Documentos de Académico
Documentos de Profesional
Documentos de Cultura
24 de Enero de 2013
Contenido
Introduccin. ....................................................................................................................................... 3 Tipos de extraccin de informacin ................................................................................ 4 Externas ..................................................................................................................................... 4 Internas ...................................................................................................................................... 4 Qu se ha hecho en el tema de proteccin de datos personales alrededor del mundo .. 4 La situacin en Mxico ................................................................................................... 5 Estructura la Ley Federal de proteccin de datos ........................................................... 5 Principios ................................................................................................................................... 5 Derechos .................................................................................................................................... 5 Procedimientos ......................................................................................................................... 6 Tipos de seguridad ......................................................................................................... 6 Tipos de seguridad: administrativa, fsica y tcnica ........................................................ 6 Medidas de seguridad administrativa ............................................................................ 6 Medidas de seguridad fsica ........................................................................................... 6 Medidas de seguridad tcnica ........................................................................................ 6
Tipos de Soportes .......................................................................................................... 7 Nivel de proteccin que requieren los datos personales ................................................. 7 Nivel de proteccin bsico .............................................................................................. 7 Nivel de proteccin medio ............................................................................................... 7 Nivel de proteccin alto ................................................................................................... 7
Tipo de transmisiones de datos personales ................................................................... 7 Interinstitucionales............................................................................................................ 7 Internacionales.................................................................................................................. 7 Con entes privados u organizaciones civiles pblicas o privadas ............................ 7
Tipos de modalidades de envo de datos personales ..................................................... 7 Traslado de soportes fsicos ........................................................................................... 7 Traslado fsico de soportes electrnicos. ..................................................................... 7
Diferencias entre identificar, autenticar y autorizar en el control de acceso .................... 8 Identificar.- ......................................................................................................................... 8 Autentificar. ........................................................................................................................ 8 Autorizar. ............................................................................................................................ 8
Auditorias de TI .............................................................................................................. 8 Aplicaciones .............................................................................................................................. 8 Desarrollo de Sistemas............................................................................................................ 8 Ambiente de proceso de Informacin.................................................................................... 8 Objetivos de una auditora.............................................................................................. 8 Metodologa de una auditora de sistemas ..................................................................... 8 Estudio preliminar.- .......................................................................................................... 8 Revisin y evaluacin de controles y seguridades ..................................................... 9 Examen detallado de reas crticas .............................................................................. 9 Comunicacin de resultados .......................................................................................... 9
Modelo de Proteccin de Datos Personales ................................................................... 9 Fase II. Revisin de estado actual.............................................................................................. 10 Fase III. Implementacin de medidas de control ...................................................................... 10 Fase IV. Revisiones .................................................................................................................... 11 Fase V. Mejora continua............................................................................................................ 11 Conclusiones ..................................................................................................................................... 12
Introduccin.
Las vulneraciones de seguridad generan altos costos institucionales adems de afectaciones en la esfera de otros derechos y libertades fundamentales de las personas (por ejemplo, el acceso no autorizado a informacin del estado de salud de un individuo por personas ajenas al tratamiento de dicho paciente). Las dependencias y entidades deben expedir un documento de seguridad que contenga las medidas de seguridad administrativa, fsica y tcnica aplicables a la proteccin de sistemas de datos personales. En 1980 se conform el estndar internacional en materia de seguridad de la informacin ISO/IEC 27002:2005 (anterior ISO/IEC 17799:2005), estos estndares determinan medidas de seguridad para los activos que poseen los sujetos obligados y los riesgos a los que dichos activos estn expuestos.
Qu se ha hecho en el tema de proteccin de datos personales alrededor del mundo En el orden internacional se destacan antecedentes de la proteccin de la intimidad y el honor de la persona en el tratamiento de sus datos. Algunas de las regulaciones ms representativas se muestran en el siguiente mapa:
Restrictiva Austria Blgica Bulgaria Dinamarca Francia Portugal Espaa Italia Grecia Austria
Mnimas restricciones Hong Kong India Australia Colombia Chile Japn Paraguay
en
La situacin en Mxico Despus de un arduo camino y mucha polmica, el 27 de abril de 2010 se aprob en el pleno del Senado la Ley Federal de Proteccin de Datos Personales en Posesin de Particulares (LFPDPPP), y el pasado 5 de julio de 2010 se public en el Diario Oficial de la Federacin (DOF); esta ley tiene como finalidad proteger los datos personales en posesin de los particulares y regular su tratamiento legtimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminacin informativa de las personas. A decir de expertos es una de las leyes de proteccin de datos ms avanzada del mundo.
Derechos, que definen cmo el titular de los datos personales puede ejercer unos derechos que concretan los principios tericos en los que se basa la ley y que son:
Acceder a sus datos personales y al aviso de privacidad para conocer qu datos son objeto de tratamiento y con qu objetivo son tratados. Rectificar inexactitudes en los datos personales del titular. Cancelar sus datos personales, esto obedece al bloqueo de los datos por un periodo en el que el responsable deber conservarlos bajo su custodia y, cumplido tal periodo, se debern suprimir. Oponerse al tratamiento de los datos personales cuando exista una causa legtima, si este derecho resulta procedente el responsable excluir los datos del tratamiento.
Procedimientos, de los que se tienen dos tipos: el procedimiento de proteccin de datos y el procedimiento de verificacin. El primero establece el mecanismo mediante el cual el titular podr reclamar la proteccin de los derechos ARCO ante el IFAI (Instituto Federal de Acceso a la Informacin). El procedimiento de verificacin tiene por objetivo comprobar el cumplimiento de la ley y de la normativa que se desarrolle para lo cual el IFAI tendr acceso a la informacin y documentacin que considere necesaria y, en caso de incumplimiento, la ley prev sanciones que van desde una llamada de atencin hasta la imposicin de multas entre 100,000 y 320,000 das de salario mnimo vigente en el DF, con doble imposicin por reincidencia. Adems, estas penas y sanciones se duplicarn en los casos relativos a datos personales sensibles y, de acuerdo a la gravedad del delito, podrn existir responsabilidades civiles y penales.
Tipos de seguridad
Tipos de seguridad: administrativa, fsica y tcnica
Medidas de seguridad administrativa o Poltica de seguridad o Cumplimiento de la normatividad o Organizacin de la seguridad de la informacin o Clasificacin y control de activos o Seguridad relacionada a los recursos humanos o Administracin de incidentes o Continuidad de las operaciones Medidas de seguridad fsica o Seguridad fsica y ambiental Medidas de seguridad tcnica o Gestin de comunicaciones y operaciones o Control de acceso o Adquisicin, desarrollo, uso y mantenimiento de sistemas de informacin
Tipos de Soportes
Soportes fsicos.- Son los medios de almacenamiento inteligibles a simple vista, ej. Documentos, oficios, formularios impresos, fotografas, placas radiolgicas, etc. Soportes electrnicos.- Cintas magnticas de audio, video y datos, fichas de microfilm, discos pticos (CDs y DVDs), discos magnticos (flexibles y duros), etc.
Los niveles de proteccin sealados definen el mayor o menor grado de confidencialidad, disponibilidad e integridad que el sujeto obligado debe asegurar de acuerdo con la naturaleza de los datos contenidos en los sistemas de datos personales que custodia.
Traslado fsico de soportes electrnicos.- Ej. Es cuando una dependencia entrega a otra por mensajera oficial un archivo electrnico con datos personales contenidos en discos flexibles, discos compactos o dispositivos de memoria USB, entre otros. Traslado sobre redes electrnicas.- Ej. Cuando un archivo electrnico con un listado de beneficiarios se enva de una dependencia a otra por Internet.
Auditorias de TI
La auditora es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo. Las auditoras de TI se realizan en tres reas: Aplicaciones. Incluyen todas las funciones de informacin del negocio, donde la computadora juegue un rol en el procesamiento. Desarrollo de Sistemas. Cubre las actividades de los analistas de sistemas y programadores. Ambiente de proceso de Informacin. Incluye todas las actividades involucradas en el equipo computacional y archivos (operaciones computacionales, librera de archivos, equipamiento de entrada y distribucin de datos).
Revisin y evaluacin de controles y seguridades.- Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas crticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, etc. Examen detallado de reas crticas.-Con las fases anteriores el auditor descubre las reas crticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usar, definir la metodologa de trabajo, la duracin de la auditora, Presentar el plan de trabajo y analizar detalladamente cada problema encontrado con todo lo anteriormente analizado. Comunicacin de resultados.- Se elaborar el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentar esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditora. o El informe debe contener lo siguiente: o Motivos de la Auditora o Objetivos o Alcance o Estructura Orgnico-Funcional del rea Informtica o Configuracin del Hardware y Software instalado o Control Interno o Resultados de la Auditora
Figura 2. Modelo de Proteccin de Datos Personales El modelo define cinco fases, las cuales se describen a continuacin:
informacin de datos personales a los titulares que no le estn generando algn beneficio ni operativo ni econmico, y analizar la factibilidad de dejarlos de recabar y, de esta manera, evitar el uso de recursos para el cumplimiento de la LFPDPPP.
Los controles de procesos y polticas mnimas que debern ser desarrolladas e implementadas son las siguientes: Poltica de proteccin de datos personales y datos sensibles. Modelo de responsabilidades que incluya los siguientes actores: responsable, custodio, titular, encargado de seguridad. Procedimientos para la obtencin de informacin de datos personales y datos personales sensibles. Procedimientos para el tratamiento de informacin de datos personales. Poltica de retencin y eliminacin de datos personales y datos personales sensibles. Proceso de evaluacin formal de riesgos. Proceso de control de accesos. Proceso de respaldo de datos. Proceso de respuesta a incidentes. Proceso de investigacin forense. Proceso de control de cambios. Procedimiento de monitoreo. Procedimientos de revisin de registros y bitcoras. Formatos del aviso de privacidad y del aviso de consentimiento. Acuerdos para el intercambio seguro de datos personales y datos sensibles. Otros.
En el mbito de los controles orientados al personal se deber considerar: Programa de conciencia de seguridad dirigido a: o Administradores de red. o Desarrolladores y analistas. o Personal involucrado en el manejo de la informacin de datos personales y datos sensibles.
10
11
Conclusiones
En un mundo cuya economa gira en torno a la informacin, es de extrema importancia contar con una legislacin que proteja los datos personales. Las empresas deben reforzar la seguridad de TI y hacer de la proteccin de informacin una prctica comn en la operacin del negocio. Es necesario que diversas reas se vean involucradas para cubrir esta necesidad, como seran los dueos de procesos de negocio, el rea legal, sistemas y TI. Hay que recordar que una falla en este sentido puede traer serias consecuencias, incluyendo multas sustanciales y demandas legales que afectarn directamente la salud financiera de la empresa.
12