Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para...
Transcript of Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para...
![Page 1: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/1.jpg)
Recomendaciones en materia de Seguridad de Datos Personales
2013-12-05
![Page 2: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/2.jpg)
Manual en materia de Seguridad de Datos Personales para MIPYMES
Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales
Recomendaciones en materia de Seguridad de Datos Personales
![Page 3: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/3.jpg)
Normativa
• LFPDPPP. Artículo 19.- Los responsables deben tener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales.
• Reglamento. Capítulo III.- De las medidas de
Seguridad en el Tratamiento de Datos Personales.
• Reglamento. Artículo 58.- El Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de sanciones.
![Page 4: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/4.jpg)
¿Por qué nos debe interesar la seguridad de los
datos personales?
La protección de datos personales es un derecho fundamental.
Ayuda a prevenir y mitigar los efectos de una fuga o
mal uso de los datos personales.
Evitar pérdidas económicas debido a multas u otros daños y pérdida de clientes e inversionistas.
Habilita el comercio y aumenta la competitividad
debido a que mejora la confianza en consumidores e inversionistas.
![Page 5: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/5.jpg)
Recomendaciones en materia de Seguridad de
Datos Personales
• Publicadas el 30 de Octubre en el Diario Oficial de la Federación.
• Marco de referencia respecto a las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales.
http://goo.gl/iIX7zB
![Page 6: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/6.jpg)
Recomendación general
Para la seguridad de los datos personales, el IFAI RECOMIENDA la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).
![Page 7: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/7.jpg)
Ciclo General del Sistema de Gestión de
Seguridad de Datos Personales
![Page 8: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/8.jpg)
Guía para Implementar un Sistema de Gestión
de Seguridad de Datos Personales
• Estuvo a disposición para consulta pública hasta el 25 de octubre, en el sitio web del IFAI, en la sección de Protección de los datos personales -> Seguridad de los datos personales.
• Por el momento, se analizan los comentarios y observaciones que proceden para la mejora del documento, y presentar su versión final.
http://goo.gl/xF10Zk
![Page 9: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/9.jpg)
Fase 1. Planear el SGSDP
![Page 10: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/10.jpg)
Paso 1. Establecer el Alcance y los Objetivos
Se debe delimitar el contexto y el ámbito de aplicación, considerando:
Factores contractuales
Factores legales y regulatorios
Factores del modelo de negocio
Factores tecnológicos
![Page 11: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/11.jpg)
Paso 2. Elaborar una Política de Gestión de
Datos Personales
Establecer el compromiso formal de la organización considerando:
Los principios de Protección de Datos de la Ley
Los deberes de seguridad y confidencialidad
El respeto a los derechos de los Titulares
El desarrollo del SGSDP
Las responsabilidades y rendición de cuentas de los involucrados
![Page 12: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/12.jpg)
Paso 3. Establecer Funciones y Obligaciones de
Quienes Traten Datos Personales
![Page 13: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/13.jpg)
Paso 4. Elaborar un Inventario de Datos
Personales
![Page 14: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/14.jpg)
Categorías de datos personales según su riesgo
Datos con riesgo inherente bajo
Datos con riesgo inherente alto
Datos con riesgo inherente reforzado
![Page 15: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/15.jpg)
Paso 5. Realizar el Análisis de Riesgos de los
Datos Personales
Criterios de impacto
Criterios de aceptación del riesgo
![Page 16: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/16.jpg)
Valoración Respecto al Riesgo
Después de definir los criterios de evaluación del riesgo
Identificar Activos
Identificar Amenazas
Identificar Vulnerabilidades
Identificar Escenarios de Vulneración y sus Consecuencias
![Page 17: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/17.jpg)
Identificar Escenarios de Vulneración y
Consecuencias
![Page 18: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/18.jpg)
Paso 6. Identificación de las medidas de
Seguridad y Análisis de Brecha
Medidas de seguridad administrativas, técnica y físicas:
• Políticas del SGSDP
• Cumplimiento legal
• Estructura organizacional de la seguridad
• Clasificación y acceso de los activos
• Seguridad del personal
• Seguridad física y ambiental
• Gestión de comunicaciones y operaciones
• Control de acceso
• Desarrollo y mantenimiento de sistemas
• Vulneraciones de seguridad
![Page 19: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/19.jpg)
Paso 6. Identificación de las medidas de
Seguridad y Análisis de Brecha
El análisis de brecha consiste en identificar:
Las medidas de seguridad existentes
Las medidas de seguridad existentes que operan correctamente
Las medidas de seguridad faltantes
Si existen nuevas medidas de seguridad que puedan remplazar a uno o más controles implementados actualmente
![Page 20: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/20.jpg)
Fase 2. Implementar y Operar el SGSDP
![Page 21: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/21.jpg)
Paso 7. Implementación de las Medidas de
Seguridad Aplicables a los Datos Personales
Cumplimiento cotidiano de medidas de seguridad:
Indicadores para el cambio en el contexto de la organización
Rendición de cuentas sobre el SGSDP
Cumplimiento de los establecido en las políticas
Aprobación de procedimientos donde se traten datos personales
![Page 22: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/22.jpg)
Plan de Trabajo para la Implementación de las
Medidas de Seguridad Faltantes
![Page 23: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/23.jpg)
Aceptación del Riesgo Residual y Comunicación
del Riesgo
El riesgo residual después de la aplicación de controles debe aceptarse si se alinea a los alcances y objetivos.
Debe existir siempre comunicación continua del estado del riesgo y del contexto en la organización.
![Page 24: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/24.jpg)
Fase 3. Monitorear y Revisar el SGSDP
![Page 25: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/25.jpg)
Paso 8. Revisiones y Auditoría
Revisión de los Factores de Riesgo
Nuevos activos y modificaciones necesarias
Actualización de amenazas y vulnerabilidades
Cambio en el impacto de los escenarios
Identificación de vulneraciones a la seguridad
Monitoreo y auditoría (interna y externa)
![Page 26: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/26.jpg)
Vulneraciones a la Seguridad de la Información
Robo, extravió o copia no autorizada
Pérdida o destrucción no
autorizada
Uso o acceso no autorizado
Daño, la alteración o modificación no
autorizada
Vulneraciones
![Page 27: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/27.jpg)
Procedimiento ante una vulneración
1. Identificación de la vulneración
2. Notificación de la vulneración
3. Remediación del incidente
![Page 28: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/28.jpg)
Fase 4. Mejorar el SGSDP
![Page 29: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/29.jpg)
Mejora Continua:
a) Acciones Correctivas
b) Acciones Preventivas
Capacitación:
a) Concienciación
b) Entrenamiento
c) Educación
Paso 9. Mejora Continua y Capacitación
![Page 30: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/30.jpg)
Manual en materia de Seguridad de Datos
Personales para MIPYMES
• En proceso de elaboración. • Es difícil que una organización
dentro de la categoría de MIPYME implemente un programa de seguridad de la información impecable, pero se pueden implementar medidas de seguridad básicas para minimizar las vulneraciones a los datos personales y sistemas de tratamiento.
![Page 31: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/31.jpg)
Manual en materia de Seguridad de Datos
Personales para MIPYMES
Las Recomendaciones y su Guía son de un alto valor y rigor técnico
Es prioritario proporcionar un documento adicional de fácil comprensión
Que permita evaluar e implementar medidas de seguridad, bajo los criterios de las Recomendaciones, a menor costo
Implementar el Sistema de Gestión de manera sencilla, a través de preguntas sobre el tratamiento de los datos personales
![Page 32: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/32.jpg)
Planear
El Dr. Pérez obtiene datos personales de sus pacientes y quiere protegerlos contra vulneraciones como:
Que alguien mal intencionado destruya los archivos
El extravío de su equipo de cómputo
Que su asistente pierda una memoria USB con información de los pacientes y alguien más la use
Que alguien malintencionado modifique sus expedientes
![Page 33: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/33.jpg)
Planear
Haciéndose preguntas sobre cómo trata los datos personales y sus medidas de seguridad, el Dr. Pérez identifica sus áreas de oportunidad.
![Page 34: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/34.jpg)
Implementar y Operar
El Dr. Pérez elabora un plan de trabajo en función de su presupuesto y las áreas de oportunidad que identificó.
Comienza implementando medidas de seguridad basadas en comportamiento y mejora de las configuraciones.
![Page 35: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/35.jpg)
Monitorear y Revisar
El Dr. Pérez se organiza para monitorear el cumplimiento cotidiano de sus medidas de seguridad.
Cada cierto tiempo se vuelve a cuestionar sobre el uso que da a los datos y sobre sus medidas de seguridad.
![Page 36: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/36.jpg)
Mejorar
El Dr. Pérez se da cuenta que va madurando en el uso de los datos personales y se compromete a mejorar los controles respecto a la seguridad.
![Page 37: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/37.jpg)
Estándares Internacionales
El IFAI recomienda la consulta de los siguientes estándares internacionales:
BS 10012:2009 Data protection – Specification for a
personal information management system
ISO/IEC 27001:2013, Information Technology–Security
techniques–Information security management systems –
Requirements.
ISO/IEC 27002:2013, Information Technology – Security
techniques – Code of practice for security management.
ISO/IEC 27005:2008, Information Technology–Security
techniques– Information security risk management.
![Page 38: Recomendaciones en materia de Seguridad de Datos Personales · 2013-12-09 · Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales • Estuvo a disposición](https://reader031.fdocuments.ec/reader031/viewer/2022011818/5e929b0448b3412748141365/html5/thumbnails/38.jpg)
Estándares Internacionales
ISO/IEC 29100:2011 Information technology – Security
techniques – Privacy framework
ISO 31000:2009, Risk management – Principles and
guidelines
ISO GUIDE 72, Guidelines for the justification and
development of management systems standards
ISO GUIDE 73, Risk management – Vocabulary
ISO 9000:2005, Quality management systems -
Fundamentals and vocabulary
NIST SP 800-14 Generally Accepted Principles and
Practices for Securing Information Technology Systems
OECD Guidelines for the Security of Information Systems
and Networks – Towards a Culture of Security.