ibm, las mejores prácticas para la privacidad de datos
DESCRIPTION
Lo que todo negocio debe saber para afrontar exitosamente la nueva Ley Federal de Protección de Datos PersonalesTRANSCRIPT
![Page 1: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/1.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información Mejores prácticas para la privacidad de datos Roque C. Juárez Consultor de Seguridad de la Información
![Page 2: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/2.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
“Secrets are only as secure as the least trusted person who knows them.”
Bruce Schneier
![Page 3: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/3.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Contenido
Contexto de la privacidad y protección de datos.
Implicaciones de las regulaciones de privacidad.
Premisas para el esfuerzo.
Enfoque práctico recomendable.
Conclusiones
![Page 4: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/4.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Contexto de la privacidad y protección de datos
![Page 5: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/5.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Contexto de la privacidad y protección de datos
La privacidad se apoya en seguridad de la información.
–No es posible la privacidad sin seguridad.
–Pero es posible tener buena seguridad sin privacidad.
![Page 6: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/6.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Contexto de la privacidad y protección de datos
La privacidad es personal.
–Definida por el individuo.
–Varía en cada cultura corporativa y
social.
–Un «esquema» no se aplica en forma
generalizada.
![Page 7: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/7.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Contexto de la privacidad y protección de datos
En el mundo existen políticas y principios
para promover privacidad.
–Principios de protección de datos
(OECD, APEC)
–Leyes y regulaciones por sector (HIPAA)
–Enfoques de auto regulación. • Mejores prácticas de publicidad online.
• Empresas con prácticas globlales.
![Page 8: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/8.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Contexto de la privacidad y protección de datos – En el caso de México.
• Desde los años 2000/2001 se venían
haciendo esfuerzos relativos a la legislación
sobre la protección de datos personales.
• El 25 de Marzo de 2010, el Senado aprueba
la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares.
• La LFPDPPP se publica en el Diario Oficial
de la Federación hasta el 5 de Julio de
2010.
![Page 9: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/9.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Contexto de la privacidad y protección de datos – En el caso de México.
• Art. 1. «…la protección de los datos personales
en posesión de los particulares, con la finalidad
de regular su tratamiento legítimo, controlado
e informado, a efecto de garantizar la
privacidad y el derecho a la autodeterminación
informativa de las personas.»
Objeto
![Page 10: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/10.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Contexto de la privacidad y protección de datos – En el caso de México.
• Art. 2. «…los particulares sean personas físicas
o morales de carácter privado que lleven a cabo
el tratamiento de datos personales, con
excepción de:
• Las sociedades de información crediticia…
• Las personas que lleven a cabo la
recolección y almacenamiento de datos
personales, que sea para uso
exclusivamente personal…»
Alcance
![Page 11: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/11.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Contexto de la privacidad y protección de datos – En el caso de México.
Sanciones • “…Multa de 100 a 160,000 días de salario mínimo
vigente en el Distrito Federal, en los casos previstos
en las fracciones II a VII del artículo anterior;
• Multa de 200 a 320,000 días de salario mínimo
vigente en el Distrito Federal, en los casos previstos
en las fracciones VIII a XVIII del artículo anterior,” Art.
64
• “…tres meses a tres años de prisión… provoque
una vulneración de seguridad…” Art. 67
• “…prisión de seis meses a cinco años… trate datos
personales mediante engaño…” Art. 68
![Page 12: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/12.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Contexto de la privacidad y protección de datos – En el caso de México.
Las fechas para recordar.
• Entrada en vigor.
• Aprobación del reglamento.
• Función de Datos Personales y Aviso de privacidad.
• Publicación de la Ley • Ejercicio de derechos ARCO.
• Procedimiento de protección de derechos
![Page 13: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/13.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Contexto de la privacidad y protección de datos
Controles de divulgación
Controles de acceso
Controles de divulgación
(Privacidad)
¿Qué datos viste/usaste?
¿Cuál fue el propósito del
negocio?
Auditoria: Qué datos fueron
revelados, a quién, por qué y, si se
cumplió con la política de la
empresa.
Controles de Acceso
(Seguridad)
¿Quién eres tú?
¿A qué grupo/categoría
perteneces?
¿Tienes acceso/privilegio para
accesar las herramientas?
Auditoría: ¿Quién ingreso al
sistema y cuándo?
![Page 14: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/14.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
La privacidad cambia el contexto de negocio
Cambios en los modelos de negocio.
–Las empresas están aprovechando ventajas de la globalización.
International Multinational Globally Integrated
![Page 15: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/15.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
La privacidad cambia el contexto de negocio
Presiones externas.
–Ambiente regulatorio dinámico.
–Expectativas de la sociedad, clientes y asociados de negocio.
Personas
Datos/Información
Aplicaciones/procesos
Plataformas, redes, infraestructura
Infraestructura física
Ambiente de operación y procesamiento de TI
![Page 16: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/16.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
La privacidad cambia el contexto de negocio
Evolución de los modelos tecnológicos que apoyan al negocio (ej.
Cloud Computing)
![Page 17: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/17.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
«La seguridad y la privacidad, no sólo son un
problema tecnológico, son un problema
organizacional y de gente, con
implicaciones de negocio»
![Page 18: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/18.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Implicaciones de las regulaciones de privacidad
![Page 19: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/19.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Implicaciones de las regulaciones de privacidad
Generación de una cultura del miedo a las brechas de seguridad.
![Page 20: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/20.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Implicaciones de las regulaciones de privacidad
Adopción reactiva y limitada de medidas de seguridad tecnológica.
![Page 21: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/21.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Implicaciones de las regulaciones de privacidad
Búsqueda de resquicios y excepciones de las regulaciones de
privacidad.
![Page 22: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/22.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Implicaciones de las regulaciones de privacidad
Reconocimiento gradual de un tópico organizacional.
![Page 23: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/23.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Implicaciones de las regulaciones de privacidad
Incremento de los recursos y presupuestos para el esfuerzo de
privacidad y seguridad.
![Page 24: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/24.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Ahora la seguridad de la información además de compleja, es obligatoria.
![Page 25: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/25.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Premisas para el esfuerzo
![Page 26: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/26.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Premisas para el esfuerzo
Evitar el falso sentido de la seguridad o confianza excesiva.
![Page 27: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/27.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Premisas para el esfuerzo
Cambiar el paradigma de aseguramiento de infraestructura, por el
aseguramiento de los datos y la información.
Network
Infrastructure
Applications
Databases
Protección de la
infraestructura
Aseguramiento
de los procesos
Pública
Privada/
personal
Confidencial
Aseguramiento
de la información
Applications
Databases
![Page 28: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/28.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Premisas para el esfuerzo
Terminar la búsqueda de la «llave mágica» de la protección de
datos personales.
![Page 29: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/29.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Enfoque práctico recomendable
![Page 30: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/30.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Enfoque práctico recomendable
Desarrollar un modelo de privacidad simple.
–Definir criterios de clasificación de información.
–Desarrollar un marco normativo aplicable a la organización y
sus filiales.
Nota: Privacidad
descansa en un
modelo de
seguridad sólido.
Privacidad
Seguridad
![Page 31: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/31.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Enfoque práctico recomendable
Asignar roles y responsabilidades específicos de seguridad de la
información y privacidad.
–Dueño de los procesos/información/datos.
–Custodios.
–Usuarios.
–Oficial de Privacidad.
–Contacto para derechos ARCO.
![Page 32: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/32.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Enfoque práctico recomendable
Determinar procesos organizacionales, sistemas y aplicaciones
donde existan datos personales.
Personas
Datos/Información
Aplicaciones/procesos
Plataformas, redes, infraestructura
Infraestructura física
Ambiente de operación y procesamiento de TI
![Page 33: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/33.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Enfoque práctico recomendable
Desarrollar análisis de riesgos y de impacto para determinar
prioridades de protección.
Estrategia de
Seguridad
Nivel de riesgo
aceptable
![Page 34: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/34.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Enfoque práctico recomendable
Capacitar al personal de la organización y terceros, en temas de
privacidad de datos.
![Page 35: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/35.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Enfoque práctico recomendable
Integrar un marco de gestión de la privacidad.
–Procesos administrativos. • Solicitud y atención de derechos ARCO.
• Atención de revisiones externas.
• Control de comunicaciones.
• Relación con entidades especializadas.
–Procesos de gestión técnica • Respaldo de datos personales.
• Control de vulnerabilidades técnicas.
• Monitoreo de acceso y uso de datos.
• Destrucción de información.
• Transmisión y uso de datos.
• Gestión de bitácoras y evidencias.
• Gestión de incidentes y brechas.
–Procesos de medición de efectividad.
Gestión y
operación de la
privacidad
Procesos
Roles y
responsabilidades
Estructuras de
cumplimiento
Métricas e
indicadores
![Page 36: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/36.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Enfoque práctico recomendable
Adquisición de nuevos mecanismos integrales de protección de
información.
Req
ueri
mie
nto
de l
a L
ey
• Bloqueo de datos.
• Disociación de datos.
• Obtención de datos.
• Cancelación de datos.
• Resguardo de datos.
• Transmisión de datos.
• Almacenamiento de datos.
• Control de las vulnerabilidades.
• Control actividades para
derechos ARCO.
USUARIOS E IDENTIDADES
GOBIERNO DE SEGURIDAD, GESTIÓN DE
RIESGO Y CUMPLIMIENTO
DATOS E INFORMACIÓN
APLICACIONES Y PROCESOS
REDES, SERVIDORES Y END POINT
INFRAESTRUCTURA FÍSICA
Servicios
administradosServicios
profesionalesHardware y
software
USUARIOS E IDENTIDADES
GOBIERNO DE SEGURIDAD, GESTIÓN DE
RIESGO Y CUMPLIMIENTO
DATOS E INFORMACIÓN
APLICACIONES Y PROCESOS
REDES, SERVIDORES Y END POINT
INFRAESTRUCTURA FÍSICA
Servicios
administradosServicios
profesionalesHardware y
software
![Page 37: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/37.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Enfoque práctico recomendable
Ejemplo: Modelo integral de IBM para la protección de datos.
–Políticas y estándares corporativos.
–Amplio esquema de administración de la
información.
–Mejores prácticas: Desarrollo e
incorporación.
–Educación/Comunicación.
–Controles de negocio.
–Modelo de respuesta a incidentes /
Aprendizaje.
Este es un
proceso
continuo
completo
![Page 38: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/38.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
«La organización debe considerar el desarrollo
gradual de una cultura de la privacidad»
![Page 39: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/39.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Conclusiones
![Page 40: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/40.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Conclusiones
Para lograr la protección de datos personales, no es suficiente
replicar el esquema tecnológico de seguridad.
![Page 41: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/41.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Conclusiones
Cumplir con los ejercicios de auditoría o certificación, no garantiza
que estemos logrando el nivel de aseguramiento requerido por la
organización.
¿ ? El cumplimiento de la Ley debe ser una muestra natural del éxito
de la gestión de seguridad de la información en la organización.
![Page 42: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/42.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Conclusiones
La incorporación de nuevos servicios y métodos de tecnología
implica una evaluación de negocio.
![Page 43: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/43.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Conclusiones
La seguridad y privacidad son procesos… seguiremos teniendo
costos altos, impactos ignorados y cierto nivel de “inseguridad”.
![Page 44: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/44.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
Conclusiones
El cumplimiento de las regulaciones de privacidad aumenta la confianza de los clientes y colaboradores, y desarrolla nuevos diferenciadores de negocio.
![Page 45: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/45.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
¿¿Preguntas??
![Page 46: IBM, las mejores prácticas para la privacidad de datos](https://reader034.vdocuments.pub/reader034/viewer/2022052617/546d60e9b4af9f892c8b53f5/html5/thumbnails/46.jpg)
© 2011 IBM Corporation
IBM – Seguridad de la Información
¡Gracias!
Roque C. Juárez,
IBM de México
Consultor de Seguridad de la Información
@roque_juarez