Módulo II. El Programa de Datos Personales · empresarial Certificación Cultura corporativa....

Módulo II.

El Programa de Datos Personales❑ Definiciones y Planeación

❑ Controles en Procesos, Personas y Tecnología❑ El objetivo puesto en la Certificación

https://www.youtube.com/watch?v=FPfgmlmT8PE

Ley Federal de Protección de Datos

Personales en Posesión de los Particulares

Protección de Datos Personales

La Postura

Definamos la Postura que será

adoptada

Negación

Avestruz

Seguridad

Normas relacionadas

Privacidad empresarial

Certificación

Cultura corporativa




la Postura

el Dato

¿Qué voy a proteger?

¿Tecnología?

¿de qué voy a proteger?

Documentar el Riesgo:1) ¿Qué datos personales gestiono?

1) Riesgo Inherente bajo2) Riesgo inherente medio3) Riesgo inherente

alto/reforzado2) ¿Qué riesgo tiene el Dato Personal durante su tratamiento?° ¿Cuánto vale la pérdida del dato?° ¿Cómo impacta en la operación?° ¿Qué daño puede causar el conocimiento

público del dato?° ¿Cuál es el impacto reputacional?° ¿Qué daño puede tener el titular?Financiero/patrimonial, Salud, Incomodidad/insatisfacción, otros.

¿de qué voy a proteger?

RIEGO DEL DATO

PERSONAL

Amenaza informática social

y natural

Susceptibilidad del datoCapacidad de

recuperación del dato/proceso (resiliencia)

Valor de Exposición del dato (Valor inherente)

Vulnerabilidad

Confidencialidad de la

Información

Integridad de la Información

Accesibilidad a la información

Obsolescencia de la

información




la Postura

el Dato

el Proyecto

Proyecto • Creación de un Comité de Datos Personales / Funciones / ResponsableRolesResponsabilidades

• Alcance del ProyectoPosturaPresupuestoRecursos Humanos

• Creación de la culturaCapacitaciónReforzamiento/comunicación

Pruebas de Análisis de Brecha

Análisis de Vulnerabilidades

Análisis de Flujo

Descubrimiento de datos

Antivirus end point y red

IDS / DLP / Firewall / ID Management

Patch management / AppFW / Encription

/ APP Mgt. / BYOD / WiFi

Seguridad del Hardware y su operación

IT Governance / Control de accesos

/ Analytics y Big Data / IT Auditoría /

Filtrado de Contenido / DLP Contextual /

SIEM / Correlación de eventos /

Remediación de hallazgos / Plan de

continuidad del Negocio / Disaster

recovery / Compliance normativo

vinculante / Análisis Forense

Dato Personal

1) Etapa de diagnóstico

2) Etapa de Protección

3) Etapa de Control

4) Etapa de Mejora

Continua

Seguridad Activa

Seguridad Pasiva




la Postura

el Dato

el Proyecto

el Diagnóstico

Estudio de Brecha

Estado Actual

Estado Futuro

Tendiendo puentes

Factores y remedios

Programa de mejora continua

Etapas del Proyecto definido que están en cumplimiento con el objetivo

Etapas del Proyecto definido que tienen que implementarse o mejorarse

Etapas del Proyecto definido que están fuera del alcance del proyecto

Objetivo: Establecer el punto de partida en la Integración de un Proyecto de Protección de Datos Personales. Postura ante la Privacidad: Certificación y/o Cultura de la Privacidad

Diagnósticos

TecnologíaAnálisis de

VulnerabilidadesPruebas de penetraciónIdentificar escenarios

de vulneración y sus consecuencias

Control de accesosControl de altas, bajas y

cambiosControl de WiFi y

DispositivosSeguridad ContextualAuditoría y antifraude

JurídicoAvisos de PrivacidadAdenda de contratos

laboralesProcedimientos de atención de quejasProcedimientos de Derechos ARCO

Procedimientos de Transferencia de Datos

PersonalesContratos de cómputo

en la Nube

AdministrativoProcesos de remisión de

datos personalesControl de documentos

físicosRevisión de instalaciones

y sitesControles en áreas de

digitalización y copiadoProcesos de recepción-

envíoProcesos de

comunicación bajo incidentes y/o cambios




la Postura

el Dato

el Proyecto

el Diagnóstico

Remediación

Punto de partida

- Instalación de soluciones de seguridad lógica y perimetral

- Cambios a procesos - Adecuación de instalaciones- Firma de contratos, adenda y

SLAs- Programa de entrenamiento al

personal- Programa de recompensas- Pruebas a los procesos de

Continuidad de negocios y de Recuperación de Desastres

- Programas de comunicación bajo situación de contingencia

Remediación:




la Postura

el Dato

el Proyecto

el Diagnóstico

Remediación

Bloqueo y borrado

Borrado y/o destrucción segura de datos.(Art. 11. Principio de Calidad LFPDPPP y Art. 38 del Reglamento)

Es la medida de seguridad mediante la cual se establecen métodos y técnicas para la eliminación definitiva de los datos personales de modo que la probabilidad de recuperarlas sea mínima o nula.

Métodos para borrado seguro de los Datos Personales

Métodos físicos Métodos lógicos

Se basan en la destrucción de los medios de almacenamiento

Se basan en el borrado o limpieza de los datos

almacenados

Destrucción de los medios de

almacenamiento físicos

Destrucción de los medios de

almacenamiento electrónicos

Desmagnetización Sobre escritura

▪ Irreversibilidad ▪ Seguridad y confidencialidad▪ Favorable al medio ambiente

Roberto [email protected]

www.pikitdigital.net(55) 26998095

mailto:[email protected]

http://www.pikitdigital.net/

Módulo II. El Programa de Datos Personales · empresarial Certificación Cultura corporativa....

Documents

Transcript of Módulo II. El Programa de Datos Personales · empresarial Certificación Cultura corporativa....