¿Cómo atender las implicaciones del Reglamento de la LFPDPPP?

1,166 views

Published on

¿Cómo atender las implicaciones del Reglamento de la LFPDPPP?

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,166
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

¿Cómo atender las implicaciones del Reglamento de la LFPDPPP?

  1. 1. ¿Cómo atender lasimplicaciones del Reglamento de la LFPDPPP?
  2. 2. 3 historias
  3. 3. Casandra
  4. 4. Mis datos personales en Tepito = $0.0013160 Gb de datos personales por $153 mil pesos
  5. 5. Llamadas no solicitadas y SPAM 85% del correo electrónico es SPAMSe estima nos cuesta 10 mil millones de pesos al año en productividad
  6. 6. Fraude con datos de tarjeta bancaria o acceso a portal bancarioSe pierden $5,000 millones de pesos al año
  7. 7. Extorsión6,700 extorsiones telefónicas DIARIAS
  8. 8. El cambio de paradigma 12
  9. 9. Robo físico
  10. 10. Robo digital
  11. 11. Cada uno dice de laferia como le va en ella…
  12. 12. Informaticos¿Cuántos nos va a costar?
  13. 13. Abogados ¿ Cómo me voy a amparar?¿Cómo reduzco el riesgo legal?
  14. 14. Al restoNo sabe que existe la ley No le entiende No le importa
  15. 15. El riesgo digital Peor Suma de Mejor Esfuerzo Esfuerzos Esfuerzo Riesgo Riesgo Riesgo ∞ Intencional Oportunista Accidental Filtrado Relación / conexión ConfidencialidadAmenaza Integridad ImpactoExterna Redundancia Interno Disponibilidad 0 1 1 canal 1 momento 1 1p 1 dispositivo Autenticada c/x factores
  16. 16. Medidas de Seguridad en el Tratamiento de Datos Personales12 de abril de 2012
  17. 17. Medidas a implementar Mecanismos para el Procedimientos para cumplimiento de las Elaborar políticas y recibir y responder políticas y programas programas de dudas y quejas de los de privacidad y privacidad titulares de los datos sanciones por su personales incumplimiento Programas de Revisar periódicamente capacitación, Establecer medidas las políticas y actualización y para el aseguramiento programas de concientización del de los datos personales seguridad personal Procedimientos Procedimientos para Establecer un sistema técnicos que permiten atender el riesgo para de supervisión y rastrear a los datos la protección de datos vigilancia interna personales durante su personales tratamiento Destinar recursos para Verificaciones o la instrumentación de auditorías externas los programas y políticas de privacidadArtículo 48
  18. 18. AlcanceEl responsable y, en su caso, el encargadodeberán establecer y mantener las medidasde seguridad administrativas, físicas y, ensu caso, técnicas para la protección de losdatos personales, con independencia delsistema de tratamiento. Se entenderá por medidas de seguridad, el control o grupo de controles de seguridad para proteger los datos personales Sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas por las autoridades competentes al sector que correspondaArtículo 57
  19. 19. Atenuación de sancionesEn caso de una vulneración a laseguridad de los datos personales, elIFAI podrá tomar en consideración elcumplimiento de sus recomendacionespara determinar la atenuación de lasanción que correspondaArtículo 58
  20. 20. Factores para determinarEl responsable determinará las medidas de seguridadtomando en consideración los siguientes factores: El riesgo inherente La sensibilidad de los El número de por tipo de dato datos personales titulares personal tratados Las posibles Las vulnerabilidades El desarrollo consecuencias de previas ocurridas en tecnológico una vulneración los sistemas de para los titulares tratamiento Factores que El valor que podrían puedan incidir en el tener los datos para nivel de riesgo, que un tercero no resulten de otras autorizado leyes o regulaciónArtículo 60
  21. 21. Acciones para la seguridad I Inventario de Datos Sensibilidad Sistemas Roles datos personales RH Nombre Dato personal Sistema de RH Director del Área Teléfono Dato personal Sistema de Nominas Finanzas Inventario de los sistemas de tratamientoNumero de Sistemas de Finanzas Dato personalempleado Nominas RH Funciones y RH obligaciones de Salario Dato personal sensible Expediente físico las personas que Archivo traten los datos personalesArtículo 61
  22. 22. Acciones para la seguridad II Medidas de seguridad Análisis de riesgos de aplicables a los datos datos personales personales Alto Medio Alto Sensibilidad Moderado Bajo Medio Mínimo Menor Medio MayorArtículo 61 Volumen
  23. 23. Acciones para la seguridad III Análisis de brecha de las Plan de trabajo para la medidas de seguridad implementación de las existentes y aquéllas medidas de seguridad faltantes para cada tipo de faltantes, derivadas del dato y cada sistema de análisis de brecha tratamiento Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Implantación de Proceso de Administración de Riesgos Implantación de Proceso de desarrollo Seguro de aplicaciones Proceso de Administración de Actualizaciones y Vulnerabilidades Proceso de Administración de Cambios Seguros Migración de protocolo de soporte remoto robusto Migración de protocolo de comunicación inalámbrica Migración de almacenamiento de contraseñas Estándar de Contraseñas Guías de Configuración de Seguridad en SO Guías de Configuración de Seguridad en aplicacionesArtículo 61 2011 2012
  24. 24. Acciones para la seguridad IV • Revisiones y/o auditorías 8 • Capacitar al personal que trate datos personales 9 • Registro de las cancelaciones o destrucciones de datos personales 10 • Registro de los medios de almacenamiento de los datos personales 11 Artículo 61
  25. 25. Actualizaciones de lasmedidas de seguridadModificación a las medidas y/o procesos Modificaciones sustanciales en el de seguridad tratamiento de datos personales El documento de seguridad deberá ser revisado, y/o actualizado cuando: En el momento que exista una afectación En el momento en que se vulneren los a los datos personales distinta a las sistemas de tratamiento anteriores En el caso de datos personales sensibles, el documento de seguridad deberá revisarse y actualizarse una vez al añoArtículo 62
  26. 26. ¿Qué es una vulneración deseguridad? La pérdida o El robo, destrucción extravío o no copia no autorizada autorizada El daño, la El uso, alteración acceso o y/o tratamiento modificación no no autorizado autorizadaArtículo 63
  27. 27. ¿Qué debo informar en casode una vulneración? 1 La naturaleza de la vulneración 2 Los datos personales comprometidos Recomendaciones al titular para proteger sus 3 intereses Las acciones correctivas realizadas de forma 4 inmediata Los medios donde se puede obtener más 5 información al respectoArtículo 65
  28. 28. Medidas correctivas en casode vulneraciones El responsable • Las causas por las cuales se deberá analizar presentó • Correctivas Implementar las • Preventivas acciones • Mejora Para adecuar las medidas de • Para evitar que la vulneración se seguridad repita correspondientesArtículo 63
  29. 29. ¿Cómoatender lasimplicacion es delReglamento de la LFPDPPP?
  30. 30. ¿Cómo atender lasimplicaciones de la Ley?
  31. 31. Creando un plan Ciclo de vida la información PIA •LegalImplementación •Técnico •Procesos Controles, Clasificación de la Estándares y informaciónProcedimientos Generación de políticas
  32. 32. Tres Vectores para gestionar Riesgo Accesibilidad para terceros Anonimidad Valor de los terceros para terceros
  33. 33. La Privacidad no es un proyecto… es un proceso Logrando la protección de datos aumentamos la confianza yampliamos la competitividad de nuestras empresas.

×