Una empresa de
Interservices Consulting México
• Ley Federal de Protección de Datos Personales en Posesión de Particulares y
la seguridad de la información
Agenda:
Contexto de Ley Federal de Protección de Datos Personales en Posesión de Particulares • Antecedentes • Visión sobre LFPDPPP y ¿Quién debe cumplirla? • ¿Dónde están los datos en las empresas? • ¿Por dónde iniciar?
Las soluciones desde la visión de Oracle para el Cumplimiento de la LFPDPPP: • La gestión de roles agiliza el trabajo y protege puertas adentro: Database Vault • Prueba tus datos sensibles garantizando la seguridad: Data Masking Pack • Realice la encriptación de datos: Advanced security • Ejecute el control de auditoría de datos : Audit Vault • Opciones de seguridad Oracle para No-Oracle : Protegemos todo
• Línea de Tiempo y ¿Qué sucederá?
LFPDPPP
vendió al gobierno de Estados Unidos BD de uso privativo del
Estado mexicano
• El IFE demandó a los implicados en la venta bajo los
cargos de revelación de secreto, delitos de carácter
electoral y de traición a la patria.
“La información contenida en el padrón electoral, según los expertos, puede ser muy útil para fines comerciales o para fines de Estado.”
• Vanguardia en Informática y Bases de Datos Especializados S.A. de C.V. vendió en 335 mil dólares el padrón electoral con
información de 58 millones de mexicanos
En enero de 2004 los cuatro
inculpados por la venta del
padrón obtuvieron el beneficio
de la libertad mediante el pago
de una fianza
¿Por qué la Ley de Datos
Personales?…
Google multado en Francia por violación de privacidad
600GB de información reservada en esos sistemas inalámbricos en más de 30 países
Las calles si son públicas, las redes
inalámbricas NO!!!
Google fue multado en Francia por US$ 142.000 por violación de las normas de privacidad
Google al tomar imágenes de las calles del país captaron además datos de redes inalámbricas como contraseñas y correos electrónicos privados
Fuente: Paris, Francia | Lunes, 21 de marzo de 2011| www.bbc.co.uk
“Como dijimos antes, estamos profundamente arrepentidos de haber recogido datos de carga de las redes Wi-Fi sin codificar”, indicó el director de protección de datos de Google.
Peter Fleisher
Última noticia…
Mega-robo de datos en la PlayStation Network
El robo de información más importante
de los últimos tiempos.
23 días sin la red de videojuegos
las empresas de videojuegos que dicen
estar perdiendo "cientos de miles de
dólares" información privada de 77 millones de cuentas
Números de tarjetas de crédito con su fecha
de caducidad
Nombres y direcciones postales
Correos electrónicos, nombres de acceso y
contraseñas
Fechas de nacimiento
Fuente: Tokio, Japón | Miércoles 27 de abril de 2011 EFE | El Universal
Última noticia…
Fuente: Deloitte 2010
399
2.362
4.136
2007 2008 2009
Denuncias presentadas ante la Agencia Española de
Protección de Datos
32% 45% 75%
$19.6 M
$22.6 M
$24.8M
2007 2008 2009
Monto recabado por concepto de Multas via resolución de la AEPD
535 621
# Resoluciones
Fuente: Memoria Anual de la Agencia Española de Protección de Datos 2010
De la experiencia internacional…
¿Tienen identificados los activos de información críticos para el negocio?
¿Tienen certeza de que no se han
presentado fugas de información
en su organización?
PREGUNTA 1 …
PREGUNTA 2 …
¿Qué estamos pensando sobre la importancia de la ley?
Más de $200 millones de USD digitales
Viajo por todo EEUU y algunas partes del mundo, realizando transacciones con CC
Robo Físico vs Robo Digital
PGR decomisa $ 200 millones de USD
Zhenli Ye Gon
Albert González
PARADIGMA: Robo Físico vs Robo Digital
Un derecho fundamental y un derecho del titular de
los datos
Una obligación del responsable del tratamiento
y un compromiso
con el titular de los datos
Derecho a la autodeterminación informativa
• Conocer y decidir quién y cómo utiliza sus datos
• Mantener el control de los datos privados
• Derecho a la intimidad, dignidad y libertad
Obligaciones:
• Emitir aviso de privacidad
• Guardar confidencialidad
• Establecer medidas de seguridad
Constitución Política de los Estados Unidos Mexicanos
Art. 73 El Congreso tiene la facultad (…)para legislar en materia de protección datos personales en posesión de particulares.
Art. 6 (…) El derecho a la información será garantizado por el Estado.
Art.16 Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición
Marco Legal
Objetivo
•Tratamiento de datos personales en posesión de Iniciativa Privada
¿Qué protege?
•Datos automatizados
•Datos no automatizados
¿A quién aplica?
•A la Iniciativa privada (personas físicas o morales)
¿En dónde?
•Estados Unidos Mexicanos
Exentos de la ley
•Sociedades de Información Crediticia DOF 15/enero/2011 :Ley para Regular las Sociedades de Información Crediticia.
•Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.
Marco Legal. Generalidades
Cualquier información concerniente a
una persona física identificada o
identificable.
• Consentimiento será expreso cuando la
voluntad se manifieste: verbalmente,
escrito, medio electrónico, óptico u otra
tecnología.
• Consentimiento tácito si el Titular no
manifiesta oposición.
Datos personales que afectan la esfera más íntima de su Titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave
(Ejemplo: origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.) Consentimiento: expreso y por escrito, a través de su firma autógrafa, electrónica o cualquier mecanismo de autenticación.
Definiciones sobre Datos
¿Hay información en su negocio que pueda ser de interés para terceros? ¿Cuánto vale?
¿Saben cuánto podría costar una fuga de información?
PREGUNTA 3 …
PREGUNTA 4 …
• Titular o su Representante Legal puede acceder a sus datos y conocer el Aviso de Privacidad Acceso:
• Cuando los datos sean inexactos o incompletos Rectificación:
• El titular podrá solicitarla en cualquier momento al responsable Cancelación:
• Oponerse la transferencia de sus datos personales Oposición:
¿Qué son los Derechos ARCO?
Fuente: Deloitte 2010
Licitud
Consentimiento
Información
Calidad Finalidad
Lealtad
Proporcionalidad
Responsabilidad
Visión General de la LFPDPPP
Fuente: Deloitte 2010
Bases de Datos Directorios Archivos Servidores
CRM
Portal ERP
Email FTP
Sistemas a la medida
Sistemas legados
Componentes de Infraestructura de Red Redes
Repositorios de datos
Sistemas de aplicación
Ventas MKT Fianzas RH Operación Legal Otros
•Prospectos •Clientes actuales •Relaciones
•Estudios de mercado •Información de clientes •Segmentación
•Contabilidad •CxC •CxP •Planeación •Presupuestos
•CV´s •Contratación •Prestaciones •Seguro Social •Finiquitos •Mediciones
•Procesos de negocio •Cadena de suministros
•Contratos •Litigios •Convenios
•Desarrollo •Estadísticas •Outsourcing •Reventas •Etc.
Proceso de negocio
Clientes || Proveedores || Áreas internas || Socios de negocio || Terceros
¿Dónde están los datos personales en las
empresas?...
Fuente: Deloitte 2010
Fuente: Deloitte 2010
•Elaborar un inventario de datos personales y de los
sistemas de tratamiento de datos
personales
1
•Determinar las funciones y
obligaciones de las personas que traten
datos personales
2
• Contar con un análisis de
riesgos de datos personales
3
•Establecer las medidas de seguridad aplicables a los datos personales e identificar aquellas implementadas de
manera efectiva
4
• Realizar un análisis de brechas entre las medidas de
seguridad existentes y las
faltantes
5
• Elaborar un plan de trabajo para
implementar las medidas de
seguridad faltantes
6
• Llevar a cabo revisiones y auditorías
7
• Capacitar al personal que trae los datos
personales
8
• Un registro de cancelaciones o
destrucciones de datos personales
9
• Un registro de los medios de
almacenamiento de datos
personales
10
¿Qué es el documento de seguridad?
Fuente: Deloitte 2010
LEGAL
•Compresión de la Ley, así como su alineación con los requerimientos de negocio •Preparación de avisos de privacidad y formatos de consentimiento •Asistencia en la organización y capacitación del departamento de protección de datos •Actualización de contratos, cláusulas contractuales relativas a la confidencialidad y protección de datos personales
PROCESOS
•Diseño e implementación de nuevos procesos para el cumplimiento de requerimientos •Alineación de nuevas actividades con procesos actuales de negocio •Diseño de roles, responsabilidades, políticas y procedimientos de la función de protección de datos •Difundir y asegurar la adopción de nuevas prácticas y procesos en el negocio actual
TECNOLOGÍA
•Implementación de controles y medidas técnicas de protección basadas en AR •Alineación / Selección de Tecnología •Alineación y soporte tecnológico a nuevos procesos •Administración de disponibilidad, vulnerabilidades e incidentes
PERSONAL
•Consciencia sobre responsabilidades de protección de datos •Punto de contacto de los titulares para dar respuesta entre otras a las solicitudes ARCO •Participación en la obtención de la información (Aviso de privacidad, Consentimiento)
Retos de las áreas involucradas
Retos de las áreas involucradas
La realidad en su Organización en 10
simples preguntas…
1. ¿Tienen identificados los activos de información críticos para el negocio?
2. ¿Hay información en su negocio que pueda ser de interés para terceros?
3. ¿Saben cuánto podría costar una fuga de información?
4. ¿Tienen identificados los flujos internos y externos por donde se mueve y almacena su información?
5. ¿Los empleados conocen sus responsabilidades sobre la protección de información?
6. ¿Tienen forma de controlar la reproducción, física o electrónica, de información importante para el negocio?
7. ¿Puede identificar qué tipo de información se envía a través del correo electrónico? 8. ¿Tienen implementados controles sobre dispositivos móviles (laptops, smartphones, discos duros, memorias USB)? 9. ¿Están o estarán sujetos a alguna normatividad o ley que regule la protección de datos? 10. ¿Tienen certeza de que no se han presentado fugas de información en su organización?
¡Las soluciones de seguridad de datos no son suficientes!
¡Los datos deben de protegerse desde el interior!
Application Database Administrators Application Users
Botware
Malware Key Loggers Espionage
Phishing
SQL Injection
Social Engineering
Web Users
Database Vault
Data
Masking
Advanced
Security
Label
Security
Secure
Backup
Audit
Vault 47986 $5%&*
Oracle Database Security Soluciones para privacidad y cumplimiento
“El departamento legal dice que nuestro DBA no debería poder leer datos financieros, pero el DBA requiere acceder a
la base de datos para hacer su trabajo. ¿Qué hacemos?”
Procurement
HR
Finance
Aplicación
select * from finance.customers
DBA
Oracle Database Vault Control de acceso y autorización
Declaraciones comunes dentro del negocio…
Oracle Advanced Security Cifrado basado en estándares
Disk
Backups
Exports
Off-Site
Facilitie
s
“Enviamos copias de respaldo en cinta fuera del sitio y necesitamos estar seguros de que la información está segura, aún si el sitio remoto está
comprometido”
Declaraciones comunes dentro del negocio…
Oracle Data Masking Enmascaramiento de datos
LAST_NAME SSN SALARY
ANSKEKSL 111—23-1111 60,000
BKJHHEIEDK 222-34-1345 40,000
LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000
BENSON 323-22-2943 60,000
Producción Stand by
“Los contratistas externos necesitan datos de producción para probar, pero no podemos darles los nombres de los empleados ni sus IDs”
Declaraciones comunes dentro del negocio…
Oracle Audit Vault Monitoreo y reportes de auditoría automáticos
CRM Data
ERP Data
Databases
HR Data
Datos auditados
Policies
Built-in Reports
Alerts
Custom Reports
!
Auditor
“Para cumplir con regulaciones legales, necesitamos generar reportes mensuales para los auditores para probar que los controles de TI están
funcionando – y a eso nos dedicamos todo el mes”
Declaraciones comunes dentro del negocio…
Oracle Database Firewall Primera línea de defensa
Policies Built-in Reports
Alerts Custom Reports
Applications Block
Log
Allow
Alert
Substitute
“Hemos tenido problemas al controlar todos los firewalls porque no tenemos uno que nos funcione con todas las bases de datos que
manejamos”
Declaraciones comunes dentro del negocio…
Oracle Identity Manager Gestión de identidades
“Necesitamos administrar los accesos a las aplicaciones de la empresa por medio de un acceso único y que los usuarios solamente tengan una
contraseña universal”
Sistema de RH Aprobación
Flujos de trabajo
Empleados Contratos/Despidos Aplicaciones
GRANT
REVOKE
GRANT
REVOKE
GRANT
REVOKE
Declaraciones comunes dentro del negocio…
La contratación de recursos y servicios a compañías externas, implica la posibilidad de contar con un socio confiable que brinde TRANQUILIDAD al implementar soluciones altamente especializadas a través de tecnologías y prácticas internacionales integradas y adaptadas a la especificidad geográfica de la organización y a las necesidades particulares de la industria donde se desempeña. Es así, que Interservices brinda la capacidad para realizar el mantenimiento de diversas aplicaciones y tecnologías en ambientes multiplataforma. Para que un día de trabajo sea como estar en casa.
Muchas Gracias!
Teléfono oficina: 52 79 99 30
¿Preguntas?
Daniel Osorio
Account Manager Oracle Solution
55 2855 7901
Una empresa de