2013-12-05 Recomendaciones en materia de Seguridad de Datos Personales
Recomendaciones en materia de Seguridad de Datos Personales Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales Manual en materia de Seguridad de Datos Personales para MIPYMES
Normativa LFPDPPP. Artículo 19.- Los responsables deben tener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales. Reglamento. Capítulo III.- De las medidas de Seguridad en el Tratamiento de Datos Personales. Reglamento. Artículo 58.- El Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de sanciones.
Por qué nos debe interesar la seguridad de los datos personales? La protección de datos personales es un derecho fundamental. Ayuda a prevenir y mitigar los efectos de una fuga o mal uso de los datos personales. Evitar pérdidas económicas debido a multas u otros daños y pérdida de clientes e inversionistas. Habilita el comercio y aumenta la competitividad debido a que mejora la confianza en consumidores e inversionistas.
Recomendaciones en materia de Seguridad de Datos Personales Publicadas el 30 de Octubre en el Diario Oficial de la Federación. Marco de referencia respecto a las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales. http://goo.gl/iix7zb
Recomendación general Para la seguridad de los datos personales, el IFAI RECOMIENDA la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).
Ciclo General del Sistema de Gestión de Seguridad de Datos Personales
Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales Estuvo a disposición para consulta pública hasta el 25 de octubre, en el sitio web del IFAI, en la sección de Protección de los datos personales -> Seguridad de los datos personales. http://goo.gl/xf10zk Por el momento, se analizan los comentarios y observaciones que proceden para la mejora del documento, y presentar su versión final.
Fase 1. Planear el SGSDP
Paso 1. Establecer el Alcance y los Objetivos Se debe delimitar el contexto y el ámbito de aplicación, considerando: Factores contractuales Factores legales y regulatorios Factores del modelo de negocio Factores tecnológicos
Paso 2. Elaborar una Política de Gestión de Datos Personales Establecer el compromiso formal de la organización considerando: Los principios de Protección de Datos de la Ley Los deberes de seguridad y confidencialidad El respeto a los derechos de los Titulares El desarrollo del SGSDP Las responsabilidades y rendición de cuentas de los involucrados
Paso 3. Establecer Funciones y Obligaciones de Quienes Traten Datos Personales
Paso 4. Elaborar un Inventario de Datos Personales
Categorías de datos personales según su riesgo Datos con riesgo inherente bajo Datos con riesgo inherente alto Datos con riesgo inherente reforzado
Paso 5. Realizar el Análisis de Riesgos de los Datos Personales Criterios de impacto Criterios de aceptación del riesgo
Valoración Respecto al Riesgo Después de definir los criterios de evaluación del riesgo Identificar Activos Identificar Amenazas Identificar Vulnerabilidades Identificar Escenarios de Vulneración y sus Consecuencias
Identificar Escenarios de Vulneración y Consecuencias
Paso 6. Identificación de las medidas de Seguridad y Análisis de Brecha Medidas de seguridad administrativas, técnica y físicas: Políticas del SGSDP Cumplimiento legal Estructura organizacional de la seguridad Clasificación y acceso de los activos Seguridad del personal Seguridad física y ambiental Gestión de comunicaciones y operaciones Control de acceso Desarrollo y mantenimiento de sistemas Vulneraciones de seguridad
Paso 6. Identificación de las medidas de Seguridad y Análisis de Brecha El análisis de brecha consiste en identificar: Las medidas de seguridad existentes Las medidas de seguridad existentes que operan correctamente Las medidas de seguridad faltantes Si existen nuevas medidas de seguridad que puedan remplazar a uno o más controles implementados actualmente
Fase 2. Implementar y Operar el SGSDP
Paso 7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales Cumplimiento cotidiano de medidas de seguridad: Indicadores para el cambio en el contexto de la organización Rendición de cuentas sobre el SGSDP Cumplimiento de los establecido en las políticas Aprobación de procedimientos donde se traten datos personales
Plan de Trabajo para la Implementación de las Medidas de Seguridad Faltantes
Aceptación del Riesgo Residual y Comunicación del Riesgo El riesgo residual después de la aplicación de controles debe aceptarse si se alinea a los alcances y objetivos. Debe existir siempre comunicación continua del estado del riesgo y del contexto en la organización.
Fase 3. Monitorear y Revisar el SGSDP
Paso 8. Revisiones y Auditoría Revisión de los Factores de Riesgo Nuevos activos y modificaciones necesarias Actualización de amenazas y vulnerabilidades Cambio en el impacto de los escenarios Identificación de vulneraciones a la seguridad Monitoreo y auditoría (interna y externa)
Vulneraciones a la Seguridad de la Información Robo, extravió o copia no autorizada Pérdida o destrucción no autorizada Vulneraciones Uso o acceso no autorizado Daño, la alteración o modificación no autorizada
Procedimiento ante una vulneración 1. Identificación de la vulneración 2. Notificación de la vulneración 3. Remediación del incidente
Fase 4. Mejorar el SGSDP
Paso 9. Mejora Continua y Capacitación Mejora Continua: a) Acciones Correctivas b) Acciones Preventivas Capacitación: a) Concienciación b) Entrenamiento c) Educación
Manual en materia de Seguridad de Datos Personales para MIPYMES En proceso de elaboración. Es difícil que una organización dentro de la categoría de MIPYME implemente un programa de seguridad de la información impecable, pero se pueden implementar medidas de seguridad básicas para minimizar las vulneraciones a los datos personales y sistemas de tratamiento.
Manual en materia de Seguridad de Datos Personales para MIPYMES Las Recomendaciones y su Guía son de un alto valor y rigor técnico Es prioritario proporcionar un documento adicional de fácil comprensión Que permita evaluar e implementar medidas de seguridad, bajo los criterios de las Recomendaciones, a menor costo Implementar el Sistema de Gestión de manera sencilla, a través de preguntas sobre el tratamiento de los datos personales
Planear El Dr. Pérez obtiene datos personales de sus pacientes y quiere protegerlos contra vulneraciones como: Que alguien mal intencionado destruya los archivos El extravío de su equipo de cómputo Que su asistente pierda una memoria USB con información de los pacientes y alguien más la use Que alguien malintencionado modifique sus expedientes
Planear Haciéndose preguntas sobre cómo trata los datos personales y sus medidas de seguridad, el Dr. Pérez identifica sus áreas de oportunidad.
Implementar y Operar El Dr. Pérez elabora un plan de trabajo en función de su presupuesto y las áreas de oportunidad que identificó. Comienza implementando medidas de seguridad basadas en comportamiento y mejora de las configuraciones.
Monitorear y Revisar El Dr. Pérez se organiza para monitorear el cumplimiento cotidiano de sus medidas de seguridad. Cada cierto tiempo se vuelve a cuestionar sobre el uso que da a los datos y sobre sus medidas de seguridad.
Mejorar El Dr. Pérez se da cuenta que va madurando en el uso de los datos personales y se compromete a mejorar los controles respecto a la seguridad.
Estándares Internacionales El IFAI recomienda la consulta de los siguientes estándares internacionales: BS 10012:2009 Data protection Specification for a personal information management system ISO/IEC 27001:2013, Information Technology Security techniques Information security management systems Requirements. ISO/IEC 27002:2013, Information Technology Security techniques Code of practice for security management. ISO/IEC 27005:2008, Information Technology Security techniques Information security risk management.
Estándares Internacionales ISO/IEC 29100:2011 Information technology Security techniques Privacy framework ISO 31000:2009, Risk management Principles and guidelines ISO GUIDE 72, Guidelines for the justification and development of management systems standards ISO GUIDE 73, Risk management Vocabulary ISO 9000:2005, Quality management systems - Fundamentals and vocabulary NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems OECD Guidelines for the Security of Information Systems and Networks Towards a Culture of Security.
Dudas? seguridatos@ifai.org.mx Dirección General de Autorregulación