Protección de datos personales, México como experiencia.

Transcripción

1 Protección de datos personales, México como experiencia.

2 Agenda Introducción Acercamientos al cumplimiento Conclusiones Comentarios de la audiencia

3 Tendencia Internacional Respuesta a Tráfico de datos: Lucro indebido de organizaciones Robo de identidades Fraudes Afectación de industrias (por ejemplo: Tarjetas de Pago) Estructura completa: Instituto Gubernamental Ley de Protección de Datos Reglamento Mejores prácticas y recomendaciones

4 Datos Sensibles En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

5 Tipos de datos personales Identificación Laborales Patrimoniales Ideológico Nombre Domicilio Teléfono Correo electrónico Firma RFC CURP Puesto Domicilio Correo electrónico Teléfono de trabajo Información Fiscal Historial Crediticio Cuentas Bancarias Ingresos y Egresos Creencias Religiosas Afiliación Política y/o sindical Pertenencia a Organizaciones Asociaciones Religiosas Salud Características Personales Características Físicas Vida y hábitos sexuales Estado de Salud Histórico Clínico Enfermedades Información Psicológico Información psiquiátrico Tipo Sangre ADN Huella Digital Color Piel Iris Color Cabello Señales Particulares Técnico Racial

6 Objeto de la Ley Esta Ley regula la forma y condiciones en que deben utilizarse los datos personales por parte de personas físicas o morales en el ámbito privado. Tiene por objeto garantizar la protección de tu información personal y que puedas ejercer el derecho a decidir, de manera libre e informada, sobre el uso que los entes privados darán a los datos. A esto se le conoce como "autodeterminación informativa Referencia: Ley Federal de Protección de Datos Personales en Posesión de los Particulares DIARIO OFICIAL Lunes 5 de julio de 2010

7 Protección vs. Riesgo

8 Por ejemplo Básico Identificación Nombre Domicilio Laborales Documentos de reclutamiento Puesto Referencias laborales Medio Datos de Propiedad Información Fiscal Historial Crediticio Datos Escolares Ti tulos Ce dula Profesional Alto Physical Characteristics Color de piel Color de iris Señas particulares Discapacidades Personal charactersitics Tipo de sangre ADN Huella digital

9 Cronología Hito Tiempo Fecha Ley entra en vigor 0 5 Julio 2010 Expedirá el reglamento 1 año 6 Julio 2011 Designar a un responsable o departamento 1 año 6 Julio 2011 Aviso de privacidad 1 año 6 Julio 2011 Ejercer derechos ARCO (Capitulo IV de la Ley) 18 meses Enero 2012 Atención a Inconformidades de particulares > 18 meses Febrero 2012

10 Acercamientos al Cumplimiento Análisis de Riesgo Identificación de Catalogo de datos Identificación de Flujos de Datos Implementación de Controles Verificación Documentación Capacitación

11 Benchmarking Elementos del Programa de Trustwave ISO LPDP Revisión de Flujos de Datos Personales Valoración del Riesgo Análisis de Impacto del Negocio Formalización de Políticas y Procedimientos Implementación de Controles de Seguridad Revisiones y Auditorías Capacitación y entrenamientos Integración de Administración de Cambios Continuidad del Negocio Ciclo de Vida de Seguridad en el Negocio* Investigación de vulneraciones * Por Ejemplo Plan > Do > Check > Act > Repeat

12 Descubrimiento Valoración de Seguridad Verifica el cumplimiento del Reglamento. Educación de Seguridad Educa al staff en el buen manejo de los datos personales. Seguridad Aplicativa Evalúa la seguridad de aplicaciones o recibe entrenamiento en desarrollo seguro de código. Escaneo de Vulnerabilidades Escanea tu red para identificar aplicaciones, redes, SO vulnerables. Políticas y Procedimientos Desarrolla las medidas para proporcionar la base de los requerimientos de la Ley de Protección de Datos Personales. Inventario de Datos Personales Descubre los datos en reposo y movimiento.

13 Protección Administración de eventos Administra los logs para identificar eventos de seguridad e incidentes potenciales. Web Application Firewall Protección contra ataques a tus aplicaciones Web. Prevención de pérdida de datos Define, identifica y refuerza la protección de información sensitiva. Respuesta a Incidentes Responde a incidentes de seguridad y previene explotaciones futuras. Monitoreo del Tráfico Web Detecta, escanea, genera el inventario y analiza el contenido. Control de Acceso a la Red Controla el acceso a recursos específicos para asegurara el cumplimiento de políticas.

14 Sistema de Administración Plan Identificación de Datos y Anásis de Riesgos METODOLOGÍAS PROBADAS Análisis de Brechas Limitación de Alcance Acercamiento basado en Riesgo SIEM y Administración de Eventos Acompañamiento ejecutivo y técnico Do Defición de Políticas y Objetivos de Control Act Security Health Check Programa de Seguridad de Datos CONOCIMIENTO APLICABLE Penetration Testing Investigación Forense Respuesta a Incidentes Revisón de Seguridad en Código Corrlación de Eventos Check Implementación de controles

15 Tiempo de ejecución Seguridad Filtrado de Mail y Web Preparación para Respuesta a incidentes PenTest Re-check SIEM WAF Definición de Roles y Funciones Definición de Políticas y Objetivos de Control Entrenamiento de Seguridad Pentest Definición de Plan de Trabajo Descubrimiento de Datos Análisis de Riesgos File Integrity Monitor Code Review KickOff Y Workshop Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 Mes 7 Mes 8 Redefinición de Zonas de Seguridad Monitoreo de Datos Control de Datos y Cifrado Cumplimiento SIEM y Servicios Administrados Network Vulnerability Scanning Revisión de Cumplimiento Implementación de Mejoras Auditoría

16 Conclusiones No es sólo un requerimiento legal No es un problema tecnológico Requiere tiempo y esfuerzo Involucramiento de alta dirección