recomendaciones en materia de seguridad de datos personales · 2013-12-09 · guía para...
TRANSCRIPT
Recomendaciones en materia de Seguridad de Datos Personales
2013-12-05
Manual en materia de Seguridad de Datos Personales para MIPYMES
Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales
Recomendaciones en materia de Seguridad de Datos Personales
Normativa
• LFPDPPP. Artículo 19.- Los responsables deben tener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales.
• Reglamento. Capítulo III.- De las medidas de
Seguridad en el Tratamiento de Datos Personales.
• Reglamento. Artículo 58.- El Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de sanciones.
¿Por qué nos debe interesar la seguridad de los
datos personales?
La protección de datos personales es un derecho fundamental.
Ayuda a prevenir y mitigar los efectos de una fuga o
mal uso de los datos personales.
Evitar pérdidas económicas debido a multas u otros daños y pérdida de clientes e inversionistas.
Habilita el comercio y aumenta la competitividad
debido a que mejora la confianza en consumidores e inversionistas.
Recomendaciones en materia de Seguridad de
Datos Personales
• Publicadas el 30 de Octubre en el Diario Oficial de la Federación.
• Marco de referencia respecto a las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales.
http://goo.gl/iIX7zB
Recomendación general
Para la seguridad de los datos personales, el IFAI RECOMIENDA la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).
Ciclo General del Sistema de Gestión de
Seguridad de Datos Personales
Guía para Implementar un Sistema de Gestión
de Seguridad de Datos Personales
• Estuvo a disposición para consulta pública hasta el 25 de octubre, en el sitio web del IFAI, en la sección de Protección de los datos personales -> Seguridad de los datos personales.
• Por el momento, se analizan los comentarios y observaciones que proceden para la mejora del documento, y presentar su versión final.
http://goo.gl/xF10Zk
Fase 1. Planear el SGSDP
Paso 1. Establecer el Alcance y los Objetivos
Se debe delimitar el contexto y el ámbito de aplicación, considerando:
Factores contractuales
Factores legales y regulatorios
Factores del modelo de negocio
Factores tecnológicos
Paso 2. Elaborar una Política de Gestión de
Datos Personales
Establecer el compromiso formal de la organización considerando:
Los principios de Protección de Datos de la Ley
Los deberes de seguridad y confidencialidad
El respeto a los derechos de los Titulares
El desarrollo del SGSDP
Las responsabilidades y rendición de cuentas de los involucrados
Paso 3. Establecer Funciones y Obligaciones de
Quienes Traten Datos Personales
Paso 4. Elaborar un Inventario de Datos
Personales
Categorías de datos personales según su riesgo
Datos con riesgo inherente bajo
Datos con riesgo inherente alto
Datos con riesgo inherente reforzado
Paso 5. Realizar el Análisis de Riesgos de los
Datos Personales
Criterios de impacto
Criterios de aceptación del riesgo
Valoración Respecto al Riesgo
Después de definir los criterios de evaluación del riesgo
Identificar Activos
Identificar Amenazas
Identificar Vulnerabilidades
Identificar Escenarios de Vulneración y sus Consecuencias
Identificar Escenarios de Vulneración y
Consecuencias
Paso 6. Identificación de las medidas de
Seguridad y Análisis de Brecha
Medidas de seguridad administrativas, técnica y físicas:
• Políticas del SGSDP
• Cumplimiento legal
• Estructura organizacional de la seguridad
• Clasificación y acceso de los activos
• Seguridad del personal
• Seguridad física y ambiental
• Gestión de comunicaciones y operaciones
• Control de acceso
• Desarrollo y mantenimiento de sistemas
• Vulneraciones de seguridad
Paso 6. Identificación de las medidas de
Seguridad y Análisis de Brecha
El análisis de brecha consiste en identificar:
Las medidas de seguridad existentes
Las medidas de seguridad existentes que operan correctamente
Las medidas de seguridad faltantes
Si existen nuevas medidas de seguridad que puedan remplazar a uno o más controles implementados actualmente
Fase 2. Implementar y Operar el SGSDP
Paso 7. Implementación de las Medidas de
Seguridad Aplicables a los Datos Personales
Cumplimiento cotidiano de medidas de seguridad:
Indicadores para el cambio en el contexto de la organización
Rendición de cuentas sobre el SGSDP
Cumplimiento de los establecido en las políticas
Aprobación de procedimientos donde se traten datos personales
Plan de Trabajo para la Implementación de las
Medidas de Seguridad Faltantes
Aceptación del Riesgo Residual y Comunicación
del Riesgo
El riesgo residual después de la aplicación de controles debe aceptarse si se alinea a los alcances y objetivos.
Debe existir siempre comunicación continua del estado del riesgo y del contexto en la organización.
Fase 3. Monitorear y Revisar el SGSDP
Paso 8. Revisiones y Auditoría
Revisión de los Factores de Riesgo
Nuevos activos y modificaciones necesarias
Actualización de amenazas y vulnerabilidades
Cambio en el impacto de los escenarios
Identificación de vulneraciones a la seguridad
Monitoreo y auditoría (interna y externa)
Vulneraciones a la Seguridad de la Información
Robo, extravió o copia no autorizada
Pérdida o destrucción no
autorizada
Uso o acceso no autorizado
Daño, la alteración o modificación no
autorizada
Vulneraciones
Procedimiento ante una vulneración
1. Identificación de la vulneración
2. Notificación de la vulneración
3. Remediación del incidente
Fase 4. Mejorar el SGSDP
Mejora Continua:
a) Acciones Correctivas
b) Acciones Preventivas
Capacitación:
a) Concienciación
b) Entrenamiento
c) Educación
Paso 9. Mejora Continua y Capacitación
Manual en materia de Seguridad de Datos
Personales para MIPYMES
• En proceso de elaboración. • Es difícil que una organización
dentro de la categoría de MIPYME implemente un programa de seguridad de la información impecable, pero se pueden implementar medidas de seguridad básicas para minimizar las vulneraciones a los datos personales y sistemas de tratamiento.
Manual en materia de Seguridad de Datos
Personales para MIPYMES
Las Recomendaciones y su Guía son de un alto valor y rigor técnico
Es prioritario proporcionar un documento adicional de fácil comprensión
Que permita evaluar e implementar medidas de seguridad, bajo los criterios de las Recomendaciones, a menor costo
Implementar el Sistema de Gestión de manera sencilla, a través de preguntas sobre el tratamiento de los datos personales
Planear
El Dr. Pérez obtiene datos personales de sus pacientes y quiere protegerlos contra vulneraciones como:
Que alguien mal intencionado destruya los archivos
El extravío de su equipo de cómputo
Que su asistente pierda una memoria USB con información de los pacientes y alguien más la use
Que alguien malintencionado modifique sus expedientes
Planear
Haciéndose preguntas sobre cómo trata los datos personales y sus medidas de seguridad, el Dr. Pérez identifica sus áreas de oportunidad.
Implementar y Operar
El Dr. Pérez elabora un plan de trabajo en función de su presupuesto y las áreas de oportunidad que identificó.
Comienza implementando medidas de seguridad basadas en comportamiento y mejora de las configuraciones.
Monitorear y Revisar
El Dr. Pérez se organiza para monitorear el cumplimiento cotidiano de sus medidas de seguridad.
Cada cierto tiempo se vuelve a cuestionar sobre el uso que da a los datos y sobre sus medidas de seguridad.
Mejorar
El Dr. Pérez se da cuenta que va madurando en el uso de los datos personales y se compromete a mejorar los controles respecto a la seguridad.
Estándares Internacionales
El IFAI recomienda la consulta de los siguientes estándares internacionales:
BS 10012:2009 Data protection – Specification for a
personal information management system
ISO/IEC 27001:2013, Information Technology–Security
techniques–Information security management systems –
Requirements.
ISO/IEC 27002:2013, Information Technology – Security
techniques – Code of practice for security management.
ISO/IEC 27005:2008, Information Technology–Security
techniques– Information security risk management.
Estándares Internacionales
ISO/IEC 29100:2011 Information technology – Security
techniques – Privacy framework
ISO 31000:2009, Risk management – Principles and
guidelines
ISO GUIDE 72, Guidelines for the justification and
development of management systems standards
ISO GUIDE 73, Risk management – Vocabulary
ISO 9000:2005, Quality management systems -
Fundamentals and vocabulary
NIST SP 800-14 Generally Accepted Principles and
Practices for Securing Information Technology Systems
OECD Guidelines for the Security of Information Systems
and Networks – Towards a Culture of Security.
