guía para implementar un sistema de gestión de …...–no contar con medidas de seguridad...
TRANSCRIPT
![Page 1: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/1.jpg)
SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES – PARTE 1SECTOR PÚBLICO 2018
TALLER MEDIDAS DE SEGURIDAD SECTOR PÚBLICO
![Page 2: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/2.jpg)
DIRECCIÓN GENERAL DE PREVENCIÓN Y AUTORREGULACIÓN
Armando Becerra @CiberArmand
Noemi González @nkglez
![Page 3: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/3.jpg)
Horario del taller: 13:15 a 15:15 hrs
¡Bienvenido a tu Taller!
Taller dividido en 2 partes
Agenda:
Deber de Seguridad
Importancia de la seguridad de los datos personales
Publicaciones en materia de seguridad del INAI
Definiciones útiles
Implementación de un SGSDP – Caso IMA
![Page 4: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/4.jpg)
Deber de Seguridad
Para garantizar la confidencialidad, integridad y disponibilidad de los datos personales:
El responsable debe:
Establecer y mantener las medidas de seguridad
administrativas, físicas y técnicas.
Realizar una serie de actividades
interrelacionadas
Documentar las actividades
mediante un sistema de gestión.
![Page 5: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/5.jpg)
• La protección de datos personaleses un derecho humano.
• Ayuda a mitigar los efectos de unavulneración a la seguridad.
• Evita daños a la reputación eimagen de la organización.
• Evita sanciones a los servidorespúblicos.
¿Por qué me debe interesar la seguridad de los datos personales?
![Page 6: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/6.jpg)
Sección de Seguridad de los Datos Personales
Publicación de documentos, y otras referencias respecto al deber de seguridad
![Page 7: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/7.jpg)
DEFINICIONES
![Page 8: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/8.jpg)
Definiciones de Ley General
Base de datos
Tratamiento
Sistema deTratamiento
Medidas de seguridad
![Page 9: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/9.jpg)
Activo
Cualquier recurso involucrado en el tratamiento de los datos personales, que tenga valor para la organización.
Activos de InformaciónActivos de Apoyo
![Page 10: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/10.jpg)
Alta Dirección
Toda persona con poder legal de toma de decisión en laspolíticas de la organización.
![Page 11: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/11.jpg)
Custodio
Toda persona con responsabilidad funcional sobrelos activos.
![Page 12: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/12.jpg)
Seguridad de la Información
Preservar la confidencialidad, integridad y disponibilidad de los activos
Que los activos se puedan
utilizar por los autorizados,
cuando se requiere
Evitar modificaciones no autorizadas o accidentales
Evitar acceso o divulgación no
autorizados
![Page 13: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/13.jpg)
Integridad
La propiedad de salvaguardar la exactitud y completitud de los activos.
• Evitar la modificación no autorizada o accidental.
![Page 14: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/14.jpg)
Confidencialidad
Propiedad de la información para no estar a disposición o ser revelada a personas no autorizadas.
Prevenir la divulgación no autorizada de información.
![Page 15: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/15.jpg)
Disponibilidad
Propiedad de un activo para ser accesible y utilizable.
• Controlar las interrupciones de los recursos.
• Prevenir interrupciones no autorizadas.
![Page 16: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/16.jpg)
En resumen…
Información correcta para la persona correcta en el momento correcto
ConfidencialidadIntegridad Disponibilidad
Información exacta y completa, para ser revelada, accesible y utilizable sólo para las personas autorizadas.
![Page 17: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/17.jpg)
IMPLEMENTACIÓN DE UN SGSDP
![Page 18: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/18.jpg)
Actividades mínimas para la seguridad de los datos personales
Artículo 33 de la LGPDPPSO
MEDIDAS DE SEGURIDAD
PARA LA PROTECCIÓN
DE LOS DATOS PERSONALES
Políticas gestión y tratamiento
de datos personales
Funciones y obligaciones del personal
que trata datos
personales
Inventario datos personales y sistemas de
tratamiento
Análisis de riesgos para
datos personales Análisis de brecha medidas de seguridad
Plan de trabajo medidas de seguridad
Monitoreo y revisión periódica
medidas seguridad
Capacitación basada en
niveles
![Page 19: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/19.jpg)
Sistema de Gestión de Datos Personales
Artículo 34 de la LGPDPPSOLas acciones relacionadas con las medidas de
seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un
sistema de gestión.
Sistema de Gestión
PLANEAR
IMPLEMENTAR
MEJORAR
MONITOREAR
![Page 20: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/20.jpg)
Documento de seguridad
Análisis de riesgos
Funciones y obligaciones
Inventario de datospersonales
Análisis de brecha
Plan de trabajo
Mecanismos para monitoreo y revision
medidas de seguridad
Programa general de capacitación
Instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee;
Artículo 35 de la LGPDPPSO
20
![Page 21: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/21.jpg)
Sistema de Gestión de Seguridad de Datos Personales
• Paso 1. Establecer el Alcance y los Objetivos
• Paso 2. Elaborar una Política de Gestión de Datos Personales
• Paso 3. Establecer Funciones y Obligaciones
• Paso 4. Elaborar un Inventario de Datos Personales
• Paso 5. Realizar un Análisis de Riesgo de Datos Personales
• Paso 6. Identificación de las medidas de seguridad y Análisis de Brecha
Fase 1. Planear el SGSDP
• Paso 7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales
Fase 2. Implementar el SGSDP
• Paso 8. Revisiones y Auditoría Fase 3. Monitorear y
Revisar el SGSDP
• Paso 9. Mejora Continua y Capacitación Fase 4. Mejorar el SGSDP
![Page 22: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/22.jpg)
Caso de estudio: Instituto Mexicano de Audición (IMA)
![Page 23: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/23.jpg)
FASE 1: PLANEAR EL SGSDP
![Page 24: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/24.jpg)
24
Fase 1
Paso 1. Alcances y Objetivos
Paso 2. Política de Gestión de DP
Paso 3. Funciones y Obligaciones
Paso 4. Inventario de DP
Paso 5. Análisis de Riesgo de DP
Paso 6. Análisis de Brecha
![Page 25: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/25.jpg)
Paso 1. Establecer el Alcance y los
Objetivos
Alcance
Objetivo
¿Hasta donde queremos llegar?
¿Qué se quiere lograr?
![Page 26: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/26.jpg)
Paso 1. Establecer el Alcance y los Objetivos
Factores contractuales
Factores legales y regulatorios
Factores del modelo de negocio
Factores Tecnológicos
![Page 27: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/27.jpg)
Entrega datos personales de
identificación al personal del
área de registro
Paciente (Titular)
Personal del área de donaciones (Responsable)
Entrega el resultado de la
audiometría consentida por
el paciente.
Los recibe para
otorgarle el servicio
de audiometría.
Recibe el resultado de la
audiometría.
Factores contractuales
![Page 28: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/28.jpg)
Manos a la obra
Ejercicio 1. Factores contractuales
![Page 29: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/29.jpg)
Actores ¿Quiénes son los actores involucrados en el Instituto
Mexicano de Audición?
Titular (es) Pacientes, Prospectos, Empleados
Responsable (s) Instituto Mexicano de Audición/Director General
Encargado (s) PubliDatos
Custodio (s) Administrador 1, Administrador 2, Técnicos en Audiometría,
Administrador de Donaciones
Alta gerencia Director General, Subdirector de Recursos Humanos,
Subdirector de Donaciones
Ejercicio 1: Factores contractuales del IMA
![Page 30: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/30.jpg)
30
Fase 1
Paso 1. Alcances y Objetivos
Paso 2. Política de Gestión de DP
Paso 3. Funciones y Obligaciones
Paso 4. Inventario de DP
Paso 5. Análisis de Riesgo de DP
Paso 6. Análisis de Brecha
![Page 31: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/31.jpg)
Paso 2. Elaboración de una Política de Gestión de Datos Personales
Fuente: Technical Writing for IT Security Policies in Five Easy Steps, SANS Institute, InfoSec Reading Room.
Razón del Tratamiento
ESTRUCTURA DE UNA POLÍTICA
¿Qué? ¿Quién? ¿Por qué? ¿Cómo? ¿Cuándo/donde?
¿Qué voy a proteger? ¿Quién lo va a
proteger?¿Cuál es la razón y la acción?
¿Cuál es el periodo?
Activo(s) de
Información
Activo(s) de Apoyo Responsable/Encargado/
Custodio
Tratamiento Acción Periodo de
conservación
Los Datos Personales Recabados a través de
formularios en papelPor los técnicos de Audiometría
Para gestionar las donaciones
Deben ser destruidos Después de un mes
![Page 32: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/32.jpg)
32
Fase 1
Paso 1. Alcances y Objetivos
Paso 2. Política de Gestión de DP
Paso 3. Funciones y Obligaciones
Paso 4. Inventario de DP
Paso 5. Análisis de Riesgo de DP
Paso 6. Análisis de Brecha
![Page 33: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/33.jpg)
Paso 3. Establecer Funciones y Obligaciones
de Quienes Traten Datos Personales
Recursos para que el SGSDP sea parte de la organización
Comunicar a todos los involucrados
Roles y responsabilidades
Contribución y consecuencias de incumplimiento
![Page 34: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/34.jpg)
Paso 3. Establecer Funciones y Obligaciones
de Quienes Traten Datos Personales
![Page 35: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/35.jpg)
Ejemplo: Funciones y obligaciones en IMA
![Page 36: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/36.jpg)
36
Fase 1
Paso 1. Alcances y Objetivos
Paso 2. Política de Gestión de DP
Paso 3. Funciones y Obligaciones
Paso 4. Inventario de DP
Paso 5. Análisis de Riesgo de DP
Paso 6. Análisis de Brecha
![Page 37: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/37.jpg)
Paso 4. Inventario de datos personales
TRATAMIENTO
Obtención
Almacenamiento
Uso
Acceso
Aprovechamiento
Procesamiento
Monitoreo
Divulgación
Bloqueo
Cancelación
Supresión
Ciclo de vida de los Datos
Personales
LGPDPPSO Artículo 33 Frac. XXXIII
Lineamientos Generales 59
![Page 38: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/38.jpg)
Riesgo inherente
Riesgo inherente en los sistemas de tratamiento
![Page 39: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/39.jpg)
Paso 4. Inventario de datos personales
Ejemplo de categorías de los sistemas de tratamiento, en funcióndel riesgo inherente:
Especial:
Por su naturaleza y contexto pueden causar daño directo a los titulares.
Sensible:
Datos patrimoniales, ubicación física, jurídicos, autenticación, sensibles.
Estándar:
De contacto, identificación, académicos, y laborales.
![Page 40: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/40.jpg)
Manos a la obra
Ejercicio 2.
Categorías de datos personales en los sistemas de tratamiento
![Page 41: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/41.jpg)
Categorías de los sistemas de tratamiento
Categoría de los sistemas de
tratamiento de datos personalesTipo de datos personal
Estándar
Nombre, teléfono, teléfono celular, correo
electrónico, edad, sexo, CURP, RFC, estado civil,
experiencia laboral, cédula profesional.
Sensible
Datos de salud: resultado de la audiometría,
dirección, número de tarjeta bancaria, historial
médico.
Especial
![Page 42: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/42.jpg)
Ejercicio 2.
Categorías de datos personales en los sistemas de tratamiento
Datos Estándar: Nombre, teléfono, correo electrónico, edad, sexo, CURP, RFC, estado civil,
datos laborales.
Datos Sensibles: Estado de salud, ubicación, número de tarjeta bancaria.
![Page 43: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/43.jpg)
01 02 03 04 05 06
Catálogo de medios físicos y electrónicos
y sus finalidades
Catálogo de los tipos de
datos personales
que se traten
Catálogo de formatos de
almacenamiento
Servidores públicos que tienen acceso a los sistemas
de tratamiento
Nombre completo o denominación o RFC del encargado y
el instrumento
jurídico
Destinatario o terceros
receptores de las
transferencias
LGPDPPSO Art. 33 Frac. III – Lineamientos Generales Art. 58
¿Qué debe contener un inventario de datos personales?
![Page 45: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/45.jpg)
SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES – PARTE 2SECTOR PÚBLICO 2018
TALLER MEDIDAS DE SEGURIDAD SECTOR PÚBLICO
![Page 46: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/46.jpg)
DIRECCIÓN GENERAL DE PREVENCIÓN Y AUTORREGULACIÓN
Armando Becerra @CiberArmand
Noemi González @nkglez
![Page 47: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/47.jpg)
47
Fase 1
Paso 1. Alcances y Objetivos
Paso 2. Política de Gestión de DP
Paso 3. Funciones y Obligaciones
Paso 4. Inventario de DP
Paso 5. Análisis de Riesgo de DP
Paso 6. Análisis de Brecha
![Page 48: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/48.jpg)
Paso 5. Realizar el Análisis de Riesgo de los Datos Personales
Factores para determinar las
medidas de seguridad
Nos ayudan a definir…
Criterios de Evaluación del
Riesgo
Paso 1. Alcances y Objetivos
Paso 2. Política de Gestión de DP
Paso 3. Funciones y Obligaciones
Paso 4. Inventario de DP
![Page 49: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/49.jpg)
Criterios de evaluación
CRITERIOS DE EVALUACIÓN
Tolerancia máxima
Impacto
Daño a los titulares
Aceptación
Daño a la organización
![Page 50: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/50.jpg)
Criterios de evaluación del
riesgo de IMA
• Criterio de Impacto:
– No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles.
• Criterio de Aceptación:
– No tener un Aviso de Privacidad correcto.
![Page 51: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/51.jpg)
Valoración respecto al riesgo
1. Identificar Activos
2. Identificar Amenazas
3. Identificar Vulnerabilidades
4. Identificar Escenarios de Vulneración
![Page 52: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/52.jpg)
Tregua
![Page 53: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/53.jpg)
1. Identificar activos
Activos de Información Activos de Apoyo
![Page 54: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/54.jpg)
1. Identificación de Activos de IMA
Empleados Prospectos Pacientes
![Page 55: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/55.jpg)
2. Identificar Amenazas
Una amenaza tiene el potencial de dañar un
activo.
Pueden ser de origen natural o humano, accidentales o deliberadas y además provenir de adentro o fuera de la organización.
![Page 56: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/56.jpg)
2. Amenazas de los Activos del IMA
Fuego Virus
![Page 57: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/57.jpg)
3. Identificar Vulnerabilidades
Las vulnerabilidades son debilidades en los activos
![Page 58: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/58.jpg)
3.Vulnerabilidades de los Activos del
IMA
Material susceptible al fuego
Falta de antivirus
![Page 59: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/59.jpg)
4. Identificar Escenarios de Vulneración
![Page 60: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/60.jpg)
4. Escenarios de Vulneración de los Activos del IMA
![Page 61: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/61.jpg)
Manos a la obra
Ejercicio 3. Análisis de Riesgos de los Datos Personales
![Page 62: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/62.jpg)
Ejercicio 3. Análisis de Riesgos de los Datos Personales
![Page 63: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/63.jpg)
Demo. “Datos Borrados”
DEMO TIME
![Page 64: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/64.jpg)
64
Fase 1
Paso 1. Alcances y Objetivos
Paso 2. Política de Gestión de DP
Paso 3. Funciones y Obligaciones
Paso 4. Inventario de DP
Paso 5. Análisis de Riesgo de DP
Paso 6. Análisis de Brecha
![Page 65: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/65.jpg)
Análisis de brechaEl análisis de brecha consiste en identificar:
• Las medidas de seguridad existentes
• Las medidas de seguridad existentes que operan correctamente
• Las medidas de seguridad faltantes• Si existen nuevas medidas de
seguridad que puedan remplazar a uno o más controles implementados actualmente.
Paso 6. Identificación de las medidas de Seguridad y Análisis de Brecha
![Page 66: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/66.jpg)
Políticas del SGSDP
Paso 6. Identificación de las medidas de Seguridad y Análisis de Brecha
![Page 67: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/67.jpg)
Cumplimiento Legal
Dominios controles (cont.)
![Page 68: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/68.jpg)
Estructura organizacional de la seguridad
Dominios controles (cont.)
![Page 69: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/69.jpg)
Clasificación y acceso de los activos
Dominios controles (cont.)
![Page 70: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/70.jpg)
Seguridad del personal
Dominios controles (cont.)
![Page 71: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/71.jpg)
Seguridad física y ambiental
Dominios controles (cont.)
![Page 72: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/72.jpg)
Gestión de comunicaciones y operaciones
Dominios controles (cont.)
![Page 73: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/73.jpg)
Control de acceso
Dominios controles (cont.)
![Page 74: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/74.jpg)
Desarrollo y mantenimiento de sistemas
Dominios controles (cont.)
![Page 75: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/75.jpg)
Vulneraciones de seguridad
Dominios controles (cont.)
![Page 76: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/76.jpg)
Análisis de Brecha del IMA
¿Qué dominios de controles ya tiene cubiertos IMA?
¿Qué dominios podrían ayudar a mitigar los escenarios de riesgo identificados?
![Page 77: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/77.jpg)
FASE 2: IMPLEMENTAR Y OPERAR EL SGSDPFASE 2: IMPLEMENTAR EL
SGSDP
![Page 78: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/78.jpg)
Paso 7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales
Cumplimiento Cotidiano de Medidas de Seguridad
Plan de Trabajo para la Implementación de las Medidas de Seguridad Faltantes
![Page 79: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/79.jpg)
Cumplir con la política día a día
Aprobación de procedimientos
donde se traten DP
Actualizaciones normativas respecto al
tratamiento de DP
Revisar que el SGSDP refleje los
cambios relevantes en la organización
Cumplimiento Cotidiano de Medidas de Seguridad
![Page 80: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/80.jpg)
Cumplimiento Cotidiano en el IMA
• En seguimiento del compromiso establecido por el DirectorGeneral, los Subdirectores colaboran para vigilar elcumplimiento día a día, por ejemplo, señalando a losempleados que no portan gafete sobre este hecho.
![Page 81: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/81.jpg)
• Plan de Trabajo
Tratamiento del riesgo
![Page 82: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/82.jpg)
• Reducir el Riesgo. Corrección, eliminación,prevención, minimización del impacto, disuasión,recuperación, monitoreo y concienciación.
Reducir
![Page 83: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/83.jpg)
• Retener el Riesgo. No hay necesidad inmediata deimplementar controles adicionales.
Retener
![Page 84: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/84.jpg)
Evitar el Riesgo. Cuando el riesgo identificado es muyalto o los costos de tratamiento exceden a losbeneficios.
Evitar
![Page 85: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/85.jpg)
Compartir el Riesgo. Un tercero interviene para mitigarlos posibles efectos de un riesgo.
Compartir
![Page 86: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/86.jpg)
Aceptar el Riesgo. Asumir formalmente las decisionessobre el plan de tratamiento del riesgo.
Aceptar
![Page 87: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/87.jpg)
Plan de Trabajo de IMA
Reducir
• Comprar antivirus
• Comprar un regulador de voltaje
• Política de respaldos de la información
Retener
• Robo de las bases de datos por un servidor público descontento
Evitar
• Mover los archiveros lejos del baño
Compartir
• Ninguno
![Page 88: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/88.jpg)
FASE 3: MONITOREAR Y REVISAR EL SGSDP
![Page 89: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/89.jpg)
Paso 8. Revisiones y Auditoría
Revisión de los factores
de riesgo
AuditoríaVulneraciones a la Seguridad
de la Información
![Page 90: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/90.jpg)
Vulneraciones a la seguridad
Robo Pérdida
Acceso Daño
![Page 91: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/91.jpg)
Vulneración a la seguridad de IMA
DEMO TIME
![Page 92: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/92.jpg)
Manos a la obra
Ejercicio 4. ¿Cuál es el mejor control?
![Page 93: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/93.jpg)
Ejercicio 4. Solución
Dominio: Control de acceso
Objetivo de control: Equipos sin atender
![Page 94: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/94.jpg)
Acciones en caso de vulneración a la seguridad
1) Identificación de la vulneración
2) Notificación de la vulneración
3) Remediación del incidente
![Page 95: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/95.jpg)
FASE 4: MEJORAR EL SGSDP
![Page 96: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/96.jpg)
Paso 9. Mejora continúa y capacitación
Acciones correctivas
Acciones preventivas
![Page 97: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/97.jpg)
Capacitación
Concienciación
Entrenamiento
Educación
![Page 98: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/98.jpg)
Después de la vulneración en IMA
• Se han establecido políticas de bloqueo del equipo ydiferentes privilegios para tener acceso a las bases dedatos.
• Para identificar otros escenarios y prevenirincidentes, se contratarán servicios de unespecialista para que evalúe la seguridad de laempresa.
• De los resultados de la evaluación del especialista sediseñará un plan de capacitación.
![Page 99: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/99.jpg)
¿Y que aprendimos hoy del SGSDP?
• Paso 1. Establecer el Alcance y los Objetivos
• Paso 2. Elaborar una Política de Gestión de Datos Personales
• Paso 3. Establecer Funciones y Obligaciones
• Paso 4. Elaborar un Inventario de Datos Personales
• Paso 5. Realizar un Análisis de Riesgo de Datos Personales
• Paso 6. Identificación de las medidas de seguridad y Análisis de Brecha
Fase 1. Planear el SGSDP
• Paso 7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales
Fase 2. Implementar el SGSDP
• Paso 8. Revisiones y Auditoría Fase 3. Monitorear y
Revisar el SGSDP
• Paso 9. Mejora Continua y Capacitación Fase 4. Mejorar el SGSDP
![Page 100: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/100.jpg)
Conclusiones
• ¿Crees que las acciones que llevó el Instituto Mexicano de Audición para implementar el Sistema de Gestión de Seguridad de Datos
Personales mejoraron los procesos y la cultura de la organización?
![Page 101: Guía para implementar un Sistema de Gestión de …...–No contar con medidas de seguridad óptimas en sus sistemas de tratamiento para datos sensibles. • Criterio de Aceptación:](https://reader030.vdocuments.co/reader030/viewer/2022040406/5e9f6764f9415f2b1359a627/html5/thumbnails/101.jpg)