4.17 Control Objectives for Information and Related Technology (COBIT v4.1).

Transcripción

1 4.17 Control Objectives for Information and Related Technology (COBIT v4.1). Introducción. COBIT 4.1 es un marco referencia para la implementación l gobierno y gestión los recursos TI en las organizaciones. Su objetivo es proporcionar valor a la organización por medio un coste óptimo recursos, a la vez que los riesgos son controlados. N Requerimiento normativo RESPONSABLE PO2 Definir la Arquitectura la Información. Conceptos para el establecimiento una arquitectura que incluya los procesos negocio y los diferentes componentes TI. 1 Los responsables en el tratamiento datos personales, berán observar los principios licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley. Art. 6 Art Recomendación General. PO8 Administrar la Calidad. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios. Definir y comunicar los requisitos calidad en todos los procesos la organización. Definición políticas y procedimientos para la administración cambios. Contar con sistemas nuevos o modificados que trabajen sin problemas importantes spués la instalación DS4 Garantizar la Definición políticas y continuidad l procedimientos gestión la 478

2 servicio. continuidad así como planes contingencia DS5 Garantizar la Establecer políticas y seguridad los procedimientos para la gestión sistemas. la seguridad la información. DS11 Administrar los datos. Optimizar el uso la información y garantizar la disponibilidad la información cuando se requiera. Proteger los activos cómputo y DS12 Administrar el la información l negocio ambiente físico. minimizando el riesgo una interrupción l servicio DS13 Administrar las operaciones. Establecer políticas y procedimientos para la entrega servicios TI. LICITUD Y LEALTAD Los datos personales berán recabarse y 2 tratarse manera lícita, privilegiando la protección los intereses l titular y la expectativa razonable privacidad, sin importar la fuente la que se obtienen los datos. Art. 7 Art. 7 Art. 10 Art. 44 Paso 1. Alcance y Objetivos. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. La obtención datos personales no be 479

3 hacerse a través medios engañosos o fraudulentos. CONSENTIMIENTO El tratamiento datos personales estará sujeto al consentimiento su titular, salvo las excepciones previstas por la Ley. 3 Los datos financieros o patrimoniales requerirán consentimiento expreso su titular. Cuando los datos personales se obtengan Art. 8 Art. 11 Art. 12 Art. 15 Paso 2. Política Gestión Datos Personales. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. personalmente o manera directa su titular, el consentimiento berá ser previo al tratamiento. 480

4 El responsable berá facilitar al titular Paso 2. Política 4 medios sencillos y gratuitos para manifestar Art. 8 Art. 16 Gestión Datos NO APLICA NO APLICA su consentimiento expreso. Personales. Tratándose datos personales sensibles, el responsable berá obtener el 5 consentimiento expreso y por escrito l titular para su tratamiento. No podrán crearse bases datos que contengan datos personales sensibles, sin que se justifique la creación las mismas para finalidas legítimas, concretas y Art. 9 Art. 56 Paso 2. Política Gestión Datos Personales. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. acors con las actividas o fines explícitos que persigue el sujeto regulado. Paso 7. Implementación 6 Para efectos mostrar la obtención l consentimiento, la carga la prueba recaerá, en todos los casos, en el responsable. Art. 20 las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento NO APLICA NO APLICA Cotidiano Medidas 481

5 Seguridad. INFORMACIÓN A través l aviso privacidad, el responsable tendrá la obligación informar a los titulares, los datos que recaba, las finalidas necesarias y las que no lo son para la relación jurídica, así como las características principales su tratamiento. Cuando se traten datos personales como Art. 14 Paso 2. Política 7 parte un proceso toma cisiones Art. 15 Art. 23 Gestión Datos NO APLICA NO APLICA sin que intervenga la valoración una Art. 112 Personales. persona física, el responsable berá informar al titular que esta situación ocurre. Si obtiene los datos manera automática, berá informar al titular sobre el uso estas tecnologías y la forma en que podrá shabilitarlas. 8 Cuando los datos personales sean obtenidos directamente l titular, el aviso privacidad be ponerse a disposición los titulares a través formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología. Art. 3, I Art. 17 Art. 27 Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento NO APLICA NO APLICA 482

6 Cotidiano Medidas Seguridad. Paso 7. 9 El aviso privacidad be contener un mecanismo, para que el titular pueda manifestar su negativa al tratamiento sus datos personales. Cuando los datos se obtengan manera indirecta l titular, el responsable berá darle a conocer el aviso privacidad y sus cambios. Art. 18 Art. 14 Art. 29 Art. 32 Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas NO APLICA NO APLICA Seguridad 483

7 Paso 7. Implementación 10 Para efectos mostrar la puesta a disposición l aviso privacidad en cumplimiento l principio información, la carga la prueba recaerá, en todos los casos, en el responsable. Art. 31 las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano NO APLICA NO APLICA Medidas Seguridad. CALIDAD Establecer y mantener un molo PO2.1 Molo información empresarial que Arquitectura facilite el sarrollo 11 El responsable procurará que los datos personales contenidos en las bases datos sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento la finalidad para la cual son tratados. Art. 11 Art. 36 Paso 2. Política Gestión Datos Personales. Información Empresarial. PO2.2 Diccionario Datos Empresarial y Reglas Sintaxis aplicaciones y las actividas soporte a la toma cisiones, consistente con los planes TI. Mantener un diccionario datos empresarial que incluya las reglas sintaxis datos la organización. PO2.3 Esquema Establecer un esquema Clasificación clasificación que aplique a toda la empresa, basado en que tan crítica 484

8 y sensible es la información la empresa. Definir e Implementar PO2.4 Administración Integridad. procedimientos para garantizar la integridad y consistencia todos los datos almacenados en formato electrónico. Adoptar y mantener estándares para todo sarrollo y adquisición PO8.3 Estándares que siga el ciclo vida, hasta el Desarrollo y último entregable e incluir la Adquisición. aprobación en puntos clave con base en criterios aceptación acordados. Verificar que todos los datos que DS11.1 se espera procesar se reciben y Requerimientos Negocio Administración l para procesan completamente, forma precisa y a tiempo, y que todos los resultados se entregan acuerdo a los requerimientos negocio. 485

9 Establecer un esquema PO2.3 Esquema clasificación que aplique a toda la Cuando los datos carácter personal hayan Clasificación empresa, basado en que tan crítica jado ser necesarios para el y sensible es la información la cumplimiento las finalidas previstas por empresa. el aviso privacidad y las disposiciones Definir e implementar legales aplicables, berán ser cancelados, DS11.2 Acuerdos procedimientos para el archivo, 12 previo bloqueo los mismos. El responsable la base datos estará obligado a eliminar la información relativa al Art. 3 III Art. 11 Art. 37 Paso 2. Política Gestión Datos Personales. Almacenamiento Conservación. y almacenamiento y retención los datos, forma efectiva y eficiente. Definir e implementar incumplimiento obligaciones procedimientos para asegurar que contractuales, una vez que transcurra un los requerimientos negocio plazo setenta y dos meses, contado a partir la fecha calendario en que se DS11.4 Eliminación. para la protección datos sensitivos y el software se presente el mencionado incumplimiento. consiguen cuando se eliminan o transfieren los datos y/o el hardware. Establecer un esquema 13 El responsable establecerá y documentará procedimientos para la conservación y, en su caso, bloqueo y supresión los datos personales. Art. 38 Paso 2. Política Gestión Datos Personales. PO2.3 Esquema Clasificación clasificación que aplique a toda la empresa, basado en que tan crítica y sensible es la información la empresa. DS11.2 Acuerdos Definir e implementar 486

10 Almacenamiento y procedimientos para el archivo, Conservación. almacenamiento y retención los datos, forma efectiva y eficiente. Definir e implementar procedimientos para asegurar que los requerimientos negocio DS11.4 Eliminación. para la protección datos sensitivos y el software se consiguen cuando se eliminan o transfieren los datos y/o el hardware. Definir e implementar procedimientos respaldo y DS11.5 Respaldo y Restauración. restauración los sistemas, aplicaciones, datos y documentación en línea con los requerimientos negocio y el plan continuidad. DS11.6 Requerimientos Definir e implementar las políticas y procedimientos para intificar y Seguridad para la aplicar los requerimientos Administración seguridad aplicables al recibo, procesamiento, almacén y salida 487

11 los datos. Establecer un esquema PO2.3 Esquema clasificación que aplique a toda la Clasificación empresa, basado en que tan crítica y sensible es la información la empresa. Paso 7. Definir e implementar Implementación DS11.2 Acuerdos procedimientos para el archivo, las Medidas Almacenamiento y almacenamiento y retención los 14 Al responsable le correspon mostrar que los datos personales se conservan, o en su caso, bloquean, suprimen o cancelan. Art. 39 Seguridad Aplicables a los Datos Personales. Cumplimiento Conservación. datos, forma efectiva y eficiente. Definir e implementar procedimientos para asegurar que Cotidiano los requerimientos negocio Medidas Seguridad. DS11.4 Eliminación. para la protección datos sensitivos y el software se consiguen cuando se eliminan o transfieren los datos y/o el hardware. DS11.5 Respaldo y Definir e implementar Restauración. procedimientos respaldo y 488

12 restauración los sistemas, aplicaciones, datos y documentación en línea con los requerimientos negocio y el plan continuidad. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. FINALIDAD El tratamiento datos personales berá Verificar que todos los datos que limitarse al cumplimiento las finalidas DS11.1 se espera procesar se reciben y previstas en el aviso privacidad. Art. 40 Paso 2. Política Requerimientos l procesan completamente, 15 Si el responsable preten tratar los datos Art. 12 Art. 42 Gestión Datos Negocio para forma precisa y a tiempo, y que para un fin distinto al establecido, berá Art. 43 Personales. Administración todos los resultados se entregan obtener nuevamente el consentimiento l acuerdo a los requerimientos titular. negocio. 489

13 El titular podrá oponerse o revocar su consentimiento para las finalidas distintas a las que dieron origen a la relación jurídica, sin que ello tenga como consecuencia la conclusión l tratamiento. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. PROPORCIONALIDAD Verificar que todos los datos que DS11.1 Requerimientos l se espera procesar se reciben y procesan completamente, 16 El tratamiento datos personales será el que resulte necesario, acuado y relevante en relación con las finalidas previstas en el aviso privacidad. En particular para datos personales sensibles, el responsable berá limitar el periodo tratamiento al mínimo indispensable. Art. 13 Art. 45 Art. 46 Paso 2. Política Gestión Datos Personales. Negocio para Administración DS11.6 Requerimientos Seguridad para la Administración forma precisa y a tiempo, y que todos los resultados se entregan acuerdo a los requerimientos negocio. Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. CONFIDENCIALIDAD 17 El responsable o terceros que intervengan en cualquier fase l tratamiento datos Art. 21 Art. 9 Paso 2. Política Gestión Datos PO4.14 Políticas y Procedimientos para Asegurar que los consultores y el personal contratado que soporta 490

14 personales berán guardar confincialidad Personales. Personal Contratado. la función TI cumplan con las respecto éstos, obligación que subsistirá políticas organizacionales aun spués finalizar sus relaciones con el protección los activos titular o, en su caso, con el responsable. información la empresa. Establecer y mantener una estructura óptima enlace, PO4.15 Relaciones. comunicación y coordinación entre la función TI y otros interesados ntro y fuera la función TI. Intificación requerimientos DS1 Definir y administrar los niveles servicio. servicio, el acuerdo niveles servicio y el monitoreo l cumplimiento los niveles servicio. DS2 Administrar los servicios terceros. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos. RESPONSABILIDAD 18 El responsable tiene la obligación velar y responr por el tratamiento los datos personales en su posesión, biendo adoptar las medidas necesarias. Art. 14 Art. 47 Paso 2. Política Gestión Datos Personales. PO2 Definir la Arquitectura la Información. Conceptos para el establecimiento una arquitectura que incluya los procesos negocio y los diferentes componentes TI. 491

15 El responsable berá tomar las medidas necesarias y suficientes para garantizar que el PO8 Administrar la Calidad. Definir y comunicar los requisitos calidad en todos los procesos la organización. aviso privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guar alguna AI6 cambios. Administrar Definición políticas y procedimientos para la administración cambios. relación jurídica. AI7 Instalar y acreditar soluciones y cambios. Contar con sistemas nuevos o modificados que trabajen sin problemas importantes spués la instalación. DS1 Definir y Asegurar la alineación los administrar los niveles servicios claves TI con la servicio. estrategia l negocio. DS2 Administrar los servicios terceros. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos. DS4 Garantizar la continuidad l servicio. Definición políticas y procedimientos gestión la continuidad así como planes contingencia. DS5 Garantizar la Establecer políticas y seguridad los procedimientos para la gestión sistemas. la seguridad la información. DS11 Administrar los Optimizar el uso la información 492

16 datos. y garantizar la disponibilidad la información cuando se requiera. Proteger los activos cómputo y DS12 Administrar el la información l negocio ambiente físico. minimizando el riesgo una interrupción l servicio. DS13 Administrar las operaciones. Establecer políticas y procedimientos para la entrega servicios TI. PO8 Administrar la Calidad. Definir y comunicar los requisitos calidad en todos los procesos la organización. 19 Los responsables berán adoptar medidas para garantizar el bido tratamiento, privilegiando los intereses l titular y la expectativa razonable privacidad. Art. 14 Art. 48 Paso 5. Realizar el Análisis Riesgo los Datos Personales. PO9 Evaluar y Administrar los Riesgos TI. AI1.2 Reporte Análisis Riesgos. La elaboración un marco trabajo administración riesgos el cual está integrado en los marcos gerenciales Intificar, documentar y analizar los riesgos asociados con los requerimientos l negocio y diseño soluciones como parte los procesos organizacionales para el sarrollo los requerimientos. DS5 Garantizar la Establecer políticas y 493

17 seguridad los procedimientos para la gestión sistemas. la seguridad la información. DS11.6 Definir e implementar las políticas Requerimientos y procedimientos para intificar y Seguridad para la Administración aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. Proteger los activos cómputo y DS12 Administrar el ambiente físico. la información l negocio minimizando el riesgo una interrupción l servicio. Definir los elementos un PO6.1 Ambiente Políticas y Control. ambiente control para TI, alineados con la filosofía administrativa y el estilo operativo 20 Elaborar políticas y programas privacidad obligatorios y exigibles al interior la organización. Art I Paso 2. Política Gestión Datos Personales. PO6.2 Riesgo Corporativo y Marco Control Interno TI. la empresa. Elaborar y dar mantenimiento a un marco trabajo que establezca el enfoque empresarial general hacia los riesgos y el control que se alinee con la política TI, el ambiente control y el marco trabajo riesgo y control la 494

18 empresa. Trasladar los requerimientos negocio, riesgos y cumplimiento DS5.2 Plan Seguridad TI. ntro un plan seguridad TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. Proporcionar a los empleados TI la orientación necesaria al PO7.4 Entrenamiento l Personal TI. momento la contratación y entrenamiento continuo para conservar y mejorar su 21 Poner en práctica un programa capacitación, actualización, y concientización l personal sobre las obligaciones en materia protección datos personales. Art II Paso 9. Mejora Continua y Capacitación. Capacitación. DS5.2 Plan Seguridad TI. conocimiento. Trasladar los requerimientos negocio, riesgos y cumplimiento ntro un plan seguridad TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. DS7 Educar y Educar y entrenar a los usuarios Entrenar a los respecto a los servicios TI Usuarios. ofrecidos. 22 Establecer un sistema supervisión y vigilancia interna, verificaciones o auditorías Art III Paso 8. Revisiones y Auditoría. PO8.6 Medición, Monitoreo y Revisión Definir, planear e implementar mediciones para monitorear el 495

19 externas para comprobar el cumplimiento la Calidad. cumplimiento continuo l QMS, las políticas privacidad. así como el valor que el QMS proporciona. DS5.5 Pruebas, Garantizar que la implementación Vigilancia y Monitoreo la Seguridad. ME2 Monitorear y Evaluar el Control Interno. la seguridad en TI sea probada y monitoreada forma proactiva. Monitorear y evaluar el control interno en relación a los objetivos negocio y a los riesgos operativos intificados. Administrar la seguridad TI al nivel más alto apropiado en la DS5.1 Administración organización, manera que las 23 Destinar recursos para la instrumentación los programas y políticas privacidad. Art IV Paso 3. Establecer Funciones y Obligaciones Quienes Traten Datos Personales. la Seguridad TI. DS5.2 Plan acciones administración la seguridad estén en línea con los requerimientos l negocio. Trasladar los requerimientos negocio, riesgos y cumplimiento ntro un plan seguridad Seguridad TI. TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. 24 Instrumentar un procedimiento para que se Art V Paso 5. Realizar el PO9 Evaluar y La elaboración un marco 496

20 atienda el riesgo para la protección datos Análisis Riesgo Administrar los trabajo administración personales por la implementación nuevos los Datos Riesgos TI. riesgos el cual está integrado en productos, servicios, tecnologías y molos Personales. los marcos gerenciales. negocios, así como para mitigarlos. Intificar, documentar y analizar los riesgos asociados con los AI1.2 Reporte Análisis Riesgos. requerimientos l negocio y diseño soluciones como parte los procesos organizacionales para el sarrollo los requerimientos. Administrar la seguridad TI al nivel más alto apropiado ntro DS5.1 Administración la organización, manera que la Seguridad TI. las acciones administración la seguridad estén en línea con los requerimientos l negocio. Trasladar los requerimientos negocio, riesgos y cumplimiento DS5.2 Plan ntro un plan seguridad Seguridad TI. TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. DS5.11 Intercambio Transacciones datos sensibles Datos Sensitivos. se intercambian solo a través 497

21 una ruta o medio con controles para proporcionar autenticidad contenido, prueba envío, prueba recepción y no repudio l origen. DS11.6 Definir e implementar las políticas Requerimientos y procedimientos para intificar y Seguridad para la aplicar los requerimientos Administración seguridad aplicables al recibo, procesamiento, almacén y salida los datos. La intificación todas las leyes ME3 Garantizar el Cumplimiento Regulatorio. y regulaciones aplicables y el nivel correspondiente cumplimiento TI y la optimización los procesos TI para reducir el PO8.6 Medición, riesgo no cumplimiento. Definir, planear e implementar mediciones para monitorear el 25 Revisar periódicamente las políticas y programas seguridad para terminar las modificaciones que se requieran. Art VI Paso 8. Revisiones y Auditoría. Monitoreo y Revisión la Calidad. cumplimiento continuo l QMS, así como el valor que el QMS proporciona. DS5.2 Plan Trasladar los requerimientos Seguridad TI. negocio, riesgos y cumplimiento 498

22 ntro un plan seguridad TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. ME2 Monitorear y Evaluar el Control Interno. Monitorear y evaluar el control interno en relación a los objetivos negocio y a los riesgos operativos intificados. Establecer la función mesa servicio, la cual es la conexión l usuario con TI, para registrar, Paso 7. DS8.1 Mesa comunicar, atenr y analizar Implementación Servicios. todas las llamadas, incintes las Medidas reportados, requerimientos 26 Establecer procedimientos para recibir y responr dudas y quejas los titulares los datos personales. Art VII Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. DS8.2 Registro Consultas Clientes. servicio y solicitus información. Establecer una función y sistema que permita el registro y rastreo llamadas, incintes, solicitus servicio y necesidas información. DS8.3 Escalamiento Establecer procedimientos mesa servicios manera que 499

23 Incintes. los incintes que no puedan resolverse forma inmediata sean escalados apropiadamente acuerdo con los límites acordados en el SLA y, si es acuado, brindar soluciones alternas. Establecer procedimientos para el DS8.4 Cierre monitoreo puntual la Incintes. resolución consultas los clientes. Trasladar los requerimientos negocio, riesgos y cumplimiento DS5.2 Plan ntro un plan seguridad Seguridad TI. TI completo, teniendo en Disponer mecanismos para el Paso 3. Funciones y consiración la infraestructura 27 cumplimiento las políticas y programas privacidad, así como sanciones por su Art VIII Obligaciones Quienes Traten DS5.5 Pruebas, TI y la cultura seguridad. Garantizar que la implementación incumplimiento. Datos Personales. Vigilancia y la seguridad en TI sea probada Monitoreo la y monitoreada forma pro- Seguridad. activa. DS5.6 Definición Definir claramente y comunicar las Incinte características incintes 500

24 Seguridad. seguridad potenciales para que puedan ser clasificados y tratados apropiadamente. Establecer un esquema PO2.3 Esquema clasificación que aplique a toda la Clasificación empresa, basado en que tan crítica y sensible es la información la empresa. Proporcionar soluciones tecnológicas consistentes, efectivas 28 Establecer medidas para el aseguramiento los datos personales, es cir, un conjunto acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento los principios y obligaciones que establece la Ley y su. Art IX Paso 6. Intificación las medidas seguridad y Análisis Brecha. PO3.4 Estándares Tecnológicos. PO4.9 Propiedad y seguras para toda la empresa, establecer un foro tecnológico para brindar directrices tecnológicas. Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus los datos y sistemas. responsabilidas propiedad sobre los datos y los sistemas información. AI2.4 Seguridad y Disponibilidad las Aplicaciones. Abordar la seguridad las aplicaciones y los requerimientos disponibilidad en respuesta a los riesgos intificados y en línea 501

25 con la clasificación datos Implementar medidas control interno, seguridad y auditabilidad AI3.2 Protección y durante la configuración, Disponibilidad Recurso Infraestructura. l integración y mantenimiento l hardware y l software la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad DS5 Garantizar la Establecer políticas y seguridad los sistemas. DS12.2 Medidas Seguridad Física. procedimientos para la gestión la seguridad la información. Definir e implementar medidas seguridad físicas alineadas con los requerimientos l negocio. Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a DS12.3 Acceso Físico. locales, edificios y áreas acuerdo con las necesidas l negocio, incluyendo las emergencias. DS11.6 Requerimientos Definir e implementar las políticas y procedimientos para intificar y 502

26 Seguridad para la aplicar los requerimientos Administración seguridad aplicables al recibo, procesamiento, almacén y salida los datos. Implementar controles negocio, AI2.3 Control y Posibilidad Auditar las Aplicaciones. cuando aplique, en controles aplicación automatizados tal que el procesamiento sea exacto, completo, oportuno, autorizado y auditable. Asegurar que todos los usuarios y 29 Establecer medidas para la trazabilidad los datos personales, es cir acciones, medidas y procedimientos técnicos que permiten rastrear a los datos personales durante su tratamiento. Art X Paso 6. Intificación las medidas seguridad y Análisis Brecha. DS5.3 Administración Intidad. DS5.11 Intercambio Datos Sensitivos. su actividad en sistemas TI ben ser intificables manera única. Transacciones datos sensibles se intercambian solo a través una ruta o medio con controles para proporcionar autenticidad contenido, prueba envío, prueba recepción y no repudio l origen. DS11.1 Verificar que todos los datos que Requerimientos Negocio l para se espera procesar se reciben y procesan completamente, 503

27 Administración forma precisa y a tiempo, y que todos los resultados se entregan acuerdo a los requerimientos negocio. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. 30 Todo responsable berá signar a una persona, o partamento datos personales, quien dará trámite a las solicitus los titulares, para el ejercicio los rechos a que se refiere la Ley. Asimismo fomentará la protección datos personales al interior la organización. Art. 30 Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento. DS5.1 Administración la Seguridad TI. Establecer la propiedad y la responsabilidad los riesgos relacionados con TI a un nivel superior apropiado. Administrar la seguridad TI al nivel más alto apropiado ntro la organización, manera que las acciones administración la seguridad estén en línea con los requerimientos l negocio. SEGURIDAD 31 Todo responsable que lleve a cabo tratamiento datos personales berá establecer y mantener medidas seguridad Art. 19 Art. 4 Art. 9 Art. 57 Paso 6. Intificación las medidas PO2.3 Esquema Clasificación Establecer un esquema clasificación que aplique a toda la empresa, basado en que tan crítica 504

28 administrativas, técnicas y físicas que seguridad y Análisis y sensible es la información la permitan proteger los datos personales Brecha. empresa. contra daño, pérdida, alteración, strucción o el uso, acceso o tratamiento no autorizado. Implementar medidas control interno, seguridad y auditabilidad No adoptarán medidas seguridad AI3.2 Protección y durante la configuración, menores a aquellas que mantengan para el Disponibilidad l integración y mantenimiento l manejo su información. Recurso hardware y l software la Infraestructura. infraestructura para proteger los Cuando el encargado se encuentre ubicado recursos y garantizar su en territorio mexicano, le serán aplicables las disponibilidad e integridad. disposiciones relativas a las medidas seguridad contenidas en el Capítulo III. DS5 Garantizar la seguridad los sistemas. Establecer políticas y procedimientos para la gestión la seguridad la información. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. DS12 Administrar el Proteger los activos cómputo y la información l negocio 505

29 ambiente físico. minimizando el riesgo una interrupción l servicio. El responsable terminará las medidas seguridad aplicables a los datos personales que trate, consirando el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad los datos y el sarrollo PO9 Evaluar y Administrar los Riesgos TI. La elaboración un marco trabajo administración riesgos el cual está integrado en los marcos gerenciales. tecnológico. Intificar, documentar y analizar 32 De manera adicional, el responsable procurará tomar en cuenta los siguientes elementos: I. El número titulares; Art. 19 Art. 60 Paso 5. Realizar el Análisis Riesgo los Datos Personales. AI1.2 Reporte Análisis Riesgos. los riesgos asociados con los requerimientos l negocio y diseño soluciones como parte los procesos organizacionales para el sarrollo los II. Las vulnerabilidas previas ocurridas en requerimientos. los sistemas tratamiento; Abordar la seguridad las III. El riesgo por el valor potencial AI2.4 Seguridad aplicaciones y los requerimientos cuantitativo o cualitativo que pudieran tener y Disponibilidad disponibilidad en respuesta a los datos personales tratados para una las Aplicaciones. los riesgos intificados y en línea tercera persona no autorizada para su con la clasificación datos 506

30 posesión, y Trasladar los requerimientos IV. Demás factores que puedan incidir en el negocio, riesgos y cumplimiento nivel riesgo o que resulten otras leyes DS5.2 Plan ntro un plan seguridad o regulación aplicable al responsable. Seguridad TI. TI completo, teniendo en consiración la infraestructura TI y la cultura seguridad. DS11.6 Requerimientos Definir e implementar las políticas y procedimientos para intificar y Seguridad para la aplicar los requerimientos Administración seguridad aplicables al recibo, procesamiento, almacén y salida los datos. Establecer un esquema PO2.3 Esquema clasificación que aplique a toda la Clasificación empresa, basado en que tan crítica y sensible es la información la 33 Elaborar un inventario datos personales y los sistemas tratamiento. Art I Paso 4. Elaborar un Inventario Datos Personales. DS9 Administrar la empresa. Establecer y mantener un repositorio completo y preciso atributos la configuración configuración. los activos y líneas base y compararlos contra la configuración actual. DS11.3 Sistema Definir e implementar 507

31 Administración procedimientos para mantener un Librerías Medios. inventario medios almacenados y archivados para asegurar su usabilidad e integridad. Establecer resguardos físicos, DS13.4 Documentos prácticas registro y Sensitivos Dispositivos Salida. y administración inventarios acuados sobre los activos TI más sensitivos. 34 Determinar las funciones y obligaciones las personas que traten datos personales. Art II Paso 3. Establecer Funciones y Obligaciones Quienes Traten Datos Personales. PO4.9 Propiedad los datos y sistemas. Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidas propiedad sobre los datos y los sistemas información. 35 Contar con un análisis riesgos datos personales que consiste en intificar peligros y estimar los riesgos a los datos personales. Art III Paso 5. Realizar el Análisis Riesgo los Datos Personales. PO9 Evaluar y Administrar los Riesgos TI. AI1.2 Reporte Análisis Riesgos. La elaboración un marco trabajo administración riesgos el cual está integrado en los marcos gerenciales. Intificar, documentar y analizar los riesgos asociados con los requerimientos l negocio y diseño soluciones como parte los procesos organizacionales 508

32 para el sarrollo los requerimientos. Abordar la seguridad las AI2.4 Seguridad y aplicaciones y los requerimientos Disponibilidad las disponibilidad en respuesta a Aplicaciones. los riesgos intificados y en línea con la clasificación datos. Implementar medidas control interno, seguridad y auditabilidad AI3.2 Protección y durante la configuración, 36 Establecer las medidas seguridad aplicables a los datos personales e intificar aquéllas implementadas manera efectiva. Art IV Paso 6. Intificación las medidas seguridad y Análisis Brecha. Disponibilidad Recurso Infraestructura. l integración y mantenimiento l hardware y l software la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Asegurar que todos los usuarios y DS5.3 Administración su actividad en sistemas TI Intidad. ben ser intificables manera única. Garantizar que la solicitud, DS5.4 Administración establecimiento, emisión, Cuentas l suspensión, modificación y cierre Usuario. cuentas usuario y los privilegios relacionados estén 509

33 controlados por medio políticas y procedimientos. Garantizar que la tecnología DS5.7 Protección relacionada con la seguridad sea la Tecnología resistente al sabotaje y no revele Seguridad. documentación seguridad innecesaria. Determinar las políticas y procedimientos para organizar la DS5.8 Administración generación, cambio, revocación, Llaves strucción, distribución, Criptográficas. certificación, almacenamiento, captura, uso y archivo llaves criptográficas Poner medidas preventivas, tectivas y correctivas (en DS5.9 Detección Corrección Prevención, y especial contar con parches seguridad y control virus actualizados) en toda la Software Malicioso. organización para proteger los sistemas la información y a la tecnología contra malware. DS5.10 Seguridad la Red. Uso técnicas seguridad y procedimientos administración 510

34 asociados (por ejemplo, firewalls, dispositivos seguridad, segmentación res, y tección intrusos) para autorizar acceso y controlar los flujos información s y hacia las res. Transacciones datos sensibles se intercambian solo a través DS5.11 Intercambio Datos Sensitivos. una ruta o medio con controles para proporcionar autenticidad contenido, prueba envío, prueba recepción y no repudio l origen. 37 Realizar el análisis brecha que consiste en la diferencia las medidas seguridad existentes y aquéllas faltantes que resultan necesarias para la protección los datos personales. Art V Paso 6. Intificación las medidas seguridad y Análisis Brecha. ME2 Monitorear y Evaluar el Control Interno. ME3 Garantizar el Cumplimiento Regulatorio. Monitorear y evaluar el control interno en relación a los objetivos negocio y a los riesgos operativos intificados. La intificación todas las leyes y regulaciones aplicables y el nivel correspondiente cumplimiento TI y la optimización los procesos TI para reducir el riesgo no cumplimiento. 511

35 Elaborar un plan trabajo para la Paso 7. Implementación las Medidas Seguridad Aplicables a los ME2 Monitorear y Evaluar el Control Interno. Monitorear y evaluar el control interno en relación a los objetivos negocio y a los riesgos operativos intificados. 38 implementación las medidas seguridad faltantes, rivadas l análisis brecha. Art VI Datos Personales. Plan Trabajo para la Implementación las Medidas Seguridad Faltantes. ME3 Garantizar el Cumplimiento Regulatorio. La intificación todas las leyes y regulaciones aplicables y el nivel correspondiente cumplimiento TI y la optimización los procesos TI para reducir el riesgo no cumplimiento. Definir, planear e implementar PO8.6 Medición, mediciones para monitorear el Monitoreo y Revisión cumplimiento continuo l QMS, la Calidad. así como el valor que el QMS proporciona. 39 Llevar a cabo revisiones o auditorías. Art VII Paso 8. Revisiones y Auditoría. DS5.5 Vigilancia Pruebas, y Garantizar que la implementación la seguridad en TI sea probada Monitoreo la y monitoreada forma pro- Seguridad. activa. ME2 Monitorear y Monitorear y evaluar el control Evaluar el Control interno en relación a los objetivos Interno. negocio y a los riesgos 512

36 operativos intificados. La intificación todas las leyes ME3 Garantizar el Cumplimiento Regulatorio. y regulaciones aplicables y el nivel correspondiente cumplimiento TI y la optimización los procesos TI para reducir el riesgo no cumplimiento. Proporcionar a los empleados TI la orientación necesaria al 40 Capacitar al personal que efectúe el tratamiento datos personales. Art VIII Paso 9. Mejora Continua y Capacitación. Capacitación. PO7.4 Entrenamiento l Personal TI. DS7 Educar y momento la contratación y entrenamiento continuo para conservar y mejorar su conocimiento, Educar y entrenar a los usuarios Entrenar a los respecto a los servicios TI Usuarios. ofrecidos. 41 Realizar un registro los medios almacenamiento los datos personales. Art IX Paso 5. Realizar el Análisis Riesgo los Datos Personales. DS9 Administrar la configuración. Establecer y mantener un repositorio completo y preciso atributos la configuración los activos y líneas base y compararlos contra la configuración actual. 513

37 Definir e implementar DS11.3 Sistema procedimientos para mantener un Administración inventario medios almacenados Librerías Medios. y archivados para asegurar su usabilidad e integridad. Abordar la seguridad las AI2.4 Seguridad y aplicaciones y los requerimientos Disponibilidad las disponibilidad en respuesta a Aplicaciones. los riesgos intificados y en línea con la clasificación datos Implementar medidas control interno, seguridad y auditabilidad 3. Acciones a AI3.2 Protección y durante la configuración, 42 Contar con una relación las medidas seguridad. Art. 61 implementar para la seguridad los datos personales Disponibilidad Recurso Infraestructura. l integración y mantenimiento l hardware y l software la infraestructura para proteger los documentadas. recursos y garantizar su disponibilidad e integridad DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. 514

38 DS12.2 Medidas Seguridad Física. Definir e implementar medidas seguridad físicas alineadas con los requerimientos l negocio. Definir, planear e implementar Actualizar las medidas seguridad cuando: PO8.6 Medición, Monitoreo y Revisión mediciones para monitorear el cumplimiento continuo l QMS, 43 I. Se modifiquen las medidas o procesos seguridad para su mejora continua, rivado las revisiones a la política seguridad l responsable. II. Se produzcan modificaciones sustanciales en el tratamiento que riven en un cambio l nivel riesgo. III. Se vulneren los sistemas tratamiento, conformidad con lo dispuesto en el artículo 20 la Ley y 63 su. IV. Exista una afectación a los datos personales distinta a las anteriores. En el caso datos personales sensibles, los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año. Art. 62 Paso 8. Revisiones y Auditoría. la Calidad. PO9 Evaluar y Administrar los Riesgos TI. AI1.2 Reporte Análisis Riesgos. AI3.3 Mantenimiento la Infraestructura. así como el valor que el QMS proporciona. La elaboración un marco trabajo administración riesgos el cual está integrado en los marcos gerenciales Intificar, documentar y analizar los riesgos asociados con los requerimientos l negocio y diseño soluciones como parte los procesos organizacionales para el sarrollo los requerimientos. Desarrollar una estrategia y un plan mantenimiento la infraestructura y garantizar que se controlan los cambios, acuerdo con el procedimiento 515

39 administración cambios la organización. DS5 Garantizar la Establecer políticas y seguridad los procedimientos para la gestión sistemas. la seguridad la información. DS11.6 Requerimientos Seguridad para la Administración Definir e implementar las políticas y procedimientos para intificar y aplicar los requerimientos seguridad aplicables al recibo, procesamiento, almacén y salida los datos. DS12.2 Medidas Seguridad Física. Definir e implementar medidas seguridad físicas alineadas con los requerimientos l negocio. VULNERACIONES A LA SEGURIDAD 44 Las vulneraciones seguridad ocurridas en cualquier fase l tratamiento que afecten forma significativa los rechos patrimoniales o morales los titulares, serán informadas forma inmediata por el responsable al titular, a fin que este último pueda tomar las medidas correspondientes a la fensa sus rechos. Art. 20 Art. 63 Art. 64 Paso 8. Revisiones y Auditoría. Vulneraciones a la Seguridad la Información. DS5.5 Pruebas, Vigilancia y Monitoreo la Seguridad. DS5.6 Definición Incinte Seguridad. Garantizar que la implementación la seguridad en TI sea probada y monitoreada forma proactiva. Definir claramente y comunicar las características incintes seguridad potenciales para que puedan ser clasificados y tratados apropiadamente. 516

40 En caso que ocurra una vulneración a la seguridad los datos personales, el responsable berá informar al titular al menos lo siguiente: 45 I. La naturaleza l incinte. II. Los datos personales comprometidos. III. Las recomendaciones al titular acerca las medidas que éste pueda adoptar para proteger sus intereses. Art. 65 Paso 8. Revisiones y Auditoría. Vulneraciones a la Seguridad la Información. DS5.6 Definición Incinte Seguridad. Definir claramente y comunicar las características incintes seguridad potenciales para que puedan ser clasificados y tratados apropiadamente. IV. Las acciones correctivas realizadas forma inmediata. V. Los medios don pue obtener más información al respecto. DS5.5 Pruebas, Garantizar que la implementación En caso que ocurra una vulneración a los Vigilancia y la seguridad en TI sea probada datos personales, el responsable berá Paso 8. Revisiones y Monitoreo la y monitoreada forma pro- analizar las causas por las cuales se presentó Auditoría. Seguridad. activa. 46 e implementar las acciones correctivas, Art. 66 Vulneraciones a la Definir claramente y comunicar las preventivas y mejora para acuar las Seguridad la DS5.6 Definición características incintes medidas seguridad correspondientes, a Información. Incinte seguridad potenciales para que efecto evitar que la vulneración se repita. Seguridad. puedan ser clasificados y tratados apropiadamente. 517

41 El sistema administración DS10.2 Rastreo y Resolución Problemas. problemas be mantener pistas auditoría acuadas que permitan rastrear, analizar y terminar la causa raíz todos los problemas reportados. ENCARGADO El encargado tendrá las siguientes Asegurar que los consultores y el obligaciones respecto l tratamiento que realice por cuenta l responsable: I. Tratar únicamente los datos personales PO4.14 Políticas y Procedimientos para Personal Contratado. personal contratado que soporta la función TI cumplan con las políticas organizacionales protección los activos conforme a las instrucciones l responsable. información la empresa. II. Abstenerse tratar los datos personales Establecer y mantener una para finalidas distintas a las instruidas por estructura óptima enlace, 47 el responsable. III. Implementar las medidas seguridad Art Recomendación General. PO4.15 Relaciones. comunicación y coordinación entre la función TI y otros conforme a la Ley, su y las interesados ntro y fuera la más disposiciones aplicables. función TI. IV. Guardar confincialidad respecto los datos personales tratados. V. Suprimir los datos personales objeto tratamiento una vez cumplida la relación AI5.2 Administración Contratos con Proveedores. Formular un procedimiento para establecer, modificar y concluir contratos para todos los proveedores. jurídica con el responsable o por DS1 Definir y Intificación requerimientos instrucciones l responsable, siempre y administrar los niveles servicio, el acuerdo niveles 518

42 cuando no exista una previsión legal que servicio. servicio y el monitoreo l exija la conservación los datos personales. cumplimiento los niveles VI. Abstenerse transferir los datos servicio. personales salvo en el caso que el responsable así lo termine, la comunicación rive una subcontratación, DS2 Administrar los servicios terceros. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos. o cuando así lo requiera la autoridad DS5 Garantizar la Establecer políticas y competente. seguridad los procedimientos para la gestión sistemas. la seguridad la información. DS11 Administrar los datos. Optimizar el uso la información y garantizar la disponibilidad la información cuando se requiera. Proteger los activos cómputo y DS12 Administrar el la información l negocio ambiente físico. minimizando el riesgo una interrupción l servicio. SUBCONTRATACIONES La relación entre el responsable y el Paso 7. PO7.6 Procedimientos Incluir verificaciones encargado berá estar establecida mediante Implementación Investigación l antecentes en el proceso 48 cláusulas contractuales u otro instrumento jurídico que cida el responsable, que Art. 51 las Medidas Seguridad Personal. DS1 Definir y reclutamiento TI. Asegurar la alineación los permita acreditar su existencia, alcance y Aplicables a los administrar los niveles servicios claves TI con la contenido. Datos Personales. servicio. estrategia l negocio. 519

43 Cumplimiento Cotidiano Medidas Seguridad. DS2 Administrar los servicios terceros. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos. Toda subcontratación servicios por parte l encargado que implique el tratamiento datos personales berá ser autorizada por el responsable, y se realizará en DS1 Definir y Asegurar la alineación los 49 y por cuenta este último. Una vez obtenida la autorización, el encargado berá formalizar la relación con el subcontratado a través cláusulas contractuales u otro instrumento jurídico que permita acreditar su existencia, alcance y contenido. En caso que la subcontratación no haya sido prevista en cláusulas contractuales, el encargado berá obtener la autorización correspondiente l responsable previamente. Art. 54 Art. 55 Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. administrar los niveles servicio. DS2 Administrar los servicios terceros. servicios claves TI con la estrategia l negocio. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos. La obligación acreditar que la subcontratación se realizó con autorización l responsable corresponrá al encargado. CÓMPUTO EN LA NUBE 520

44 Para el tratamiento datos personales en Asegurar que los consultores y el servicios, aplicaciones e infraestructura en el nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales PO4.14 Políticas y Procedimientos para Personal Contratado. personal contratado que soporta la función TI cumplan con las políticas organizacionales protección los activos contratación, sólo podrá utilizar aquellos información la empresa. servicios en los que el proveedor cumpla, al menos, con lo siguiente: a) Tener y aplicar políticas protección Paso 7. Implementación las Medidas AI5.2 Administración Contratos con Proveedores. Formular un procedimiento para establecer, modificar y concluir contratos para todos los proveedores. datos personales afines a los principios y Seguridad Intificación requerimientos 50 beres aplicables que establece la Ley y su ; Art I Aplicables a los Datos Personales. DS1 Definir y administrar los niveles servicio, el acuerdo niveles servicio y el monitoreo l Cumplimiento servicio. cumplimiento los niveles b) Transparentar las subcontrataciones que Cotidiano servicio. involucren la información sobre la que se presta el servicio; Medidas Seguridad. DS2 Administrar los servicios terceros. Brindar servicios satisfactorios terceros con transparencia acerca los beneficios, riesgos y costos c) Abstenerse incluir condiciones en la DS5 Garantizar la Establecer políticas y prestación l servicio que le autoricen o seguridad los procedimientos para la gestión permitan asumir la titularidad o propiedad sistemas. la seguridad la información. la información sobre la que presta el servicio, y DS11 Administrar los datos. Optimizar el uso la información y garantizar la disponibilidad la información cuando se requiera. 521

45 d) Guardar confincialidad respecto los Proteger los activos cómputo y datos personales sobre los que se preste el DS12 Administrar el la información l negocio servicio. ambiente físico. minimizando el riesgo una interrupción l servicio DS13 Administrar las operaciones. Establecer políticas y procedimientos para la entrega servicios TI. Para el tratamiento datos personales en Asegurar que los consultores y el 51 servicios, aplicaciones e infraestructura en el nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales contratación, sólo podrá utilizar aquellos servicios en los que el proveedor cuente con mecanismos, al menos, para: a) Dar a conocer cambios en sus políticas privacidad o condiciones l servicio que presta; b) Permitir al responsable limitar el tipo Art II Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad. PO4.14 Políticas y Procedimientos para Personal Contratado. AI5.2 Administración Contratos con Proveedores. DS1 Definir y administrar los niveles servicio. personal contratado que soporta la función TI cumplan con las políticas organizacionales protección los activos información la empresa. Formular un procedimiento para establecer, modificar y concluir contratos para todos los proveedores. Intificación requerimientos servicio, el acuerdo niveles servicio y el monitoreo l cumplimiento los niveles tratamiento los datos personales sobre los servicio. que se presta el servicio; DS2 Administrar los Brindar servicios satisfactorios servicios terceros. terceros con transparencia acerca 522