1

DeconformidadconelVigsimonovenodelosLineamientos,elDocumentode
seguridadaligualqueelrestodelainformacinrelativaalagestindelasmedidas
deseguridadenladependenciaoentidad esinformacinreservadayserdeacceso
restringido.

Respectodelasmedidasdeseguridad

Contienedescripcionesgenerales,nodetallesquesepudieranconvertiren
vulnerabilidades.

Lasmedidasdeseguridadincluidasdebenserlasqueyaestnimplementadasy
enoperacin.

Derivadodelapremisadelanecesidaddeconocerquerigetodotratamientode
datos,estedocumentoslodebenverloaquellosautorizadosparatratamientode
datospersonales.

Paracumplir:

ObligacinsealadaenelTrigsimotercerodelosLineamientosdeProteccinde
DatosPersonales.

Paracomunicarydisuadir:

Conestedocumento,seinformaalosservidorespblicosyterceros(autorizadospara
realizar tratamiento de datos personales) sus obligaciones en materia de seguridad
realizartratamientodedatospersonales)susobligacionesenmateriadeseguridad
aplicadaadatospersonales.

Comunicarlasmedidasdeseguridadimplementadastieneademselpropsitode
disuadir alosautorizadosrespectodel malusoquepudieranhacerdelosdatos
personales.

Deberdesecreto:

LosResponsablesyEncargadosqueintervenganencualquierfasedeltratamientode
lossistemasdedatospersonalesdebernguardarconfidencialidadrespectodestos,
obligacinquesubsistirduranteydespusdeltratamientodelosdatospersonales.

Deberdeseguridad:

Esundeberquecorresponde
Es
un deber que corresponde acadadependenciaoentidad,paraelcualsedebern
a cada dependencia o entidad para el cual se debern
adoptarymantenerlasmedidasdeseguridadadministrativas,fsicasytcnicas
necesariasparagarantizarlaintegridad,confidencialidadydisponibilidaddelosdatos
personales,medianteaccionesqueevitensudao,alteracin,prdida,destruccin,o
eluso,transmisinyaccesonoautorizado.Aspectos aconsiderar:

Lanaturalezaytipodedatosysucorrespondienteniveldeproteccin;

L fi lid d d l t t i t
Lasfinalidadesdeltratamiento;

Lascapacidadestcnicasyeconmicasdeladependenciaoentidad,y

Lasamenazasyvulnerabilidades.

10

CuntosyaconocenlosLineamientos?
CuntosyaleyeronlaGua?

11

Estenoesuncursodeseguridaddelainformacinperosvamosarevisarconceptosclave
paraelaborarelDocumentode seguridad.

12

1. Conestoseexplicaporqu podrnencontrar materialesqueserefierenadatos

personales utilizandounconceptoequivalentequeesinformacinpersonal.
2. Losconocimientosqueadquieran enmateriadeseguridaddelainformacin son
aplicablesaseguridaddedatospersonales.

13

14

15

Imagenpblica:
En2006,TJMaxx,unapopularcadenadetiendasdedescuentoenlosEUA,fuevctimade
unsigilosoincidentederobodeinformacinperpetradodemayo adiciembredeeseao.
Fueronextradosdatosde45millonesdetarjetasdecrditoydbitoparaserofrecidasen
elmercadonegro.

Cambilaopinin delosclientesrespectodelacadenadetiendas?

Cuntashorashombreseperdieronentrmitesparasustituirplsticosaconsecuencia
Cuntas
horas hombre se perdieron en trmites para sustituir plsticos a consecuencia
deesecaso?

AlguiendemandaTJMaxx porhabersidosujetodefraude?

16

17

18

Preguntadeexamen.
Sepresentaunincidenteenelcentrodedatos:fuegoincontrolable.Qusedebehacer
primero?
a. Rescatarelservidorprincipal.
b. Rescatarlascopiasderespaldo.
c. Evacuaralpersonal.
d. Todaslasanteriores.

19

Delasdiapositivas anteriores,seapreciaquelaseguridaddelainformacinrequierede
variasdisciplinasdelconocimientoparaarticularseentodoslosmbitosdondeserequiere
protegerdatospersonales.

20

21

22

Combinaremoselusodelenfoqueorganizativo(seguridadadministrativa,fsicaytcnica)
coneldelasmejorespracticas(oncegrupos demedidasdeseguridadcontenidasenlas
normasinternacionalesISO/IEC27001:2005y27002:2005)afindeexplicar qutemas
incluyecada unodelostiposdeseguridaddelenfoqueorganizativo.
Cabe sealarlosiguiente:
1. Laseguridadtcnicaeslaque generalmenteseentiendecomoseguridad:lacompra
einstalacindeantivirus,antispyware,firewall,ydemselementostecnolgicos.Sin
embargo,noeslonico.
2. Debidoaloselementostecnolgicosqueseimplementan,laseguridadtcnicayla
seguridadfsicarequierendeunainversinmonetariamayoraloquerequierela
seguridadadministrativa.

23

Notarnquelaseguridadadministrativaincluyemsrubrosquelaseguridadtcnicayla
seguridadfsicajuntas.Noobstante,comoensumayorparteimplicalacreacino
modificacindeprocedimientosinternos,laseguridadadministrativaesla quems
baratoresultaimplementar.

24

25

MsdetallesenlasRecomendacionessobremedidasdeseguridadaplicablesalossistemas
dedatospersonales publicadasporelIFAI.

26

27

28

Procesosugeridoquedeber adaptarsealcontextodecadadependenciaoentidad.

29

Aquserefiereunidadesadministrativasinteresadas?
Porejemplo:

Informtica

Seguridaddelainformacin(siexiste)

Recursosmaterialesoserviciosgenerales(mantenimientoyvigilancia)

Archivo

30

Resultadosdeesteejercicio:

Determinarsilaunidadadministrativahaidentificadotodossussistemasdedatos
personalesconbaseenlosLineamientosydemsnormatividadaplicable.Factoresque
intervienen:

Queelsistemacontengadatosquepermitanidentificaralapersona;

Queelsistemaseasustantivoparalasatribucionesdeladependenciaoentidad
(de conformidad con el Sexto de los Lineamientos), y
(deconformidadconelSextodelosLineamientos),y

Lomsimportante:considerarlanormatividadquefacultaaladependenciao
entidadparatratarlosdatos personales.

Determinarsilasmedidasdeseguridadimplementadassonlasquerequierenpara
garantizarlaconfidencialidad,integridadydisponibilidaddelosdatospersonalesque
custodialadependenciaoentidad.

31

32

1. Estructuraorgnicadeladependenciaoentidad:
Nmerodeunidadesadministrativas

d
d d
d
Nmerodeubicacionesolocalidadesgeogrficas
Regionesgeogrficas
2. DificultadesenladistribucindelDocumentodeseguridad.
3. Visibilidaddelasmedidasdeseguridad.
Esrecomendablequeladependenciaoentidadcentraliceyresguardeunacopiadetodoslos
Documentosdeseguridadgeneradosasuinterior.

33

34

Delasseispartes delDocumentodeseguridad,nosenfocaremossloentres:lasque
mayorcomplejidadtcnicasuelenpresentar.

35

Estossonlostresapartadosqueabordaremoscon msdetallerevisandoalgunos
conceptosrelacionados.Seguramente,estossonlostemasdedondemspreguntas
saldrn.

36

37

38

39

40

Eldiagramadearquitecturaesgeneralsinnombres deservidoresnidireccionesIP afin

deidentificarcuntascapasdeseguridadexistenantesdellegaralosdatospersonalesen
elciberespacio.

41

ElapartadoBconstadeochorubrosrelativosamedidasdeseguridadtomadosdelaGua
peroenotroordenparafinesdidcticos.

42

Debernsealar

43

Ejemplo delaredaccinquesedebeutilizarenelDocumentodeseguridad:

Tiempoverbal:loquesehaimplementadoyestenoperacin.

Gradodedetalle:sinofrecerinformacinquesepuedaconvertirenvulnerabilidades.

MsejemplosenlasRecomendacionesantesmencionadas.

44

45

46

1. Laseguridadseimplementaencapas.Desdelasmslejanaalosdatospersonales
hastalamscercana.
2. Encuantoalaccesoalasinstalaciones,almenosdeberanimplementar medidasde
seguridadfsicaenestasdoscapas:permetroexteriorypermetrointerior.

47

Ejemplo delaredaccinquesedebeutilizarenelDocumentodeseguridad:

Tiempoverbal:loquesehaimplementadoyestenoperacin.

Gradodedetalle:sinofrecerinformacinquesepuedaconvertirenvulnerabilidades.

MsejemplosenlasRecomendacionesantesmencionadas.

48

49

50

Recuerdenqueelcontroldeaccesoaplicaparalaseguridadfsicaylaseguridadtcnica.

Alaizquierdadelcandadoestelejemploqueaplicaparacontroldeaccesoenlas
instalaciones(seguridadfsica).

Aladerecha,loqueaplicaraparaelciberespacio(seguridad tcnica).

51

52

53

54

55

56

57

Administracindeperfilesdeusuarioycontraseas:

Gestindeperfilesdeusuario:

Altas, bajas,cambiosydems.

Elcargooreaquienlollevaacabo.

Contraseas:

Fortaleza

Caducidad

58

59

60

EjemplodelReinoUnido:

Afinalesde2007,elgobiernodelReinoUnidoperdi3discoscompactoscondatos
personalesde25millonesdehabitantes.Incluacuentasbancariasydatosdenios
beneficiariosdeprogramasdebecas.Lasbasesdedatosnoibancifradas,slo
protegidasporcontrasea.

61

62

1. Unincidente:incendio,inundacin,robo,incursindepersonanoautorizada(en
personaopor lared)
2. Conlagestindeincidentesseuniformizanlosprocedimientosparaenfrentardichos
incidentes.
3. Seaprendemuchodelagestindeincidentes:

Cmomejorarladefensa

Dnde implementar ms medidas de seguridad

Dndeimplementarmsmedidasdeseguridad.

63

64

NoconfundirPlandecontingencia(seguridad tcnica)conBCP(seguridad
administrativa)

65

66

67

68

69

Elltimoapartado
Respectodelosmecanismosparalasupresin:sepuedeelegirlatcnicaquequieran
siempreycuandogaranticequelosdatospersonalesnopodrnserrecuperados.

Ejemplosderecuperacindedatosdesoportesfsicosyelectrnicos,andespusde
haberdestruidoelsoporte.

70

Respectodela documentacindelas medidasdeseguridadimplementadas, hemosvisto

d
dosmodalidadesparadocumentarlas:
d lid d
d
l
Agrupacinporsistema
Lasmedidasdeseguridadimplementadasseagrupanporsistema.Porejemplo,siuna
entidadcuentacontressistemasA,ByC,suDocumentodeseguridadpuedeorganizar
lasmedidasdeseguridadabriendotresapartadosdemaneraqueelapartadodel
sistemaAincluirlasmedidasquelecorresponden;elapartadodelsistemaBlistarlas
medidasquelecorresponden;y,finalmente,elapartadodelsistemaCpresentarsus
q
p
; y,
,
p
p
medidas.
Medianteuncatlogo
Primero,todaslasmedidasdeseguridadimplementadasenladependenciaoentidad
seenumeranydescribenenuncatlogo.Seutilizaunaclave ytalvezunttulo breve
parareferenciarcadamedida.
Posteriormente,alenumerarlasmedidasdeseguridadimplementadasparacada
sistema,seutilizanlasclaves ylosttulosdelcatlogo.Assedocumentanlasmedidas
aplicablesacadasistemasinrepetirladescripcin.Desernecesario,slosetendran
quedescribirlasparticularidadesaplicables.

71

72