Control de Datos e Información

Quinta ParteProtección

Guía Básica para la Protección de Datos Personales. Quinta Parte by Control de Datos e Infor-mación CDI S.A de C.V., Mtro. Rodrigo Santisteban Maza is licensed under a Creative Commons

Reconocimiento-NoComercial-SinObraDerivada 3.0 Unported License.Creado a partir de la obra en www.controldatoscdi.com.mx.

Control de Datos e Información

Guía Básica para la Protección de Datos Personales

Quinta Parte

Inventario

Conservación

Eliminación

Protección

Prevención

En la semana pasada expusimos el componente “eliminación” de la GBPDP, el cual, por mencionarlo se puede actualizar al �nal de la vida útil de los datos personales que hemos recolectado para el cumplimiento de una �nalidad determinada (éste compo-nente nos ayudará a cumplir con el principio de calidad contemplado en la Ley de Protección de Datos Personales en Posesión de los Particular), ahora hablaremos del componente de “protección”, que consiste en: “Proteger los datos personales y asegúrate que sólo el personal autorizado tenga acceso a los datos personales”

Dar cumplimiento a éste elemento de la GBPDP, no es una tarea fácil y dependerá del tipo de datos personales que realmente debes recabar y conservar para realizar tus operaciones y la forma en que los manejas y almacenas, al igual que la cultura organi-zacional que impere dentro de tu empresa u organización; sin embargo, sin importar de que manera almacenas y das tratamiento, es necesario que cuentes con un progra-ma de protección, que debe contener por lo menos las medidas de seguridad físicas y electrónicas, la constante capacitación de los responsables, encargados y prestadores de servicios o contratistas externos. Es de señalar que a continuación se desarrollarán alguno de los puntos básicos que se deben contemplar en ese programa, ya que no es nuestra intención generar un documento exhaustivo, sino uno de referencia básica.

La mayoría de las fallas de seguridad físicas y/o electrónicas provienen, exactamente por no tener un programa de protección, por lo que, se recomienda:

1. Almacena los documentos o expedientes que contienen datos personales en un lugar cuyo acceso sea controlado o en archiveros con llave o combinación.

Debes mantener un control de las personas que pueden tener acceso a esos datos personales, y llevar un registro de esos accesos autorizados. Es importante señalar

que, los responsables y/o encargados, una vez que hayan terminado de utilizar esa información, deben regresarlo al archivero o al lugar de acceso restringido.

Así mismo, sí esas personas se mueven de su lugar, deben asegurarse de que la información quede asegurada.

2. Si empleas los servicios de paquetería para enviar información que contiene datos personales; en el caso de que se encuentre en formato electrónico debes encriptar la infor-mación; en el supuesto de que se trate de información en soporte físico, debes asegurarte que el folder o sobre que la contiene no pueda ser accesado por un tercero no autorizado.

Así mismo, asegúrate de contratar a una empresa de paquete-ría de buena reputación y que te permita rastrear el paquete.

3. Seguridad informática:

a. Instala un �rewall.

b. Realiza un inventario de los equipos de cómputo en los que se da tratamiento a los datos personales.

c. Dentro de las políticas de seguridad implemen-tadas por el área de tecnologías de tu organización o empresa, solicita se asignen roles a los usuarios, limitando el acceso a internet en el caso de que para el desempeño de sus funciones no lo requiera.

d. Instala programas para detectar intrusión en la

red de tu organización o empresa.

e. Monitorea el trá�co de tu red y de la información que sale de ésta.

f. Mantén un registro de los archivos accesados y quién los accesa.

g. Procura que en las computadoras que se de tratamiento a datos personales sensibles no tengan acceso a la red interna y a internet, salvo que sea indispensable. h. En el caso de que remitas datos personales sensibles, patrimo-niales y/o �nancieros por correo electrónico, también debe ser realizado de manera encriptada.

i. Asigna contraseñas alfanuméricas de por lo menos de ocho a diez caracteres, los cuales, se sugiere se compongan por letras, números y caracteres; así mismo, se recomienda que sean cambiadas por lo menos cada tres meses.

j. En el caso de que se manejen datos personales sensibles, se

recomienda que la computadora se bloque automáticamente, después de una inactividad no mayor a tres minutos.

k. Se recomienda implementar políticas tecnológicas que permitan el bloqueo del archivo y/o disco duro después de ingresar por tercera vez incorrectamente la contraseña; cuyo

desbloqueo sólo lo pueda realizar el personal de tecnologías de la empresa u organización.

l. Se recomienda que personal distinto al personal de tecnologías no pueda instalar programas en los equipos de cómputo. m. Si empleas redes inalámbricas, se recomienda que estas no se encuentren abiertas y se instale un �rewall adicional.

Recuerda que debes capacitar periódicamente a tu personal sobre tu programa de protección. El personal de tu empresa puede convertirse en tu mejor aleado para cumplir con la Ley de Protección de Datos Personales en Posesión de los Particulares.

Ahora bien, en forma independiente a tu proceso de reclutamiento y selección del personal, se recomienda investigues aún más sobre ese futuro trabajador, y una vez que haya ingresado –al igual que el resto de tu personal- �rmen un convenio de con�dencialidad y seguridad.

En el supuesto de que una persona ya no labore en tu organización o empresa, y que dentro de sus funciones haya estado el tratamiento de los datos personales, se recomienda que bloques todos sus privilegios tecnológicos y realice una entrega de toda la información con la que hubiere trabajado, y te asegures que a su retirada no se lleve consigo datos personales.

Sí requieres conocer un poco más de ésta temática te invitamos a que consultes el documento “Principio de Responsabilidad”(http://www.controldatoscdi.com.mx/#!documentos/crok) y “Outsourcing y la protección de los datos personales” (http://controldatoscdi.wordpress.com/2012/10/08/outsourcing-y-la-proteccion-de-datos-personales/) o escríbenos a contactanos@controldatoscdi.com.mx o visítanos en www.controldatoscdi.com.mx

Control de Datos e InformaciónQuinta Parte

En la semana pasada expusimos el componente “eliminación” de la GBPDP, el cual, por mencionarlo se puede actualizar al �nal de la vida útil de los datos personales que hemos recolectado para el cumplimiento de una �nalidad determinada (éste compo-nente nos ayudará a cumplir con el principio de calidad contemplado en la Ley de Protección de Datos Personales en Posesión de los Particular), ahora hablaremos del componente de “protección”, que consiste en: “Proteger los datos personales y asegúrate que sólo el personal autorizado tenga acceso a los datos personales”

Dar cumplimiento a éste elemento de la GBPDP, no es una tarea fácil y dependerá del tipo de datos personales que realmente debes recabar y conservar para realizar tus operaciones y la forma en que los manejas y almacenas, al igual que la cultura organi-zacional que impere dentro de tu empresa u organización; sin embargo, sin importar de que manera almacenas y das tratamiento, es necesario que cuentes con un progra-ma de protección, que debe contener por lo menos las medidas de seguridad físicas y electrónicas, la constante capacitación de los responsables, encargados y prestadores de servicios o contratistas externos. Es de señalar que a continuación se desarrollarán alguno de los puntos básicos que se deben contemplar en ese programa, ya que no es nuestra intención generar un documento exhaustivo, sino uno de referencia básica.

La mayoría de las fallas de seguridad físicas y/o electrónicas provienen, exactamente por no tener un programa de protección, por lo que, se recomienda:

1. Almacena los documentos o expedientes que contienen datos personales en un lugar cuyo acceso sea controlado o en archiveros con llave o combinación.

Debes mantener un control de las personas que pueden tener acceso a esos datos personales, y llevar un registro de esos accesos autorizados. Es importante señalar

que, los responsables y/o encargados, una vez que hayan terminado de utilizar esa información, deben regresarlo al archivero o al lugar de acceso restringido.

Así mismo, sí esas personas se mueven de su lugar, deben asegurarse de que la información quede asegurada.

2. Si empleas los servicios de paquetería para enviar información que contiene datos personales; en el caso de que se encuentre en formato electrónico debes encriptar la infor-mación; en el supuesto de que se trate de información en soporte físico, debes asegurarte que el folder o sobre que la contiene no pueda ser accesado por un tercero no autorizado.

Así mismo, asegúrate de contratar a una empresa de paquete-ría de buena reputación y que te permita rastrear el paquete.

3. Seguridad informática:

a. Instala un �rewall.

b. Realiza un inventario de los equipos de cómputo en los que se da tratamiento a los datos personales.

c. Dentro de las políticas de seguridad implemen-tadas por el área de tecnologías de tu organización o empresa, solicita se asignen roles a los usuarios, limitando el acceso a internet en el caso de que para el desempeño de sus funciones no lo requiera.

d. Instala programas para detectar intrusión en la

red de tu organización o empresa.

e. Monitorea el trá�co de tu red y de la información que sale de ésta.

f. Mantén un registro de los archivos accesados y quién los accesa.

g. Procura que en las computadoras que se de tratamiento a datos personales sensibles no tengan acceso a la red interna y a internet, salvo que sea indispensable. h. En el caso de que remitas datos personales sensibles, patrimo-niales y/o �nancieros por correo electrónico, también debe ser realizado de manera encriptada.

i. Asigna contraseñas alfanuméricas de por lo menos de ocho a diez caracteres, los cuales, se sugiere se compongan por letras, números y caracteres; así mismo, se recomienda que sean cambiadas por lo menos cada tres meses.

j. En el caso de que se manejen datos personales sensibles, se

recomienda que la computadora se bloque automáticamente, después de una inactividad no mayor a tres minutos.

k. Se recomienda implementar políticas tecnológicas que permitan el bloqueo del archivo y/o disco duro después de ingresar por tercera vez incorrectamente la contraseña; cuyo

desbloqueo sólo lo pueda realizar el personal de tecnologías de la empresa u organización.

l. Se recomienda que personal distinto al personal de tecnologías no pueda instalar programas en los equipos de cómputo. m. Si empleas redes inalámbricas, se recomienda que estas no se encuentren abiertas y se instale un �rewall adicional.

Recuerda que debes capacitar periódicamente a tu personal sobre tu programa de protección. El personal de tu empresa puede convertirse en tu mejor aleado para cumplir con la Ley de Protección de Datos Personales en Posesión de los Particulares.

Ahora bien, en forma independiente a tu proceso de reclutamiento y selección del personal, se recomienda investigues aún más sobre ese futuro trabajador, y una vez que haya ingresado –al igual que el resto de tu personal- �rmen un convenio de con�dencialidad y seguridad.

En el supuesto de que una persona ya no labore en tu organización o empresa, y que dentro de sus funciones haya estado el tratamiento de los datos personales, se recomienda que bloques todos sus privilegios tecnológicos y realice una entrega de toda la información con la que hubiere trabajado, y te asegures que a su retirada no se lleve consigo datos personales.

Sí requieres conocer un poco más de ésta temática te invitamos a que consultes el documento “Principio de Responsabilidad”(http://www.controldatoscdi.com.mx/#!documentos/crok) y “Outsourcing y la protección de los datos personales” (http://controldatoscdi.wordpress.com/2012/10/08/outsourcing-y-la-proteccion-de-datos-personales/) o escríbenos a contactanos@controldatoscdi.com.mx o visítanos en www.controldatoscdi.com.mx

Control de Datos e InformaciónQuinta Parte

En la semana pasada expusimos el componente “eliminación” de la GBPDP, el cual, por mencionarlo se puede actualizar al �nal de la vida útil de los datos personales que hemos recolectado para el cumplimiento de una �nalidad determinada (éste compo-nente nos ayudará a cumplir con el principio de calidad contemplado en la Ley de Protección de Datos Personales en Posesión de los Particular), ahora hablaremos del componente de “protección”, que consiste en: “Proteger los datos personales y asegúrate que sólo el personal autorizado tenga acceso a los datos personales”

Dar cumplimiento a éste elemento de la GBPDP, no es una tarea fácil y dependerá del tipo de datos personales que realmente debes recabar y conservar para realizar tus operaciones y la forma en que los manejas y almacenas, al igual que la cultura organi-zacional que impere dentro de tu empresa u organización; sin embargo, sin importar de que manera almacenas y das tratamiento, es necesario que cuentes con un progra-ma de protección, que debe contener por lo menos las medidas de seguridad físicas y electrónicas, la constante capacitación de los responsables, encargados y prestadores de servicios o contratistas externos. Es de señalar que a continuación se desarrollarán alguno de los puntos básicos que se deben contemplar en ese programa, ya que no es nuestra intención generar un documento exhaustivo, sino uno de referencia básica.

La mayoría de las fallas de seguridad físicas y/o electrónicas provienen, exactamente por no tener un programa de protección, por lo que, se recomienda:

1. Almacena los documentos o expedientes que contienen datos personales en un lugar cuyo acceso sea controlado o en archiveros con llave o combinación.

Debes mantener un control de las personas que pueden tener acceso a esos datos personales, y llevar un registro de esos accesos autorizados. Es importante señalar

que, los responsables y/o encargados, una vez que hayan terminado de utilizar esa información, deben regresarlo al archivero o al lugar de acceso restringido.

Así mismo, sí esas personas se mueven de su lugar, deben asegurarse de que la información quede asegurada.

2. Si empleas los servicios de paquetería para enviar información que contiene datos personales; en el caso de que se encuentre en formato electrónico debes encriptar la infor-mación; en el supuesto de que se trate de información en soporte físico, debes asegurarte que el folder o sobre que la contiene no pueda ser accesado por un tercero no autorizado.

Así mismo, asegúrate de contratar a una empresa de paquete-ría de buena reputación y que te permita rastrear el paquete.

3. Seguridad informática:

a. Instala un �rewall.

b. Realiza un inventario de los equipos de cómputo en los que se da tratamiento a los datos personales.

c. Dentro de las políticas de seguridad implemen-tadas por el área de tecnologías de tu organización o empresa, solicita se asignen roles a los usuarios, limitando el acceso a internet en el caso de que para el desempeño de sus funciones no lo requiera.

d. Instala programas para detectar intrusión en la

red de tu organización o empresa.

e. Monitorea el trá�co de tu red y de la información que sale de ésta.

f. Mantén un registro de los archivos accesados y quién los accesa.

g. Procura que en las computadoras que se de tratamiento a datos personales sensibles no tengan acceso a la red interna y a internet, salvo que sea indispensable. h. En el caso de que remitas datos personales sensibles, patrimo-niales y/o �nancieros por correo electrónico, también debe ser realizado de manera encriptada.

i. Asigna contraseñas alfanuméricas de por lo menos de ocho a diez caracteres, los cuales, se sugiere se compongan por letras, números y caracteres; así mismo, se recomienda que sean cambiadas por lo menos cada tres meses.

j. En el caso de que se manejen datos personales sensibles, se

recomienda que la computadora se bloque automáticamente, después de una inactividad no mayor a tres minutos.

k. Se recomienda implementar políticas tecnológicas que permitan el bloqueo del archivo y/o disco duro después de ingresar por tercera vez incorrectamente la contraseña; cuyo

desbloqueo sólo lo pueda realizar el personal de tecnologías de la empresa u organización.

l. Se recomienda que personal distinto al personal de tecnologías no pueda instalar programas en los equipos de cómputo. m. Si empleas redes inalámbricas, se recomienda que estas no se encuentren abiertas y se instale un �rewall adicional.

Recuerda que debes capacitar periódicamente a tu personal sobre tu programa de protección. El personal de tu empresa puede convertirse en tu mejor aleado para cumplir con la Ley de Protección de Datos Personales en Posesión de los Particulares.

Ahora bien, en forma independiente a tu proceso de reclutamiento y selección del personal, se recomienda investigues aún más sobre ese futuro trabajador, y una vez que haya ingresado –al igual que el resto de tu personal- �rmen un convenio de con�dencialidad y seguridad.

En el supuesto de que una persona ya no labore en tu organización o empresa, y que dentro de sus funciones haya estado el tratamiento de los datos personales, se recomienda que bloques todos sus privilegios tecnológicos y realice una entrega de toda la información con la que hubiere trabajado, y te asegures que a su retirada no se lleve consigo datos personales.

Sí requieres conocer un poco más de ésta temática te invitamos a que consultes el documento “Principio de Responsabilidad”(http://www.controldatoscdi.com.mx/#!documentos/crok) y “Outsourcing y la protección de los datos personales” (http://controldatoscdi.wordpress.com/2012/10/08/outsourcing-y-la-proteccion-de-datos-personales/) o escríbenos a contactanos@controldatoscdi.com.mx o visítanos en www.controldatoscdi.com.mx