Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Protección de datos personales, ¿y la          seguridad ‘apa?
Infracciones y sanciones                                                                                      200-320mil D...
Definiciones                                                Medida de  Dato Personal     Titular       Encargado          ...
Datos Personales   Es cualquier información relacionada con el Titular, por ejemplo, tu nombre,   teléfono, domicilio, fot...
¿Qué hay que hacer?                                 Cultura                               Empresarial         Aviso de    ...
Derechos arco     Acceso                Rectificación                Cancelación                 Oposición
Principios                 Licitud             Consentimiento               Información                 Calidad           ...
Datos                                     Titular                                      ARCO     Datos       Finalidad     ...
Aviso de privacidad                       Finalidades              Tratamientos                      Transferencias
¿Cómo se recaba el consentimiento?           Consentimiento  Tácito                    Expreso                            ...
Cómputo en la nube             CRM                                    Email                                    Masivo     ...
Análisis de riesgos asociados a los Datos Personales                Medio           Alto                                  ...
Violaciones la privacidad      Robo, extravió o copia         Pérdida o destrucción         no autorizada                 ...
Involucrados                 RH       MKT               Sistemas   Legal   “involucrar a todas                            ...
Documento de seguridad                                          VI. Elaborar un plan de trabajo    I. Elaborar un inventar...
Fechas importantes     Entrada en vigor        Designación del                             departamento de datos          ...
NMX-I-27001-NYCE:2009 ISO/IEC 27002:2005. Dominios (11), Objetivos de control (39) y Controles (133) 5. POLÍTICA DE SEGURI...
Controles Administrativos, Físicos y Tecnológicos                                               5. POLÍTICA DE SEGURIDAD. ...
…exista un política de seguridad   Jefe ya redakte                                     politica, firmeaprobada y revisada ...
…existan procedimientos documentadosque definan la operación y registros delas actividades realizadas
…realizar un análisis de riesgos paraclasificarlos y definir su tratamiento     Social   engineering     O-days   Pen Test...
… que existan controles de seguridadfísica en los equipos y en las áreascríticas
… implementar acciones paracontrarrestar código malicioso yatacantes externos
… los medios de almacenamiento debenser retirados o reasignados de forma       A la vodgasegura para evitar que se tenga a...
… establecer políticas para el uso y      No tenemosacceso a la red corporativa desde fuera      ekipode las instalaciones...
…revisar el cumplimiento de la regulaciónaplicable y definir el contacto conautoridades                                   ...
Contacto:    Pablo Corona Fraga    pcoronaf@nyce.org.mx                                 @pcoronaf      Ilustraciones by @E...
Protección de datos personales y la seguridad apa   public2
Upcoming SlideShare
Loading in …5
×

Protección de datos personales y la seguridad apa public2

1,177 views

Published on

La seguridad en la protección de datos personales.
Presentación de BUGCON 2013

  • Be the first to comment

  • Be the first to like this

Protección de datos personales y la seguridad apa public2

  1. 1. Protección de datos personales, ¿y la seguridad ‘apa?
  2. 2. Infracciones y sanciones 200-320mil DSMGVDF • Incumplimiento de deber de 100-160mil DSMGVDF confidencialidad • Uso desapegado a la finalidad marcada • Negligencia o dolo en trámites en Aviso ARCO • Transferir datos sin comunicar aviso deApercibimiento • Declarar dolosamente privacidad Delitos: • Vulneración a la seguridad inexistencia • Transferir sin consentimiento del titular • Incumplimiento de principios • Obstruir verificación de autoridad de Ley • Transferencia o cesión en contra de Ley • 3 meses a 3 años de • Recabar datos en forma engañosa o prisión – con ánimo Incumplir solicitudes ARCO • Omisiones en aviso de fraudulenta privacidad • Uso ilegítimo de datos en caso de de lucro, vulnerar • Datos inexactos solicitud de cese • Incumplimiento de • Impedir ejercicio derechos ARCO seguridad a bases de • No justificar tratamiento de datos apercibimiento sensibles datos • 6 meses a 5 años de prisión – con ánimo Las sanciones pueden de lucro indebido, duplicarse en caso de El IFAI considerará: tratar datos Naturaleza del dato (sensibles, financieros y patrimoniales) personales mediante Reincidencia Negativa injustificada del Responsable a engaño o error solicitudes del Titular Datos Intencionalidad en la infracción Sensibles Capacidad económica Reincidencia LFPDPPP Capítulo X y XI Artículo 63 al 69
  3. 3. Definiciones Medida de Dato Personal Titular Encargado seguridad Dato Personal Responsable Remisión Tratamiento Sensible Aviso de Transferencia Derechos ARCO Seguridad Privacidad
  4. 4. Datos Personales Es cualquier información relacionada con el Titular, por ejemplo, tu nombre, teléfono, domicilio, fotografía o huellas dactilares, así como cualquier otro dato que pueda servir para identificarte. Este tipo de datos te permiten además, interactuar con otras personas, o con una o más organizaciones, así como que puedas ser sujeto de derechos.
  5. 5. ¿Qué hay que hacer? Cultura Empresarial Aviso de Tratamiento de Datos Privacidad Personales Responsabilidad Derechos ARCO Seguridad de los Consentimiento Datos Personales
  6. 6. Derechos arco Acceso Rectificación Cancelación Oposición
  7. 7. Principios Licitud Consentimiento Información Calidad Finalidad Lealtad Proporcionalidad Responsabilidad
  8. 8. Datos Titular ARCO Datos Finalidad Tratamiento Consentimiento Quién tiene acceso ¿Qué voy a hacer Identificar ¿Para qué? Evidencia Internos Externos con ellos?
  9. 9. Aviso de privacidad Finalidades Tratamientos Transferencias
  10. 10. ¿Cómo se recaba el consentimiento? Consentimiento Tácito Expreso Financieros y Sensibles Patrimoniales
  11. 11. Cómputo en la nube CRM Email Masivo Servicios en la nubeServicios deescritorio Bases de datos Otros servicios
  12. 12. Análisis de riesgos asociados a los Datos Personales Medio Alto “considerar el valor para el Bajo Medio posible atacante y el riesgo para el titular”
  13. 13. Violaciones la privacidad Robo, extravió o copia Pérdida o destrucción no autorizada no autorizada Reglamento LFPDPPP Artículo 63. Vulneraciones Uso, acceso o Daño, la alteración o tratamiento no modificación no autorizado autorizada
  14. 14. Involucrados RH MKT Sistemas Legal “involucrar a todas las áreas que manejen los datos”
  15. 15. Documento de seguridad VI. Elaborar un plan de trabajo I. Elaborar un inventario de datos para la implementación de las VII. Llevar a cabo revisiones o personales y de los sistemas de medidas de seguridad faltantes, auditorías; tratamiento; derivadas del análisis de brecha; Reglamento LFPDPPP Artículo 61 V. Realizar el análisis de brecha II. Determinar las funciones y (diferencia de las medidas de seguridad VIII. Capacitar al personal que obligaciones de las personas que existentes y aquéllas faltantes que efectúe el tratamiento, y traten datos personales; resultan necesarias para la protección de los datos personales;) III. Contar con un análisis de IV. Establecer las medidas de riesgos de datos personales que seguridad aplicables a los datos IX. Realizar un registro de los consiste en identificar peligros y personales e identificar aquéllas medios de almacenamiento de los estimar los riesgos a los datos implementadas de manera datos personales. personales; efectiva;
  16. 16. Fechas importantes Entrada en vigor Designación del departamento de datos Aprobación del 6 de Julio 2010 personales y publicación reglamento del aviso de privacidad 21 Diciembre 2011 6 de Julio 2011 Ejercicio de los Cumplimiento de IFAI recibe Procedimientos de derechos ARCO lo establecido por protección de derechos el capítulo III 6 de Enero 2012 6 de enero de 2012 6 de juliode 2013
  17. 17. NMX-I-27001-NYCE:2009 ISO/IEC 27002:2005. Dominios (11), Objetivos de control (39) y Controles (133) 5. POLÍTICA DE SEGURIDAD. 10.2 Gestión de la provisión de servicios por terceros. 11.5 Control de acceso al sistema operativo. 5.1 Política de seguridad de la información. 10.2.1 Provisión de servicios. 11.5.1 Procedimientos seguros de inicio de sesión. 5.1.1 Documento de política de seguridad de la información. 11.5.2 Identificación y autenticación de usuario. 10.2.2 Supervisión y revisión de los servicios prestados por terceros. 5.1.2 Revisión de la política de seguridad de la información. 11.5.3 Sistema de gestión de contraseñas. 10.2.3 Gestión del cambio en los servicios prestados por terceros. 11.5.4 Uso de los recursos del sistema. 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC. 10.3 Planificación y aceptación del sistema. 11.5.5 Desconexión automática de sesión. 6.1 Organización interna. 10.3.1 Gestión de capacidades. 11.5.6 Limitación del tiempo de conexión. 6.1.1 Compromiso de la Dirección con la seguridad de la información. 10.3.2 Aceptación del sistema. 11.6 Control de acceso a las aplicaciones y a la información. 6.1.2 Coordinación de la seguridad de la información. 10.4 Protección contra el código malicioso y descargable. 11.6.1 Restricción del acceso a la información. 6.1.3 Asignación de responsabilidades relativas a la seg. de la informac. 11.6.2 Aislamiento de sistemas sensibles. 6.1.4 Proceso de autorización de recursos para el tratamiento de la información. 10.4.1 Controles contra el código malicioso. 11.7 Ordenadores portátiles y teletrabajo. 6.1.5 Acuerdos de confidencialidad. 10.4.2 Controles contra el código descargado en el cliente. 11.7.1 Ordenadores portátiles y comunicaciones móviles. 6.1.6 Contacto con las autoridades. 10.5 Copias de seguridad. 11.7.2 Teletrabajo. 6.1.7 Contacto con grupos de especial interés. 10.5.1 Copias de seguridad de la información. 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN. 6.1.8 Revisión independiente de la seguridad de la información. 10.6 Gestión de la seguridad de las redes. 12.1 Requisitos de seguridad de los sistemas de información. 6.2 Terceros. 10.6.1 Controles de red. 12.1.1 Análisis y especificación de los requisitos de seguridad. 6.2.1 Identificación de los riesgos derivados del acceso de terceros. 10.6.2 Seguridad de los servicios de red. 12.2 Tratamiento correcto de las aplicaciones. 6.2.2 Tratamiento de la seguridad en la relación con los clientes. 12.2.1 Validación de los datos de entrada. 10.7 Manipulación de los soportes. 6.2.3 Tratamiento de la seguridad en contratos con terceros. 12.2.2 Control del procesamiento interno. 10.7.1 Gestión de soportes extraíbles. 12.2.3 Integridad de los mensajes. 7. GESTIÓN DE ACTIVOS. 10.7.2 Retirada de soportes. 12.2.4 Validación de los datos de salida. 7.1 Responsabilidad sobre los activos. 7.1.1 Inventario de activos. 10.7.3 Procedimientos de manipulación de la información. 12.3 Controles criptográficos. 10.7.4 Seguridad de la documentación del sistema. 12.3.1 Política de uso de los controles criptográficos. 7.1.2 Propiedad de los activos. 10.8 Intercambio de información. 12.3.2 Gestión de claves. 7.1.3 Uso aceptable de los activos. 12.4 Seguridad de los archivos de sistema. 7.2 Clasificación de la información. 10.8.1 Políticas y procedimientos de intercambio de información. 12.4.1 Control del software en explotación. 7.2.1 Directrices de clasificación. 10.8.2 Acuerdos de intercambio. 12.4.2 Protección de los datos de prueba del sistema. 7.2.2 Etiquetado y manipulado de la información. 10.8.3 Soportes físicos en tránsito. 12.4.3 Control de acceso al código fuente de los programas. 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 10.8.4 Mensajería electrónica. 12.5 Seguridad en los procesos de desarrollo y soporte. 8.1 Antes del empleo. 10.8.5 Sistemas de información empresariales. 12.5.1 Procedimientos de control de cambios. 8.1.1 Funciones y responsabilidades. 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo. 10.9 Servicios de comercio electrónico. 8.1.2 Investigación de antecedentes. 12.5.3 Restricciones a los cambios en los paquetes de software. 10.9.1 Comercio electrónico. 8.1.3 Términos y condiciones de contratación. 12.5.4 Fugas de información. 10.9.2 Transacciones en línea. 8.2 Durante el empleo. 12.5.5 Externalización del desarrollo de software. 10.9.3 Información públicamente disponible. 12.6 Gestión de la vulnerabilidad técnica. 8.2.1 Responsabilidades de la Dirección. 8.2.2 Concienciación, formación y capacitación en seg. de la informac. 10.10 Supervisión. 12.6.1 Control de las vulnerabilidades técnicas. 8.2.3 Proceso disciplinario. 10.10.1 Registros de auditoría. 13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN. 8.3 Cese del empleo o cambio de puesto de trabajo. 10.10.2 Supervisión del uso del sistema. 13.1 Notificación de eventos y puntos débiles de seguridad de la información. 10.10.3 Protección de la información de los registros. 13.1.1 Notificación de los eventos de seguridad de la información. 8.3.1 Responsabilidad del cese o cambio. 13.1.2 Notificación de puntos débiles de seguridad. 8.3.2 Devolución de activos. 10.10.4 Registros de administración y operación. 13.2 Gestión de incidentes y mejoras de seguridad de la información. 8.3.3 Retirada de los derechos de acceso. 10.10.5 Registro de fallos. 13.2.1 Responsabilidades y procedimientos. 9. SEGURIDAD FÍSICA Y DEL ENTORNO. 10.10.6 Sincronización del reloj. 13.2.2 Aprendizaje de los incidentes de seguridad de la información. 9.1 Áreas seguras. 11. CONTROL DE ACCESO. 13.2.3 Recopilación de evidencias. 9.1.1 Perímetro de seguridad física. 14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO. 11.1 Requisitos de negocio para el control de acceso. 9.1.2 Controles físicos de entrada. 14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio. 11.1.1 Política de control de acceso. 9.1.3 Seguridad de oficinas, despachos e instalaciones. 14.1.1 Inclusión de la seg. de la inf. en el proceso de gestión de la continuidad del negocio. 11.2 Gestión de acceso de usuario. 9.1.4 Protección contra las amenazas externas y de origen ambiental. 14.1.2 Continuidad del negocio y evaluación de riesgos. 9.1.5 Trabajo en áreas seguras. 11.2.1 Registro de usuario. 14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seg. de la inf. 9.1.6 Áreas de acceso público y de carga y descarga. 11.2.2 Gestión de privilegios. 14.1.4 Marco de referencia para la planificación de la cont. del negocio. 9.2 Seguridad de los equipos. 11.2.3 Gestión de contraseñas de usuario. 14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad. 9.2.1 Emplazamiento y protección de equipos. 11.2.4 Revisión de los derechos de acceso de usuario. 15. CUMPLIMIENTO. 9.2.2 Instalaciones de suministro. 11.3 Responsabilidades de usuario. 15.1 Cumplimiento de los requisitos legales. 9.2.3 Seguridad del cableado. 15.1.1 Identificación de la legislación aplicable. 11.3.1 Uso de contraseñas. 9.2.4 Mantenimiento de los equipos. 15.1.2 Derechos de propiedad intelectual (DPI). 11.3.2 Equipo de usuario desatendido. 15.1.3 Protección de los documentos de la organización. 9.2.5 Seguridad de los equipos fuera de las instalaciones. 11.3.3 Política de puesto de trabajo despejado y pantalla limpia. 15.1.4 Protección de datos y privacidad de la información de carácter personal. 9.2.6 Reutilización o retirada segura de equipos. 11.4 Control de acceso a la red. 15.1.5 Prevención del uso indebido de recursos de tratamiento de la información. 9.2.7 Retirada de materiales propiedad de la empresa. 11.4.1 Política de uso de los servicios en red. 15.1.6 Regulación de los controles criptográficos. 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES. 11.4.2 Autenticación de usuario para conexiones externas. 15.2 Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico. 10.1 Responsabilidades y procedimientos de operación. 15.2.1 Cumplimiento de las políticas y normas de seguridad. 10.1.1 Documentación de los procedimientos de operación. 11.4.3 Identificación de los equipos en las redes. 15.2.2 Comprobación del cumplimiento técnico. 10.1.2 Gestión de cambios. 11.4.4 Protección de los puertos de diagnóstico y configuración remotos. 15.3 Consideraciones sobre las auditorías de los sistem. de información. 10.1.3 Segregación de tareas. 11.4.5 Segregación de las redes. 15.3.1 Controles de auditoría de los sistemas de información. 10.1.4 Separación de los recursos de desarrollo, prueba y operación. 11.4.6 Control de la conexión a la red. 15.3.2 Protección de las herramientas de auditoría de los sist. de inform. 11.4.7 Control de encaminamiento (routing) de red.
  18. 18. Controles Administrativos, Físicos y Tecnológicos 5. POLÍTICA DE SEGURIDAD. 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC. 7. GESTIÓN DE ACTIVOS. 11. CONTROL DE ACCESO. 15. CUMPLIMIENTO. 8. SEGURIDAD LIGADA A LOS 9. SEGURIDAD FÍSICA Y DEL RECURSOS HUMANOS. ENTORNO. 12. ADQUISICIÓN, 10. GESTIÓN DE 13. GESTIÓN DE INCIDENTES DESARROLLO Y 14. GESTIÓN DE LA COMUNICACIONES Y EN LA SEGURIDAD DE LA MANTENIMIENTO DE CONTINUIDAD DEL NEGOCIO. OPERACIONES. INFORMACIÓN. SISTEMAS DE INFORMACIÓN.
  19. 19. …exista un política de seguridad Jefe ya redakte politica, firmeaprobada y revisada por la ‘pa la auditoríadirección
  20. 20. …existan procedimientos documentadosque definan la operación y registros delas actividades realizadas
  21. 21. …realizar un análisis de riesgos paraclasificarlos y definir su tratamiento Social engineering O-days Pen Testing
  22. 22. … que existan controles de seguridadfísica en los equipos y en las áreascríticas
  23. 23. … implementar acciones paracontrarrestar código malicioso yatacantes externos
  24. 24. … los medios de almacenamiento debenser retirados o reasignados de forma A la vodgasegura para evitar que se tenga acceso ala información
  25. 25. … establecer políticas para el uso y No tenemosacceso a la red corporativa desde fuera ekipode las instalaciones y para el equipo portátilportátil VPN’s Cifrado de discos duros
  26. 26. …revisar el cumplimiento de la regulaciónaplicable y definir el contacto conautoridades Puny cop
  27. 27. Contacto: Pablo Corona Fraga pcoronaf@nyce.org.mx @pcoronaf Ilustraciones by @El0bal

×