México D.F., a 05 de diciembre de 2013. Versión Estenográfica de la Presentación de las Recomendaciones en materia de Seguridad de Datos Personales y la Metodología BAA, en el marco del Foro Internacional Sobre Seguridad de Datos Personales: Las Recomendaciones del IFAI, efectuada en el Auditorio Alonso Lujambio, de este Instituto. Noemí González: Gracias por acompañarnos. El contenido de esta presentación se desarrolla en torno a los documentos que el IFAI pondrá a disposición de los responsables y encargados, para atender las recomendaciones en materia de seguridad de datos personales. Estos documentos son la guía para implementar un sistema de gestión de seguridad de datos personales, y el manual en materia de seguridad para MiPyMES. ¿Por qué surgen estas recomendaciones? La Ley Federal de Protección de Datos Personales en Posesión de Particulares en su artículo 19 establece: “Que los responsables deben tener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales”. De manera particular, en el capítulo 3 del Reglamento, se señala que las medidas de seguridad en el tratamiento de datos personales, y específicamente el artículo 58 establece que el Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de sanciones. Ahora bien, ¿por qué nos debe interesar la seguridad de los datos personales? En primer lugar, porque la protección de datos personales es un derecho fundamental para todos los aquí presentes. Nos ayuda a prevenir y a mitigar los efectos de una fuga o mal uso de los datos personales. Podemos evitar pérdidas económicas debido a multas u otros daños, y pérdidas de clientes e inversionistas. También habilita el comercio y aumenta la competitividad, debido a que mejora la confianza de los consumidores e inversionistas. Nosotros como consumidores, por ejemplo, hacemos compras en negocios que nos ofrecen mayor seguridad al comprar un producto en línea.

Por tanto, en ejercicio de la facultad que la fracción IV del artículo 39 de la Ley, otorga al IFAI, se publicaron el 30 de octubre en el Diario Oficial de la Federación, las recomendaciones en materia de seguridad de datos personales. El IFAI recomienda de manera general, la adopción de un sistema de gestión de seguridad de datos personales basado en un ciclo PHVA, que significa Planear, Hacer, Verificar y Actuar. El alcance de este sistema de gestión es la protección de los datos personales y su tratamiento legítimo, controlado e informado para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. El sistema está orientado al análisis de riesgo para evitar vulneraciones a los datos personales como los plantea el artículo 63 del Reglamento. Estas vulneraciones son el daño, la pérdida, alteración, destrucción de los datos personales o el uso, acceso o tratamiento no autorizado. Las recomendaciones, como decía, se basan en el ciclo general del sistema de gestión, que básicamente consta de cuatro fases: la fase de planear, implementar y operar, monitorear y revisar y mejorar el sistema de gestión de seguridad. Para llevar a cabo la implementación del sistema, el IFAI desarrolló la guía para implementar un sistema de gestión de seguridad de datos personales. Esta guía estuvo a disposición para consulta pública hasta el 25 de octubre en el sitio web del IFAI. Por el momento se analizan los comentarios y observaciones para mejorar ese documento y presentar una versión final. Esta guia básicamente brinda los pasos y las acciones clave para implementar un sistema de gestión a través de las cuatro fases que les mencionaba en la diapositiva anterior. En la fase de planear el sistema de gestión, arrancamos con el primer paso que se refiere a delimitar el contexto y el ámbito de aplicación, considerando factores contractuales, legales y regulatorios del modelo de negocio y factores tecnológicos. ¿Qué significa esto? Que es en el paso en el que el responsable se va a sentar con su equipo de alta dirección o con el equipo de personas que

conocen los procesos del negocio para hacerse preguntas como: de dónde se obtienen los datos personales, si es de manera directa a través del titular, si hacemos transferencias, cuáles son las finalidades de los tratamientos, cuáles son los departamentos o áreas de negocio involucradas en este tratamiento, quiénes son los autorizados y los procedimientos, mecanismos y todo lo que tiene que ver con el tratamiento de datos personales. Esto es como hacer un pre análisis que nos lleva a establecer el alcance y los objetivos de nuestro sistema de gestión. El siguiente paso es elaborar una política de gestión de datos. Esto para establecer el compromiso formal por escrito de la organización, considerando los principios de protección de datos, los deberes de seguridad y confidencialidad, el respeto a los derechos de los titulares, el desarrollo del sistema de gestión, las responsabilidades y la rendición de cuentas de los involucrados. En el paso tres establecemos funciones y obligaciones de quienes tratan datos personales. Éste es un ejemplo de cómo podemos organizar las actividades principales que hacemos en el sistema de gestión, y de manera horizontal clasificamos a las áreas de la organización, de manera que podemos identificar quiénes son las áreas que estamos involucrando en la creación de la política y el objetivo del sistema de gestión, por ejemplo. En este caso es la Dirección, Finanzas, Recursos Humanos, el Área de Tecnologías y el Área Legal. Por ejemplo, para el inventario de datos, consideramos a toda las áreas del negocio, excepto el Área Legal, y para la capacitación, pues todas las áreas del negocio. Esto es como una manera de organizarnos para saber qué hace cada quien. El siguiente paso es elaborar un inventario de datos personales, en función del ciclo de vida de los datos; desde que se obtiene o se recaba hasta el uso que le damos, si hay divulgación, si lo transferimos, si se almacena, hasta su destino final, que es la cancelación o la supresión de los datos personales. Esto para identificar el tipo de tratamiento al que son sometidos los datos. Ahora bien, es importante tomar en cuenta que por su naturaleza hay datos personales que representan mayor riesgo, por el daño que se podría generar a los titulares en caso de una vulneración, Clasificamos en tres categorías, principalmente:

Los datos con riesgo inherente bajo. En esta clasificación se encuentran los datos de identificación, de contacto, los laborales y académicos por mencionar algunos. Los datos con riesgo inherente alto. Nos referimos a los datos financieros, a los patrimoniales, como son cuentas de inversión, bienes inmuebles, y los datos sensibles que están considerados por la ley. Finalmente, los datos con riesgo inherente reforzado. En esta clasificación nos referimos a los que de acuerdo a su naturaleza resultan atractivos para un atacante, por ejemplo, la información bancaria como los códigos de seguridad relacionados con los datos de identificación de las personas, o bien, personas que por su profesión están expuestos a ser atacados debido al beneficio económico que representan. Cabe señalar que estas categorías son sólo una orientación porque ciertos datos personales que en un principio se consideran no sensibles, podrían volverse sensibles de acuerdo al contexto en el que se maneja la información. En el paso 5, se realiza el análisis de riesgo, tomando como referencia los factores del Artículo 60. Aquí se tienen que determinar dos tipos de criterio: los criterios de impacto y los criterios de aceptación del riesgo. Los criterios de impacto son los que están relacionados con el nivel de daño directo a los titulares y, en consecuencia, para la organización. Y los criterios de aceptación de riesgo son los que se refieren al nivel de riesgo con el que una organización quiere vivir alineada a sus alcances y objetivos. El siguiente por favor. Después de definir los criterios de evaluación del riesgo podemos determinar el valor de los datos personales para posibles atacantes a través de identificar activos, identificar amenazas, vulnerabilidades, escenarios de vulneración y sus consecuencias. Lo podemos ver en un ejemplo. Pensemos en un escenario en el que un médico tiene una computadora sin antivirus y su consultorio tiene un sistema de anti-incendios; sus expedientes que son los activos los tiene la computadora y en papel, en este caso la vulnerabilidad de los expedientes electrónicos es que la computadora no tiene antivirus y éste puede ser explotado por la amenaza del virus. Y en el caso de los expedientes en papel su vulnerabilidad al fuego lo hace susceptible a la amenaza del incendio, en ambos casos el impacto es la pérdida de información; sin embargo, la probabilidad de que esto ocurra es

más alta en el caso de los expedientes electrónicos y, por lo tanto, es el escenario con mayor prioridad a resolver que sería el antivirus, compra del antivirus para ponerlo en la computadora. Tomando como base el análisis de riesgo se deberán seleccionar e implementar las medidas de seguridad administrativas, técnicas. Estas medidas se encuentran en el anexo de ver la guía y están clasificadas básicamente en 10 dominios, que son las políticas, cumplimiento legal, estructura organizacional, clasificación y acceso de los activos, seguridad de personal, física y ambiental, gestión de comunicaciones y operaciones de control de acceso, desarrollo y mantenimiento de los sistemas y vulneraciones desobligadas. Tomando en cuenta estos controles entonces hacemos el análisis de brecha que consiste en identificar las medidas de seguridad existentes, las que ya tenemos y que operan de manera correcta, las medidas de seguridad faltantes y si existen nuevas medidas de seguridad que puedan reemplazar a las que ya tenemos implementadas actualmente. Bueno, esto es para tener claro cuáles son los controles que ya están funcionando en la organización y definir un plan de implementación que mejore la seguridad, para priorizar, para reducir el riesgo y que no representen costos innecesarios. Para continuar con la fase dos, viene Armando Becerra. Armando Becerra Gutiérrez: Muchas gracias. Muchas gracias Noemí.

Una vez que ya tenemos todo el plan de tratamiento, los alcances y objetivos con los que vamos a trabajar en organización, entramos ya a la fase de implementación, y éste contempla un paso. En este paso se siguen dos líneas de acción básicas para trabajar: el cumplimiento cotidiano de la política y de las medidas de seguridad, basadas en el monitoreo continuo de la conducta y de la actitud general a la política. Y en la otra línea de acción es el tratamiento puntual sobre los riesgos que se identificaron en la fase de planeación. En esta segunda línea de acción encontramos el tratamiento de riesgo. Para tratar el riesgo tenemos básicamente cuatro alternativas: reducir el riesgo, es decir que la organización implemente controles de seguridad para disminuir el impacto que este escenario de riesgo en particular, puede producir.

Puede detener el riesgo, es decir, de toda la lista de riesgos que tiene considerada, puede que por cuestiones de presupuesto, de planeación estratégica decida que un riesgo no lo va a tratar en algún momento, siempre y cuando se alinee a los alcances y objetivos, y en el cumplimiento de la Ley de Protección de Datos puede retener ese riesgo, pero con consciencia y conocimiento de que lo tiene ahí. Puede evitar el riesgo. Esto ocurre por ejemplo, cuando las organizaciones tratan más datos de los que necesitan. Al tener una gran cantidad de datos se están exponiendo a más tipos de vulneraciones y también es necesario que implementen más controles de seguridad. Todo esto lo podrían omitir, reduciendo la cantidad de datos que necesitan para dicho tratamiento. Finalmente, entra el tema de compartir el riesgo y es una consideración general a los controles de seguridad donde una organización decide contratar a alguien más. No simplemente entra el tema de contratos directos de subcontrataciones o seguros, por ejemplo, que están surgiendo en diferentes partes del mundo con respecto a multas, respecto a vulneraciones a seguridad. Entra también el tema de si una organización identifica que su centro de datos no es suficiente o no cumple sus expectativas, es la evaluación de los riesgos que implica contratar a un tercero para que entre un centro de datos más eficiente y con mejores medidas de seguridad. Al terminar de evaluar todos estos riesgos, queda un riesgo residual. Este riesgo residual debe estar entendido dentro de los criterios de aceptación de riesgo que se platicaron en la parte de la planeación y no pueden sobrepasar los alcances y objetivos delimitados por la organización. En general siempre debe existir comunicación de cualquier nivel y estado de actualización del riesgo, y por eso es importante el tema del seguimiento continuo de las medidas de seguridad, la primera línea de acción en el tratamiento que mencionamos. Aunque en el trabajo cotidiano vamos a estar evaluando las medidas de seguridad, hay consideraciones puntuales respecto al monitoreo y la revisión del sistema de gestión.

El monitoreo contempla un paso, el paso ocho, revisiones y auditorías, y la idea, como les mencioné, es identificar los nuevos activos y modificaciones que sean necesarias a la organización Estas actualizaciones nos van a llevar a reconocer nuevas amenazas y posiblemente nuevas vulnerabilidades. Y por tanto, tengamos que reevaluar los escenarios de riesgo y el impacto que tienen sobre la organización. La otra pate del monitoreo es la identificación de vulneraciones de seguridad que ocurren en nuestra organización. El monitoreo es proporcional a los controles de seguridad, es decir, por ejemplo, un protocolo de siempre cerrar con llave los archiveros requiere que una persona de vez en cuanto esté viendo y jalando los cajones, mientras que un sistema automatizado su monitoreo está relacionado más al tema de registros y looks. Y por otro lado está el tema de auditoría, las revisiones que una organización establezca con su equipo interno y dependiendo de su grado de madurez la contratación de un tercero para que evalúe su nivel de seguridad. Puntualmente, en el tema de vulneraciones y tocando las cuatro vulneraciones que se establecen en el reglamento, el robo, la pérdida, el uso o el daño de datos personas en resguardo de una organización, la guía establece un protocolo general que las organizaciones pueden seguir. El primer paso es la identificación de la vulneración, es decir, identificar los activos afectados y la relación directa con los titulares que pueden verse afectados por la vulneración y por activos afectados. Apegándose a la práctica internacional, el tema de notificar las vulneraciones no es exponer a la organización. El tema de identificar la vulneración tiene que ser muy prudente y muy bien ponderado en el contexto de la organización porque el objetivo es informar a los titulares para que estos tomen medidas adicionales y puedan salvaguardar su integridad física, moral y patrimonial. Entonces, una correcta identificación de la vulneración más que exponer a la organización les permite mitigar todo el impacto general y posiblemente costos y multas y otras consecuencias.

Con la correcta identificación procede a la notificación de la vulneración a los titulares y a otras partes interesadas, como podrían ser las autoridades de impartición de justicia o las autoridades de protección de datos. Finalmente se pondera para la remediación del incidente, es decir, las medidas correctivas y preventivas a corto y mediano plazo para mitigar el incidente. Las vulneraciones y el monitoreo continuo llevan a las organizaciones a un proceso de mejora continua. La mejora continua la podemos entender en dos líneas de acción principalmente, directamente sobre el sistema de gestión, primero con las acciones correctivas que surgieran de la identificación de un nuevo incidente, de una nueva amenaza o de una vulneración ocurrida y las acciones preventivas que provienen del estudio y del análisis del cambio en el contexto de la organización, por ejemplo, al integrar un nuevo activo o una nueva contratación. La otra línea de acción es la capacitación a tres niveles. La concienciación, que es la noción general de la protección de datos a todos los involucrados en el tratamiento; el entrenamiento, un nivel de conocimiento específico para aquellos con responsabilidades muy puntuales, por ejemplo, administradores de sistemas o la oficina de protección de datos de una organización, y finalmente el tema de educación, que es un proceso de permear dentro de toda la cultura y dentro de la mejora continua el tema de la protección de datos. Bueno, con esto, estos son los pasos que abarca la guía, la guía de implementación de un sistema de gestión. También el Instituto está trabajando en un Manual en Seguridad de Datos Personales para MiPyMES. Es difícil que una organización, y en particular las MiPyMES puedan implementar un sistema de gestión impecable, sin embargo, y como lo comentó Davi en la mañana, muchos de los ataques y muchas de las vulnerabilidades pueden mitigarse con controles de seguridad básicos y de bajo costo, y este es uno de los alcances. Las recomendaciones y su guía, como ya lo hemos venido platicando, son de un alto valor y rigor técnico, por ello es prioritario proporcionar un documento adicional que facilite la comprensión de las recomendaciones, y que les permita evaluar a las MiPyMES en sus medidas de seguridad, bajo los criterios ya comentados, y finalmente implementar el sistema de gestión de una manera sencilla y de bajo costo y funcional.

¿Cómo se vería esta estructura de manera general? La guía a través de preguntas e identificación de controles elementales, y escenarios, va a llevar a las MiPyMES al seguimiento del sistema de gestión. Por ejemplo, el doctor Pérez en la fase de planeación obtiene datos personales con el tema médico, e identifica que hay cuatro posibles vulneraciones: que alguien malintencionado destruya sus expedientes, que extravíe él mismo su equipo de cómputo o que su asistente que maneja una USB la pierda y que esa USB sea mal utilizada por otra persona, o que finalmente, que alguien entre a su oficina y modifique los expedientes. Haciéndose preguntas sobre los controles de seguridad y sobre el tratamiento de datos que hace el doctor, puede identificar sus áreas de oportunidad y, por tanto, establecer un plan de trabajo. ¿Cómo funcionaría este plan de trabajo? A través de estas preguntas sobre su tratamiento, y considerando el presupuesto que tiene el médico va a empezar a implementar las medidas de seguridad, empezando por aquellas basadas en comportamiento, como siempre cerrar sus cajones o no dejar expedientes en el área de recepción, y mejora en las configuraciones, revisar que por ejemplo su computadora sí tenga habilitado un antivirus y un firewall, son medidas de seguridad de costo mínimo, y que incrementan el nivel de seguridad para con los datos personales. Con esta implementación, el doctor puede realizar el monitoreo y revisión cotidiano de las medidas de seguridad, es decir, en el caso de los cajones cerrados, por ejemplo, verificaría de vez en cuando que su asistente efectivamente sí esté cerrando los cajones conforme lo acordaron en el plan de trabajo, y bueno con un periodo regular de hacerse las preguntas que va a plantear la guía puede estar bastantemente evaluando su nivel de seguridad. Todo esto que tenga la noción de la mejora continua, es decir, que madure en el uso de los datos personales y que se comprometa al respeto de la seguridad de los mismos. Todo lo que hemos platicado hasta el momento se basa en un conjunto de estándares internacionales y se recomienda su consulta, ISO-10012 sobre protección de datos, ISO-27001 y 27002 que era el tema de seguridad de la información, 27005 sobre gestión de riesgos en seguridad en la información, ISO-29100 tratamiento de datos personales en sistemas informáticos, ISO-31000 y las guías 72 y 73 sobre gestión del riesgo, ISO-9000 sobre el tema de calidad, y bueno los lineamientos del Paper Denist

800 que son los principios generales aceptados en la protección y aseguramiento de información y las líneas de trabajo de la OCDE. Y bueno por nuestra parte es todo. A continuación se va a presentar la metodología BAA, es un documento que fue elaborado para el Instituto en el marco de la elaboración del reglamento de la Ley Federal de Protección de Datos Personales y no forma parte de las recomendaciones; sin embargo, consideramos que es una propuesta innovadora en muchos aspectos respecto al tratamiento del riesgo y por ello se ha puesto a disposición del público. No se consideró pertinente incluir la metodología como parte de las recomendaciones por un principio de neutralidad del Instituto, no es factible condicionar el beneficio que estipule el artículo 58 que ya se platicó anteriormente a una metodología específica y es por eso que las recomendaciones como ya se presentó están basadas en el marco de trabajo general que ofrecen los estándares. Para hablar de la metodología, con la presencia de José García Sabbagh, que tiene 14 años de experiencia en TI, 11 de ellos en información gestión de riesgos, ha ocupado diversos puestos gerenciales y directivos dentro de empresas financieras, manufactura y consultoría. Actualmente es socio director de SM4rt Security Services, en donde es responsable de las áreas de consultoría y gestión de riesgos; posee una licenciatura en administración de sistemas de cómputo, un postgrado en seguridad de la información por parte del Instituto de Tecnología de Estudios Superiores de Monterrey y cuenta con muchas certificaciones en el tema de seguridad incluida. Sin más preámbulo cedo la palabra a José García Sabbagh. José García Sabbagh: Hola, buenos días. Quisiera hacer una pregunta técnica por allá, ¿sí se puede utilizar el control? Voy a intentar, es que son varios slide que voy a ir pasando de manera rápida, se me hace un poco más dinámico, y si no, no hay ningún problema, yo les voy avisando, pero sí preferí hacer esto, hagamos una prueba y si no, ya nos vamos, les voy avisando. Primero les cuento más o menos que quisimos hacer con esto de la metodología. El contenido de la presentación es cuál es el contexto actual de México relacionado con la Ley Federal de Protección de Datos Personales, desde el punto de vista de los que están sentados probablemente del otro lado que descargan estos documentos y tienen

que hacer los esfuerzos necesarios en las organizaciones para cumplir con esto. Entonces, a qué nos estamos enfrentando. Después, cuál es el contexto actual de la información en los medios electrónicos. Definitivamente el riesgo se está elevando de manera drástica y algo tenemos que hacer, estos esfuerzos que nos tienen reunidos aquí van en línea con eso. Qué propone la metodología. Va, esos dos punto anteriores son como para la justificación, porque es una metodología un poco innovadora que definitivamente los controles están basados en el ISO 27002 y en el 27001 respecto al sistema de gestión de seguridad de la información. También, aunque no es propiamente un sistema de gestión de seguridad de la información, pues sí tiene clasificación de los activos, el análisis de riesgos, después defines los controles, etcétera. Y algunos ejemplos para que quede claro. Qué hemos visto las empresas. Nosotros que nos dedicamos en la iniciativa privada como consultores y asesoramos a diferentes empresas que al final son los receptores de estos documentos, qué es en lo que nos hemos enfrentado, me es importante compartirlo con ustedes. Los ejecutivos, definitivamente es un costo para ellos. Cualquier costo regulatorio es un costo para ello y luego, luego preguntan: “oye, y esto cuánto me va a costar”, con todo el interés probablemente de cumplir, pero sí luego, luego, “oye y esto, de cuánto es el presupuesto”. Los abogados corporativos luego, luego preguntan: “oye y cómo le voy a hacer, y cómo me voy a amparar y de qué manera reduzco el riesgo legal”, porque ese es su trabajo. No lo decimos de manera peyorativa, ese es su trabajo. Su trabajo es reducir el riesgo legal, que sí cumpla la empresa pero haciendo el mínimo indispensable, relacionado al punto anterior de los ejecutivos respecto al presupuesto. Y el resto. El resto desafortunadamente vamos comenzando. Es un esfuerzo, hay que ir picando piedra, hay que ir moviendo la rueda poco a poco hasta que empiece el ritmo mejor y entonces, no muestran aún demasiado interés. Creo que ahí la llevamos, todos estos esfuerzos son buenos, pero este es el contexto al que nosotros nos hemos enfrentado. Y los ciudadanos, y todos los que se ven beneficiados de esta Ley y de todos los documentos asociados a ella. Pues bueno, tenemos riqueza en recursos naturales en México. Definitivamente la naturaleza nos favorece.

Tenemos mucho potencial en ese sentido. Tanto potencial que ahí se queda, ya nos quedamos ahí disfrutando el paisaje. Tenemos unos recursos humanos que siempre se caracterizan por ser trabajadores, por ser solidarios, la familia está muy bien vinculada en México. Hay mucho potencial. La juventud es un gran porcentaje de los ciudadanos. Entonces hay mucho potencial hacia al futuro, que ya poco a poco se empieza a mostrar en la economía, y la infraestructura que se está trabajando. El gobierno trabaja constantemente con mejorar todo este tipo de cosas. Eso es nuestro México que, bueno, esto podría ser un debate. Sin embargo, nuestros datos se pueden encontrar por milésimas de pesos en Tepito. 160 gigabytes de datos personales por 153 mil pesos en Tepito, y han sido públicos muchos incidentes de este tipo de cuestiones. Hay llamadas no solicitadas y Spam, el 85 por ciento del correo es Spam. Se pierde muchísimo dinero y muchísimo tiempo de productividad en las empresas producto del Spam. Si sumáramos todo lo que gasta las áreas de sistemas para bloquear todo esto y todo el tiempo que hay este Spam y este también es Spam, definitivamente es una pérdida de tiempo. Difamación fue despenalizado en México en el 2007 y también hay muy mal uso de la información en ese sentido. Fraude con datos de tarjeta bancaria o acceso a portales bancarios, se pierden 5 mil millones de peso al año. Al rato voy a hablar un poquito más de estas estadísticas Extorsiones, hay 6 mil 700 extorsiones telefónicas diarias en México. Secuestros, 792 secuestros en lo que va del año, bueno esta estadística no es de este año, si hay alguien especializado esto no me vayan ahorita a crucificar, simplemente es para, todos sabemos que es un tema que está difícil en nuestro país. Todos estos crímenes comienzan con el acceso y uso ilegítimo de datos personales, todos estos que dijimos, las llamadas de extorsión, que se vendan los datos públicos en los mercados negros.

El riesgo es más alto que nunca, cada vez más. Y, entonces, los ciudadanos se pregunta: Oye, ¿y cómo vas a cuidar mis datos? Luego, luego que vamos a firmar un contrato y cómo vas a cuidar mis datos y además cómo los van a proteger, qué medidas están haciendo ustedes para proteger mis datos personales. Entonces, eso es lo que piensan más o menos los ciudadanos. El objetivo de la seguridad en los temas de privacidad es evitar el acceso no autorizado a los datos personales resguardados por el responsable. El riesgo de privacidad se ha incrementado debido a varios aspectos. Vamos a hablar ahora un poquito más, ya no del entorno mexicano, sino del entorno de cómo se maneja electrónicamente la información actualmente. Velocidad. Antes tomaba días o semanas para compartir la información, tenías que juntar a alguien o eran los métodos tradicionales de correo y ahora es instantáneo, parece que todo mundo está súper cerca y es totalmente instantáneo. Las mismas personas que mantenían tus secretos anteriormente, ahora parece que son difusores públicos a nivel mundial, inmediatamente con todo lo de las redes sociales. En 2010 existían 50 millones de tuits por día , hoy hay 200 millones de tuits en uno de los eventos más vistos a nivel mundial de los eventos deportivos, que es el Super Bowl, durante los segundos finales del Super Bowl los fanáticos enviaron 4 mil 64 tuits por segundo. Entonces, estamos hablando del contexto de cómo se difunde la información el día de hoy y cómo puedes perder el control de una información que se fuga y además la persistencia. Antes solíamos controlar y restringir el acceso y destruirlos físicamente, la copia nuestra información, pero el día de hoy todo eso ya no se puede. Si ponemos más o menos una pantalla, algunas de las redes sociales han trabajado mucho en las cuestiones de privacidad, sin embargo, siguen estando en el ojo del huracán y siguen estando en la visión de todos los entes regulatorios a nivel mundial, pero en una red social definitivamente hay muchísimas cosas públicas que tienes que ir controlando, entonces toda la información que tenemos personal y que se supone compartimos con las personas conocidas, puede estar de manera pública.

Bueno, aquí todo esto público. Y la concentración de la información. Nuestros archivos solían ser difíciles de acceder y ahora están agrupados y disponibles en todo el mundo. Hace rato en la exposición anterior hablaban un poco de cloud computing, ahora están disponibles en todo el mundo, agrupados, ni siquiera sabes a dónde están los datos pero están disponibles en todo el mundo. Ahora, si eres visto en un estado inconveniente, como esta foto, tu novia, tu pareja tendrá acceso a la información en el momento, así como sus amigas, y probablemente te lo van a recordar para toda tu vida. Entonces la privacidad es una preocupación creciente, y no sólo a nivel de la reputación, ahorita tomé ejemplos triviales, porque estamos hablando del contexto, pero no sólo a nivel de la reputación, la pieza más valiosa de nuestra información personal es nuestra identidad y puede ser más valiosa para otras personas que tienen otro tipo de intenciones. Un poco de estadísticas 2012-2013, esa portada es un análisis que saca una empresa reconocida en este sentido, Bryson, y otras Side the Symantec y otras Side the A & White. La Unión Internacional de Telecomunicaciones, el Secretario General acaba de decir hace algunos meses que hay 110 billones de dólares causados por el crimen. El 98 por ciento son agentes externos, esto es de Bryson también, y el 58 por ciento son ataques activistas. Aquí ya estamos hablado no de riesgo oportunista, de que voy caminando y me robo los datos porque ahí estaban; sino de riesgo intencional, ya hay cuestiones activistas. Se ha incrementado en 42 por ciento ataques dirigidos de 2011 a 2012. Esta foto es del mayor incauto de dinero en la historia de dinero en efectivo, 205 millones de dólares, desafortunadamente pasó aquí, en México, ustedes se acordarán de este caso, de lo de Zhenyi Le Gon, de “copelas o cuello”, de 205 millones de dólares, que quiere decir 72 billones de dólares al año, si esto se perdiera diario en efectivo serían 72 billones de dólares anuales, pero en el cibercrimen eso aunque se perdiera anualmente diario, sería sólo el 65 por ciento de lo que de verdad pasa. Entonces esto es un problema a nivel mundial que está terrible, y que desafortunadamente nosotros, como especialistas en seguridad de la información nos enfrentamos a ellos, y sí existen todas las normativas, las mejores prácticas, los estándares, pero tenemos que hacer un poco, tomar de muchas variables, de muchas referencias, para ser un poco más efectivos.

Estoy dando este contexto porque en todo esto nos basamos para dar a los mexicanos, a las empresas mexicanas desde un taller mecánico, que a lo mejor es un taller de Las Lomas, en donde tienen la base de datos de todas las marcas caras de los autos y dónde viven, ahí está la base de datos, o un dentista o un médico, hasta le banco más grande del país, ¿no? Este es de Symantec y dice que el 50 por ciento de los ataques van dirigidos a empresas de dos mil 501 empleados hacia arriba. Sin embargo el 31 por ciento, esta es una estadística actualizada, el 31 por ciento va dirigido, es un gran porcentaje, a empresas de uno a 250 empleados, entonces fíjense el problemón que tenemos. Ahí están los ataques más o menos por industria, las primeras tres son manufactura, financieras y de servicio, ¿y qué tienen en estos estudios cuestiones en común todos los ataques y todas las estadísticas? 79 por ciento es por oportunismo, entonces no todo es ataque intencional, entonces eso nos va orientando a lo que tenemos que hacer, con medidas de seguridad no de caja fuerte utilizan una analogía, sino de barda, una barda considerable, con eso podemos quitar todos los ataques oportunistas, el 94 por ciento de los ataques van dirigidos a servidores. Entonces, fíjense oportunismo ya van hacia los servidores y además 96 por ciento fueron ataques fáciles, no estamos hablando del hacker más experimentado y con más conocimiento del mundo, sencillos, con herramientas open source que puede bajar cualquier persona, cualquier chico que le sabe de secundaria o de preparatoria, y el 97 por ciento, por lo tanto, se hubiera controlado con controles sencillos, se están robando información de tarjeta de pago, información de credenciales de acceso a banca en línea e información personal. Esta es una noticia de ayer, CNN publicó que se robaron más de dos millones de contraseñas de Facebook, Gmail y Twitter para que todos ahorita salgamos corriendo a cambiar nuestra contraseña, y fue un descubrimiento, una empresa que se llama Trust que estuvo dando tracking a Malware, no estuvo dando seguimiento y entonces se dieron cuenta que había un servidor en Holanda y eso porque sólo le dieron seguimiento a uno, todavía no se descubren todos los servidores que hay. Entonces, capturan lo que digitan, lo que digitan las personas y eso lo manda por internet a estos servidores y de ahí es que estuvieron obteniendo muchísimas contraseñas, no nada más de esto, también de Linkendin, también de un sitio de Rusia, de redes sociales, etcétera.

Este es el contexto, hay vectores de ataque por todos lados y como nunca y además tiene un crecimiento de 300 por ciento anual, solamente en Estados Unidos en cibercrimen. Entonces, necesitamos aceptar el riesgo. Platicando con el director global o el oficial de seguridad de la información global en un banco muy grande en España él decía: “Si en el mundo hay muchos criminales y hay violadores, hay secuestradores y hay distorsionadores. En una empresa de 100 mil empleados es un ecosistema grandísimo por qué yo voy a pensar que no hay ese tipo de personas, estamos hablando de 100 mil empleados, entonces en tu organización cuando son empresas grandes también existe y si en el exterior bueno no se diga. Entonces, el número de jugadas potenciales es infinita con miles de partidas simultáneas en un ambiente altamente dinámico, el contexto cambia a diario, las piezas cambian a diario, las reglas cambian a diario, los jugadores cambian a diario y, por lo tanto, no puedes hacer nada menor que asegurar todos los vectores. Me empiezo orientar hacia dónde, qué es lo que proponemos, todo es el por qué hicimos esta metodología. La defensa debe ser optimizada, optimizar la velocidad de respuesta porque la amenaza se ha incrementado de forma geométrica. Ya hablamos de la amenaza, ahora hablemos de la probabilidad, la probabilidad de ataque desde el punto de vista de cómo están las empresas el día de hoy en sus sistemas, llamémosle accesibilidad, qué tan fácil es vulnerar, qué tan fácil es, la computadora era como el mundo del Principito, estábamos ahí, sin embargo de repente todo se digitalizó y hemos perdido el control. Las computadoras, aquí hay una Tari y una Comodor para los Geeks que haya probablemente por ahí. Antes nada más le dabas una tecla y hasta podías quemar el pixel del monitor por un error que había tenido. Se quemaba. No, tú ya sabías, “ah, pues este fue por este, ¡chin! Ya lo quemé”, pero sabías por qué estaba pasando todo esto. El día de hoy, nuestro mundo digital se ha vuelto indeterminista. Las computadoras parece que, como todos nosotros, tienen hormonas, un día amanecen de buenas, y un día amanecen de malas, y de verdad un día. Qué está pasando con nuestras computadoras. O sea, yo no lo entiendo. Y entonces nos critican a la gente de tecnologías de información porque siempre nuestra mayor recomendación es “¿y ya la reseteaste o ya la

reboteaste?”, esa es nuestra recomendación y tiene un por qué. La memoria volátil que es donde se va cargando todos los sistemas y todas las dll’s y todo lo que se carga en memoria, es infinidad de programas que están ahí, y nadie sabe la interrelación que hay entre cada una de ellas, además en cada instancia de cada computadora, porque no es lo mismo mi computadora hoy que dentro de un año, y tampoco es lo mismo mi computadora que la computadora de Armando o la computadora de Noemí. Entonces si tú reseteas, eliminas todo eso de la memoria volátil y entonces regresas a un estado conocido como los alpinistas cuando van a hacer su expedición y hay tormenta y se regresan al campamento base, lo mismo. Y cuando ya nada de estos dos eventos te dicen “oye, ¿ya le volviste a instalar el Windows o el Linux?”, y es por lo mismo pero todavía una manera más drástica. Las redes se han incrementado su complejidad. Si hablamos de seis computadoras y seis segmentos de red de seis computadoras, estamos hablando de 36 nodos, 630 conexiones, pero si hablamos de las posibles puertas, para los que no son técnicos, en la red se abren como muchas puertas, como muchas orejitas que están escuchando ahí, pero son muchísimas orejitas que están en cada computadora. Si hacemos esa multiplicación de las 630 conexiones con los nodos posibles de TSP y IDP, son todo ese número de conexiones posibles simplemente en 36 computadoras. Entonces imagínense la complejidad de una red. Y entonces las conexiones crecen exponencialmente y el crecimiento de la red genera valor, por qué, porque a mí me genera valor en una empresa estar viendo por videoconferencia a las personas que están en Holanda o que están en Argentina. Definitivamente genera valor, pero al mismo tiempo incrementa su complejidad y además la frustración de las personas y el riesgo. Por lo tanto la anonimidad. La metodología BAA tiene tres siglas, una es el beneficio para el atacante, otra es la accesibilidad y la otra es la anonimidad. Si se fijan, ya estuve hablando del beneficio para el atacante, todo el contexto, cómo está. Todo lo que se están robando, información de tarjeta de crédito, robo de identidad, daños a la reputación, todo esto es el beneficio para el atacante. La anonimidad. Yo quisiera hacer un ejercicio, no quiero exponer a nadie, para nada, sin embargo, con honestidad, quién nunca en su vida ha tenido ni una sola canción que no compró, le pasaron una canción o que descargó de internet, que no pagó por ella, o una película, o un video. Quién nunca ha tenido ni una sola en su dispositivo móvil o en su computadora. Quién

nunca. Una, dos, tres, de cuántos, y no alcanzo a ver por allá, pero vean más o menos el porcentaje, es el orden de magnitud, entonces, todos los demás somos anónimos, todos los demás somos anónimos. Entonces, esto pasa con la complejidad, cuando la red está así en internet, entonces todo mundo nos volvemos trasgresores de la ley, porque el riesgo baja para todos. Al haber anonimidad el riesgo baja para todos y entonces la no haber riesgo, qué pasa cuando alguien va a hacer algún ilícito en un supermercado, ¿qué es lo primero que hacen? Luego a luego voltean a ver si hay cámaras, a ver si no está nada en el pasillo y se lo embolsan, eso es la anonimidad. Y definitivamente, si no hay anonimidad, entonces baja el riesgo, ¿OK? Por eso la metodología, uno de sus puntos es la anonimidad. La acumulación de valor y la complejidad han generado cambios y crecimientos exponenciales en el riesgo. Y, ¿Cómo podemos evaluar entonces mejor el riesgo digital? Con un cambio de paradigma. Cualquier persona que pone un negocio, haciendo una aclaración, independientemente que sea lícito o ilícito, piensa en la rentabilidad, definitivamente. Entonces, ¿cuál es mi retorno y cuál es el riesgo? Hasta para comprar acciones de Google, oye y cómo va la acción, y está subiendo y qué riesgo; hasta hay indicadores de Standard & Poor's, etcétera, en los que saben de la Bolsa, que te identifican el riesgo. Entonces: “oye, cuál a ser mi retorno contra cuál es el riesgo”. Y esto también lo saben los atacantes. Los atacantes no quieren gastar dinero, los atacantes quieren el mínimo esfuerzo y la mejor rentabilidad. Por lo tanto, si no son anónimos, entonces hay más riesgo para ellos o si les bajas utilidad, hay más riesgo para ellos. Yo les voy a poner un ejemplo de la vida real que pasó aquí en México en uno de los bancos más grandes del mundo, los atacantes estaban haciendo clonación de tarjetas con unos que se llaman skimmers, que son los que clonan la tarjeta de crédito, unos aparatitos, pero ponían unas carcazas en los cajeros automáticos que cuando tú introducías tu tarjeta de pago, por ahí pasaba, por la carcaza, había un skimmer ahí y entonces se quedaba la información.

Llegaban después los atacantes y se llevaban la carcaza y entonces estaban todas las tarjetas clonadas. En lugar de encriptar el canal y poner controles de acceso impresionantes y poner un perro doberman ahí, etcétera, lo que hicieron fue ir con un comando de personas a todos sus cajeros constantemente y quitaban la carcaza y retenían esos activos de los delincuentes, retenían los activos y así lo hicieron en todos los cajeros, en ese banco nada más. Entonces, cuando regresaban los delincuentes ¿qué pasaba? “No está mi carcaza que me costó dinero y además no estoy robando información”. ¿Qué está pasando? Estoy bajando la rentabilidad del atacante, automáticamente dejaron de atacar con ese método a ese banco, y no estamos hablando de controles del ISO27001. Por eso las tendencias de administración de riesgos que se comienzan a basar, ustedes vieron la película de “Mente Brillante”, “A Beautiful Mind”, donde ganó el Oscar Russell Crowe, John Nash es un Premio Nobel, que hizo las teorías de juegos y hablan de este tipo de cosas. Las teorías de riegos están orientando hacia allá y eso tiene la metodología va, ¿OK? Hay que reducir la rentabilidad del atacante y subir su riesgo. Entonces, hemos llegado a un nuevo equilibrio, en donde el riesgo baja para el atacante y sube su rentabilidad. Ya hablamos del beneficio, ya hablamos de la accesibilidad y también un poco de anonimidad. Nos sentimos anónimos, ya lo dije, sin una percepción de riesgo, entonces todos los volvemos trasgresores de la ley y al reducir el riesgo, de romper la ley, entonces hemos incrementado el riesgo para cada individuo. Como hay más trasgresores de la ley y hay más probabilidad, entonces cuando nos vemos individualizados todo mundo conoce a quién ya le han clonado su tarjeta o a quién ya le han volado información o quién ha recibido extorsiones. Entonces aumenta el riesgo para los individuos. No podemos pretender eliminar todas las vulnerabilidades, esto es una de las aportaciones de la metodología. No podemos pretender eliminar todas las vulnerabilidades, no se podría, entonces hay que aceptar el riesgo, pero no todo, de qué manera le hacemos.

Hay que entender que hay tres tipos de riesgo: el accidental, el oportunista y el intencional. El accidental, los que se dedican a TI, ese es el pan de cada día, que se caiga el sistema ¿a quién le llaman? A ellos. Si se cae muchas veces los van a correr. O sea, sus estrategias son para que los sistemas funcionen, ese es su incentivo. El oportunista es cuando voy pasando y me robo del jardín una flor porque iba a casa de mi novia. Y el intencional sí tiene definitivamente objetivos, rentabilidades, probablemente no tiene prisa y se puede llevar seis meses hasta que logra su objetivo. Hay que entenderlos, tienen incentivos distintos. Ya dijimos que la disponibilidad siempre ha sido la meta principal, facilitar acceso e interacción, y el riesgo accidental es mitigado por medio de redundancia, ese no nos interesa acá, inclusive la ley, lo único que tiene que ver con disponibilidad en lo de la ley es porque cuando alguien ejerce sus derechos ARCO tú tienes ciertos días hábiles para contestarlo, y entonces disponibilidad, bueno, con que tenga ese nivel de respuesta, con eso basta de disponibilidad, nadie te pide seis 9 de disponibilidad, respecto a la Ley Federal de Protección de Datos. ¿Cómo mitigamos el riesgo oportunista? El riesgo oportunista, como ya lo decía, con bardas, entre más grandes las bardas y mejores los controles, más resistentes van a ser. Sin embargo, como en Troya seguimos necesitando dar acceso. Entonces la analogía militar no aplica, hay que utilizar la analogía médica. Necesitamos componentes sanos, entender nuestros signos vitales, usar mejores prácticas, definitivamente, introducir solo componentes sanos, paches, actualizaciones, antivirus, todas las vitaminas que hacemos cada uno de nosotros, y aislarnos de amenazas, hoy está muy baja la temperatura, entonces salimos abrigados, y la suma de los esfuerzos nos mantiene sanos, si nos alimentamos bien, hacemos ejercicio, hacemos check up médicos, la suma de los esfuerzos nos mantiene sanos, esa es la analogía médica que hay que ocupar para la barda, para la aceptación del riesgo. “Oye, pues en mi red solamente voy a poner estos controles”, no tengo que mitigar todos, ni podría, sería un cuento de nunca acabar, y presupuestos altísimos, que nos empiezan además a bajar la credibilidad con los sponsors, con los patrocinadores dentro de las organizaciones. “Oye, pues es que el presupuesto va a ser de tanto y me voy a tardar un año y medio”, no te van a creer y al ratito ya nada vas a lograr. Entonces la barda, hay que utilizar este tipo, generar alertas, las cuestiones de los logs, siempre cuando vas al doctor te preguntan cuál es el historial de tu familia y qué antecedentes de asma y de cáncer, etcétera. Entonces es como la

salud, la suma de los esfuerzos me mantiene sano y define el tamaño de nuestra cerca. ¿Cómo mitigamos nuestro riesgo intencional? Ese sí es con cajas fuertes. Gestionando, aislando y filtrando nuestra información crítica, por tanto, aplica perfectamente la metodología del sistema de gestión, en donde voy a hacer una clasificación de activos de información, un inventario, entonces veo cuáles son los activos críticos, y de ahí me puedo basar en controles del ISO, puedo hacer un análisis de riesgo, utilizando las que ustedes quieran, o utilizando también esta metodología, haces el inventario de información, lo clasificas, sabes cuáles son tus activos críticos, pero no desde el punto de vista de lo que le interesa al director de Finanzas o al director de Operaciones; desde el punto de vista de lo que le interesa al director de Finanzas o al director de Operaciones, desde el punto de vista de lo que le interesa al atacante, acuérdense que estamos hablando de teorías de juegos, de reducir su rentabilidad y aumentar su riesgo. Ah, le interesan estos datos que se están robando, esos son los que meto en la caja fuerte. OK, hablando de datos personales definitivamente información de Salud, los titulares de alto riesgo que están clasificados ahí ustedes pueden leerlo en los documentos que están publicados, los titulares de alto riesgo son los que esas personas por estar en una base de datos aumentan el riesgo para todos, son personas de seguridad pública, personas políticamente expuestas, etcétera, aumentan el riesgo para toda la base de datos y, por lo tanto, para todos los ciudadanos. Ese tipo de datos hay que meterlos en la caja fuerte. Entonces, hay que dividir grupos de controles, los de redundancia, hay unos que son de disponibilidad y los demás, los de confidencial integridad hay que determinar si es de barda o es de caja fuerte. Ya vimos que es de caja fuerte, entonces hay que enfocar nuestros controles en los riesgos principales y determinar las fronteras de confianza. Ahora vamos a hacer ya un ejemplo de la metodología BAA. Ya les dije toda la explicación para que podamos entender de manera más fácil, porque mi objetivo es que de hoy ya se vayan entendiéndola adecuadamente y cuando vean el documento sea más sencillo para todos ustedes. Hay que enfocarnos en los accesos a la información. Primero, ya sabemos cuáles son los de información crítica, los que van en la caja fuerte, y cuáles lo que no hay problema simplemente en controles de barda y después hay que enfocarnos en los accesos, hay unos de información que transfieren, procesan o almacenan y hay nodos de usuario, pueden ser grupos de

usuario, pueden ser perfiles, pueden ser roles, usuarios específicos y entonces hay que segmentar por accesos, puede ser, ya les dije, por usuarios, por tipos de activos, etcétera, segmentamos por accesos y con eso estamos controlando la accesibilidad. Grupos de usuarios, sistemas, segmentos de red o tipos de datos, no quiere decir que todo el segmento de los servidores para los que son de tecnologías de información todo lo voy a segmentar y le voy a poner listas de control de accesos y vi las diferentes, de repente puede haber muchos impactos de disponibilidad, puedes gestionar por grupos de usuario, por pequeños grupos de sistemas, inclusive por tipos de datos dentro de las bases de datos, el chiste es aislarlo, estamos hablando de las joyas de la corona, lo que va dentro de la caja fuerte. Aquí hay un ejemplo, si todo lo metemos dentro de la red y eso que parece una nube es la barda entonces hay un riesgo grandísimo dentro de la red, aparte lo de afuera, pero dentro de la red hay un riesgo grandísimo. Entonces, utilizando el mismo dibujo para aislar los sistemas todo estaría aislado, a lo mejor es un tipo de dato, a lo mejor es un tipo de dato, a lo mejor es sólo una tabla en la base de datos, a lo mejor sólo es un servidor, o la computadora de la de Recursos Humanos que tiene todo ese tipo de base de datos. Y hablando de la nube sería más o menos lo mismo, no le tengan miedo a la nube, si existen los controles adecuados de manera organizacional y de políticas y contractuales y además puede haber auditorías y hay todo este tipo de controles, aquí ya son cuestiones para ustedes los abogados de ámbito internacional que ustedes saben más que yo de eso, pero desde el punto de vista de seguridad es esta analogía, puedes poner los controles para aislar ese tipo de datos y entonces todas las personas que acceden quedan aisladas, inclusive los de la red interna como todos los demás hasta los usuarios malintencionados. Beneficio que representa un ilícito para un tercero, anonimidad y accesibilidad. Para saber el valor para un tercero hay valor económico, una noticia exclusiva, una información para cometer fraude, información para ganar un juicio de demanda o valor reputacional, desprestigiar a la empresa, atacar a la empresa para exponer su ideología, ventajas competitivas o valor estratégico. Entonces, así es como yo clasifico mis datos desde el punto de vista externo y puede haber mucho más criterios, o sea, esto es nada más para poner un ejemplo de los criterios que pueda haber.

Ya que tengo el inventario de datos entonces utilizo esta tablita, que además hay varias opciones, la opción que ahorita nos recomendaron tienen unas tablas. Esta es otra opción, si ustedes deciden utilizarla. Hay datos personales de identificación que es de cristicidad baja; hay de cristicidad media y reforzada por ejemplo, lo que ya decía, titulares de alto riesgo, ubicación en conjunto con patrimoniales. Una cosa son los datos de ubicación, solitos, pero si además yo le pongo en la misma base de datos los datos patrimoniales “cuánto tiene y dónde vive”, por ejemplo. Eso se vuelve un dato reforzado. Y entonces ese tipo de datos ya nos dicen qué tipo de controles voy a implementar. Hablando de accesibilidad. Hay que entender algo. Para confidencialidad la regla tiene que ser default close, por default que esté cerrado. Y entonces, quién tiene acceso, quién necesita acceso. A ver, pásame la forma, dale acceso, ok, fírmale aquí, entonces abro el candado. Y para disponibilidad es el opuesto contrario. Por ejemplo, Google, todos los datos en todo momento. Para disponibilidad la política es, por default abierto. Se manejan entonces listas negras, para todo sí, excepto para esta lista. Vamos a entender esta gráfica. En este plano, donde dice cero, abajo a la izquierda, imagínense que es misión imposible. Sólo para tus ojos, este mensaje se autodestruirá en cinco segundos, sólo para ti y ponle tu huella, etcétera, etcétera. Solamente cinco minutos va a estar abierto para ti y sólo este dato, y primero demuéstrame, tú eres sólo tú. Ese es el extremo. El otro extremo arriba a la derecha, por donde está ahí lo amarillo es Google. Todos los datos en cualquier momento, para cualquier persona, desde cualquier lugar. En la red, en las organizaciones no podemos gestionar así, granularmente, puntualmente cada tipo de dato. Entonces, lo que generalmente se hace es establecer tres barreras de información. La de abajo es la de la caja fuerte, que les digo, es para datos privados. La de en medio es lo de la barda, y la de arriba es la información pública, la que puede ver hasta mi competencia. Y se gestionan de manera diferente. El de arriba a la derecha es con redundancia, el de la barda y el de la caja fuerte. Perdón por ser reiterativo, pero es para cumplir mi objetivo, explicar adecuadamente esto.

Entonces, este diagrama también viene como anexo en la metodología BAA que ustedes pueden consultar. Ya vimos que hay diferentes entornos de anonimidad. Internet, por ejemplo, tiene una anonimidad altísima, entonces pues cualquiera te puede atacar. Y sin embargo, lo que metes en la bóveda no debe tener anonimidad, ahí sí debes saber quién entró, a qué hora entró, por qué entró, quién le dio permiso, etcétera. Y la red interna no es de la más alta anonimidad, pero de baja anonimidad. Esos son los diferentes tipos de entorno. Y para pasar datos, esto se propone en esa metodología, para pasar datos entre un segmento de anonimidad hacia otro, entonces hay zonas de transición que además son bien conocidas ya por las personas de sistemas. Para pasar datos entre diferentes anonimidades son las zonas de transición que generalmente les llaman DMZ, zonas desmilitarizadas. Como si en esa puerta dice “sólo personal autorizado” y sólo ahí pasan ciertas personas, igual. Entonces, esos son los entornos y ahora vamos a hacer un ejemplo con esta tablita. Esta tablita también la pueden encontrar, que es un resumen de todo, ahí está. Primero, qué tipo de dato tengo. Los de los titulares de alto riesgo. Es un dato reforzado, entonces estoy hablando de los de arriba, y después, eso es las filas, la de abajo, la de en medio y la de hasta arriba. Eso es por tipo de dato. Y después las columnas, para ir desplazándome a la derecha o a la izquierda, es de acuerdo al número de titulares que yo tengo en mi base de datos. A ver, yo tengo titulares de alto riesgo y además tengo 5 mil, pues ya estoy hablando que tengo el más alto de los riesgos. Tengo datos de salud que son el dato alto, en renglón C y además tengo poquitos, tengo menos, no alcanzo a ver la cifra pero no importa, por dar un ejemplo, son menos de 500, entonces estoy hablando de que me toca el número uno. Tengo menos de 500, es una base de datos pequeñita y son datos de salud, probablemente estoy hablando de un dentista, de un consultorio pequeño, entonces agarro el número uno.

Ese número uno, bajo donde está la flechita que tiene el verde más fuerte y entonces me dice que tengo que implementar los controles básicos. ¿Qué son los controles básicos? Simplemente evitan los ataques oportunistas, son contraseñas robustas, que haya antivirus, que haya actualizaciones del sistema operativo constantemente, que tenga algún nivel de bitácoras encendidas, ahí pueden ver la lista de controles. Y con eso termino. Si ya con eso puedo hacer mi gap análisis, como el sistema de gestión de seguridad de la información, puedo hacer mi gap análisis y entonces veo: ¡Ah! Me faltan estos, los pongo y terminé. Sin embargo, si ya voy a la lista cuatro, de acuerdo a lo que saqué, entonces ahora hay otras tablitas, si se fijan. No se alcanza a leer, no era el objetivo, yo se las voy a explicar. Pero hay otras tablitas. ¿Qué te preguntan esas tablitas? OK, ya estoy en esa tablita número cuatro. Si estoy en donde está lo rojo de caja fuerte, donde está la fechita cuatro, ahí hay una tablita. ¿Qué me preguntan? Me preguntan desde dónde se accede y cuántas personas acceden. ¡Ah! Pues se accede desde la red de terceros, de mis proveedores y acceden como 300 personas. Identifico y ahí me dice ya las listas de controles, una son, como pueden decir, pueden observar CF, caja fuerte, utilizando esa analogía, entonces son controles muy fuertes de seguridad de la información para esos tipos de datos nada más y lo mejor para otros me tocaron los básicos y para algunos me tocó los controles de que implemente una zona de transición, una zona desmilitarizada. Esto resume toda la metodología, nada más hacen el inventario, lo clasifican de acuerdo a lo que dijimos y sacan una lista de controles y además las listas de controles están basadas en los controles del ISO 27002 y nosotros los agrupamos en patrones de controles, utilizando también el expertise de un proyecto internacional no lucrativo de open security architecture, así están orientados, los que conocen ese proyecto van a entender perfecto los patrones de controles. Es decir, quisimos utilizar mejores prácticas y el conocimiento de diferentes expertos. Por ejemplo, por aquí está Alejandro Fernández, que trabaja en una de las consultas grandes, que participó en el proyecto; está Dafne Briones, que también trabaja en otras de las consultorías internacionales grandes, participó en el proyecto; está Marce.

Coincide que además ellos son de diferentes compañías, y Leslie Colmenares no está, que es otra de las grandes cuatro compañías, participamos y además también lo consultamos con expertos de Gales y de seguridad de la información en España, que ya nos llevan 10 años en esto. Entonces, le echamos muchas ganas, un trabajo de 10 años, que simplemente lo que queremos hacer es poner una opción más para ustedes, para que lo puedan implementar, si les funciona y si no tienen el sistema de gestión de seguridad de la información. Hay controles también de red interna y los controles físicos y además los controles administrativos. También hay una lista de controles administrativos, en donde aplique que existe una oficial de Seguridad de la Información, o bueno, un responsable orientado también al reglamento, etcétera. Un ejemplo, para cerrar. Cuento con datos de salud de 50 mil titulares, es una clínica, y por lo tanto le corresponde el nivel por tipo de dato 3. Automáticamente me dan la lista de controles administrativos 3, y además identifico que se tienen al menos, menos de 200 acceso a los datos personales, y que se acceden desde la red de terceros. Entonces voy bajando por esas tablas, llego a esta tabla y la celda que está seleccionada, entonces me dice que tengo que implementar el patrón DMZ3, ahí está la lista de controles; la lista de medidas RI3, F2, sacan su lista, hacen el GAP, análisis y proceden a la implementación. Con esto lo que buscamos es hacer una metodología eficiente, en protección de datos personales, y además que sea efectiva, que sea eficaz. Yo con esto termino, aquí hay una serie de preguntas, que me gustaría leerlas, y bueno, aquí las vamos respondiendo, sino también hay gente del IFAI experta en la ley y el reglamento. Estanislao González, de Metrologic. ¿Qué esfuerzos concretos en materia de normas NOM INMX están en marcha entre el IFAI y la Secretaría de Economía, en protección de datos personales y seguridad de la información? Por lo pronto no.

Noemí González Vergara: No, en este momento no tenemos ningún plan con Secretaría de Economía respecto a ese tema. José García Sabbagh: OK. La misma persona, Estanislao González, de Metrologic. ¿Por qué no siguen la Ley Federal de, perdón si lo leo mal, dice Metrología, y normalización al establecer recomendaciones y métodos en lugar de ser neutrales? ¿Por qué no sigue la Ley Federal de Metrología y Normalización? Me imagino que tiene que ver también con la NOM, en lugar de ser neutrales y no apegarse a ninguna de ellas. Noemí González Vergara: Es que es precisamente eso, lo que ofrecemos en nuestras recomendaciones son los estándares internacionales y las mejores prácticas con ITIL y COBIT, y no nos estamos apegando a ninguna en particular. Adriana Báez: Buenos días, Adriana Báez, Directora General de Autorregulación. Con relación a esta pregunta, la Ley de Metrología y Normalización no establece controles de seguridad entonces no es una ley que aplique en lo concreto a este tema. Si la vamos a observar, pero para materia de autorregulación, en donde se está estableciendo procesos de certificación y de acreditación, que esa norma es la que establece eso. Pero las recomendaciones del IFAI en materia de seguridad pues son cuestiones muy específicas con relación a justo el tema de seguridad. Y aprovecho que ya me subí aquí al escenario para aclarar que la metodología BAA y las recomendaciones del IFAI no son excluyentes, no es una o la otra. Desde mi punto de vista son complementarias, se pueden complementar. El sistema de gestión que está proponiendo el IFAI y que está basado en todas estas ISO’s y normas que ya les comentó Armando tiene un paso en particular que es el análisis de riesgo, y en eso en particular del análisis de riesgo es donde ustedes deciden si ese análisis de riesgo lo hacen a partir de esta metodología que desarrollamos junto con Smart, si se aplica para analizar el riesgo esta metodología o si su modelo de negocios y sus técnicos consideran que otra metodología es la adecuada para calcular el riesgo. Entonces, no son excluyentes, no tienen que elegir entre una y la otra, el sistema de gestión de riesgos que está proponiendo el IFAI complementa a ese análisis de riesgo, a esa metodología que se desarrolló, que es innovadora y que por una cuestión también de regulación no se pudo incluir de manera específica en las recomendaciones del IFAI. Jamás hubiéramos pasado una manifestación de impacto regulatorio si hubiéramos exigido a los sujetos obligados de la ley de protección de datos que para gozar de los beneficios del Artículo 58 del reglamento, es

decir, para que el IFAI pueda disminuirte la sanción por seguir por seguir sus recomendaciones tienes que aplicar una metodología en particular. Como ente regulador no lo podemos hacer, no podemos tener esa exigencia, esa condicionante para gozar del beneficio del artículo 58. Entonces, por eso es que no se incluye esta metodología de manera explícita en las recomendaciones del IFAI, pero no porque no consideremos que es lo suficientemente buena y robusta. Es buena y robusta, está basado también en técnicos, en expertos, en ISO’s, en muchas otras cosas, pero no se podía establecer como una condición para gozar del beneficio. Hay entera libertad para los sujetos obligados de elegir la metodología que consideren que es mejor para su negocio y para calcular el riesgo. Sin embargo, el IFAI les está ofreciendo esta metodología, que lo analicen los expertos de su organización y que vean si les convence esta metodología que desde nuestro punto de vista es muy buena, y si lo consideran así, ya en el paso en particular del análisis de riesgo de todo este sistema de gestión pues aplicarán la metodología si les convence. José García Sabbagh: OK. ¿Por qué no se regula por el IFAI a la información de personas morales en lugar de sólo la información personal? Adriana Báez: Así lo decidió el legislador y la ley está exclusivamente dirigida a datos personales de personas físicas. Así está en la ley y así lo decidió el legislador, es una cuestión que tiene que ver más bien con la estructura y el diseño de la ley. José García Sabbagh: ¿Cómo se propone el IFAI incrementar el cumplimiento de las empresas mexicanas con las obligaciones de notificación de la Ley de Protección de Datos aparte de recibir? O sea, como que cumplan las obligaciones de notificación. Entiendo yo que la notificación es solamente cuando hay una vulneración, eso es lo que dice la ley y el reglamento, la notificación que debe hacer el titular es cuando tiene esa obligación de cuando hay una vulneración inmediata, dice, y dice aparte de recibir, me imagino que recibir es cuando son las peticiones ARCO. Adriana Báez: Sí, no me queda clara la pregunta con relación a las notificaciones. Las notificaciones no se hacen al IFAI. La Ley no lo estableció así. Solamente se hace a los titulares.

José García Sabbagh: A los titulares, exactamente. Adriana Báez: Que son afectados, pero no al Instituto.

José García Sabbagh: Para cuándo se estima la publicación en la página del IFAI de la versión final de la guía de implementación. Noemí González Vergara: Hasta el próximo año.

José García Sabbagh: Para principios del próximo año, entonces. El material de exposición estará disponible y dónde lo podemos consultar. Adriana Báez: Sí, sí, sí. Se creó un micrositio para este evento. Creo que

les mandamos por correo la liga, pero va a estar disponible en el sitio. José García Sabbagh: Ante una transferencia de datos con un tercero y al quedar fuera de mi control esa información, qué medidas de seguridad debo considerar y hasta qué nivel estoy obligado a protegerlos, teniendo en consideración que no cuento con la capacidad para auditar a ese tercero. Adriana Báez: Sí. La cuestión de transferencia de datos personales, pues evidentemente si ustedes transfieren los datos a un tercero, esa información deja de estar en su control. Entonces, hay que distinguir entre remisión y transmisión. Acuérdense que la transmisión es a un tercero ajeno a la organización del responsable. Entonces, ahí lo que la Ley, no les va a exigir jamás que ustedes implementen las medidas de seguridad en una empresa que no es de ustedes, que no es su responsabilidad. Lo que exige la Ley es que, cuando justo ustedes vayan a transferir datos a un tercero, hagan mediante algún instrumento normativo, que puede ser un contrato, las reglas claras. Ustedes le van a transferir esos datos al tercero y le van a decir: “oye, te los estoy transfiriendo exclusivamente para estas finalidades y tienes ciertas obligaciones con relación a los datos personales”. Y tiene mucho que ver en dónde esté ubicado ese tercero. Si es un tercero que está ubicado en territorio nacional, pues la Ley le va a aplicar, y ese tercero se va a convertir de manera automática al recibir los datos, en un responsable de esos datos personales y en ese sentido estará obligado a tener medidas de seguridad. Si el responsable está ubicado fuera del territorio nacional, pues no le va a aplicar la Ley mexicana, pero ahí la responsabilidad del responsable

mexicano a quien sí le aplica la Ley mexicana, es justo hacer una transferencia con reglas claras y delimitando el uso que tendrá para los datos personales y las obligaciones que tendrá ese tercero a quien le estoy transfiriendo los datos personales para que no se rompa esta cadena de seguridad que exige la Ley pero sólo en México. Armando Becerra Gutiérrez: Y bueno, nada más detallando ya en el contexto de la guía del sistema de gestión, es todo el tema relacionado a compartir el riesgo. Las organizaciones, cuando van a establecer un contrato, un convenio de cualquier naturaleza para mitigar alguna de sus deficiencias, pues es su deber ya que no pueden actuar directamente sobre la organización, revisar con su equipo legal todas las implicaciones contractuales. José García Sabbagh: Se puede comprar una base de datos previamente creada a un proveedor con fines mercadológicos, y qué aspectos se tienen que considerar. Bueno yo aquí diría, ustedes me corrigen, vamos a verlo al revés. Desde el aviso de privacidad nos tienen que informan quiénes son, cuáles son las finalidades de tratamiento de los datos, en dónde yo puedo ejercer mis derechos ARCO, y con quién va a tratar esa información, si es que lo tratan. Aparte de que puedo ejercer mis derechos ARCO y puedo oponerme a que los utilicen para algunas de las finalidades. Cuando pasa todo esto, entonces hay empresas que sí, que en efecto contratan para diversos servicios a algunos socios de negocio y entonces comparten información, es obligación que esté informado el titular, que sepa la finalidad, que además acceda, porque también depende del tipo de datos, hay el permiso tácito, etcétera, depende del tipo de dato. Y, entonces, si están comprando una base de datos con fines mercadológicos, pues debe de haber, definitivamente, deben de cumplir con los mismos principios de licitud, de responsabilidad, deben de cumplir con esos principios para proteger la información y deben estar cubiertos con un contrato. Si yo no tengo ningún contrato y estoy obteniendo datos de los titulares, pues entonces definitivamente estoy incumpliendo. Adriana Báez: Es correcta tu respuesta, José, ahí solamente agregaría que hay que recordar que los dueños de los datos personales son los titulares, entonces en realidad la empresa, la encargada de crear esta base para mercadotecnia no está vendiendo los datos personales como

tal, porque eso no lo podría hacer, los dueños no, la empresa, son los titulares; en realidad lo que está vendiendo es todo el trabajo que realizó para construir esa base de datos, porque evidentemente la base de datos tiene un know-how, entonces lo que está vendiendo en realidad es eso. Y sí se podría, claro que se puede, la ley no lo impide, pero tiene que venir toda una serie de condiciones anteriores para la venta y que justo tiene que ver con lo que explica José que es desde el aviso de privacidad y tener el consentimiento de los titulares para hacer esta transferencia, porque eso sería una transferencia de datos personales. José García Sabbagh: Se habla de un sistema de gestión de protección de datos. ¿Hay o va a haber alguien por parte del IFAI que audite o certifique este sistema de gestión? ¿Cuál es la relación con la ISO27001? Creo que la relación con la ISO27001 lo explicaron, inclusive pusieron ahí las referencias, pero ¿puede certificar y va a haber alguien que lo valide? Adriana Báez: Sí, efectivamente, el sistema de gestión va a ser objeto de

certificación, no lo va a hacer el IFAI directamente. No está previsto que el IFAI otorgue certificados, porque ahí quisimos evitar un posible conflicto de interés porque, como ustedes saben, también somos la autoridad que verifica el cumplimiento, entonces qué pasaría si el IFAI otorgó, un área del IFAI otorgó un certificado diciendo: “tú lo haces bien” y viene el área encargada de la verificación, verifica y dice: “no, lo estás haciendo mal”, entonces podría haber ahí un potencial conflicto de interés y por eso se determinó que el IFAI de manera directa no va a certificar tratamientos, ni cumplimientos de obligaciones ni de principios, pero en los parámetros de autorregulación está previsto que aquellos responsables que quieran certificar su sistema de gestión y de seguridad de datos personales lo van a poder hacer con organismos de certificación debidamente acreditados por entidades de acreditación que sean reconocidas por el Instituto. José García Sabbagh: Muy bien. ¿A dónde se puede denunciar una

violación e datos y qué consecuencias tienen las empresas si no protegen los datos personales? Adriana Báez: Aquí justo en el IFAI se puede denunciar. Y las consecuencias, pues depende de cómo se vulneró la ley. José García Sabbagh: ¿Esta gestión está alineada a la normativa ISO-27000, pero, en su versión 2013? Armando Becerra Gutiérrez: Sí.

Adriana Báez: Sí.

José García Sabbagh: ¿Sí? Adriana Báez: Sí, así es. José García Sabbagh: ¿Cómo se espera que las micro y pequeñas

empresas implemente la guía si no cuentan con personal capacitado para entender los términos que se manejan en esta guía? Armando Becerra Gutiérrez: Ese es el objetivo y el alcance del manual que estuvimos platicando en la sesión. Adriana Báez: Recuerden que son tres documentos, bueno, cuatro documentos distintos. Unas son las recomendaciones que se publicaban en el Diario Oficial, y que esas recomendaciones son prácticamente, son muy generales, establecen nada más fases, pasos, y la recomendación de establecer este sistema de gestión, y son así de generales porque están hechas específicamente para aquellos que quieran hacer valer el Artículo 58 del reglamento de la ley, son generales. Ahora, como son tan generales, vimos ahí la necesidad de hacer un instrumento mucho más específico que explicara cómo instrumentar ese sistema de gestión que se está recomendando de manera general en las recomendaciones publicadas en el Diario Oficial. Entonces se creó un segundo documento, que es la Guía de Implementación de este Sistema de Gestión. Ahí ya se detalla cómo implementar este sistema de gestión. La guía sigue siendo un documento muy técnico, que evidentemente no la van a poder implementar, poner a la práctica, las MiPyMES, que no tienen expertos y que tampoco tienen recursos para contratar expertos. Entonces fuimos conscientes de esta necesidad y estamos creando que todavía no está disponible al público, porque no lo hemos concluido, un manual, el manual que les explicó Armando, y este manual es muy sencillo, es muy práctico, está basado en frecuentes, cotidianas, que podría tener cualquier, desde una pizzería hasta el salón de belleza, una lavandería, un doctor, un abogado que trabaja de manera independiente, esta guía va a estar creada y está dirigida justo para que este tipo de responsables del tratamiento puedan implementar sus medidas de seguridad. Va a ser algo muy práctico, muy sencillo, muy didáctico, entonces esa todavía no la conocen porque no la hemos terminado, pero les quisimos

decir, justo, porque sabíamos que una de las cuestiones es, ¿bueno y cómo implementa una MiPyME esta guía tan compleja? Tenemos otro instrumento preparado para ellos y el cuarto documento es la metodología que les explicó José, que es lo que les decía, que es opcional, que la estudien y a quien le parezca adecuada para hacer el análisis de riesgo, que la aprovechen. José García Sabbagh: Inclusive en esa metodología viene un cuestionario de autoevaluación muy sencillo, son 10 preguntas, y de acuerdo a esa automáticamente, bueno, si respondes “no” en varias, por lo tanto es una MiPyME, estamos hablando de una MiPyME, automáticamente te lleva a los controles básicos de seguridad, de manera muy sencilla entiende para cumplir con eso. ¿Si existen obligaciones de medidas de seguridad para el responsable, el encargado también debe cumplir con las mismas? Creo que tiene que ver con la pregunta anterior, ya lo respondimos, sí debe de cumplir con ellas. Entre las compañías de seguros es importante los reportes de siniestralidad para otorgar ofertas conforme al riesgo, hoy, con esta ley ¿cuáles son las limitantes o alcances para el manejo de la información? Bueno, la siniestralidad tiene que ver más con fines estadísticos, son actuarios y tiene que ver con edades, que si fuma, que no fuma, etcétera, pero no son datos específicos, inclusive los puedes despersonalizar. Sin embargo, si es una aseguradora, si es una de las finalidades del tratamiento, debe de informar desde el aviso de privacidad al titular, quien debe además dar su consentimiento y, por lo tanto, debe cumplir con lo que dicta la Ley Federal de Protección de Datos Personales. En transferencia de datos al extranjero, existen autoevaluación cuando sean demasiados proveedores que dificulten la revisión física o en sitio o alguna otra alternativa para hacer la revisión? Armando Becerra Gutiérrez: El arreglo ahí tiene que ser contractual, si está fuera de las posibilidades de la empresa que está contratando al tercero, en este caso a quien va a hacer la transferencia y sabe que no está en posibilidades o las mismas cláusulas de la empresa que está contratando no permite que hagan las visitas a sitio es todo está involucrado en las cláusulas contractuales, entonces entra dentro de la responsabilidad de la empresa que lo que va a hacer el contrato si se va a adecuar a esas condiciones de servicio o no.

José García Sabbagh: Se mencionan medidas tecnológicas como antivirus y fireware, pero esto sólo resuelve una capa superficial. ¿Hasta dónde prevé el IFAI y la ley la implementación de tecnologías de control de accesos, auditoría, web the facement, sistemas de evaluación de fraude, lavado de dinero, etcétera? Yo creo que le apuntaron probablemente antes cuando fuimos avanzando sí mencionamos varias capas y sí mencionamos varios tipos de controles no nada más periféricos como son los antivirus, sí mencionamos cuestiones, vienen cuestiones descifrado de información, de inclusive hay unos de disociación de la información, hay infinidad de controles y además como la guía de implementación de las recomendaciones, que es uno de los documentos está basado en el ISO, pues ustedes saben la cantidad de controles que vienen en el ISO, entonces no nada más cumple con eso que está mencionando esta pregunta. ¿Por qué es tan complicado para el IFAI iniciar un proceso de verificación? Sé que hasta el momento no se ha iniciado ningún proceso ya que se requiere denuncia, ¿por qué no se hace de oficio como lo hacen otros entes reguladores como SHCP, CNBV, SAT, etcétera? Adriana Báez: Claro que sí se han iniciado, ya tenemos varios conocimientos de verificación, ninguno de los servidores públicos que estamos aquí somos del área de la Dirección General de Verificación. Entonces, si tienen alguna pregunta en concreto con relación a este tema los invitamos a enviar su consulta por el conducto adecuado, la dirección la tienen. Armando Becerra Gutiérrez: En la página del IFAI se encuentra el Centro de Atención a la Sociedad y están varios medios de contacto: teléfono, correo, chat en vivo y ahí pueden dirigir sus consultas en estos términos. Adriana Báez: Pero ya se iniciaron procedimientos, ya hay sanciones también. Sí hay procedimientos. José García Sabbagh: ¿Al cumplir con PCI cumplo con todos los controles de seguridad que exige el IFAI? Bueno, PCI es de una industria de tarjetas de pago, entonces está orientado DSS a la información de tarjeta de crédito. Yo diría, a reserva de que opinen lo contrario, sí cumplen porque protege muy bien la información de tarjeta de pago, inclusive estimula que no se guarden, pues mejor no los guardes y cifra los canales de transmisiones. Entonces, sí cumples, pero no todos los datos personales son la tarjeta de crédito, entonces hay muchísimos otros tipos de datos, lo cual PCI no lo abarca.

Adriana Báez: Y bueno, esta pregunta me da la oportunidad de anunciar

que va a haber un quinto documento que les vamos a ofrecer, que es justo una tabla de equivalencias donde vamos a comparar este tipo de herramientas PCI, porque vamos a ver cómo se cumple con lo que exige el Reglamento. Entonces estos estándares y otros más, vamos a estar diciendo, si tienes implementado ya en tu empresa esta metodología de la ISO tal, bueno, cumples con estas acciones que está exigiendo el Reglamento de la Ley. Entonces, también les vamos a poner a su disposición este documento que seguro, les va a ser de mucha utilidad a quienes ya tengan implementadas ISO’s y otros mecanismos para la seguridad de la información en general, no de los datos personales, sino de la información general de su empresa u organización. José García Sabbagh: En el caso de los médicos cuya práctica profesional es una consultoría y es independiente, la organización tiene alguna responsabilidad ante los usos que los médicos den a la información. No sé a qué se refiere la organización, si es un médico que trabaja para una organización, que eso es, pasa en muchos casos, de repente hay en las organizaciones las áreas de Recursos Humanos, tratan cuestiones de los seguros y tienen un módulo de seguros y si hay alguien el seguro de gastos médicos mayores y lleva sus radiografías y sus análisis para reembolsos y ese tipo de cosas. O los mismos doctores que están dentro de las oficinas y que tienen ahí información personal, definitivamente son finalidades de tratamiento de datos personales que hace la organización, porque no nada más es para los clientes o socios de negocio, también es para los empleados. Entonces sí es una de las finalidades y por lo tanto debe de cumplir la organización que es el responsable, es quien debe de cumplir la información. Y bueno, pues todos sus empleados, inclusive el médico. Y si es el caso de un consultorio médico, pues definitivamente sí tiene que, tiene datos de salud de sus clientes, de titulares y tiene que cumplir con todo, ¿estoy en lo correcto? Adriana Báez: Sí, sí, sí. De todos modos, ahorita en el receso, la persona

que hizo esta pregunta, si quiere más información lo podemos platicar. José García Sabbagh: Bueno, son todas las preguntas. ¿Hay algo más? Muchas gracias.

Moderador: Iríamos a un segundo receso de 15 minutos para continuar con este Foro Internacional Sobre Seguridad de Datos Personales.

- - -o0o- - -