personales protección de datos proactivo para al hacia un...
TRANSCRIPT
Hacia un modelo proactivo para al
protección de Datos Personales
Pablo Corona Fraga
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley)
Reglamento de la LFPDPPP (Reglamento)
Lineamientos del aviso de privacidad (lineamientos)
Recomendaciones de Seguridad
(recomendaciones)
Recomendaciones para la designación de
la persona o Departamento de Datos Personales
Guía para implementar un
SGSDP
Parámetros de autorregulación en
materia de protección de datos personales
Guía para cumplir con los principios y
deberes de la LFPDPPP
Marco legal y regulatorio
Aviso de privacidad
Procedimientos para atenciónde derechos ARCO
Designaciónde responsable
o departamentoal interior
Políticas de Seguridad y
protección de datos
Convenios de confidencialidad y
contratos
Inventario de Datos personales y
sistemas de tratamiento
Identificación de personas que tratan los datos, privilegios, roles y
responsabilidades
Análisis de riesgosAnálisis de brecha
Datos
Identificar
Finalidades
¿Para qué?
Tratamientos
¿Qué voy a hacer con ellos?
ConsentimientoTácito - Expreso
Evidencia
Privilegios de Acceso y transferencias
Internos Externos
Capacitar al personal involucrado
Acciones y procedimientos
en caso de vulneración
Medidas de seguridad Administrativas Medidas de seguridad Físicas Medidas de seguridad Técnicas
Lo mínimo ….
¿Cómo proteger los datos personales?
Password ******
Ósca
r Rod
rígue
z
14/02/19
86
55 43 789654
24 años
Laura González
Lote 12 Mz. 45Del. Iztacalco
CP. 04567
192.321.0.1Católico
VIH+
Homosexual
Raúl Pérez
35 añ
os
Derechos•Humano•ARCO•Decidir uso de DP
Valor DP
• Valor en el mercado• Precios en el mercado• Costo fuga de datos• Precios mercados
ilegales• Valor individual
• Encuestas• Valor asignado por el
individuo
Tipo DP• Sensibilidad
• Inherente• Agrupación
Análisis Riesgos
• Vulneraciones DP
Med
idas
de
segu
ridad
Físicas
Técnicas
Administrativas
€£฿¥
$
¿Cuánto valen los datos personales en el mercado negro?
Pasaportes reales escaneados
1 a 2 US
Cuentas de juegos en Internet12 a 3,500 US
Tarjetas de crédito
robadas 50 centavos- 20 US
1,000 cuentas de correos electrónicos
10 US
1,000 seguidores2 a 12 US
Enviar spam70 a 150 US
Género2.9 US
Nombre3.9 US
Localización GPS16 US
No. Teléfono5.9 US
Historial de compra20 US
Historial de crédito30 US
Passwords76 US
Fuente: Ponemon Institute, Privacy and Security in a Connected Life, Marzo 2015 http://goo.gl/C5pj89¿Cuánto cuestan los datos robados y servicios de ataque en el mercado clandestino?Symantec http://goo.gl/e41bec
Expediente clínico150 US
Hacking humans: Medical devices vulnerableHacking humans: Medical devices vulnerable
“Medical devices with these features—like wireless connectivity, remote monitoring, and near-field communication tech—allow health professionals to adjust and fine tune implanted devices without invasive procedures. That's a very good thing. But those conveniences also create potential points of exposure. ”
Energy Management and Demand Response
Elevators
Building Automation
Physical Security
HVAC and LightingFire and Life Safety
Real Time Monitoring Control
Networking, Voice and Data Communication
Facility and Asset Management
Parking, signage and Display
Smart BuildingSmart Building
¿En quién confiamos?
Uso
Circulación
AlmacenamientoBloqueo
Supresión
Ciclo de vida de los datos personales
¿Cómo?
Datos personales
Finalidades y tiempo de retención
Sistemas de tratamiento
Personal que trata datos
(con funciones,
roles, privilegios y
responsabilidades)
Flujo de los datos
Inventario de datos personales
¿A quién debo involucrar en mi organización?
RHRHOperacionesOperacionesFinanzasFinanzasSistemasSistemas MKTMKTLegalLegal
“involucrar a
todas las áreas
que manejen los
datos”
Establece roles y
responsabilidades
Roles y responsabilidades
Medio Alto
Bajo Medio
SensibilidadSensibilidad
Volu
men
Volu
men
La clave
• El valor de los datos personales para los titulares.
• La exposición de los activos involucrados con los datos personales
• El valor potencial para un atacante o tercera persona no autorizada para la posesión de los datos personales
• La trazabilidad y posibilidad de identificar quién tuvo acceso a los datos personales.
Criterios de análisis de riesgos
Sensibilidad
Ubicación en conjunto con otros datos como financieros, patrimoniales, etcInformación adicional de cuentas bancarias (CVV, dirección, fecha de vencimiento, nombre del titular)Titulares de alto riesgo (mayor impacto por extorsión, reputación o beneficio económico para un tercero)Salud (antecedentes e historial clínico, tratamientos, enfermedades)Religión, origen racial, filiación políticaUbicaciónFinancieros y Patrimoniales (cuentas bancarias, transacciones, montos, propiedades y bienes inmuebles)
Validación (nombres de usuario y contraseñas, firma electrónicaAntecedentesIdentificación
Se refiere a la importancia de los datos personales y el daño que causaría para el
titular si estos se comprometieran.
Criterios para determinar la sensibilidad:
Inherente por tipo de dato personal
Por agrupación de datos personales
Políticas del SGSDP
Estructura Org. De la seguridad
Clasificación y acceso a activosSeguridad del personal
Seguridad física y ambiental
Gestión de comunicaciones y
operaciones
Desarrollo y mantenimiento de
sistemas
Cumplimiento legalVulneraciones de Seguridad
Control de acceso
Organiza
cional
Operacio
nal
Medidas de seguridad
“Los responsables no adoptarán medidas de seguridad menores a aquéllas que mantengan para el
manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las
posibles consecuencias para los titulares, la sensibilidad de los datos
y el desarrollo tecnológico.”
Gobi
erno
, Suj
etos
O
blig
ados
, Cám
aras
y
asoc
iaci
ones
Indu
stria
Com
erci
o y
serv
icio
sCall centers y contact centers
Agencias de viajes
Tiendas departamentales
Clubes deportivos
Entretenimiento
Salu
dHospitales
Clínicas Cadenas de farmacias Laboratorios
Servicios funerarios
Fina
ncie
roBancos
Seguros
Afores
Casas de bolsa
Educ
ació
nEscuelas
Universidades
Centros de capacitación
Centros de Idiomas
Tele
com
unic
acio
nesISP
Telefonía
Servicios de suscripción
La certificación como mecanismo proactivo
GRACIAS
Pablo CORONA FRAGAGerente de Certificación de Sistemas de
Gestión de TINormalización y Certificación Electrónica S.C.
1204 5191 ext [email protected]
@pcoronaf