Las importancia de proteger los datos personales

1. AGENDA

2. AGENDA IMPORTANCIA DE LA PROTECCION DE DATOS PERSONALES

3. AGENDA IMPORTANCIA DE LA PROTECCION DE DATOS PERSONALES Roberto Massa Inteligencia en Seguridad

4. AGENDA LA CREACIÓN DEL PROYECTO La Ley, el reglamento y el sistema de gestión La postura de Seguridad y el “tipo” de dato que se trata Creación de la Cultura de la Seguridad y la Privacidad Proyecto

5. AGEND A La Ley, el Reglamento y el Sistema de Gestión. El derecho a la privacidad se consagra como un Derecho Humano en la Constitución Política Mexicana y lo refiere en los artículos 6º y 16 Artículo 6.- Toda persona tiene derecho al libre acceso a la información plural y oportuna, así como a buscar, recibir y difundir información e ideas de toda índole por cualquier medio de expresión. II.- La información que se refiere a la vida privada y los datos personales será protegida en lo términos y con las excepciones que fijen las leyes. Artículo 16.- Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. LFPDPPP

6. AGENDA ¿A quién aplica? Art. 1.- La presente ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. LFPDPPP

7. AGENDA La persona física a quien corresponden los datos personales RESPONSABLE ENCARGADO TERCERO TITULAR Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable. (REMISIÓN) La persona física o moral, nacional o extranjera, distinta del titular, del encargado o del responsable de los datos. (TRANSFERENCIA) Definiciones básicas: LFPDPPP Definiciones

8. AGENDA Responsable y encargado en territorio mexicano Encargado a nombre de un responsable en territorio mexicano Responsable. Se le aplica la legislación mexicana por la celebración de un contrato o en términos del derecho internacional Encargado. Les son aplicables las medidas de seguridad contenidas en el reglamento LFPDPPPLFPDPPP Definiciones

9. AGENDA LFPDPPPLFPDPPP Definiciones 1) Dato Personal • Cualquier información concerniente a una persona física identificada o identificable 2) Dato Personal Sensible • Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. 3) Tratamiento: • Manejo y gestión de los datos personales 4) Transferencia • Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento 5) Aviso de Privacidad • Documento físico, electrónico o de cualquier otro formato que informa al titular sobre el tratamiento y fines para los que se solicita la información personal y los procesos para ejercer los derechos ARCOr 6) Consentimiento

10. AGENDA LFPDPPPLFPDPPP Principios 1. Consentimiento 2. Licitud 3. Lealtad 4. Información 5. Calidad 6. Finalidad 7. Proporcionalidad 8. Responsabilidad Principios

11. AGENDA Principio de Responsabilidad Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

12. AGENDA Comité de Datos Personales Los protagonistas Los controles básicos Punto de Partida RESPONDER: ¿Qué es el Comité de Datos Personales? ¿Cuáles son sus objetivos generales?

13. AGENDA Comité de Datos Personales Los protagonistas Los controles básicos Punto de Partida RESPONDER: ¿Qué es el Comité de Datos Personales? ¿Cuáles son sus objetivos generales? ¿Quién debe integrar el Comité DP en la empresa? ¿Quién trata datos personales? ¿Pueden existir objetivos funcionales? ¿Qué atribuciones pueden tener los Consejeros en el Comité de DP?

14. AGENDA Comité de Datos Personales Los protagonistas Los controles básicos Punto de Partida RESPONDER: ¿Qué es el Comité de Datos Personales? ¿Cuáles son sus objetivos generales? ¿Quién debe integrar el Comité DP en la empresa? ¿Quién trata datos personales? ¿Pueden existir objetivos funcionales? ¿Qué atribuciones pueden tener los Consejeros en el Comité de DP? ¿Cómo protejo hoy los datos personales e información crítica de la empresa? ¿Cuándo debe reunirse el Comité de DP?

15. Comité de Datos Personales Los protagonistas Los controles básicos AGENDAPunto de Partida RESPONDER: ¿Qué información controlo? ¿Cómo controlo la información? Describir las medidas: Administrativas Físicas Digitales AGENDA Postura de Seguridad Postura de Seguridad: “Qué tanto riesgo estamos dispuestos a correr” Documentar el Riesgo: 1) ¿Qué datos personales gestiono? 1) Riesgo Inherente bajo 2) Riesgo inherente medio 3) Riesgo inherente alto/reforzado 2) ¿Qué riesgo tiene el Dato Personal durante su tratamiento? ° ¿Cuánto vale la pérdida del dato? ° ¿Cómo impacta en la operación? ° ¿Qué daño puede causar el conocimiento público del dato que trato? ° ¿Cuál es el impacto reputacional? ° ¿Qué daño puede tener el titular? Financiero/patrimonial, Salud, Incomodidad/insatisfacción, otros. Riesgo Proyecto de DP Datos y Flujo Estudio de Brecha y análisis de vulnerabilidades

16. RESPONDER: ¿Qué información controlo? ¿Cómo controlo la información? Describir las medidas: Administrativas Físicas Digitales AGENDA Postura de Seguridad: “Qué tanto riesgo estamos dispuestos a correr” 1) Qué información personal necesito y manejo 2) Cómo se adquiere la información personal 3) Cuál es le flujo de la información entre responsable, encargado o tercero? 4) Definición de roles: Quién tiene acceso a qué, para qué y por cuánto tiempo 5) ¿Dónde reside la información en el período de tratamiento y en el período de bloqueo 6) ¿Qué medidas de seguridad he puesto en práctica en el manejo de información física? 7) ¿Qué medidas de seguridad he puesto en práctica en el manejo de información digital? 8) ¿Cómo controlo el acceso a la información: a) Física y b) digital 9) Documentación y Reportes Postura de Seguridad Riesgo Proyecto de DP Datos y Flujo Estudio de Brecha y análisis de vulnerabilidades

17. RESPONDER: ¿Qué información controlo? ¿Cómo controlo la información? Describir las medidas: Administrativas Físicas Digitales AGENDA Proyecto de Protección de Datos: Postura de Seguridad El cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares tiene: a) ¿Un alto nivel de prioridad? b) ¿Recursos económicos enfocados? c) ¿Recursos humanos dedicados? d) ¿Tenemos tiempo para la planeación y para la ejecución? e) ¿Estamos respondiendo a una fuga identificada? f) ¿Estamos ante una solicitud ARCO? g) ¿Estamos en proceso de verificación del INAI? Riesgo Proyecto de DP Datos y Flujo Estudio de Brecha y análisis de vulnerabilidades

18. RESPONDER: ¿Qué información controlo? ¿Cómo controlo la información? Describir las medidas: Administrativas Físicas Digitales AGENDA Datos y análisis de Flujo: Postura de Seguridad Protección de Datos al Interior de la Organización Administración del Riesgo Confidencialidad de la Información Integridad de la Información Accesibilidad a la información Obsolescencia de la información Principio de responsabilidad. Art. 48 del Reglamento Riesgo Proyecto de DP Datos y Flujo Estudio de Brecha y análisis de vulnerabilidades

19. Postura de Seguridad Riesgo Proyecto de DP Datos y Flujo Estudio de Brecha y análisis de vulnerabilidades Estudio de brecha y análisis de vulnerabilidades Definición de Estudio de Brecha: “Determinar la distancia entre las medidas de seguridad instaladas (estado actual) y el objetivo de ajuste deseado (estado futuro) frente a los lineamientos establecidos en la certificación de una normatividad determinada”. (LFPDPPP). (se conoce también como Gap Analysis). Alcance: Definir si toda la empresa será analizada o las áreas comprendidas en el tratamiento de datos personales ( a partir del análisis de flujo). Impacto: Traer el análisis de riesgo y validar el riesgo de las etapas actuales. Especificidad: Un estudio de brecha debe ser muy detallado y ver todas las aristas posibles.

20. 1. Políticas de Seguridad a. Buenas prácticas en el uso del Internet a. Sitios no confiables b. Uso de radio on line c. Uso de sitios para chat d. Sitios de actividades ilícitas e. Hacer descargas de sitios no oficiales f. Grey software g. Diferenciar las contraseñas h. Evitar que el navegador guarde contraseñas i. Juegos o entretenimiento en línea j. Cerrar todas las ventanas durante la navegación Políticas de Seguridad

21. 1. Políticas de Seguridad b. Buenas prácticas en el uso del Correo Electrónico a. Limitar el uso de Webmail b. No aceptar documentos de direcciones no conocidas y/o temas no relevantes c. Usar filtros antispam d. Regla del antivirus para analizar todos los adjuntos e. No responder a cartas que soliciten respuestas automatizadas o soliciten información poco lógica Políticas de Seguridad

22. 1. Políticas de Seguridad c. Uso de dispositivos móviles a. Siempre contar con código de bloqueo b. Documentar el contenido de la SIM y de memoria adicional c. Vaciar información antes de reparaciones o cambio de equipo d. Mantener información de serie, IMEI, ICCID e. Realiza las actualizaciones del sistema operativo y de las apps instaladas (y permitidas) f. La conexión corporativa puede hacerse mediante VPN con DAF (doble factor de autenticación). g. Sólo usar apps aprobadas… Políticas de Seguridad

23. 1. Políticas de Seguridad d. Buenas prácticas en el uso memoria externa Unidades de respaldo externas para almacenamiento de datos 1. ¿Se bloquean los puertos de USB en los equipos de escritorio y portátiles? 2. ¿Es admisible el uso de Unidades de Disco como parte del escritorio de trabajo? 3. ¿Se utilizan servidores de archivos con información no clasificada? 4. ¿Se respaldan las unidades de disco externas en el sistema centralizado? 5. ¿Qué información es susceptible de archivarse de manera personalizada en unidades externas y unidades flash? Políticas de Seguridad

24. 1. Políticas de Seguridad e. Control de Accesos y Privilegios 1. Control de identidades 2. Control de Privilegios 3. Auditoría de la gestión 4. Medición de irregularidades e incidencias 5. Control de Súper usuarios 6. Privilegios por función y por áreas 7. Administración de contraseñasPolíticas de Seguridad

25. BCP / DRP Planes de Continuidad de Negocios y de Recuperación de Desastres El Plan de Continuidad de Negocios, describe los procesos y procedimientos que una organización puede establecer para asegurarse que las funciones críticas (de TI y Datos Personales) puedan seguir realizándose durante y/o después de una contingencia. El Plan de Recuperación de Desastres describe los procesos y procedimientos que una organización puede establecer para asegurarse que las funciones críticas (de TI y Datos Personales) puedan recuperar la operación tras un desastre informático (ej. Hardware) un desastre natural, social o de otra índole que impida la operación regular por un período de tiempo o permanentemente.

26. Borrado y destrucción segura de datos Borrado y/o destrucción segura de datos. (Art. 11. Principio de Calidad LFPDPPP y Art. 38 del Reglamento) Es la medida de seguridad mediante la cual se establecen métodos y técnicas para la eliminación definitiva de los datos personales de modo que la probabilidad de recuperarlas sea mínima o nula. Métodos para borrado seguro de los Datos Personales Métodos físicos Métodos lógicos Se basan en la destrucción de los medios de almacenamiento Se basan en el borrado o limpieza de los datos almacenados Destrucción de los medios de almacenamiento físicos Destrucción de los medios de almacenamiento electrónicos Desmagnetización Sobre escritura  Irreversibilidad  Seguridad y confidencialidad  Favorable al medio ambiente

27. Resumen Resumen: Conoce el origen, tránsito y destino de los datos personales en tu organización. Establece medidas para controlar, administrar y proteger el dato de ser copiado, robado, modificado o eliminado. Define el riesgo que tiene el dato personal y el impacto de su vulneración Capacita al personal e induce la cultura de la Privacidad en tu empresa Documenta todo este proceso Audita tu operación y empieza de nuevo

28. r.massa@pikitdigital.net (55) 5027 8444 www.pikitdigital.net Inteligencia en Seguridad

Las importancia de proteger los datos personales

Las importancia de proteger los datos personales

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados(20)

Destaque

Destaque(8)

Similar a Las importancia de proteger los datos personales

Similar a Las importancia de proteger los datos personales(20)

Último

Último(19)

Las importancia de proteger los datos personales

Notas do Editor