Seguridad de

la información
y tratamiento
de datos
personales
La simbiosis
perfecta

ÍNDICE página 2 Introducción

página 3 ¿En qué se basa la seguridad de la información?
página 4 ISO 27001 – Sistema de Gestión la Seguridad de la
Información
página 5 Tipos de información
página 6 Diferencia entre Seguridad de la Información y Protección
de Datos
página 7 ¿Qué dice nuestra legislación?
página 8 Fases del SGSDP y pasos a seguir / Fase 1: Planear el
SGSDP
página 9 Fase 2 / Implementar y operar el SGSDP
página 10 Fase 3 / Monitorear y revisar el SGSDP
página 11 Fase 4 / Mejorar el SGSDP
página 12 Conclusiones

1
Introducción

La seguridad de la información se
puede definir como:

“El conjunto de medidas preventivas y

reactivas que permiten resguardar y proteger la
información.”

Es decir, todas aquellas políticas de uso y medidas que afectan, también,

a nuestro segundo gran término a profundizar: el tratamiento de los
datos que se utilizan en una organización.

Así, veremos que ambos elementos serán piezas fundamentales para que
la empresa pueda llevar a cabo sus operaciones analizando, previniendo y
haciendo frente a los riesgos, encontrando soluciones rápidas, eficientes
y concisas para reducirlos y, en el mejor de los casos, eliminarlos.

Veamos a continuación

2
¿En qué se basa
la seguridad de
la información? Para empezar, veamos que la seguridad de la
información se basa en 4 pilares u objetivos:

Disponibilidad: Confidencialidad:
Comprende el acceso a la información, Información accesible solo para personal
para todas las personas o entidades autorizado y la no divulgación sin permiso
autorizadas para su manejo y correspondiente.
reconocimiento cuando se requiere,
teniendo en cuenta la privacidad y
evitando las interrupciones en servicios.

Integridad:
Información correcta sin modificaciones
no autorizadas ni errores, es decir, que
se muestre tal y como fue concebida, sin
alteraciones o manipulaciones que no
hayan sido autorizadas de forma expresa.
¿Su objetivo esencial? Garantizar la
transmisión de datos en un entorno
seguro, utilizando protocolos y técnicas
para evitar posibles riesgos.
Autenticación:
Certificación de que la información
procedente de un usuario sea de la fuente
que dice ser, es decir, la verificación y
garantía de que el origen de los datos es
correcto.

Conformando así, a lo que actualmente se le Todo, con un mínimo impacto para la organización.
ha llamado como “ciber-resiliencia”, es decir, la ¿Y, dónde podemos encontrar sus bases? Pues en
capacidad de una organización de: la ISO 27001.

• Gestionar soluciones tecnológicas que

aseguren la protección y minimicen o
reduzcan los riesgos existentes.

• Conocer en todo momento el estado de

protección de la infraestructura.

• Contar con las herramientas adecuadas

para una gestión eficiente que garantice la
continuidad en caso de ciberataques.

3
ISO 27001 –
Sistema de Gestión
la Seguridad de la
Información
Contexto de la
Organización:
El primer requisito de la norma, el
cual contiene indicaciones sobre el
conocimiento de la organización y
su contexto, la comprensión de las
necesidades y expectativas de las
partes interesadas y la determinación
del alcance del Sistema de Gestión
Sobre la Información (SGSI).
Soporte:
Esta cláusula señala que para el
buen funcionamiento del SGSI la
organización debe contar con los
recursos, competencias, conciencia,
comunicación e información
documentada pertinente en cada
caso.
Mejora:
Por último, encontramos las
obligaciones que tendrá una
organización cuando encuentre una
no conformidad y la importancia de
mejorar continuamente la conveniencia,
adecuación y eficacia del SGSI.
Así, veremos que la ISO 27001 es una norma
internacional que permite el aseguramiento, la
confidencialidad e integridad de los datos y de
la información, así como de los sistemas que la
procesan.
¿Su estructura? Chequemos un rápido repaso a
sus puntos esenciales:
Liderazgo: Planificación:
Este apartado destaca la necesidad Esta es una sección que pone
de que todos los empleados de manifiesto la importancia de
contribuyan al establecimiento de la determinación de riesgos y
la norma. Para ello la alta dirección oportunidades a la hora de planificar un
deberá demostrar su liderazgo y SGSI, así como de establecer objetivos
compromiso, elaborar una política de Seguridad de la Información y el
de seguridad que conozca toda modo de lograrlos.
la organización y asignar roles,
responsabilidades y autoridades
dentro de la misma.
Operación: Evaluación del
Para cumplir con los requisitos de Desempeño:
SI, esta parte indica que se debe
En este punto se establece la necesidad
planificar, implementar y controlar los
y forma de llevar a cabo el seguimiento,
procesos de la organización, hacer
la medición, el análisis, la evaluación,
una valoración de los riesgos de la
auditoría interna y revisión por la
Seguridad de la Información y un
dirección del SGSI, para asegurar que
tratamiento de ellos.
funciona según lo planificado.
Permitiendo a las organizaciones la
evaluación del riesgo y la aplicación de
los controles necesarios para mitigarlos o
eliminarlos, mejorando la competitividad y la
imagen.
4
Tipos de
información
Ahora bien, veremos que todos estos controles deberán
ser aplicados en todos los tipos de información que
manejan las organizaciones, incluyendo:

01
Crítica:
Indispensable para el
correcto funcionamiento
de la organización y sus
operaciones, estableciendo
los beneficios de la
organización a medio y
largo plazo, facilitando
las ventas y el servicio al
cliente. Esta será vital como
prioridad para establecer
protocolos para su
protección.
02
Valiosa:
Es la información para que la
organización siga adelante en
su cotidianidad. Eso sí, tiene
un alto componente subjetivo
ya que su importancia
depende de la actividad y el
sector.
03
Sensible:
Información privada de los
clientes de la organización
a la que solo debe tener
acceso personas autorizadas.
Los sistemas de seguridad
de la información tienen que
garantizar la protección de
estos datos.

Y, en todas habrá que, claro, tener un adecuado

tratamiento de datos.

5
Diferencia entre Seguridad
de la Información y
Protección de Datos
Por otro lado, y justamente, al abordar estos 2
conceptos que, si bien como dijimos, hacen simbiosis,
te preguntarás qué los diferencia; pues entonces
veamos un pequeño cuadro explicativo para que te
quede más claro:

SEGURIDAD DE LA INFORMACIÓN PROTECCIÓN DE DATOS

Objetivo: Objetivo:
Protección de los datos mismos No son los datos en sí mismos, sino
y tratar de evitar su pérdida la protección del contenido de la
o modificación no autorizada información sobre personas, a fin de
cumpliendo los parámetros evitar el abuso o mal manejo.
que vimos con anterioridad:
confidencialidad, integridad,
disponibilidad y autenticidad. Motivación:
Obligación jurídica, así como
cumplimiento del Código Ético.
Motivación:
Propio interés de la institución o
persona, ya que le puede causar un
daño material o inmaterial.

Ya más claro ¿Verdad? Aunque eso sí, ambos serán

de la observancia de los procesos de compliance y
cumplimiento normativo.

6
¿Qué dice nuestra
legislación?

“Todo responsable que lleve a cabo

Y, ahora que ya vimos estas diferencias, es
momento de plantearnos y recordar lo que
nuestra propia legislación dice en relación
con sus recomendaciones formales en
materia de seguridad de datos personales,
citando una parte del artículo 19 de la Ley
Federal de Protección de Datos Personales
en Posesión de los Particulares:
tratamiento de datos personales deberá
establecer y mantener medidas de
seguridad administrativas, técnicas y
físicas que permitan proteger los datos
personales contra daño, pérdida, alteración,
destrucción o el uso, acceso o tratamiento
no autorizado.
Los responsables no adoptarán medidas
de seguridad menores a aquellas
que mantengan para el manejo de su
información. Asimismo, se tomará en
cuenta el riesgo existente, las posibles
consecuencias para los titulares, la
sensibilidad de los datos y el desarrollo
tecnológico.”

Además de tomar en cuenta otra recomendación

oficial del IFAI: La adopción de un Sistema de
Gestión de Seguridad de Datos Personales (SGSDP),
basado en el ciclo PHVA (Planear-Hacer-Verificar-
Actuar), mismo que veremos a continuación con
más detalle.

7
Fases del SGSDP y
pasos a seguir
FASE 1
Planear el SGSDP
Paso 1: Definir alcances y objetivos.
Como su nombre lo indica, esta fase se
Paso 2: Definir la Política de Gestión de Datos
dedicará a la planeación del Sistema y
Personales, es decir, el compromiso formal
constará de 6 pasos principales:
documentado de la Alta Gerencia hacia el
tratamiento adecuado de datos personales en la
organización.

Paso 3: Definir funciones y obligaciones de

quienes traten datos personales.

Paso 4: Realizar un inventario de datos

personales, así como su tipo y flujo.

Paso 5: Elaborar un análisis de riesgo de los

datos personales, incluyendo los factores
para determinar las medidas de seguridad, las
consideraciones que se deben plantear como
directrices para tratar el riesgo en función de sus
alcances y objetivos y la valoración respecto al
riesgo.

Paso 6: Identificar las medidas de seguridad

y análisis de brecha, es decir el proceso de
evaluación de las medidas de seguridad que ya
existen en la organización contra las que sería
conveniente tener, considerando los siguientes
dominios:

• Políticas del SGSDP

• Cumplimiento legal
• Estructura organizacional de la seguridad
• Clasificación y acceso de los activos
• Seguridad del personal
• Seguridad física y ambiental
• Gestión de comunicaciones y operaciones
• Control de acceso
• Desarrollo y mantenimiento de sistemas
• Vulneraciones de seguridad

8
FASE 2
Implementar y operar el SGSDP

¿Ya está listo todo esto? Pues ahora pasemos a

la segunda fase, es decir, la implementación de
las medidas de seguridad aplicables a los datos
personales, las cuales tendrán 2 ámbitos esenciales:

• Cumplimiento cotidiano de medidas de

seguridad: Las consideraciones para el trabajo
cotidiano con datos personales, así como el
plan de tratamiento del riesgo de los activos
relacionados a los mismos.

• Plan de trabajo para la implementación de las

medidas de seguridad faltantes: El proceso en
el que se decide y se implementa el tratamiento
adecuado para un riesgo o grupo de riesgos.

Ambos puntos tomando en cuenta el contexto de

la organización.

9
FASE 3
Monitorear y revisar el SGSDP

¿Ya listo(a) para el tercer paso del SGSDP? Pues

llegamos a la etapa de las revisiones y auditorías para
checar su funcionamiento, considerando:

• Revisión de los factores de riesgo:

Monitoreando el estado del riesgo y aplicando
las modificaciones pertinentes para mejorar el
SGSDP.

• Auditoría: Tanto interna como externa.

• Vulneraciones a la seguridad de la
información: Consideraciones en caso de un
incidente de seguridad.

Debiendo de realizarse cada vez que exista un

cambio en el contexto del alcance y objetivos del
Sistema.

10
FASE 4
Mejorar el SGSDP

Finalmente, el último paso del sistema: la mejora

continua y capacitación:

• Mejora continua: Aplicación de medidas

preventivas y correctivas sobre el SGSDP.

• Capacitación: Programas de mejora en la

capacitación al personal para mantener la
vigencia del Sistema.

Además de incluir todas las consideraciones para

incluir la protección de datos en la cultura de la
organización y mantener siempre actualizado el
SGSDP.

11
Conclusiones
y Comentarios
Extras
La seguridad de la información y la protección de
datos se han convertido en elementos clave para
el funcionamiento de las organizaciones, ya que
todas ellas manejan datos para poder llevar a cabo
su actividad y necesita garantizar su protección e
integridad según las leyes vigentes.
Así, los sistemas de seguridad de la información
deben ser capaces de gestionar el riesgo existente
y supéralo con el menor impacto, es decir, tiene
que ser capaces de garantizar la resiliencia de la
organización y sus sistemas de seguridad con lo
que prevenir, evitar y solucionar cualquier riesgo
o ataque que se derive del tratamiento de la
información y los datos.
De esta forma, las organizaciones tienen que contar
con soluciones tecnológicas adecuadas que no
sólo aseguren la protección, sino que también
permitan conocer en todo momento el su estado
y que proporcionen las herramientas necesarias
para garantizar la continuidad de sus actividades
en caso de que sufrir un ataque.
¿Quieres esto para tu empresa de la forma más
fácil y de la mano de expertos en compliance?
¡Contáctanos!
https://fcconsultingroup.com/
12
fcconsultingroup.com

13