Beruflich Dokumente
Kultur Dokumente
DeconformidadconelVigsimonovenodelosLineamientos,elDocumentode
seguridadaligualqueelrestodelainformacinrelativaalagestindelasmedidas
deseguridadenladependenciaoentidad esinformacinreservadayserdeacceso
restringido.
Respectodelasmedidasdeseguridad
Contienedescripcionesgenerales,nodetallesquesepudieranconvertiren
vulnerabilidades.
Lasmedidasdeseguridadincluidasdebenserlasqueyaestnimplementadasy
enoperacin.
Derivadodelapremisadelanecesidaddeconocerquerigetodotratamientode
datos,estedocumentoslodebenverloaquellosautorizadosparatratamientode
datospersonales.
Paracumplir:
ObligacinsealadaenelTrigsimotercerodelosLineamientosdeProteccinde
DatosPersonales.
Paracomunicarydisuadir:
Conestedocumento,seinformaalosservidorespblicosyterceros(autorizadospara
realizar tratamiento de datos personales) sus obligaciones en materia de seguridad
realizartratamientodedatospersonales)susobligacionesenmateriadeseguridad
aplicadaadatospersonales.
Comunicarlasmedidasdeseguridadimplementadastieneademselpropsitode
disuadir alosautorizadosrespectodel malusoquepudieranhacerdelosdatos
personales.
Deberdesecreto:
LosResponsablesyEncargadosqueintervenganencualquierfasedeltratamientode
lossistemasdedatospersonalesdebernguardarconfidencialidadrespectodestos,
obligacinquesubsistirduranteydespusdeltratamientodelosdatospersonales.
Deberdeseguridad:
Esundeberquecorresponde
Es
un deber que corresponde acadadependenciaoentidad,paraelcualsedebern
a cada dependencia o entidad para el cual se debern
adoptarymantenerlasmedidasdeseguridadadministrativas,fsicasytcnicas
necesariasparagarantizarlaintegridad,confidencialidadydisponibilidaddelosdatos
personales,medianteaccionesqueevitensudao,alteracin,prdida,destruccin,o
eluso,transmisinyaccesonoautorizado.Aspectos aconsiderar:
Lanaturalezaytipodedatosysucorrespondienteniveldeproteccin;
L fi lid d d l t t i t
Lasfinalidadesdeltratamiento;
Lascapacidadestcnicasyeconmicasdeladependenciaoentidad,y
Lasamenazasyvulnerabilidades.
10
CuntosyaconocenlosLineamientos?
CuntosyaleyeronlaGua?
11
Estenoesuncursodeseguridaddelainformacinperosvamosarevisarconceptosclave
paraelaborarelDocumentode seguridad.
12
13
14
15
Imagenpblica:
En2006,TJMaxx,unapopularcadenadetiendasdedescuentoenlosEUA,fuevctimade
unsigilosoincidentederobodeinformacinperpetradodemayo adiciembredeeseao.
Fueronextradosdatosde45millonesdetarjetasdecrditoydbitoparaserofrecidasen
elmercadonegro.
Cambilaopinin delosclientesrespectodelacadenadetiendas?
Cuntashorashombreseperdieronentrmitesparasustituirplsticosaconsecuencia
Cuntas
horas hombre se perdieron en trmites para sustituir plsticos a consecuencia
deesecaso?
AlguiendemandaTJMaxx porhabersidosujetodefraude?
16
17
18
Preguntadeexamen.
Sepresentaunincidenteenelcentrodedatos:fuegoincontrolable.Qusedebehacer
primero?
a. Rescatarelservidorprincipal.
b. Rescatarlascopiasderespaldo.
c. Evacuaralpersonal.
d. Todaslasanteriores.
19
Delasdiapositivas anteriores,seapreciaquelaseguridaddelainformacinrequierede
variasdisciplinasdelconocimientoparaarticularseentodoslosmbitosdondeserequiere
protegerdatospersonales.
20
21
22
Combinaremoselusodelenfoqueorganizativo(seguridadadministrativa,fsicaytcnica)
coneldelasmejorespracticas(oncegrupos demedidasdeseguridadcontenidasenlas
normasinternacionalesISO/IEC27001:2005y27002:2005)afindeexplicar qutemas
incluyecada unodelostiposdeseguridaddelenfoqueorganizativo.
Cabe sealarlosiguiente:
1. Laseguridadtcnicaeslaque generalmenteseentiendecomoseguridad:lacompra
einstalacindeantivirus,antispyware,firewall,ydemselementostecnolgicos.Sin
embargo,noeslonico.
2. Debidoaloselementostecnolgicosqueseimplementan,laseguridadtcnicayla
seguridadfsicarequierendeunainversinmonetariamayoraloquerequierela
seguridadadministrativa.
23
Notarnquelaseguridadadministrativaincluyemsrubrosquelaseguridadtcnicayla
seguridadfsicajuntas.Noobstante,comoensumayorparteimplicalacreacino
modificacindeprocedimientosinternos,laseguridadadministrativaesla quems
baratoresultaimplementar.
24
25
MsdetallesenlasRecomendacionessobremedidasdeseguridadaplicablesalossistemas
dedatospersonales publicadasporelIFAI.
26
27
28
Procesosugeridoquedeber adaptarsealcontextodecadadependenciaoentidad.
29
Aquserefiereunidadesadministrativasinteresadas?
Porejemplo:
Informtica
Seguridaddelainformacin(siexiste)
Recursosmaterialesoserviciosgenerales(mantenimientoyvigilancia)
Archivo
30
Resultadosdeesteejercicio:
Determinarsilaunidadadministrativahaidentificadotodossussistemasdedatos
personalesconbaseenlosLineamientosydemsnormatividadaplicable.Factoresque
intervienen:
Queelsistemacontengadatosquepermitanidentificaralapersona;
Queelsistemaseasustantivoparalasatribucionesdeladependenciaoentidad
(de conformidad con el Sexto de los Lineamientos), y
(deconformidadconelSextodelosLineamientos),y
Lomsimportante:considerarlanormatividadquefacultaaladependenciao
entidadparatratarlosdatos personales.
Determinarsilasmedidasdeseguridadimplementadassonlasquerequierenpara
garantizarlaconfidencialidad,integridadydisponibilidaddelosdatospersonalesque
custodialadependenciaoentidad.
31
32
1. Estructuraorgnicadeladependenciaoentidad:
Nmerodeunidadesadministrativas
d
d d
d
Nmerodeubicacionesolocalidadesgeogrficas
Regionesgeogrficas
2. DificultadesenladistribucindelDocumentodeseguridad.
3. Visibilidaddelasmedidasdeseguridad.
Esrecomendablequeladependenciaoentidadcentraliceyresguardeunacopiadetodoslos
Documentosdeseguridadgeneradosasuinterior.
33
34
Delasseispartes delDocumentodeseguridad,nosenfocaremossloentres:lasque
mayorcomplejidadtcnicasuelenpresentar.
35
Estossonlostresapartadosqueabordaremoscon msdetallerevisandoalgunos
conceptosrelacionados.Seguramente,estossonlostemasdedondemspreguntas
saldrn.
36
37
38
39
40
41
ElapartadoBconstadeochorubrosrelativosamedidasdeseguridadtomadosdelaGua
peroenotroordenparafinesdidcticos.
42
Debernsealar
43
Ejemplo delaredaccinquesedebeutilizarenelDocumentodeseguridad:
Tiempoverbal:loquesehaimplementadoyestenoperacin.
Gradodedetalle:sinofrecerinformacinquesepuedaconvertirenvulnerabilidades.
MsejemplosenlasRecomendacionesantesmencionadas.
44
45
46
1. Laseguridadseimplementaencapas.Desdelasmslejanaalosdatospersonales
hastalamscercana.
2. Encuantoalaccesoalasinstalaciones,almenosdeberanimplementar medidasde
seguridadfsicaenestasdoscapas:permetroexteriorypermetrointerior.
47
Ejemplo delaredaccinquesedebeutilizarenelDocumentodeseguridad:
Tiempoverbal:loquesehaimplementadoyestenoperacin.
Gradodedetalle:sinofrecerinformacinquesepuedaconvertirenvulnerabilidades.
MsejemplosenlasRecomendacionesantesmencionadas.
48
49
50
Recuerdenqueelcontroldeaccesoaplicaparalaseguridadfsicaylaseguridadtcnica.
Alaizquierdadelcandadoestelejemploqueaplicaparacontroldeaccesoenlas
instalaciones(seguridadfsica).
Aladerecha,loqueaplicaraparaelciberespacio(seguridad tcnica).
51
52
53
54
55
56
57
Administracindeperfilesdeusuarioycontraseas:
Gestindeperfilesdeusuario:
Altas, bajas,cambiosydems.
Elcargooreaquienlollevaacabo.
Contraseas:
Fortaleza
Caducidad
58
59
60
EjemplodelReinoUnido:
Afinalesde2007,elgobiernodelReinoUnidoperdi3discoscompactoscondatos
personalesde25millonesdehabitantes.Incluacuentasbancariasydatosdenios
beneficiariosdeprogramasdebecas.Lasbasesdedatosnoibancifradas,slo
protegidasporcontrasea.
61
62
1. Unincidente:incendio,inundacin,robo,incursindepersonanoautorizada(en
personaopor lared)
2. Conlagestindeincidentesseuniformizanlosprocedimientosparaenfrentardichos
incidentes.
3. Seaprendemuchodelagestindeincidentes:
Cmomejorarladefensa
63
64
NoconfundirPlandecontingencia(seguridad tcnica)conBCP(seguridad
administrativa)
65
66
67
68
69
Elltimoapartado
Respectodelosmecanismosparalasupresin:sepuedeelegirlatcnicaquequieran
siempreycuandogaranticequelosdatospersonalesnopodrnserrecuperados.
Ejemplosderecuperacindedatosdesoportesfsicosyelectrnicos,andespusde
haberdestruidoelsoporte.
70
71
72