IBM, las mejores prácticas para la privacidad de datos

1,368 views

Published on

Lo que todo negocio debe saber para afrontar exitosamente la nueva Ley Federal de Protección de Datos Personales

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,368
On SlideShare
0
From Embeds
0
Number of Embeds
19
Actions
Shares
0
Downloads
44
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

IBM, las mejores prácticas para la privacidad de datos

  1. 1. IBM – Seguridad de la InformaciónMejores prácticas para la privacidad de datosRoque C. JuárezConsultor de Seguridad de la Información © 2011 IBM Corporation
  2. 2. IBM – Seguridad de la Información “Secrets are only as secure as the least trusted person who knows them.” Bruce Schneier © 2011 IBM Corporation
  3. 3. IBM – Seguridad de la InformaciónContenido Contexto de la privacidad y protección de datos. Implicaciones de las regulaciones de privacidad. Premisas para el esfuerzo. Enfoque práctico recomendable. Conclusiones © 2011 IBM Corporation
  4. 4. IBM – Seguridad de la Información Contexto de la privacidad y protección de datos © 2011 IBM Corporation
  5. 5. IBM – Seguridad de la InformaciónContexto de la privacidad y protección de datos  La privacidad se apoya en seguridad de la información. –No es posible la privacidad sin seguridad. –Pero es posible tener buena seguridad sin privacidad. © 2011 IBM Corporation
  6. 6. IBM – Seguridad de la InformaciónContexto de la privacidad y protección de datos  La privacidad es personal. –Definida por el individuo. –Varía en cada cultura corporativa y social. –Un «esquema» no se aplica en forma generalizada. © 2011 IBM Corporation
  7. 7. IBM – Seguridad de la InformaciónContexto de la privacidad y protección de datos  En el mundo existen políticas y principios para promover privacidad. –Principios de protección de datos (OECD, APEC) –Leyes y regulaciones por sector (HIPAA) –Enfoques de auto regulación. • Mejores prácticas de publicidad online. • Empresas con prácticas globlales. © 2011 IBM Corporation
  8. 8. IBM – Seguridad de la InformaciónContexto de la privacidad y protección de datos – En elcaso de México. • Desde los años 2000/2001 se venían haciendo esfuerzos relativos a la legislación sobre la protección de datos personales. • El 25 de Marzo de 2010, el Senado aprueba la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. • La LFPDPPP se publica en el Diario Oficial de la Federación hasta el 5 de Julio de 2010. © 2011 IBM Corporation
  9. 9. IBM – Seguridad de la InformaciónContexto de la privacidad y protección de datos – En elcaso de México. Objeto • Art. 1. «…la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.» © 2011 IBM Corporation
  10. 10. IBM – Seguridad de la InformaciónContexto de la privacidad y protección de datos – En elcaso de México. Alcance • Art. 2. «…los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: • Las sociedades de información crediticia… • Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal…» © 2011 IBM Corporation
  11. 11. IBM – Seguridad de la InformaciónContexto de la privacidad y protección de datos – En elcaso de México. Sanciones • “…Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones II a VII del artículo anterior; • Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones VIII a XVIII del artículo anterior,” Art. 64 • “…tres meses a tres años de prisión… provoque una vulneración de seguridad…” Art. 67 • “…prisión de seis meses a cinco años… trate datos personales mediante engaño…” Art. 68 © 2011 IBM Corporation
  12. 12. IBM – Seguridad de la Información Contexto de la privacidad y protección de datos – En el caso de México.  Las fechas para recordar.• Publicación de la Ley • Entrada en vigor. • Ejercicio de derechos ARCO. • Aprobación del reglamento. • Procedimiento de protección de • Función de Datos Personales derechos y Aviso de privacidad. © 2011 IBM Corporation
  13. 13. IBM – Seguridad de la InformaciónContexto de la privacidad y protección de datos Controles de divulgación Controles de acceso Controles de divulgación Controles de Acceso (Privacidad) (Seguridad) ¿Qué datos viste/usaste? ¿Quién eres tú? ¿Cuál fue el propósito del ¿A qué grupo/categoría negocio? perteneces? Auditoria: Qué datos fueron ¿Tienes acceso/privilegio para revelados, a quién, por qué y, si se accesar las herramientas? cumplió con la política de la Auditoría: ¿Quién ingreso al empresa. sistema y cuándo? © 2011 IBM Corporation
  14. 14. IBM – Seguridad de la InformaciónLa privacidad cambia el contexto de negocio Cambios en los modelos de negocio. –Las empresas están aprovechando ventajas de la globalización. International Multinational Globally Integrated © 2011 IBM Corporation
  15. 15. IBM – Seguridad de la InformaciónLa privacidad cambia el contexto de negocio Presiones externas. –Ambiente regulatorio dinámico. –Expectativas de la sociedad, clientes y asociados de negocio. Personas Datos/Información Aplicaciones/procesos Plataformas, redes, infraestructura Infraestructura física Ambiente de operación y procesamiento de TI © 2011 IBM Corporation
  16. 16. IBM – Seguridad de la InformaciónLa privacidad cambia el contexto de negocio Evolución de los modelos tecnológicos que apoyan al negocio (ej. Cloud Computing) © 2011 IBM Corporation
  17. 17. IBM – Seguridad de la Información «La seguridad y la privacidad, no sólo son un problema tecnológico, son un problema organizacional y de gente, con implicaciones de negocio» © 2011 IBM Corporation
  18. 18. IBM – Seguridad de la Información Implicaciones de las regulaciones de privacidad © 2011 IBM Corporation
  19. 19. IBM – Seguridad de la InformaciónImplicaciones de las regulaciones de privacidad Generación de una cultura del miedo a las brechas de seguridad. © 2011 IBM Corporation
  20. 20. IBM – Seguridad de la InformaciónImplicaciones de las regulaciones de privacidad Adopción reactiva y limitada de medidas de seguridad tecnológica. © 2011 IBM Corporation
  21. 21. IBM – Seguridad de la InformaciónImplicaciones de las regulaciones de privacidad Búsqueda de resquicios y excepciones de las regulaciones de privacidad. © 2011 IBM Corporation
  22. 22. IBM – Seguridad de la InformaciónImplicaciones de las regulaciones de privacidad Reconocimiento gradual de un tópico organizacional. © 2011 IBM Corporation
  23. 23. IBM – Seguridad de la InformaciónImplicaciones de las regulaciones de privacidad Incremento de los recursos y presupuestos para el esfuerzo de privacidad y seguridad. © 2011 IBM Corporation
  24. 24. IBM – Seguridad de la Información Ahora la seguridad de la información además de compleja, es obligatoria. © 2011 IBM Corporation
  25. 25. IBM – Seguridad de la Información Premisas para el esfuerzo © 2011 IBM Corporation
  26. 26. IBM – Seguridad de la InformaciónPremisas para el esfuerzo Evitar el falso sentido de la seguridad o confianza excesiva. © 2011 IBM Corporation
  27. 27. IBM – Seguridad de la InformaciónPremisas para el esfuerzo Cambiar el paradigma de aseguramiento de infraestructura, por el aseguramiento de los datos y la información. Aseguramiento Aseguramiento de la información Protección de la de los procesos infraestructura Pública Applications Applications Privada/ personal Network Infrastructure Confidencial Databases Databases © 2011 IBM Corporation
  28. 28. IBM – Seguridad de la InformaciónPremisas para el esfuerzo Terminar la búsqueda de la «llave mágica» de la protección de datos personales. © 2011 IBM Corporation
  29. 29. IBM – Seguridad de la Información Enfoque práctico recomendable © 2011 IBM Corporation
  30. 30. IBM – Seguridad de la InformaciónEnfoque práctico recomendable Desarrollar un modelo de privacidad simple. –Definir criterios de clasificación de información. –Desarrollar un marco normativo aplicable a la organización y sus filiales. Nota: Privacidad Privacidad descansa en un modelo de seguridad sólido. Seguridad © 2011 IBM Corporation
  31. 31. IBM – Seguridad de la InformaciónEnfoque práctico recomendable Asignar roles y responsabilidades específicos de seguridad de la información y privacidad. –Dueño de los procesos/información/datos. –Custodios. –Usuarios. –Oficial de Privacidad. –Contacto para derechos ARCO. © 2011 IBM Corporation
  32. 32. IBM – Seguridad de la InformaciónEnfoque práctico recomendable Determinar procesos organizacionales, sistemas y aplicaciones donde existan datos personales. Personas Datos/Información Aplicaciones/procesos Plataformas, redes, infraestructura Infraestructura física Ambiente de operación y procesamiento de TI © 2011 IBM Corporation
  33. 33. IBM – Seguridad de la InformaciónEnfoque práctico recomendable Desarrollar análisis de riesgos y de impacto para determinar prioridades de protección. Estrategia de Seguridad Nivel de riesgo aceptable © 2011 IBM Corporation
  34. 34. IBM – Seguridad de la InformaciónEnfoque práctico recomendable Capacitar al personal de la organización y terceros, en temas de privacidad de datos. © 2011 IBM Corporation
  35. 35. IBM – Seguridad de la InformaciónEnfoque práctico recomendable Integrar un marco de gestión de la privacidad. –Procesos administrativos. • Solicitud y atención de derechos ARCO. Procesos • Atención de revisiones externas. • Control de comunicaciones. • Relación con entidades especializadas. Roles y Gestión y responsabilidades –Procesos de gestión técnica operación de la privacidad • Respaldo de datos personales. • Control de vulnerabilidades técnicas. Estructuras de cumplimiento • Monitoreo de acceso y uso de datos. • Destrucción de información. • Transmisión y uso de datos. Métricas e • Gestión de bitácoras y evidencias. indicadores • Gestión de incidentes y brechas. –Procesos de medición de efectividad. © 2011 IBM Corporation
  36. 36. IBM – Seguridad de la InformaciónEnfoque práctico recomendable Adquisición de nuevos mecanismos integrales de protección de información. • Bloqueo de datos. GOBIERNO DE SEGURIDAD, GESTIÓN DE • Disociación de datos. RIESGO Y CUMPLIMIENTO USUARIOS E IDENTIDADES Requerimiento de la Ley • Obtención de datos. DATOS E INFORMACIÓN • Cancelación de datos. APLICACIONES Y PROCESOS • Resguardo de datos. REDES, SERVIDORES Y END POINT • Transmisión de datos. INFRAESTRUCTURA FÍSICA • Almacenamiento de datos. • Control de las vulnerabilidades. Servicios Servicios Hardware y • Control actividades para profesionales administrados software derechos ARCO. © 2011 IBM Corporation
  37. 37. IBM – Seguridad de la InformaciónEnfoque práctico recomendable Ejemplo: Modelo integral de IBM para la protección de datos. –Políticas y estándares corporativos. –Amplio esquema de administración de la Este es un proceso información. continuo –Mejores prácticas: Desarrollo e completo incorporación. –Educación/Comunicación. –Controles de negocio. –Modelo de respuesta a incidentes / Aprendizaje. © 2011 IBM Corporation
  38. 38. IBM – Seguridad de la Información «La organización debe considerar el desarrollo gradual de una cultura de la privacidad» © 2011 IBM Corporation
  39. 39. IBM – Seguridad de la Información Conclusiones © 2011 IBM Corporation
  40. 40. IBM – Seguridad de la InformaciónConclusiones Para lograr la protección de datos personales, no es suficiente replicar el esquema tecnológico de seguridad. © 2011 IBM Corporation
  41. 41. IBM – Seguridad de la InformaciónConclusiones Cumplir con los ejercicios de auditoría o certificación, no garantiza que estemos logrando el nivel de aseguramiento requerido por la organización. ¿? El cumplimiento de la Ley debe ser una muestra natural del éxito de la gestión de seguridad de la información en la organización. © 2011 IBM Corporation
  42. 42. IBM – Seguridad de la InformaciónConclusiones La incorporación de nuevos servicios y métodos de tecnología implica una evaluación de negocio. © 2011 IBM Corporation
  43. 43. IBM – Seguridad de la InformaciónConclusiones La seguridad y privacidad son procesos… seguiremos teniendo costos altos, impactos ignorados y cierto nivel de “inseguridad”. © 2011 IBM Corporation
  44. 44. IBM – Seguridad de la InformaciónConclusiones El cumplimiento de las regulaciones de privacidad aumenta la confianza de los clientes y colaboradores, y desarrolla nuevos diferenciadores de negocio. © 2011 IBM Corporation
  45. 45. IBM – Seguridad de la Información¿¿Preguntas?? © 2011 IBM Corporation
  46. 46. IBM – Seguridad de la Información ¡Gracias! Roque C. Juárez, IBM de México Consultor de Seguridad de la Información rjuarez@mx1.ibm.com @roque_juarez © 2011 IBM Corporation

×