Está en la página 1de 66

Gua para implementar un Sistema de

Gestin de Seguridad de Datos Personales


Marzo 2014

Contenido
1. PRESENTACIN ......................................................................................................................................................... 1
2. SISTEMA DE GESTIN DE SEGURIDAD DE DATOS PERSONALES .................................................................................. 3
2.1 Definiciones ................................................................................................................................................................ 3
2.2 Qu es un Sistema de Gestin? ................................................................................................................................. 5
2.3 Introduccin al Sistema de Gestin de Seguridad de Datos Personales ..................................................................... 6
3. Acciones para la Seguridad de los Datos Personales .................................................................................................. 8
Fase 1. Planear el SGSDP ................................................................................................................................................. 8
Paso 1. Establecer el Alcance y los Objetivos.................................................................................................................... 8
Paso 2. Elaborar una Poltica de Gestin de Datos Personales ....................................................................................... 10
Paso 3. Establecer Funciones y Obligaciones de Quienes Traten Datos Personales ....................................................... 12
Paso 4. Elaborar un Inventario de Datos Personales ...................................................................................................... 12
Paso 5. Realizar el Anlisis de Riesgo de los Datos Personales ....................................................................................... 16
Paso 6. Identificacin de las medidas de seguridad y Anlisis de Brecha ....................................................................... 20
Fase 2. Implementar y Operar el SGSDP ....................................................................................................................... 22
Paso 7. Implementacin de las Medidas de Seguridad Aplicables a los Datos Personales ............................................. 22
Fase 3. Monitorear y Revisar el SGSDP ......................................................................................................................... 28
Paso 8. Revisiones y Auditora ........................................................................................................................................ 28
Fase 4. Mejorar el SGSDP .............................................................................................................................................. 31
Paso 9. Mejora Continua y Capacitacin ........................................................................................................................ 31
4. SNTESIS DE LA IMPLEMENTACIN DEL SGSDP ................................................................................................ 34
Tabla Comparativa entre el Captulo III del Reglamento de la Ley y la Gua ............................................................. 36
Anexos ........................................................................................................................................................................ 40
Anexo A. Ejemplos de Activos ..................................................................................................................................... 40
Anexo B. Ejemplos de Amenazas Tpicas ..................................................................................................................... 43
Anexo C. Ejemplos de Escenarios ................................................................................................................................ 47
Anexo D. Ejemplos de Controles de Seguridad ............................................................................................................ 54

1. PRESENTACIN
En las Recomendaciones en materia de Seguridad de Datos Personales,1 publicadas en el Diario
Oficial de la Federacin el 30 de octubre de 2013, este Instituto recomend la implementacin de
un Sistema de Gestin de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA
(Planear-Hacer-Verificar-Actuar), para la proteccin de los datos personales.
En la presente gua, se brinda orientacin para la implementacin de un SGSDP con base en los
siguientes estndares internacionales:

BS 10012:2009 Data protection Specification for a personal information


management system
ISO/IEC 27001:2013, Information technology Security techniques Information
security management systems Requirements.
ISO/IEC 27002:2013, Information technology Security techniques Code of
practice for information security controls.
ISO/IEC 27005:2008, Information TechnologySecurity techniques Information
security risk management.
ISO/IEC 29100:2011 Information technology Security techniques Privacy
framework
ISO 31000:2009, Risk management Principles and guidelines
ISO GUIDE 72, Guidelines for the justification and development of management
systems standards
ISO GUIDE 73, Risk management Vocabulary
ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary
NIST SP 800-14 Generally Accepted Principles and Practices for Securing
Information Technology Systems
OECD Guidelines for the Security of Information Systems and Networks Towards a
Culture of Security.

De ese modo, se considera que las medidas de seguridad que se definan a partir de las referencias
anteriores, y que se implementen de manera adecuada, permitirn que se cumpla con lo
dispuesto por el Captulo III del Reglamento de la Ley Federal de Proteccin de Datos Personales
en Posesin de los Particulares (en adelante, la Ley o LFPDPPP).
Con objeto de facilitar el anlisis de las normas y estndares anteriores, el IFAI ofrece, a travs del
presente documento, un ejercicio de concrecin, sntesis y armonizacin de dichas referencias. En
ese sentido, los responsables y encargados, as como todo interesado, encontrar en esta gua los
pasos claves para realizar un SGSDP basado en el ciclo PHVA.
Importante
El objetivo general de este documento es orientar a los responsables y encargados para crear
un SGSDP, de manera que a travs de un proceso de mejora continua se logre un nivel
aceptable del riesgo en el tratamiento de la informacin personal, de acuerdo al modelo y
objetivos de la organizacin.

Recomendaciones en materia de Seguridad de Datos Personales en:


http://www.dof.gob.mx/nota_detalle.php?codigo=5320179&fecha=30/10/2013
1

Es importante que se tome en cuenta que el alcance del SGSDP es la proteccin de los datos
personales y su tratamiento legtimo, controlado e informado, a efecto de garantizar la
privacidad y el derecho a la autodeterminacin informativa de las personas. Por lo cual, el
anlisis de riesgos y las medidas de seguridad implementadas como resultado del seguimiento de
la presente gua se debern enfocar en la proteccin de datos personales contra dao, prdida,
alteracin, destruccin o el uso, acceso o tratamiento no autorizado, as como en evitar las
vulneraciones descritas en el artculo 63 del reglamento.
Esta gua se basa en la seguridad a travs de la gestin del riesgo de los datos personales,
entendindose de forma general al riesgo como una combinacin de la probabilidad de que un
incidente ocurra y de sus consecuencias desfavorables; de modo tal que al determinar el riesgo en
un escenario especfico de la organizacin, se pueda evaluar el impacto y realizar un estimado de
las medidas de seguridad necesarias para preservar la informacin personal.
Es importante sealar que la adopcin de lo establecido en la presente gua es de carcter
voluntario, por lo que los responsables y encargados podrn decidir libremente qu metodologa
conviene ms aplicar en su negocio para la seguridad de los datos personales. Asimismo, el
seguimiento de la presente gua no exime a los responsables y encargados de su responsabilidad
con relacin a cualquier vulneracin que pudiera ocurrir a sus bases de datos ya que la seguridad
de dichas bases depende de una correcta implementacin de las medidas o controles de
seguridad.

2. SISTEMA DE GESTIN DE SEGURIDAD DE DATOS PERSONALES


2.1 Definiciones
Activo. La informacin, el conocimiento sobre los procesos, el personal, hardware, software y
cualquier otro recurso involucrado en el tratamiento de los datos personales, que tenga valor para
la organizacin.
Alta Direccin. Toda persona con poder legal de toma de decisin en las polticas de la
organizacin. Por ejemplo: la junta directiva, ejecutivos y trabajadores experimentados, la persona
a cargo del departamento de datos personales, los socios de la organizacin, el dueo de una
empresa unipersonal o quien encabeza la organizacin.
Bases de datos. El conjunto ordenado de datos personales referentes a una persona fsica
identificada o identificable.
Custodios. Son aqullos con responsabilidad funcional sobre los activos, como: los responsables
del departamento de datos, administradores de sistemas o responsables de un proceso o de un
proyecto en especfico, entre otros.
Datos personales. Cualquier informacin concerniente a una persona fsica identificada o
identificable.
Encargado. La persona fsica o moral, pblica o privada, ajena a la organizacin del responsable,
que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como
consecuencia de la existencia de una relacin jurdica que le vincula con el mismo y delimita el
mbito de su actuacin para la prestacin de un servicio.
Impacto. Una medida del grado de dao a los activos o cambio adverso en el nivel de objetivos
alcanzados por una organizacin.
Incidente. Escenario donde una amenaza explota una vulnerabilidad o conjunto de
vulnerabilidades.
Amenaza. Circunstancia o evento con la capacidad de causar dao a una organizacin.
Vulnerabilidad. Falta o debilidad de seguridad en un activo o grupo de activos que puede ser
explotada por una o ms amenazas.
Organizacin. Conjunto de personas e instalaciones con una disposicin de responsabilidades,
autoridades y relaciones.
Parte interesada. Persona o grupo de personas con intereses especficos sobre una organizacin.
Por ejemplo: inversionistas, clientes, proveedores, autoridades de proteccin de datos y titulares.
Responsable. Persona fsica o moral de carcter privado que decide sobre el tratamiento de los
datos personales.
Riesgo. Combinacin de la probabilidad de un evento y su consecuencia desfavorable.

Riesgo de seguridad. Potencial de que cierta amenaza pueda explotar las vulnerabilidades de un
activo o grupo de activos en perjuicio de la organizacin.
Identificar el riesgo. Proceso para encontrar, enlistar y describir los elementos del riesgo.
Valorar el riesgo. Proceso para asignar valores a la probabilidad y consecuencias del
riesgo.
Comunicar el riesgo. Compartir o intercambiar informacin entre la alta direccin,
custodios y dems involucrados acerca del riesgo.
Tratar el riesgo: Procesos que se realizan para modificar el nivel de riesgo.
Aceptar el riesgo. Decisin informada para coexistir con un nivel de riesgo.
Compartir el riesgo. Proceso donde se involucra a terceros para mitigar la prdida
generada por un riesgo en particular, sin que el dueo del activo afectado reduzca
su responsabilidad.
Evitar el riesgo. Accin para retirarse de una situacin de riesgo o decisin para no
involucrarse en ella.
Reducir el riesgo. Acciones tomadas para disminuir la probabilidad, las
consecuencias negativas, o ambas, asociadas al riesgo.
Retencin del riesgo. Aceptacin de la prdida generada por un riesgo en
particular. Esta accin implica monitoreo constante del riesgo retenido.
Riesgo residual. El riesgo remanente despus de tratar el riesgo.
Seguridad de la informacin. Preservacin de la confidencialidad, integridad y disponibilidad de la
informacin, as como otras propiedades delimitadas por la normatividad aplicable.
Confidencialidad. Propiedad de la informacin para no estar a disposicin o ser revelada a
personas, entidades o procesos no autorizados.
Disponibilidad. Propiedad de un activo para ser accesible y utilizable cuando lo requieran
personas, entidades o procesos autorizados.
Integridad. La propiedad de salvaguardar la exactitud y completitud de los activos.
Sistema de Gestin de Seguridad de Datos Personales (SGSDP). Sistema de gestin general para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y
seguridad de los datos personales en funcin del riesgo de los activos y de los principios bsicos de
licitud, consentimiento, informacin, calidad, finalidad, lealtad, proporcionalidad y responsabilidad
previstos en la Ley, su Reglamento, normatividad secundaria y cualquier otro principio que la
buena prctica internacional estipule en la materia.
Titular. La persona fsica a quien corresponden los datos personales.
Tratamiento. La obtencin, uso, divulgacin o almacenamiento de datos personales, por cualquier
medio. El uso abarca cualquier accin de acceso, manejo, aprovechamiento, transferencia o
disposicin de datos personales.
Transferencia. Toda comunicacin de datos realizada a persona distinta del titular, responsable o
encargado del tratamiento, dentro o fuera del territorio nacional.

2.2 Qu es un Sistema de Gestin?


La gestin es un conjunto de actividades coordinadas para dirigir y controlar un proceso o tarea.
Un sistema es un conjunto de elementos mutuamente relacionados o que interactan por un fin u
objetivo. Por lo tanto, un Sistema de Gestin (SG) se define como un conjunto de elementos y
actividades interrelacionadas para establecer metas y los medios de accin para alcanzarlas.
Asimismo, un sistema de gestin apoya a las organizaciones en la direccin, operacin y control de
forma sistemtica y transparente de sus procesos, a fin de lograr con xito sus actividades, ya que
est diseado para mejorar continuamente el desempeo de la organizacin, mediante la
consideracin de las necesidades de todas las partes interesadas.
Es importante tomar en cuenta que una organizacin tiene que definir y gestionar numerosas
actividades para funcionar con eficiencia. Estas actividades se convierten en procesos que tienen
la caracterstica de recibir elementos de entrada, los cuales se gestionan para regresar al final de
su ciclo, como elementos de salida (resultados). Por ejemplo, un proceso de Auditora puede
recibir como elementos de entrada objetivo, alcance y plan de auditora, as como el informe de
resultados de la auditora anterior, y como elemento de salida un nuevo informe de auditora. A
menudo, la salida de un proceso se convierte directamente en la entrada del proceso siguiente, y
la interconexin entre procesos genera sistemas que se retroalimentan para mejorar.

PROCESO

En el caso de las Recomendaciones en materia de Seguridad de los Datos Personales, emitidas por
el IFAI, el sistema de gestin propuesto se basa en el modelo denominado Planificar-HacerVerificar-Actuar (PHVA), a travs del cual se dirigen y controlan los procesos o tareas, como se
puede ver en la tabla 1 y figura 1:
Elemento del
SG

Fase del
PHVA

Actividades

Metas

Planificar

Se identifican polticas, objetivos, riesgos, planes, procesos y


procedimientos necesarios para obtener el resultado esperado
por la organizacin (meta).

Medios de
accin

Hacer

Se implementan y operan las polticas, objetivos, planes,


procesos y procedimientos establecidos en la fase anterior.

Verificar

Se evalan y miden los resultados de las polticas, objetivos,


planes, procesos y procedimientos implementados, a fin de
verificar que se haya logrado la mejora esperada.

Actuar

Se adoptan medidas correctivas y preventivas, en funcin de los


resultados y de la revisin, o de otras informaciones relevantes,
para lograr la mejora continua.
Tabla 1. Sistema de Gestin

Figura 1. Ciclo General del Sistema de Gestin de Seguridad de Datos Personales

2.3 Introduccin al Sistema de Gestin de Seguridad de Datos Personales


En particular, el SGSDP tiene como objetivo proveer un marco de trabajo para el tratamiento de
datos personales que permita mantener vigente y mejorar la proteccin de datos personales para
el cumplimiento de la legislacin y fomentar las buenas prcticas.
Las fases del ciclo PHVA considera diferentes pasos y objetivos especficos para el SGSDP, que
pueden observarse en la siguiente tabla:
Fases
Planear el
SGSDP

Hacer

Implementar y
operar el
SGSDP

Verificar

Monitorear y
revisar el
SGSDP

Ciclo

Planificar

Pasos

Objetivos Especficos

1. Alcance y objetivos
2. Poltica de gestin de
datos personales
3. Funciones y obligaciones
de quienes traten datos
personales
4. Inventario de datos
personales
5. Anlisis de riesgos de los
datos personales
6. Identificacin de las
medidas de seguridad y
anlisis de brecha
7. Implementacin de las
medidas de seguridad
aplicables a los datos
personales

Definir los objetivos, polticas,


procesos
y
procedimientos
relevantes del SGSDP para
gestionar los riesgos de los datos
personales, con el fin de cumplir
con
la
legislacin
sobre
proteccin de datos y obtener
resultados acordes con las
polticas y objetivos generales de
la organizacin.

8. Revisiones y auditora

Evaluar y medir el cumplimiento


del proceso de acuerdo con la
legislacin de proteccin de datos
personales, la poltica, los
objetivos y la experiencia prctica
del SGSDP, e informar los

Implementar y operar las polticas,


objetivos,
procesos
y
procedimientos del SGSDP, as
como sus controles o mecanismos
con indicadores de medicin.

resultados a la Alta Direccin para


su revisin.
Actuar

Mejorar el
SGSDP

9. Mejora continua
Capacitacin

Para lograr la mejora continua se


deben
adoptar
medidas
correctivas y preventivas, en
funcin
de
los
resultados
obtenidos de la revisin por parte
de la Alta Direccin, las auditoras
al SGSDP y de la comparacin con
otras fuentes de informacin
relevantes, como actualizaciones
regulatorias, riesgos e impactos
organizacionales, entre otros.
Adicionalmente,
se
debe
considerar la capacitacin del
personal.

Tabla 2. Objetivos del SGSDP dentro de las fases del ciclo PHVA

La mayora de las organizaciones poseen de manera consciente o no, de manera documentada o


no, uno o ms procesos que involucran el tratamiento de datos personales; estos procesos deben
ser identificados y controlados a partir de que la informacin es recolectada y hasta que se
bloquea, se borra o se destruye.
Ms an, en el marco de la Ley y su Reglamento, los datos personales son el principal activo de
informacin. En consecuencia, a travs del artculo 61 del Reglamento se puede vislumbrar que
una de las primeras acciones para llevar a cabo su proteccin es tener bien identificado, definido y
documentado el flujo de los datos personales que se traten a travs de los diferentes procesos de
la organizacin.
Asimismo, durante el ciclo del SGSDP se deben identificar los riesgos relacionados a los datos
personales, as como al resto de activos que interactan directamente con ellos, y de ese modo
determinar los controles de seguridad que pueden mitigar los incidentes.
En la siguiente seccin se detallarn las acciones que se recomiendan llevar a cabo para la
seguridad de los datos personales, basadas en el ciclo PHVA, considerando que cada uno de los
pasos del SGSDP debe mantener un adecuado registro documental.

3. Acciones para la Seguridad de los Datos Personales


Paso 9.
Mejora
continua y
capacitacin

Paso 8.
Revisiones
y Auditora

Paso 7.
Implementar las
medidas de
seguridad
aplicables a los
datos
personales

Paso 1.
Establecer
el alcance
y objetivos

Paso 2.
Elaborar una
poltica de
gestin de
datos
personales

Planear

Mejorar

Implementar
/Operar

Paso 3.
Establecer
funciones y
obligaciones de
quienes traten
datos
personales

Monitorear
Paso 6.
Identificar las
medidas de
seguridad y
anlisis de
brecha

/Revisar

Paso 5.
Realizar el
anlisis de
riesgo de los
datos
personales

Paso 4.
Elaborar un
inventario de
datos
personales

Fase 1. Planear el SGSDP


Como se seal anteriormente, en la fase de planeacin del SGSDP se requiere establecer los
objetivos y procesos necesarios para llegar a la meta u obtener los resultados esperados por la
organizacin, en este caso en particular, la proteccin y seguridad de los datos personales. Para
ello, es necesario realizar, al menos, las siguientes acciones, que se detallarn a continuacin:
1.
2.
3.
4.
5.
6.

Establecer el alcance y los objetivos de la gestin de los datos personales;


Elaborar una poltica de gestin de datos personales;
Establecer las funciones y obligaciones de quienes traten los datos personales;
Elaborar un inventario de datos personales;
Analizar los riesgos a los que estn sujetos los datos personales, y
Identificar las medidas de seguridad y realizar el anlisis de brecha.

Paso 1. Establecer el Alcance y los Objetivos


El responsable debe definir el alcance y establecer los objetivos del sistema de gestin. Es decir a
partir del contexto general de la informacin y los procesos que posee la Organizacin, se debe
delimitar el mbito de aplicacin que involucra el tratamiento relacionado con el flujo de los datos
personales, considerando:
8

a) De dnde se obtienen los datos personales (directamente del titular, a travs de una
transferencia o fuente de acceso pblico, entre otros);
b) Las unidades de negocio o, departamentos que tratan datos personales para los servicios
que ofrecen o actividades que realizan;
c) En particular, qu empleados o miembros de la organizacin estn autorizados a tratar los
datos personales;
d) Las finalidades del tratamiento;
e) Con quin se comparten los datos personales (encargados o transferencias) y para qu se
comparten;
f) En dnde y cmo se almacenan los datos personales;
g) Los procedimientos, mecanismos y tecnologa utilizados para el tratamiento;
h) Cunto tiempo se conservan los datos personales, y
i) Los procedimientos para su destruccin
As como, los estatutos aplicables, regulatorios y contractuales; las obligaciones organizacionales,
las necesidades de las partes interesadas y el nivel de aceptacin del riesgo, en caso de que exista
para la organizacin.
Por otra parte, el responsable deber considerar entre los objetivos del SGSDP aqullos que
permitan el tratamiento legtimo, controlado e informado de los datos personales, a efecto de
garantizar la privacidad y el derecho a la autodeterminacin informativa de las personas (derecho
que tienen los individuos de decidir a quin y para qu proporcionan su informacin personal). Los
objetivos deben ser expresados generalmente como metas medibles. Por ejemplo, reducir el
nmero de vulneraciones a los datos personales.
Para determinar el objetivo del SGSDP, se sugiere al responsable tomar en cuenta los siguientes
factores:
Factores contractuales: Estas obligaciones surgen de los acuerdos existentes entre los diferentes
actores del tratamiento de datos personales y sus interacciones, en funcin del flujo de la
informacin.
Escenarios

TITULAR

RESPONSABLE

ENCARGADO

TERCERO

a)

Entrega DP

Recibe DP

b)

Entrega DP

Recibe DP

c)

Entrega DP

Recibe DP

d)

Recibe DP

Entrega DP

e)

Recibe DP

Entrega DP

f)

Recibe DP

Entrega DP

g)

Entrega DP

Recibe DP

h)

Entrega DP

Recibe DP

Tabla 3 Tabla de factores contractuales para definir objetivos en la organizacin

Como puede observarse en la Tabla 3, donde DP representa Datos Personales, cada escenario de
flujo de informacin tiene diferentes implicaciones contractuales y legales:
a) El Titular entrega DP al Responsable. Por ejemplo, cuando una persona se registra para
recibir un servicio.
b) El Responsable entrega DP al Encargado. Por ejemplo, cuando el Encargado realiza un
tratamiento de DP como parte de un contrato de servicio.
c) El Titular entrega DP al Encargado. Por ejemplo, un titular atendido por un Call-Center
contratado por el Responsable.
d) El Titular recibe DP a travs del ejercicio de sus derechos ARCO directamente con el
Responsable.
e) El Titular recibe DP a travs del ejercicio de derechos ARCO por medio del Encargado que
acta en representacin del Responsable.
f) El Encargado entrega DP al Responsable. Por ejemplo, por terminacin de contrato de
servicios y migracin de datos personales con otro proveedor.
g) El Responsable entrega DP a un Tercero. Por ejemplo, a travs de una transferencia por
un acuerdo de colaboracin comercial.
h) El Encargado entrega DP a un Tercero. Por ejemplo, por una instruccin del responsable.
Factores legales y regulatorios: se reflejan en leyes nacionales y locales o acuerdos
internacionales, as como en la regulacin secundaria. Por ejemplo la LFPDPPP y su Reglamento,
leyes de proteccin al consumidor, leyes de notificacin de vulneraciones, leyes laborales, entre
otras.
Factores del modelo de negocio: Se basan en las caractersticas especficas del modelo de
negocio, por lo que varan de una organizacin a otra. Por ejemplo, los factores de negocio
podran estar alineados a guas, cdigos de conducta o mejores prcticas de un sector especfico.
Factores tecnolgicos: Se basa en el entendimiento de la organizacin respecto a las tecnologas
que se utilizan para tratar datos personales, su grado de madurez en su modelo de negocio, as
como su experiencia en manejo de las tecnologas.

Paso 2. Elaborar una Poltica de Gestin de Datos Personales


Una vez que han sido definidos los alcances y objetivos de la gestin de los datos personales, el
responsable directamente, o bien un equipo de la Alta Direccin autorizado por l, deber emitir e
implementar una poltica de gestin y seguridad que ayude al logro de los objetivos planteados.
Adems, es fundamental darle seguimiento a la poltica, mantener su implementacin a travs del
tiempo y actualizar o realizar ajustes a la misma cuando sea necesario. Asimismo, en funcin del
tamao y necesidades de la organizacin, se podran generar equipos de trabajo adicionales para
desarrollar tareas especficas como la identificacin de activos, procesos, funciones y
responsabilidades.
La poltica debe tener muy bien definidos su alcance y objetivo, y recordar que aplica a todos los
datos personales que son tratados en la organizacin dentro de los distintos procesos y finalidades
convenidas con los titulares. Dicha poltica debe ser formalmente aprobada y apoyada por la Alta
Direccin.

10

La poltica debe establecer el compromiso de cumplir con la legislacin en proteccin de datos


personales por parte de todos los involucrados en el tratamiento, por lo que debe ser comunicada
a los mismos, e incluir al menos las siguientes reglas:
a) El cumplimiento de todos los principios que establece el artculo 6 de la Ley: licitud,
consentimiento, informacin, calidad, finalidad, lealtad, proporcionalidad y
responsabilidad, conforme a lo que seala la propia Ley, su Reglamento y dems
normativa aplicable;
b) Tratar y recabar datos personales de manera lcita, conforme a las disposiciones
establecidas por la Ley y dems normativa aplicable (principio de licitud);
c) Sujetar el tratamiento de datos personales al consentimiento del titular, salvo las
excepciones previstas por la Ley (principio de consentimiento);
d) Informar a los titulares de los datos, la informacin que se recaba de ellos y con qu fines,
a travs del aviso de privacidad (principio de informacin);
e) Procurar que los datos personales tratados sean correctos y actualizados (principio de
calidad);
f) Suprimir los datos personales cuando hayan dejado de ser necesarios para el
cumplimiento de las finalidades previstas en el aviso de privacidad y para las cuales se
obtuvieron (principio de calidad);
g) Tratar datos personales estrictamente el tiempo necesario para propsitos legales,
regulatorios o legtimos organizacionales (principio de calidad);
h) Limitar el tratamiento de los datos personales al cumplimiento de las finalidades previstas
en el aviso de privacidad (principio de finalidad);
i) No obtener los datos personales a travs de medios fraudulentos (principio de lealtad);
j) Respetar la expectativa razonable de privacidad del titular (principio de lealtad);
k) Tratar los menos datos personales posibles, y slo aqullos que resulten necesarios,
adecuados y relevantes en relacin con las finalidades previstas en el aviso de privacidad
(principio de proporcionalidad);
l) Velar por el cumplimiento de estos principios y adoptar las medidas necesarias para su
aplicacin (principio de responsabilidad);
m) Establecer y mantener medidas de seguridad (deber de seguridad);
n) Guardar la confidencialidad de los datos personales (deber de confidencialidad);
o) Identificar el flujo y ciclo de vida de los datos personales: por qu medio se recaban, en
qu procesos de la organizacin se utilizan, con quin se comparten, y en qu momento y
por qu medios se suprimen;
p) Mantener un inventario actualizado de los datos personales o de sus categoras que
maneja la organizacin;
q) Respetar los derechos de los titulares en relacin con su datos personales;
r) Aplicar las excepciones contempladas en la normativa en materia de proteccin de datos
personales;
s) Desarrollar e implementar un SGSDP de acuerdo a la poltica de gestin de datos
personales, y
t) Definir las partes interesadas y miembros de la organizacin con responsabilidades
especficas y a cargo de la rendicin de cuentas para el SGSDP.

11

Paso 3. Establecer Funciones y Obligaciones de Quienes Traten Datos


Personales
El responsable debe determinar y proveer los recursos necesarios para establecer, implementar,
operar y mantener el SGSDP. Para asegurar que la gestin de los datos personales sea parte de los
valores de la organizacin de manera efectiva, el responsable debe:
a) Comunicar a todos los involucrados en el tratamiento de los datos personales (internos y
externos) la importancia de:
o cumplir la poltica de gestin de datos personales;
o conocer los objetivos del SGSDP, y
o mejorar el SGSDP de manera continua;
b) Definir los roles, responsabilidades, cadena de rendicin de cuentas y estructura
organizacional para el SGSDP, y
c) Asegurar que todos los trabajadores tengan claro sus roles y funciones (ver Tabla 4), as
como su contribucin para el logro de los objetivos del SGSDP de la organizacin y las
consecuencias del incumplimiento.
Actividades

rea de la Organizacin
Recursos
TIC
rea
Auditora
Humanos
Legal
Interna

Direccin
y Gestin

Finanzas y
Contabilidad

Poltica y Objetivos del


SGPDP
Funciones y Obligaciones
de Quienes Traten Datos
Personales
Inventario de Datos
Personales
Anlisis de Riesgo de los
Datos Personales
Anlisis de Brecha de las
Medidas de Seguridad
Implementacin de las
Medidas de Seguridad
Aplicables a los Datos
Personales
Revisiones y Auditora

Capacitacin

Terceros

Infraestructura

Tabla 4. Ejemplo de esquema de contribuciones al SGSDP por rea dentro de la organizacin

Paso 4. Elaborar un Inventario de Datos Personales


Se debe establecer y mantener actualizado un inventario de los datos personales o sus categoras,
que son tratados por la organizacin. Asimismo, este inventario de datos personales debe
identificar o estar vinculado con la informacin bsica que permita conocer el tratamiento al que
son sometidos, la cual se relaciona de manera directa con el flujo de los datos personales:

Obtencin;
Uso:
o Acceso
o Manejo
o Aprovechamiento
o Monitoreo
o Procesamiento (incluidos los sistemas que se utilizan para tal fin)
12

Divulgacin:
o Remisiones
o Transferencias
Almacenamiento;
Bloqueo;
Cancelacin, supresin o destruccin.

Figura 2. Tratamiento de datos personales

Por otra parte, es importante que el responsable tome en cuenta que los datos personales tienen
un valor potencial significativo, tanto para los titulares y responsables, como para cualquier
persona no autorizada que pudiera beneficiarse de ellos, lo cual representa el riesgo inherente por
tipo de dato.
A continuacin se ofrecen ejemplos de categoras de datos personales segn su naturaleza:
a) Nivel estndar
Esta categora considera informacin de identificacin, contacto, datos laborales y acadmicos de
una persona fsica identificada o identificable, tal como: nombre, telfono, edad, sexo, RFC, CURP,
estado civil, direccin de correo electrnico, lugar y fecha de nacimiento, nacionalidad, puesto de
trabajo, lugar de trabajo, experiencia laboral, datos de contacto laborales, idioma o lengua,
escolaridad, trayectoria educativa, ttulos, certificados, cdula profesional, entre otros.
b) Nivel sensible
Esta categora contempla los datos que permiten conocer la ubicacin fsica de la persona, tales
como la direccin fsica e informacin relativa al trnsito de las personas dentro y fuera del pas.
Tambin son datos de nivel sensible aqullos que permitan inferir el patrimonio de una persona,
que incluye entre otros, los saldos bancarios, estados y/o nmero de cuenta, cuentas de inversin,
bienes muebles e inmuebles, informacin fiscal, historial crediticio, ingresos, egresos, bur de
crdito, seguros, afores y fianzas. Incluye el nmero de tarjeta bancaria de crdito y/o dbito.

13

Son considerados tambin los datos de autenticacin con informacin referente a los usuarios,
contraseas, informacin biomtrica (huellas dactilares, iris, voz, entre otros), firma autgrafa y
electrnica y cualquier otro que permita autenticar a una persona.
Dentro de esta categora se toman en cuenta los datos jurdicos tales como antecedentes penales,
amparos, demandas, contratos, litigios y cualquier otro tipo de informacin relativa a una persona
que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o
jurisdiccional en materia laboral, civil, penal o administrativa.
Finalmente, se contemplan los datos personales sensibles de la Ley, es decir, aqullos que afecten
a la esfera ms ntima de su titular. Por ejemplo, se consideran sensibles los que puedan revelar
aspectos como origen racial o tnico, estado de salud pasado, presente y futuro, informacin
gentica, creencias religiosas, filosficas y morales, afiliacin sindical, opiniones polticas,
preferencia sexual, hbitos sexuales y cualquier otro cuya utilizacin indebida pueda dar origen a
discriminacin o conlleve un riesgo grave a la integridad del titular.

c) Nivel especial
Los datos de nivel especial son los que de acuerdo a su naturaleza y contexto pueden causar un
dao excepcional a los titulares, por ejemplo:
Informacin adicional de tarjeta bancaria que considera el nmero de la tarjeta de crdito y/o
dbito mencionado anteriormente en combinacin con cualquier otro dato relacionado o
contenido en la misma, por ejemplo fecha de vencimiento, cdigos de seguridad, datos de banda
magntica o nmero de identificacin personal (PIN).
Los datos personales de titulares de alto riesgo, cuya profesin, oficio o condicin los expone a una
mayor probabilidad de ser atacados debido al beneficio econmico o reputacional que su
informacin representa para una persona no autorizada. Por ejemplo, lderes polticos, religiosos,
empresariales, de opinin y cualquier otra persona que sea considerada como personaje pblico.
Asimismo, se considera a cualquier persona cuya profesin est relacionada con la imparticin de
justicia y seguridad nacional.
La Tabla 5 contiene la clasificacin por nivel de algunos tipos de dato:
Tipo de dato
Informacin adicional al nmero de tarjeta bancaria
Titulares de alto riesgo
Ubicacin fsica
Patrimonio
Autenticacin
Jurdicos
Salud, creencias, opiniones polticas
Identificacin y contacto

Nivel
Especial
Especial
Sensible
Sensible
Sensible
Sensible
Sensible
Estndar

Tabla 5. Ejemplos de categorizacin por tipo de dato

El riesgo inherente de los datos personales puede incrementarse cuando se manejan grandes
volmenes de informacin personal, cuando se relacionan distintos tipos de datos o se combinan
bases de datos de diferentes fuentes (cruces de informacin).

14

El nivel de riesgo en los datos personales puede disminuirse con mecanismos


como:
Disociacin: se aslan los datos de manera que por s mismos no aporten
informacin valiosa de un titular o ste no pueda ser identificable. De esta
manera el valor de la base de datos para una persona no autorizada se ve
disminuido.
Separacin: se separan los activos de informacin grandes en otros ms
pequeos, por ejemplo, una base de datos de clientes en dos bases de datos:
clientes corporativos y personas fsicas. Entre mayor cantidad de informacin
tiene un activo, ste resulta ms atractivo para una persona no autorizada.

Las categoras antes descritas son slo una orientacin, ya que el Pleno del IFAI no ha emitido
criterios institucionales al respecto, adems de que ciertos datos personales que en principio no se
consideran sensibles, podran llegar a serlo dependiendo del contexto en que se trate la
informacin.
Una vez que se han identificado los tipos o categoras de datos personales, se tiene que definir su
relacin con el personal de la organizacin. Es decir, considerando la figura 2 se debe identificar
qu tipo de tratamiento efecta cada uno de ellos, as como el grado de responsabilidad, de modo
que a travs de un registro documentado se puedan conocer los privilegios y lmites que tiene
cada individuo. Esto ayuda a las organizaciones a ponderar, por ejemplo, aquellas reas que
necesitan controles de seguridad o entrenamiento ms especfico. En caso de una solicitud de
derechos ARCO o una vulneracin a la seguridad, es de utilidad tener identificado quines dentro
de la organizacin puede ayudar con estos procesos.
Para documentar el cruce de informacin entre los sistemas de tratamiento y el personal
involucrado, se podra utilizar una matriz de responsabilidades o un formato similar, como el
mostrado en la Tabla 6.
Personal Relacionado

Empleado A
Empleado B
Departamento M
rea X

Sistema de Tratamiento
Base de datos
Base de datos
Base de datos
Clientes
Prospectos
Empleados
OA
U
OA
U
OAUB
BC

O - Obtencin, U - Uso, D- Divulgacin, A - Almacenamiento, B - Bloqueo, C - Cancelacin


Tabla 6. Ejemplo de esquema de privilegio sobre el tratamiento

En el ejemplo se puede ver cmo el Empleado A puede obtener (O) y almacenar (A) datos para la
Base de datos de Clientes y usar (U) los datos en la Base de datos de Empleados, sin embargo no
tiene permisos sobre la Base de datos Prospectos. Por su parte los empleados del Departamento
M pueden obtener (O), almacenar (A), usar (U) y bloquear (B) datos de la Base de datos de
Prospectos, pero no tiene privilegios sobre alguna de las otras dos bases de datos.

15

Paso 5. Realizar el Anlisis de Riesgo de los Datos Personales


La seguridad se basa en el entendimiento de la naturaleza del riesgo al que estn expuestos los
datos personales, el riesgo no se puede erradicar completamente, pero s se puede minimizar a
travs de la mejora continua.
El objetivo de esta seccin es que los responsables determinen las caractersticas del riesgo que
mayor impacto puede tener sobre los datos personales que tratan, con el fin de que prioricen y
tomen la mejor decisin respecto a los controles ms relevantes e inmediatos a implementar.
Factores para Determinar las Medidas de Seguridad

Artculo 60 del Reglamento de la LFPDPPP:


El responsable determinar las medidas de seguridad aplicables a los datos personales que
trate, considerando los siguientes factores:
I. El riesgo inherente por tipo de dato personal;
II. La sensibilidad de los datos personales tratados;
III. El desarrollo tecnolgico, y
IV. Las posibles consecuencias de una vulneracin para los titulares.
De manera adicional, el responsable procurar tomar en cuenta los siguientes elementos:
I. El nmero de titulares;
II. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento;
III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos
personales tratados para una tercera persona no autorizada para su posesin, y
IV. Dems factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o
regulacin aplicable al responsable.

Para poder definir un plan del riesgo a tratar y posteriormente implementar controles de
seguridad, se deben tener diferentes criterios de evaluacin dentro de la organizacin, que
permitan delimitar el nivel de riesgo aceptable para los datos personales. Estos criterios de
evaluacin del riesgo de la seguridad de los datos personales deben considerar los factores
establecidos en el artculo 60 del Reglamento y de manera adicional, entre otros factores que
pueden incidir en el nivel de riesgo se encuentran los siguientes:

Los requerimientos regulatorios y obligaciones contractuales que se usaron para definir


los objetivos y alcances.
El valor de los datos personales, de acuerdo a su clasificacin por tipo definida
previamente y su flujo.
El valor y exposicin de los activos involucrados con los datos personales.
Expectativas de las partes interesadas, as como las consecuencias negativas a la
reputacin de la organizacin, que pudieran derivar de una vulneracin.

Considerando los factores anteriores, las organizaciones pueden establecer dos tipos de criterios
de evaluacin del riesgo, los de impacto y los de aceptacin. Los primeros corresponden a todo el
posible dao a los titulares, mientras que los de aceptacin se alinean de manera general a los
niveles de riesgo que una organizacin se fije como meta respecto a sus alcances y objetivos, estos
criterios se detallan a continuacin:
16

Criterios de impacto. Se definen en trminos del posible nivel de dao y perjuicio al titular
causado por un evento negativo a la seguridad de los datos personales, considerando:

El valor de los datos para la organizacin


El incumplimiento con las obligaciones legales y contractuales relacionadas con el titular
Vulneraciones de seguridad (art. 63 del reglamento)
Dao a la integridad de los titulares de datos personales
Dao a la reputacin de la organizacin

Criterios de aceptacin del riesgo. La organizacin podra aceptar o no ciertos niveles de riesgo,
siempre y cuando la naturaleza del riesgo, sus consecuencias o su probabilidad sean consideradas
como muy poco significativas. Estos criterios dependen de las polticas y objetivos de la
organizacin y de las partes interesadas, considerando que:

Se debe expresar el beneficio o el riesgo estimado para la organizacin, aplicando


diferentes criterios de aceptacin correspondientes al riesgo. Por ejemplo, riesgos que
pueden resultar del incumplimiento a la Ley que no pueden ser aceptados.
Se deben incluir mltiples umbrales, correspondientes a diferentes niveles de aceptacin,
previendo que los responsables acepten riesgos sobre esos niveles en circunstancias
especficas.
Los criterios de aceptacin del riesgo pueden incluir requerimientos para una gestin
futura, por ejemplo, un riesgo puede ser aceptado si hay aprobacin y el compromiso de
la Alta Direccin para tomar acciones que permitan reducirlo a un nivel aceptable dentro
de un periodo definido ms adelante.
Para definir todo criterio de aceptacin del riesgo es importante considerar:
o Poltica(s) de la organizacin respecto al tratamiento de datos personales
o Aspectos legales y regulatorios
o Operaciones
o Tecnologa
o Finanzas
o Factores sociales y humanitarios

Estos criterios deberan estar formalmente documentados y ser utilizados como directriz para
valorar el riesgo.
Valoracin Respecto al Riesgo
Cuando se tienen definidos criterios de evaluacin del riesgo, por ejemplo cul sera el riesgo
estimado para la organizacin de no poner el aviso de privacidad a disposicin de sus clientes? o
qu personas se veran afectadas y de qu forma si se sustrajera la base de datos con la nmina
de la organizacin? Se tiene que valorar el riesgo de forma cuantitativa, cualitativa o ambas, para
atenderlo en la fase de implementacin.
La valoracin del riesgo identifica los activos existentes, las amenazas aplicables, y los escenarios
de vulneracin. Asimismo, determina las consecuencias potenciales y prioriza los riesgos derivados
respecto al contexto de la organizacin y los criterios de evaluacin del riesgo.
Esta valoracin del riesgo debe considerar:

El establecimiento y mantenimiento de criterios de aceptacin de riesgos.


17

La determinacin de los criterios para evaluar los riesgos.


Asegurar que las diferentes evaluaciones del riesgo generen resultados consistentes
vlidos y comparables.

Identificar Activos

Artculo 61 del Reglamento de la LFPDPPP:


IX. Realizar un registro de los medios de almacenamiento de los datos personales.

Un activo es cualquier valor para la organizacin que requiera ser protegido. En trminos del
SGSDP estos activos debern ser aqullos que estn relacionados con el ciclo de vida de los datos
personales previamente identificado y sus distintos tratamientos. Los activos se deben identificar y
ponderar con suficiente nivel de detalle para proveer informacin que permita hacer la valoracin
del riesgo.
Se pueden identificar dos tipos de activos:

Activos de informacin, corresponden a la esencia de la organizacin:


o Informacin relativa a los datos personales
o Informacin de procesos del negocio en los que interviene el flujo de datos
personales y actividades involucradas en el tratamiento de los mismos
Activos de apoyo, en los cuales residen los activos de informacin, como son:
o Hardware
o Software
o Redes y Telecomunicaciones
o Personal
o Estructura organizacional
o Infraestructura adicional

Debe mantenerse actualizado el inventario de activos, as como los medios de almacenamiento


en que residen las bases de datos personales.
Despus de identificar y describir los activos de informacin y de apoyo, se podrn encontrar sus
vulnerabilidades y posibles amenazas. Adems, es importante definir al custodio del activo, quien
se quedar a cargo de proveer la adecuada rendicin de cuentas de cada uno de ellos, sealando
que el custodio del activo no podr ejercer la propiedad de ste, pero tendr responsabilidad
sobre su mantenimiento y seguridad. En el Anexo A se incluyen ejemplos de los tipos de activos.
Identificar Amenazas
Una amenaza tiene el potencial de daar un activo y causar una vulneracin a la seguridad. Las
amenazas pueden ser de origen natural o humano, y pueden ser accidentales o deliberadas y
adems provenir de adentro o desde afuera de la organizacin. Las amenazas deben ser
identificadas considerando que algunas pueden afectar a ms de un activo al mismo tiempo.
Los custodios de los activos y sus usuarios pueden proporcionar asesora para identificar y estimar
las amenazas relacionadas, por ejemplo, del rea de recursos humanos, de los administradores de
18

tecnologas y seguridad, profesionales en seguridad fsica, del departamento legal, externos como
compaas de seguros, gobiernos y autoridades nacionales entre otras fuentes informativas de
investigacin. Los aspectos culturales tambin deben ser considerados dentro de las amenazas.
En el Anexo B se pueden consultar ejemplos de amenazas.
Identificar Vulnerabilidades
Las vulnerabilidades son debilidades en la seguridad de los activos y pueden ser identificadas en
los siguientes mbitos:

Organizacionales
De procesos y procedimientos
De personal
Del ambiente fsico
De la configuracin de sistemas de informacin
Del hardware, software o equipo de comunicacin
De la relacin con prestadores de servicios
De la relacin con terceros

La presencia de vulnerabilidades no causa dao por s misma, se requiere de una amenaza que la
explote. Una vulnerabilidad que no se encuentre expuesta a una amenaza identificada
posiblemente no requiera la implementacin de un control, pero debe ser reconocida y
monitoreada constantemente, o bien, cuando surja algn cambio. Por ejemplo, un equipo de
cmputo o un archivero con informacin personal es vulnerable a inundaciones si se encuentra
instalado en un stano por el que pasan las tuberas del servicio de suministro de agua. De manera
inversa, la amenaza de inundacin se descarta si el equipo de cmputo o el archivero con datos
personales se localiza en la parte ms alta del edificio, lejos de tuberas de agua y de amenazas
ambientales relacionadas.
Los controles usados incorrectamente o con una mala implementacin son una causa de
vulnerabilidades. Un control puede ser entonces efectivo o no efectivo dependiendo del contexto
en el cual opera. Las vulnerabilidades pueden estar relacionadas a propiedades de los activos que
pueden ser usadas para otros propsitos distintos a los que se haban destinado originalmente.
Deben considerarse vulnerabilidades y amenazas provenientes de diferentes fuentes, por ejemplo,
la posibilidad de que un correo electrnico sea interceptado por un atacante o que un empleado
enve informacin confidencial a su cuenta personal.
En el Anexo C se pueden consultar ejemplos de vulnerabilidades asociadas a amenazas.
Identificar Escenarios de Vulneracin y Consecuencias
Se deben identificar las consecuencias de las posibles vulneraciones contempladas en el artculo
63 del Reglamento.
Un escenario de vulneracin proviene de una amenaza que explota cierta vulnerabilidad o
conjunto de vulnerabilidades. El impacto se determina considerando el grado de dao en los
activos o los cambios en el nivel de objetivos definidos por la organizacin, que pueden afectar a
ms de un activo total o parcialmente. Las consecuencias pueden ser de naturaleza temporal, por
ejemplo, la cada del servicio o de naturaleza permanente, por ejemplo, la destruccin de
informacin escrita en documentos.
19

La organizacin debe identificar las consecuencias de una posible vulneracin considerando los
criterios para la evaluacin del riesgo establecidos previamente, de forma que pueda priorizar los
riesgos identificados.
El anlisis de riesgo deber arrojar como resultado un valor del riesgo para cada uno de los activos
identificados con respecto a cada una de las vulneraciones mencionadas en el artculo 63 de
Reglamento, de forma que se identifiquen los escenarios que podran llevar a cada uno de los
activos a las posibles vulneraciones y se seleccionen los controles y medidas de seguridad que
permitan tratar dichos riesgos.
Con el conocimiento de los activos de informacin y de los controles existentes se puede realizar
una ponderacin de los escenarios de riesgo ms importantes, considerando que el riesgo es la
combinacin de los factores: amenaza, vulnerabilidad e impacto.
Por ejemplo, al considerar dos escenarios sobre activos:
Escenario 1. Expediente de Paciente (papel)
Escenario 2. Expediente de Paciente (electrnico)
Un hospital puede tener como control un sistema anti-incendio pero no tener un antivirus, esto
afectara de manera distinta a los activos y, por tanto, a la evaluacin del riesgo:
Activo

Amenaza

Vulnerabilidad

Dao/Impacto

Potencial/Probabilidad

Expediente de
Paciente
(electrnico)

Virus

Computadoras sin
antivirus

Borrado
permanente de
informacin

Muy probable

Expediente de
Paciente (papel)

Incendio

Material susceptible
al fuego

Prdida definitiva
de informacin

Poco probable

Tabla 7. Comparacin de escenarios de riesgo

Como puede observarse en la Tabla 7, la falta de un antivirus hace muy probable que pueda
ocurrir un dao permanente a los expedientes de pacientes electrnicos, mientras que la amenaza
de incendio tiene menor importancia puesto que existe un control (sistema anti-incendio) para
mitigar ese riesgo.

Paso 6. Identificacin de las medidas de seguridad y Anlisis de Brecha


Con base en el anlisis de riesgos se debern seleccionar e implementar las medidas de seguridad
administrativas, tcnicas o fsicas que permitan disminuir los riesgos, y podrn ser seleccionadas
del listado mostrado en el Anexo D. Dichos controles de seguridad se han agrupado en 10
dominios principales que son:
1. Polticas del SGSDP
2. Cumplimiento legal
3. Estructura organizacional de la seguridad
4. Clasificacin y acceso de los activos
5. Seguridad del personal
6. Seguridad fsica y ambiental
7. Gestin de comunicaciones y operaciones
8. Control de acceso
20

9. Desarrollo y mantenimiento de sistemas


10. Vulneraciones de seguridad
Los principios establecidos en el artculo 6 de la Ley pueden utilizarse como base para la seleccin
de medidas de seguridad que estn alineadas a la proteccin de datos personales. En particular, se
pueden tomar en cuenta los siguientes criterios para elegir las medidas de seguridad efectivas
que:

Protejan los datos personales contra dao, prdida, destruccin o alteracin.


Eviten el uso, acceso o tratamiento no autorizado.
Impidan la divulgacin no autorizada de los datos personales.

Una vez identificados los activos y procesos relacionados a los datos personales, as como las
amenazas, vulnerabilidades y escenarios de incidentes relacionados, se puede proceder al anlisis
de brecha de las medidas de seguridad.
El anlisis de brecha consiste en identificar:

Las medidas de seguridad existentes


Las medidas de seguridad existentes que operan correctamente
Las medidas de seguridad faltantes
Si existen nuevas medidas de seguridad que puedan remplazar a uno o ms controles
implementados actualmente.

Es importante tener claro cules son los controles que ya estn funcionando en una organizacin
de manera efectiva, con su respectivo nivel de madurez, as como las medidas identificadas como
faltantes, para constituir un programa de trabajo que refleje los recursos designados, los
responsables, y las fechas compromiso para su implementacin. De manera que se pueda medir la
eficacia del SGSDP con respecto de los riesgos tratados.
La madurez de los controles puede ser identificada en uno de los siguientes niveles:
Documentado. Se ha plasmado en un documento las caractersticas y
objetivos del control, as como las medidas que soportan su cumplimiento.
Implementado. El control ya se encuentra puesto en marcha a travs de una
o ms medidas de seguridad.
Registros. Se generan registros de la operacin del control y de sus medidas
de seguridad.
Monitoreo. Se han establecido mtricas que permiten dar seguimiento a la
eficacia del control.
Indicadores Clave de Rendimiento (Key Performance Indicators, KPI) e
Informes. Se han identificado las mtricas ms significativas y son reportadas
a las Partes Interesadas para la toma de decisiones.
Mejora continua. Se toman las acciones necesarias para incrementar la
eficacia de los controles con respecto al monitoreo realizado.
Automatizado. El control requiere poca o nula interaccin de una persona,
en su operacin, monitoreo o ajustes.

21

Fase 2. Implementar y Operar el SGSDP


Como se seal anteriormente, en esta fase se implementan y operan las polticas, procesos,
procedimientos y controles o mecanismos del SGSDP. En el caso que nos ocupa, en esta fase se
debern implementar las medidas de seguridad que hayan resultado aplicables segn el anlisis de
riesgos realizado en la fase de planeacin.

Paso 7. Implementacin de las Medidas de Seguridad Aplicables a los


Datos Personales
Cumplimiento Cotidiano de Medidas de Seguridad
La organizacin deber considerar un conjunto de indicadores para identificar de manera
oportuna, cualquier cambio en el contexto de la organizacin y as mantener una visin general de
la imagen del riesgo, entre ms pronto se realice esta deteccin, las partes interesadas podrn
tomar decisiones ms efectivas para proteger los datos personales.
La naturaleza de los indicadores puede variar dependiendo del tipo de activo. Por ejemplo, vigilar
la actitud de un empleado inconforme o que se dejen documentos con informacin personal en
las impresoras o fotocopiadoras. El monitoreo de estos indicadores conllevan una deteccin
temprana de posibles amenazas, y as lograr una respuesta a incidentes efectiva.
Deber designarse un miembro del equipo del responsable para la rendicin de cuentas de la
gestin de los datos personales dentro de la organizacin, de modo que tanto el cumplimiento de
la legislacin en proteccin de datos, como la poltica de gestin y seguridad de datos personales,
puedan ser demostrados.
El responsable designado al interior de la organizacin para la proteccin de datos personales, en
los trminos del artculo 30 de la Ley, deber estar a cargo del cumplimiento de la poltica en el da
a da. Esta funcin debe tener, al menos, las siguientes responsabilidades:
a)
b)
c)
d)
e)
f)

compromiso total del cumplimiento de la poltica;


desarrollo y revisin de la poltica;
asegurar la implementacin de la poltica;
revisiones de la gestin de la poltica;
entrenamiento y concienciacin necesaria de la poltica;
aprobacin de procedimientos donde sean tratados los datos personales, como:
o la administracin y comunicacin de noticias de privacidad;
o el manejo de solicitudes de los titulares;
o la recoleccin y manipulacin de datos personales;
o manejo de quejas;
o la gestin de incidentes de seguridad;
o contratacin de servicios externos y prestacin;
g) enlace con las personas a cargo del manejo de riesgos y asuntos de seguridad dentro de la
organizacin;
h) provisin de asesoramiento en asuntos ante el IFAI y en relacin con proyectos que
involucren temas de seguridad de los datos personales, como puede ser compartirlos o
transferirlos fuera de la organizacin;
i) interpretacin de las exenciones aplicables al tratamiento de la datos personales;
22

j)

asegurar que la organizacin tenga acceso a actualizaciones legislativas y a una orientacin


apropiada de acuerdo a la legislacin en proteccin de datos;
k) revisar que el SGSDP refleje los cambios en legislacin, prctica y tecnologa a travs una
comunicacin continua y proactiva del riesgo a las partes interesadas;
l) completar, emitir, y gestionar notificaciones ante el IFAI y los titulares de datos personales
cuando sea requerido segn la normatividad aplicable; y
m) en su caso, implementar las prcticas relacionadas al tratamiento de datos personales
marcadas por cualquier normativa de sector mandatorio o consultivo que aplique a la
organizacin.
Cuando la organizacin posee mltiples departamentos o sistemas que procesan informacin
personal, debera determinar si es apropiado establecer una red de representantes en proteccin
de datos personales, los cuales:
a) representen departamentos o sistemas que sean reconocidos como relevantes, ya sea por
el tipo de proceso o por el tipo de dato personal que manejan en relacin con la gestin
de informacin; y
b) ayudar a los trabajadores con las responsabilidades diarias para el cumplimiento de la
poltica.
En otros casos, el responsable podra tomar la decisin de contratar los servicios de una persona
fsica o moral, especialista en la materia para llevar a cabo las funciones o responsabilidades
relacionadas con el SGSDP. No obstante, cabe sealar que el responsable tiene la obligacin de
velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o
por aqullos que haya comunicado a un encargado.
Plan de Trabajo para la Implementacin de las Medidas de Seguridad Faltantes
Se deben seleccionar los controles de seguridad faltantes identificados en el anlisis de brecha y
en el plan de tratamiento del riesgo, tomando en cuenta la ponderacin hecha en la valoracin.
Existen cuatro posibilidades comunes para tratar el riesgo: mitigar o reducir el riesgo, retener el
riesgo, evitar el riesgo y compartir el riesgo. La Figura 3 ilustra el tratamiento del riesgo dentro del
proceso de un SGSDP.

23

Valorar el Riesgo

NO

Primer Punto de Decisin:

Valoracin del Riesgo es satisfactoria?

Tratar el Riesgo
Comunicacin del Riesgo

Riesgo
Residual

NO

Segundo Punto de Decisin:

El Tratamiento del Riesgo es


satisfactorio?

Aceptacin del
Riesgo
Figura 3. Tratamiento del Riesgo

Las opciones de tratamiento del riesgo deben ser seleccionadas con base en el resultado de la
valoracin del riesgo, los costos estimados, y los beneficios esperados de implementar estas
opciones.
Si se obtiene una considerable reduccin del riesgo con un costo relativamente bajo, esto es una
combinacin a considerar para implementar los controles. En general, las consecuencias adversas
de los riesgos deben reducirse lo ms razonablemente posible con independencia de cualquier
criterio absoluto, por ejemplo, se deben considerar los riesgos que no ocurren con frecuencia pero
que seran severos, en cuyo caso tambin se deben implementar controles.
Los cuatro tipos de tratamiento de riesgo no son mutuamente excluyentes, a veces las
organizaciones pueden beneficiarse sustancialmente de la combinacin de opciones, como reducir
la probabilidad de un riesgo, reducir sus consecuencias, compartir o retener el riesgo residual.

24

Algunos tratamientos pueden atender a ms de un riesgo, por ejemplo, el entrenamiento y


concienciacin del personal. El plan de tratamiento del riesgo tiene que establecer prioridades de
atencin de riesgos especficos y su periodo, dicha prioridad puede establecerse equilibrando la
valoracin del riesgo y el anlisis costo-beneficio de la implementacin en relacin con el
presupuesto.
Una vez que se ha definido el plan de tratamiento, se requiere determinar el riesgo residual. Si el
riesgo residual no cubre los niveles de aceptacin de la organizacin, se deber realizar otra
iteracin de tratamiento del riesgo antes de proceder a la aceptacin del riesgo.
Finalmente se deben implementar los controles correspondientes as como documentar todas las
acciones derivadas de la planeacin e implementacin del tratamiento del riesgo.
Opciones de Tratamiento de Riesgo
Reducir el Riesgo
El objetivo es seleccionar los controles apropiados y justificados para satisfacer los requerimientos
especificados por la valoracin del riesgo. Los controles pueden proporcionar uno o ms de los
siguientes tipos de proteccin:
Correccin
Eliminacin
Prevencin
Minimizacin del impacto
Disuasin
Recuperacin
Monitoreo
Concienciacin.
Durante la seleccin de controles es importante ponderar el costo de adquisicin,
implementacin, administracin, operacin, monitoreo y mantenimiento de los controles contra
el valor del activo a proteger. Adicionalmente, se debe tener en consideracin el conocimiento y
habilidades especiales necesarias para definir e implementar nuevos controles o modificar los
existentes.
Existen factores que pueden afectar la seleccin de controles. Lmites tcnicos, como
requerimientos de rendimiento, capacidad de gestin (soporte operacional necesario) y los
asuntos de compatibilidad, pueden obstaculizar el uso de ciertos controles o pueden inducir a
errores humanos nulificando el control, dando un falso sentido de seguridad o incrementando el
riesgo ms all del control, por ejemplo, exigir contraseas complejas sin previo entrenamiento,
llevando a los usuarios a escribir las contraseas en papel. Los responsables deben identificar las
soluciones que satisfagan sus requerimientos y que garanticen suficiente seguridad de los datos
personales.
En el Anexo D se puede consultar un listado de controles comunes, as como su rea de aplicacin.
Retener el Riesgo
Se puede tomar la decisin de retener el riesgo sin considerar medidas adicionales si a travs de la
evaluacin del riesgo se determina que no hay necesidad inmediata de implementar controles
adicionales o que estos controles se pueden implementar posteriormente. Por ejemplo, el equipo
25

de cmputo actual falla, pero se genera un respaldo de esa informacin al final del da, por lo que
se decide retener ese riesgo durante un mes y esperar para cambiar el equipo de cmputo por
uno nuevo.
Evitar el Riesgo
Cuando el riesgo identificado es muy alto o los costos de tratamiento exceden a los beneficios, se
debe tomar una decisin para evitar el riesgo, retirndose de las actividades actuales o cambiando
las condiciones bajo las cuales operan dichas actividades. Por ejemplo, para un riesgo causado por
la naturaleza podra ser ms eficiente en costo mover fsicamente el site de datos a una ubicacin
donde no exista el mismo riesgo o que se pueda mantener bajo control.
Compartir el Riesgo
Implica tomar la decisin de compartir el riesgo con un prestador de servicio que pueda
gestionarlo, es decir, un tercero interviene para mitigar los posibles efectos de un riesgo por
ejemplo, al contratar un seguro o un proveedor que administre la seguridad de la organizacin.
Cabe mencionar que cuando una organizacin comparte un riesgo no deja de ser responsable por
la proteccin de los datos personales, adems, es importante que se considere que involucrar a un
nuevo actor en los procesos de la organizacin siempre representa un riesgo que debe ser
analizado.
Un ejemplo de compartir riesgos asociados a la proteccin de datos personales es la adquisicin
de servicios del denominado cmputo en la nube, para lo cual deber observarse lo establecido en
el Artculo 52 del Reglamento.
No se debe confundir el concepto de Transferencia de datos personales con el de Compartir el
Riesgo.
Artculo 67 del Reglamento de la LFPDPPP:
La transferencia implica la comunicacin de datos personales dentro o fuera del territorio
nacional, realizada a persona distinta del titular, del responsable o del encargado.

Si por ejemplo, una organizacin determina que su centro de datos es inseguro y decide contratar
a un proveedor de cmputo en la nube para que ellos se encarguen de la gestin y seguridad de
los datos personales, en este caso la relacin contractual convierte al proveedor de computo en la
nube en un Encargado que acta sobre los datos a cuenta del Responsable, en tal caso se est
compartiendo el riesgo sin que exista una transferencia de datos personales.
Cualquier transferencia de datos personales que no se sujete a las figuras de Responsable y
Encargado deber sujetarse a lo previsto por la Ley y su Reglamento.
Aceptacin del Riesgo Residual
Al llegar al punto de aceptar el riesgo se deben asumir y registrar formalmente las decisiones
sobre el plan de tratamiento del riesgo, as como el riesgo residual, el plan de tratamiento del
riesgo debe describir cmo se tratarn los riesgos valorados para alcanzar los niveles de
aceptacin. Es importante que la Alta Direccin apruebe y revise tanto los planes de tratamiento,
como el riesgo residual. Del mismo modo, deber registrarse cualquier condicin asociada con tal
aprobacin.
26

Aceptar el riesgo implica que el riesgo residual no entre en conflicto con los criterios
previamente establecidos en los objetivos y alcances de la organizacin, por
ejemplo, el riesgo residual no puede considerar la aceptacin de un riesgo relacionado
al cumplimiento de la LFPDPPP si sta forma parte de las metas planteadas en el
SGSDP.

Comunicacin del Riesgo


Comunicar el riesgo es la actividad que resulta de alcanzar los acuerdos sobre el cmo administrar
los riesgos, considerando su naturaleza, forma, probabilidad, severidad, tratamiento y aceptacin.
La comunicacin efectiva entre los involucrados es muy importante pues impacta en
las decisiones que se deban tomar, de ah que tendra que ser bidireccional para
asegurar que los involucrados en la implementacin del SGSDP y las partes interesadas
entiendan los criterios en los que se basan las decisiones.

La comunicacin del riesgo se debe realizar para alcanzar los siguientes objetivos:

Ofrecer garantas sobre la gestin del riesgo


Recolectar informacin sobre el riesgo
Compartir los resultados de la valoracin y el plan de tratamiento del riesgo
Evitar o reducir las vulneraciones de seguridad por desconocimiento entre los
involucrados en el SGSDP
Dar soporte a la toma de decisiones
Obtener nuevo conocimiento sobre la seguridad de la informacin
Que los responsables de datos personales coordinen con los encargados y terceros, los
planes de respuesta en caso de una vulneracin
Dar a los a los custodios y a las partes interesadas sentido de responsabilidad sobre el
riesgo
Incrementar la conciencia del riesgo en la organizacin

La organizacin debe desarrollar planes de comunicacin del riesgo para las operaciones
normales, as como para casos de emergencia, es decir, la comunicacin del riesgo es una
actividad continua.
Un mtodo de comunicacin entre los custodios y las partes interesadas es a travs de comits
para debatir acerca del riesgo, su tratamiento y aceptacin, entre otros asuntos relacionados.
Es importante mantener la comunicacin entre las reas afines a la difusin y el departamento de
datos personales para responder por ejemplo, a los particulares en caso de incidentes.
Artculo 64 del Reglamento de la LFPDPPP:
El responsable deber informar al titular las vulneraciones que afecten de forma significativa
sus derechos patrimoniales o morales, en cuanto confirme que ocurri la vulneracin y haya
tomado las acciones encaminadas a detonar un proceso de revisin exhaustiva de la magnitud
de la afectacin, y sin dilacin alguna, a fin de que los titulares afectados puedan tomar las

27

medidas correspondientes.

Fase 3. Monitorear y Revisar el SGSDP


En esta fase, como se seal anteriormente, se evalan y miden los resultados de las polticas,
planes, procesos y procedimientos implementados, a fin de verificar que se haya logrado la mejora
esperada.

Paso 8. Revisiones y Auditora


Revisin de los Factores de Riesgo
Se debe monitorear y revisar el riesgo con sus factores relacionados, es decir, el valor de los
activos, las amenazas, vulnerabilidades, el impacto, y la probabilidad de ocurrencia, para
identificar en una etapa temprana cualquier cambio en el contexto del alcance y objetivos del
SGSDP de la organizacin y as mantener una visin general de la imagen del riesgo.
El riesgo no es estadstico: las amenazas, vulnerabilidades, probabilidad y consecuencias pueden
cambiar abruptamente sin previo aviso. Esta situacin exige la revisin de cada riesgo por
separado, as como la suma de ellos, para conocer el impacto potencial acumulado de las
amenazas. Por lo tanto, se requiere de constante monitoreo para detectar esos cambios, por
ejemplo, se pueden apoyar de servicios externos que provean informacin respecto a las
amenazas o vulnerabilidades.
Las organizaciones deben asegurar que los siguientes puntos estn continuamente monitoreados:

Nuevos activos que se incluyan en los alcances de la gestin de riesgo.


Modificaciones necesarias a los activos, por ejemplo, cambio o migracin tecnolgica.
Nuevas amenazas que podran estar activas dentro y fuera de la organizacin y que no han
sido valoradas.
La posibilidad de que vulnerabilidades nuevas o incrementadas sean explotadas por las
amenazas correspondientes.
Vulnerabilidades identificadas para determinar aqullas expuestas a amenazas nuevas o
pasadas que vuelven a surgir.
Cambio en el impacto o consecuencias de amenazas valoradas, vulnerabilidades y riesgos
en conjunto, que resulten en un nivel inaceptable de riesgo.
Incidentes y vulneraciones de seguridad.

Los factores que determinan la probabilidad de ocurrencia y consecuencias podran cambiar, lo


que afectara la conveniencia y costos de las opciones de tratamiento. Los cambios mayores que
afectan a la organizacin deben ser revisados de manera especfica, no obstante que las
actividades de monitoreo requieren de regularidad y periodicidad.
El resultado del monitoreo de riesgo puede afectar su tratamiento y aceptacin, y en consecuencia
el contexto que se establezca en la siguiente iteracin del ciclo del SGSDP de la organizacin.

28

Auditora
Se debe contar con un programa de auditora interna para monitorear y revisar la eficacia y
eficiencia del SGSDP. Este programa debe planearse, establecerse y mantenerse tomando en
cuenta la poltica de gestin de datos personales. En su caso, se deben considerar auditoras a
travs de externos para procesos y circunstancias especiales, por ejemplo, cuando la organizacin
desea unirse a un esquema de certificacin.
Se deben establecer previamente los objetivos del programa de auditora, el cual debe incluir el
alcance e indicar explcitamente cualquier tratamiento de datos personales interno y externo a la
organizacin, responsables, recursos, criterios a utilizar durante la auditora, as como los procesos
y/o reas que sern auditadas.
La objetividad e imparcialidad del programa de auditora debe ser asegurado por la apropiada
seleccin de auditores y la conduccin de la auditora.
Las auditoras deben llevarse a cabo en intervalos de tiempo planeados para determinar si el
SGSDP:
a) est operando de acuerdo con la poltica de gestin de datos personales y con los
procedimientos establecidos, y
b) ha sido implementado y mantenido de acuerdo con los requerimientos tecnolgicos.
Se debe proporcionar a la Alta Direccin los reportes de las auditoras sobre el SGSDP, detallando
cualquier desviacin significativa de la poltica de gestin de datos personales, como pueden ser
asuntos relacionados con los procesos de seguridad que puedan afectar su cumplimiento.
La auditora debe ofrecer al responsable informacin detallada respecto a cambios ocurridos en el
SGSDP, adems se debe realizar una auditora inmediatamente despus de la implementacin de
modificaciones mayores en el SGSDP o en los procesos crticos de la organizacin respecto al
tratamiento de datos personales.
Como resultado de una auditora se deben obtener observaciones sobre riesgos existentes para
aplicar medidas preventivas, es decir, controles para que no ocurra una vulneracin, as como
observaciones sobre puntos que requieren medidas correctivas inmediatas.
Vulneraciones a la Seguridad de la Informacin
Artculo 63 del Reglamento de la LFPDPPP:
Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del
tratamiento son:
I. La prdida o destruccin no autorizada;
II. El robo, extravo o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El dao, la alteracin o modificacin no autorizada.

Las revisiones y auditoras, as como diferentes indicadores y alertas en el SGSDP pueden avisar la
ocurrencia de vulneraciones a la seguridad de los datos personales en cualquier fase del
tratamiento.
29

La organizacin debe contar con procedimientos para tomar acciones que permitan el manejo de
las vulneraciones de seguridad que puedan ocurrir, considerando al menos:
1) Identificacin de la vulneracin. En caso de un incidente de seguridad, la organizacin
debe identificar:
a. Los activos afectados junto con el personal a cargo
b. Los titulares afectados
c. Partes interesadas que requieran estar informadas y/o puedan tomar parte en la
toma de decisiones para mitigar las consecuencias de la vulneracin.
2) Notificacin de la vulneracin. Una vez identificada la vulneracin, sta se debe
comunicar a los titulares de los datos personales para que puedan tomar medidas que
mitiguen o eviten una posible afectacin.
Dependiendo del riesgo que implique para los titulares, la notificacin de una vulneracin
puede ser a travs de medios masivos como un anuncio en su pgina web, peridico, radio
y televisin o bien, de manera personalizada.
Artculo 64 del Reglamento de la LFPDPPP:
El responsable deber informar al titular las vulneraciones que afecten de forma
significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurri
la vulneracin y haya tomado las acciones encaminadas a detonar un proceso de
revisin exhaustiva de la magnitud de la afectacin, y sin dilacin alguna, a fin de
que los titulares afectados puedan tomar las medidas correspondientes.

La organizacin podra considerar notificar a las autoridades de proteccin de datos y/o


imparticin de justicia, entre otras partes interesadas que pudieran auxiliar en el proceso
de mitigar el incidente. Adems de la informacin pertinente sobre la vulneracin, como
puede ser la naturaleza del incidente y los datos personales comprometidos, se debe
notificar de las acciones inmediatas que est tomando la organizacin, as como
proporcionar mecanismos de atencin para que los titulares estn informados y reciban
recomendaciones para reducir su afectacin.
Artculo 65 del Reglamento de la LFPDPPP:
El responsable deber informar al titular al menos lo siguiente:
I. La naturaleza del incidente;
II. Los datos personales comprometidos;
III. Las recomendaciones al titular acerca de las medidas que ste pueda adoptar
para proteger sus intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
V. Los medios donde puede obtener ms informacin al respecto.

3) Remediacin del incidente. Una vez identificada la vulneracin y despus de haber


realizado la respectiva notificacin, se debe profundizar en el anlisis de las causas del
incidente para establecer medidas correctivas, las cuales incluyen medidas inmediatas
para reducir los efectos de la vulneracin, as como medidas a largo plazo por ejemplo,
30

implementar controles tcnicos o actualizar las polticas del SGSDP para evitar que
incidentes similares o relacionados vuelvan a ocurrir.
Artculo 66 del Reglamento de la LFPDPPP:
En caso de que ocurra una vulneracin a los datos personales, el responsable deber analizar
las causas por las cuales se present e implementar las acciones correctivas, preventivas y de
mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la
vulneracin se repita.

Las revisiones, auditoras y los tratamientos de una vulneracin a la seguridad al SGSDP deben
estar debidamente documentados, incluyendo un resumen de los hallazgos y los planes para
aplicar medidas preventivas y correctivas con objeto de que la organizacin cuente con evidencia
suficiente para mostrar al Instituto su diligencia en tomar las acciones necesarias para evitar o
mitigar una vulneracin a la seguridad de los datos personales, adems de que estos procesos
proporcionan informacin que sirve como entrada para los procesos de mejora continua del
SGSDP.

Fase 4. Mejorar el SGSDP


Paso 9. Mejora Continua y Capacitacin
En esta fase, se adoptan las medidas correctivas y preventivas en funcin de los resultados de la
revisin o verificacin efectuadas, o de otras informaciones relevantes, para lograr la mejora
continua. Una parte fundamental de la fase de Mejora es la capacitacin al personal.
Mejora Continua
El monitoreo de los factores de riesgo as como los resultados de las auditoras proporcionan
informacin para demostrar la eficacia del SGSDP, pero tambin presentan las reas de
oportunidad donde ste puede ser mejorado. Los puntos de mejora del SGSDP pueden
corresponder a dos tipos:
a) Acciones correctivas. Son las acciones encaminadas a eliminar las causas de fallas o
incidentes ocurridos en el SGSDP, con objeto de prevenir que vuelvan a ocurrir, dichas
acciones deben ser proporcionales a la gravedad del incidente.
Las acciones correctivas deben atenderse considerando:
i. El anlisis y revisin de la falla o incidente;
ii. Determinar las causas que dieron origen a la falla o incidente;
iii. Evaluar las acciones necesarias para evitar que la falla o incidente vuelva a
ocurrir;
iv. Determinar e implementar las acciones necesarias;
v. Registrar los resultados de las acciones tomadas;
vi. Revisar la eficacia de las acciones correctivas tomadas.
b) Acciones preventivas. Son las acciones encaminadas a eliminar las causas de fallas o
incidentes posibles en el SGSDP, dichas acciones deben ser proporcionales a las amenazas
potenciales.
31

Las acciones preventivas deben atenderse considerando:


i. El anlisis y revisin de la amenaza;
ii. Determinar las fallas o incidentes que podra desencadenarse con una
amenaza;
iii. Evaluar las acciones necesarias para evitar que la falla o incidente ocurra;
iv. Determinar e implementar las acciones necesarias;
v. Registrar los resultados de las acciones tomadas;
vi. Revisar la eficacia de las acciones preventivas tomadas.
La implementacin de las acciones preventivas o correctivas puede establecerse en un periodo
inmediato a la deteccin y anlisis del punto de mejora (por ejemplo, en respuesta a los resultados
de una auditora de certificacin) o calendarizarse para una futura revisin del SGSDP en funcin
de la importancia de la mejora y los recursos disponibles. La eficacia de las acciones preventivas y
correctivas se evala considerando la reduccin de los niveles de riesgo en los resultados del
monitoreo a los SGSDP o de auditoras posteriores.
En funcin de las acciones correctivas y preventivas, as como de la actualizacin del contexto de
la organizacin resultado del monitoreo del riesgo, se deben establecer o mejorar los planes de
capacitacin.
Capacitacin
La mejor medida de seguridad contra posibles vulneraciones es contar con personal consciente de
sus responsabilidades y deberes respecto a la proteccin de datos personales y que identifiquen
cul es su contribucin para el logro de los objetivos del SGSDP. Por ello, se deben establecer y
mantener programas de capacitacin que mantengan vigente al SGSDP como:
a) Concienciacin: programas a corto plazo para la difusin en general de
proteccin de datos personales en la organizacin;
b) Entrenamiento: programas a mediano plazo que tienen por objetivo capacitar
personal de manera especfica respecto a sus funciones y responsabilidad en
tratamiento y seguridad de los datos personales y;
c) Educacin: programa general a largo plazo que tiene por objetivo incluir
seguridad en el tratamiento de los datos personales dentro de la cultura de
organizacin.

la
al
el
la
la

Se debe realizar una deteccin de necesidades para identificar el nivel y tipo de capacitacin
necesaria para el personal, de acuerdo con las responsabilidades asignadas y tomando en cuenta
su perfil de puesto, especialmente de aqullos involucrados en el tratamiento de datos
personales.
Estos programas de capacitacin deben tomar en cuenta elementos como:
a) Requerimientos y actualizaciones al contexto del SGSDP, considerando principalmente;
1. la administracin y comunicacin de noticias de privacidad;
2. el manejo de solicitudes y quejas de los titulares;
3. la recoleccin y manipulacin de datos personales;
4. la gestin de incidentes y vulneraciones de seguridad, y
5. la gestin de seguridad con terceros.
32

b) La legislacin en proteccin de datos personales y mejores prcticas relacionadas al


tratamiento de datos aplicables a la organizacin;
c) Las consecuencias del incumplimiento de los requerimientos legales o requisitos
organizacionales;
d) Las herramientas tecnolgicas relacionadas o utilizadas para el tratamiento de datos
personales y para la implementacin de medidas de seguridad, y
e) Instructores expertos en la materia.
Finalmente se debe evaluar la eficiencia y eficacia de la capacitacin, esta evaluacin se puede
llevar a cabo mediante la aplicacin de exmenes tericos o prcticos que permitan indicar el
grado de conocimiento y/o entendimiento de la capacitacin proporcionada o difusin realizada.
Se deben establecer criterios de evaluacin que determinen el nivel de competencia aceptado por
la organizacin, y mantener un registro de los programas seguidos por cada empleado, as como
de sus habilidades, experiencia y calificaciones.

33

4. SNTESIS DE LA IMPLEMENTACIN DEL SGSDP


En esta seccin se presenta una sntesis de los pasos del proceso de implementacin de un SGSDP,
para que los responsables la usen como una referencia rpida del contenido total de este
documento.
1. Presentacin. Alcances y objetivos de la gua.
2. Sistema de Gestin de Seguridad de Datos Personales SGSDP. Descripcin del Sistema de
Gestin y su relacin con la Seguridad de los Datos Personales.
2.1 Definiciones
2.2 Qu es un Sistema de Gestin?
2.3 Introduccin al SGSDP
2.4 Acciones para la Seguridad de los Datos Personales. En esta seccin se definen los pasos
para la planeacin, implementacin, vigilancia y mejora de un SGSDP.
Fase 1. Planear el SGSDP
Paso 1. Alcance y Objetivos. Consideraciones respecto al tratamiento de datos
personales y el modelo de negocios de la organizacin.
Paso 2. Poltica de Gestin de Datos Personales. El compromiso formal documentado de
la Alta Gerencia hacia el tratamiento adecuado de datos personales en la organizacin.
Paso 3. Funciones y Obligaciones de Quienes Traten Datos Personales. Asignacin de
responsabilidades para la implementacin del SGSDP.
Paso 4. Inventario de Datos Personales. Identificacin de los tipos de datos y su flujo.
Paso 5. Anlisis de Riesgo de los Datos Personales.
Factores para Determinar las Medidas de Seguridad. Conjunto de
consideraciones que las organizaciones deben plantear como directrices
para tratar el riesgo en funcin de sus alcances y objetivos.
Valoracin Respecto al Riesgo. Proceso de ponderacin para identificar
los escenarios de riesgo prioritarios y darles tratamiento proporcional, se
compone de los siguientes pasos:
Identificar Activos
Identificar Amenazas
Identificar Vulnerabilidades
Identificar Escenarios de Vulneracin y Consecuencias
Paso 6. Identificacin de las Medidas de Seguridad y Anlisis de Brecha. Proceso de
evaluacin de las medidas de seguridad que ya existen en la organizacin contra las que
sera conveniente tener. Los controles de seguridad, sin que sean limitativos, deben
considerar los siguientes dominios:

Polticas del SGSDP


34

Cumplimiento legal
Estructura organizacional de la seguridad
Clasificacin y acceso de los activos
Seguridad del personal
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de acceso
Desarrollo y mantenimiento de sistemas
Vulneraciones de seguridad

Fase 2. Implementar y Operar el SGSDP


Paso 7. Implementacin de las Medidas de Seguridad Aplicables a los Datos Personales.
Cumplimiento Cotidiano de Medidas de Seguridad. Consideraciones para
el trabajo cotidiano con datos personales as como el plan de tratamiento
del riesgo de los activos relacionados a los mismos.
Plan de Trabajo para la Implementacin de las Medidas de Seguridad
Faltantes. Proceso en el que se decide y se implementa el tratamiento
adecuado para un riesgo o grupo de riesgos respecto al contexto de la
organizacin, dicho tratamiento considera:
Opciones de Tratamiento de Riesgo
o Reducir el Riesgo
o Retener el Riesgo
o Evitar el Riesgo
o Compartir el Riesgo
Aceptacin del Riesgo Residual
Comunicacin del Riesgo
Fase 3. Monitorear y Revisar el SGSDP
Paso 8. Revisiones y Auditora. Proceso de revisin del funcionamiento del SGSDP
respecto a la poltica establecida, cada vez que exista un cambio en el contexto del
alcance y objetivos del SGSDP.
Revisin de los Factores de Riesgo. Consideraciones para monitorear el
estado del riesgo y aplicar las modificaciones pertinentes para mejorar el
SGSDP.
Auditora. Requerimientos para los procesos de auditora interna/externa.
Vulneraciones a la Seguridad de la Informacin. Consideraciones en caso
de un incidente de seguridad como la identificacin, notificacin y
remediacin.
Fase 4. Mejorar el SGSP
Paso 9. Mejora Continua y Capacitacin. Consideraciones para incluir la proteccin de
datos en la cultura de la organizacin y mantener siempre actualizado el SGSDP.
Mejora Continua. La aplicacin de medidas preventivas y correctivas
sobre el SGSDP.
Capacitacin. Programas de mejora en el personal para mantener la
vigencia del SGSDP.
35

Tabla Comparativa entre el Captulo III del Reglamento de la Ley y la Gua


Captulo III
De las Medidas de Seguridad en el Tratamiento de Datos Personales

Accin que ayuda a cumplir con la disposicin

Alcance
Artculo 57. El responsable y, en su caso, el encargado debern establecer y mantener Adopcin de un SGSDP
las medidas de seguridad administrativas, fsicas y, en su caso, tcnicas para la Paso 1. Alcance y Objetivos
proteccin de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Paso 2. Poltica de Gestin de Datos Personales
Captulo, con independencia del sistema de tratamiento. Se entender por medidas de
seguridad para los efectos del presente Captulo, el control o grupo de controles de
seguridad para proteger los datos personales.
Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en materia de
seguridad emitidas por las autoridades competentes al sector que corresponda, cuando
stas contemplen una proteccin mayor para el titular que la dispuesta en la Ley y el
presente Reglamento.
Atenuacin de Sanciones
Artculo 58. En trminos de lo dispuesto en el artculo 65, fraccin III de la Ley, en los
casos en que ocurra una vulneracin a la seguridad de los datos personales, el Instituto
podr tomar en consideracin el cumplimiento de sus recomendaciones para determinar
la atenuacin de la sancin que corresponda.
Funciones de seguridad
Artculo 59. Para establecer y mantener de manera efectiva las medidas de seguridad, el
responsable podr desarrollar las funciones de seguridad por s mismo, o bien, contratar
a una persona fsica o moral para tal fin.

Adopcin de un SGSDP

Paso 3. Funciones y Obligaciones de Quienes Traten Datos


Personales. Asignacin de responsabilidades para la
implementacin del SGSDP.
Paso 7. Implementacin de las Medidas de Seguridad
Aplicables a los Datos Personales
Cumplimiento Cotidiano de Medidas de Seguridad

Factores para determinar las medidas de seguridad


Artculo 60. El responsable determinar las medidas de seguridad aplicables a los datos Paso 5. Realizar el Anlisis de Riesgo de los Datos
personales que trate, considerando los siguientes factores:
Personales
Fraccin I El riesgo inherente por tipo de dato personal;
Factores para Determinar las Medidas de Seguridad

36

Fraccin II La sensibilidad de los datos personales tratados;


Fraccin III. El desarrollo tecnolgico, y
Fraccin IV. Las posibles consecuencias de una vulneracin para los titulares.
De manera adicional, el responsable procurar tomar en cuenta los siguientes
elementos:
I. El nmero de titulares;
II. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento;
III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos
personales tratados para una tercera persona no autorizada para su posesin, y
IV. Dems factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes
o regulacin aplicable al responsable.
Acciones para la seguridad de los datos personales
Artculo 61. A fin de establecer y mantener la seguridad de los datos personales, el
responsable deber considerar las siguientes acciones:
Fraccin I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
Fraccin II. Determinar las funciones y obligaciones de las personas que traten datos
personales;
Fraccin III. Contar con un anlisis de riesgos de datos personales que consiste en
identificar peligros y estimar los riesgos a los datos personales;
Fraccin IV. Establecer las medidas de seguridad aplicables a los datos personales e
identificar aqullas implementadas de manera efectiva;

Adopcin de un SGSDP

Paso 4. Elaborar un Inventario de Datos Personales


Paso 3. Establecer Funciones y Obligaciones de Quienes
Traten Datos Personales
Paso 5. Realizar el Anlisis de Riesgo de los Datos
Personales
Paso 6. Identificacin de las medidas de seguridad y Anlisis
de Brecha
Paso 7. Implementacin de las Medidas de Seguridad
Aplicables a los Datos Personales
Fraccin V. Realizar el anlisis de brecha que consiste en la diferencia de las medidas de Paso 6. Identificacin de las medidas de seguridad y Anlisis
seguridad existentes y aqullas faltantes que resultan necesarias para la proteccin de de Brecha
los datos personales;
Fraccin VI. Elaborar un plan de trabajo para la implementacin de las medidas de Paso 7. Implementacin de las Medidas de Seguridad
seguridad faltantes, derivadas del anlisis de brecha;
Aplicables a los Datos Personales
Plan de Trabajo para la Implementacin de las
Medidas de Seguridad Faltantes
Fraccin VII. Llevar a cabo revisiones o auditoras;
Paso 8. Revisiones y Auditora
Fraccin VIII. Capacitar al personal que efecte el tratamiento, y
Paso 9. Mejora Continua y Capacitacin
Capacitacin

37

Fraccin IX. Realizar un registro de los medios de almacenamiento de los datos


personales.
El responsable deber contar con una relacin de las medidas de seguridad derivadas de
las fracciones anteriores.

Paso 5. Realizar el Anlisis de Riesgo de los Datos


Personales
Acciones a implementar para la seguridad de los datos
personales documentadas

Actualizaciones de las medidas de seguridad


Artculo 62. Los responsables debern actualizar la relacin de las medidas de seguridad, Paso 8. Revisiones y Auditora.
cuando ocurran los siguientes eventos:
I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado
de las revisiones a la poltica de seguridad del responsable;
II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio
del nivel de riesgo;
III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el
artculo 20 de la Ley y 63 del presente Reglamento, o
IV. Exista una afectacin a los datos personales distinta a las anteriores.
En el caso de datos personales sensibles, los responsables procurarn revisar y, en su
caso, actualizar las relaciones correspondientes una vez al ao.
Vulneraciones de seguridad
Artculo 63. Las vulneraciones de seguridad de datos personales ocurridas en cualquier Paso 5. Realizar el Anlisis de Riesgo de los Datos
fase de tratamiento son:
Personales
I. La prdida o destruccin no autorizada;
II. El robo, extravo o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El dao, la alteracin o modificacin no autorizada.
Notificacin de vulneraciones de seguridad
Artculo 64. El responsable deber informar al titular las vulneraciones que afecten de Paso 8. Revisiones y Auditora.
forma significativa sus derechos patrimoniales o morales, en cuanto confirme que
Vulneraciones a la Seguridad de la Informacin.
ocurri la vulneracin y haya tomado las acciones encaminadas a detonar un proceso de
revisin exhaustiva de la magnitud de la afectacin, y sin dilacin alguna, a fin de que los
titulares afectados puedan tomar las medidas correspondientes.

38

Informacin mnima al titular en caso de vulneraciones de seguridad


Artculo 65. El responsable deber informar al titular al menos lo siguiente:

Paso 8. Revisiones y Auditora.


Vulneraciones a la Seguridad de la Informacin

I. La naturaleza del incidente;


II. Los datos personales comprometidos;
III. Las recomendaciones al titular acerca de las medidas que ste pueda adoptar para
proteger sus intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
V. Los medios donde puede obtener ms informacin al respecto.
Medidas correctivas en caso de vulneraciones de seguridad
Artculo 66. En caso de que ocurra una vulneracin a los datos personales, el Paso 9. Mejora Continua y Capacitacin
responsable deber analizar las causas por las cuales se present e implementar las
Mejora Continua
acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad
correspondientes, a efecto de evitar que la vulneracin se repita.

39

Anexos
Anexo A. Ejemplos de Activos
En la siguiente tabla se muestran los principales tipos de activos que pueden ser considerados por los responsables (otros tipos de activos podran
surgir dependiendo del avance tecnolgico, as como del contexto de la organizacin):
Tipo de Activo

Informacin

Conocimiento de procesos del


negocio
Incluye subprocesos y actividades

Hardware
Consiste en todos los elementos fsicos
que soportan procesos de datos
personales

Ejemplos
Activos de informacin
Informacin personal (datos personales) definida en el contexto de la Ley Federal de Proteccin de
Datos Personales en Posesin de los Particulares. Adicionalmente podra ser considerado lo dispuesto
en la materia por acuerdos internacionales, normatividad especfica de la industria, o del giro particular
del negocio, entre otros.
Informacin estratgica, de alto costo o vital para alcanzar los objetivos determinados en el SGSDP,
relacionada con el tratamiento de los datos personales, o cuya prdida, modificacin o redistribucin no
autorizada afecte a la reputacin o estado legal de la organizacin.

Procesos cuya modificacin, prdida o degradacin evitaran cumplir con la poltica de proteccin de
datos personales de la organizacin.
Procesos que contienen tecnologa propietaria para el tratamiento de datos personales.
Procesos que son necesarios para cumplir con requerimientos contractuales, legales o regulatorios de la
organizacin.
Activos de Apoyo
Equipo de procesamiento de datos. Equipo para el procesamiento automtico de informacin personal,
incluyendo los elementos que operan independientemente. Por ejemplo, servidores, estaciones de
trabajo, computadoras de cualquier clase.
Equipo mvil. Equipo de cmputo porttil. Por ejemplo laptops, tablas, smartphones.
Perifricos. Equipo conectado a una computadora para la entrada, y salida de datos. Por ejemplo,
impresora, mouse, teclado.

40

Tipo de Activo

Soportes
Medios de almacenamiento de datos
personales

Software
Consiste en todos los programas y
aplicaciones que contribuyen a al
procesamiento de datos personales

Redes y Telecomunicaciones
Consisten en todos los dispositivos
usados para interconectar
computadoras o elementos de un
sistema de informacin de voz y/o
datos

Sitio
Comprende todos los lugares o

Ejemplos
Soportes electrnicos. Medios electrnicos de informacin inteligibles mediante el uso de un dispositivo
electrnico como una computadora, para examinar, modificar o almacenar los datos. Por ejemplo,
discos pticos (CDs yDVDs), cintas magnticas de audio, video y datos, fichas de microfilm, discos duros
removibles, memorias USB, y dems medios de almacenamiento masivo no voltil.
Soportes fsicos. Medios de informacin inteligibles a simple vista, que no requieren de ningn
dispositivo electrnico que procese su contenido para examinar, modificar o almacenar los datos. Por
ejemplo, papel escrito a mano o impreso, transparencias, fotografas, placas radiolgicas, entre otros.
Sistemas Operativos (SO). Incluye a todos los programas que funcionan como plataforma base para que
operen otros programas tales como servicios y aplicaciones. Los principales elementos de un SO son los
relacionados a la gestin de servicios de equipo (CPU, memoria, discos, e interfaces de red), gestin de
tareas o procesos, y servicios de gestin de permisos de usuario.
Software de servicio, mantenimiento o administracin del software. Este complementa los servicios
del SO y no es directamente accesible por los usuarios o aplicaciones (incluso cuando es indispensable
para la operacin global de sistemas de informacin). Por ejemplo, plataformas de actualizacin,
antivirus empresariales.
Paquetera de software o software estndar. Son productos completamente comercializados que
proveen servicios a los usuarios y aplicaciones, pero no estn personalizados para requerimientos
especiales de la organizacin como ocurrira con una aplicacin de negocio. Por ejemplo
administradores de bases de datos, mensajera instantnea, servidores web, editores de texto, etc.
Aplicaciones de negocio. Su campo de accin es muy amplio, y variado. Se refiere a software comercial
o diseado in-house con el objetivo de ofrecer al usuario servicios y funciones especficas que apoyen en
la operacin del Sistema de Gestin de Datos Personales.
Medios y equipos. Los medios y equipos de comunicaciones y telecomunicaciones estn definidos
principalmente por las caractersticas fsicas y tcnicas (punto-a-punto, broadcast) y por los protocolos
de comunicacin (protocolos de enlace, de red). Ejemplos: Red Telefnica Pblica Conmutada, Ethernet,
Especificaciones de protocolos wireless (por ejemplo, WiFi 802.11), Bluetooth, etc.
Tambin se deben considerar los elementos que dan soporte a los protocolos de comunicacin de red,
incluyen funciones de enrutamiento y/o filtrado de las comunicaciones (por ejemplo, bridge, router,
switch, hub); las interfaces (fsicas y lgicas) para conectar diferentes medios o protocolos; y los
servicios y equipo de telecomunicaciones proporcionados por un operador (por ejemplo: lneas
telefnicas externas e internas).
Ambiente externo. Se refiere a aquellos lugares que quedan fuera del alcance de la organizacin. Por
ejemplo: vivienda del personal, hoteles, centros de reuniones o cualquier otro lugar pblico.

41

Tipo de Activo
locaciones que contienen a los activos y
procesos, as como los medios fsicos
necesarios para operar

Personal y Organizacin
Consiste en todas las personas
involucradas en la operacin del
Sistema de Gestin de Datos
Personales, as como sus funciones,
roles o procedimientos asignados

Ejemplos
Ambiente Interno. Se refiere al lugar delimitado por el permetro de la organizacin del ambiente
externo. Puede ser un rea protegida creada a travs de barreras fsicas o medios de vigilancia. Por
ejemplo, establecimientos y edificios.
Zonas. Se refiere al espacio delimitado por barreras fsicas formando divisiones dentro del ambiente
interno de la organizacin. Se obtienen creando barreras fsicas dentro de las estructuras de tratamiento
de los datos personales. Por ejemplo: oficinas, zonas de acceso restringido, zonas seguras.
Servicios esenciales y utilidades. Servicios y medios requeridos tanto para proveer de energa a los
equipos de sistemas de informacin y sus perifricos como aqullos requeridos para la subsistencia de
operaciones y personal. Por ejemplo, suministro de agua, electricidad, aire acondicionado, manejo de
desechos.
Custodios. Son aqullos con responsabilidad funcional sobre los activos de informacin y de apoyo. Por
ejemplo: la persona encargada de procesar la nmina de los empleados o bien o el administrador de
base de datos del negocio encargado de generar los reportes mensuales de clientes prospectos.
Usuarios. Personas que utilizan los activos en el contexto de su actividad y quienes tienen
responsabilidad especfica al respecto. Pueden tener privilegios especiales sobre los sistemas de
informacin para cumplir con sus tareas cotidianas. Por ejemplo: recursos humanos, reas financieras,
gerentes.
Personal Tcnico. Personas a cargo de la operacin, mantenimiento y desarrollo de los sistemas de
informacin. Tienen privilegios de acceso o implementacin especial para poder cumplir con sus tareas
cotidianas. Por ejemplo: administrador de sistemas, administrador de datos, respaldo, mesa de soporte
tcnico, oficiales de seguridad, programadores.
Estructura de la organizacin. Est constituida por las diferentes ramas de la organizacin, incluyendo
actividades multifuncionales de la administracin. Ejemplos: Recursos humanos, departamento de TI,
compras, unidad de negocios, seguridad de instalaciones, cuerpos de auditora.
Proyectos o sistemas de la organizacin. Consiste en los grupos que surgen para determinados
proyectos o servicios. Ejemplos: Proyecto para una nueva aplicacin de negocio, proyecto de proteccin
civil, equipo para la migracin de sistemas.
Contratistas/ proveedores/ terceros. Son organizaciones ajenas que proveen con servicios o recursos a
travs de un contrato. Ejemplos: administracin, almacenamiento de datos, consultores, servicios de
soporte tcnico de tecnologa no propietaria.

42

Anexo B. Ejemplos de Amenazas Tpicas


Se debe prestar particular atencin a las amenazas de origen humano, las cuales estn especialmente representadas en la siguiente tabla:
Origen de la
Amenaza

Hacker, cracker

Criminal
computacional

Motivacin/Causa

Terrorista

Espa industrial
(inteligencia
empresarial,
gobiernos
extranjeros, robo de
tecnologa, etc.)

Desafo
Dinero
Ego
Estatus
Rebelin
Alteracin no
autorizada de
informacin
Destruccin de
informacin
Ganancia
econmica
Revelacin ilegal
de informacin
Chantaje
Destruccin
Explotacin
Ganancia poltica
Reconocimiento
meditico
Venganza
Espionaje
econmico
Ventaja
competitiva

Posibles Consecuencias

Acceso no autorizado al sistema


Ingeniera social
Intrusin en los sistemas
Robo de informacin

Acciones fraudulentas, robo


Extorcin y chantaje, acoso
Intrusin a los sistemas informticos
Sobornos de informacin
Suplantacin de identidad
Venta de informacin personal

Ataque a personas y/o instalaciones


(por ejemplo, bomba)
Ataque a sistemas (por ejemplo,
denegacin de servicio)
Manipulacin de los sistemas
Penetracin a los sistemas

Acceso no autorizado a informacin


clasificada o propietaria
Explotacin econmica
Ingeniera social
Intrusin a la privacidad del personal
Penetracin a los sistemas

43

Origen de la
Amenaza

Motivacin/Causa

Interno
(Personal con poco
entrenamiento,
descontento,
negligente,
deshonesto o
empleados
despedidos)

Curiosidad
Ego
Errores no
intencionales u
omisiones (por
ejemplo, errores
de captura de
informacin,
errores de
programacin)
Ganancia
econmica
Venganza

Posibles Consecuencias

Robo de informacin
Ventaja poltica
Abuso en la operacin de los
sistemas
Acceso no autorizado a los sistemas
Ataque a empleados y/o
instalaciones
Chantaje
Cdigo malicioso
Consulta de informacin clasificada
o propietaria
Datos incorrectos o corruptos
Errores en los sistemas
Fraude y robo
Intercepcin de comunicaciones
Intrusiones a sistemas
Sabotaje de los sistemas
Sobornos de informacin
Venta de informacin personal

En la siguiente tabla se presentan algunos ejemplos de amenazas tpicas, los cuales pueden ser usados durante el proceso de identificacin y
evaluacin de amenazas.
Es importante aclarar que distintas amenazas podran interrelacionarse en funcin de un activo, y que no existe ningn orden prioritario entre los
tipos y grupos de amenazas. Por ejemplo, un activo podra ser afectado por una amenaza de sismo (Eventos Naturales), al mismo tiempo que por una
amenaza de fuego (Dao Fsico), y a su vez afectarse por la prdida de suministro elctrico (Prdida de Servicios Bsicos).

44

Tipo

Dao Fsico

Eventos Naturales

Prdida de Servicios
Bsicos

Informacin
comprometida por fallas
tcnicas

Acciones no Autorizadas

Amenazas
Fuego
Agua
Contaminacin
Accidentes
Polvo, corrosin, humedad, congelamiento
Fenmenos climticos o meteorolgicos
Fenmenos ssmicos
Fenmenos volcnicos
Falla en el sistema de aire acondicionado o
suministro de agua
Prdida de suministro elctrico
Falla en los equipos de telecomunicaciones
Intercepcin e interferencia de seales
Espionaje remoto
Escucha en comunicaciones
Robo de medios o documentos
Robo de equipo
Recuperacin de medios desechados o reciclados
Revelacin
Fuentes poco confiables para la obtencin de datos
Alteracin de hardware
Alteracin de software
Rastreo de localizacin
Fallas del equipo
Malfuncionamiento del equipo
Saturacin de los sistemas de informacin
Malfuncionamiento del software
Falla en el mantenimiento del sistema de
informacin
Uso no autorizado de equipo
Uso de software copiado o falsificado

45

Tipo

Compromiso de las
Funciones

Amenazas
Corrupcin de datos
Procesamiento ilegal de los datos
Error de uso
Abuso de privilegios
Falsificacin de privilegios
Denegacin de acciones

46

Anexo C. Ejemplos de Escenarios


La siguiente tabla presenta escenarios de incidente, donde se muestran ejemplos de amenazas que podran explotar una vulnerabilidad.
Es importante enfatizar que segn el contexto de la organizacin, podran existir otras amenazas que exploten las vulnerabilidades mencionadas,
tambin pueden existir otras amenazas y vulnerabilidades especficas para cada organizacin. Asimismo, para poder ponderar el riesgo, las
organizaciones deben evaluar el potencial o probabilidad de que cierto escenario de incidente ocurra.
Ejemplo para la lectura de la tabla:
Un Activo de apoyo de tipo Hardware (computadora) es Vulnerable debido a Mantenimiento insuficiente del equipo y, por ello, existe una Amenaza
de Falla en el sistema de informacin personal, lo cual puede ocasionar la prdida o dao de los datos personales.
Tipo de
Activo

Ejemplos de Vulnerabilidades
Mantenimiento insuficiente
Falta de un procedimiento para la
sustitucin de equipos
Susceptibilidad a dao fsico

Hardware

Falta de configuraciones adecuadas


al equipo
Susceptibilidad a los cambios de
voltaje
Susceptibilidad a las variaciones del
ambiente
Almacenamiento no cifrado

Falta de cuidado en la destruccin


de soportes electrnicos

Ejemplos de Amenazas
Falla en el sistema de informacin personal
Falla de los equipos
Polvo, corrosin, congelamiento, fuego,
agua, contaminacin, radiacin
electromagntica.
Falla en el funcionamiento del equipo

Posible vulneracin a los datos


personales
Prdida o dao
Prdida o dao
Prdida, destruccin o dao

Prdida de suministro elctrico

Prdida, destruccin, acceso o


uso no autorizado
Prdida o destruccin

Fenmenos meteorolgicos

Prdida, destruccin o dao

Robo de soportes electrnicos

Robo, extravo o copia no


autorizada / Uso, acceso o
tratamiento no autorizado
Robo, extravo o copia no
autorizada / Uso, acceso o
tratamiento no autorizado

Robo de informacin y/o soportes


electrnicos

47

Tipo de
Activo

Software

Ejemplos de Vulnerabilidades

Ejemplos de Amenazas

Carencia o falta de pruebas al


software y su configuracin antes
de su liberacin
Falta de actualizaciones de
seguridad en software
No cerrar la sesin al abandonar la
estacin de trabajo
Desecho o reutilizacin de medios
de almacenamiento sin un
adecuado borrado de informacin
Falta de registros de auditora

Error en el funcionamiento de la aplicacin

Error en las asignaciones de


privilegios de acceso
Interfaces de usuario complicadas

Intrusin en los sistemas

Falta de mecanismos de
identificacin y autenticacin de
usuario

Suplantacin de identidad

Contraseas no cifradas

Penetracin y manipulacin de los sistemas

Servicios de red innecesarios


habilitados y/o mal uso de
protocolos

Intrusin a la privacidad del personal

Abuso de privilegios por parte de los


usuarios
Acceso no autorizado a los sistemas
Consulta de informacin confidencial

Acciones fraudulentas

Error en la operacin de los sistemas

Redes

Posible vulneracin a los datos


personales
Dao, alteracin o modificacin

Uso, acceso o tratamiento no


autorizado
Uso, acceso o tratamiento no
autorizado
Robo, copia, uso, acceso o
tratamiento no autorizado
Uso, acceso o tratamiento no
autorizado
Uso, acceso o tratamiento no
autorizado
Uso, acceso o tratamiento no
autorizado, dao, alteracin o
modificacin
Prdida, destruccin robo,
extravo o copia no autorizada,
uso, acceso o tratamiento no
autorizado
dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Uso, acceso o tratamiento no
autorizado

48

Tipo de
Activo

Personal

Ejemplos de Vulnerabilidades

Ejemplos de Amenazas

Falta de monitorizacin de los


componentes de las redes,
protocolos, servicios y aplicaciones
Descarga y uso de software no
controlado

Canales encubiertos y trfico clandestino

Falta de respaldos

Corrupcin de datos en los sistemas

Falta de un registro sobre la


administracin de los recursos

Uso no autorizado de los servicios

Lneas de comunicacin sin


proteccin
Cableado de interconexin daado
o antiguo

Espionaje o escucha de comunicaciones

Arquitectura de red insegura

Espionaje o escucha de comunicaciones

Falta de personal sensibilizado y/o


entrenado en Seguridad
Proceso de reclutamiento
inadecuado

Fraude y robo

Ejecucin de cdigo malicioso

Malfuncionamiento en los equipos de


telecomunicaciones

Fraude y robo

Posible vulneracin a los datos


personales
Uso, acceso, o tratamiento no
autorizado
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Dao, alteracin o modificacin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Uso, acceso o tratamiento no
autorizado
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Uso, acceso o tratamiento no
autorizado
Prdida o destruccin
Robo, extravo o copia no
autorizada

49

Tipo de
Activo

Ejemplos de Vulnerabilidades

Ejemplos de Amenazas

Uso incorrecto de software y


hardware
Falta de supervisin al trabajo de
externos

Error en las operaciones de los sistemas

Falta de polticas acerca del uso de


medios de telecomunicaciones

Uso no autorizado de equipo

Falta o implementacin inadecuada


de controles de acceso

Robo o destruccin de activos

Lugar susceptible al dao por agua


Red elctrica inestable
Falta de procedimientos formales
para la administracin de
privilegios de usuario

Inundaciones
Variacin de voltaje
Abuso de privilegios por parte de los
usuarios

Robo de informacin y/o soportes


fsicos/electrnicos

Sitio

Organizacin

Posible vulneracin a los datos


personales
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Prdida o destruccin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin

50

Tipo de
Activo

Ejemplos de Vulnerabilidades

Ejemplos de Amenazas

Falta o insuficiencia de previsiones


en la realizacin de contratos con
clientes y/o terceros

Abuso de privilegios por parte de clientes


y/o terceros

Falta de procedimientos formales


de monitoreo y/o auditora

Riesgos no identificados

Falta o ausencia de reportes de


fallas

Reincidencia de problemas

Falta de procedimiento formal para


documentar y supervisar un SGSDP
Falta de asignacin de
responsabilidades respecto a la
seguridad de la informacin

Malfuncionamiento del SGSDP

Falta de polticas de uso de correo


electrnico

Fuga de informacin

Falta de procedimientos para la


instalacin y actualizacin de los

Fallas en los sistemas de informacin

Abuso de privilegios por parte de los


usuarios

Posible vulneracin a los datos


personales
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Prdida o destruccin
Robo, extravo o copia no

51

Tipo de
Activo

Ejemplos de Vulnerabilidades

Ejemplos de Amenazas

sistema de informacin

Falta de registros de
actividad/bitcoras en los sistemas
de administracin u operacin

Abuso de privilegios por parte de los


usuarios

Falta de procesos para el


tratamiento de datos personales

Incumplimiento con la Ley Federal de


Proteccin de Datos Personales en Posesin
de los Particulares

Falta o insuficiencias de
condiciones relacionadas a la
proteccin de datos en contratos
con empleados

Empleado negligente

Falta de procesos estrictos en caso


de un incidente o vulneracin de
seguridad

Malfuncionamiento del SGSDP

Falta de polticas para el uso de


activos fuera de la organizacin

Robo de datos personales

Posible vulneracin a los datos


personales
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no

52

Tipo de
Activo

Ejemplos de Vulnerabilidades

Ejemplos de Amenazas

Falta de mecanismos de monitoreo


para vulneraciones a la seguridad
de los datos

Intrusin de personas malintencionadas

Falta de procedimientos para


reportar puntos dbiles en la
seguridad

Cdigo malicioso

Posible vulneracin a los datos


personales
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin
Prdida o destruccin
Robo, extravo o copia no
autorizada
Uso, acceso o tratamiento no
autorizado
Dao, alteracin o modificacin

53

Anexo D. Ejemplos de Controles de Seguridad


Las medidas de seguridad identificadas en el paso 6, segn lo establecido en el inciso III del artculo 61 del Reglamento, podrn estar basadas en los
controles presentados en el presente anexo. La organizacin deber elegir los controles administrativos, tcnicos o fsicos que le permitan atender de
mejor manera los riesgos identificados y minimizar las consecuencias de posibles vulneraciones.
La siguiente tabla de controles de seguridad es opcional y se puede usar como referencia en la elaboracin del plan de tratamiento del riesgo, en la
valoracin del riesgo, o incluso para establecer el contexto de seguridad de la organizacin en funcin de la presencia o ausencia de los controles
siguientes. Sin embargo, las organizaciones debern asegurarse de que no pasaron por alto la implementacin de medidas que permitan atender
riesgos que posiblemente no identificaron durante el anlisis de riesgos.
Objetivo de Control

Descripcin
Polticas del SGSDP
Polticas de gestin Deben existir polticas aprobadas por la Alta Direccin para la regulacin especfica, condiciones contractuales,
de datos personales
as como para la creacin, implementacin y mantenimiento de los diferentes controles establecidos para
salvaguardar los datos personales y sus activos relacionados durante el tratamiento, que sirvan como gua
organizacional del propsito, objetivos, responsabilidades y compromisos establecidos por los involucrados para
el cumplimiento de la normatividad aplicable a los datos personales.
Revisin y evaluacin Las polticas relacionadas con el SGSDP deben ser revisadas y evaluadas en su efectividad y cumplimiento
peridicamente, as como cuando surja un nuevo riesgo o cambio significativo en la organizacin.
Documentacin del
Se deben identificar y documentar de manera proporcional a la organizacin los activos, polticas, acuerdos,
SGSDP
planes estratgicos, procedimientos, controles de seguridad, y todo proceso relacionado al SGSDP.

Identificacin de
legislacin/regulacin
aplicable

Salvaguarda de
registros
organizacionales

Cumplimiento legal
Se deben identificar y documentar los deberes y responsabilidades de toda la organizacin para cumplir con los
requerimientos legales y contractuales relacionados con la proteccin de datos personales.
Se debe poner especial atencin en la legislacin relacionada con la propiedad intelectual, industrial, privacidad y
proteccin de datos personales a nivel nacional e internacional.
Tambin se debe considerar la regulacin especfica de un sector o rama industrial, por ejemplo, legislacin
aplicable a datos de salud.
Se debe mantener el resguardo de todos los registros y documentacin que pudieran ser evidencia o bien,
requeridos en cumplimiento de la LFPDPPP y protegerlos contra prdida, destruccin, falsificacin, acceso o
revelacin no autorizados.

54

Objetivo de Control
Prevencin del mal
uso de activos
Recoleccin de
evidencia
Revisin de
cumplimiento tcnico
Controles de
auditora de sistemas
Proteccin del
soporte de auditora
del sistema
Administracin
y
Coordinacin de la
seguridad
de
la
informacin
Designacin de
deberes en seguridad
y proteccin de datos
personales
Recomendaciones de
un especialista en
seguridad de la
informacin
Cooperacin con
organizaciones
Revisin de
implementacin
Identificacin de
riesgos de terceros

Descripcin
Se deben tener mecanismos contra el uso de activos para propsitos no autorizados, por ejemplo, para sistemas
electrnicos, utilizar bloqueos en caso de que usuarios no autorizados traten de acceder a mdulos que no tienen
permisos e informar mediante un mensaje el uso indebido.
Se deben tener procesos para la recoleccin de evidencia segn las mejores prcticas en caso de una vulneracin
o incidente de seguridad.
Se deben revisar los activos y sus controles de seguridad, tal que se verifique su correcto funcionamiento as
como las posibles amenazas y vulnerabilidades relacionadas.
Se debe tener un proceso para la revisin y evaluacin del funcionamiento del SGSDP, tal que se minimicen las
consecuencias de posibles vulneraciones y se logre un ciclo de mejora continua.
Se deben proteger las herramientas, el software y los archivos de datos que surjan o se utilicen en una auditora,
para evitar comprometer la seguridad de la informacin de la organizacin.
Estructura organizacional de la seguridad
La Alta Direccin debe tener claros sus objetivos y soportar las iniciativas generadas por su equipo, apoyados en
la comunicacin efectiva entre las diferentes reas de la organizacin para la implementacin de controles de
seguridad, coordinados por la persona a cargo de la seguridad de la informacin personal.
Se deben designar deberes y obligaciones respecto a los individuos que intervengan en el uso y proteccin de
datos personales.

Cuando sea adecuado, obtener el consejo y recomendaciones de un especialista en proteccin de datos y


seguridad de la informacin.

En su caso, buscar la colaboracin de autoridades, cuerpos regulatorios, servicios de informacin o de


telecomunicaciones, entre otros para definir las acciones apropiadas en caso de un incidente o vulneracin de
seguridad.
Realizar una revisin peridica de la implementacin del SGSDP por auditores internos o externos.
Identificar el alcance de involucramiento que pueden tener terceros en el tratamiento de los datos personales y
analizar si es justificado y bajo el consentimiento del titular.

55

Objetivo de Control
Requerimientos de
seguridad en
contratos con
terceros

Requerimientos de
seguridad en
contratos con
servicios de
almacenamiento de
informacin y
computo en la nube
Inventario y
clasificacin de datos
personales
Inventario de activos
Identificacin de
procesos de datos
personales

Identificar
responsabilidades de
seguridad en cada
puesto de trabajo
Revisin de
contratacin del
personal
Acuerdo de
confidencialidad

Descripcin
Cuando se establezca un contrato con un tercero, revisar las clausulas referentes a los requerimientos de
seguridad y de tratamiento de datos personales para verificar su correspondencia con los requerimientos de la
organizacin.
Se debe revisar el contrato generado entre la organizacin y el prestador respecto al nivel de servicio, incluyendo
cualquier actualizacin de los trminos y condiciones. Esto es importante en el caso de la designacin de
encargados por parte de un responsable de datos personales.
Cuando se establezca un contrato con un prestador de servicios de almacenamiento de informacin y/o de
computo en la nube, adems de revisar las clausulas referentes a los requerimientos de seguridad y de
tratamiento de datos personales, de manera particular hay que: verificar el nivel de acceso que tiene el prestador
y limitar el tratamiento a lo estrictamente necesario para el cumplimiento de las condiciones del servicio;
verificar el ciclo de vida de la informacin (por ejemplo, donde se almacena, como se replica, como se elimina en
un ambiente distribuido, como se garantiza la eliminacin de la informacin) y la ubicacin fsica de la
infraestructura del prestador.
Clasificacin y acceso a los activos
Mantener un registro de los datos personales recolectados y tratados por la organizacin en cualquier soporte
fsico o electrnico, teniendo especial atencin en los datos sensibles, financieros y patrimoniales.
Mantener un registro de los activos de informacin y de soporte. Identificar a los individuos o grupos de
personas dentro o fuera de la organizacin con responsabilidad sobre los activos.
Se debe tener identificado el ciclo de vida de los datos personales en cada uno de sus procesos, desde la
obtencin, almacenamiento, procesamiento, cancelacin o cualquiera que sea su tratamiento. Esto es
especialmente importante para conocer dnde se resguardan y qu se hace con los datos personales, lo cual
contribuye tambin en agilizar la respuesta al ejercicio de los derechos ARCO por parte de un titular.
Seguridad del personal
Establecer y dar a conocer a cada, funcin, rol o puesto las responsabilidades que corresponden respecto a la
seguridad y proteccin de datos personales, informando en su caso de las sanciones de incumplimiento de la
poltica de seguridad.
Revisar el perfil del personal que ser contratado por la organizacin, esto debe incluir referencias (personales
y/o laborales), la confirmacin de ttulos acadmicos y profesionales as como los controles de identidad y
antecedentes.
Se debe firmar un acuerdo de confidencialidad o no revelacin de informacin por los nuevos empleados de la
organizacin involucrados en el tratamiento de los datos personales.
56

Objetivo de Control
Trminos y
condiciones de
empleo
Entrenamiento y
educacin
Proceso disciplinario

Permetro de
seguridad
Control de entrada
fsica
Seguridad en
entornos de trabajo

Trabajo en reas
restringidas
Seguridad del
cableado
Mantenimiento del
equipo
Aseguramiento de los
activos fuera de las
instalaciones
Borrado seguro de
informacin

Descripcin
Dentro de los trminos de contratacin, la organizacin debe informar ampliamente a los nuevos empleados
sobre sus deberes y compromisos respecto a la seguridad de la informacin y proteccin de datos personales.
Tambin deber considerarse la presentacin de un aviso de privacidad al personal interno del cual recabaremos
datos personales de distintos tipos.
Empleados, contrataciones externas y usuarios en general deben recibir concienciacin y entrenamiento
apropiado respecto a la seguridad de la informacin y proteccin de datos personales.
Debe existir un proceso disciplinario en la organizacin para aquellos que no cumplan o violenten lo establecido
en la poltica o procedimientos.
Seguridad fsica y ambiental
Identificar o en su caso, implementar mecanismos de seguridad en el permetro de la organizacin, por ejemplo
bardas, puertas con control de acceso, vigilancia por guardias de seguridad, etc.
Implementar mecanismos que slo permitan el acceso a personal autorizado, por ejemplo a travs de
dispositivos biomtricos, tarjetas inteligentes, personal de seguridad, etc.
Implementar mecanismos para mantener las reas de resguardo o servicios de procesamiento de datos, aisladas
de amenazas causadas por el hombre. Por ejemplo, puertas con cerradura, gabinetes o cajas de seguridad.
Adems deben existir mecanismos para proteger a los activos de fenmenos como el agua, fuego, qumicos,
vibraciones, radiacin, etc. Por ejemplo, extintores, detectores de humo, etc. As como cierto monitoreo
ambiental y de medidas comunes, como no introducir alimentos y bebidas en reas restringidas.
Los activos de informacin slo deben ser accesibles por personal que los requiera en sus deberes en la
organizacin o bien por un tercero autorizado. Por lo tanto, debe existir acceso controlado para personal
trabajando en un rea restringida.
Verificar el buen estado de las conexiones de telecomunicaciones o de transmisin de informacin, para evitar
intercepcin o falla en el servicio.
Asegurarse de que los activos secundarios reciban mantenimiento peridicamente, (por ejemplo, segn
indicaciones del fabricante), adems de realizarse por personal autorizado.
Se deben establecer mecanismos autorizados por la Alta Direccin, para controlar la salida fuera de las
instalaciones de cualquier activo que contenga datos personales, considerando que su seguridad sea equivalente
al menos a la establecida dentro de la organizacin.
Cuando se elimine un activo como equipo de procesamiento, soporte fsico o electrnico, deben aplicarse
mecanismos de borrado seguro, o bien, de destruccin adecuado. Cualquier eliminacin de activos debe
registrarse con fines de auditora.

57

Objetivo de Control
Escritorio limpio
Robo de propiedad

Control de cambios
operacionales
Segregacin de tareas

Separacin del rea


de desarrollo de
sistemas de datos
personales
Administracin
externa de
instalaciones
Estndares de
configuracin segura
y actualizacin de
sistemas.
Proteccin contra
software malicioso

Descripcin
Cualquier documento o activo de informacin crtico debe estar resguardado, fuera de la vista, cuando ste no
sea atendido.
Revisar e identificar los activos, como equipo o software que sean susceptibles de sustraccin de las
instalaciones.
Gestin de comunicaciones y operaciones
Debe existir un procedimiento para discutir, documentar y evaluar cualquier cambio que pueda afectar las
operaciones relacionadas con datos personales.
En relacin a la estructura de la organizacin se deben segregar y aislar los puestos y responsabilidades del
personal que realice tratamiento de datos personales, con el fin de reducir las oportunidades de un uso indebido
de los activos.
Las instalaciones de desarrollo y /o pruebas deben estar aisladas de las reas operacionales. Por ejemplo, el
software de desarrollo debe estar en una computadora diferente al software de produccin. La separacin puede
hacerse a varios niveles, como utilizar distintos segmentos de red, dividir las instalaciones fsicas o por separacin
de activos.
Se deben identificar los riesgos derivados del servicio de administracin de instalaciones prestado por un
proveedor (por ejemplo, instalaciones elctricas o telefona). En caso de que se identifique algn riesgo, debe ser
discutido con el externo para incorporar los controles adecuados.
Se deben tener identificadas las necesidades de nuevos sistemas, actualizaciones o nuevas versiones. Es
recomendable realizar pruebas antes de implementar cualquiera de ellos.
Tambin debern verificarse que los sistemas que soportan el tratamiento de datos personales cuentan con
configuraciones seguras en el hardware, sistema operativo, base de datos y aplicaciones.
Deben existir diferentes controles respecto al software malicioso:
Prohibir el uso de software ilegal y/o no autorizado.
Aplicar difusin (campaas, boletines) sencillos para advertir del software malicioso.
Mantener en los dispositivos de procesamiento de informacin como computadoras, las respectivas
herramientas actualizadas que las protejan contra software malicioso.
En su caso, monitorear el trfico y las actividades de red para descubrir cualquier comportamiento anmalo, tales
como virus, descargas de contenido inapropiado, fugas de informacin, etc.

58

Objetivo de Control
Respaldo de la
informacin

Descripcin
Deben establecerse respaldos proporcionales al modelo de negocio y manejo de datos personales. Se debe tener
un adecuado control sobre la periodicidad de generacin de respaldos y el respectivo almacenaje de los soportes
fsicos/electrnicos, especialmente para el ejercicio de derechos ARCO.
Se debe tener identificado el proceso a realizar en caso de que sea necesario restaurar un respaldo, asimismo, se
deben probar los respaldos peridicamente para asegurar su correcto funcionamiento.

Registros de
operadores
Registro de fallas

Los administradores de los sistemas de datos personales deben poder acceder a los registros de las actividades
dentro del mismo, para analizarlos peridicamente.
Las fallas en sistemas y activos deben poder reportarse y gestionarse, esto incluye la correccin de la falla y
revisin de los registros.
Cuando aplique, debe existir separacin entre los segmentos de red y administracin de recursos de red.
Deben existir procedimientos y responsabilidades para el manejo de conexiones remotas.
Se debe buscar la implementacin de controles especiales para salvaguardar la confidencialidad e integridad de
las comunicaciones sobre redes pblicas (por ejemplo, redes privadas virtuales, mtodos de cifrado, etc.)
Deben existir polticas y procedimientos para el uso de soportes informticos extrables como memorias USB,
discos, cintas magnticas, etc.

Controles de red

Gestin de soportes
informticos
extrables
Documentacin de
seguridad del sistema
Seguridad de medios
en trnsito
Comercio electrnico
seguro

Mensajera
electrnica
Seguridad en
sistemas electrnicos

Toda la documentacin de los sistemas y activos de informacin debe ser protegida de acceso no autorizado.
Se debe asegurar el traslado de soportes fsicos/electrnicos que contengan datos personales contra robo,
acceso, uso indebido o corrupcin.
Se deben contar con mecanismos contra la actividad fraudulenta, disputas contractuales o
revelacin/modificacin de informacin.
En los entornos web deben existir mecanismos de autorizacin y autenticacin para las transacciones. Asimismo,
debe revisarse las clusulas de intercambio de datos personales y seguridad en los acuerdos establecidos entre
las partes involucradas.
Se debe hacer uso adecuado del correo electrnico, mensajera instantnea y redes sociales, utilizando
mecanismos que permitan bloquear la recepcin de archivos potencialmente inseguros, mensajes no solicitados,
no deseados o de remitente no conocido.
Se debe hacer uso adecuado de los sistemas de datos personales a travs de guas de uso y gestin de riesgos
asociados con dichos sistemas.

59

Objetivo de Control
Divulgacin de
informacin de
manera pblica

Otras formas de
intercambio de
informacin
Disociacin y
Separacin

Reglas de control de
acceso
Gestin de usuarios y
contraseas

Gestin de privilegios

Revisin de
privilegios de
usuarios

Descripcin
Debe existir un proceso de autorizacin formal para hacer pblica informacin, por cualquier medio de difusin.
Cuando se publica un discurso o una nota de prensa, o bien para sistemas de acceso pblico (por ejemplo,
pginas web para publicacin de concursos, rifas, entre otros), deben existir mecanismos para que la informacin
mantenga su integridad y que no permita ser el medio para daar otros activos ubicados dentro de la
organizacin.
Se debe contar con procedimientos relacionados al intercambio de datos personales, dentro y fuera de la
organizacin a travs de diversos medios, como voz, datos, video, etc. El personal debe mantener la
confidencialidad de informacin sensible y datos personales en cualquier intercambio de informacin.
Se deben aislar los datos de manera que por s mismos no aporten informacin valiosa de un titular o ste no
pueda ser identificable.
Tambin pueden ser separados los activos de informacin grandes en activos de informacin ms pequeos (por
ejemplo, una base de datos de clientes en dos bases de datos, clientes corporativos y personas fsicas). Entre
mayor cantidad de informacin tiene un activo, ste resulta ms atractivo para un atacante.
Control de acceso
Deben existir reglas y privilegios para cada usuario o grupo de usuarios conforme a sus responsabilidades.
Cada usuario debe tener un identificador nico en el sistema al cul se vincularn sus privilegios y acceso.
Asimismo, cada usuario deber ser responsable de guardar en secreto la(s) contrasea(s) y/o mecanismos
correspondientes para su acceso (cuando aplique, los usuarios tendrn que firmar acuerdos que los obliguen a
mantener sus contraseas en secreto). Los usuarios deben tener guas o recomendaciones para la creacin y
mantenimiento de contraseas seguras.
Se deben tener procedimientos para la administracin de usuarios (altas, bajas y modificaciones) en los sistemas
de informacin, en su caso, adems deben existir controles respecto a las contraseas entregadas al personal,
clientes, proveedores, prestadores de servicios o cualquier usuario del sistema de datos personales, (por ejemplo
rendicin de cuentas, fortalecimiento de contraseas, almacenamiento cifrado de contraseas, etc.)
En un ambiente multiusuario se deben conceder privilegios en funcin de los roles y responsabilidades de cada
usuario o grupo de usuarios para el cumplimiento de sus deberes, sin que se exponga a acceso, eliminacin copia
o alteracin no autorizados a otros activos de informacin.
Debe existir un proceso de revisin para verificar el adecuado y no excesivo uso de los privilegios de cada usuario
en funcin de sus roles y responsabilidades, por ejemplo una persona con privilegios especiales puede ser
revisada cada 3 meses, mientras que un usuario estndar cada 6 meses.

60

Objetivo de Control
Equipos sin atender

Uso de servicios de
red
Ruta reforzada
Autenticacin de
usuario para
conexiones externas
Autenticacin de
nodo
Segregacin de redes

Protocolos de
conexin de red
Protocolos de
enrutamiento
Seguridad de
servicios de red
Identificacin
automtica de
terminales
Proceso de inicio de
sesin
Alerta de coercin a
usuarios
Tiempo lmite de
terminal
Tiempo lmite de
conexin

Descripcin
Los usuarios y contrataciones externas deben tener conocimiento de las medidas de seguridad necesarias para
cualquier dispositivo de procesamiento sin atender, por ejemplo cerrar la sesin cuando se ha terminado de
trabajar en la computadora, bloquear el equipo automticamente cuando no se usa por largos periodos de
tiempo, etc.
Deben existir reglas respecto al acceso autorizado a las redes y servicios disponibles as como los procedimientos
de uso y conexin.
Cuando aplique, deben existir mecanismos para asegurar un camino nico de interconexin entre dispositivos.
Deben existir mecanismos para asegurar las conexiones que se hagan a travs de redes externas a la
organizacin, por ejemplo, cifrado, protocolos de autenticacin por desafo mutuo, etc.
Si es el caso, aplicar un mtodo de autenticacin alternativo para grupos de usuarios remotos que se conecten a
una instalacin segura u ordenador compartido.
La red debe segregar a los usuarios a travs de mecanismos como VPN o firewalls, por ejemplo, la red externa
para usuarios de visita debe encontrarse en un segmento de red distinto de la red donde se encuentran los
sistemas de datos personales.
Se deben vigilar los protocolos de conexin de redes compartidas que se expanden ms all de la organizacin,
por ejemplo para el correo electrnico o para el acceso a internet.
Se debe vigilar la existencia de mecanismos para asegurar que las conexiones de computadoras y flujos de
informacin no vulneren el control de acceso a la organizacin.
La organizacin debe obtener una clara estructura y descripcin de los servicios de red pblicos o privados, sus
caractersticas y atributos de seguridad.
Contar con un mecanismo de red interna para autenticar cualquier tipo de conexin.

Slo se debe tener acceso a los sistemas de datos personales a travs de un inicio de sesin seguro, esto
minimiza los accesos no autorizados.
Cuando aplique, considerar alertas para usuarios cuyos privilegios los hagan objetivo de coercin.
Aquellas terminales que estn expuestas en reas de acceso general deben configurarse para limpiar la pantalla o
bloquearse despus de un periodo de inactividad.
Debe existir un tiempo lmite de acceso al sistema de datos personales, especialmente para conexiones desde
terminales o dispositivos fuera del permetro de la organizacin.

61

Objetivo de Control
Restriccin de acceso
a datos personales
Trazabilidad de
tratamiento
Aislamiento de
sistemas sensibles
Registro de eventos
Monitorear el uso del
sistema
Sincronizacin de
relojes
Dispositivos mviles
internos.

Dispositivos mviles
externos.

Almacenamiento
privado dentro del
entorno de operacin

Teletrabajo

Descripcin
El acceso a datos personales a travs del personal o aplicaciones debe ser definido en consistencia con la poltica
de seguridad de los datos personales, limitando el uso de informacin a las responsabilidades especficas.
La trazabilidad y posibilidad de identificar quin tuvo acceso a los datos personales y los tratamientos realizados.
Se deben evaluar los sistemas y activos que por su naturaleza deban desarrollarse en ambientes aislados, por
ejemplo equipos ejecutando aplicaciones crticas, datos personales sensibles, o informacin confidencial fuera de
entornos de red.
Se deben generar registros de excepciones y eventos relevantes de seguridad en los sistemas y activos, los cuales
deben almacenarse un periodo acordado para investigacin y control de acceso.
Debe haber procedimientos para el monitoreo del uso correcto de los activos y el adecuado comportamiento de
los sistemas. Los usuarios slo deben hacer las actividades para las cuales estn explcitamente autorizados.
Cuando los sistemas de cmputo o telecomunicaciones operen con relojes en tiempo real se debe acordar un
estndar de tiempo y horario. Esto ayuda a la revisin de registros y auditora.
Se debe considerar el trabajo externo a travs de dispositivos mviles (por ejemplo netbooks, laptops, tablets,
smartphones) proporcionados a los usuarios por la organizacin. Esto incluye capacitacin sobre la
responsabilidad y medidas de seguridad relacionadas a su uso y las consecuencias de su prdida. Asimismo
limitar y ajustar el uso de dispositivos mviles a las condiciones de seguridad y proteccin de datos de la
organizacin, previamente autorizadas por la Alta Direccin.
Deben existir mecanismos para la incorporacin de dispositivos personales ingresados por los usuarios al entorno
de la organizacin, as como para el tratamiento de datos a travs de dichos dispositivos. Se debe limitar y ajustar
el uso de dispositivos mviles a las condiciones de seguridad y proteccin de datos de la organizacin,
previamente autorizadas por la Alta Direccin.
En su caso, los dispositivos que interacten con los activos de la organizacin debern reforzarse, si un dispositivo
no puede acoplarse a los sistemas de informacin o genera una vulneracin, deber excluirse.
Se deben establecer reglas para limitar el uso de servicios privados de los usuarios (por ejemplo, el uso de la
cuenta de correo electrnico gratuita) para evitar el almacenamiento o transferencia no autorizados de datos
personales. Se debe procurar exclusivamente el uso de servicios dentro de entornos empresariales o en los
cuales exista un contrato con el prestador del servicio, siempre dentro de las condiciones de las polticas de
seguridad de datos personales establecidas en la organizacin.
En su caso, se deben especificar las condiciones de seguridad y procesos relacionados al teletrabajo, como el
robo de equipos, las conexiones seguras, clusulas de confidencialidad, etc.

62

Objetivo de Control
Validacin de datos
de entrada
Autenticacin de
mensajes
Validacin de datos
de salida
Cifrado

Descripcin
Desarrollo y mantenimiento de sistemas
Cuando se proporcionen datos a un sistema, se debe validar que estos sean ingresados de forma correcta, tal que
no produzcan conflictos de tratamiento posteriores. En el caso de aplicaciones, se debe asegurar que los mtodos
de entrada sean seguros y no produzcan vulnerabilidades.
En los sistemas de informacin deben existir mecanismos de autenticacin de mensajes para asegurar que un
mensaje proviene de una fuente autorizada o que no est corrompido.
En el caso de aplicaciones se debe asegurar que los datos entregados sean los esperados y que se proporcionen
en las circunstancias adecuadas.
Deben existir reglas que definan el uso de cifrado en comunicaciones y/o almacenamiento, as como de los
controles y tipos de cifrado a implementar.
Se debe identificar la sensibilidad de los datos y el nivel de proteccin necesario para aplicar el cifrado
correspondiente, en almacenamiento y/o transferencia de informacin.

Firmas electrnicas

Se pueden utilizar firmas electrnicas o digitales para ayudar a la autenticidad e integridad de documentos
electrnicos.
Servicios de noEs un servicio de seguridad que permite probar la participacin de las partes involucradas en una comunicacin.
repudio
Se deben gestionar las disputas que puedan surgir de negar o afirmar la participacin de alguien en un evento o
accin.
Control de software y Se deben tener controles y procesos para integrar software al ambiente operacional, para minimizar el riesgo de
sistemas
corrupcin de datos. Se debe probar cualquier cambio o actualizacin de sistemas crticos antes de
implementarse en la organizacin. Se deben aplicar los cambios a una copia concreta del software original y
evaluar su funcionamiento.
Proteccin de datos
Se debe vigilar y gestionar los datos que se utilicen para fines de prueba, evitando el uso de bases de datos con
de prueba del sistema datos personales para tales propsitos, si es necesario usar datos personales, se deben desvincular de su titular
antes de usarse.
Control de acceso a
Se debe restringir el acceso a los usuarios no especializados a las carpetas que mantienen la configuracin de las
software de
aplicaciones o sistemas como las libreras, con el fin de prevenir corrupcin en los archivos o software.
configuracin
Canales encubiertos y Se deben tener mecanismos para asegurar que con nuevas actualizaciones no se introduzcan canales de
cdigo malicioso
comunicacin para virus y cdigo malicioso.
Contratacin de
Se debe tener bien definido y actualizado el arreglo de contratacin de servicios de software como pueden ser las
servicios de software licencias de uso, pruebas antes de instalacin, requerimientos del sistema, deteccin de virus y cdigo malicioso,
etc.

63

Objetivo de Control
Procedimientos para
el manejo de
incidentes
Procedimientos de
accin en caso de
incidente
Reporte de incidentes
de seguridad
Reporte de fallas en
funcionamiento
Procedimientos de
notificacin de
vulneraciones de
seguridad a titulares
Aprendizaje de
incidentes
Procedimientos de
actualizacin de
SGSDP

Descripcin
Vulneraciones de seguridad
Deben existir procedimientos para el manejo de incidentes, tal que la respuesta sea pronta y efectiva, llevando a
cabo un registro para diferenciarlos, de manera que posteriormente se puedan conducir revisiones y
comparaciones.
Deben existir procedimientos relacionados al monitoreo, reporte, mitigacin y documentacin de un incidente de
seguridad, tal que se pueda verificar la ocurrencia de una vulneracin para darle un adecuado seguimiento e
implementar las medidas de seguridad correctivas.
Debe existir una manera formal de reportar incidentes de seguridad de acuerdo a la cadena de mando
establecida.
Debe existir una manera formal de reportar fallas en funcionamiento de hardware y/o software de acuerdo a la
cadena de mando establecida.
Deben existir procedimientos relacionados a la notificacin de vulneraciones a los titulares cuando stas afecten
sus derechos patrimoniales o morales. Estos procedimientos deben contemplar la magnitud de la vulneracin y
los mecanismos que se deban poner a disposicin de los afectados.
Cuando aplique, establecer mecanismos para monitorear, el tipo, volumen y costo de los incidentes de seguridad.
Deben existir procedimientos de revisin y actualizacin de las medidas de seguridad una vez mitigada la
vulneracin a la seguridad para mejorar el SGSDP.

64