Embed Size (px)
Citation preview
AGENDA
AGENDA
IMPORTANCIA DE LA PROTECCION DE DATOS PERSONALES
AGENDA
IMPORTANCIA DE LA PROTECCION DE DATOS PERSONALES
Roberto MassaInteligencia en Seguridad
LA FILTRACIÓN MÁS GRANDE DE DOCUMENTOS DE LA HISTORIA (11 millones).
¿Cómo se obtuvieron los documentos?A través de una entrega de 2.6 terabytes de
información confidencial de la firma
panameña de abogados Mossack Fonseca
por parte de una fuente anónima al
periódico alemán Suddeutsche Zeitung,
quien lo compartió con el Consorcio
Internacional de Periodistas de Investigación.
La filtración ha revelado cómo personas
adineradas y poderosas usan los paraísos
fiscales para ocultar su riqueza.
AGENDA
LA CREACIÓN DEL PROYECTO
La Ley, el reglamento y el sistema de gestión
La postura de Seguridad y el “tipo” de dato que se trata
Creación de la Cultura de la Seguridad y la Privacidad
Proyecto
AGENDA
La Ley, el Reglamento y el Sistema de Gestión.
El derecho a la privacidad se consagra como un Derecho Humano en la Constitución Política Mexicana y lo refiere en los artículos 6º y 16
Artículo 6.- Toda persona tiene derecho al libre acceso a la información plural y oportuna, así como a buscar, recibir y difundir información e ideas de toda índole por cualquier medio de expresión.II.- La información que se refiere a la vida privada y los datos personales será protegida en lo términos y con las excepciones que fijen las leyes.
Artículo 16.- Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
LFPDPPP
AGENDA
¿A quién aplica?
Art. 1.- La presente ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
LFPDPPP
AGENDA
La persona física a quien corresponden los datos personales
RESPONSABLE
ENCARGADO
TERCERO
TITULAR
Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable. (REMISIÓN)
La persona física o moral, nacional o extranjera, distinta del titular, del encargado o del responsable de los datos. (TRANSFERENCIA)
Definiciones básicas:
LFPDPPPDefiniciones
AGENDA
Responsable y encargado en territorio mexicano
Encargado a nombre de un responsable en territorio mexicano
Responsable. Se le aplica la legislación mexicana por la celebración de un contrato o en términos del derecho internacional
Encargado. Les son aplicables las medidas de seguridad contenidas en el reglamento
LFPDPPPLFPDPPPDefiniciones
AGENDALFPDPPPLFPDPPP
Definiciones
1) Dato Personal• Cualquier información concerniente a una persona física identificada o
identificable2) Dato Personal Sensible
• Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.
3) Tratamiento:• Manejo y gestión de los datos personales
4) Transferencia• Toda comunicación de datos realizada a persona distinta del responsable o
encargado del tratamiento5) Aviso de Privacidad
• Documento físico, electrónico o de cualquier otro formato que informa al titular sobre el tratamiento y fines para los que se solicita la información personal y los procesos para ejercer los derechos ARCOr
6) Consentimiento
AGENDALFPDPPPLFPDPPP
Principios
1. Consentimiento2. Licitud3. Lealtad4. Información5. Calidad6. Finalidad7. Proporcionalidad8. Responsabilidad
Principios
AGENDA
Principio de Responsabilidad
Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
AGENDA
Comité de Datos Personales
Los protagonistasLos controles
básicos
Punto de Partida
RESPONDER:
¿Qué es el Comité de Datos Personales?
¿Cuáles son sus objetivos generales?
AGENDA
Comité de Datos Personales
Los protagonistasLos controles
básicos
Punto de Partida
RESPONDER:
¿Qué es el Comité de Datos Personales?
¿Cuáles son sus objetivos generales?
¿Quién debe integrar el Comité DP en la empresa?¿Quién trata datos personales?
¿Pueden existir objetivos funcionales?
¿Qué atribuciones pueden tener los Consejeros en el Comité de DP?
AGENDA
Comité de Datos Personales
Los protagonistasLos controles
básicos
Punto de Partida
RESPONDER:
¿Qué es el Comité de Datos Personales?
¿Cuáles son sus objetivos generales?
¿Quién debe integrar el Comité DP en la empresa?¿Quién trata datos personales?
¿Pueden existir objetivos funcionales?
¿Qué atribuciones pueden tener los Consejeros en el Comité de DP?
¿Cómo protejo hoy los datos personales e información crítica de la empresa?
¿Cuándo debe reunirse el Comité de DP?
Comité de Datos PersonalesLos protagonistas
Los controles básicos
AGENDA
Punto de Partida
RESPONDER:
¿Qué información controlo?
¿Cómo controlo la información?
Describir las medidas:
Administrativas
Físicas
DigitalesAGEND
APostura de Seguridad
Postura de Seguridad:
“Qué tanto riesgo estamos dispuestos a correr”
Documentar el Riesgo:1) ¿Qué datos personales gestiono?
1) Riesgo Inherente bajo2) Riesgo inherente medio3) Riesgo inherente alto/reforzado
2) ¿Qué riesgo tiene el Dato Personal durante su tratamiento? ° ¿Cuánto vale la pérdida del dato? ° ¿Cómo impacta en la operación? ° ¿Qué daño puede causar el conocimiento público del dato que trato? ° ¿Cuál es el impacto reputacional? ° ¿Qué daño puede tener el titular? Financiero/patrimonial, Salud, Incomodidad/insatisfacción, otros.
RiesgoProyecto de DP
Datos y FlujoEstudio de Brecha y
análisis de vulnerabilidades
RESPONDER:
¿Qué información controlo?
¿Cómo controlo la información?
Describir las medidas:
Administrativas
Físicas
DigitalesAGEND
A
Postura de Seguridad:
“Qué tanto riesgo estamos dispuestos a correr”
1) Qué información personal necesito y
manejo
2) Cómo se adquiere la información
personal
3) Cuál es le flujo de la información entre
responsable, encargado o tercero?
4) Definición de roles: Quién tiene acceso a qué, para qué y por
cuánto tiempo
5) ¿Dónde reside la información en el período
de tratamiento y en el período de bloqueo
6) ¿Qué medidas de seguridad he puesto en
práctica en el manejo de información física?
7) ¿Qué medidas de seguridad he puesto en
práctica en el manejo de información digital?
8) ¿Cómo controlo el acceso a la
información: a) Física y b) digital
9) Documentación y
Reportes
Postura de Seguridad
RiesgoProyecto de DP
Datos y FlujoEstudio de Brecha y
análisis de vulnerabilidades
RESPONDER:
¿Qué información controlo?
¿Cómo controlo la información?
Describir las medidas:
Administrativas
Físicas
DigitalesAGEND
A
Proyecto de Protección de Datos:
Postura de Seguridad
El cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares tiene:
a) ¿Un alto nivel de prioridad?b) ¿Recursos económicos enfocados?c) ¿Recursos humanos dedicados?d) ¿Tenemos tiempo para la planeación y para la ejecución?e) ¿Estamos respondiendo a una fuga identificada? f) ¿Estamos ante una solicitud ARCO?g) ¿Estamos en proceso de verificación del INAI?
RiesgoProyecto de DP
Datos y FlujoEstudio de Brecha y
análisis de vulnerabilidades
RESPONDER:
¿Qué información controlo?
¿Cómo controlo la información?
Describir las medidas:
Administrativas
Físicas
DigitalesAGEND
A
Datos y análisis de Flujo:
Postura de Seguridad
Protección de Datos al Interior de la Organización
Administración del Riesgo
Confidencialidad de la Información
Integridad de la Información
Accesibilidad a la información
Obsolescencia de la información
Principio de responsabilidad. Art. 48 del Reglamento
RiesgoProyecto de DP
Datos y FlujoEstudio de Brecha y
análisis de vulnerabilidades
Postura de Seguridad
RiesgoProyecto de DP
Datos y FlujoEstudio de Brecha y
análisis de vulnerabilidades
Estudio de brecha y análisis de vulnerabilidades
Definición de Estudio de Brecha: “Determinar la distancia entre las medidas de seguridad instaladas (estado actual) y el objetivo de ajuste deseado (estado futuro) frente a los lineamientos establecidos en la certificación de una normatividad determinada”. (LFPDPPP).(se conoce también como Gap Analysis).
Alcance: Definir si toda la empresa será analizada o las áreas comprendidas en el tratamiento de datos personales ( a partir del análisis de flujo).Impacto: Traer el análisis de riesgo y validar el riesgo de las etapas actuales.Especificidad: Un estudio de brecha debe ser muy detallado y ver todas las aristas posibles.
1. Políticas de Seguridada. Buenas prácticas en el uso del Internet
a. Sitios no confiablesb. Uso de radio on linec. Uso de sitios para chatd. Sitios de actividades ilícitase. Hacer descargas de sitios no oficialesf. Grey softwareg. Diferenciar las contraseñas h. Evitar que el navegador guarde
contraseñasi. Juegos o entretenimiento en líneaj. Cerrar todas las ventanas durante la
navegación
Políticas de
Seguridad
1. Políticas de Seguridadb. Buenas prácticas en el uso del Correo Electrónico
a. Limitar el uso de Webmailb. No aceptar documentos de direcciones
no conocidas y/o temas no relevantesc. Usar filtros antispamd. Regla del antivirus para analizar todos los
adjuntose. No responder a cartas que soliciten
respuestas automatizadas o soliciten información poco lógica
Políticas de
Seguridad
1. Políticas de Seguridadc. Uso de dispositivos móviles
a. Siempre contar con código de bloqueob. Documentar el contenido de la SIM y de
memoria adicionalc. Vaciar información antes de
reparaciones o cambio de equipod. Mantener información de serie, IMEI,
ICCIDe. Realiza las actualizaciones del sistema
operativo y de las apps instaladas (y permitidas)
f. La conexión corporativa puede hacerse mediante VPN con DAF (doble factor de autenticación).
g. Sólo usar apps aprobadas…
Políticas de
Seguridad
1. Políticas de Seguridadd. Buenas prácticas en el uso memoria externaUnidades de respaldo externas para almacenamiento de datos
1. ¿Se bloquean los puertos de USB en los equipos de escritorio y portátiles?
2. ¿Es admisible el uso de Unidades de Disco como parte del escritorio de trabajo?
3. ¿Se utilizan servidores de archivos con información no clasificada?
4. ¿Se respaldan las unidades de disco externas en el sistema centralizado?
5. ¿Qué información es susceptible de archivarse de manera personalizada en unidades externas y unidades flash?
Políticas de
Seguridad
1. Políticas de Seguridade. Control de Accesos y Privilegios
1. Control de identidades2. Control de Privilegios3. Auditoría de la gestión4. Medición de irregularidades e incidencias5. Control de Súper usuarios6. Privilegios por función y por áreas7. Administración de contraseñasPolíticas
de Seguridad
BCP / DRP
Planes de Continuidad de Negocios y de Recuperación de Desastres
El Plan de Continuidad de Negocios, describe los procesos y procedimientos que una organización puede establecer para asegurarse que las funciones críticas (de TI y Datos Personales) puedan seguir realizándose durante y/o después de una contingencia.
El Plan de Recuperación de Desastres describe los procesos y procedimientos que una organización puede establecer para asegurarse que las funciones críticas (de TI y Datos Personales) puedan recuperar la operación tras un desastre informático (ej. Hardware) un desastre natural, social o de otra índole que impida la operación regular por un período de tiempo o permanentemente.
Borrado y destrucción
segura de datos
Borrado y/o destrucción segura de datos.(Art. 11. Principio de Calidad LFPDPPP y Art. 38 del Reglamento)
Es la medida de seguridad mediante la cual se establecen métodos y técnicas para la eliminación definitiva de los datos personales de modo que la probabilidad de recuperarlas sea mínima o nula.
Métodos para borrado seguro de los Datos Personales
Métodos físicos Métodos lógicos
Se basan en la destrucción de los medios de almacenamiento
Se basan en el borrado o limpieza de los datos almacenados
Destrucción de los medios de
almacenamiento físicos
Destrucción de los medios de
almacenamiento electrónicos
Desmagnetización Sobre escritura
Irreversibilidad Seguridad y confidencialidad Favorable al medio ambiente
Resumen
Resumen:
Conoce el origen, tránsito y destino de los datos personales en tu organización.
Establece medidas para controlar, administrar y proteger el dato de ser copiado, robado, modificado o eliminado.
Define el riesgo que tiene el dato personal y el impacto de su vulneración
Capacita al personal e induce la cultura de la Privacidad en tu empresa
Documenta todo este proceso
Audita tu operación y empieza de nuevo
