Documente Academic
Documente Profesional
Documente Cultură
PRESENTACIN
Autor
Empresa
Manuel Ballester
AUREN
AMIPCI, A.C.
AMIPCI, A.C.
Comentario
Falta tomar en consideracin la Norma ISO 27001:2013 , 27002:2013
En la pgina 2 se menciona lo siguientes: de modo tal que al determinar el riesgo en un escenario especfico de la organizacin, se
pueda evaluar el impacto y realizar un estimado de las medidas de seguridad necesarias para preservar la informacin personal.
Al detectar el Riesgo se debe evaluar el Impacto y la Probabilidad de que suceda.
Si bien uno de los estndares en la implementacin de sistemas de gestin de seguridad de informacin es ISO27001:2005, la realidad
es que en la versin del ISO27000:2013 ya est aqu, incluye cambios que aunque son menores incluyen de algn forma una
simplificacin en los controles por lo que sera fabuloso que antes de la publicacin definitiva, se pudiera realizar una revisin del
documento para asegurar que los controles mencionados tambin se alinean, de esta forma el IFAI se posicionara como una entidad
que emite recomendaciones que son actuales y vigentes al da de hoy, y as no quedar atrapados en el pasado, pues el ISO27000:2005
analizado se public en 2005, hace 8 aos.
La gua definitivamente es muy completa y lo suficientemente prctica para que cualquier persona pueda entender las bases de lo que
es necesario realizar para estar alineado a las recomendaciones hechas por la Ley, sin embargo todas estas recomendaciones me
parecen excesivas para aquellas micro y pequeas empresas que tambin manejan datos personales, se me viene a la mente algunos
pequeos laboratorios mdicos que con el afn de exceder las expectativas de sus clientes inocentemente suben los resultados de los
anlisis mdicos con toda la informacin personal a sitios web poco seguros que exponen los datos, para estos pequeos negocios el
establecer un programa tan completo implicara un costo excesivo. Mi sugerencia es que as como se hace la distincin del costo de
implementar un sistema de gestin en base al tamao de la compaa, asimismo el IFAI publicar una gua enfocada a aquellos micro y
pequeos negocios donde se sugieran controles bsicos para proteger la informacin. Desde mi punto de vista esto facilitara la
adopcin de las recomendaciones y reducira la apata de aquellos pequeos negocios hacia la ley.
1. El modelo est diseado para empresas que cuenten con un grado de madurez importante en temas de tecnologas de informacin.
El modelo simplemente sera altamente costoso de implementarse en la mayora de las pequeas y medianas empresas del pas y
completamente inoperante en organizaciones con un esquema de conocimiento medio-bajo en temas de tecnologas de informacin.
2. Bajo la clasificacin de riesgo propuesta al volumen de titulares, el modelo propuesto propone colocar en un grado de riesgo
relativamente bajo a las organizaciones que manejen datos personales con un volumen bajo de titulares [...].
3. Dicho lo anterior en un modelo de riesgo, el volumen de datos de titulares no implica necesariamente una disminucin del riesgo, y
cuya clasificacin en la mayora de los terceros en Mxico caeran en los supuestos de riesgo inherente medio y reforzado. Lo que
implica que la estrategia de seguridad de datos personales propuesta tendra que apegarse en gran medida a las recomendaciones
establecidas en el trabajo realizado a un riesgo alto. En cuyo caso, el costo de administracin, implementacin y seguimiento del marco,
implicara la adquisicin de tecnologa y personal capacitado que no necesariamente estara en capacidad de pago del negocio en
cuestin
4. No se encontraron apartados de concientizacin y empoderamiento de la responsabilidad dentro del personal de la organizacin.
Suponga el caso del negocio tpico con entrega a domicilio. Existe el intercambio de informacin en medios electrnicos, en el proceso
de venta, por tanto informacin de riesgo inherente medio y reforzado por la informacin de pago, pero al entregarse la misma en una
etiqueta de papel para la entrega de informacin, completamente fuera de los medios de proteccin digital y fronteras establecidas en
los modelos analizados. Ahora, el repartidor de la misma empresa, cuenta con el nombre, direccin y a la entrega del bien o servicio
adquirido, ahora cuenta con informacin patrimonial implicando lo establecido en el riesgo reforzado (Cual es la responsabilidad del
comercio vs la responsabilidad del repartidor en el cuidado de la informacin?). Recordemos que la mayor parte de fuga de informacin
es generada por los actores del negocio mismo.[...]
5. El modelo aparenta ser con un enfoque hacia el gran corporativo, y en dicho caso, el framework del estndar 2700x no es el nico
modelo actual para poder cubrir con los requerimientos establecidos dentro de la normatividad, y al mismo tiempo, para generar una
autorregulacin vlida.
Redaccin original
Redaccin propuesta
Procede/ No procede
Procede
No Procede
Procede
No Procede
No Procede
Durante la elaboracin de la Gua se tomaron en consideracin las actualizaciones que tendran en 2013 los estndares ISO 27001 y 27002, sin embargo no se inclu
su versin final en ese momento. Con su reciente publicacin oficial, se pueden integrar como referencias.
Si bien la Gua es de carcter general y por tanto el costo de implementacin es proporcional a la organizacin, es cierto que podra requerir de conocimiento especializado
se puede incrementar la seguridad de manera significativa a travs de controles de seguridad de bajo costo basados en la prevencin, cambio de hbitos y rev
En este sentido el Instituto est trabajando en herramientas como un Manual en materia de seguridad de datos personales para MIPYMES.
1. Si bien, el modelo implica un grado de madurez importante en temas de tecnologa de informacin y requiere la inversin de recursos, las Recomendaciones en materia
Recomendaciones), son un marco de referencia para dirigir y controlar el proceso de la Seguridad de Datos Personales adaptable a cualquier tipo de organizacin. No obst
como apoyo a las empresas MIPYMES, el IFAI tiene contemplada la emisin de un Manual en materia de Seguridad para MIPYMES,para que las MIPYMES" cuenten con u
con la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares, su Reglamento y las Recomendaciones.
4. La Gua para implementar un Sistema de Gestin de Seguridad de Datos Personales contiene la siguiente seccin:
Capacitacin
La mejor medida de seguridad contra posibles vulneraciones es contar con personal consciente de sus responsabilidades y deberes respecto a la proteccin de datos pers
contribucin para el logro de los objetivos del SGSDP. Por ello, se deben establecer y mantener programas de capacitacin que mantengan vigente al SGSDP como:
a) Concienciacin: programas a corto plazo para la difusin en general de la proteccin de datos personales en la organizacin;
b) Entrenamiento: programas a mediano plazo que tienen por objetivo capacitar al personal de manera especfica respecto a sus funciones y responsabilidad en el tratamie
y;
c) Educacin: programa general a largo plazo que tiene por objetivo incluir la seguridad en el tratamiento de los datos personales dentro de la cultura de la organizacin.
En ese sentido, en cuanto a su pregunta del caso planteado: Cul es la responsabilidad del comercio vs la responsabilidad del repartidor en el cuidado de la informacin?
todo momento, es de la persona que decide sobre el tratamiento de los datos personales y es quien deber establecer las polticas y procedimientos para que el personal a
consciente de su responsabilidad y conozca sus obligaciones en materia de proteccin de datos personales.
5. La Gua para implementar un Sistema de Gestin de Seguridad de Datos Personales no est basada slo en el marco del estndar 2700x, la Gua es un ejercicio de con
estndares y mejores prcticas internacionales en materia de seguridad de la informacin y privacidad, que tiene como objetivo general orientar a los responsables y encar
a travs de un proceso de mejora continua se logre la proteccin de los datos personales. Es importante sealar que la adopcin de las Recomendaciones en materia de s
de las herramientas que se derivan es de carcter voluntario, por lo que los responsables y encargados podrn decidir libremente qu modelo conviene ms aplicar en su o
datos personales y ms an para generar una autorregulacin en su negocio.
Empresa
Manuel Ballester
AUREN
Comentario
En definiciones en Riesgo se recomienda usar la definicin de ISO 31000:2009
Existe un riesgo derivado de la definicin tan amplia de lo que se debe entender como
activo, pues de acuerdo al principio de disponibilidad que se maneja en la propia gua,
dicha disponibilidad en una investigacin que realizar el Instituto o cualquier tercero al
que se encargara una auditora de los sistemas, dara lugar a una intromisin a los
recursos de la empresa sin que se establezca un lmite claro.
Csar Vallarta
Santillana Abogados.
A esta definicin le falta incluir el estado de salud pasado, para ser acorde a la
definicin de datos con riesgo inherente alto que viene en la propia Gua.
Redaccin Original
Riesgo. Combinacin de la probabilidad de un evento y su consecuencia desfavorable.
DEFINICIONES
Alta Direccin. Toda persona con poder legal de toma de decisin en las polticas de la
organizacin. Por ejemplo: la junta directiva, ejecutivos y trabajadores experimentados,
la persona a cargo del departamento de datos personales, los socios de la
organizacin, el dueo de una empresa unipersonal o quien encabeza la organizacin.
Redaccin propuesta
Es el efecto de la incertidumbre en la consecucin de los objetivos
Procede/ No procede
No Procede
No Procede
Procede
Procede
Procede
No Procede
"Riesgo Inherente", es una propiedad que hace referencia al riesgo al que estn sujetos los
datos personales por su valor, no es un concepto aplicable a todos los Activos dentro del
alcance del SGSDP.
Se modific la definicin.
Manuel Ballester
Empresa
AUREN
Comentario
Actualmente Las secciones del enfoque a procesos y la compatibilidad con otros
estndares viene de la alineacin al Anexo SL de las Directivas de ISO/ IEC Parte 1
El Modelo PDCA(PlanDoCheckAct) ya ha dejado de estar operativo
Todas las normas de sistema de gestin de la calidad (como ISO 9001, ISO 14001, ISO
27001, ISO 20000-1, ISO 22301, etc) a partir del ao 2012, ya sean normas de nueva
publicacin, o revisin de las existentes, tendrn la misma estructura comn en el
denominado Anexo SL.
Las normativas de ISOs est empanzando cambiara sus procesos de Deming por el del
Anexo SL , sera recomendable iniciar con el nuevo proceso y no despus tener que
cambiarlo.
Redaccin Original
Redaccin propuesta
Procede/ No procede
No Procede
No Procede
No Procede
Empresa
Comentario
En la tabla, el encabezado Ciclo ms bien debera ser Fase porque es uno de los
elementos del ciclo; donde dice Fase debera decir Actividad o Descripcin de la
Fase
En la columna de pasos, debera incluirse como otro paso, la identificacin del flujo del
dato, en qu etapa de la operacin se genera la informacin: generacin/obtencin,
procesamiento, intercambio, transferencia, consulta, almacenamiento, retencin,
recuperacin, disposicin final.
Telefnica Mxico
Jorge Castaeda
Sera importante incluir que en esa etapa no slo se gestionan los riesgos, sino que
tambin se identifica el tipo de dato, proceso dnde se tratamiento. Esto facilitar la
identificacin e implementacin de medidas de seguridad.
Un Sistema de Gestin de Seguridad de Datos Personales no tendra por qu tener
como objetivo mejorar el cumplimiento de la legislacin, pues sta se cumple o no se
cumple, no existe bueno, regular o mal cumplimiento que pudiera ser mejorable.
Csar Vallarta
Santillana Abogados
No existe en la gua ningn parmetro o principio que permita conocer cules son los
elementos a considerar al establecer un indicador de medicin, con lo que se crea una
incertidumbre jurdica sobre lo que es medible y cmo es que debe darse la medicin
correspondiente.
Redaccin Original
Ciclo - Fase
Redaccin propuesta
Procede/ No procede
Procede
Se cambi a una posicin vertical de la tabla la palabra Ciclo.
No es necesario un paso como tal, debido a que el procedimiento de identificacin
del flujo de datos se realiza dentro del Paso 4. Inventario de Datos Personales,
el cual debe identificar o estar vinculado con la informacin bsica que permita
conocer el tratamiento al que son sometidos los datos, y que se relaciona de
manera directa con el flujo de los datos personales:
Obtencin;
Uso:
o Acceso
o Manejo
o Aprovechamiento
o Monitoreo
o Procesamiento (incluidos los sistemas que se utilizan para tal fin)
Divulgacin:
o Remisiones
o Transferencias
Almacenamiento;
Bloqueo;
Cancelacin, supresin o destruccin.
No Procede
No Procede
Procede
Procede
Se modific la redaccin.
Se modific la redaccin.
Empresa
Redaccin Original
Redaccin propuesta
Procede/ No procede
3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 1. Establecer el Alcance y los Objetivos
Autor
Empresa
Manuel Ballester
AUREN
Comentario
No se pude obtener el alcance, los objetivos y la Poltica de gestin sin antes haber
desarrollado un inventario de datos junto un anlisis de riesgos.
tivos
Redaccin Original
Redaccin propuesta
Se sugiere le siguiente esquema
Comprender a la Organizacin
Inventario de datos Personales y de Sistemas (en el artculo 61 de RLFPDPPP refiere a
un inventario de datos y de sistemas, no solo de datos).
ASSESSMENT ( sobre la LFPDPPP)
Comprender las necesidades y expectativas de las partes interesadas
Determinar el Alcance y los Objetivos
Elaborar una Poltica de gestin de datos personales
Planificacin SGSDP
o Anlisis de Riesgos.
Evaluacin de Riesgos
Tratamiento de los Riesgos
Objetivo y plan para lograr los S.I
o Identificar las medidas de seguridad y anlisis de brechas
o Plan de ACCIN
o Recurso (Material y Humano)
o Capacidad
o Control de la Informacin documentada
Implantar la Poltica, los planes de accin y las medidas de seguridad para mitigar los
riegos
Auditoria Interna (sobre el cumplimiento del SGSDP)
Revisin por la Direccin.
No conformidades y acciones Correctivas
Mejora continua
Procede/ No procede
No Procede
3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 2. Elaborar una Poltica de Gestin de Datos Personales
Autor
Empresa
Comentario
de Datos Personales
Redaccin Original
Redaccin propuesta
Procede/ No procede
3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 3. Establecer Funciones y Obligaciones de Quienes Traten Datos Personale
Autor
Empresa
Comentario
Redaccin propuesta
Procede/ No procede
3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 4. Elaborar un Inventario de Datos Personales.
Autor
Empresa
Gerardo Castro
Vzquez
Mazars
Gabriel Sanders
Trustwave
Comentario
En la definicin de personas de alto riesgo se identifica a todos los titulares que puedan ser
reconocidos como personajes pblicos; sin embargo, el hecho de ser personajes pblicos
implica que sus datos de identificacin (mencionados en el documento) son conocidos por una
gran parte de la poblacin tanto nacional como internacional por lo que perdera sentido
resguardar su privacidad.
Para los personajes pblicos, resulta muy relevante y significativo incrementar el nivel de
riesgo inherente de los datos, de un nivel medio a un nivel alto para aquellos que permitan
conocer:
- la ubicacin fsica de la persona;
- dependientes, beneficiarios, familiares, referencias laborales, referencias personales, etc.;
- aqullos que permitan inferir el patrimonio de la persona;
- los datos de autenticacin; y
- los datos jurdicos.
Ahora bien, para aquellas personas que se encuentren relacionadas con la imparticin de
justicia y seguridad nacional y, que por la naturaleza de sus actividades sea imperativo guardar
su anonimidad o que no sean personajes pblicos, debera considerarse de riesgo inherente
reforzado cualquier dato personal.
* Clarificar que los datos sensibles (CHIP, BANDA, Tracks) solo podrn ser almacenados por
entidades como Bancos .
* Es posible que los emisores de tarjetas y las empresas que respaldan los servicios de
emisin almacenen datos confidenciales de autenticacin si existe una justificacin de negocio
y los datos se almacenan de forma segura.
PCI - Req 3.2
Por la recomendacin del IFAI, los datos que proporcionan la informacin financiera, se estn
considerando como informacin con impacto medio;sin embargo, dentro de las operaciones, si
alguien tiene acceso a sta informacin y la utiliza con dolo, se puede afectar al titular
fuertemente: historial crediticio, ingresos, bur de crdito, nmero de la tarjeta de crdito y/o
dbito; por lo que sta informacin sensible, debera estar considerada como de nivel alto. Y
sera importante reforzar que sta informacin al estar relacionada entre s, sea considerada
como datos con riesgo inherente reforzado.
Jorge Castaeda
Telefnica Mxico
Jorge Castaeda
Telefnica Mxico
Csar Vallarta
Santillana Abogados
rsonales.
Redaccin Original
"Las personas de alto riesgo son aqullas cuya profesin, oficio o condicin estn
expuestas a una mayor probabilidad de ser atacadas debido al beneficio econmico o
reputacional que sus datos personales pueden representar para un atacante. Por
ejemplo, lderes polticos, religiosos, empresariales, de opinin y cualquier otra persona
que sea considerada como personaje pblico. Asimismo, se considera a cualquier
persona cuya profesin est relacionada con la imparticin de justicia y seguridad
nacional. Tratar datos de personas de alto riesgo involucra que la base de datos
contiene nombres de figuras pblicas que pueden ser reconocidas a primera vista, as
como informacin personal donde se infiera o se relacione explcitamente con su
profesin, puesto o cargo en combinacin con datos de identificacin como nombre,
domicilio, entre otros."
Las personas de alto riesgo son aqullas cuya profesin, oficio o condicin estn
expuestas a una mayor probabilidad de ser atacadas debido al beneficio econmico o
reputacional que sus datos personales pueden representar para un atacante. Por
ejemplo, lderes polticos, religiosos, empresariales, de opinin y cualquier otra persona
que sea considerada como personaje pblico. Asimismo, se considera a cualquier
persona cuya profesin est relacionada con la imparticin de justicia y seguridad
nacional. Tratar datos de personas de alto riesgo involucra que la base de datos
contiene nombres de figuras pblicas que pueden ser reconocidas a primera vista, as
como informacin personal donde se infiera o se relacione explcitamente con su
profesin, puesto o cargo en combinacin con datos de identificacin como nombre,
domicilio, entre otros.
Las categoras antes descritas son slo una orientacin, ya que el Pleno del IFAI no ha
emitido criterios institucionales al respecto, adems de que ciertos datos personales
que en principio no se consideran sensibles, podran llegar a serlo dependiendo del
contexto en que se trate la informacin.
Redaccin propuesta
Procede/ No procede
No Procede
Los datos que se mencionan como Informacin adicional de tarjeta bancaria son
slo ejemplos de los tipos de datos que se podran asociar a la misma y que de ser
as se convertiran en Datos con riesgo inherente reforzado. No obstante, se
mencionar como ejemplo debido a que cada organizacin debe atender y cumplir
su normativa aplicable en cuanto al tratamiento de la informacin que posee.
Procede
Procede
Las categoras descritas son slo una orientacin. Se reduce la clasificacin a tres niveles
bsico, alto y reforzado. Ver cambios en la versin final de la Gua.
Se reduce la clasificacin a tres niveles bsico, alto y reforzado. Ver cambios en la versin
final de la Gua.
3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 5. Realizar el Anlisis de Riesgo de los Datos Personales.
Autor
Empresa
Gerardo Castro
Mazars
Jorge Castaeda
Telefnica Mxico
Comentario
En el prrafo sobra una preposicin en el ltimo rengln.
Csar Vallarta
Csar Vallarta
Santillana Abogados
Criterios de impacto. Se definen en trminos del posible nivel de dao y perjuicio al titular
causado por un evento negativo a la seguridad de los datos personales, considerando:
El valor de los datos para la organizacin
El incumplimiento con las obligaciones legales y contractuales relacionadas con el titular
Vulneraciones de seguridad (art. 63 del reglamento)
Dao a la integridad de los titulares de datos personales
Dao a la reputacin de la organizacin.
Redaccin propuesta
Los criterios de aceptacin del riesgo pueden incluir requerimientos para una gestin
futura, por ejemplo, un riesgo puede ser aceptado si hay aprobacin y el compromiso
de
la Alta Direccin para tomar acciones que permitan reducirlo a un nivel aceptable
dentro
de un periodo definido ms adelante.
Procede/ No procede
Procede
Procede
No Procede
No Procede
Se reduce la clasificacin a tres niveles bsico, alto y reforzado. Ver cambios en la versin
final de la Gua.
3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 6. Identificacin de las medidas de seguridad y Anlisis de Brecha.
Autor
Jorge Castaeda
Empresa
Telefnica Mxico
Comentario
En el prrafo de la pgina 24, en el paso 6, se hace referencia a seleccionar las
medidas de seguridad, se indica cmo se clasifican en general y sugieren que una vez
identificados los activos y procesos, se realice un anlisis de brecha para detectar
medidas de seguridad existentes, las que operan correctamente, cules estn faltando
y cules son las nuevas que se requieren; y que se seleccionen del anexo D.
Sin embargo, al revisar el resumen o sntesis indicado en la pgina 37, punto 4.
Sntesis de la Implementacin del SGSDP, en el paso 6, no slo indican que se realice
la evaluacin de las medidas de seguridad, sino que adems se indica que se
consideren los controles de seguridad de los diferentes dominios pero la estructura y
redaccin no coincide con lo descrito en la pgina 24.
Adems de que el paso6, contiene una vieta adicional y est fuera del margen de la
Fase ; esto, considerando que es parte de la Fase 1.
Redaccin propuesta
Se modific la redaccin:
Con base en el anlisis de riesgos se debern seleccionar e implementar las
medidas de seguridad administrativas, tcnicas o fsicas que permitan disminuir los
riesgos, y podrn ser seleccionadas del listado mostrado en el Anexo D. Dichos
controles de seguridad se han agrupado en 10 dominios principales que son:
1. Polticas del SGSDP
2. Cumplimiento legal
3. Estructura organizacional de la seguridad
4. Clasificacin y acceso a los activos
5. Seguridad del personal
6. Vulneraciones de Seguridad
7. Seguridad fsica y ambiental
8. Gestin de comunicaciones y operaciones
9. Control de acceso
10. Desarrollo y mantenimiento de sistemas.
Procede/ No procede
Procede
3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 2. Implementar y Operar el SGSDP
Autor
Empresa
Comentario
SGSDP
Redaccin Original
Redaccin propuesta
Procede/ No procede
3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 2 - PASO 7. Implementacin de las Medidas de Seguridad Aplicables a los Datos Pers
Autor
Empresa
Asociacin de Seguridad
Informtica Mexicana (ASIMX)
Csar Vallarta
Santillana Abogados
ATOS PERSONALES - FASE 2 - PASO 7. Implementacin de las Medidas de Seguridad Aplicables a los Datos Personales
Comentario
Sugiero se establezca clara y explcitamente un proceso de Monitorizacin de los
componentes arquitectnicos de la infraestructura: redes (externas, interna, dmz,
inalmbricas), protocolos, servicios, y aplicaciones
Compartir el riesgo es involucrar al departamento legal para que valide que los contratos
establecidos entre las partes realmente compartan el riesgo y por ente las
consecuencias. Por lo general un proveedor de servicios en la nube no comparte el
riesgo, al contrario dependiendo del modelo de consumo (IaaS,PaaS, SaaS) se
comparten las responsabilidades, por lo que se debe poner especial atencin en evaluar
al proveedor antes de compartir datos con el afn de compartir el riesgo. Por otro lado
en el ISO27002:2013 a diferencia del 27002:2005 el control asociado a la identificacin
de riesgo relacionados a terceros (A.6.2.1) fue removido por considerarse como
requerimiento en la evaluacin de riesgo/tratamiento de riesgo en el ISO27001.
Compartir el Riesgo
Implica tomar la decisin de compartir el riesgo con un prestador de servicio que pueda
gestionarlo, es decir, un tercero interviene para mitigar los posibles efectos de un riesgo
por ejemplo, al contratar un seguro o un proveedor que administre la seguridad de la
organizacin.
Cabe mencionar que cuando una organizacin comparte un riesgo no deja de ser
responsable por la proteccin de los datos personales, adems, es importante que se
considere que involucrar a un nuevo actor en los procesos de la organizacin siempre
representa un riesgo que debe ser analizado.
Redaccin propuesta
.
Procede/ No procede
Procede
No Procede
No Procede
No Procede
La nocin de Compartir el riesgo implica habilitar determinadas operaciones y procesos de la organizacin, dentro de los
alcances de la LFPDPPP, no se pueden transferir la responsabilidades legales, por ejemplo los deberes derivados de una
vulneracin. Queda en manos del Responsable que las contrataciones que se hagan se apeguen a los alcances y objetivos
establecidos para la proteccin de datos.
Los comits tienen por objetivo analizar y comunicar el estado del riesgo, y queda a discrecin de la organizacin, crearlos
considerando los roles y responsabilidades definidos, por lo que no es necesario remitir a la ley.
3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 3. Monitorear y Revisar el SGSDP
Autor
Empresa
Asociacin de Seguridad
Informtica Mexicana (ASIMX)
Redaccin Original
Redaccin propuesta
Procede/ No procede
Procede
3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 3 - PASO 8. Revisiones y Auditora.
Autor
Empresa
Csar Vallarta
Santillana Abogados
Redaccin Original
Notificacin de la vulneracin. Una vez identificada la vulneracin, sta se debe
comunicar a los titulares de los datos personales para que puedan tomar medidas que
mitiguen o eviten una posible afectacin.
Dependiendo del riesgo que implique para los titulares, la notificacin de una
vulneracin puede ser a travs de medios masivos como un anuncio en su pgina web,
peridico, radio y televisin o bien, de manera personalizada.
Redaccin propuesta
Procede/ No procede
No Procede
Empresa
Comentario
Redaccin Original
Redaccin propuesta
Procede/ No procede
3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 4 - PASO 9. Mejora Continua y Capacitacin.
Autor
Empresa
Redaccin Original
Redaccin propuesta
Procede/ No procede
No Procede
Empresa
Asociacin de Seguridad
Informtica Mexicana (ASIMX)
Comentario
Sugiero se establezca clara y explcitamente un proceso de Monitorizacin de los
componentes arquitectnicos de la infraestructura: redes (externas, interna, dmz,
inalmbricas), protocolos, servicios, y aplicaciones.
Redaccin original
Redaccin propuesta
Procede/ No procede
No Procede
No Procede
Gestin de comunicaciones y operaciones es un dominio que contempla 19 controles, relacionados con la "gestin de las
comunicaciones y operaciones" y la "seguridad en las operaciones", especificados en la ISO 27001:2005, esto con el fin de
unificar para los responsables los controles con caractersticas similares.
Tabla Comparativa
Autor
Empresa
Manuel Ballester
AUREN
Gerardo Castro
Mazars
Comentario
En lo que respecta en la tabla comparativa entre el captulo III del Reglamento de la LFPDPPP y la Gua conforme al
artculo 58 RLFPDPPP sobre vulneraciones de seguridad, el adoptar una SGSDP no ayuda a cumplir con la disposicin,
se necesita una proceso de atencin a vulnerabilidad y un registros de posibles soluciones de incidentes para dar
respuesta al titular.
Sobre el Articulo 60 , no se cumple con la disposicin con solo hacer un anlisis de riesgos, se debe de tener un
inventarios de datos y sistemas , alienado con un anlisis de riesgos , y elaborar una poltica de seguridad considerando
los elementos que marca el artculo 60 del RLFPDPPP.
Sobre la fraccin VI del artculo 60 del RLFPDPPP al implementar las medidas de seguridad no se cumple con lo
dispuesto, si no se debe de elaborar un plan de accin para implementar las medidas de seguridad y las actividades que
surjan de las brechas.
Se debera de mencionar en la Gua en qu momento se puede hacer una actualizacin de la poltica de seguridad y de
sus medidas de seguridad conforme a lo que menciona el artculo 62 del RLFPDPPP.
Sobre el artculo 63 del RLFPDPPP vulneracin de seguridad, no se debe de considerar el anlisis de riesgos ya que e
anlisis de riesgos es para detectar amenazas y la auditoria nos ayudara a detectar las vulnerabilidad que existen en la
empresa.
En la parte de notificar al titular la vulnerabilidad que surgiera, no es una mejora continua , es una actividad conllevada de
un procedimiento de incidentes.
La mejora continua es un conjunto de planes accin para mejorar el SGSDP y aumentar la madurez de la compaa.
En el documento se expone que la relacin entre el Artculo 60 del Reglamento y las Recomendaciones, se encuentra en:
Paso 5. Realizar el Anlisis de Riesgo de los Datos Personales
Factores para Determinar las Medidas de Seguridad
Sin embargo, esto limitara el alcance a la definicin de las posibles medidas de seguridad aplicables sin haber realizado
una valoracin del riesgo; es decir, considerando el riesgo inherente hacia la privacidad y/o seguridad de los datos sin
tomar en cuenta los controles que la organizacin tendra implementados y sin valorar la probabilidad e impacto de los
riesgos en el entorno de la organizacin. En consecuencia, podran considerarse medidas de seguridad
desproporcionadas, con una incorrecta prioridad e incluso sin un balance entre costo y beneficio.
En el documento se expone que la relacin entre la Fraccin IX del Artculo 61 del Reglamento y las Recomendaciones,
se encuentra en:
Paso 5. Realizar el Anlisis de Riesgo de los Datos Personales
Sin embargo, se considera que existe una relacin ms estrecha entre las actividades del Paso 4 Elaborar un Inventario
de Datos Personales con la citada fraccin Fraccin IX. Realizar un registro de los medios de almacenamiento de los
datos personales.
Redaccin original
Redaccin propuesta
Procede/ No procede
No Procede
No Procede
No Procede
No Procede
No Procede
No Procede
No Procede
No Procede
No Procede
En trminos de lo dispuesto en el artculo 65, fraccin III de la Ley, en los casos en que ocurra una
vulneracin a la seguridad de los datos personales, el Instituto podr tomar en consideracin el
cumplimiento de sus recomendaciones para determinar la atenuacin de la sancin que
corresponda. En este caso la RECOMENDACIN GENERAL del IFAI es la adopcin de un
Sistema de Gestin de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA.
Por otro lado, el Paso 8 Revisiones y Auditora, incluye una seccin de Vulneraciones a la
Seguridad de la Informacin, donde se mencionan las directrices mnimas que tienen los
Responsables con los Titulares en el marco de la LFPDPPP.
El alcance del artculo 60 contempla slo la identificacin de los factores para determinar las
medidas de seguridad, que se puede relacionar con el anlisis de contexto de cualquier
metodologa de anlisis de riesgo. En la Fraccin III del artculo 61, donde se habla de las Acciones
para la seguridad de los datos personales, ya se considera el Anlisis de Riesgo de los Datos
Personales, que implica tanto los Factores para Determinar las Medidas de Seguridad como la
Valoracin respecto al Riesgo, cubiertos en el Paso 5.
Despus, en el Paso 6 se realiza la Identificacin de las medidas de seguridad y anlisis de
brecha para posteriormente elaborar un plan de trabajo conforme a lo establecido en el Paso 7.
El alcance del artculo 60 contempla slo la identificacin de los factores para determinar las
medidas de seguridad. En la Fraccin III del artculo 61, donde se habla de las Acciones para la
seguridad de los datos personales, ya se considera el Anlisis de Riesgo de los Datos
Personales el cual relaciona los factores que se requieren para la valoracin respecto al
riesgo, y as implementar y mantener las medidas de seguridad como se describe en el Paso
5.
Empresa
Comentario
Redaccin original
Redaccin propuesta
Procede/ No procede
Empresa
Comentario
Agregar en posibles consecuencias:
- Robo de informacin
- Alteracin de los sistemas
Terrorista:
Agregar en posibles consecuencias:
- Ataque a instalaciones y/o personas
Jorge Castaeda
Dao Fsico:
Agregar en amenazas
Telefnica Mxico - Incendio
- Humedad, goteras, a que se refieren?
- A que se refieren con accidentes mayores?
- Destruccin de medios y equipos De que tipo, de almacenamiento?
Eventos naturales:
Revisar lo siguiente en la columna de Amenaza
- Cules son ejemplos de fenmenos climticos y cuales meteorolgicos?
- Una inundacin no es un evento natural, es consecuencia de alguno.
Redaccin original
Redaccin propuesta
Acceso no autorizado al sistema
Ingeniera social
Intrusin en los sistemas
Robo de informacin
Procede/ No procede
Procede
Procede
Procede
Procede
Empresa
Asociacin de Seguridad
Informtica Mexicana (ASIMX)
Comentario
Sugiere se agregue esta porcin de la tabla. El contar con un proceso de
monitorizacin mejora y permite la deteccin en varios del casos mencionados en la
tabla.
Hardware:
Revisar lo siguiente en la columna de Ejemplos de vulnerabilidades:
- Falta de cuidado en la destruccin de soportes electrnicos
- Se sugiere cambiar por - Destruccin no realizada completamente
Software:
Revisar lo siguiente en la columna de Ejemplos de vulnerabilidades:
- Carencia o falta de pruebas al software y su configuracin. Se sugiere cambiar por
Software liberado sin haberlo probado o con pruebas insuficientes.
Revisar lo siguiente en la columna de Ejemplos de amenazas:
- En el mismo rubro de la columna anterior se sugiere cambiar por Error en el
funcionamiento de la aplicacin.
Software:
En el rubro de Falta de actualizaciones de seguridad en software, en la columna de
ejemplos de amenazas se sugiere cambiar por Ataques cibernticos exitosos.
Jorge Castaeda
Telefnica Mxico
Software:
En el rubro Copiado incontrolado de informacin no queda claro esta vulnerabilidad,
ya que si as fuera, la amenaza sera Acceso libre a los sistemas.
Organizacin:
En el rubro Falta de procedimientos formales de monitoreo y/o auditora en la columna
de ejemplos de amenazas se sugiere cambiar por Cualquier evento que tenga acceso
a la informacin, ya que no hay un monitoreo.
Organizacin:
En el rubro Falta o ausencia de reportes de fallas en la columna de ejemplos de
amenazas se sugiere cambiar por Repeticin de incidentes o problemas pasados.
Organizacin:
En el rubro Falta o insuficiencia de polticas de escritorio limpio en la columna de
ejemplos de amenazas se sugiere cambiar por Robo de documentos y/o informacin
electrnica.
Organizacin:
En el rubro Falta de mecanismos de monitoreo para vulneraciones a la seguridad de
los datos en la columna de ejemplos de amenazas se sugiere cambiar por
Intrusiones no vigiladas.
Redaccin original
Redaccin propuesta
Procede/ No procede
Procede
01-Tabla-Anexo C.docx
No Procede
Procede
No Procede
Procede
No Procede
Reincidencia de problemas
Procede
No Procede
Procede
Los ejemplos que se presentan en la tabla son los ms comunes, en este caso para el software, una amenaza
ms comn es: Abuso de privilegios por parte de los usuarios, que Ataques cibernticos exitosos.
Existen diversos riesgos no identificados y no slo los relacionados con acceso a la informacin.
El robo de documentos y/o informacin electrnica es la posible vulneracin o consecuencia debido a por
ejemplo, un acceso no autorizado a los sistemas (amenaza).
Empresa
Comentario
Asociacin de Seguridad
Sugiere se agregue esta porcin de la tabla.
Informtica Mexicana (ASIMX)
Revisar la tabla y quitar los encabezados que indican Controles de Seguridad, para
evitar confusiones al leer la continuacin de la informacin en la siguiente pgina.
Cumplimiento legal:
Objetivo de Control. Identificacin de legislacin/regulacin aplicable
Separar la palabra documentarlos, debe decir documentar_los.
Objetivo de Control. Salvaguarda de registros organizacionales
Sera recomendable incluir que la LFPDPPP, no establece un perodo para el resguardo
de los registros; sin embargo, es necesario contar conla documentacin que de soporte
al consentimiento tctio o expreso del titular.
Objetivo de control. Prevencin del mal uso de activos de informacin.
Sera recomendable incluir los activos de informacin fsicos porque solamente se
mencionan los activos electrnicos.
Objetivo de control. Recoleccin de evidencia.
Sera recomendable definir cules son las mejores prcticas, ya que ste documento es
una gua.para orientar sobre cules son los controles que pueden apoyar a
implementar el SGSDP.
Estructura Organizacional:
Sera recomendable revisar este tema a profundidad, ya que el enfoque de cada
objetivo de control no lleva una secuencia o una implicacin sobre la organizacin; se
estn definiendo actividades o funciones que deberan estar definidas dentro de una
poltica, en esta seccin se debera considerar un Organigrama que incluya la definicin
de roles, responsabilidades y funciones.
Y respecto a la revisin de terceros, sera recomendable incluirla como una funcin o
una responsabilidad sobre algn rol para que se verifique, el tema de contratos de
Proveedores de Servicio, Servicio en la nube; etc. E incluir los ejemplos claros sobre lo
que se tiene que revisar.
Jorge Castaeda
Telefnica Mxico
Jorge Castaeda
Telefnica Mxico
Gestin de comunicaciones y operaciones:
Objetivo de Control. Seguridad de correo electrnico
Sera conveniente incluir la seguridad, para el monitoreo o bloqueo de informacin
clasificada con datos personales y evitar una fuga de informacin; teniendo
identificados aquellos usuarios que tienen autorizacin de compartir informacin a otros
clientes de correo ajenos a la empresa, considerando que hay muchos servicios
gratuitos en la nube.
Se puede integrar con el objetivo de control de Almacenamiento privado|dentro del
entorno de operacin, ya que ambas interactan para proteger la informacin de datos
personales.
Gestin de comunicaciones y operaciones:
Objetivo de control. Seguridad en sistemas electrnicos.
Sera conveniente incluir lo relacionado a los accesos para facilitar el monitoreo y
registrar los usuarios y las actividades e identificar quin es el personal responsable de
dar tratamiento a esa informacin.
Control de acceso:
Objetivo de control. Gestin de Privilegios; Revisin de derechos de usuarios
Sera conveniente incluir en esta descripcin,que los privilegios van en funcin de los
roles y responsabilidades de cada usuario, delimitando perfectamente que puede hacer
cada uno: acceso total, lectura, escritura, borrado.
Control de acceso:
Objetivo de control. Uso de contraseas; Gestin de usuarios y contraseas.
Ambos temas se pueden incluir como un solo objetivo de control, ya que interactan
estrechamente en su implementacin y cumplimiento.
Vulneraciones de seguridad:
Sera conveniente integrar todos los objetivos de control relacionados a manejo de
incidentes o vulnerabilidades, y dejarlo como un solo rubro, que establezca todos los
temas que deben considerar estos requisitos; integrar una lista que permita identificar
dnde pueden existir incidentes o vulnerabilidades y que consolide todo lo que se debe
de cumplir; o en su defecto, hacer referencia a todos los puntos de control aplicables.
Redaccin original
Cifrado:
Deben existir reglas que definan el uso de cifrado en comunicaciones y/o
almacenamiento, as como de los controles y tipos de cifrado a implementar.
Se debe identificar la sensibilidad de los datos y el nivel de proteccin necesario para
aplicar el cifrado correspondiente, en almacenamiento y/o transferencia de informacin
Redaccin propuesta
Procede/ No procede
Procede
01-Tabla-Anexo D.docx
No Procede
Procede
Procede
No Procede
Procede
Procede
Procede
Procede
No Procede
Procede
No Procede
No Procede
Procede
Procede
No Procede
Procede
En Identificacin de Activos del Paso 5 se incluye una nota tcnica donde se mencionan mecanismos para
disminuir el nivel de riesgo, tales como disociacin: se aislan los datos de manera que por si mismos no
aporten informacin valiosa de un titular o ste no pueda ser identificable. El enmascaramiento de los datos
es un control especfico de la disociacin que podra implicar tecnologa especial.
Se modific la tabla.
Se modific la redaccin.
En cuanto a la Documentacin del SGSDP se movi al objetivo de control "Polticas del SGSDP".
No es viable integrar este control con el de Almacenamiento privado debido al cambio en la redaccin
original.
Se modific la redaccin.
En Identificacin de Activos del Paso 5 se incluye una nota tcnica donde se mencionan mecanismos para
disminuir el nivel de riesgo, tales como disociacin: se aslan los datos de manera que por si mismos no
aporten informacin valiosa de un titular o ste no pueda ser identificable. El enmascaramiento de los datos
es un control especfico de la disociacin que podra implicar tecnologa especial.
En el paso 3 se establecen las condiciones bajo las cuales una organizacin debera establecer funciones y
obligaciones. El objetivo de control Estructura Organizacional ya contempla un control de Designacin de
deberes en seguridad y proteccin de datos personales. Finalmente, respecto a las revisiones con terceros
se contemplan los controles de Revisin de Implementacin, Identificacin de riesgos de terceros,
Requerimientos de seguridad en contratos con terceros y Requerimientos de seguridad en contratos con
servicios de almacenamiento de informacin y cmputo en la nube.
El comentario de este control se responde con los objetivos de control: Segregacin de tareas y Separacin
del rea de desarrollo de sistemas de datos personales.