Conferencia
Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales
Enero de 2014
@CarlosChalico #InfoDFprivacidad
Carlos Chalico
CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador
Ouest Business Solutions Inc.
Director Eastern Region
���2@CarlosChalico
#InfoDFprivacidad
¿Quién está ahí?
@CarlosChalico #InfoDFprivacidad
Agenda
���3
• Antecedentes
• Conceptos Generales
• Marcos Referenciales
• Preguntas y respuestas
@CarlosChalico #InfoDFprivacidad
¿Qué es Privacidad?
���5
•En términos generales privacidad es la habilidad de controlar cómo un individuo es identificado, contactado y localizado.
•Por décadas, los principios sobre privacidad han evolucionado presentando algunos temas en común a pesar de relacionarse con estructuras legales y sociales diferentes alrededor del mundo.
•“La Privacidad agrupa los derechos y obligaciones de los individuos y las organizaciones con respecto a la colección, uso, revelación y retención de información para identificar personas (personally identifiable information / PII)”
•Fuente: AICPA
@CarlosChalico #InfoDFprivacidad
Avance en el mundo
���6
LEYENDAS Ley Nacional de privacidad o protección de datos vigente
Otras leyes significativas vigentes
Leyes de Privacidad o Protección de Datos emergentes
LEYENDAS Ley Nacional de privacidad o protección de datos vigente
Otras leyes significativas vigentes
Leyes de Privacidad o Protección de Datos emergentes
@CarlosChalico #InfoDFprivacidad
Avance en México
• 2003. IFAI
• 2006. InfoDF
• 2007. Artículo 6 constitucional
• 2008. Ley de Protección de Datos Personales para el DF
• 2009. Artículos 16 Constitucional y 73 fracción XXIX-O
• 2010. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)
• 2012. Reglamento LFPDPPP
���7
@CarlosChalico #InfoDFprivacidad
Retos
• ¿Qué sigue?
• Cumplimiento
• Revisión
• Seguimiento
• Mejora
• ¿Cómo?
���8
@CarlosChalico #InfoDFprivacidad
Retos
���10
Gast
o To
tal
Alto
Bajo1990’s 2000’sTiempo
Brecha de SeguridadSistemas de Información
Seguridad de la Información
Fuente: EY
@CarlosChalico #InfoDFprivacidad
Riesgo
���12
La posibilidad de que una amenaza aproveche una o varias vulnerabilidades en
uno o varios activos, causándoles daños
que pueden variar en su magnitud
@CarlosChalico #InfoDFprivacidad
Riesgo y Control
���14
El control cubre exactamente el riesgoRi
esgo
Contr
olSituación Ideal
@CarlosChalico #InfoDFprivacidad
Riesgo y Control
���15
El control excede el riesgoRi
esgo
Contr
ol
Sobrecontrol
@CarlosChalico #InfoDFprivacidad
Riesgo y Control
���16
El control no cubre el riesgoRi
esgo
Contr
olRiesgo Remanente
Mitigar Eliminar Transferir Asumir
@CarlosChalico #InfoDFprivacidad
Clasificación de Controles
���17
Controles de Aplicación
Controles Manuales Dependientes de IT
Controles Generales de IT
Manual Preventivo
(Puramente) Controles Manuales
Manual Detectivo
Controles Automatizados
Controles Manuales
@CarlosChalico #InfoDFprivacidad
Controles
���18
Controles de Aplicación y Manuales Dependientes de TI
Controles Generales de TI
Entorno TI
@CarlosChalico #InfoDFprivacidad
El Entorno de TI
���19
PhysicalNetworks
PlataformasDatos/DBMS
ProcesosProcesos
Entorno Físico
Redes
Plataformas
Datos / Sistema de Administración de Bases de Datos
Aplicaciones
Procesos
Tipos de Controles de Aplicación – Ediciones de Entrada – Validaciones de Datos – Información de Excepciones – Segregación de Funciones (seguridad) – Validaciones de Reglas de Negocios – Restricciones de Acceso – Controles de Interfase – Controles de Configuración
Con
trol
es G
ener
ales
de
TI Controles generales de TI
– Garantía de Continuidad del Servicio – Administración de Rendimiento y
Capacidad – Administración de la Seguridad del Sistema – Administración de Problemas e Incidentes – Administración de Datos – Administración del Espacio Físico de TI – Administración de Operaciones – Administración de Cambios
Con
trol
es d
e A
plic
ació
n y
Con
trol
es M
anua
les
Los Controles Generales brindan la base para los controles de aplicación
@CarlosChalico #InfoDFprivacidad
Marcos Referenciales
���22
COBITCOSO
ISO27000
BS10012
ITILISO38500
ISO31000
PMBoK
PbD
TOGAF
CMMIPRINCE2.
@CarlosChalico #InfoDFprivacidad
Gobierno Corporativo de TI
COBIT 5
COBIT en el tiempo
���24
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
www.isaca.org/cobit
Auditoría
COBIT1
2005/720001998
Evo
luci
ón d
el e
nfoq
ue
1996 2012
Val IT 2.0 (2008)
Risk IT (2009)
© 2012 ISACA® All rights reserved.
@CarlosChalico #InfoDFprivacidad
Información, beneficio, valor
• La información es un bien valioso
• Los datos personales son una pieza clave
• La TI constituye un soporte indiscutible
• Entre los beneficios que hoy se buscan están
• Calidad en la información
• Generación de valor en los procesos de tratamiento
• Manejo adecuado de riesgos relacionados
• Optimización de costos asociados.
���25
@CarlosChalico #InfoDFprivacidad
Valor para las partes interesadas
• Buen gobierno y buena administración
• La información y la TI deben ser reconocidas como elementos de valor
• Cada día hay mayores exigencias de cumplimiento
• COBIT 5 proporciona un marco integral para lograr la generación de valor a través de un la aplicación de un efectivo modelo de gobierno y administración de TI.
���26
@CarlosChalico #InfoDFprivacidad
Gobierno y Administración de TI
• Gobierno de TI: Asegura que la organización alcance sus objetivos a través de la evaluación de las necesidades, condiciones y opciones de las partes interesadas; estableciendo dirección a través de la priorización de acciones y la toma de decisiones; y monitoreando el cumplimiento, desempeño y progreso de las acciones ejecutadas para alcanzar los objetivos y seguir la dirección establecida.
���27
@CarlosChalico #InfoDFprivacidad
Gobierno y Administración de TI
• Administración de TI: Planea, construye, ejecuta y monitorea que las actividades ejecutadas estén en línea con la dirección establecida por el cuerpo de gobierno de la organización para alcanzar los objetivos institucionales.
���28
@CarlosChalico #InfoDFprivacidad
Gobierno y Administración de TI
���29
Administración de TI
Gobierno de TI
PlaneaDiseñaDecideMonitorea
ConstruyeEjecuta
{{
@CarlosChalico #InfoDFprivacidad
Principios y habilitadores
• COBIT ayuda a las organizaciones a
• Generar y reconocer valor de TI
• Equilibrar disminución de riesgos y uso de recursos
• Tener un enfoque holístico
• COBIT cuenta con
• 5 Principios
• 7 habilitadores
���30
@CarlosChalico #InfoDFprivacidad
Los principios de COBIT
���31
Principios de COBIT 5
1. Satisfacer las
necesidades de las partes
interesadas
2. Cubrir la Organización de
forma integral
3. Aplicar un solo marco integrado
4. Habilitar un enfoque holistico
5. Separar el Gobierno de la Administración
Fuente: COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados.
@CarlosChalico #InfoDFprivacidad
Los habilitadores de COBIT
���32
Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados
1. Principios, Políticas y Marcos
2. Procesos 3. Estructuras Organizacionales
4. Cultura, Ética y Comportamiento
5. Información6. Servicios,
Infraestructura y Aplicaciones
7. Personas, Habilidades y Competencias
RECURSOS
@CarlosChalico #InfoDFprivacidad
Ahondemos en los principios
���33
Principios de COBIT 5
1. Satisfacer las
necesidades de las partes
interesadas
2. Cubrir la Organización de
forma integral
3. Aplicar un solo marco integrado
4. Habilitar un enfoque holistico
5. Separar el Gobierno de la Administración
@CarlosChalico #InfoDFprivacidad
Satisfacer las necesidades de las partes interesadas
• Las organizaciones requieren crear valor para las partes interesadas.
���34
Necesidades de las partes interesadas
Impu
lsan
Objetivo del Gobierno: Creación de Valor
Realización de Beneficios
Optimización de Recursos
Optimización de Manejo de
Riesgos
Fuente: COBIT® 5, Figura 3. © 2012 ISACA® Todos los derechos reservados.
@CarlosChalico #InfoDFprivacidad
���35
Satisfacer las necesidades de las partes interesadas
!●Las Organizaciones tienen muchas partes interesadas y “crear valor” tiene diferentes significados – a veces conflictivos – para cada una de ellas. ●En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. ●El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. ●Para cada decisión se pueden, y se deben, hacer las siguientes preguntas:
¿Quién recibe los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se necesitan?
@CarlosChalico #InfoDFprivacidad
● Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización.
● Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras.
���36
Satisfacer las necesidades de las partes interesadas
Pasan a
Influencia
Pasan a
Impulsadores de las Partes Interesadas
Metas de la Organización
Metas Relacionadas con TI
Metas Habilitadoras
Realización de Beneficios
Optimización de Riesgos
Optimización de Recursos
Necesidades de las Partes Interesadas
Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados
@CarlosChalico #InfoDFprivacidad
Los beneficios de las Metas en Cascada de COBIT 5: ●Permiten definir las prioridades para implementar, mejorar y asegurar el gobierno corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados: ●En la práctica, las metas en cascada: ●Definen los objetivos y las metas tangibles y relevantes, en diferentes
niveles de responsabilidad. ●Filtran la base de conocimiento de COBIT 5, en base a las metas
corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación, mejora o aseguramiento. ●Claramente identifican y comunican qué importancia tienen los
habilitadores (algunas veces muy operacionales) para lograr las metas corporativas.
���37
Satisfacer las necesidades de las partes interesadas
@CarlosChalico #InfoDFprivacidad
Cubrir a la organización de Forma Integral
●COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. ●Esto significa que COBIT 5: ● Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea,
el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo. ●Cubre todas las funciones y los procesos dentro de la Organización;
COBIT 5 no solamente se concentra en la “Función de la TI”, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización.
���38
@CarlosChalico #InfoDFprivacidad
���39
Los Componentes Clave de un Sistema
de Gobierno
Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados.
Fuente COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados.
Objectivo del Gobierno: Creación de Valor
Realización de Beneficios
Optimización de Riesgos
Optimización de Recursos
Habilitadores de Gobierno
Alcance del Gobierno
Roles, Actividades y Relaciones
Dueños y Partes
Interesadas
Ente Regulador Administración
Operaciones y
Ejecución
Roles, Actividades y RelacionesDelegan Fijar
Directivas
MonitorearRendición de Cuentas Informar
Instruir y Alinear
Cubrir a la organización de Forma Integral
@CarlosChalico #InfoDFprivacidad
Aplicar un solo marco integrado
●COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: ●Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 ●Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,
PMBOK/PRINCE2, CMMI ●Etc.
●Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración. ●ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.
���41
@CarlosChalico #InfoDFprivacidad
Habilitar un enfoque holístico
Los Habilitadores de COBIT 5 son: ●Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa. ●Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores. ●Descritos por el marco de COBIT 5 en siete categorías.
���42
@CarlosChalico #InfoDFprivacidad
Habilitar un enfoque holístico
���43
Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados
1. Principios, Políticas y Marcos
2. Procesos 3. Estructuras Organizacionales
4. Cultura, Ética y Comportamiento
5. Información6. Servicios,
Infraestructura y Aplicaciones
7. Personas, Habilidades y Competencias
RECURSOS
@CarlosChalico #InfoDFprivacidad
Habilitar un enfoque holístico!1. Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados
objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.
2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en una organización.
3. Cultura, Ética y Comportamiento – De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración.
4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria.
5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si.
6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización.
7. Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas.
���44
@CarlosChalico #InfoDFprivacidad
Habilitar un enfoque holístico!●Administración y Gobierno sistémico mediante habilitadores
interconectados – Para lograr los objetivos principales de la Organización, siempre debe considerarse una serie interconectada de habilitadores, o sea, cada habilitador: ●Necesita una entrada de otros habilitadores para ser completamente efectivo, o sea, los procesos necesitan información, las estructuras organizacionales necesitan habilidades y comportamiento. ●Entrega un producto de salida a beneficio de otros habilitadores, o sea, los procesos entregan información, las habilidades y el comportamiento hacen que los procesos sean eficientes.
●Esto constituye un principio CLAVE que surge del trabajo de desarrollo de ISACA en el Modelo de Negocios para la Seguridad de la Información.
���45
@CarlosChalico #InfoDFprivacidad
Habilitar un enfoque holísticoLas Dimensiones de los habilitadores de COBIT 5: ●Todos los habilitadores tienen una serie de dimensiones
comunes. Dicha serie de dimensiones comunes: ● Proporciona una manera común, sencilla y estructurada para tratar los
habilitadores ● Permite a una entidad manejar sus interacciones complejas ● Facilita resultados exitosos de los habilitadores
���46
Fuente: COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados.
Métricas para el Logro de las Metas (Indicadores de Resultados)
Métricas para la Aplicación de Prácticas (Indicadores de Desempeño)
¿Se aplican Buenas Prácticas?
¿Se administra el Ciclo de Vida?
¿Se Logran las Metas de los
¿Se atienden las Necesidades de las Partes Interesadas?
Dim
ensi
ón d
e H
abili
tado
res
Adm
inis
traci
ón d
el
Des
empe
ño d
e lo
s H
abili
tado
res
Partes Interesadas
Metas Ciclo de Vida Buenas Prácticas
• Internas • Externas
• Calidad Intrínseca • Calidad Contextual (Relevancia, Efectividad) • Accesabilidad y Seguridad
• Planificar • Diseñar •Construir/Adquirir/ Crear/Implementar • Usar/Operar • Evaluar/Monitorear • Actualizar/Disponer
• Prácticas • Productos de Trabajo
@CarlosChalico #InfoDFprivacidad
Separar el gobierno de la administración
●El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. ●Estas dos disciplinas: ●Comprenden diferentes tipos de actividades ●Requieren diferentes estructuras organizacionales ●Cumplen diferentes propósitos
●Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. ●Administración— En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).
���47
@CarlosChalico #InfoDFprivacidad
Separar el gobierno de la administración
���48
COBIT 5 propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación:
Administración
GobiernoNecesidades de la Organización
Retroalimentación MonitorearDirigir
Evaluar
Planificar (APO)
Construir (BAI)
Operar (DSS)
Monitorear (MEA)
Fuente: COBIT® 5, Figura 15. © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad
Separar el gobierno de la administración
���49
●El marco de COBIT 5 describe siete categorías de habilitadores (Principio 4). Los procesos constituyen una categoría. ●Una organización puede definir sus procesos como estime conveniente, siempre y cuando queden cubiertos todos los objetivos necesarios de gobierno y administración. Las organizaciones más pequeñas podrán tener menos procesos, las organizaciones más grandes y más complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos. ●COBIT 5 incluye un Modelo de Referencia de Procesos, que define y describe en detalle un número de procesos de administración y de gobierno.
@CarlosChalico #InfoDFprivacidad
Procesos de COBIT
���50
Fuente: COBIT® 5, Figura 16. © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad
Modelo de capacidad
���51
Fuente: COBIT® 5, Figura 19. © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad
Modelo de implementación
���52
Fuente: COBIT® 5, Figura 5 © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad
Modelo de implementación
���53
Fuente: COBIT® 5, Figura 6 © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad
Modelo de implementación
���54
Fuente: COBIT® 5, Figura 1 © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad
¿Cómo proceder?• Análisis de Riesgos basado en el modelo de privacidad
• Identificación de sistemas personales
• Priorización por criticidad
• Identificación de riesgos
• ¿Qué puede fallar a la luz de nuestros intereses, aseveraciones u objetivos de control?
• ¿Que relación existe entre los principios de la ley y los objetivos de control?
• ¿Qué amenaza primordial debemos combatir?���56
@CarlosChalico #InfoDFprivacidad
¿Cómo proceder?
• Identificación de controles
• ¿Mitigan realmente el riesgo?
• ¿Consideramos el riesgo remanente?
• ¿Cómo se trata?
• ¿Qué tipo de controles identificamos?
• ¿Cómo los probamos?
• ¿Y los controles generales?
���57
@CarlosChalico #InfoDFprivacidad
¿Cómo proceder?
• Medición de riesgo
• ¿Tenemos algún modelo?
• ¿COBIT? ¿La Ley?
• Definición de recomendaciones
• ¿Qué decirle al ente auditado?
• ¿Cómo mitigo el riesgo y genero valor?
• ¿Cómo presento los resultados?
• ¿Cómo doy seguimiento?���58
@CarlosChalico #InfoDFprivacidad
¿Qué es lo que típicamente preocupa?
• Control de Accesos.
• Control de Cambios.
• Operaciones: Control de trabajos programados, generación de respaldos, respuesta a incidentes
���59
@CarlosChalico #InfoDFprivacidad
¿Qué debiera ocuparnos?
• Licitud
• Consentimiento
• Calidad de los datos
• Confidencialidad
• Seguridad
• Disponibilidad
• Temporalidad
���60
@CarlosChalico #InfoDFprivacidad
Usemos COBIT
���61
Fuente: COBIT® 5, Figura 16. © 2012 ISACA® Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad
Usemos COBIT
���62
Fuente: COBIT® 5. © 2012 ISACA® Todos derechos reservados.
• AP013. Pág. 113
• DSS06. Pág. 197
• BAI04. Pág. 141
@CarlosChalico #InfoDFprivacidad
¿Y además de COBIT?
���63
PhysicalNetworks
PlataformasDatos/DBMS
ProcesosProcesos
Entorno Físico
Redes
Plataformas
Datos / Sistema de Administración de Bases de Datos
Aplicaciones
Procesos
Tipos de Controles de Aplicación – Ediciones de Entrada – Validaciones de Datos – Información de Excepciones – Segregación de Funciones (seguridad) – Validaciones de Reglas de Negocios – Restricciones de Acceso – Controles de Interfase – Controles de Configuración
Con
trol
es G
ener
ales
de
TI Controles generales de TI
– Garantía de Continuidad del Servicio – Administración de Rendimiento y
Capacidad – Administración de la Seguridad del Sistema – Administración de Problemas e Incidentes – Administración de Datos – Administración del Espacio Físico de TI – Administración de Operaciones – Administración de Cambios
Con
trol
es d
e A
plic
ació
n y
Con
trol
es M
anua
les
Los Controles Generales brindan la base para los controles de aplicación
@CarlosChalico #InfoDFprivacidad
¿Y además de COBIT?
���64
Fuente: BSI 10012:2009 BSI Todos derechos reservados.
@CarlosChalico #InfoDFprivacidad
Algunos casos
• ¿Qué preocupaciones deberíamos tener?
• ¿Qué elementos tecnológicos hay que considerar?
• ¿Qué acciones debemos ejecutar?
• ¿Qué marcos referenciales utilizar?
���66
@CarlosChalico #InfoDFprivacidad
Algunos casos
1. Una organización ha decidido poner en marcha un nuevo proceso de manejo de archivos que contempla el uso de una aplicación que mantendrá registro de todos los expedientes existentes, además del historial de los movimientos de expedientes al ser removidos del archivo. El proceso será muy diferente respecto de como operan hoy y la aplicación de soporte está siendo desarrollada por personal interno con equipos disponibles fuera de uso y utilizando programas de código abierto.
���67
@CarlosChalico #InfoDFprivacidad
Algunos casos!
2. Una organización ha decidido contratar a un proveedor para que opere su centro de atención telefónica. El proveedor es una compañía internacional de origen canadiense, sus servidores son mantenidos por otro proveedor que ha puesto a disposición una aplicación a través del concepto de “Software as a Service (SaaS), lo que quiere decir que todo se opera en la nube y que los datos se almacenarán en un lugar impreciso. Los operadores desarrollarán actividades en México.
���68
@CarlosChalico #InfoDFprivacidad
Algunos casos!
!
3. Una organización ha habilitado un sistema para habilitar el ejercicio de derechos ARCO, con él, los interesados o titulares, pueden llamar a un centro de atención telefónica para ejercer sus derechos ARCO o ejecutar el proceso a través de un sitio web. El desarrollo del sistema ha corrido a cargo de un despacho externo, se ha usado tecnología de punta, incluso los interesados pueden acceder al sitio vía dispositivos móviles. La operación del sitio queda a cargo de personal de la organización, aunque las labores de mantenimiento al sistema son ejecutadas por el proveedor.
���69
@CarlosChalico #InfoDFprivacidad
Conclusiones
• Hay una gran dependencia de TI en los sistemas de datos personales
• Deben reconocerse, identificarse y analizarse los riesgos relacionados con TI en la operación de sistemas de datos personales
• El reconocimiento de estos riesgos debe realizarse en conjunto con el de otros que dependan también de TI y/o que afecten a la información
• La cooperación entre áreas es indispensable para lograr el éxito
���70
@CarlosChalico #InfoDFprivacidad
Conclusiones
• Existen marcos referenciales como COBIT, BS10012 o PbD que pueden ser de utilidad
• Los marcos referenciales no suplen el sentido común
• Los elementos tecnológicos en sí mismos deben ser considerados
• La elaboración de acciones recomendadas debe perseguir no solamente la disminución del riesgo, sino la generación de valor
���71
@CarlosChalico #InfoDFprivacidad
¡Muchas gracias!
���72
Carlos Chalico
CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador
Ouest Business Solutions Inc.
(647)6388062
twitter: @CarlosChalico
LinkedIn: ca.linkedin.com/in/carloschalico/