Este documento presenta una conferencia sobre auditoría de sistemas de información, seguridad y protección de datos personales. La conferencia cubre temas como conceptos generales de privacidad y riesgo, marcos de referencia como COBIT y ISO 27000, y retos relacionados con el cumplimiento, revisión y mejora continua de la seguridad y privacidad de la información. El orador también discute la importancia de satisfacer las necesidades de las partes interesadas y cubrir a la organización de forma integral cuando se trata de gobierno y administración
5. @CarlosChalico
#InfoDFprivacidad
¿Qué es Privacidad?
5
•En términos generales
privacidad es la habilidad de
controlar cómo un individuo es
identificado, contactado y
localizado.
•Por décadas, los principios
sobre privacidad han
evolucionado presentando
algunos temas en común a
pesar de relacionarse con
estructuras legales y sociales
diferentes alrededor del
mundo.
•“La Privacidad agrupa los
derechos y obligaciones de los
individuos y las organizaciones
con respecto a la colección,
uso, revelación y retención de
información para identificar
personas (personally
identifiable information / PII)”
•Fuente: AICPA
6. @CarlosChalico
#InfoDFprivacidad
Avance en el mundo
6
LEYENDAS
Ley Nacional de privacidad o protección de datos vigente
Otras leyes significativas vigentes
Leyes de Privacidad o Protección de Datos emergentes
LEYENDAS
Ley Nacional de privacidad o protección de datos vigente
Otras leyes significativas vigentes
Leyes de Privacidad o Protección de Datos emergentes
7. @CarlosChalico
#InfoDFprivacidad
Avance en México
• 2003. IFAI
• 2006. InfoDF
• 2007.Artículo 6 constitucional
• 2008. Ley de Protección de Datos Personales para el DF
• 2009.Artículos 16 Constitucional y 73 fracción XXIX-O
• 2010. Ley Federal de Protección de Datos Personales en
Posesión de los Particulares (LFPDPPP)
• 2012. Reglamento LFPDPPP
7
19. @CarlosChalico
#InfoDFprivacidad
El Entorno deTI
19
Physical
Networks
Plataformas
Datos/DBMS
ProcesosProcesos
Entorno Físico
Redes
Plataformas
Datos / Sistema de
Administración de Bases de Datos
Aplicaciones
Procesos
Tipos de Controles de Aplicación
– Ediciones de Entrada
– Validaciones de Datos
– Información de Excepciones
– Segregación de Funciones (seguridad)
– Validaciones de Reglas de Negocios
– Restricciones de Acceso
– Controles de Interfase
– Controles de Configuración
ControlesGeneralesdeTI
Controles generales de TI
– Garantía de Continuidad del Servicio
– Administración de Rendimiento y
Capacidad
– Administración de la Seguridad del Sistema
– Administración de Problemas e Incidentes
– Administración de Datos
– Administración del Espacio Físico de TI
– Administración de Operaciones
– Administración de Cambios
ControlesdeAplicacióny
ControlesManuales
Los Controles Generales brindan la base para los controles de aplicación
25. @CarlosChalico
#InfoDFprivacidad
Información, beneficio, valor
• La información es un bien valioso
• Los datos personales son una pieza clave
• La TI constituye un soporte indiscutible
• Entre los beneficios que hoy se buscan están:
• Calidad en la información
• Generación de valor en los procesos de tratamiento
• Manejo adecuado de riesgos relacionados
• Optimización de costos asociados.
25
26. @CarlosChalico
#InfoDFprivacidad
Valor para las partes interesadas
• Buen gobierno y buena administración
• La información y la TI deben ser reconocidas como
elementos de valor
• Cada día hay mayores exigencias de cumplimiento
• COBIT 5 proporciona un marco integral para lograr la
generación de valor a través de un la aplicación de un
efectivo modelo de gobierno y administración de TI.
26
27. @CarlosChalico
#InfoDFprivacidad
Gobierno y Administración deTI
• Gobierno de TI: Asegura que la organización alcance
sus objetivos a través de la evaluación de las
necesidades, condiciones y opciones de las partes
interesadas; estableciendo dirección a través de la
priorización de acciones y la toma de decisiones; y
monitoreando el cumplimiento, desempeño y progreso
de las acciones ejecutadas para alcanzar los objetivos y
seguir la dirección establecida.
27
28. @CarlosChalico
#InfoDFprivacidad
Gobierno y Administración deTI
• Administración de TI: Planea, construye, ejecuta y
monitorea que las actividades ejecutadas estén en línea
con la dirección establecida por el cuerpo de gobierno
de la organización para alcanzar los objetivos
institucionales.
28
30. @CarlosChalico
#InfoDFprivacidad
Principios y habilitadores
• COBIT ayuda a las organizaciones a
• Generar y reconocer valor de TI
• Equilibrar disminución de riesgos y uso de recursos
• Tener un enfoque holístico
• COBIT cuenta con
• 5 Principios
• 7 habilitadores
30
33. @CarlosChalico
#InfoDFprivacidad
Ahondemos en los principios
33
Principios de
COBIT 5
1. Satisfacer
las
necesidades de
las partes
interesadas
2. Cubrir la
Organización de
forma integral
3. Aplicar un
solo marco
integrado
4. Habilitar un
enfoque
holistico
5. Separar el
Gobierno de la
Administración
35. @CarlosChalico
#InfoDFprivacidad
35
Satisfacer las necesidades de las partes
interesadas
!
●Las Organizaciones tienen muchas partes interesadas y
“crear valor” tiene diferentes significados – a veces
conflictivos – para cada una de ellas.
●En el Gobierno se trata de negociar y decidir entre los
diversos intereses de beneficio de las diferentes partes
interesadas.
●El sistema de Gobierno deberá considerar a todas las partes
interesadas al tomar decisiones con respecto a la evaluación
de riesgos, los beneficios y el manejo de recursos.
●Para cada decisión se pueden, y se deben, hacer las
siguientes preguntas:
¿Quién recibe los beneficios?
¿Quién asume el riesgo?
¿Qué recursos se necesitan?
37. @CarlosChalico
#InfoDFprivacidad
Los beneficios de las Metas en Cascada de COBIT 5:
●Permiten definir las prioridades para implementar,
mejorar y asegurar el gobierno corporativo de la TI, en
base de los objetivos (estratégicos) de la Organización y
los riesgos relacionados:
●En la práctica, las metas en cascada:
●Definen los objetivos y las metas tangibles y relevantes, en diferentes
niveles de responsabilidad.
●Filtran la base de conocimiento de COBIT 5, en base a las metas
corporativas para extraer una orientación relevante para la inclusión en
los proyectos específicos de implementación, mejora o aseguramiento.
●Claramente identifican y comunican qué importancia tienen los
habilitadores (algunas veces muy operacionales) para lograr las metas
corporativas.
37
Satisfacer las necesidades de las partes
interesadas
38. @CarlosChalico
#InfoDFprivacidad
Cubrir a la organización de Forma Integral
●COBIT 5 se concentra en el gobierno y la administración
de la tecnología de la información y relacionadas desde
una perspectiva integral a nivel de toda la Organización.
●Esto significa que COBIT 5:
●Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea,
el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se
integra, de una manera fluida, en cualquier sistema de gobierno, toda vez
que COBIT 5 está alineado a los últimos desarrollos en gobierno
corporativo.
●Cubre todas las funciones y los procesos dentro de la Organización;
COBIT 5 no solamente se concentra en la “Función de la TI”, sino
trata la tecnología de la información y relacionadas como activos que
necesitan ser manejados como cualquier otro activo, por todos en la
Organización.
38
41. @CarlosChalico
#InfoDFprivacidad
Aplicar un solo marco integrado
●COBIT 5 está alineado con los últimos marcos y normas
relevantes usados por las organizaciones:
●Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
●Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000,TOGAF,
PMBOK/PRINCE2, CMMI
●Etc.
●Así se permite a la Organización utilizar COBIT 5 como
integrador macro en el marco de gobierno y
administración.
●ISACA está desarrollando el modelo de capacidad de los
procesos para facilitar al usuario de COBIT el mapeo de
las prácticas y actividades contra los marcos y normas de
terceros.
41
42. @CarlosChalico
#InfoDFprivacidad
Habilitar un enfoque holístico
Los Habilitadores de COBIT 5 son:
●Factores que, individual y colectivamente, influyen sobre si
algo funcionará – en el caso de COBIT, Gobierno y
Administración sobre la TI corporativa.
●Impulsados por las metas en cascada, o sea: las metas de
alto nivel relacionadas con la TI definen qué deberían
lograr los diferentes habilitadores.
●Descritos por el marco de COBIT 5 en siete categorías.
42
44. @CarlosChalico
#InfoDFprivacidad
Habilitar un enfoque holístico
!
1. Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados
objetivos y producir una serie de resultados como apoyo al logro de las metas globales
relacionadas con la TI.
2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en
una organización.
3. Cultura, Ética y Comportamiento – De los individuos así como de la organización; se
subestima frecuentemente como factor de éxito en las actividades de gobierno y administración.
4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en
una orientación práctica para la administración diaria.
5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se
trata de toda la información producida y usada por la Organización. La información es requerida
para mantener la organización andando y bien gobernada, pero a nivel operativo, la información
frecuentemente es el producto clave de la organización en si.
6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las
aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la
organización.
7. Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas
para completar exitosamente todas las actividades y para tomar las decisiones correctas, así
como para llevar a cabo las acciones correctivas.
44
45. @CarlosChalico
#InfoDFprivacidad
Habilitar un enfoque holístico
!
●Administración y Gobierno sistémico mediante habilitadores
interconectados – Para lograr los objetivos principales de la
Organización, siempre debe considerarse una serie
interconectada de habilitadores, o sea, cada habilitador:
●Necesita una entrada de otros habilitadores para ser
completamente efectivo, o sea, los procesos necesitan
información, las estructuras organizacionales necesitan
habilidades y comportamiento.
●Entrega un producto de salida a beneficio de otros
habilitadores, o sea, los procesos entregan información, las
habilidades y el comportamiento hacen que los procesos sean
eficientes.
●Esto constituye un principio CLAVE que surge del trabajo de
desarrollo de ISACA en el Modelo de Negocios para la Seguridad
de la Información.
45
47. @CarlosChalico
#InfoDFprivacidad
Separar el gobierno de la administración
●El marco de COBIT 5 plasma una distinción muy clara
entre el Gobierno y la Administración.
●Estas dos disciplinas:
●Comprenden diferentes tipos de actividades
●Requieren diferentes estructuras organizacionales
●Cumplen diferentes propósitos
●Gobierno— En la mayoría de las organizaciones el
Gobierno es responsabilidad de la Junta Directiva bajo el
liderazgo de su Presidente.
●Administración— En la mayoría de las organizaciones, la
Administración es responsabilidad de la Gerencia
Ejecutiva, bajo el liderazgo del Gerente General (CEO).
47
49. @CarlosChalico
#InfoDFprivacidad
Separar el gobierno de la administración
49
●El marco de COBIT 5 describe siete categorías de
habilitadores (Principio 4). Los procesos constituyen una
categoría.
●Una organización puede definir sus procesos como
estime conveniente, siempre y cuando queden cubiertos
todos los objetivos necesarios de gobierno y
administración. Las organizaciones más pequeñas podrán
tener menos procesos, las organizaciones más grandes y
más complejas podrán tener muchos procesos, todos
para cubrir los mismos objetivos.
●COBIT 5 incluye un Modelo de Referencia de
Procesos, que define y describe en detalle un número de
procesos de administración y de gobierno.
56. @CarlosChalico
#InfoDFprivacidad
¿Cómo proceder?
• Análisis de Riesgos basado en el modelo de privacidad
• Identificación de sistemas personales
• Priorización por criticidad
• Identificación de riesgos
• ¿Qué puede fallar a la luz de nuestros intereses,
aseveraciones u objetivos de control?
• ¿Que relación existe entre los principios de la ley y
los objetivos de control?
• ¿Qué amenaza primordial debemos combatir?
56
57. @CarlosChalico
#InfoDFprivacidad
¿Cómo proceder?
• Identificación de controles
• ¿Mitigan realmente el riesgo?
• ¿Consideramos el riesgo remanente?
• ¿Cómo se trata?
• ¿Qué tipo de controles identificamos?
• ¿Cómo los probamos?
• ¿Y los controles generales?
57
58. @CarlosChalico
#InfoDFprivacidad
¿Cómo proceder?
• Medición de riesgo
• ¿Tenemos algún modelo?
• ¿COBIT? ¿La Ley?
• Definición de recomendaciones
• ¿Qué decirle al ente auditado?
• ¿Cómo mitigo el riesgo y genero valor?
• ¿Cómo presento los resultados?
• ¿Cómo doy seguimiento?
58
59. @CarlosChalico
#InfoDFprivacidad
¿Qué es lo que típicamente preocupa?
• Control de Accesos.
• Control de Cambios.
• Operaciones: Control de trabajos programados,
generación de respaldos, respuesta a incidentes
59
63. @CarlosChalico
#InfoDFprivacidad
¿Y además de COBIT?
63
Physical
Networks
Plataformas
Datos/DBMS
ProcesosProcesos
Entorno Físico
Redes
Plataformas
Datos / Sistema de
Administración de Bases de Datos
Aplicaciones
Procesos
Tipos de Controles de Aplicación
– Ediciones de Entrada
– Validaciones de Datos
– Información de Excepciones
– Segregación de Funciones (seguridad)
– Validaciones de Reglas de Negocios
– Restricciones de Acceso
– Controles de Interfase
– Controles de Configuración
ControlesGeneralesdeTI
Controles generales de TI
– Garantía de Continuidad del Servicio
– Administración de Rendimiento y
Capacidad
– Administración de la Seguridad del Sistema
– Administración de Problemas e Incidentes
– Administración de Datos
– Administración del Espacio Físico de TI
– Administración de Operaciones
– Administración de Cambios
ControlesdeAplicacióny
ControlesManuales
Los Controles Generales brindan la base para los controles de aplicación
67. @CarlosChalico
#InfoDFprivacidad
Algunos casos
1. Una organización ha decidido poner en marcha un
nuevo proceso de manejo de archivos que contempla el
uso de una aplicación que mantendrá registro de todos
los expedientes existentes, además del historial de los
movimientos de expedientes al ser removidos del
archivo. El proceso será muy diferente respecto de
como operan hoy y la aplicación de soporte está siendo
desarrollada por personal interno con equipos
disponibles fuera de uso y utilizando programas de
código abierto.
67
68. @CarlosChalico
#InfoDFprivacidad
Algunos casos
!
2. Una organización ha decidido contratar a un proveedor
para que opere su centro de atención telefónica. El
proveedor es una compañía internacional de origen
canadiense, sus servidores son mantenidos por otro
proveedor que ha puesto a disposición una aplicación a
través del concepto de “Software as a Service (SaaS), lo
que quiere decir que todo se opera en la nube y que
los datos se almacenarán en un lugar impreciso. Los
operadores desarrollarán actividades en México.
68
69. @CarlosChalico
#InfoDFprivacidad
Algunos casos!
!
3. Una organización ha habilitado un sistema para habilitar el
ejercicio de derechos ARCO, con él, los interesados o
titulares, pueden llamar a un centro de atención telefónica
para ejercer sus derechos ARCO o ejecutar el proceso a
través de un sitio web. El desarrollo del sistema ha corrido
a cargo de un despacho externo, se ha usado tecnología de
punta, incluso los interesados pueden acceder al sitio vía
dispositivos móviles. La operación del sitio queda a cargo
de personal de la organización, aunque las labores de
mantenimiento al sistema son ejecutadas por el proveedor.
69
70. @CarlosChalico
#InfoDFprivacidad
Conclusiones
• Hay una gran dependencia de TI en los sistemas de
datos personales
• Deben reconocerse, identificarse y analizarse los
riesgos relacionados con TI en la operación de
sistemas de datos personales
• El reconocimiento de estos riesgos debe realizarse en
conjunto con el de otros que dependan también de TI
y/o que afecten a la información
• La cooperación entre áreas es indispensable para
lograr el éxito
70
71. @CarlosChalico
#InfoDFprivacidad
Conclusiones
• Existen marcos referenciales como COBIT, BS10012 o
PbD que pueden ser de utilidad
• Los marcos referenciales no suplen el sentido común
• Los elementos tecnológicos en sí mismos deben ser
considerados
• La elaboración de acciones recomendadas debe
perseguir no solamente la disminución del riesgo, sino
la generación de valor
71