vinculados con el robo de identidad u otras posibles áreas de daño, el Equipo de administración de respuesta ante filtraciones de información deberá seguir el OMB M-17-12 para identificar la documentación de cumplimiento en materia de privacidad correspondiente, revisar posibles medidas e implementar un plan de acción de respuesta que incluya cobertura, implementación y notificación a las personas potencialmente afectadas por la filtración, y presentación de informes.

      • Si la filtración involucra tarjetas de crédito autorizadas por el gobierno, inmediatamente se deberán tomar medidas para notificar al banco emisor. Si la filtración involucra números de cuentas bancarias de personas que se utilizan para el depósito directo de reembolsos de las tarjetas de crédito, del salario de empleados del gobierno o de algún pago de beneficios, la EEOC deberá informar inmediatamente al banco y a la otra entidad a cargo del manejo de dicha transacción en particular.
      • Si la filtración incluye números del Seguro Social u otra información sumamente confidencial, el Equipo de administración de respuesta ante filtraciones de información determinará si se ofrecerán servicios de monitoreo de crédito a las partes afectadas, cuyo cargo correrá por cuenta del gobierno. Si se requieren servicios de monitoreo de crédito, deberán adquirirse inmediatamente del Acuerdo de compra general de la Administración de Servicios Generales (GSA) para los servicios de monitoreo de crédito.
      • El Equipo de administración de respuesta ante filtraciones de información deberá consultar a los gerentes técnico y de programa, según corresponda, para determinar si es necesaria la implementación inmediata de medidas de seguimiento para reducir cualquier riesgo residual o de seguimiento relacionado con el incidente.
      • Si es posible que la filtración esté relacionada con otras filtraciones u otra actividad delictiva, el IG de la EEOC deberá coordinar con las agencias federales correspondientes a cargo de la aplicación de la ley, a fin de permitir que el gobierno busque potenciales vinculaciones e investigue y castigue efectivamente la actividad delictiva que pueda derivar de la filtración, o bien que se relacione con ella.
    • 4.3 AVISO A LAS PERSONAS AFECTADAS

      Una vez identificado el nivel de riesgo y teniendo en cuenta las medidas adoptadas para limitar dicho riesgo, el Equipo de administración de respuesta ante filtraciones de información deberá tomar una decisión respecto del aviso a las partes afectadas por la filtración. Esta decisión deberá tomarse siguiendo el OMB M-17-12.

      • Si se decidió ofrecer los servicios de monitoreo de crédito, el Equipo de administración de respuesta ante filtraciones de información deberá identificar al ejecutivo de la agencia correspondiente, quien deberá comunicarse con las partes afectadas. Cuando corresponda, la comunicación se realizará en forma verbal (llamada telefónica) y por escrito (carta de seguimiento). El CISO deberá reenviar una o más cartas modelo de notificación del robo de identidad al ejecutivo de la agencia correspondiente para su compleción y procesamiento. En dicha carta, se deberán indicar el incidente, los tipos de información personal involucrados en la filtración y una breve descripción de las medidas que está tomando la agencia para investigar la filtración y limitar el riesgo, las medidas que la persona afectada puede tomar para protegerse y reducir el riesgo de robo de identidad e información sobre cómo recibir los servicios de monitoreo de crédito que ofrece el gobierno. Antes de su procesamiento, se reenviará la notificación preliminar a la Oficina del Asesor Legal para su revisión. Los servicios de monitoreo de crédito se adquirirán por un período de un año. Si se solicita un período mayor, el Equipo de administración de respuesta ante filtraciones de información podrá, a su criterio, ofrecer una prórroga en la suscripción.
      • Si se toma la decisión de informar a las partes afectadas, pero no se les ofrecen los servicios de monitoreo de crédito, el Equipo de administración de respuesta ante filtraciones de información deberá identificar al ejecutivo de la agencia correspondiente, quien, a la vez, deberá comunicarse con las partes afectadas. Asimismo, el CISO deberá reenviar una o más cartas modelo de notificación del robo de identidad a dicho ejecutivo para su compleción y procesamiento. La carta modelo deberá ajustarse a los requisitos de formato y revisión que se indicaron anteriormente, sin el ofrecimiento de los servicios de monitoreo de crédito.
      • Deberán tomarse en forma oportuna las decisiones y las medidas de seguimiento respecto de la notificación, para que las personas afectadas puedan tomar medidas de protección con la mayor antelación posible, pero sin agravar el daño causado por el incidente inicial mediante el anuncio prematuro basado en datos incompletos.
      • Si se determina que se justifica el aviso público de la filtración, el Equipo de administración de respuesta ante filtraciones de información deberá publicar información y avisos al respecto en un lugar claramente identificable de la página de inicio del sitio web externo de la EEOC. En la publicación, se deberá incluir un enlace a la sección Preguntas frecuentes y otros puntos centrales para ayudar al público a comprender la filtración y el proceso de notificación.
      • Según sea necesario, el Equipo de administración de respuesta ante filtraciones de información deberá identificar recursos para manejar las consultas de seguimiento. Si la filtración afecta a muchas personas, el Equipo de administración de respuesta ante filtraciones de información podrá considerar la opción de adquirir servicios de apoyo de respuesta ante incidentes a través de los Acuerdos de compra general de servicios de protección de identidad de la Administración de Servicios Generales (GSA). La EEOC podrá demorar el anuncio público del incidente que se requiera, a fin de permitir la implementación de recursos de seguimiento adecuados.
    • 4.4 MATRIZ DE ANÁLISIS DEL RIESGO DE ROBO DE IDENTIDAD

      A fin de determinar si una filtración provoca riesgos de robo de identidad, el Equipo de administración de respuesta ante filtraciones de información deberá evaluar los factores del incidente para recomendar las medidas adecuadas. Entre los factores determinantes, se incluyen los siguientes:

      • Riesgo de daño, que incluye el tipo de datos comprometidos en la pérdida, p. ej., información del tipo guía telefónica, fecha de nacimiento y lugar de nacimiento, número del Seguro Social (SSN), información financiera personal (información sobre tarjetas de crédito o cuenta bancaria) e información confidencial que obre en el legajo de personal oficial o en un archivo de investigación de antecedes de una persona, donde el riesgo de daño aumenta a medida que cada tipo de datos se combina con el elemento anterior.
      • Controles de compensación, que incluyen los tipos de controles implementados y habilitados al momento de la pérdida o del compromiso, p. ej., ausencia de controles, controles físicos, como ser cajas con candado, controles de contraseña o codificación en el dispositivo/archivo electrónico y muchos otros controles de seguridad que ofrecen una gran protección de los datos confidenciales.

      En la Figura 1 a continuación, se ofrece una matriz que ha sido diseñada a modo de ayuda para permitir una rápida evaluación de los riesgos al ponderar el impacto de la pérdida de PII o información cubierta. El Equipo de administración de respuesta ante filtraciones de información revisa la matriz de cada aviso de filtración evaluada, que se conserva como parte de la decisión de respuesta del equipo.

    Imagen
    identity_theft_risk_analysis_matrix

    Figura 1: Matriz de análisis del riesgo de robo de identidad

  5. CAPACITACIÓN Y CONCIENTIZACIÓN

    Al acceder a la red de EEOC por primera vez, los usuarios deben leer y aceptar las Reglas de conducta de la red/de sistemas de escritorio de EEOC, que incluyen información sobre PII y requisitos de aviso de filtración. Además, en el año fiscal 2016, se incorporó una capacitación de concientización sobre privacidad a la Capacitación anual de concientización en materia de seguridad. La EEOC brinda capacitación especializada en materia de privacidad, que incluye capacitación sobre el manejo de información confidencial, a personas pertinentes de acuerdo con las funciones principales de su puesto de trabajo. La EEOC también fomenta la concientización a lo largo de todo el año, por ejemplo, al enviar recordatorios por correo electrónico o mediante otras campañas de concientización especiales.

  6. SEGUIMIENTO

    Se deberá realizar un seguimiento de las filtraciones y estas deberán registrarse en el Módulo de seguimiento de incidentes ServiceNow de la EEOC. El CIO/SAOP y el CISO realizarán comunicados sobre la respuesta en curso y para determinar la conclusión de la respuesta a la filtración. El CIO/SAOP y el CISO deberán reunirse en forma trimestral para analizar la situación de las filtraciones en curso.

    • Si la EEOC informa una filtración al Congreso, el SAOP/CIO deberá convocar al Equipo de administración de respuesta ante filtraciones de información de la agencia para que revise formalmente la respuesta de la agencia a la filtración e identifique las lecciones aprendidas. La EEOC deberá usar las lecciones aprendidas para implementar medidas específicas y preventivas. La EEOC deberá documentar los cambios en su plan de respuesta ante filtraciones, en sus políticas, en sus programas de capacitación y demás documentos pertinentes a raíz de las lecciones aprendidas. De existir desafíos específicos que le impidan a la EEOC implementar medidas resarcitorias, la Comisión también deberá documentar dichos desafíos.

NOTAS A PIE DE PÁGINA:

1 El término "información que permite la identificación personal" se refiere a la información que puede usarse para distinguir o rastrear la identidad de una persona, por ejemplo, el nombre, los números del Seguro Social, los registros biométricos, etc., ya sea sola o en combinación con otra información personal o que permita la identificación y que se vincule o pueda vincularse con una persona en particular, por ejemplo, la fecha y el lugar de nacimiento, el nombre de soltera de la madre, etc.

2 https://obamawhitehouse.archives.gov/sites/default/files/omb/memoranda/2017/m-17-12_0.pdf

3 https://www.whitehouse.gov/sites/default/files/omb/assets/OMB/circulars/a130/a130revised.pdf

4 https://www.congress.gov/bill/113th-congress/senate-bill/2521/text

5 http://insite.eeoc.gov/insite/TECHNOLOGY/INFOSECURITYRESPONSIBILITIESEEOCSYSUSERS.pdf

6 http://insite.eeoc.gov/insite/TECHNOLOGY/PIIextractpolicyfinal.pdf

7 http://insite.eeoc.gov/OIT/upload/PROTECTION-OF-SENSITIVE-INFORMATION-fv1-161026.pdf

8 https://www.us-cert.gov/sites/default/files/publications/Federal Incident Notification Guidelines.pdf