SlideShare une entreprise Scribd logo

Protección de datos personales y la seguridad apa public2

Pablo Corona
Pablo Corona

Este documento habla sobre las infracciones y sanciones relacionadas con la protección de datos personales en México. Explica los tipos de infracciones como negligencia, uso indebido de datos o transferencia de datos sin consentimiento, y las sanciones correspondientes que van desde apercibimientos hasta multas de hasta 320,000 pesos. También menciona los delitos como recabar datos de forma engañosa y las penas de prisión asociadas. Por último, detalla los factores que el IFAI considera al determinar sanciones como la naturaleza de los datos, la

1  sur  28
Télécharger pour lire hors ligne
Protección de datos personales, ¿y la seguridad ‘apa?
Infracciones y sanciones 200-320mil DSMGVDF • Incumplimiento de deber de 100-160mil DSMGVDF confidencialidad • Uso desapegado a la finalidad marcada • Negligencia o dolo en trámites en Aviso ARCO • Transferir datos sin comunicar aviso de Apercibimiento • Declarar dolosamente privacidad Delitos: • Vulneración a la seguridad inexistencia • Transferir sin consentimiento del titular • Incumplimiento de principios • Obstruir verificación de autoridad de Ley • Transferencia o cesión en contra de Ley • 3 meses a 3 años de • Recabar datos en forma engañosa o prisión – con ánimo Incumplir solicitudes ARCO • Omisiones en aviso de fraudulenta privacidad • Uso ilegítimo de datos en caso de de lucro, vulnerar • Datos inexactos solicitud de cese • Incumplimiento de • Impedir ejercicio derechos ARCO seguridad a bases de • No justificar tratamiento de datos apercibimiento sensibles datos • 6 meses a 5 años de prisión – con ánimo Las sanciones pueden de lucro indebido, duplicarse en caso de El IFAI considerará: tratar datos Naturaleza del dato (sensibles, financieros y patrimoniales) personales mediante Reincidencia Negativa injustificada del Responsable a engaño o error solicitudes del Titular Datos Intencionalidad en la infracción Sensibles Capacidad económica Reincidencia LFPDPPP Capítulo X y XI Artículo 63 al 69
Definiciones Medida de Dato Personal Titular Encargado seguridad Dato Personal Responsable Remisión Tratamiento Sensible Aviso de Transferencia Derechos ARCO Seguridad Privacidad
Datos Personales Es cualquier información relacionada con el Titular, por ejemplo, tu nombre, teléfono, domicilio, fotografía o huellas dactilares, así como cualquier otro dato que pueda servir para identificarte. Este tipo de datos te permiten además, interactuar con otras personas, o con una o más organizaciones, así como que puedas ser sujeto de derechos.
¿Qué hay que hacer? Cultura Empresarial Aviso de Tratamiento de Datos Privacidad Personales Responsabilidad Derechos ARCO Seguridad de los Consentimiento Datos Personales
Derechos arco Acceso Rectificación Cancelación Oposición
Principios Licitud Consentimiento Información Calidad Finalidad Lealtad Proporcionalidad Responsabilidad
Datos Titular ARCO Datos Finalidad Tratamiento Consentimiento Quién tiene acceso ¿Qué voy a hacer Identificar ¿Para qué? Evidencia Internos Externos con ellos?
Aviso de privacidad Finalidades Tratamientos Transferencias
¿Cómo se recaba el consentimiento? Consentimiento Tácito Expreso Financieros y Sensibles Patrimoniales
Cómputo en la nube CRM Email Masivo Servicios en la nube Servicios de escritorio Bases de datos Otros servicios
Análisis de riesgos asociados a los Datos Personales Medio Alto “considerar el valor para el Bajo Medio posible atacante y el riesgo para el titular”
Violaciones la privacidad Robo, extravió o copia Pérdida o destrucción no autorizada no autorizada Reglamento LFPDPPP Artículo 63. Vulneraciones Uso, acceso o Daño, la alteración o tratamiento no modificación no autorizado autorizada
Involucrados RH MKT Sistemas Legal “involucrar a todas las áreas que manejen los datos”
Documento de seguridad VI. Elaborar un plan de trabajo I. Elaborar un inventario de datos para la implementación de las VII. Llevar a cabo revisiones o personales y de los sistemas de medidas de seguridad faltantes, auditorías; tratamiento; derivadas del análisis de brecha; Reglamento LFPDPPP Artículo 61 V. Realizar el análisis de brecha II. Determinar las funciones y (diferencia de las medidas de seguridad VIII. Capacitar al personal que obligaciones de las personas que existentes y aquéllas faltantes que efectúe el tratamiento, y traten datos personales; resultan necesarias para la protección de los datos personales;) III. Contar con un análisis de IV. Establecer las medidas de riesgos de datos personales que seguridad aplicables a los datos IX. Realizar un registro de los consiste en identificar peligros y personales e identificar aquéllas medios de almacenamiento de los estimar los riesgos a los datos implementadas de manera datos personales. personales; efectiva;
Fechas importantes Entrada en vigor Designación del departamento de datos Aprobación del 6 de Julio 2010 personales y publicación reglamento del aviso de privacidad 21 Diciembre 2011 6 de Julio 2011 Ejercicio de los Cumplimiento de IFAI recibe Procedimientos de derechos ARCO lo establecido por protección de derechos el capítulo III 6 de Enero 2012 6 de enero de 2012 6 de juliode 2013
NMX-I-27001-NYCE:2009 ISO/IEC 27002:2005. Dominios (11), Objetivos de control (39) y Controles (133) 5. POLÍTICA DE SEGURIDAD. 10.2 Gestión de la provisión de servicios por terceros. 11.5 Control de acceso al sistema operativo. 5.1 Política de seguridad de la información. 10.2.1 Provisión de servicios. 11.5.1 Procedimientos seguros de inicio de sesión. 5.1.1 Documento de política de seguridad de la información. 11.5.2 Identificación y autenticación de usuario. 10.2.2 Supervisión y revisión de los servicios prestados por terceros. 5.1.2 Revisión de la política de seguridad de la información. 11.5.3 Sistema de gestión de contraseñas. 10.2.3 Gestión del cambio en los servicios prestados por terceros. 11.5.4 Uso de los recursos del sistema. 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC. 10.3 Planificación y aceptación del sistema. 11.5.5 Desconexión automática de sesión. 6.1 Organización interna. 10.3.1 Gestión de capacidades. 11.5.6 Limitación del tiempo de conexión. 6.1.1 Compromiso de la Dirección con la seguridad de la información. 10.3.2 Aceptación del sistema. 11.6 Control de acceso a las aplicaciones y a la información. 6.1.2 Coordinación de la seguridad de la información. 10.4 Protección contra el código malicioso y descargable. 11.6.1 Restricción del acceso a la información. 6.1.3 Asignación de responsabilidades relativas a la seg. de la informac. 11.6.2 Aislamiento de sistemas sensibles. 6.1.4 Proceso de autorización de recursos para el tratamiento de la información. 10.4.1 Controles contra el código malicioso. 11.7 Ordenadores portátiles y teletrabajo. 6.1.5 Acuerdos de confidencialidad. 10.4.2 Controles contra el código descargado en el cliente. 11.7.1 Ordenadores portátiles y comunicaciones móviles. 6.1.6 Contacto con las autoridades. 10.5 Copias de seguridad. 11.7.2 Teletrabajo. 6.1.7 Contacto con grupos de especial interés. 10.5.1 Copias de seguridad de la información. 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN. 6.1.8 Revisión independiente de la seguridad de la información. 10.6 Gestión de la seguridad de las redes. 12.1 Requisitos de seguridad de los sistemas de información. 6.2 Terceros. 10.6.1 Controles de red. 12.1.1 Análisis y especificación de los requisitos de seguridad. 6.2.1 Identificación de los riesgos derivados del acceso de terceros. 10.6.2 Seguridad de los servicios de red. 12.2 Tratamiento correcto de las aplicaciones. 6.2.2 Tratamiento de la seguridad en la relación con los clientes. 12.2.1 Validación de los datos de entrada. 10.7 Manipulación de los soportes. 6.2.3 Tratamiento de la seguridad en contratos con terceros. 12.2.2 Control del procesamiento interno. 10.7.1 Gestión de soportes extraíbles. 12.2.3 Integridad de los mensajes. 7. GESTIÓN DE ACTIVOS. 10.7.2 Retirada de soportes. 12.2.4 Validación de los datos de salida. 7.1 Responsabilidad sobre los activos. 7.1.1 Inventario de activos. 10.7.3 Procedimientos de manipulación de la información. 12.3 Controles criptográficos. 10.7.4 Seguridad de la documentación del sistema. 12.3.1 Política de uso de los controles criptográficos. 7.1.2 Propiedad de los activos. 10.8 Intercambio de información. 12.3.2 Gestión de claves. 7.1.3 Uso aceptable de los activos. 12.4 Seguridad de los archivos de sistema. 7.2 Clasificación de la información. 10.8.1 Políticas y procedimientos de intercambio de información. 12.4.1 Control del software en explotación. 7.2.1 Directrices de clasificación. 10.8.2 Acuerdos de intercambio. 12.4.2 Protección de los datos de prueba del sistema. 7.2.2 Etiquetado y manipulado de la información. 10.8.3 Soportes físicos en tránsito. 12.4.3 Control de acceso al código fuente de los programas. 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 10.8.4 Mensajería electrónica. 12.5 Seguridad en los procesos de desarrollo y soporte. 8.1 Antes del empleo. 10.8.5 Sistemas de información empresariales. 12.5.1 Procedimientos de control de cambios. 8.1.1 Funciones y responsabilidades. 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo. 10.9 Servicios de comercio electrónico. 8.1.2 Investigación de antecedentes. 12.5.3 Restricciones a los cambios en los paquetes de software. 10.9.1 Comercio electrónico. 8.1.3 Términos y condiciones de contratación. 12.5.4 Fugas de información. 10.9.2 Transacciones en línea. 8.2 Durante el empleo. 12.5.5 Externalización del desarrollo de software. 10.9.3 Información públicamente disponible. 12.6 Gestión de la vulnerabilidad técnica. 8.2.1 Responsabilidades de la Dirección. 8.2.2 Concienciación, formación y capacitación en seg. de la informac. 10.10 Supervisión. 12.6.1 Control de las vulnerabilidades técnicas. 8.2.3 Proceso disciplinario. 10.10.1 Registros de auditoría. 13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN. 8.3 Cese del empleo o cambio de puesto de trabajo. 10.10.2 Supervisión del uso del sistema. 13.1 Notificación de eventos y puntos débiles de seguridad de la información. 10.10.3 Protección de la información de los registros. 13.1.1 Notificación de los eventos de seguridad de la información. 8.3.1 Responsabilidad del cese o cambio. 13.1.2 Notificación de puntos débiles de seguridad. 8.3.2 Devolución de activos. 10.10.4 Registros de administración y operación. 13.2 Gestión de incidentes y mejoras de seguridad de la información. 8.3.3 Retirada de los derechos de acceso. 10.10.5 Registro de fallos. 13.2.1 Responsabilidades y procedimientos. 9. SEGURIDAD FÍSICA Y DEL ENTORNO. 10.10.6 Sincronización del reloj. 13.2.2 Aprendizaje de los incidentes de seguridad de la información. 9.1 Áreas seguras. 11. CONTROL DE ACCESO. 13.2.3 Recopilación de evidencias. 9.1.1 Perímetro de seguridad física. 14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO. 11.1 Requisitos de negocio para el control de acceso. 9.1.2 Controles físicos de entrada. 14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio. 11.1.1 Política de control de acceso. 9.1.3 Seguridad de oficinas, despachos e instalaciones. 14.1.1 Inclusión de la seg. de la inf. en el proceso de gestión de la continuidad del negocio. 11.2 Gestión de acceso de usuario. 9.1.4 Protección contra las amenazas externas y de origen ambiental. 14.1.2 Continuidad del negocio y evaluación de riesgos. 9.1.5 Trabajo en áreas seguras. 11.2.1 Registro de usuario. 14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seg. de la inf. 9.1.6 Áreas de acceso público y de carga y descarga. 11.2.2 Gestión de privilegios. 14.1.4 Marco de referencia para la planificación de la cont. del negocio. 9.2 Seguridad de los equipos. 11.2.3 Gestión de contraseñas de usuario. 14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad. 9.2.1 Emplazamiento y protección de equipos. 11.2.4 Revisión de los derechos de acceso de usuario. 15. CUMPLIMIENTO. 9.2.2 Instalaciones de suministro. 11.3 Responsabilidades de usuario. 15.1 Cumplimiento de los requisitos legales. 9.2.3 Seguridad del cableado. 15.1.1 Identificación de la legislación aplicable. 11.3.1 Uso de contraseñas. 9.2.4 Mantenimiento de los equipos. 15.1.2 Derechos de propiedad intelectual (DPI). 11.3.2 Equipo de usuario desatendido. 15.1.3 Protección de los documentos de la organización. 9.2.5 Seguridad de los equipos fuera de las instalaciones. 11.3.3 Política de puesto de trabajo despejado y pantalla limpia. 15.1.4 Protección de datos y privacidad de la información de carácter personal. 9.2.6 Reutilización o retirada segura de equipos. 11.4 Control de acceso a la red. 15.1.5 Prevención del uso indebido de recursos de tratamiento de la información. 9.2.7 Retirada de materiales propiedad de la empresa. 11.4.1 Política de uso de los servicios en red. 15.1.6 Regulación de los controles criptográficos. 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES. 11.4.2 Autenticación de usuario para conexiones externas. 15.2 Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico. 10.1 Responsabilidades y procedimientos de operación. 15.2.1 Cumplimiento de las políticas y normas de seguridad. 10.1.1 Documentación de los procedimientos de operación. 11.4.3 Identificación de los equipos en las redes. 15.2.2 Comprobación del cumplimiento técnico. 10.1.2 Gestión de cambios. 11.4.4 Protección de los puertos de diagnóstico y configuración remotos. 15.3 Consideraciones sobre las auditorías de los sistem. de información. 10.1.3 Segregación de tareas. 11.4.5 Segregación de las redes. 15.3.1 Controles de auditoría de los sistemas de información. 10.1.4 Separación de los recursos de desarrollo, prueba y operación. 11.4.6 Control de la conexión a la red. 15.3.2 Protección de las herramientas de auditoría de los sist. de inform. 11.4.7 Control de encaminamiento (routing) de red.
Controles Administrativos, Físicos y Tecnológicos 5. POLÍTICA DE SEGURIDAD. 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC. 7. GESTIÓN DE ACTIVOS. 11. CONTROL DE ACCESO. 15. CUMPLIMIENTO. 8. SEGURIDAD LIGADA A LOS 9. SEGURIDAD FÍSICA Y DEL RECURSOS HUMANOS. ENTORNO. 12. ADQUISICIÓN, 10. GESTIÓN DE 13. GESTIÓN DE INCIDENTES DESARROLLO Y 14. GESTIÓN DE LA COMUNICACIONES Y EN LA SEGURIDAD DE LA MANTENIMIENTO DE CONTINUIDAD DEL NEGOCIO. OPERACIONES. INFORMACIÓN. SISTEMAS DE INFORMACIÓN.
…exista un política de seguridad Jefe ya redakte politica, firme aprobada y revisada por la ‘pa la auditoría dirección
…existan procedimientos documentados que definan la operación y registros de las actividades realizadas
…realizar un análisis de riesgos para clasificarlos y definir su tratamiento Social engineering O-days Pen Testing
… que existan controles de seguridad física en los equipos y en las áreas críticas
… implementar acciones para contrarrestar código malicioso y atacantes externos
… los medios de almacenamiento deben ser retirados o reasignados de forma A la vodga segura para evitar que se tenga acceso a la información
… establecer políticas para el uso y No tenemos acceso a la red corporativa desde fuera ekipo de las instalaciones y para el equipo portátil portátil VPN’s Cifrado de discos duros
…revisar el cumplimiento de la regulación aplicable y definir el contacto con autoridades Puny cop
Contacto : Pablo Corona Fraga pcoronaf@nyce.org.mx @pcoronaf Ilustraciones by @El0bal

Recommandé

Piratas Que Operan Como Empresas
Piratas Que Operan Como EmpresasPiratas Que Operan Como Empresas
Piratas Que Operan Como Empresas
UNA
 
Importancia de los esquemas de autorregulación PDP
Importancia de los esquemas de autorregulación PDPImportancia de los esquemas de autorregulación PDP
Importancia de los esquemas de autorregulación PDP
NYCE
 
Certificación de Protección de Datos Prsonales
Certificación de Protección de Datos PrsonalesCertificación de Protección de Datos Prsonales
Certificación de Protección de Datos Prsonales
Pablo Corona
 
Protección de datos
Protección de datosProtección de datos
Protección de datos
Thomas Marino
 
Ley Federal de Protección de Datos Personales en Posesión de Particulares: co...
Ley Federal de Protección de Datos Personales en Posesión de Particulares: co...Ley Federal de Protección de Datos Personales en Posesión de Particulares: co...
Ley Federal de Protección de Datos Personales en Posesión de Particulares: co...
AMIPCI
 
12 pasos para la protección de los datos personales
12 pasos para la protección de los datos personales12 pasos para la protección de los datos personales
12 pasos para la protección de los datos personales
Miriam J. Espinosa
 
Certificación en Protección de Datos Personales
Certificación en Protección de Datos PersonalesCertificación en Protección de Datos Personales
Certificación en Protección de Datos Personales
Miriam J. Espinosa
 
[WEBINAR] Cumplimiento de la Ley Federal de Protección de Datos.
[WEBINAR] Cumplimiento de la Ley Federal de Protección de Datos.[WEBINAR] Cumplimiento de la Ley Federal de Protección de Datos.
[WEBINAR] Cumplimiento de la Ley Federal de Protección de Datos.
Grupo Smartekh
 

Recommandé

Piratas Que Operan Como Empresas
Piratas Que Operan Como EmpresasPiratas Que Operan Como Empresas
Piratas Que Operan Como Empresas
UNA
 
Importancia de los esquemas de autorregulación PDP
Importancia de los esquemas de autorregulación PDPImportancia de los esquemas de autorregulación PDP
Importancia de los esquemas de autorregulación PDP
NYCE
 
Certificación de Protección de Datos Prsonales
Certificación de Protección de Datos PrsonalesCertificación de Protección de Datos Prsonales
Certificación de Protección de Datos Prsonales
Pablo Corona
 
Protección de datos
Protección de datosProtección de datos
Protección de datos
Thomas Marino
 
Ley Federal de Protección de Datos Personales en Posesión de Particulares: co...
Ley Federal de Protección de Datos Personales en Posesión de Particulares: co...Ley Federal de Protección de Datos Personales en Posesión de Particulares: co...
Ley Federal de Protección de Datos Personales en Posesión de Particulares: co...
AMIPCI
 
12 pasos para la protección de los datos personales
12 pasos para la protección de los datos personales12 pasos para la protección de los datos personales
12 pasos para la protección de los datos personales
Miriam J. Espinosa
 
Certificación en Protección de Datos Personales
Certificación en Protección de Datos PersonalesCertificación en Protección de Datos Personales
Certificación en Protección de Datos Personales
Miriam J. Espinosa
 
[WEBINAR] Cumplimiento de la Ley Federal de Protección de Datos.
[WEBINAR] Cumplimiento de la Ley Federal de Protección de Datos.[WEBINAR] Cumplimiento de la Ley Federal de Protección de Datos.
[WEBINAR] Cumplimiento de la Ley Federal de Protección de Datos.
Grupo Smartekh
 
Promiscuidad datos, Outsourcing e impacto en LFPDPPP
Promiscuidad datos, Outsourcing e impacto en LFPDPPPPromiscuidad datos, Outsourcing e impacto en LFPDPPP
Promiscuidad datos, Outsourcing e impacto en LFPDPPP
Alberto Ramirez Ayon
 
Informática Forense a Base de Datos
Informática Forense a Base de DatosInformática Forense a Base de Datos
Informática Forense a Base de Datos
Hacking Bolivia
 
Tratamiento de datos personales: Aspectos Básicos (Regulación)
Tratamiento de datos personales: Aspectos Básicos (Regulación)Tratamiento de datos personales: Aspectos Básicos (Regulación)
Tratamiento de datos personales: Aspectos Básicos (Regulación)
Maite Vizcarra
 
Protección de Datos Personales para la industria, comercio y servicios
Protección de Datos Personales para la industria, comercio y serviciosProtección de Datos Personales para la industria, comercio y servicios
Protección de Datos Personales para la industria, comercio y servicios
NYCE
 
Ley federal de proteccion de datos personales
Ley federal de proteccion de datos personalesLey federal de proteccion de datos personales
Ley federal de proteccion de datos personales
Juan Carlos Carrillo
 
Promiscuidad datos v4.0
Promiscuidad datos v4.0Promiscuidad datos v4.0
Promiscuidad datos v4.0
Alberto Ramirez Ayon
 
Recomendaciones Menores 2008
Recomendaciones Menores 2008Recomendaciones Menores 2008
Recomendaciones Menores 2008
Guadalinfo Rus
 
Recomendaciones menores tic(2)
Recomendaciones menores tic(2)Recomendaciones menores tic(2)
Recomendaciones menores tic(2)
dani71
 
Protección de datos de carácter personal
Protección de datos de carácter personalProtección de datos de carácter personal
Protección de datos de carácter personal
AGM Abogados
 
Seguridad de la información v1.4
Seguridad de la información v1.4Seguridad de la información v1.4
Seguridad de la información v1.4
Gabriel Muñoz
 

Contenu connexe

Similaire à Protección de datos personales y la seguridad apa public2

Promiscuidad datos, Outsourcing e impacto en LFPDPPP
Promiscuidad datos, Outsourcing e impacto en LFPDPPPPromiscuidad datos, Outsourcing e impacto en LFPDPPP
Promiscuidad datos, Outsourcing e impacto en LFPDPPP
Alberto Ramirez Ayon
 
Recomendaciones menores tic(2)
Recomendaciones menores tic(2)Recomendaciones menores tic(2)
Recomendaciones menores tic(2)
dani71
 
Protección de datos de carácter personal
Protección de datos de carácter personalProtección de datos de carácter personal
Protección de datos de carácter personal
AGM Abogados
 
Seguridad de la información v1.4
Seguridad de la información v1.4Seguridad de la información v1.4
Seguridad de la información v1.4
Gabriel Muñoz
 

Similaire à Protección de datos personales y la seguridad apa public2 (10)

Promiscuidad datos, Outsourcing e impacto en LFPDPPP
Promiscuidad datos, Outsourcing e impacto en LFPDPPPPromiscuidad datos, Outsourcing e impacto en LFPDPPP
Promiscuidad datos, Outsourcing e impacto en LFPDPPP
 
Informática Forense a Base de Datos
Informática Forense a Base de DatosInformática Forense a Base de Datos
Informática Forense a Base de Datos
 
Tratamiento de datos personales: Aspectos Básicos (Regulación)
Tratamiento de datos personales: Aspectos Básicos (Regulación)Tratamiento de datos personales: Aspectos Básicos (Regulación)
Tratamiento de datos personales: Aspectos Básicos (Regulación)
 
Protección de Datos Personales para la industria, comercio y servicios
Protección de Datos Personales para la industria, comercio y serviciosProtección de Datos Personales para la industria, comercio y servicios
Protección de Datos Personales para la industria, comercio y servicios
 
Ley federal de proteccion de datos personales
Ley federal de proteccion de datos personalesLey federal de proteccion de datos personales
Ley federal de proteccion de datos personales
 
Promiscuidad datos v4.0
Promiscuidad datos v4.0Promiscuidad datos v4.0
Promiscuidad datos v4.0
 
Recomendaciones Menores 2008
Recomendaciones Menores 2008Recomendaciones Menores 2008
Recomendaciones Menores 2008
 
Recomendaciones menores tic(2)
Recomendaciones menores tic(2)Recomendaciones menores tic(2)
Recomendaciones menores tic(2)
 
Protección de datos de carácter personal
Protección de datos de carácter personalProtección de datos de carácter personal
Protección de datos de carácter personal
 
Seguridad de la información v1.4
Seguridad de la información v1.4Seguridad de la información v1.4
Seguridad de la información v1.4
 

Protección de datos personales y la seguridad apa public2

  • 1. Protección de datos personales, ¿y la seguridad ‘apa?
  • 2. Infracciones y sanciones 200-320mil DSMGVDF • Incumplimiento de deber de 100-160mil DSMGVDF confidencialidad • Uso desapegado a la finalidad marcada • Negligencia o dolo en trámites en Aviso ARCO • Transferir datos sin comunicar aviso de Apercibimiento • Declarar dolosamente privacidad Delitos: • Vulneración a la seguridad inexistencia • Transferir sin consentimiento del titular • Incumplimiento de principios • Obstruir verificación de autoridad de Ley • Transferencia o cesión en contra de Ley • 3 meses a 3 años de • Recabar datos en forma engañosa o prisión – con ánimo Incumplir solicitudes ARCO • Omisiones en aviso de fraudulenta privacidad • Uso ilegítimo de datos en caso de de lucro, vulnerar • Datos inexactos solicitud de cese • Incumplimiento de • Impedir ejercicio derechos ARCO seguridad a bases de • No justificar tratamiento de datos apercibimiento sensibles datos • 6 meses a 5 años de prisión – con ánimo Las sanciones pueden de lucro indebido, duplicarse en caso de El IFAI considerará: tratar datos Naturaleza del dato (sensibles, financieros y patrimoniales) personales mediante Reincidencia Negativa injustificada del Responsable a engaño o error solicitudes del Titular Datos Intencionalidad en la infracción Sensibles Capacidad económica Reincidencia LFPDPPP Capítulo X y XI Artículo 63 al 69
  • 3. Definiciones Medida de Dato Personal Titular Encargado seguridad Dato Personal Responsable Remisión Tratamiento Sensible Aviso de Transferencia Derechos ARCO Seguridad Privacidad
  • 4. Datos Personales Es cualquier información relacionada con el Titular, por ejemplo, tu nombre, teléfono, domicilio, fotografía o huellas dactilares, así como cualquier otro dato que pueda servir para identificarte. Este tipo de datos te permiten además, interactuar con otras personas, o con una o más organizaciones, así como que puedas ser sujeto de derechos.
  • 5. ¿Qué hay que hacer? Cultura Empresarial Aviso de Tratamiento de Datos Privacidad Personales Responsabilidad Derechos ARCO Seguridad de los Consentimiento Datos Personales
  • 6. Derechos arco Acceso Rectificación Cancelación Oposición
  • 7. Principios Licitud Consentimiento Información Calidad Finalidad Lealtad Proporcionalidad Responsabilidad
  • 8. Datos Titular ARCO Datos Finalidad Tratamiento Consentimiento Quién tiene acceso ¿Qué voy a hacer Identificar ¿Para qué? Evidencia Internos Externos con ellos?
  • 9. Aviso de privacidad Finalidades Tratamientos Transferencias
  • 10. ¿Cómo se recaba el consentimiento? Consentimiento Tácito Expreso Financieros y Sensibles Patrimoniales
  • 11. Cómputo en la nube CRM Email Masivo Servicios en la nube Servicios de escritorio Bases de datos Otros servicios
  • 12. Análisis de riesgos asociados a los Datos Personales Medio Alto “considerar el valor para el Bajo Medio posible atacante y el riesgo para el titular”
  • 13. Violaciones la privacidad Robo, extravió o copia Pérdida o destrucción no autorizada no autorizada Reglamento LFPDPPP Artículo 63. Vulneraciones Uso, acceso o Daño, la alteración o tratamiento no modificación no autorizado autorizada
  • 14. Involucrados RH MKT Sistemas Legal “involucrar a todas las áreas que manejen los datos”
  • 15. Documento de seguridad VI. Elaborar un plan de trabajo I. Elaborar un inventario de datos para la implementación de las VII. Llevar a cabo revisiones o personales y de los sistemas de medidas de seguridad faltantes, auditorías; tratamiento; derivadas del análisis de brecha; Reglamento LFPDPPP Artículo 61 V. Realizar el análisis de brecha II. Determinar las funciones y (diferencia de las medidas de seguridad VIII. Capacitar al personal que obligaciones de las personas que existentes y aquéllas faltantes que efectúe el tratamiento, y traten datos personales; resultan necesarias para la protección de los datos personales;) III. Contar con un análisis de IV. Establecer las medidas de riesgos de datos personales que seguridad aplicables a los datos IX. Realizar un registro de los consiste en identificar peligros y personales e identificar aquéllas medios de almacenamiento de los estimar los riesgos a los datos implementadas de manera datos personales. personales; efectiva;
  • 16. Fechas importantes Entrada en vigor Designación del departamento de datos Aprobación del 6 de Julio 2010 personales y publicación reglamento del aviso de privacidad 21 Diciembre 2011 6 de Julio 2011 Ejercicio de los Cumplimiento de IFAI recibe Procedimientos de derechos ARCO lo establecido por protección de derechos el capítulo III 6 de Enero 2012 6 de enero de 2012 6 de juliode 2013
  • 17. NMX-I-27001-NYCE:2009 ISO/IEC 27002:2005. Dominios (11), Objetivos de control (39) y Controles (133) 5. POLÍTICA DE SEGURIDAD. 10.2 Gestión de la provisión de servicios por terceros. 11.5 Control de acceso al sistema operativo. 5.1 Política de seguridad de la información. 10.2.1 Provisión de servicios. 11.5.1 Procedimientos seguros de inicio de sesión. 5.1.1 Documento de política de seguridad de la información. 11.5.2 Identificación y autenticación de usuario. 10.2.2 Supervisión y revisión de los servicios prestados por terceros. 5.1.2 Revisión de la política de seguridad de la información. 11.5.3 Sistema de gestión de contraseñas. 10.2.3 Gestión del cambio en los servicios prestados por terceros. 11.5.4 Uso de los recursos del sistema. 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC. 10.3 Planificación y aceptación del sistema. 11.5.5 Desconexión automática de sesión. 6.1 Organización interna. 10.3.1 Gestión de capacidades. 11.5.6 Limitación del tiempo de conexión. 6.1.1 Compromiso de la Dirección con la seguridad de la información. 10.3.2 Aceptación del sistema. 11.6 Control de acceso a las aplicaciones y a la información. 6.1.2 Coordinación de la seguridad de la información. 10.4 Protección contra el código malicioso y descargable. 11.6.1 Restricción del acceso a la información. 6.1.3 Asignación de responsabilidades relativas a la seg. de la informac. 11.6.2 Aislamiento de sistemas sensibles. 6.1.4 Proceso de autorización de recursos para el tratamiento de la información. 10.4.1 Controles contra el código malicioso. 11.7 Ordenadores portátiles y teletrabajo. 6.1.5 Acuerdos de confidencialidad. 10.4.2 Controles contra el código descargado en el cliente. 11.7.1 Ordenadores portátiles y comunicaciones móviles. 6.1.6 Contacto con las autoridades. 10.5 Copias de seguridad. 11.7.2 Teletrabajo. 6.1.7 Contacto con grupos de especial interés. 10.5.1 Copias de seguridad de la información. 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN. 6.1.8 Revisión independiente de la seguridad de la información. 10.6 Gestión de la seguridad de las redes. 12.1 Requisitos de seguridad de los sistemas de información. 6.2 Terceros. 10.6.1 Controles de red. 12.1.1 Análisis y especificación de los requisitos de seguridad. 6.2.1 Identificación de los riesgos derivados del acceso de terceros. 10.6.2 Seguridad de los servicios de red. 12.2 Tratamiento correcto de las aplicaciones. 6.2.2 Tratamiento de la seguridad en la relación con los clientes. 12.2.1 Validación de los datos de entrada. 10.7 Manipulación de los soportes. 6.2.3 Tratamiento de la seguridad en contratos con terceros. 12.2.2 Control del procesamiento interno. 10.7.1 Gestión de soportes extraíbles. 12.2.3 Integridad de los mensajes. 7. GESTIÓN DE ACTIVOS. 10.7.2 Retirada de soportes. 12.2.4 Validación de los datos de salida. 7.1 Responsabilidad sobre los activos. 7.1.1 Inventario de activos. 10.7.3 Procedimientos de manipulación de la información. 12.3 Controles criptográficos. 10.7.4 Seguridad de la documentación del sistema. 12.3.1 Política de uso de los controles criptográficos. 7.1.2 Propiedad de los activos. 10.8 Intercambio de información. 12.3.2 Gestión de claves. 7.1.3 Uso aceptable de los activos. 12.4 Seguridad de los archivos de sistema. 7.2 Clasificación de la información. 10.8.1 Políticas y procedimientos de intercambio de información. 12.4.1 Control del software en explotación. 7.2.1 Directrices de clasificación. 10.8.2 Acuerdos de intercambio. 12.4.2 Protección de los datos de prueba del sistema. 7.2.2 Etiquetado y manipulado de la información. 10.8.3 Soportes físicos en tránsito. 12.4.3 Control de acceso al código fuente de los programas. 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 10.8.4 Mensajería electrónica. 12.5 Seguridad en los procesos de desarrollo y soporte. 8.1 Antes del empleo. 10.8.5 Sistemas de información empresariales. 12.5.1 Procedimientos de control de cambios. 8.1.1 Funciones y responsabilidades. 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo. 10.9 Servicios de comercio electrónico. 8.1.2 Investigación de antecedentes. 12.5.3 Restricciones a los cambios en los paquetes de software. 10.9.1 Comercio electrónico. 8.1.3 Términos y condiciones de contratación. 12.5.4 Fugas de información. 10.9.2 Transacciones en línea. 8.2 Durante el empleo. 12.5.5 Externalización del desarrollo de software. 10.9.3 Información públicamente disponible. 12.6 Gestión de la vulnerabilidad técnica. 8.2.1 Responsabilidades de la Dirección. 8.2.2 Concienciación, formación y capacitación en seg. de la informac. 10.10 Supervisión. 12.6.1 Control de las vulnerabilidades técnicas. 8.2.3 Proceso disciplinario. 10.10.1 Registros de auditoría. 13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN. 8.3 Cese del empleo o cambio de puesto de trabajo. 10.10.2 Supervisión del uso del sistema. 13.1 Notificación de eventos y puntos débiles de seguridad de la información. 10.10.3 Protección de la información de los registros. 13.1.1 Notificación de los eventos de seguridad de la información. 8.3.1 Responsabilidad del cese o cambio. 13.1.2 Notificación de puntos débiles de seguridad. 8.3.2 Devolución de activos. 10.10.4 Registros de administración y operación. 13.2 Gestión de incidentes y mejoras de seguridad de la información. 8.3.3 Retirada de los derechos de acceso. 10.10.5 Registro de fallos. 13.2.1 Responsabilidades y procedimientos. 9. SEGURIDAD FÍSICA Y DEL ENTORNO. 10.10.6 Sincronización del reloj. 13.2.2 Aprendizaje de los incidentes de seguridad de la información. 9.1 Áreas seguras. 11. CONTROL DE ACCESO. 13.2.3 Recopilación de evidencias. 9.1.1 Perímetro de seguridad física. 14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO. 11.1 Requisitos de negocio para el control de acceso. 9.1.2 Controles físicos de entrada. 14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio. 11.1.1 Política de control de acceso. 9.1.3 Seguridad de oficinas, despachos e instalaciones. 14.1.1 Inclusión de la seg. de la inf. en el proceso de gestión de la continuidad del negocio. 11.2 Gestión de acceso de usuario. 9.1.4 Protección contra las amenazas externas y de origen ambiental. 14.1.2 Continuidad del negocio y evaluación de riesgos. 9.1.5 Trabajo en áreas seguras. 11.2.1 Registro de usuario. 14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seg. de la inf. 9.1.6 Áreas de acceso público y de carga y descarga. 11.2.2 Gestión de privilegios. 14.1.4 Marco de referencia para la planificación de la cont. del negocio. 9.2 Seguridad de los equipos. 11.2.3 Gestión de contraseñas de usuario. 14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad. 9.2.1 Emplazamiento y protección de equipos. 11.2.4 Revisión de los derechos de acceso de usuario. 15. CUMPLIMIENTO. 9.2.2 Instalaciones de suministro. 11.3 Responsabilidades de usuario. 15.1 Cumplimiento de los requisitos legales. 9.2.3 Seguridad del cableado. 15.1.1 Identificación de la legislación aplicable. 11.3.1 Uso de contraseñas. 9.2.4 Mantenimiento de los equipos. 15.1.2 Derechos de propiedad intelectual (DPI). 11.3.2 Equipo de usuario desatendido. 15.1.3 Protección de los documentos de la organización. 9.2.5 Seguridad de los equipos fuera de las instalaciones. 11.3.3 Política de puesto de trabajo despejado y pantalla limpia. 15.1.4 Protección de datos y privacidad de la información de carácter personal. 9.2.6 Reutilización o retirada segura de equipos. 11.4 Control de acceso a la red. 15.1.5 Prevención del uso indebido de recursos de tratamiento de la información. 9.2.7 Retirada de materiales propiedad de la empresa. 11.4.1 Política de uso de los servicios en red. 15.1.6 Regulación de los controles criptográficos. 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES. 11.4.2 Autenticación de usuario para conexiones externas. 15.2 Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico. 10.1 Responsabilidades y procedimientos de operación. 15.2.1 Cumplimiento de las políticas y normas de seguridad. 10.1.1 Documentación de los procedimientos de operación. 11.4.3 Identificación de los equipos en las redes. 15.2.2 Comprobación del cumplimiento técnico. 10.1.2 Gestión de cambios. 11.4.4 Protección de los puertos de diagnóstico y configuración remotos. 15.3 Consideraciones sobre las auditorías de los sistem. de información. 10.1.3 Segregación de tareas. 11.4.5 Segregación de las redes. 15.3.1 Controles de auditoría de los sistemas de información. 10.1.4 Separación de los recursos de desarrollo, prueba y operación. 11.4.6 Control de la conexión a la red. 15.3.2 Protección de las herramientas de auditoría de los sist. de inform. 11.4.7 Control de encaminamiento (routing) de red.
  • 18. Controles Administrativos, Físicos y Tecnológicos 5. POLÍTICA DE SEGURIDAD. 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC. 7. GESTIÓN DE ACTIVOS. 11. CONTROL DE ACCESO. 15. CUMPLIMIENTO. 8. SEGURIDAD LIGADA A LOS 9. SEGURIDAD FÍSICA Y DEL RECURSOS HUMANOS. ENTORNO. 12. ADQUISICIÓN, 10. GESTIÓN DE 13. GESTIÓN DE INCIDENTES DESARROLLO Y 14. GESTIÓN DE LA COMUNICACIONES Y EN LA SEGURIDAD DE LA MANTENIMIENTO DE CONTINUIDAD DEL NEGOCIO. OPERACIONES. INFORMACIÓN. SISTEMAS DE INFORMACIÓN.
  • 19. …exista un política de seguridad Jefe ya redakte politica, firme aprobada y revisada por la ‘pa la auditoría dirección
  • 20. …existan procedimientos documentados que definan la operación y registros de las actividades realizadas
  • 21. …realizar un análisis de riesgos para clasificarlos y definir su tratamiento Social engineering O-days Pen Testing
  • 22. … que existan controles de seguridad física en los equipos y en las áreas críticas
  • 23. … implementar acciones para contrarrestar código malicioso y atacantes externos
  • 24. … los medios de almacenamiento deben ser retirados o reasignados de forma A la vodga segura para evitar que se tenga acceso a la información
  • 25. … establecer políticas para el uso y No tenemos acceso a la red corporativa desde fuera ekipo de las instalaciones y para el equipo portátil portátil VPN’s Cifrado de discos duros
  • 26. …revisar el cumplimiento de la regulación aplicable y definir el contacto con autoridades Puny cop
  • 27.
  • 28. Contacto : Pablo Corona Fraga pcoronaf@nyce.org.mx @pcoronaf Ilustraciones by @El0bal