4. AGENDA
LA CREACIÓN DEL PROYECTO
La Ley, el reglamento y el
sistema de gestión
La postura de Seguridad y
el “tipo” de dato que se
trata
Creación de la Cultura de
la Seguridad y la Privacidad
Proyecto
5. AGEND
A
La Ley, el Reglamento y el Sistema de Gestión.
El derecho a la privacidad se consagra como un Derecho Humano
en la Constitución Política Mexicana y lo refiere en los artículos 6º
y 16
Artículo 6.- Toda persona tiene derecho al libre acceso a la información plural y oportuna, así como a
buscar, recibir y difundir información e ideas de toda índole por cualquier medio de expresión.
II.- La información que se refiere a la vida privada y los datos personales será protegida en lo términos
y con las excepciones que fijen las leyes.
Artículo 16.- Toda persona tiene derecho a la protección de sus datos personales, al acceso,
rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije
la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos,
por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para
proteger los derechos de terceros.
LFPDPPP
6. AGENDA
¿A quién aplica?
Art. 1.- La presente ley es de orden público y de observancia general en toda la República y tiene por
objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su
tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la
autodeterminación informativa de las personas.
LFPDPPP
7. AGENDA
La persona física a quien corresponden los datos personales
RESPONSABLE
ENCARGADO
TERCERO
TITULAR
Persona física o moral de carácter privado que decide sobre el
tratamiento de datos personales.
La persona física o jurídica que sola o conjuntamente con otras
trate datos personales por cuenta del responsable.
(REMISIÓN)
La persona física o moral, nacional o extranjera, distinta del
titular, del encargado o del responsable de los datos.
(TRANSFERENCIA)
Definiciones básicas:
LFPDPPP
Definiciones
8. AGENDA
Responsable y encargado en
territorio mexicano
Encargado a nombre de un
responsable en territorio
mexicano
Responsable. Se le aplica la
legislación mexicana por la
celebración de un contrato
o en términos del derecho
internacional
Encargado. Les son aplicables
las medidas de seguridad
contenidas en el reglamento
LFPDPPPLFPDPPP
Definiciones
9. AGENDA
LFPDPPPLFPDPPP
Definiciones
1) Dato Personal
• Cualquier información concerniente a una persona física identificada o
identificable
2) Dato Personal Sensible
• Aquellos datos personales que afecten a la esfera más íntima de su titular, o
cuya utilización indebida pueda dar origen a discriminación o conlleve un
riesgo grave para éste.
3) Tratamiento:
• Manejo y gestión de los datos personales
4) Transferencia
• Toda comunicación de datos realizada a persona distinta del responsable o
encargado del tratamiento
5) Aviso de Privacidad
• Documento físico, electrónico o de cualquier otro formato que informa al
titular sobre el tratamiento y fines para los que se solicita la información
personal y los procesos para ejercer los derechos ARCOr
6) Consentimiento
11. AGENDA
Principio de
Responsabilidad
Todo responsable que lleve a cabo tratamiento de datos personales
deberá establecer y mantener medidas de seguridad
administrativas, técnicas y físicas que permitan proteger los datos
personales contra daño, pérdida, alteración, destrucción o el uso,
acceso o tratamiento no autorizado.
12. AGENDA
Comité de Datos
Personales
Los protagonistas
Los controles
básicos
Punto de
Partida
RESPONDER:
¿Qué es el Comité de Datos Personales?
¿Cuáles son sus objetivos generales?
13. AGENDA
Comité de Datos
Personales
Los protagonistas
Los controles
básicos
Punto de
Partida
RESPONDER:
¿Qué es el Comité de Datos Personales?
¿Cuáles son sus objetivos generales?
¿Quién debe integrar el Comité DP en la empresa?
¿Quién trata datos personales?
¿Pueden existir objetivos funcionales?
¿Qué atribuciones pueden tener los Consejeros
en el Comité de DP?
14. AGENDA
Comité de Datos
Personales
Los protagonistas
Los controles
básicos
Punto de
Partida
RESPONDER:
¿Qué es el Comité de Datos Personales?
¿Cuáles son sus objetivos generales?
¿Quién debe integrar el Comité DP en la empresa?
¿Quién trata datos personales?
¿Pueden existir objetivos funcionales?
¿Qué atribuciones pueden tener los Consejeros
en el Comité de DP?
¿Cómo protejo hoy los datos personales e información
crítica de la empresa?
¿Cuándo debe reunirse el Comité de DP?
15. Comité de Datos Personales
Los protagonistas
Los controles básicos
AGENDAPunto de
Partida
RESPONDER:
¿Qué información controlo?
¿Cómo controlo la información?
Describir las medidas:
Administrativas
Físicas
Digitales
AGENDA
Postura de
Seguridad
Postura de Seguridad:
“Qué tanto riesgo estamos dispuestos a correr”
Documentar el Riesgo:
1) ¿Qué datos personales gestiono?
1) Riesgo Inherente bajo
2) Riesgo inherente medio
3) Riesgo inherente alto/reforzado
2) ¿Qué riesgo tiene el Dato Personal durante su
tratamiento?
° ¿Cuánto vale la pérdida del dato?
° ¿Cómo impacta en la operación?
° ¿Qué daño puede causar el conocimiento público
del dato que trato?
° ¿Cuál es el impacto reputacional?
° ¿Qué daño puede tener el titular?
Financiero/patrimonial, Salud,
Incomodidad/insatisfacción, otros.
Riesgo
Proyecto de DP
Datos y Flujo
Estudio de Brecha y
análisis de
vulnerabilidades
16. RESPONDER:
¿Qué información controlo?
¿Cómo controlo la información?
Describir las medidas:
Administrativas
Físicas
Digitales
AGENDA
Postura de Seguridad:
“Qué tanto riesgo estamos dispuestos a correr”
1) Qué información
personal necesito y
manejo
2) Cómo se adquiere la
información personal
3) Cuál es le flujo de la
información entre
responsable, encargado
o tercero?
4) Definición de roles:
Quién tiene acceso a
qué, para qué y por
cuánto tiempo
5) ¿Dónde reside la
información en el
período de tratamiento
y en el período de
bloqueo
6) ¿Qué medidas de
seguridad he puesto en
práctica en el manejo
de información física?
7) ¿Qué medidas de
seguridad he puesto en
práctica en el manejo
de información digital?
8) ¿Cómo controlo el
acceso a la información:
a) Física y b) digital
9) Documentación y
Reportes
Postura de
Seguridad
Riesgo
Proyecto de DP
Datos y Flujo
Estudio de Brecha y
análisis de
vulnerabilidades
17. RESPONDER:
¿Qué información controlo?
¿Cómo controlo la información?
Describir las medidas:
Administrativas
Físicas
Digitales
AGENDA
Proyecto de Protección de Datos:
Postura de
Seguridad
El cumplimiento con la Ley Federal de Protección de
Datos Personales en Posesión de los Particulares tiene:
a) ¿Un alto nivel de prioridad?
b) ¿Recursos económicos enfocados?
c) ¿Recursos humanos dedicados?
d) ¿Tenemos tiempo para la planeación y para
la ejecución?
e) ¿Estamos respondiendo a una fuga
identificada?
f) ¿Estamos ante una solicitud ARCO?
g) ¿Estamos en proceso de verificación del
INAI?
Riesgo
Proyecto de DP
Datos y Flujo
Estudio de Brecha y
análisis de
vulnerabilidades
18. RESPONDER:
¿Qué información controlo?
¿Cómo controlo la información?
Describir las medidas:
Administrativas
Físicas
Digitales
AGENDA
Datos y análisis de Flujo:
Postura de
Seguridad
Protección de Datos al
Interior de la
Organización
Administración
del Riesgo
Confidencialidad
de la
Información
Integridad de la
Información
Accesibilidad a
la información
Obsolescencia
de la
información
Principio de responsabilidad. Art. 48 del Reglamento
Riesgo
Proyecto de DP
Datos y Flujo
Estudio de Brecha y
análisis de
vulnerabilidades
19. Postura de
Seguridad
Riesgo
Proyecto de DP
Datos y Flujo
Estudio de Brecha y
análisis de
vulnerabilidades
Estudio de brecha y análisis de vulnerabilidades
Definición de Estudio de Brecha:
“Determinar la distancia entre las
medidas de seguridad instaladas (estado
actual) y el objetivo de ajuste deseado
(estado futuro) frente a los lineamientos
establecidos en la certificación de una
normatividad determinada”. (LFPDPPP).
(se conoce también como Gap Analysis).
Alcance: Definir si toda la empresa será analizada o las áreas comprendidas
en el tratamiento de datos personales ( a partir del análisis de flujo).
Impacto: Traer el análisis de riesgo y validar el riesgo de las etapas actuales.
Especificidad: Un estudio de brecha debe ser muy detallado y ver todas las
aristas posibles.
20. 1. Políticas de Seguridad
a. Buenas prácticas en el uso del Internet
a. Sitios no confiables
b. Uso de radio on line
c. Uso de sitios para chat
d. Sitios de actividades ilícitas
e. Hacer descargas de sitios no oficiales
f. Grey software
g. Diferenciar las contraseñas
h. Evitar que el navegador guarde
contraseñas
i. Juegos o entretenimiento en línea
j. Cerrar todas las ventanas durante la
navegación
Políticas
de
Seguridad
21. 1. Políticas de Seguridad
b. Buenas prácticas en el uso del Correo
Electrónico
a. Limitar el uso de Webmail
b. No aceptar documentos de direcciones
no conocidas y/o temas no relevantes
c. Usar filtros antispam
d. Regla del antivirus para analizar todos
los adjuntos
e. No responder a cartas que soliciten
respuestas automatizadas o soliciten
información poco lógica
Políticas
de
Seguridad
22. 1. Políticas de Seguridad
c. Uso de dispositivos móviles
a. Siempre contar con código de bloqueo
b. Documentar el contenido de la SIM y de
memoria adicional
c. Vaciar información antes de
reparaciones o cambio de equipo
d. Mantener información de serie, IMEI,
ICCID
e. Realiza las actualizaciones del sistema
operativo y de las apps instaladas (y
permitidas)
f. La conexión corporativa puede hacerse
mediante VPN con DAF (doble factor de
autenticación).
g. Sólo usar apps aprobadas…
Políticas
de
Seguridad
23. 1. Políticas de Seguridad
d. Buenas prácticas en el uso memoria externa
Unidades de respaldo externas para almacenamiento de datos
1. ¿Se bloquean los puertos de USB en los equipos
de escritorio y portátiles?
2. ¿Es admisible el uso de Unidades de Disco como
parte del escritorio de trabajo?
3. ¿Se utilizan servidores de archivos con
información no clasificada?
4. ¿Se respaldan las unidades de disco externas en
el sistema centralizado?
5. ¿Qué información es susceptible de archivarse
de manera personalizada en unidades externas y
unidades flash?
Políticas
de
Seguridad
24. 1. Políticas de Seguridad
e. Control de Accesos y Privilegios
1. Control de identidades
2. Control de Privilegios
3. Auditoría de la gestión
4. Medición de irregularidades e incidencias
5. Control de Súper usuarios
6. Privilegios por función y por áreas
7. Administración de contraseñasPolíticas
de
Seguridad
25. BCP / DRP
Planes de Continuidad de Negocios y de Recuperación de Desastres
El Plan de Continuidad de Negocios, describe
los procesos y procedimientos que una
organización puede establecer para asegurarse
que las funciones críticas (de TI y Datos
Personales) puedan seguir realizándose
durante y/o después de una contingencia.
El Plan de Recuperación de Desastres describe los
procesos y procedimientos que una organización
puede establecer para asegurarse que las funciones
críticas (de TI y Datos Personales) puedan
recuperar la operación tras un desastre informático
(ej. Hardware) un desastre natural, social o de otra
índole que impida la operación regular por un
período de tiempo o permanentemente.
26. Borrado y
destrucción
segura de
datos
Borrado y/o destrucción segura de datos.
(Art. 11. Principio de Calidad LFPDPPP y Art. 38 del Reglamento)
Es la medida de seguridad mediante la cual se establecen métodos y
técnicas para la eliminación definitiva de los datos personales de modo
que la probabilidad de recuperarlas sea mínima o nula.
Métodos para borrado seguro de los Datos Personales
Métodos físicos Métodos lógicos
Se basan en la destrucción de los
medios de almacenamiento
Se basan en el borrado o limpieza
de los datos almacenados
Destrucción de los
medios de
almacenamiento
físicos
Destrucción de los
medios de
almacenamiento
electrónicos
Desmagnetización Sobre escritura
Irreversibilidad
Seguridad y confidencialidad
Favorable al medio ambiente
27. Resumen
Resumen:
Conoce el origen, tránsito y destino de los datos personales en tu organización.
Establece medidas para controlar, administrar y proteger el dato de ser
copiado, robado, modificado o eliminado.
Define el riesgo que tiene el dato personal y el impacto de su vulneración
Capacita al personal e induce la cultura de la Privacidad en tu empresa
Documenta todo este proceso
Audita tu operación y empieza de nuevo
Ciberataques a empresas mexicanas generaron pérdidas por 39 mil millones de pesos durante el periodo 2013-2014.
De acuerdo con el último Reporte Norton, México se ubica en el tercer lugar global respecto al porcentaje de empresas afectadas por ataques cibernéticos.
Lo más preocupante es el auge en el hackeo de los sistemas informáticos y el robo de datos donde el no tener acceso a la información crítica puede costar millones de pesos a una empresa.
1 La pérdida o destrucción no autorizada
2 El robo extravío o copia no autorizada
3 El uso, acceso o tratamiento no autorizado
4 El daño, la alteración o modificación no autorizada
Tendiendo Puentes: (I) Identificación de la brecha (II) Descripción de la brecha
Factores y remedios: (I) Responsables de la brecha por qué existe (II) Soluciones acciones y propuestas