1.

PRESENTACIN
Autor

Empresa

Manuel Ballester

AUREN

Ing. Leonel Navarro, PMP,

CISSP

AMIPCI, A.C.

AMIPCI, A.C.

Comentario
Falta tomar en consideracin la Norma ISO 27001:2013 , 27002:2013

En la pgina 2 se menciona lo siguientes: de modo tal que al determinar el riesgo en un escenario especfico de la organizacin, se
pueda evaluar el impacto y realizar un estimado de las medidas de seguridad necesarias para preservar la informacin personal.
Al detectar el Riesgo se debe evaluar el Impacto y la Probabilidad de que suceda.

Si bien uno de los estndares en la implementacin de sistemas de gestin de seguridad de informacin es ISO27001:2005, la realidad
es que en la versin del ISO27000:2013 ya est aqu, incluye cambios que aunque son menores incluyen de algn forma una
simplificacin en los controles por lo que sera fabuloso que antes de la publicacin definitiva, se pudiera realizar una revisin del
documento para asegurar que los controles mencionados tambin se alinean, de esta forma el IFAI se posicionara como una entidad
que emite recomendaciones que son actuales y vigentes al da de hoy, y as no quedar atrapados en el pasado, pues el ISO27000:2005
analizado se public en 2005, hace 8 aos.

La gua definitivamente es muy completa y lo suficientemente prctica para que cualquier persona pueda entender las bases de lo que
es necesario realizar para estar alineado a las recomendaciones hechas por la Ley, sin embargo todas estas recomendaciones me
parecen excesivas para aquellas micro y pequeas empresas que tambin manejan datos personales, se me viene a la mente algunos
pequeos laboratorios mdicos que con el afn de exceder las expectativas de sus clientes inocentemente suben los resultados de los
anlisis mdicos con toda la informacin personal a sitios web poco seguros que exponen los datos, para estos pequeos negocios el
establecer un programa tan completo implicara un costo excesivo. Mi sugerencia es que as como se hace la distincin del costo de
implementar un sistema de gestin en base al tamao de la compaa, asimismo el IFAI publicar una gua enfocada a aquellos micro y
pequeos negocios donde se sugieran controles bsicos para proteger la informacin. Desde mi punto de vista esto facilitara la
adopcin de las recomendaciones y reducira la apata de aquellos pequeos negocios hacia la ley.

1. El modelo est diseado para empresas que cuenten con un grado de madurez importante en temas de tecnologas de informacin.
El modelo simplemente sera altamente costoso de implementarse en la mayora de las pequeas y medianas empresas del pas y
completamente inoperante en organizaciones con un esquema de conocimiento medio-bajo en temas de tecnologas de informacin.
2. Bajo la clasificacin de riesgo propuesta al volumen de titulares, el modelo propuesto propone colocar en un grado de riesgo
relativamente bajo a las organizaciones que manejen datos personales con un volumen bajo de titulares [...].
3. Dicho lo anterior en un modelo de riesgo, el volumen de datos de titulares no implica necesariamente una disminucin del riesgo, y
cuya clasificacin en la mayora de los terceros en Mxico caeran en los supuestos de riesgo inherente medio y reforzado. Lo que
implica que la estrategia de seguridad de datos personales propuesta tendra que apegarse en gran medida a las recomendaciones
establecidas en el trabajo realizado a un riesgo alto. En cuyo caso, el costo de administracin, implementacin y seguimiento del marco,
implicara la adquisicin de tecnologa y personal capacitado que no necesariamente estara en capacidad de pago del negocio en
cuestin
4. No se encontraron apartados de concientizacin y empoderamiento de la responsabilidad dentro del personal de la organizacin.
Suponga el caso del negocio tpico con entrega a domicilio. Existe el intercambio de informacin en medios electrnicos, en el proceso
de venta, por tanto informacin de riesgo inherente medio y reforzado por la informacin de pago, pero al entregarse la misma en una
etiqueta de papel para la entrega de informacin, completamente fuera de los medios de proteccin digital y fronteras establecidas en
los modelos analizados. Ahora, el repartidor de la misma empresa, cuenta con el nombre, direccin y a la entrega del bien o servicio
adquirido, ahora cuenta con informacin patrimonial implicando lo establecido en el riesgo reforzado (Cual es la responsabilidad del
comercio vs la responsabilidad del repartidor en el cuidado de la informacin?). Recordemos que la mayor parte de fuga de informacin
es generada por los actores del negocio mismo.[...]
5. El modelo aparenta ser con un enfoque hacia el gran corporativo, y en dicho caso, el framework del estndar 2700x no es el nico
modelo actual para poder cubrir con los requerimientos establecidos dentro de la normatividad, y al mismo tiempo, para generar una
autorregulacin vlida.

Redaccin original

Redaccin propuesta

Procede/ No procede

Procede

No Procede

Procede

No Procede

No Procede

Observaciones IFAI y/o acciones a tomar

Durante la elaboracin de la Gua se tomaron en consideracin las actualizaciones que tendran en 2013 los estndares ISO 27001 y 27002, sin embargo no se inclu
su versin final en ese momento. Con su reciente publicacin oficial, se pueden integrar como referencias.

En el mismo prrafo citado se puede leer:

"Esta gua se basa en la seguridad a travs de la gestin del riesgo de los datos personales, entendindose de forma general al riesgo como una combinacin de la p
y de sus consecuencias desfavorables de modo tal que al determinar el riesgo en un escenario especfico de la organizacin, se pueda evaluar el impacto y reali
seguridad necesarias para preservar la informacin personal."
Es decir, se define al riesgo como una combinacin de la probabilidad de que un incidente ocurra y su impacto.

Durante la elaboracin de la Gua se tomaron en consideracin las actualizaciones que tendran en 2013 los estndares ISO 27001 y 27002, sin embargo no se inclu
su versin final en ese momento. Con su reciente publicacin oficial, se pueden integrar como referencias.

Si bien la Gua es de carcter general y por tanto el costo de implementacin es proporcional a la organizacin, es cierto que podra requerir de conocimiento especializado
se puede incrementar la seguridad de manera significativa a travs de controles de seguridad de bajo costo basados en la prevencin, cambio de hbitos y rev
En este sentido el Instituto est trabajando en herramientas como un Manual en materia de seguridad de datos personales para MIPYMES.

1. Si bien, el modelo implica un grado de madurez importante en temas de tecnologa de informacin y requiere la inversin de recursos, las Recomendaciones en materia
Recomendaciones), son un marco de referencia para dirigir y controlar el proceso de la Seguridad de Datos Personales adaptable a cualquier tipo de organizacin. No obst
como apoyo a las empresas MIPYMES, el IFAI tiene contemplada la emisin de un Manual en materia de Seguridad para MIPYMES,para que las MIPYMES" cuenten con u
con la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares, su Reglamento y las Recomendaciones.
4. La Gua para implementar un Sistema de Gestin de Seguridad de Datos Personales contiene la siguiente seccin:
Capacitacin
La mejor medida de seguridad contra posibles vulneraciones es contar con personal consciente de sus responsabilidades y deberes respecto a la proteccin de datos pers
contribucin para el logro de los objetivos del SGSDP. Por ello, se deben establecer y mantener programas de capacitacin que mantengan vigente al SGSDP como:
a) Concienciacin: programas a corto plazo para la difusin en general de la proteccin de datos personales en la organizacin;
b) Entrenamiento: programas a mediano plazo que tienen por objetivo capacitar al personal de manera especfica respecto a sus funciones y responsabilidad en el tratamie
y;
c) Educacin: programa general a largo plazo que tiene por objetivo incluir la seguridad en el tratamiento de los datos personales dentro de la cultura de la organizacin.
En ese sentido, en cuanto a su pregunta del caso planteado: Cul es la responsabilidad del comercio vs la responsabilidad del repartidor en el cuidado de la informacin?
todo momento, es de la persona que decide sobre el tratamiento de los datos personales y es quien deber establecer las polticas y procedimientos para que el personal a
consciente de su responsabilidad y conozca sus obligaciones en materia de proteccin de datos personales.
5. La Gua para implementar un Sistema de Gestin de Seguridad de Datos Personales no est basada slo en el marco del estndar 2700x, la Gua es un ejercicio de con
estndares y mejores prcticas internacionales en materia de seguridad de la informacin y privacidad, que tiene como objetivo general orientar a los responsables y encar
a travs de un proceso de mejora continua se logre la proteccin de los datos personales. Es importante sealar que la adopcin de las Recomendaciones en materia de s
de las herramientas que se derivan es de carcter voluntario, por lo que los responsables y encargados podrn decidir libremente qu modelo conviene ms aplicar en su o
datos personales y ms an para generar una autorregulacin en su negocio.

2. SISTEMA DE GESTIN DE SEGURIDAD DE DATOS PERSONALES. - 2.1 Definiciones

Autor

Empresa

Manuel Ballester

AUREN

Comentario
En definiciones en Riesgo se recomienda usar la definicin de ISO 31000:2009

En definiciones falta la definicin de Riesgos inherente

Se considera que la definicin de personal de Alta Direccin de las empresas es muy

ambiguo y se contrapone con el concepto que se plantea en la propia gua respecto a
los que denomina tomadores de decisin:
Tomadores de decisin. Son aqullos con responsabilidad funcional sobre los activos
de informacin y de soporte como: los custodios o responsables de los activos
primarios, administradores de la organizacin, responsables de un proceso o de un
proyecto en especfico.
La contingencia redundara en que en el flujo de tratamiento y manejo de datos
personales no quedara clara la responsabilidad entre un tomador dedecisin de la
empresa y un tomador de decisin relacionado con el manejo de datos personales.

Existe un riesgo derivado de la definicin tan amplia de lo que se debe entender como
activo, pues de acuerdo al principio de disponibilidad que se maneja en la propia gua,
dicha disponibilidad en una investigacin que realizar el Instituto o cualquier tercero al
que se encargara una auditora de los sistemas, dara lugar a una intromisin a los
recursos de la empresa sin que se establezca un lmite claro.

Csar Vallarta

Santillana Abogados.

A esta definicin le falta incluir el estado de salud pasado, para ser acorde a la
definicin de datos con riesgo inherente alto que viene en la propia Gua.

En el apartado de definiciones, debera incluirse el significado de la locucin anlisis

de brecha, pues se trata de un elemento que es multicitado y referenciado en la Gua.
Se propone que se establezca la definicin en el apartado respectivo, que se contiene
en el texto de la gua:
El anlisis de brecha consiste en identificar:
Las medidas de seguridad existentes
Las medidas de seguridad existentes que operan correctamente
Las medidas de seguridad faltantes
Si existen nuevas medidas de seguridad que puedan remplazar a uno o ms controles
implementados actualmente.
Proporcionndole una redaccin general.

Redaccin Original
Riesgo. Combinacin de la probabilidad de un evento y su consecuencia desfavorable.

DEFINICIONES
Alta Direccin. Toda persona con poder legal de toma de decisin en las polticas de la
organizacin. Por ejemplo: la junta directiva, ejecutivos y trabajadores experimentados,
la persona a cargo del departamento de datos personales, los socios de la
organizacin, el dueo de una empresa unipersonal o quien encabeza la organizacin.

Disponibilidad. Propiedad de un activo para ser accesible y utilizable cuando lo requiera

una entidad autorizada.
(Activo. La informacin, el conocimiento sobre los procesos, el personal, hardware,
software y cualquier otro recurso involucrado en el tratamiento de los datos personales,
que tenga valor para la organizacin.)

Datos personales sensibles. Aquellos datos personales que afecten a la esfera ms

ntima de su titular, o cuya utilizacin indebida pueda dar origen a discriminacin o
conlleve un riesgo grave para ste. En particular, se consideran sensibles aqullos que
puedan revelar aspectos como origen racial o tnico, estado de salud presente y futuro,
informacin gentica, creencias religiosas, filosficas y morales, afiliacin sindical,
opiniones polticas, preferencia sexual.

Redaccin propuesta
Es el efecto de la incertidumbre en la consecucin de los objetivos

Procede/ No procede

No Procede

No Procede

Procede

Disponibilidad. Propiedad de un activo para ser accesible y utilizable cuando lo

requieran personas, entidades o procesos autorizados.

Procede

Datos personales sensibles. Aquellos datos personales que afecten a la esfera

ms ntima de su titular, o cuya utilizacin indebida pueda dar origen a
discriminacin o conlleve un riesgo grave para ste. En particular, se consideran
sensibles aqullos que puedan revelar aspectos como origen racial o tnico,
estado de salud pasado, presente y futuro, informacin gentica, creencias
religiosas, filosficas y morales, afiliacin sindical, opiniones polticas, preferencia
sexual.

Procede

No Procede

Observaciones IFAI y/o acciones a tomar

La definicin de ISO 31000 por s misma es muy general y requiere la aclaracin de
conceptos como "incertidumbre" y "consecucin de los objetivos", los cuales son menos
intuitivos y para el alcance del documento equivale a "probabilidad de un evento" y
"consecuencias desfavorables", respectivamente.

"Riesgo Inherente", es una propiedad que hace referencia al riesgo al que estn sujetos los
datos personales por su valor, no es un concepto aplicable a todos los Activos dentro del
alcance del SGSDP.

Se modific la definicin de tomadores de decisin por:

Son aqullos con responsabilidad funcional sobre los activos como: los responsables del
departamento de datos, administradores de sistemas, responsables de un proceso o de un
proyecto en especfico.

Se modific la definicin para evitar confusin.

Se modific la definicin.

El anlisis de brecha ms que una definicin, es un proceso desarrollado en el paso 6.

Identificacin de las medidas de seguridad y anlisis de brecha

2. SISTEMA DE GESTIN DE SEGURIDAD DE DATOS PERSONALES. - 2.2 Qu es un Sistema de Gestin?

Autor

Manuel Ballester

Empresa

AUREN

Comentario
Actualmente Las secciones del enfoque a procesos y la compatibilidad con otros
estndares viene de la alineacin al Anexo SL de las Directivas de ISO/ IEC Parte 1
El Modelo PDCA(PlanDoCheckAct) ya ha dejado de estar operativo
Todas las normas de sistema de gestin de la calidad (como ISO 9001, ISO 14001, ISO
27001, ISO 20000-1, ISO 22301, etc) a partir del ao 2012, ya sean normas de nueva
publicacin, o revisin de las existentes, tendrn la misma estructura comn en el
denominado Anexo SL.

Las normativas de ISOs est empanzando cambiara sus procesos de Deming por el del
Anexo SL , sera recomendable iniciar con el nuevo proceso y no despus tener que
cambiarlo.

Redaccin Original

Redaccin propuesta

Procede/ No procede

No Procede

No Procede

No Procede

Observaciones IFAI y/o acciones a tomar

La Gua es el resultado de un ejercicio de concrecin, sntesis y armonizacin con objeto de
facilitar el anlisis de las normas y estndares a los que se hace referencia en la pgina 1
del documento, y no slo de los estndares ISO. En este sentido, se identific que el
marco de trabajo comn es el ciclo PHVA.
Si bien los estndares ISO ms recientes hacen referencia al Anexo SL, ste ofrece
directivas y mecanismos de anlisis de contexto que se ajustan a las carcteristicas
de PHVA tal que ste ltimo no pierde vigencia.
Finalmente, el objetivo del Anexo SL es unificar la estructura y requerimientos de todos los
estndares ISO nuevos y sus actualizaciones, y no cambiar o proponer nuevos modelos de
trabajo.

2. SISTEMA DE GESTIN DE SEGURIDAD DE DATOS PERSONALES. - 2.3 Introduccin al Sistema de Gestin

Autor

Empresa

Comentario
En la tabla, el encabezado Ciclo ms bien debera ser Fase porque es uno de los
elementos del ciclo; donde dice Fase debera decir Actividad o Descripcin de la
Fase
En la columna de pasos, debera incluirse como otro paso, la identificacin del flujo del
dato, en qu etapa de la operacin se genera la informacin: generacin/obtencin,
procesamiento, intercambio, transferencia, consulta, almacenamiento, retencin,
recuperacin, disposicin final.

Telefnica Mxico
Jorge Castaeda

Sera importante incluir que en esa etapa no slo se gestionan los riesgos, sino que
tambin se identifica el tipo de dato, proceso dnde se tratamiento. Esto facilitar la
identificacin e implementacin de medidas de seguridad.
Un Sistema de Gestin de Seguridad de Datos Personales no tendra por qu tener
como objetivo mejorar el cumplimiento de la legislacin, pues sta se cumple o no se
cumple, no existe bueno, regular o mal cumplimiento que pudiera ser mejorable.

Csar Vallarta

Santillana Abogados
No existe en la gua ningn parmetro o principio que permita conocer cules son los
elementos a considerar al establecer un indicador de medicin, con lo que se crea una
incertidumbre jurdica sobre lo que es medible y cmo es que debe darse la medicin
correspondiente.

Redaccin Original
Ciclo - Fase

2.3 Introduccin al Sistema de Gestin de Seguridad de Datos Personales

En particular, el SGSDP tiene como objetivo proveer un marco de trabajo para el
tratamiento de datos personales que permita mantener vigente y mejorar el
cumplimiento de la legislacin sobre proteccin de datos personales y fomentar las
buenas prcticas.

Numeral 7 del PHVA

Implementar y operar las polticas, objetivos, procesos, procedimientos y controles o
mecanismos del SGSDP, considerando indicadores de medicin.

Redaccin propuesta

Procede/ No procede

Procede
Se cambi a una posicin vertical de la tabla la palabra Ciclo.
No es necesario un paso como tal, debido a que el procedimiento de identificacin
del flujo de datos se realiza dentro del Paso 4. Inventario de Datos Personales,
el cual debe identificar o estar vinculado con la informacin bsica que permita
conocer el tratamiento al que son sometidos los datos, y que se relaciona de
manera directa con el flujo de los datos personales:
Obtencin;
Uso:
o Acceso
o Manejo
o Aprovechamiento
o Monitoreo
o Procesamiento (incluidos los sistemas que se utilizan para tal fin)
Divulgacin:
o Remisiones
o Transferencias
Almacenamiento;
Bloqueo;
Cancelacin, supresin o destruccin.

El procedimiento de identificacin de datos personales tambin se lleva a cabo

dentro del Paso 4 Inventario de Datos Personales.

No Procede

No Procede

En particular, el SGSDP tiene como objetivo proveer un marco de trabajo para el

tratamiento de datos personales que permita mantener vigente y mejorar la
proteccin de datos personales para el cumplimiento de la legislacin y fomentar
las buenas prcticas.

Procede

Implementar y operar las polticas, objetivos, procesos y procedimientos del

SGSDP, as como sus controles o mecanismos con indicadores de medicin.

Procede

Observaciones IFAI y/o acciones a tomar

Se modific la redaccin.

Se modific la redaccin.

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1. Planear el SGSDP

Autor

Empresa

S DATOS PERSONALES - FASE 1. Planear el SGSDP

Comentario

Redaccin Original

Redaccin propuesta

Procede/ No procede

Observaciones IFAI y/o acciones a tomar

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 1. Establecer el Alcance y los Objetivos
Autor

Empresa

Manuel Ballester

AUREN

Comentario
No se pude obtener el alcance, los objetivos y la Poltica de gestin sin antes haber
desarrollado un inventario de datos junto un anlisis de riesgos.

tivos
Redaccin Original

Redaccin propuesta
Se sugiere le siguiente esquema
Comprender a la Organizacin
Inventario de datos Personales y de Sistemas (en el artculo 61 de RLFPDPPP refiere a
un inventario de datos y de sistemas, no solo de datos).
ASSESSMENT ( sobre la LFPDPPP)
Comprender las necesidades y expectativas de las partes interesadas
Determinar el Alcance y los Objetivos
Elaborar una Poltica de gestin de datos personales
Planificacin SGSDP
o Anlisis de Riesgos.
Evaluacin de Riesgos
Tratamiento de los Riesgos
Objetivo y plan para lograr los S.I
o Identificar las medidas de seguridad y anlisis de brechas
o Plan de ACCIN
o Recurso (Material y Humano)
o Capacidad
o Control de la Informacin documentada
Implantar la Poltica, los planes de accin y las medidas de seguridad para mitigar los
riegos
Auditoria Interna (sobre el cumplimiento del SGSDP)
Revisin por la Direccin.
No conformidades y acciones Correctivas
Mejora continua

Procede/ No procede

No Procede

Observaciones IFAI y/o acciones a tomar

Dentro del Paso 1 se desarrollan los factores contractuales, legales y regulatorios, de
modelos de negocio y tecnolgicos necesarios para generar los alcance y objetivos
en relacin a los procesos involucrados en el tratamiento de los datos personales.
Con esos factores en el Paso 2 se desarrollan polticas y en el Paso 3 se establecen
funciones y obligaciones para el tratamiento de datos personales en el SGSDP.
Sin el desarrollo de estos pasos, previos al inventario de datos personales y de
activos, se podra actuar fuera del contexto de la organizacin. Es ms intuitivo que las
organizaciones identifiquen activos dentro de sus procesos de negocios, en lugar de
identificar activos y luego ver como se alinean a dichos procesos como lo propone en su
redaccin.

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 2. Elaborar una Poltica de Gestin de Datos Personales
Autor

Empresa

Comentario

de Datos Personales
Redaccin Original

Redaccin propuesta

Procede/ No procede

Observaciones IFAI y/o acciones a tomar

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 3. Establecer Funciones y Obligaciones de Quienes Traten Datos Personale
Autor

Empresa

Comentario

s y Obligaciones de Quienes Traten Datos Personales

Redaccin Original

Redaccin propuesta

Procede/ No procede

Observaciones IFAI y/o acciones a tomar

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 4. Elaborar un Inventario de Datos Personales.
Autor

Empresa

Gerardo Castro
Vzquez

Mazars

Gabriel Sanders

Trustwave

Comentario
En la definicin de personas de alto riesgo se identifica a todos los titulares que puedan ser
reconocidos como personajes pblicos; sin embargo, el hecho de ser personajes pblicos
implica que sus datos de identificacin (mencionados en el documento) son conocidos por una
gran parte de la poblacin tanto nacional como internacional por lo que perdera sentido
resguardar su privacidad.
Para los personajes pblicos, resulta muy relevante y significativo incrementar el nivel de
riesgo inherente de los datos, de un nivel medio a un nivel alto para aquellos que permitan
conocer:
- la ubicacin fsica de la persona;
- dependientes, beneficiarios, familiares, referencias laborales, referencias personales, etc.;
- aqullos que permitan inferir el patrimonio de la persona;
- los datos de autenticacin; y
- los datos jurdicos.
Ahora bien, para aquellas personas que se encuentren relacionadas con la imparticin de
justicia y seguridad nacional y, que por la naturaleza de sus actividades sea imperativo guardar
su anonimidad o que no sean personajes pblicos, debera considerarse de riesgo inherente
reforzado cualquier dato personal.

* Clarificar que los datos sensibles (CHIP, BANDA, Tracks) solo podrn ser almacenados por
entidades como Bancos .
* Es posible que los emisores de tarjetas y las empresas que respaldan los servicios de
emisin almacenen datos confidenciales de autenticacin si existe una justificacin de negocio
y los datos se almacenan de forma segura.
PCI - Req 3.2

Por la recomendacin del IFAI, los datos que proporcionan la informacin financiera, se estn
considerando como informacin con impacto medio;sin embargo, dentro de las operaciones, si
alguien tiene acceso a sta informacin y la utiliza con dolo, se puede afectar al titular
fuertemente: historial crediticio, ingresos, bur de crdito, nmero de la tarjeta de crdito y/o
dbito; por lo que sta informacin sensible, debera estar considerada como de nivel alto. Y
sera importante reforzar que sta informacin al estar relacionada entre s, sea considerada
como datos con riesgo inherente reforzado.
Jorge Castaeda

Telefnica Mxico

Jorge Castaeda

Telefnica Mxico

Se menciona que la informacin de autenticacin de los usuarios, es de nivel medio y se

incluye lo relacionado a informacin biomtrica; sin embargo, dentro de las recomendaciones
del IFAI, la informacin biomtrica est clasificada como de nivel alto y en consecuencia
debera estar dentro de los datos con riesgo inherente alto o reforzado.
Incluso se indica que la autenticacin por firma autografa y electrnica, se debe considerar
como dato con reisgo inherente de nivel medio, siendo que la firma es de nivel bsico. Es
importante hacer hincapi, que stos datos si estn relacionados entre s, como es el caso
nuevamente de la TDC/TDD, deben estar considerados como dato con riesgo inherente
reforzado.
Contemplar el trmino de personas de alto riesgo es una clasificacin que la ley no establece y
que es un criterio ambiguo para el tratamiento de los datos personales de terceros, que
conlleva a incertidumbre para el negocio, pues en un momento dado sera facultad discrecional
del IFAI determinar si tuviste que tomar como empresa diversas medidas de proteccin por las
caractersticas propias de los terceros que te proporcionan datos personales con motivo de la
relacin preestablecida. Mxime que se reconoce que el IFAI no determinado criterios
institucionales al respecto. Por lo que se considera que no debera existir esta clasificacin por
ser meramente subjetiva.

Csar Vallarta

Santillana Abogados

rsonales.
Redaccin Original
"Las personas de alto riesgo son aqullas cuya profesin, oficio o condicin estn
expuestas a una mayor probabilidad de ser atacadas debido al beneficio econmico o
reputacional que sus datos personales pueden representar para un atacante. Por
ejemplo, lderes polticos, religiosos, empresariales, de opinin y cualquier otra persona
que sea considerada como personaje pblico. Asimismo, se considera a cualquier
persona cuya profesin est relacionada con la imparticin de justicia y seguridad
nacional. Tratar datos de personas de alto riesgo involucra que la base de datos
contiene nombres de figuras pblicas que pueden ser reconocidas a primera vista, as
como informacin personal donde se infiera o se relacione explcitamente con su
profesin, puesto o cargo en combinacin con datos de identificacin como nombre,
domicilio, entre otros."

d) Datos con riesgo inherente reforzado

Informacin adicional de tarjeta bancaria que considera el nmero de la tarjeta de
crdito y/o dbito mencionado anteriormente en combinacin con cualquier otro dato
relacionado o contenido en la misma, por ejemplo fecha de vencimiento, cdigos de
seguridad, datos de banda magntica o nmero de identificacin personal (PIN).

Las personas de alto riesgo son aqullas cuya profesin, oficio o condicin estn
expuestas a una mayor probabilidad de ser atacadas debido al beneficio econmico o
reputacional que sus datos personales pueden representar para un atacante. Por
ejemplo, lderes polticos, religiosos, empresariales, de opinin y cualquier otra persona
que sea considerada como personaje pblico. Asimismo, se considera a cualquier
persona cuya profesin est relacionada con la imparticin de justicia y seguridad
nacional. Tratar datos de personas de alto riesgo involucra que la base de datos
contiene nombres de figuras pblicas que pueden ser reconocidas a primera vista, as
como informacin personal donde se infiera o se relacione explcitamente con su
profesin, puesto o cargo en combinacin con datos de identificacin como nombre,
domicilio, entre otros.
Las categoras antes descritas son slo una orientacin, ya que el Pleno del IFAI no ha
emitido criterios institucionales al respecto, adems de que ciertos datos personales
que en principio no se consideran sensibles, podran llegar a serlo dependiendo del
contexto en que se trate la informacin.

Redaccin propuesta

Procede/ No procede

No Procede

Los datos que se mencionan como Informacin adicional de tarjeta bancaria son
slo ejemplos de los tipos de datos que se podran asociar a la misma y que de ser
as se convertiran en Datos con riesgo inherente reforzado. No obstante, se
mencionar como ejemplo debido a que cada organizacin debe atender y cumplir
su normativa aplicable en cuanto al tratamiento de la informacin que posee.

Procede

Procede

Observaciones IFAI y/o acciones a tomar

Todo titular tiene derecho a la privacidad, sin importar sin son personas pblicas o cuyo
perfil requieran anonimato. Ahora bien, tratar datos de personas de alto riesgo involucra que
la base de datos contiene nombres de titulares que pueden ser reconocidos a primera vista,
as como informacin personal donde se infiera o se relacione explcitamente con su
profesin, puesto o cargo en combinacin con datos de identificacin como nombre,
domicilio, entre otros.

Las categoras descritas son slo una orientacin. Se reduce la clasificacin a tres niveles
bsico, alto y reforzado. Ver cambios en la versin final de la Gua.

Se reduce la clasificacin a tres niveles bsico, alto y reforzado. Ver cambios en la versin
final de la Gua.

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 5. Realizar el Anlisis de Riesgo de los Datos Personales.
Autor

Empresa

Gerardo Castro

Mazars

Jorge Castaeda

Telefnica Mxico

Comentario
En el prrafo sobra una preposicin en el ltimo rengln.

Es importante considerar que para el riesgo alto de informacin adicional al nmero de

tarjeta bancaria, se incluya lo referente al cdigo de seguridad as como lo referente a
tarjetas de crdito, quedando en mismo rubro ya que estn relacionadas de forma
inherente al proceso de Autenticacin, como lo es la firma autografa y electrnica.
Tambin es necesario considerar el tema de Autenticacin como riesgo de nivel alto, ya
que si se ingresa a la informacin de la empresa (chica, mediana o grande), sus
consecuencias son de alto impacto.
Un evento negativo en el tratamiento de datos personales que vulnere su proteccin
puede causar diversos impactos; sin embargo para efectos del cumplimiento de la ley
en la materia tomar como referencia de este impacto el valor de los datos para la
organizacin, el incumplimiento de obligaciones interpersonas, el dao producido al
titular y a la reputacin del negocio, no son criterios que puedan medir dicho impacto,
pues ya nos encontraramos en la arena de las suposiciones, porque lo que para uno
es valioso, importante o grave para otro no lo es o ser, en fin, se considera que
contemplar stos como criterios del impacto crea incertidumbre jurdica para el negocio.

Csar Vallarta

Conocimiento de procesos del negocio. Incluye subprocesos y actividades.

Procesos cuya modificacin, prdida o degradacin evitaran cumplir con la poltica de
proteccin de datos personales de la organizacin.
Procesos que contienen subprocesos secretos o involucran tecnologa
propietaria para el tratamiento de datos personales.
Procesos que son necesarios para cumplir con requerimientos contractuales, legales o
regulatorios de la organizacin.
Sobre el particular, es preciso insistir en que con el campo tan amplio que se le da al
concepto de activo (primarios y de apoyo), existe una latente posibilidad de
intromisin a los recursos de la empresa sin que se establezca un lmite claro. Mxime
que la posibilidad que contempla la Gua de dar a conocer procesos del negocio,
incluyendo aquellos que contengan subprocesos secretos o tecnologa propietaria del
negocio, es una cuestin que debe acotarse.

Csar Vallarta

Santillana Abogados

e los Datos Personales.

Redaccin Original
Los criterios de aceptacin del riesgo pueden incluir requerimientos para una gestin
futura, por ejemplo, un riesgo puede ser aceptado si hay aprobacin y el compromiso de
la Alta Direccin para tomar acciones que permitan reducirlo a un nivel aceptable dentro
de un periodo de definido ms adelante.

Criterios de impacto. Se definen en trminos del posible nivel de dao y perjuicio al titular
causado por un evento negativo a la seguridad de los datos personales, considerando:
El valor de los datos para la organizacin
El incumplimiento con las obligaciones legales y contractuales relacionadas con el titular
Vulneraciones de seguridad (art. 63 del reglamento)
Dao a la integridad de los titulares de datos personales
Dao a la reputacin de la organizacin.

Artculo 61 del Reglamento de la LFPDPPP:

IX. Realizar un registro de los medios de almacenamiento de los datos personales.
Se pueden identificar dos tipos de activos:
Activos primarios, corresponden a la esencia de la organizacin:
o Informacin relativa a los datos personales
o Informacin de procesos del negocio en los que interviene el flujo de datos personales y
actividades involucradas en el tratamiento de los mismos
Activos de apoyo, en los cuales residen los activos primarios, como son:
o Hardware
o Software
o Redes y Telecomunicaciones
o Personal
o Estructura organizacional
o Infraestructura adicional

Redaccin propuesta
Los criterios de aceptacin del riesgo pueden incluir requerimientos para una gestin
futura, por ejemplo, un riesgo puede ser aceptado si hay aprobacin y el compromiso
de
la Alta Direccin para tomar acciones que permitan reducirlo a un nivel aceptable
dentro
de un periodo definido ms adelante.

Procede/ No procede

Procede

Procede

No Procede

Procesos cuya modificacin, prdida o degradacin evitaran cumplir con la poltica

de proteccin de datos personales de la organizacin.

No Procede

Observaciones IFAI y/o acciones a tomar

Se modific la redaccin original

Se reduce la clasificacin a tres niveles bsico, alto y reforzado. Ver cambios en la versin
final de la Gua.

Estos criterios de impacto se pueden valorar de manera cualitativa, cuantitativa o ambos.

Adems las organizaciones podrn establecer sus propios criterios de impacto en funcin
de sus alcances y objetivos establecidos para la proteccin de datos personales.

La Gua slo es una herramienta para brindar orientacin a los involucrados en el

tratamiento de datos personales, no estipula lneas de operacin por parte del Instituto. Por
otra parte, el control "Conocimiento de Procesos de Negocio" nicamente hace referencia a
un tipo de activo primario en el que las organizaciones deben prestar atencin para
identificar dicho tratamiento.
Se modific la redaccin para evitar confusin.

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 6. Identificacin de las medidas de seguridad y Anlisis de Brecha.
Autor

Jorge Castaeda

Empresa

Telefnica Mxico

Comentario
En el prrafo de la pgina 24, en el paso 6, se hace referencia a seleccionar las
medidas de seguridad, se indica cmo se clasifican en general y sugieren que una vez
identificados los activos y procesos, se realice un anlisis de brecha para detectar
medidas de seguridad existentes, las que operan correctamente, cules estn faltando
y cules son las nuevas que se requieren; y que se seleccionen del anexo D.
Sin embargo, al revisar el resumen o sntesis indicado en la pgina 37, punto 4.
Sntesis de la Implementacin del SGSDP, en el paso 6, no slo indican que se realice
la evaluacin de las medidas de seguridad, sino que adems se indica que se
consideren los controles de seguridad de los diferentes dominios pero la estructura y
redaccin no coincide con lo descrito en la pgina 24.
Adems de que el paso6, contiene una vieta adicional y est fuera del margen de la
Fase ; esto, considerando que es parte de la Fase 1.

e seguridad y Anlisis de Brecha.

Redaccin Original
Con base en el anlisis de riesgos se debern seleccinar e implementar las medidas
de seguridad que permitan disminuir los riesgos, estas medidas podrn ser
administrativas, tcnicas o fsicas, y podrn ser seleccionadas del listado mostrado en
el Anexo D.

Redaccin propuesta
Se modific la redaccin:
Con base en el anlisis de riesgos se debern seleccionar e implementar las
medidas de seguridad administrativas, tcnicas o fsicas que permitan disminuir los
riesgos, y podrn ser seleccionadas del listado mostrado en el Anexo D. Dichos
controles de seguridad se han agrupado en 10 dominios principales que son:
1. Polticas del SGSDP
2. Cumplimiento legal
3. Estructura organizacional de la seguridad
4. Clasificacin y acceso a los activos
5. Seguridad del personal
6. Vulneraciones de Seguridad
7. Seguridad fsica y ambiental
8. Gestin de comunicaciones y operaciones
9. Control de acceso
10. Desarrollo y mantenimiento de sistemas.

Procede/ No procede

Procede

Observaciones IFAI y/o acciones a tomar

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 2. Implementar y Operar el SGSDP
Autor

Empresa

Comentario

SGSDP
Redaccin Original

Redaccin propuesta

Procede/ No procede

Observaciones IFAI y/o acciones a tomar

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 2 - PASO 7. Implementacin de las Medidas de Seguridad Aplicables a los Datos Pers
Autor

Empresa

Carlos A. Ayala Rocha

Asociacin de Seguridad
Informtica Mexicana (ASIMX)

Ing. Leonel Navarro, PMP,

CISSP

Csar Vallarta

Santillana Abogados

ATOS PERSONALES - FASE 2 - PASO 7. Implementacin de las Medidas de Seguridad Aplicables a los Datos Personales
Comentario
Sugiero se establezca clara y explcitamente un proceso de Monitorizacin de los
componentes arquitectnicos de la infraestructura: redes (externas, interna, dmz,
inalmbricas), protocolos, servicios, y aplicaciones

Compartir el riesgo es involucrar al departamento legal para que valide que los contratos
establecidos entre las partes realmente compartan el riesgo y por ente las
consecuencias. Por lo general un proveedor de servicios en la nube no comparte el
riesgo, al contrario dependiendo del modelo de consumo (IaaS,PaaS, SaaS) se
comparten las responsabilidades, por lo que se debe poner especial atencin en evaluar
al proveedor antes de compartir datos con el afn de compartir el riesgo. Por otro lado
en el ISO27002:2013 a diferencia del 27002:2005 el control asociado a la identificacin
de riesgo relacionados a terceros (A.6.2.1) fue removido por considerarse como
requerimiento en la evaluacin de riesgo/tratamiento de riesgo en el ISO27001.

La obligacin solidaria para el negocio poseedor de datos personales de particulares

que se establece aun cuando se tenga un tercero que intervenga en la mitigacin de
efectos de riesgo es muy amplia, pues no disminuye la responsabilidad por la
proteccin; lo que es delicado pues abre la puerta a que ante una vulneracin no propia
a la seguridad en el tratamiento de los datos personales, el negocio mantenga el mismo
nivel de responsabilidad cando no existe un control directo sobre los recursos de ese
tercero interventor.

No se define o remite a la ley en especfico, para advertir qu tipo de comits deben

establecerse en el caso concreto.

d Aplicables a los Datos Personales

Redaccin Original

Compartir el Riesgo
Implica tomar la decisin de compartir el riesgo con un prestador de servicio que pueda
gestionarlo, es decir, un tercero interviene para mitigar los posibles efectos de un riesgo
por ejemplo, al contratar un seguro o un proveedor que administre la seguridad de la
organizacin.
Cabe mencionar que cuando una organizacin comparte un riesgo no deja de ser
responsable por la proteccin de los datos personales, adems, es importante que se
considere que involucrar a un nuevo actor en los procesos de la organizacin siempre
representa un riesgo que debe ser analizado.

La organizacin debe desarrollar planes de comunicacin del riesgo para las

operaciones normales, as como para casos de emergencia, es decir, la comunicacin
del riesgo es una actividad continua.
Un mtodo de comunicacin entre los tomadores de decisin y las partes interesadas
es a travs de comits para debatir acerca del riesgo, su tratamiento y aceptacin,
entre otros asuntos relacionados.
Es importante mantener la comunicacin entre las reas afines a la difusin y el
departamento de datos personales para responder por ejemplo, a los particulares en
caso de incidentes.

Redaccin propuesta
.

Procede/ No procede

Procede

No Procede

No Procede

No Procede

Observaciones IFAI y/o acciones a tomar

La Gua contempla el proceso de monitoreo en el Paso 8. Revisiones y Auditora. Dentro de dicho paso, al inicio de la
seccin "Revisin de los Factores de Riesgo" se puede leer:
"Se debe monitorear y revisar el riesgo con sus factores relacionados, es decir, el valor de los activos, las amenazas,
vulnerabilidades, el impacto, y la probabilidad de ocurrencia, para identificar en una etapa temprana cualquier cambio en el
contexto del alcance y objetivos del SGSDP de la organizacin y as mantener una visin general de la imagen del riesgo".
Esto considera de manera global los activos de apoyo de la organizacin, incluyendo los componentes
arquitectnicos de la infraestructura si, fuera el caso. Ver Anexo A. Ejemplos de Activos, Tipo de Activo: Redes y
Telecomunicaciones (Consisten en todos los dispositivos usados para interconectar computadoras o elementos de
un sistema de informacin de voz y/o datos).
Se precisar respecto al monitoreo del riesgo en la Seccin Cumplimiento Cotidiano de Medidas de Seguridad del Paso 7.

Se define Compartir el Riesgo como:

"Proceso donde se involucra a terceros para mitigar la prdida generada por un riesgo en particular, sin que el
dueo del activo afectado reduzca su responsabilidad".
Es decir, compartir el riesgo incluye no slo los seguros y acuerdos legales, sino tambin la contratacin de
servicios. Una organizacin por ejemplo podra considerar migrar ciertos servicios a cmputo en la nube para optimizar
costos y/o porque considera que un centro de datos externo podra tener mejores medidas de seguridad que las suyas. En
cuanto a los diferentes modelos de cmputo en la nube, cada uno implica un diferente grado de responsabilidad por parte
del que lo adquiere y por ello se debe tener en cuenta lo dispuesto en el artculo 52 del Reglamento de la LFPDPPP para
adherirse a un contrato adecuado.
Compartir el riesgo deriva en un adecuado anlisis del contexto de la organizacin tal que no se adquieran ms
riesgos de los que se intentan minimizar, por ejemplo el departamento legal tendr que validar que todos los contratos y
acuerdos de servicios con terceros estn alineados a las polticas de privacidad de la organizacin y al cumplimiento de la
LFPDPPP.

La nocin de Compartir el riesgo implica habilitar determinadas operaciones y procesos de la organizacin, dentro de los
alcances de la LFPDPPP, no se pueden transferir la responsabilidades legales, por ejemplo los deberes derivados de una
vulneracin. Queda en manos del Responsable que las contrataciones que se hagan se apeguen a los alcances y objetivos
establecidos para la proteccin de datos.

Los comits tienen por objetivo analizar y comunicar el estado del riesgo, y queda a discrecin de la organizacin, crearlos
considerando los roles y responsabilidades definidos, por lo que no es necesario remitir a la ley.

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 3. Monitorear y Revisar el SGSDP
Autor

Empresa

Carlos A. Ayala Rocha

Asociacin de Seguridad
Informtica Mexicana (ASIMX)

PERSONALES - FASE 3. Monitorear y Revisar el SGSDP

Comentario
Falta una directriz clara que garantice la monitorizacin de los componentes
arquitectnicos de la infraestructura: redes, protocolos, servicios, y aplicaciones, en
algunos casos en este documento se considera la monitorizacin de bitcoras,
solamente. Este conjunto de indicadores de comportamiento, proporcionarn visibilidad
y ayudarn al usuario a poder identificar y detectar amenazas de manera oportuna.
Cuanto ms prximo a una fase temprana de la ofensiva, se realice la deteccin, que
conlleve a una respuesta incidentes efectiva se podr proteger de mejor manera la
privacidad de la informacin de los usuarios. Esta monitorizacin debera considerar,
monitorizacin basadas en datos de sesin, eventos, datos de transaccin, datos
estadsticos, metadatos, perfilamiento protocolario y en casos de un factor de
exposicin alto, captura completa de contenido.
Se pide que en caso de una intrusin se notifique, lo cual es posible primeramente si la
intrusin se detecta. Si nos basamos en el dwell time promedio, que es el tiempo en el
que los adversarios comprometen un servicio y los afectados se dan cuenta de ello,
podemos establecer un tiempo de un ao promedio. Un ao en gran mayora por la
falta de monitorizacin, que conlleva a una deteccin temprana, para poder accionar un
proceso de respuesta a incidentes efectivo
Se usa en todo el documento el proceso de respuesta a incidentes como un ente sin
cohesin a los dems procesos, la monitorizacin es fundamental para que la deteccin
de intrusiones sea efectiva, y por ende dispare un proceso de respuesta a incidentes a
tiempo, es crucial y esto se debe de planificar, y establecer de antemano.

Redaccin Original

Redaccin propuesta

Procede/ No procede

Procede

Observaciones IFAI y/o acciones a tomar

La Gua contempla el proceso de monitoreo en el Paso 8. Revisiones y Auditora. Dentro
de dicho paso, al inicio de la seccin "Revisin de los Factores de Riesgo" se puede leer:
"Se debe monitorear y revisar el riesgo con sus factores relacionados, es decir, el valor de
los activos, las amenazas, vulnerabilidades, el impacto, y la probabilidad de ocurrencia, para
identificar en una etapa temprana cualquier cambio en el contexto del alcance y objetivos
del SGSDP de la organizacin y as mantener una visin general de la imagen del riesgo".
Esto considera de manera global los activos de apoyo de la organizacin, incluyendo
los componentes arquitectnicos de la infraestructura si, fuera el caso. Ver Anexo A.
Ejemplos de Activos, Tipo de Activo: Redes y Telecomunicaciones (Consisten en
todos los dispositivos usados para interconectar computadoras o elementos de un
sistema de informacin de voz y/o datos).
Se precisar respecto al monitoreo del riesgo en la Seccin Cumplimiento Cotidiano de
Medidas de Seguridad del Paso 7.

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 3 - PASO 8. Revisiones y Auditora.
Autor

Empresa

Csar Vallarta

Santillana Abogados

OS PERSONALES - FASE 3 - PASO 8. Revisiones y Auditora.

Comentario

Considero que es un riesgo para el negocio notificar a travs de medios masivos de

comunicacin. Pues podra causar pnico generalizado, sin justificacin.
Pues los artculos 64 y 65 de la Ley en la materia, slo prev la obligacin de informar
al titular de los datos personales vulnerados.
Artculo 64 del Reglamento de la LFPDPPP:
El responsable deber informar al titular las vulneraciones que afecten de forma
significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurri la
vulneracin y haya tomado las acciones encaminadas a detonar un proceso de revisin
exhaustiva de la magnitud de la afectacin, y sin dilacin alguna, a fin de que los
titulares afectados puedan tomar las medidas correspondientes.

Redaccin Original
Notificacin de la vulneracin. Una vez identificada la vulneracin, sta se debe
comunicar a los titulares de los datos personales para que puedan tomar medidas que
mitiguen o eviten una posible afectacin.
Dependiendo del riesgo que implique para los titulares, la notificacin de una
vulneracin puede ser a travs de medios masivos como un anuncio en su pgina web,
peridico, radio y televisin o bien, de manera personalizada.

Redaccin propuesta

Procede/ No procede

No Procede

Observaciones IFAI y/o acciones a tomar

Dentro de la seccin "Vulneraciones a la Seguridad de la Informacin", antes de notificar la vulneracin se debe hacer la
Identificacin de la vulneracin, lo que permite seleccionar el medio y procedimiento de notificacin pertinente.

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 4. Mejorar el SGSDP

Autor

Empresa

Comentario

Redaccin Original

Redaccin propuesta

Procede/ No procede

Observaciones IFAI y/o acciones a tomar

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 4 - PASO 9. Mejora Continua y Capacitacin.
Autor

Empresa

Carlos A. Ayala Rocha

Asociacin de Seguridad Informtica

Mexicana (ASIMX)

ALES - FASE 4 - PASO 9. Mejora Continua y Capacitacin.

Comentario
Sugiero que los programas de capacitacin consideren el entrenamiento en deteccin
de intrusiones, monitorizacin, y forense.

Redaccin Original

Redaccin propuesta

Procede/ No procede

No Procede

Observaciones IFAI y/o acciones a tomar

La seccin de "Capacitacin" en el Paso 9 menciona que:
[... Estos programas de capacitacin deben tomar en cuenta elementos como:
"d) Las herramientas tecnolgicas relacionadas o utilizadas para el tratamiento de datos personales y para la
implementacin de medidas de seguridad, y
e) Instructores expertos en la materia".
...]
Es decir, la capacitacin relacionada a la deteccin de intrusiones, monitorizacin, forense, sera parte del inciso d) y depender
del contexto y grado de madurez de las organizaciones.

4. SNTESIS DE LA IMPLEMENTACIN DEL SGSDP

Autor

Empresa

Carlos A. Ayala Rocha

Asociacin de Seguridad
Informtica Mexicana (ASIMX)

Comentario
Sugiero se establezca clara y explcitamente un proceso de Monitorizacin de los
componentes arquitectnicos de la infraestructura: redes (externas, interna, dmz,
inalmbricas), protocolos, servicios, y aplicaciones.

Gestin de comunicaciones y operaciones es muy ambiguo

Redaccin original

Redaccin propuesta

Procede/ No procede

No Procede

No Procede

Observaciones IFAI y/o acciones a tomar

La Gua contempla el proceso de monitoreo en el Paso 8. Revisiones y Auditora. Dentro de dicho paso, al inicio de la
seccin "Revisin de los Factores de Riesgo" se puede leer:
"Se debe monitorear y revisar el riesgo con sus factores relacionados, es decir, el valor de los activos, las amenazas,
vulnerabilidades, el impacto, y la probabilidad de ocurrencia, para identificar en una etapa temprana cualquier cambio en el
contexto del alcance y objetivos del SGSDP de la organizacin y as mantener una visin general de la imagen del riesgo".
Esto considera de manera global los activos de apoyo de la organizacin, incluyendo los componentes
arquitectnicos de la infraestructura si, fuera el caso. Ver Anexo A. Ejemplos de Activos, Tipo de Activo: Redes y
Telecomunicaciones (Consisten en todos los dispositivos usados para interconectar computadoras o elementos de
un sistema de informacin de voz y/o datos).
Se precisar respecto al monitoreo del riesgo en la Seccin Cumplimiento Cotidiano de Medidas de Seguridad del Paso 7.

Gestin de comunicaciones y operaciones es un dominio que contempla 19 controles, relacionados con la "gestin de las
comunicaciones y operaciones" y la "seguridad en las operaciones", especificados en la ISO 27001:2005, esto con el fin de
unificar para los responsables los controles con caractersticas similares.

Tabla Comparativa
Autor

Empresa

Manuel Ballester

AUREN

Gerardo Castro

Mazars

Comentario
En lo que respecta en la tabla comparativa entre el captulo III del Reglamento de la LFPDPPP y la Gua conforme al
artculo 58 RLFPDPPP sobre vulneraciones de seguridad, el adoptar una SGSDP no ayuda a cumplir con la disposicin,
se necesita una proceso de atencin a vulnerabilidad y un registros de posibles soluciones de incidentes para dar
respuesta al titular.

Sobre el Articulo 60 , no se cumple con la disposicin con solo hacer un anlisis de riesgos, se debe de tener un
inventarios de datos y sistemas , alienado con un anlisis de riesgos , y elaborar una poltica de seguridad considerando
los elementos que marca el artculo 60 del RLFPDPPP.

Sobre la fraccin VI del artculo 60 del RLFPDPPP al implementar las medidas de seguridad no se cumple con lo
dispuesto, si no se debe de elaborar un plan de accin para implementar las medidas de seguridad y las actividades que
surjan de las brechas.

Se debera de mencionar en la Gua en qu momento se puede hacer una actualizacin de la poltica de seguridad y de
sus medidas de seguridad conforme a lo que menciona el artculo 62 del RLFPDPPP.
Sobre el artculo 63 del RLFPDPPP vulneracin de seguridad, no se debe de considerar el anlisis de riesgos ya que e
anlisis de riesgos es para detectar amenazas y la auditoria nos ayudara a detectar las vulnerabilidad que existen en la
empresa.
En la parte de notificar al titular la vulnerabilidad que surgiera, no es una mejora continua , es una actividad conllevada de
un procedimiento de incidentes.
La mejora continua es un conjunto de planes accin para mejorar el SGSDP y aumentar la madurez de la compaa.

En el documento se expone que la relacin entre el Artculo 60 del Reglamento y las Recomendaciones, se encuentra en:
Paso 5. Realizar el Anlisis de Riesgo de los Datos Personales
Factores para Determinar las Medidas de Seguridad
Sin embargo, esto limitara el alcance a la definicin de las posibles medidas de seguridad aplicables sin haber realizado
una valoracin del riesgo; es decir, considerando el riesgo inherente hacia la privacidad y/o seguridad de los datos sin
tomar en cuenta los controles que la organizacin tendra implementados y sin valorar la probabilidad e impacto de los
riesgos en el entorno de la organizacin. En consecuencia, podran considerarse medidas de seguridad
desproporcionadas, con una incorrecta prioridad e incluso sin un balance entre costo y beneficio.

En el documento se expone que la relacin entre la Fraccin IX del Artculo 61 del Reglamento y las Recomendaciones,
se encuentra en:
Paso 5. Realizar el Anlisis de Riesgo de los Datos Personales
Sin embargo, se considera que existe una relacin ms estrecha entre las actividades del Paso 4 Elaborar un Inventario
de Datos Personales con la citada fraccin Fraccin IX. Realizar un registro de los medios de almacenamiento de los
datos personales.

Redaccin original

Redaccin propuesta

Procede/ No procede

No Procede

No Procede

No Procede

No Procede

No Procede

No Procede
No Procede

Incluir la actividad de Valoracin Respecto al Riesgo del Paso 5 en la relacin entre

el Artculo 60 del Reglamento y las Recomendaciones; es decir, incluir el Paso 5
por completo.

No Procede

Modificar la relacin entre la Fraccin IX y las Recomendaciones, del Paso 5 al

Paso 4.

No Procede

Observaciones IFAI y/o acciones a tomar

En trminos de lo dispuesto en el artculo 65, fraccin III de la Ley, en los casos en que ocurra una
vulneracin a la seguridad de los datos personales, el Instituto podr tomar en consideracin el
cumplimiento de sus recomendaciones para determinar la atenuacin de la sancin que
corresponda. En este caso la RECOMENDACIN GENERAL del IFAI es la adopcin de un
Sistema de Gestin de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA.
Por otro lado, el Paso 8 Revisiones y Auditora, incluye una seccin de Vulneraciones a la
Seguridad de la Informacin, donde se mencionan las directrices mnimas que tienen los
Responsables con los Titulares en el marco de la LFPDPPP.

El alcance del artculo 60 contempla slo la identificacin de los factores para determinar las
medidas de seguridad, que se puede relacionar con el anlisis de contexto de cualquier
metodologa de anlisis de riesgo. En la Fraccin III del artculo 61, donde se habla de las Acciones
para la seguridad de los datos personales, ya se considera el Anlisis de Riesgo de los Datos
Personales, que implica tanto los Factores para Determinar las Medidas de Seguridad como la
Valoracin respecto al Riesgo, cubiertos en el Paso 5.
Despus, en el Paso 6 se realiza la Identificacin de las medidas de seguridad y anlisis de
brecha para posteriormente elaborar un plan de trabajo conforme a lo establecido en el Paso 7.

Las vulneraciones a la seguridad de los datos personales no son parte de la mejora

continua, de hecho estn consideradas dentro del Paso 8 Revisiones y Auditora, adicionalmente
una vulneracin o un riesgo identificado genera acciones correctivas y preventivas, las
cuales s son mejora continua del SGSDP, como se plantea en el Paso 9 Mejora Continua y
Capacitacin.
En el Paso 9 se puede leer:
"En esta fase, se adoptan las medidas correctivas y preventivas en funcin de los resultados
de la revisin o verificacin efectuadas, o de otras informaciones relevantes, para lograr la
mejora continua..."
Ya que el proceso de monitoreo establecido en el Paso 8 es continuo, cada que existe un cambio
en el contexto de la organizacin (como la ocurrencia de un incidente) existe la posibilidad
de actualizar las medidas de seguridad.

El alcance del artculo 60 contempla slo la identificacin de los factores para determinar las
medidas de seguridad. En la Fraccin III del artculo 61, donde se habla de las Acciones para la
seguridad de los datos personales, ya se considera el Anlisis de Riesgo de los Datos
Personales el cual relaciona los factores que se requieren para la valoracin respecto al
riesgo, y as implementar y mantener las medidas de seguridad como se describe en el Paso
5.

El Paso 4 considera solamente los tipos de datos y el flujo de stos en el tratamiento, en el

Paso 5. Realizar el Anlisis de Riesgo de los Datos Personales, se incluye la seccin
Identificar Activos en la cual se lee "Debe mantenerse actualizado el inventario de activos, as
como los medios de almacenamiento en que residen las bases de datos personales."

ANEXO A. Ejemplos de Activos

Autor

Empresa

Comentario

Redaccin original

Redaccin propuesta

Procede/ No procede

Observaciones IFAI y/o acciones a tomar

ANEXO B. Ejemplos de Amenazas Tpicas.

Autor

Empresa

Comentario
Agregar en posibles consecuencias:
- Robo de informacin
- Alteracin de los sistemas
Terrorista:
Agregar en posibles consecuencias:
- Ataque a instalaciones y/o personas

Jorge Castaeda

Dao Fsico:
Agregar en amenazas
Telefnica Mxico - Incendio
- Humedad, goteras, a que se refieren?
- A que se refieren con accidentes mayores?
- Destruccin de medios y equipos De que tipo, de almacenamiento?

Eventos naturales:
Revisar lo siguiente en la columna de Amenaza
- Cules son ejemplos de fenmenos climticos y cuales meteorolgicos?
- Una inundacin no es un evento natural, es consecuencia de alguno.

Redaccin original

Redaccin propuesta
Acceso no autorizado al sistema
Ingeniera social
Intrusin en los sistemas
Robo de informacin

Ataque a personas y/o instalaciones (por ejemplo, bomba)

Ataque a sistemas (por ejemplo, denegacin de servicio)
Manipulacin de los sistemas
Penetracin a los sistemas
Fuego
Agua
Contaminacin
Accidentes
Polvo, corrosin, humedad, congelamiento

Fenmenos climticos o meteorolgicos

Procede/ No procede

Procede

Procede

Procede

Procede

Observaciones IFAI y/o acciones a tomar

Se modific la redaccin original

Se modific la redaccin original

Se modific la redaccin original

Se modific la redaccin original

ANEXO C. Ejemplos de Escenarios.

Autor

Empresa

Carlos A. Ayala Rocha

Asociacin de Seguridad
Informtica Mexicana (ASIMX)

Comentario
Sugiere se agregue esta porcin de la tabla. El contar con un proceso de
monitorizacin mejora y permite la deteccin en varios del casos mencionados en la
tabla.

Hardware:
Revisar lo siguiente en la columna de Ejemplos de vulnerabilidades:
- Falta de cuidado en la destruccin de soportes electrnicos
- Se sugiere cambiar por - Destruccin no realizada completamente
Software:
Revisar lo siguiente en la columna de Ejemplos de vulnerabilidades:
- Carencia o falta de pruebas al software y su configuracin. Se sugiere cambiar por
Software liberado sin haberlo probado o con pruebas insuficientes.
Revisar lo siguiente en la columna de Ejemplos de amenazas:
- En el mismo rubro de la columna anterior se sugiere cambiar por Error en el
funcionamiento de la aplicacin.

Software:
En el rubro de Falta de actualizaciones de seguridad en software, en la columna de
ejemplos de amenazas se sugiere cambiar por Ataques cibernticos exitosos.

Jorge Castaeda

Telefnica Mxico

Software:
En el rubro Copiado incontrolado de informacin no queda claro esta vulnerabilidad,
ya que si as fuera, la amenaza sera Acceso libre a los sistemas.

Organizacin:
En el rubro Falta de procedimientos formales de monitoreo y/o auditora en la columna
de ejemplos de amenazas se sugiere cambiar por Cualquier evento que tenga acceso
a la informacin, ya que no hay un monitoreo.

Organizacin:
En el rubro Falta o ausencia de reportes de fallas en la columna de ejemplos de
amenazas se sugiere cambiar por Repeticin de incidentes o problemas pasados.

Organizacin:
En el rubro Falta o insuficiencia de polticas de escritorio limpio en la columna de
ejemplos de amenazas se sugiere cambiar por Robo de documentos y/o informacin
electrnica.

Organizacin:
En el rubro Falta de mecanismos de monitoreo para vulneraciones a la seguridad de
los datos en la columna de ejemplos de amenazas se sugiere cambiar por
Intrusiones no vigiladas.

Redaccin original

Redaccin propuesta

Procede/ No procede

Procede
01-Tabla-Anexo C.docx

No Procede

Se tomar la idea sugerida para la siguiente redaccin:

Falta de pruebas al sotfware y su configuracin antes de su liberacin.

Procede

Se sugiere la siguiente redaccin:

Error en el funcionamiento de la aplicacin.

No Procede

Procede

No Procede

Reincidencia de problemas

Procede

No Procede

Intrusin de personas malintencionadas

Procede

Observaciones IFAI y/o acciones a tomar

Si bien en la propuesta se utilizan algunas amenazas como vulnerabilidades, se puede retomar la idea general
para mejorar el Anexo C:
1) Actualizar la redaccin de la Vulnerabilidad "Servicios de red innecesarios habilitados" por "Servicios de red
innecesarios habilitados y/o mal uso de protocolos".
2) Agregar un nuevo escenario de riesgo:
Tipo de Activo: Redes
Ejemplos de Vulnerabilidades: Falta de monitorizacin de los componentes de las redes, protocolos,
servicios y aplicaciones
Ejemplos de amenazas: Canales encubiertos y trfico clandestino
Posible vulneracin a los datos personales: Uso, acceso, o tratamiento no autorizado

La redaccin propuesta es ambigua.

Los ejemplos que se presentan en la tabla son los ms comunes, en este caso para el software, una amenaza
ms comn es: Abuso de privilegios por parte de los usuarios, que Ataques cibernticos exitosos.

Se removi el control por considerarlo innecesario.

Existen diversos riesgos no identificados y no slo los relacionados con acceso a la informacin.

Se tom en cuenta el comentario para modificar la redaccin.

El robo de documentos y/o informacin electrnica es la posible vulneracin o consecuencia debido a por
ejemplo, un acceso no autorizado a los sistemas (amenaza).

Se tom la idea sugerida para cambiar la redaccin.

ANEXO D. Ejemplos de Controles de Seguridad.

Autor

Carlos A. Ayala Rocha

Empresa

Comentario

Asociacin de Seguridad
Sugiere se agregue esta porcin de la tabla.
Informtica Mexicana (ASIMX)

Sera conveniente incluir el enmascaramiento delos datos, cuando se consulta

informacin de datos personales y que slo se autorice a dicha lectura cuando el dueo
de la informacin lo requiera, de lo contrario no sera necesario que est visible.

Revisar la tabla y quitar los encabezados que indican Controles de Seguridad, para
evitar confusiones al leer la continuacin de la informacin en la siguiente pgina.
Cumplimiento legal:
Objetivo de Control. Identificacin de legislacin/regulacin aplicable
Separar la palabra documentarlos, debe decir documentar_los.
Objetivo de Control. Salvaguarda de registros organizacionales
Sera recomendable incluir que la LFPDPPP, no establece un perodo para el resguardo
de los registros; sin embargo, es necesario contar conla documentacin que de soporte
al consentimiento tctio o expreso del titular.
Objetivo de control. Prevencin del mal uso de activos de informacin.
Sera recomendable incluir los activos de informacin fsicos porque solamente se
mencionan los activos electrnicos.
Objetivo de control. Recoleccin de evidencia.
Sera recomendable definir cules son las mejores prcticas, ya que ste documento es
una gua.para orientar sobre cules son los controles que pueden apoyar a
implementar el SGSDP.

Estructura Organizacional:
Sera recomendable revisar este tema a profundidad, ya que el enfoque de cada
objetivo de control no lleva una secuencia o una implicacin sobre la organizacin; se
estn definiendo actividades o funciones que deberan estar definidas dentro de una
poltica, en esta seccin se debera considerar un Organigrama que incluya la definicin
de roles, responsabilidades y funciones.
Y respecto a la revisin de terceros, sera recomendable incluirla como una funcin o
una responsabilidad sobre algn rol para que se verifique, el tema de contratos de
Proveedores de Servicio, Servicio en la nube; etc. E incluir los ejemplos claros sobre lo
que se tiene que revisar.

Clasificacin y acceso a los activos:

Objetivo de Control. Inventario y clasificacin de datos personales.
Sera recomendable incluir la referencia de informacin fsica y electrnica.
Objetivo de Control. Documentacin del SGSDP.
Sera recomendable incluir ste punto dentro de la seccin de Polticas del SGSDP

Seguridad fsica y ambiental:

Objetivo de control. Trabajo en reas restringidas; reas de entrega aislada.
En relacin a la redaccin de los 2 puntos de control no hay una diferencia entre
ambas, que permita identificar cul es el apropiado a implementarse.
Objetivo de control. Seguridad de oficinas e instalaciones; equipo de proteccin fsica.
En ambos controles se hace referencia a las amenazas naturales o causada por el
hombre, para lo cual sera conveniente integrarlos en uno solo o dar un enfoque
independiente. O en su caso, cambiar el ttulo por el de Requerimientos de seguridad
para espacios fsicos y hacer referencia a los lugares de trabajo, reas de
almacenamiento que deban cumplir con los requisitos de construccin, instalacin y
condiciones ambientales.

Gestin de comunicaciones y operaciones:

Objetivo de Control. Gestin de soportes informticos extrables.
Sera conveniente incluir que dentro del procedimiento de manejo de soportes
informticos, exista un registro de los dispositivos autorizados o la evaluacin de los
mismos, previo a su utilizacin en los equipos de la empresa, para evitar la fuga de
informacin.

Jorge Castaeda

Telefnica Mxico

Jorge Castaeda

Telefnica Mxico
Gestin de comunicaciones y operaciones:
Objetivo de Control. Seguridad de correo electrnico
Sera conveniente incluir la seguridad, para el monitoreo o bloqueo de informacin
clasificada con datos personales y evitar una fuga de informacin; teniendo
identificados aquellos usuarios que tienen autorizacin de compartir informacin a otros
clientes de correo ajenos a la empresa, considerando que hay muchos servicios
gratuitos en la nube.
Se puede integrar con el objetivo de control de Almacenamiento privado|dentro del
entorno de operacin, ya que ambas interactan para proteger la informacin de datos
personales.
Gestin de comunicaciones y operaciones:
Objetivo de control. Seguridad en sistemas electrnicos.
Sera conveniente incluir lo relacionado a los accesos para facilitar el monitoreo y
registrar los usuarios y las actividades e identificar quin es el personal responsable de
dar tratamiento a esa informacin.

Gestin de comunicaciones y operaciones:

Objetivo de control. Sistemas disponibles de manera pblica; y, Otras formas de
intercambio de informacin.
Sera conveniente hacer referencia a la informacin que no slo se podra compartir de
forma electrnica, sino que tambin se considere la informacin fsica as como
cualquier discurso de prensa, nota de prensa, publicacin de concursos, rifas, etc
dnde se tienen el riesgo de comunicar informacin con datos personales.

Gestin de comunicaciones y operaciones:

Objetivo de control. Disociacin y separacin.
Sera recomendable incluir en este control, lo relacionado a enmascaramiento o
ocultamiento de informacin de bases de datos, de tal manera que no quede visible
(por ejemplo con asteriscos o con algn otro texto), la informacin para ciertos perfiles,
privilegios o roles y evitar un tratamiento de datos personales.

Control de acceso:
Objetivo de control. Gestin de Privilegios; Revisin de derechos de usuarios
Sera conveniente incluir en esta descripcin,que los privilegios van en funcin de los
roles y responsabilidades de cada usuario, delimitando perfectamente que puede hacer
cada uno: acceso total, lectura, escritura, borrado.
Control de acceso:
Objetivo de control. Uso de contraseas; Gestin de usuarios y contraseas.
Ambos temas se pueden incluir como un solo objetivo de control, ya que interactan
estrechamente en su implementacin y cumplimiento.

Seguridad fsica y ambiental; control de acceso

Objetivo de control. Escritorio y pantalla limpia; Equipos sin atender.
Ambos temas se pueden incluir como un solo objetivo de control, ya que interactan
estrechamente en su implementacin y cumplimiento.

Desarrollo y mantenimiento de sistemas:

Sera recomendable incluir en esta seccin, la inclusin de un objetivo de control
relacionado con la restriccin para compartir la informacin contenida en los ambientes
productivos hacia los ambientes de desarrollo, mediante la implementacin de
disociacin, separacin o enmascaramiento de la informacin que contenga datos
personales o de negocio.
Se puede unir al objetivo de control de proteccin de datos de prueba del sistema,
para reforzar la divulgacin de informacin de datos personales o de negocio.
Reforzando el objetivo de control de Separacin del rea de desarrollo de sistemas de
datos personales de la seccin de Gestin de comunicaciones y operaciones (pgina
63)

Vulneraciones de seguridad:
Sera conveniente integrar todos los objetivos de control relacionados a manejo de
incidentes o vulnerabilidades, y dejarlo como un solo rubro, que establezca todos los
temas que deben considerar estos requisitos; integrar una lista que permita identificar
dnde pueden existir incidentes o vulnerabilidades y que consolide todo lo que se debe
de cumplir; o en su defecto, hacer referencia a todos los puntos de control aplicables.

Redaccin original

Cifrado:
Deben existir reglas que definan el uso de cifrado en comunicaciones y/o
almacenamiento, as como de los controles y tipos de cifrado a implementar.
Se debe identificar la sensibilidad de los datos y el nivel de proteccin necesario para
aplicar el cifrado correspondiente, en almacenamiento y/o transferencia de informacin

Redaccin propuesta

Procede/ No procede

Procede

01-Tabla-Anexo D.docx

No Procede

Procede

Se sugiere la siguiente redaccin:

Se debe mantener el resguardo de todos los registros y documentacin que
pudieran ser evidencia o bien, requeridos en cumplimiento de la LFPDPPP y
protegerlos contra prdida, destruccin, falsificacin, acceso o revelacin no
autorizados.
Se sugiere la siguiente redaccin para Prevencin del mal uso de activos de
informacin:
Se deben tener mecanismos contra el uso de activos para propsitos no
autorizados, por ejemplo, para sistemas electrnicos, utilizar bloqueos en caso de
que usuarios no autorizados traten de acceder a mdulos que no tienen permisos e
informar mediante un mensaje el uso indebido.
Para Recoleccin de evidencia, los controles son de carcter general y ya estn
basados en las mejores prcticas.

Procede

En el paso 3 se establecen las condiciones bajo las cuales una organizacin

debera establecer funciones y obligaciones. El objetivo de control Estructura
Organizacional ya contempla un control de Designacin de deberes en seguridad y
proteccin de datos personales. Finalmente, respecto a las revisiones con terceros
se contemplan los controles de Revisin de Implementacin, Identificacin de
riesgos de terceros, Requerimientos de seguridad en contratos con terceros y
Requerimientos de seguridad en contratos con servicios de almacenamiento de
informacin y cmputo en la nube.

Se tomar la idea para cambiar la redaccin por:

Mantener un registro de los datos personales recolectados y tratados por la
organizacin en cualquier soporte fsico o electrnico, teniendo especial atencin
en los datos sensibles, financieros y patrimoniales.

No Procede

Procede

Procede

Se cambiar la redaccin original por:

Deben existir polticas y procedimientos para el manejo uso de soportes
informticos extrables como memorias USB, discos, cintas magnticas, etc.

Procede

Se cambiar la redaccin original por:

Se debe hacer uso adecuado del correo electrnico, mensajera instantnea y
redes sociales, utilizando mecanismos que permitan bloquear la recepcin de
archivos potencialmente inseguros, mensajes no solicitados, no deseados o de
remitente no conocido.

Procede

No Procede

Se sugiere la siguiente redaccin:

Debe existir un proceso de autorizacin formal para hacer pblica informacin, por
cualquier medio de difusin.
Cuando se publica un discurso o una nota de prensa, o bien para sistemas de
acceso pblico (por ejemplo, pginas web para publicacin de concursos, rifas,
entre otros), deben existir mecanismos para que la informacin mantenga su
integridad y que no permita ser el medio para daar otros activos ubicados dentro
de la organizacin.

Procede

No Procede

No Procede

Procede

Procede

No Procede

Procede

Observaciones IFAI y/o acciones a tomar

Si bien en el Anexo D existen controles como, "Revisin de cumplimiento tcnico" y "Procedimientos
de accin en caso de incidentes o vulneracin de seguridad", que contemplan la revisin y
monitoreo de los sistemas, se puede retomar la idea general del comentario para mejorar la redaccin del
control "Monitorear el uso del sistema":
"Debe haber procedimientos para el monitoreo del uso correcto de los activos y el adecuado
comportamiento de los sistemas. Los usuarios slo deben hacer las actividades para las cuales estn
explcitamente autorizados."

En Identificacin de Activos del Paso 5 se incluye una nota tcnica donde se mencionan mecanismos para
disminuir el nivel de riesgo, tales como disociacin: se aislan los datos de manera que por si mismos no
aporten informacin valiosa de un titular o ste no pueda ser identificable. El enmascaramiento de los datos
es un control especfico de la disociacin que podra implicar tecnologa especial.

Se modific la tabla.

Se modific la redaccin.

En cuanto a la Documentacin del SGSDP se movi al objetivo de control "Polticas del SGSDP".

Se cambi a la seccin del objetivo de control:

"Polticas del SGSDP"
En cuanto a los controles Seguridad de oficinas e instalaciones y Equipos de proteccin fsica, se integraron
en un mismo control "Seguridad en entornos de trabajo".

No es viable integrar este control con el de Almacenamiento privado debido al cambio en la redaccin
original.

Ya se contemplan dos controles relacionados, el primero es Designacin de deberes en seguridad y

Proteccin de Datos Personales y el otro es Monitorear el uso de los sistemas.

Se modific la redaccin.

En Identificacin de Activos del Paso 5 se incluye una nota tcnica donde se mencionan mecanismos para
disminuir el nivel de riesgo, tales como disociacin: se aslan los datos de manera que por si mismos no
aporten informacin valiosa de un titular o ste no pueda ser identificable. El enmascaramiento de los datos
es un control especfico de la disociacin que podra implicar tecnologa especial.

En el paso 3 se establecen las condiciones bajo las cuales una organizacin debera establecer funciones y
obligaciones. El objetivo de control Estructura Organizacional ya contempla un control de Designacin de
deberes en seguridad y proteccin de datos personales. Finalmente, respecto a las revisiones con terceros
se contemplan los controles de Revisin de Implementacin, Identificacin de riesgos de terceros,
Requerimientos de seguridad en contratos con terceros y Requerimientos de seguridad en contratos con
servicios de almacenamiento de informacin y cmputo en la nube.

Se integraron los dos controles en Gestin de usuarios y contraseas

Se integr en el control Equipos sin atender, lo referente a bloqueo de equipo.

El comentario de este control se responde con los objetivos de control: Segregacin de tareas y Separacin
del rea de desarrollo de sistemas de datos personales.

Se unificaron todos los controles relacionados a incidentes en el objetivo de control: Vulneraciones de

seguridad.