Recomendaciones en materia de Seguridad de Datos Personales

Documentos relacionados
Ley Federal de Protección de Datos Personales en Posesión de Particulares

ANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J]

CURSO INTEGRAL PARA LA IMPLEMENTACIÓN DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES DESCRIPCIÓN AUDIENCIA

Anexo O. Cálculo de la Inversión del Proyecto

LOS DATOS PERSONALES Y EL DESARROLLO TECNOLÓGICO

Norma IRAM-ISO/IEC 27001

La Privacidad ha muerto larga vida a la Privacidad

Paquete Premium de documentos sobre ISO e ISO 22301

Santos Pardos 24 de mayo de 2018

DOCUMENTO DE SEGURIDAD

Gestión de la seguridad de la información: UNE 71502, ISO Antonio Villalón Huerta

Paquete de documentos sobre ISO 27001

Auditoría» ISO/IEC 27001» Requerimientos

Implementación de SGSI conforme a la NTP ISO Experiencia en Implementaciones

FACTORES DE ÉXITO EN EL DESARROLLO DE UN SGSI. Fabián Cárdenas Varela Área de Consultoría NewNet S.A.

4.6 ISO/IEC 29100:2011, Information Technology - Security techniques -- Privacy framework.

ISO/IEC Gestión de la seguridad de la información. Ing. Marco Antonio Paredes Poblano

Caso Práctico: Proyecto de Certificación ISO 27001

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (ISO/IEC 27001)

Plan Estratégico de Seguridad y Privacidad de la Información

Rol del auditor interno para evaluar la gestión del riesgo de Ciber Seguridad Gabriel Santiago Alderete

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

ISO/IEC 17799:2005(E)

Formato 1 Diseño estructural y propuesta de actividades

1. PRESENTACIÓN SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES Definiciones Qué es un Sistema de Gestión?...

Procedimiento de Calidad para la Mejora Continua PC DIFEM DG 07

PATRICIA LOPEZ. Responsable de Auditoría Informática. Centro de Gestión de Incidentes Informáticos CGII.

VI JORNADA SOBRE CONTROL INTERNO Y RIESGO EN ENTIDADES FINANCIERAS

Qué es un Sistema de Gestión n Ambiental? Introducción n a los Sistemas de Gestión Ambiental (SGA) Objetivos

Cuánto vale tu identidad? MAT. Miriam J. Padilla Espinosa

Quito Ecuador EXTRACTO

AUDITORIA EN SISTEMAS NORMA DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA

1. PRESENTACIÓN SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES Definiciones Qué es un Sistema de Gestión?...

CURSO DE PREPARACIÓN PARA EL EXAMEN INTERNACIONAL COMO GERENTE CERTIFICADO EN SEGURIDAD DE LA INFORMACIÓN C.I.S.M 2017

Este programa está basado en el proceso genérico de aseguramiento desarrollado en la sección 2B del libro COBIT 5 para aseguramiento.

SEGURIDAD INTEGRAL: TECNOLOGÍAS DE LA INFORMACIÓN, EL ENFOQUE EN PERSONAS Y PROCESOS

METODOLOGÍA ÁGIL DE ESTABLECIMIENTO DE SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN BASADOS EN ISO/IEC27001

NTE INEN-ISO/IEC Segunda edición

Adecuación legal en materia de protección de datos personales para la administración pública

Este dominio consta de 13 procesos que se describen a continuación.

ACTUALIDAD LEGAL. 25 de junio de 2014 PARÁMETROS DE AUTORREGULACIÓN EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES

POLITICA GENERAL DE CONTINUIDAD DE NEGOCIOS (NIVEL 1)

Norma Heriberto Tirado Pinzon Carlos Andres Velasquez Luis Ernesto Guerrero

Normativas relacionadas con Seguridad Informática

Marco de privacidad La información es tu activo más valioso, el poder de protegerlo está en tus manos

Metodologías de Seguridad de la Información. Dr. Erbert Osco M.

Cómo IMPLEMENTAR un SGPDP desde la óptica de la GESTION DEL RIESGO.

Política de Confidencialidad

JM Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez

18 POLITICAS DE SEGURIDAD PARA LA ADQUISICIÓN, MANTENIMIENTO Y DESARROLLO DE SISTEMAS DE INFORMACIÓN

Dirección y Gerencia

La actualización de las normas ISO 9001 e ISO y la transición de la certificación de los sistemas de gestión

EMISIÓN. Aplica a todos los procesos definidos dentro del alcance de cada Sistema de Gestión de Pronósticos para la Asistencia Pública.

GUIA DE AUDITORIA BASADA EN RIESGOS PARA TECNOLOGIA DE INFORMACIÓN (TI) EN LA BANCA PÚBLICA

Gestión de Riesgos de Calidad una opinión a la implementación. Héctor Hugo Téllez Cansigno

La estructura para la administración del riesgo operativo de Citibank Colombia S.A. es la siguiente:

ESTRUCTURA RECOMENDADA PARA EL DOCUMENTO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2013 VERSIÓN 1.0

El RUC herramienta para el cumplimiento del SGSST y los estándares mínimos

COBIT 4.1. Planear y Organizar PO9 Evaluar y Administrar los Riesgos de TI. By Juan Antonio Vásquez

Gestión de Riesgos en el Sector Eléctrico. Gerencia de Fiscalización Eléctrica Congreso Internacional de Supervisión del Servicio Eléctrico

Política de seguridad

Programa Analítico Vicerrectoría Académica

SISTEMATIZACIÓN DE LA EFICIENCIA ENERGÉTICA: NORMA ISO

La estructura para la administración del riesgo operativo de Citivalores-Colombia S.A. es la siguiente:

Los estándares internacionales para gestión de servicios y su relevancia en el mercado Latinoamericano. Pablo Corona

XII JICS 25 y 26 de noviembre de 2010

Accenture Aspectos Corporativos de Data Privacy y Compliance

NORMA TÉCNICA DE COMPETENCIA LABORAL

SEGURIDAD DE LOS DATOS PERSONALES

4.18 Control Objectives for Information and Related Technology (COBIT 5).

05/10/2009. Situación actual. Taller Especializado en Procesos de Certificación Orgánica. Taller Especializado en Procesos de Certificación Orgánica

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN APIUX TECNOLOGÍA SPA

CARACTERIZACIÓN DEL PROCESO DE CONTRATACIÓN

NORMAS Y MODELOS DE REFERENCIA DE CIBERSEGURIDAD PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD

POLITICA DE SEGURIDAD DE LA INFORMACION

GESTIÓN DEL RIESGO PROCEDIMIENTO - INSTRUCTIVO DIRECTRICES MATRIZ

Administración de la Seguridad de la Información

DIPLOMADO VIRTUAL: ISO 9001:2015 Una herramienta al alcance de todos!

La Gestión de Riesgos y Controles en Sistemas de Información - GRCSI

Protección de Datos Personales en Posesión de los Particulares

Manejo de Incidentes. Autor: Ing. José Luis Chávez Cortéz

Requerimientos básicos en la gestión de la seguridad de la información

PATRIMONIO AUTÓNOMO FONDO COLOMBIA EN PAZ PA-FCP. CONVOCATORIA PÚBLICA No. 020 de 2018 ANÁLISIS PRELIMINAR DE LA CONTRATACIÓN

Plan de transición de la certificación con la norma ISO (Fecha de generación )

ISI-MGP-ABCP INGENIERO EN SISTEMAS DE INFORMACION (ISI) MAESTRIA EN GESTION DE PROYECTOS (MGP) PROFESIONAL ASOCIADO CONTINUIDAD NEGOCIOS DRII (ABCP)

MARCO GENERAL DE LA GESTIÓN DEL RIESGO UN

El paquete completo de COBIT consiste en:

Plan de Migración de la certificación con la norma OHSAS a ISO 45001:2018. Fecha de Emisión:

INTENDENCIA DE VALORES. Riesgo Tecnológico, Impacto y Autoevaluación

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03

POLÍTICA PARA LA ADMINISTRACIÓN DE RIESGOS

Sistema de Gestión de la Seguridad y Salud en el Trabajo DECRETO 1072 DEL 26 DE MAYO DE 2015 Libro 2, Parte 2, Titulo 4, Capitulo 6

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

Todos los derechos reservados

Taller Especializado en Procesos de Acreditación

Política de Seguridad

VICEMINISTERIO DE RELACIONES LABORALES E INSPECCIÓN DIRECCION DE RIESGOS LABORALES

La Evaluación del Riesgo Ambiental (contenido y fases)

Transcripción:

2013-12-05 Recomendaciones en materia de Seguridad de Datos Personales

Recomendaciones en materia de Seguridad de Datos Personales Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales Manual en materia de Seguridad de Datos Personales para MIPYMES

Normativa LFPDPPP. Artículo 19.- Los responsables deben tener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales. Reglamento. Capítulo III.- De las medidas de Seguridad en el Tratamiento de Datos Personales. Reglamento. Artículo 58.- El Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de sanciones.

Por qué nos debe interesar la seguridad de los datos personales? La protección de datos personales es un derecho fundamental. Ayuda a prevenir y mitigar los efectos de una fuga o mal uso de los datos personales. Evitar pérdidas económicas debido a multas u otros daños y pérdida de clientes e inversionistas. Habilita el comercio y aumenta la competitividad debido a que mejora la confianza en consumidores e inversionistas.

Recomendaciones en materia de Seguridad de Datos Personales Publicadas el 30 de Octubre en el Diario Oficial de la Federación. Marco de referencia respecto a las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales. http://goo.gl/iix7zb

Recomendación general Para la seguridad de los datos personales, el IFAI RECOMIENDA la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).

Ciclo General del Sistema de Gestión de Seguridad de Datos Personales

Guía para Implementar un Sistema de Gestión de Seguridad de Datos Personales Estuvo a disposición para consulta pública hasta el 25 de octubre, en el sitio web del IFAI, en la sección de Protección de los datos personales -> Seguridad de los datos personales. http://goo.gl/xf10zk Por el momento, se analizan los comentarios y observaciones que proceden para la mejora del documento, y presentar su versión final.

Fase 1. Planear el SGSDP

Paso 1. Establecer el Alcance y los Objetivos Se debe delimitar el contexto y el ámbito de aplicación, considerando: Factores contractuales Factores legales y regulatorios Factores del modelo de negocio Factores tecnológicos

Paso 2. Elaborar una Política de Gestión de Datos Personales Establecer el compromiso formal de la organización considerando: Los principios de Protección de Datos de la Ley Los deberes de seguridad y confidencialidad El respeto a los derechos de los Titulares El desarrollo del SGSDP Las responsabilidades y rendición de cuentas de los involucrados

Paso 3. Establecer Funciones y Obligaciones de Quienes Traten Datos Personales

Paso 4. Elaborar un Inventario de Datos Personales

Categorías de datos personales según su riesgo Datos con riesgo inherente bajo Datos con riesgo inherente alto Datos con riesgo inherente reforzado

Paso 5. Realizar el Análisis de Riesgos de los Datos Personales Criterios de impacto Criterios de aceptación del riesgo

Valoración Respecto al Riesgo Después de definir los criterios de evaluación del riesgo Identificar Activos Identificar Amenazas Identificar Vulnerabilidades Identificar Escenarios de Vulneración y sus Consecuencias

Identificar Escenarios de Vulneración y Consecuencias

Paso 6. Identificación de las medidas de Seguridad y Análisis de Brecha Medidas de seguridad administrativas, técnica y físicas: Políticas del SGSDP Cumplimiento legal Estructura organizacional de la seguridad Clasificación y acceso de los activos Seguridad del personal Seguridad física y ambiental Gestión de comunicaciones y operaciones Control de acceso Desarrollo y mantenimiento de sistemas Vulneraciones de seguridad

Paso 6. Identificación de las medidas de Seguridad y Análisis de Brecha El análisis de brecha consiste en identificar: Las medidas de seguridad existentes Las medidas de seguridad existentes que operan correctamente Las medidas de seguridad faltantes Si existen nuevas medidas de seguridad que puedan remplazar a uno o más controles implementados actualmente

Fase 2. Implementar y Operar el SGSDP

Paso 7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales Cumplimiento cotidiano de medidas de seguridad: Indicadores para el cambio en el contexto de la organización Rendición de cuentas sobre el SGSDP Cumplimiento de los establecido en las políticas Aprobación de procedimientos donde se traten datos personales

Plan de Trabajo para la Implementación de las Medidas de Seguridad Faltantes

Aceptación del Riesgo Residual y Comunicación del Riesgo El riesgo residual después de la aplicación de controles debe aceptarse si se alinea a los alcances y objetivos. Debe existir siempre comunicación continua del estado del riesgo y del contexto en la organización.

Fase 3. Monitorear y Revisar el SGSDP

Paso 8. Revisiones y Auditoría Revisión de los Factores de Riesgo Nuevos activos y modificaciones necesarias Actualización de amenazas y vulnerabilidades Cambio en el impacto de los escenarios Identificación de vulneraciones a la seguridad Monitoreo y auditoría (interna y externa)

Vulneraciones a la Seguridad de la Información Robo, extravió o copia no autorizada Pérdida o destrucción no autorizada Vulneraciones Uso o acceso no autorizado Daño, la alteración o modificación no autorizada

Procedimiento ante una vulneración 1. Identificación de la vulneración 2. Notificación de la vulneración 3. Remediación del incidente

Fase 4. Mejorar el SGSDP

Paso 9. Mejora Continua y Capacitación Mejora Continua: a) Acciones Correctivas b) Acciones Preventivas Capacitación: a) Concienciación b) Entrenamiento c) Educación

Manual en materia de Seguridad de Datos Personales para MIPYMES En proceso de elaboración. Es difícil que una organización dentro de la categoría de MIPYME implemente un programa de seguridad de la información impecable, pero se pueden implementar medidas de seguridad básicas para minimizar las vulneraciones a los datos personales y sistemas de tratamiento.

Manual en materia de Seguridad de Datos Personales para MIPYMES Las Recomendaciones y su Guía son de un alto valor y rigor técnico Es prioritario proporcionar un documento adicional de fácil comprensión Que permita evaluar e implementar medidas de seguridad, bajo los criterios de las Recomendaciones, a menor costo Implementar el Sistema de Gestión de manera sencilla, a través de preguntas sobre el tratamiento de los datos personales

Planear El Dr. Pérez obtiene datos personales de sus pacientes y quiere protegerlos contra vulneraciones como: Que alguien mal intencionado destruya los archivos El extravío de su equipo de cómputo Que su asistente pierda una memoria USB con información de los pacientes y alguien más la use Que alguien malintencionado modifique sus expedientes

Planear Haciéndose preguntas sobre cómo trata los datos personales y sus medidas de seguridad, el Dr. Pérez identifica sus áreas de oportunidad.

Implementar y Operar El Dr. Pérez elabora un plan de trabajo en función de su presupuesto y las áreas de oportunidad que identificó. Comienza implementando medidas de seguridad basadas en comportamiento y mejora de las configuraciones.

Monitorear y Revisar El Dr. Pérez se organiza para monitorear el cumplimiento cotidiano de sus medidas de seguridad. Cada cierto tiempo se vuelve a cuestionar sobre el uso que da a los datos y sobre sus medidas de seguridad.

Mejorar El Dr. Pérez se da cuenta que va madurando en el uso de los datos personales y se compromete a mejorar los controles respecto a la seguridad.

Estándares Internacionales El IFAI recomienda la consulta de los siguientes estándares internacionales: BS 10012:2009 Data protection Specification for a personal information management system ISO/IEC 27001:2013, Information Technology Security techniques Information security management systems Requirements. ISO/IEC 27002:2013, Information Technology Security techniques Code of practice for security management. ISO/IEC 27005:2008, Information Technology Security techniques Information security risk management.

Estándares Internacionales ISO/IEC 29100:2011 Information technology Security techniques Privacy framework ISO 31000:2009, Risk management Principles and guidelines ISO GUIDE 72, Guidelines for the justification and development of management systems standards ISO GUIDE 73, Risk management Vocabulary ISO 9000:2005, Quality management systems - Fundamentals and vocabulary NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems OECD Guidelines for the Security of Information Systems and Networks Towards a Culture of Security.

Dudas? seguridatos@ifai.org.mx Dirección General de Autorregulación

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback