Módulo II. El Programa de Datos...
Transcript of Módulo II. El Programa de Datos...
Módulo II.
El Programa de Datos Personales❑ Definiciones y Planeación
❑ Controles en Procesos, Personas y Tecnología❑ El objetivo puesto en la Certificación
Ley Federal de Protección de Datos
Personales en Posesión de los Particulares
Protección de Datos Personales
La Postura
Definamos la Postura que será
adoptada
Negación
Avestruz
Seguridad
Normas relacionadas
Privacidad empresarial
Certificación
Cultura corporativa
Definamos la Postura que será
adoptada
Negación
Avestruz
Seguridad
Normas relacionadas
Privacidad empresarial
Certificación
Cultura corporativa
Definamos la Postura que será
adoptada
Negación
Avestruz
Seguridad
Normas relacionadas
Privacidad empresarial
Certificación
Cultura corporativa
Definamos la Postura que será
adoptada
Negación
Avestruz
Seguridad
Normas relacionadas
Privacidad empresarial
Certificación
Cultura corporativa
Definamos la Postura que será
adoptada
Negación
Avestruz
Seguridad
Normas relacionadas
Privacidad empresarial
Certificación
Cultura corporativa
Definamos la Postura que será
adoptada
Negación
Avestruz
Seguridad
Normas relacionadas
Privacidad empresarial
Certificación
Cultura corporativa
Definamos la Postura que será
adoptada
Negación
Avestruz
Seguridad
Normas relacionadas
Privacidad empresarial
Certificación
Cultura corporativa
Ley Federal de Protección de Datos
Personales en Posesión de los Particulares
Protección de Datos Personales
la Postura
el Dato
¿Qué voy a proteger?
¿Tecnología?
¿de qué voy a proteger?
Documentar el Riesgo:1) ¿Qué datos personales gestiono?
1) Riesgo Inherente bajo2) Riesgo inherente medio3) Riesgo inherente
alto/reforzado2) ¿Qué riesgo tiene el Dato Personal durante su tratamiento?° ¿Cuánto vale la pérdida del dato?° ¿Cómo impacta en la operación?° ¿Qué daño puede causar el conocimiento
público del dato?° ¿Cuál es el impacto reputacional?° ¿Qué daño puede tener el titular?Financiero/patrimonial, Salud, Incomodidad/insatisfacción, otros.
¿de qué voy a proteger?
RIEGO DEL DATO
PERSONAL
Amenaza informática social
y natural
Susceptibilidad del datoCapacidad de
recuperación del dato/proceso (resiliencia)
Valor de Exposición del dato (Valor inherente)
Vulnerabilidad
Confidencialidad de la
Información
Integridad de la Información
Accesibilidad a la información
Obsolescencia de la
información
Ley Federal de Protección de Datos
Personales en Posesión de los Particulares
Protección de Datos Personales
la Postura
el Dato
el Proyecto
Proyecto • Creación de un Comité de Datos Personales / Funciones / ResponsableRolesResponsabilidades
• Alcance del ProyectoPosturaPresupuestoRecursos Humanos
• Creación de la culturaCapacitaciónReforzamiento/comunicación
Pruebas de Análisis de Brecha
Análisis de Vulnerabilidades
Análisis de Flujo
Descubrimiento de datos
Antivirus end point y red
IDS / DLP / Firewall / ID Management
Patch management / AppFW / Encription
/ APP Mgt. / BYOD / WiFi
Seguridad del Hardware y su operación
IT Governance / Control de accesos
/ Analytics y Big Data / IT Auditoría /
Filtrado de Contenido / DLP Contextual /
SIEM / Correlación de eventos /
Remediación de hallazgos / Plan de
continuidad del Negocio / Disaster
recovery / Compliance normativo
vinculante / Análisis Forense
Dato Personal
1) Etapa de diagnóstico
2) Etapa de Protección
3) Etapa de Control
4) Etapa de Mejora
Continua
Seguridad Activa
Seguridad Pasiva
Ley Federal de Protección de Datos
Personales en Posesión de los Particulares
Protección de Datos Personales
la Postura
el Dato
el Proyecto
el Diagnóstico
Estudio de Brecha
Estado Actual
Estado Futuro
Tendiendo puentes
Factores y remedios
Programa de mejora continua
Etapas del Proyecto definido que están en cumplimiento con el objetivo
Etapas del Proyecto definido que tienen que implementarse o mejorarse
Etapas del Proyecto definido que están fuera del alcance del proyecto
Objetivo: Establecer el punto de partida en la Integración de un Proyecto de Protección de Datos Personales. Postura ante la Privacidad: Certificación y/o Cultura de la Privacidad
Diagnósticos
TecnologíaAnálisis de
VulnerabilidadesPruebas de penetraciónIdentificar escenarios
de vulneración y sus consecuencias
Control de accesosControl de altas, bajas y
cambiosControl de WiFi y
DispositivosSeguridad ContextualAuditoría y antifraude
JurídicoAvisos de PrivacidadAdenda de contratos
laboralesProcedimientos de atención de quejasProcedimientos de Derechos ARCO
Procedimientos de Transferencia de Datos
PersonalesContratos de cómputo
en la Nube
AdministrativoProcesos de remisión de
datos personalesControl de documentos
físicosRevisión de instalaciones
y sitesControles en áreas de
digitalización y copiadoProcesos de recepción-
envíoProcesos de
comunicación bajo incidentes y/o cambios
Ley Federal de Protección de Datos
Personales en Posesión de los Particulares
Protección de Datos Personales
la Postura
el Dato
el Proyecto
el Diagnóstico
Remediación
Punto de partida
- Instalación de soluciones de seguridad lógica y perimetral
- Cambios a procesos - Adecuación de instalaciones- Firma de contratos, adenda y
SLAs- Programa de entrenamiento al
personal- Programa de recompensas- Pruebas a los procesos de
Continuidad de negocios y de Recuperación de Desastres
- Programas de comunicación bajo situación de contingencia
Remediación:
Ley Federal de Protección de Datos
Personales en Posesión de los Particulares
Protección de Datos Personales
la Postura
el Dato
el Proyecto
el Diagnóstico
Remediación
Bloqueo y borrado
Borrado y/o destrucción segura de datos.(Art. 11. Principio de Calidad LFPDPPP y Art. 38 del Reglamento)
Es la medida de seguridad mediante la cual se establecen métodos y técnicas para la eliminación definitiva de los datos personales de modo que la probabilidad de recuperarlas sea mínima o nula.
Métodos para borrado seguro de los Datos Personales
Métodos físicos Métodos lógicos
Se basan en la destrucción de los medios de almacenamiento
Se basan en el borrado o limpieza de los datos
almacenados
Destrucción de los medios de
almacenamiento físicos
Destrucción de los medios de
almacenamiento electrónicos
Desmagnetización Sobre escritura
▪ Irreversibilidad ▪ Seguridad y confidencialidad▪ Favorable al medio ambiente
Roberto [email protected]
www.pikitdigital.net(55) 26998095