Guia para implementar SGSDP

1. PRESENTACIÓN

Autor Empresa

Manuel Ballester AUREN

Ing. Leonel Navarro, PMP, CISSP

AMIPCI, A.C. AMIPCI, A.C.

1. PRESENTACIÓN

Comentario

Falta tomar en consideración la Norma ISO 27001:2013 , 27002:2013

En la página 2 se menciona lo siguientes: “de modo tal que al determinar el riesgo en un escenario específico de la organización, se pueda evaluar el impacto y realizar un estimado de las medidas de seguridad necesarias para preservar la información personal.” Al detectar el Riesgo se debe evaluar el Impacto y la Probabilidad de que suceda.

Si bien uno de los estándares en la implementación de sistemas de gestión de seguridad de información es ISO27001:2005, la realidad es que en la versión del ISO27000:2013 ya está aquí, incluye cambios que aunque son menores incluyen de algún forma una simplificación en los controles por lo que sería fabuloso que antes de la publicación definitiva, se pudiera realizar una revisión del documento para asegurar que los controles mencionados también se alinean, de esta forma el IFAI se posicionaría como una entidad que emite recomendaciones que son actuales y vigentes al día de hoy, y así no quedar atrapados en el pasado, pues el ISO27000:2005 analizado se publicó en 2005, hace 8 años.

La guía definitivamente es muy completa y lo suficientemente práctica para que cualquier persona pueda entender las bases de lo que es necesario realizar para estar alineado a las recomendaciones hechas por la Ley, sin embargo todas estas recomendaciones me parecen excesivas para aquellas micro y pequeñas empresas que también manejan datos personales, se me viene a la mente algunos pequeños laboratorios médicos que con el afán de exceder las expectativas de sus clientes inocentemente suben los resultados de los análisis médicos con toda la información personal a sitios web poco seguros que exponen los datos, para estos pequeños negocios el establecer un programa tan completo implicaría un costo excesivo. Mi sugerencia es que así como se hace la distinción del costo de implementar un sistema de gestión en base al tamaño de la compañía, asimismo el IFAI publicará una guía enfocada a aquellos micro y pequeños negocios donde se sugieran controles básicos para proteger la información. Desde mi punto de vista esto facilitaría la adopción de las recomendaciones y reduciría la apatía de aquellos pequeños negocios hacia la ley.

1. El modelo está diseñado para empresas que cuenten con un grado de madurez importante en temas de tecnologías de información. El modelo simplemente sería altamente costoso de implementarse en la mayoría de las pequeñas y medianas empresas del país y completamente inoperante en organizaciones con un esquema de conocimiento medio-bajo en temas de tecnologías de información.2. Bajo la clasificación de riesgo propuesta al volumen de titulares, el modelo propuesto propone colocar en un grado de riesgo relativamente bajo a las organizaciones que manejen datos personales con un volumen bajo de titulares [...].3. Dicho lo anterior en un modelo de riesgo, el volumen de datos de titulares no implica necesariamente una disminución del riesgo, y cuya clasificación en la mayoría de los terceros en México caerían en los supuestos de riesgo inherente medio y reforzado. Lo que implica que la estrategia de seguridad de datos personales propuesta tendría que apegarse en gran medida a las recomendaciones establecidas en el trabajo realizado a un riesgo alto. En cuyo caso, el costo de administración, implementación y seguimiento del marco, implicaría la adquisición de tecnología y personal capacitado que no necesariamente estaría en capacidad de pago del negocio en cuestión4. No se encontraron apartados de concientización y empoderamiento de la responsabilidad dentro del personal de la organización. Suponga el caso del negocio típico con entrega a domicilio. Existe el intercambio de información en medios electrónicos, en el proceso de venta, por tanto información de riesgo inherente medio y reforzado por la información de pago, pero al entregarse la misma en una etiqueta de papel para la entrega de información, completamente fuera de los medios de protección digital y fronteras establecidas en los modelos analizados. Ahora, el repartidor de la misma empresa, cuenta con el nombre, dirección y a la entrega del bien o servicio adquirido, ahora cuenta con información patrimonial implicando lo establecido en el riesgo reforzado (¿Cual es la responsabilidad del comercio vs la responsabilidad del repartidor en el cuidado de la información?). Recordemos que la mayor parte de fuga de información es generada por los actores del negocio mismo.[...]5. El modelo aparenta ser con un enfoque hacia el gran corporativo, y en dicho caso, el framework del estándar 2700x no es el único modelo actual para poder cubrir con los requerimientos establecidos dentro de la normatividad, y al mismo tiempo, para generar una autorregulación válida.

1. PRESENTACIÓN

Redacción original

1. PRESENTACIÓN

Redacción propuesta Procede/ No procede

Procede

No Procede

Procede

No Procede

No Procede

1. PRESENTACIÓN

Observaciones IFAI y/o acciones a tomar

Durante la elaboración de la Guía se tomaron en consideración las actualizaciones que tendrían en 2013 los estándares ISO 27001 y 27002, sin embargo no se incluyeron en las referencias por no estar en su versión final en ese momento. Con su reciente publicación oficial, se pueden integrar como referencias.

En el mismo párrafo citado se puede leer:"Esta guía se basa en la seguridad a través de la gestión del riesgo de los datos personales, entendiéndose de forma general al riesgo como una combinación de la probabilidad de que un incidente ocurra y de sus consecuencias desfavorables de modo tal que al determinar el riesgo en un escenario específico de la organización, se pueda evaluar el impacto y realizar un estimado de las medidas de seguridad necesarias para preservar la información personal."Es decir, se define al riesgo como una combinación de la probabilidad de que un incidente ocurra y su impacto.

Durante la elaboración de la Guía se tomaron en consideración las actualizaciones que tendrían en 2013 los estándares ISO 27001 y 27002, sin embargo no se incluyeron en las referencias por no estar en su versión final en ese momento. Con su reciente publicación oficial, se pueden integrar como referencias.

Si bien la Guía es de carácter general y por tanto el costo de implementación es proporcional a la organización, es cierto que podría requerir de conocimiento especializado. En el caso de MIPYMES por ejemplo, se puede incrementar la seguridad de manera significativa a través de controles de seguridad de bajo costo basados en la prevención, cambio de hábitos y revisión de configuraciones elementales. En este sentido el Instituto está trabajando en herramientas como un Manual en materia de seguridad de datos personales para MIPYMES.

1. Si bien, el modelo implica un grado de madurez importante en temas de tecnología de información y requiere la inversión de recursos, las Recomendaciones en materia de seguridad de datos personales (las Recomendaciones), son un marco de referencia para dirigir y controlar el proceso de la Seguridad de Datos Personales adaptable a cualquier tipo de organización. No obstante, en consideración de lo anterior y como apoyo a las empresas MIPYMES, el IFAI tiene contemplada la emisión de un Manual en materia de Seguridad para MIPYMES,para que las MIPYMES" cuenten con una herramienta que los oriente a cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y las Recomendaciones.4. La Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales contiene la siguiente sección:CapacitaciónLa mejor medida de seguridad contra posibles vulneraciones es contar con personal consciente de sus responsabilidades y deberes respecto a la protección de datos personales y que identifiquen cuál es su contribución para el logro de los objetivos del SGSDP. Por ello, se deben establecer y mantener programas de capacitación que mantengan vigente al SGSDP como:a) Concienciación: programas a corto plazo para la difusión en general de la protección de datos personales en la organización;b) Entrenamiento: programas a mediano plazo que tienen por objetivo capacitar al personal de manera específica respecto a sus funciones y responsabilidad en el tratamiento y seguridad de los datos personales y;c) Educación: programa general a largo plazo que tiene por objetivo incluir la seguridad en el tratamiento de los datos personales dentro de la cultura de la organización.En ese sentido, en cuanto a su pregunta del caso planteado: ¿Cuál es la responsabilidad del comercio vs la responsabilidad del repartidor en el cuidado de la información? La respuesta es: La responsabilidad en todo momento, es de la persona que decide sobre el tratamiento de los datos personales y es quien deberá establecer las políticas y procedimientos para que el personal al interior de la organización sea consciente de su responsabilidad y conozca sus obligaciones en materia de protección de datos personales.5. La Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales no está basada sólo en el marco del estándar 2700x, la Guía es un ejercicio de concreción, síntesis y armonización de los estándares y mejores prácticas internacionales en materia de seguridad de la información y privacidad, que tiene como objetivo general orientar a los responsables y encargados para crear un marco de trabajo que a través de un proceso de mejora continua se logre la protección de los datos personales. Es importante señalar que la adopción de las Recomendaciones en materia de seguridad de Datos Personales, así como de las herramientas que se derivan es de carácter voluntario, por lo que los responsables y encargados podrán decidir libremente qué modelo conviene más aplicar en su organización para la seguridad de los datos personales y más aún para generar una autorregulación en su negocio.

2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES. - 2.1 Definiciones

Autor Empresa Comentario


En definiciones en Riesgo se recomienda usar la definición de ISO 31000:2009

En definiciones falta la definición de Riesgos inherente

César Vallarta Santillana Abogados.

Se considera que la definición de personal de Alta Dirección de las empresas es muy ambiguo y se contrapone con el concepto que se plantea en la propia guía respecto a los que denomina tomadores de decisión:Tomadores de decisión. Son aquéllos con responsabilidad funcional sobre los activos de información y de soporte como: los custodios o responsables de los activos primarios, administradores de la organización, responsables de un proceso o de un proyecto en específico. La contingencia redundaría en que en el flujo de tratamiento y manejo de datos personales no quedaría clara la responsabilidad entre un tomador dedecisión de la empresa y un tomador de decisión relacionado con el manejo de datos personales.

Existe un riesgo derivado de la definición tan amplia de lo que se debe entender como activo, pues de acuerdo al principio de disponibilidad que se maneja en la propia guía, dicha disponibilidad en una investigación que realizará el Instituto o cualquier tercero al que se encargara una auditoría de los sistemas, daría lugar a una intromisión a los recursos de la empresa sin que se establezca un límite claro.

A esta definición le falta incluir el estado de salud pasado, para ser acorde a la definición de datos con riesgo inherente alto que viene en la propia Guía.

César Vallarta Santillana Abogados.

En el apartado de definiciones, debería incluirse el significado de la locución “análisis de brecha”, pues se trata de un elemento que es multicitado y referenciado en la Guía.Se propone que se establezca la definición en el apartado respectivo, que se contiene en el texto de la guía:El análisis de brecha consiste en identificar: • Las medidas de seguridad existentes • Las medidas de seguridad existentes que operan correctamente • Las medidas de seguridad faltantes • Si existen nuevas medidas de seguridad que puedan remplazar a uno o más controles implementados actualmente. Proporcionándole una redacción general.


Redacción Original

Riesgo. Combinación de la probabilidad de un evento y su consecuencia desfavorable.

DEFINICIONESAlta Dirección. Toda persona con poder legal de toma de decisión en las políticas de la organización. Por ejemplo: la junta directiva, ejecutivos y trabajadores experimentados, la persona a cargo del departamento de datos personales, los socios de la organización, el dueño de una empresa unipersonal o quien encabeza la organización.

Disponibilidad. Propiedad de un activo para ser accesible y utilizable cuando lo requiera una entidad autorizada.(Activo. La información, el conocimiento sobre los procesos, el personal, hardware, software y cualquier otro recurso involucrado en el tratamiento de los datos personales, que tenga valor para la organización.)

Datos personales sensibles. Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquéllos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.



“Es el efecto de la incertidumbre en la consecución de los objetivos” No Procede

No Procede

Procede

Procede

Procede

Disponibilidad. Propiedad de un activo para ser accesible y utilizable cuando lo requieran personas, entidades o procesos autorizados.

Datos personales sensibles. Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquéllos que puedan revelar aspectos como origen racial o étnico, estado de salud pasado, presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

No Procede



Se modificó la definición para evitar confusión.

Se modificó la definición.

La definición de ISO 31000 por sí misma es muy general y requiere la aclaración de conceptos como "incertidumbre" y "consecución de los objetivos", los cuales son menos intuitivos y para el alcance del documento equivale a "probabilidad de un evento" y "consecuencias desfavorables", respectivamente.

"Riesgo Inherente", es una propiedad que hace referencia al riesgo al que están sujetos los datos personales por su valor, no es un concepto aplicable a todos los Activos dentro del alcance del SGSDP.

Se modificó la definición de tomadores de decisión por:Son aquéllos con responsabilidad funcional sobre los activos como: los responsables del departamento de datos, administradores de sistemas, responsables de un proceso o de un proyecto en específico.

El análisis de brecha más que una definición, es un proceso desarrollado en el paso 6. Identificación de las medidas de seguridad y análisis de brecha

2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES. - 2.2 ¿Qué es un Sistema de Gestión?



Actualmente Las secciones del enfoque a procesos y la compatibilidad con otros estándares viene de la alineación al Anexo SL de las Directivas de ISO/ IEC Parte 1

El Modelo PDCA(Plan‐Do‐Check‐Act) ya ha dejado de estar operativoTodas las normas de sistema de gestión de la calidad (como ISO 9001, ISO 14001, ISO 27001, ISO 20000-1, ISO 22301, etc) a partir del año 2012, ya sean normas de nueva publicación, o revisión de las existentes, tendrán la misma estructura común en el denominado Anexo SL.

Las normativas de ISOs está empanzando cambiara sus procesos de Deming por el del Anexo SL , sería recomendable iniciar con el nuevo proceso y no después tener que cambiarlo.


Redacción Original



No Procede

No Procede

No Procede



La Guía es el resultado de un ejercicio de concreción, síntesis y armonización con objeto de facilitar el análisis de las normas y estándares a los que se hace referencia en la página 1 del documento, y no sólo de los estándares ISO. En este sentido, se identificó que el marco de trabajo común es el ciclo PHVA. Si bien los estándares ISO más recientes hacen referencia al Anexo SL, éste ofrece directivas y mecanismos de análisis de contexto que se ajustan a las carácteristicas de PHVA tal que éste último no pierde vigencia. Finalmente, el objetivo del Anexo SL es unificar la estructura y requerimientos de todos los estándares ISO nuevos y sus actualizaciones, y no cambiar o proponer nuevos modelos de trabajo.

2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES. - 2.3 Introducción al Sistema de Gestión


Jorge Castañeda

Telefónica México

César Vallarta Santillana Abogados

En la tabla, el encabezado “Ciclo” más bien debería ser “Fase” porque es uno de los elementos del ciclo; donde dice “Fase” debería decir “Actividad” o “Descripción de la Fase”En la columna de pasos, debería incluirse como otro paso, la identificación del flujo del dato, en qué etapa de la operación se genera la información: “generación/obtención, procesamiento, intercambio, transferencia, consulta, almacenamiento, retención, recuperación, disposición final”.

Sería importante incluir que en esa etapa no sólo se gestionan los riesgos, sino que también se identifica el tipo de dato, proceso dónde se tratamiento. Esto facilitará la identificación e implementación de medidas de seguridad.Un Sistema de Gestión de Seguridad de Datos Personales no tendría por qué tener como objetivo mejorar el cumplimiento de la legislación, pues ésta se cumple o no se cumple, no existe bueno, regular o mal cumplimiento que pudiera ser mejorable.

No existe en la guía ningún parámetro o principio que permita conocer cuáles son los elementos a considerar al establecer un indicador de medición, con lo que se crea una incertidumbre jurídica sobre lo que es medible y cómo es que debe darse la medición correspondiente.


Redacción Original

Ciclo - Fase

2.3 Introducción al Sistema de Gestión de Seguridad de Datos Personales En particular, el SGSDP tiene como objetivo proveer un marco de trabajo para el tratamiento de datos personales que permita mantener vigente y mejorar el cumplimiento de la legislación sobre protección de datos personales y fomentar las buenas prácticas.

Numeral 7 del PHVAImplementar y operar las políticas, objetivos, procesos, procedimientos y controles o mecanismos del SGSDP, considerando indicadores de medición.



Se cambió a una posición vertical de la tabla la palabra Ciclo.

Procede

No Procede

No Procede

Procede

Procede

No es necesario un paso como tal, debido a que el procedimiento de identificación del flujo de datos se realiza dentro del Paso 4. Inventario de Datos Personales, el cual debe identificar o estar vinculado con la información básica que permita conocer el tratamiento al que son sometidos los datos, y que se relaciona de manera directa con el flujo de los datos personales: • Obtención; • Uso:o Accesoo Manejoo Aprovechamientoo Monitoreoo Procesamiento (incluidos los sistemas que se utilizan para tal fin)• Divulgación:o Remisioneso Transferencias• Almacenamiento; • Bloqueo; • Cancelación, supresión o destrucción.

El procedimiento de identificación de datos personales también se lleva a cabo dentro del Paso 4 Inventario de Datos Personales.

En particular, el SGSDP tiene como objetivo proveer un marco de trabajo para el tratamiento de datos personales que permita mantener vigente y mejorar la protección de datos personales para el cumplimiento de la legislación y fomentar las buenas prácticas.

Implementar y operar las políticas, objetivos, procesos y procedimientos del SGSDP, así como sus controles o mecanismos con indicadores de medición.



Se modificó la redacción.


3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1. Planear el SGSDP

Autor Empresa


Comentario


Redacción Original





3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 1. Establecer el Alcance y los Objetivos



No se pude obtener el alcance, los objetivos y la Política de gestión sin antes haber desarrollado un inventario de datos junto un análisis de riesgos.


Redacción Original



No ProcedeSe sugiere le siguiente esquema

Comprender a la Organización

• Inventario de datos Personales y de Sistemas (en el artículo 61 de RLFPDPPP refiere a un inventario de datos y de sistemas, no solo de datos).• ASSESSMENT ( sobre la LFPDPPP)• Comprender las necesidades y expectativas de las partes interesadas• Determinar el Alcance y los Objetivos• Elaborar una Política de gestión de datos personales • Planificación SGSDP o Análisis de Riesgos. Evaluación de Riesgos Tratamiento de los Riesgos Objetivo y plan para lograr los S.I o Identificar las medidas de seguridad y análisis de brechas o Plan de ACCIÓN o Recurso (Material y Humano) o Capacidad o Control de la Información documentada• Implantar la Política, los planes de acción y las medidas de seguridad para mitigar los riegos• Auditoria Interna (sobre el cumplimiento del SGSDP)• Revisión por la Dirección.• No conformidades y acciones Correctivas• Mejora continua



Dentro del Paso 1 se desarrollan los factores contractuales, legales y regulatorios, de modelos de negocio y tecnológicos necesarios para generar los alcance y objetivos en relación a los procesos involucrados en el tratamiento de los datos personales. Con esos factores en el Paso 2 se desarrollan políticas y en el Paso 3 se establecen funciones y obligaciones para el tratamiento de datos personales en el SGSDP.

Sin el desarrollo de estos pasos, previos al inventario de datos personales y de activos, se podría actuar fuera del contexto de la organización. Es más intuitivo que las organizaciones identifiquen activos dentro de sus procesos de negocios, en lugar de identificar activos y luego ver como se alinean a dichos procesos como lo propone en su redacción.

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 2. Elaborar una Política de Gestión de Datos Personales



Redacción Original





3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 3. Establecer Funciones y Obligaciones de Quienes Traten Datos Personales



Redacción Original





3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 4. Elaborar un Inventario de Datos Personales.


Mazars

Gabriel Sanders Trustwave

Jorge Castañeda Telefónica México

Gerardo Castro Vázquez

En la definición de personas de alto riesgo se identifica a todos los titulares que puedan ser reconocidos como personajes públicos; sin embargo, el hecho de ser personajes públicos implica que sus datos de identificación (mencionados en el documento) son conocidos por una gran parte de la población – tanto nacional como internacional – por lo que perdería sentido resguardar su privacidad.Para los personajes públicos, resulta muy relevante y significativo incrementar el nivel de riesgo inherente de los datos, de un nivel medio a un nivel alto para aquellos que permitan conocer:- la ubicación física de la persona;- dependientes, beneficiarios, familiares, referencias laborales, referencias personales, etc.;- aquéllos que permitan inferir el patrimonio de la persona;- los datos de autenticación; y- los datos jurídicos. Ahora bien, para aquellas personas que se encuentren relacionadas con la impartición de justicia y seguridad nacional y, que por la naturaleza de sus actividades sea imperativo guardar su anonimidad o que no sean personajes públicos, debería considerarse de riesgo inherente reforzado cualquier dato personal.

* Clarificar que los datos sensibles (CHIP, BANDA, Tracks) solo podrán ser almacenados por entidades como Bancos .* Es posible que los emisores de tarjetas y las empresas que respaldan los servicios de emisión almacenen datos confidenciales de autenticación si existe una justificación de negocio y los datos se almacenan de forma segura.PCI - Req 3.2

Por la recomendación del IFAI, los datos que proporcionan la información financiera, se están considerando como información con impacto medio;sin embargo, dentro de las operaciones, si alguien tiene acceso a ésta información y la utiliza con dolo, se puede afectar al titular fuertemente: historial crediticio, ingresos, buró de crédito, número de la tarjeta de crédito y/o débito; por lo que ésta información sensible, debería estar considerada como de nivel alto. Y sería importante reforzar que ésta información al estar relacionada entre sí, sea considerada como datos con riesgo inherente reforzado.



Se menciona que la información de autenticación de los usuarios, es de nivel medio y se incluye lo relacionado a “información biométrica”; sin embargo, dentro de las recomendaciones del IFAI, la información biométrica está clasificada como de nivel alto y en consecuencia debería estar dentro de los “datos con riesgo inherente alto o reforzado”.Incluso se indica que la autenticación por firma autografa y electrónica, se debe considerar como dato con reisgo inherente de nivel medio, siendo que la firma es de nivel básico. Es importante hacer hincapié, que éstos datos si están relacionados entre sí, como es el caso nuevamente de la TDC/TDD, deben estar considerados como “dato con riesgo inherente reforzado”.

Contemplar el término de personas de alto riesgo es una clasificación que la ley no establece y que es un criterio ambiguo para el tratamiento de los datos personales de terceros, que conlleva a incertidumbre para el negocio, pues en un momento dado sería facultad discrecional del IFAI determinar si tuviste que tomar como empresa diversas medidas de protección por las características propias de los terceros que te proporcionan datos personales con motivo de la relación preestablecida. Máxime que se reconoce que el IFAI no determinado criterios institucionales al respecto. Por lo que se considera que no debería existir esta clasificación por ser meramente subjetiva.


Redacción Original

"Las personas de alto riesgo son aquéllas cuya profesión, oficio o condición están expuestas a una mayor probabilidad de ser atacadas debido al beneficio económico o reputacional que sus datos personales pueden representar para un atacante. Por ejemplo, líderes políticos, religiosos, empresariales, de opinión y cualquier otra persona que sea considerada como personaje público. Asimismo, se considera a cualquier persona cuya profesión esté relacionada con la impartición de justicia y seguridad nacional. Tratar datos de personas de alto riesgo involucra que la base de datos contiene nombres de figuras públicas que pueden ser reconocidas a primera vista, así como información personal donde se infiera o se relacione explícitamente con su profesión, puesto o cargo en combinación con datos de identificación como nombre, domicilio, entre otros."

d) Datos con riesgo inherente reforzadoInformación adicional de tarjeta bancaria que considera el número de la tarjeta de crédito y/o débito mencionado anteriormente en combinación con cualquier otro dato relacionado o contenido en la misma, por ejemplo fecha de vencimiento, códigos de seguridad, datos de banda magnética o número de identificación personal (PIN).

Las personas de alto riesgo son aquéllas cuya profesión, oficio o condición están expuestas a una mayor probabilidad de ser atacadas debido al beneficio económico o reputacional que sus datos personales pueden representar para un atacante. Por ejemplo, líderes políticos, religiosos, empresariales, de opinión y cualquier otra persona que sea considerada como personaje público. Asimismo, se considera a cualquier persona cuya profesión esté relacionada con la impartición de justicia y seguridad nacional. Tratar datos de personas de alto riesgo involucra que la base de datos contiene nombres de figuras públicas que pueden ser reconocidas a primera vista, así como información personal donde se infiera o se relacione explícitamente con su profesión, puesto o cargo en combinación con datos de identificación como nombre, domicilio, entre otros. Las categorías antes descritas son sólo una orientación, ya que el Pleno del IFAI no ha emitido criterios institucionales al respecto, además de que ciertos datos personales que en principio no se consideran sensibles, podrían llegar a serlo dependiendo del contexto en que se trate la información.



No Procede

Procede

Procede

Los datos que se mencionan como Información adicional de tarjeta bancaria son sólo ejemplos de los tipos de datos que se podrían asociar a la misma y que de ser así se convertirían en Datos con riesgo inherente reforzado. No obstante, se mencionará como ejemplo debido a que cada organización debe atender y cumplir su normativa aplicable en cuanto al tratamiento de la información que posee.

Procede



Todo titular tiene derecho a la privacidad, sin importar sin son personas públicas o cuyo perfil requieran anonimato. Ahora bien, tratar datos de personas de alto riesgo involucra que la base de datos contiene nombres de titulares que pueden ser reconocidos a primera vista, así como información personal donde se infiera o se relacione explícitamente con su profesión, puesto o cargo en combinación con datos de identificación como nombre, domicilio, entre otros.

Las categorías descritas son sólo una orientación. Se reduce la clasificación a tres niveles básico, alto y reforzado. Ver cambios en la versión final de la Guía.

Se reduce la clasificación a tres niveles básico, alto y reforzado. Ver cambios en la versión final de la Guía.


3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 5. Realizar el Análisis de Riesgo de los Datos Personales.


Gerardo Castro Mazars

En el párrafo sobra una preposición en el último renglón.


César Vallarta

Es importante considerar que para el riesgo alto de “información adicional al número de tarjeta bancaria”, se incluya lo referente al código de seguridad así como lo referente a tarjetas de crédito, quedando en mismo rubro ya que están relacionadas de forma inherente al proceso de “Autenticación”, como lo es la firma autografa y electrónica. También es necesario considerar el tema de Autenticación como riesgo de nivel alto, ya que si se ingresa a la información de la empresa (chica, mediana o grande), sus consecuencias son de alto impacto.Un evento negativo en el tratamiento de datos personales que vulnere su protección puede causar diversos impactos; sin embargo para efectos del cumplimiento de la ley en la materia tomar como referencia de este impacto el valor de los datos para la organización, el incumplimiento de obligaciones interpersonas, el daño producido al titular y a la reputación del negocio, no son criterios que puedan medir dicho impacto, pues ya nos encontraríamos en la arena de las suposiciones, porque lo que para uno es valioso, importante o grave para otro no lo es o será, en fin, se considera que contemplar éstos como criterios del impacto crea incertidumbre jurídica para el negocio.

César Vallarta

Santillana Abogados

Conocimiento de procesos del negocio. Incluye subprocesos y actividades. Procesos cuya modificación, pérdida o degradación evitarían cumplir con la política de protección de datos personales de la organización. Procesos que contienen subprocesos secretos o involucran tecnología propietaria para el tratamiento de datos personales. Procesos que son necesarios para cumplir con requerimientos contractuales, legales o regulatorios de la organización. Sobre el particular, es preciso insistir en que con el campo tan amplio que se le da al concepto de activo (primarios y de apoyo), existe una latente posibilidad de intromisión a los recursos de la empresa sin que se establezca un límite claro. Máxime que la posibilidad que contempla la Guía de dar a conocer procesos del negocio, incluyendo aquellos que contengan subprocesos secretos o tecnología propietaria del negocio, es una cuestión que debe acotarse.


Redacción Original

“Los criterios de aceptación del riesgo pueden incluir requerimientos para una gestiónfutura, por ejemplo, un riesgo puede ser aceptado si hay aprobación y el compromiso dela Alta Dirección para tomar acciones que permitan reducirlo a un nivel aceptable dentrode un periodo de definido más adelante.”

Criterios de impacto. Se definen en términos del posible nivel de daño y perjuicio al titular causado por un evento negativo a la seguridad de los datos personales, considerando:• El valor de los datos para la organización• El incumplimiento con las obligaciones legales y contractuales relacionadas con el titular• Vulneraciones de seguridad (art. 63 del reglamento)• Daño a la integridad de los titulares de datos personales• Daño a la reputación de la organización.

Artículo 61 del Reglamento de la LFPDPPP: “IX. Realizar un registro de los medios de almacenamiento de los datos personales.” Se pueden identificar dos tipos de activos: • Activos primarios, corresponden a la esencia de la organización: o Información relativa a los datos personales o Información de procesos del negocio en los que interviene el flujo de datos personales y actividades involucradas en el tratamiento de los mismos • Activos de apoyo, en los cuales residen los activos primarios, como son: o Hardware o Software o Redes y Telecomunicaciones o Personal o Estructura organizacional o Infraestructura adicional



Procede

Procede

No Procede

“Los criterios de aceptación del riesgo pueden incluir requerimientos para una gestiónfutura, por ejemplo, un riesgo puede ser aceptado si hay aprobación y el compromiso dela Alta Dirección para tomar acciones que permitan reducirlo a un nivel aceptable dentrode un periodo definido más adelante.”

No ProcedeProcesos cuya modificación, pérdida o degradación evitarían cumplir con la política de protección de datos personales de la organización.



Se modificó la redacción original


Estos criterios de impacto se pueden valorar de manera cualitativa, cuantitativa o ambos. Además las organizaciones podrán establecer sus propios criterios de impacto en función de sus alcances y objetivos establecidos para la protección de datos personales.

La Guía sólo es una herramienta para brindar orientación a los involucrados en el tratamiento de datos personales, no estipula líneas de operación por parte del Instituto. Por otra parte, el control "Conocimiento de Procesos de Negocio" únicamente hace referencia a un tipo de activo primario en el que las organizaciones deben prestar atención para identificar dicho tratamiento. Se modificó la redacción para evitar confusión.

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 1 - PASO 6. Identificación de las medidas de seguridad y Análisis de Brecha.


Jorge CastañedaTelefónica México

En el párrafo de la página 24, en el paso 6, se hace referencia a seleccionar las medidas de seguridad, se indica cómo se clasifican en general y sugieren que una vez identificados los activos y procesos, se realice un análisis de brecha para detectar medidas de seguridad existentes, las que operan correctamente, cuáles están faltando y cuáles son las nuevas que se requieren; y que se seleccionen del anexo D. Sin embargo, al revisar el resumen o síntesis indicado en la página 37, punto 4. Síntesis de la Implementación del SGSDP, en el paso 6, no sólo indican que se realice la evaluación de las medidas de seguridad, sino que además se indica que se consideren los controles de seguridad de los diferentes dominios pero la estructura y redacción no coincide con lo descrito en la página 24. Además de que el paso6, contiene una viñeta adicional y está fuera del margen de la Fase ; esto, considerando que es parte de la Fase 1.


Redacción Original

Con base en el análisis de riesgos se deberán selecciónar e implementar las medidas de seguridad que permitan disminuir los riesgos, estas medidas podrán ser administrativas, técnicas o físicas, y podrán ser seleccionadas del listado mostrado en el Anexo D.



ProcedeSe modificó la redacción:Con base en el análisis de riesgos se deberán seleccionar e implementar las medidas de seguridad administrativas, técnicas o físicas que permitan disminuir los riesgos, y podrán ser seleccionadas del listado mostrado en el Anexo D. Dichos controles de seguridad se han agrupado en 10 dominios principales que son:1. Políticas del SGSDP2. Cumplimiento legal3. Estructura organizacional de la seguridad4. Clasificación y acceso a los activos5. Seguridad del personal6. Vulneraciones de Seguridad7. Seguridad física y ambiental8. Gestión de comunicaciones y operaciones9. Control de acceso10. Desarrollo y mantenimiento de sistemas.



3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 2. Implementar y Operar el SGSDP



Redacción Original





3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 2 - PASO 7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales

Autor Empresa

Carlos A. Ayala Rocha Asociación de Seguridad Informática Mexicana (ASIMX)

Ing. Leonel Navarro, PMP, CISSP



Comentario

Sugiero se establezca clara y explícitamente un proceso de Monitorización de los componentes arquitectónicos de la infraestructura: redes (externas, interna, dmz, inalámbricas), protocolos, servicios, y aplicaciones

Compartir el riesgo es involucrar al departamento legal para que valide que los contratos establecidos entre las partes realmente compartan el riesgo y por ente las consecuencias. Por lo general un proveedor de servicios en la nube no comparte el riesgo, al contrario dependiendo del modelo de consumo (IaaS,PaaS, SaaS) se comparten las responsabilidades, por lo que se debe poner especial atención en evaluar al proveedor antes de compartir datos con el afán de compartir el riesgo. Por otro lado en el ISO27002:2013 a diferencia del 27002:2005 el control asociado a la identificación de riesgo relacionados a terceros (A.6.2.1) fue removido por considerarse como requerimiento en la evaluación de riesgo/tratamiento de riesgo en el ISO27001.

La obligación solidaria para el negocio poseedor de datos personales de particulares que se establece aun cuando se tenga un tercero que intervenga en la mitigación de efectos de riesgo es muy amplia, pues no disminuye la responsabilidad por la protección; lo que es delicado pues abre la puerta a que ante una vulneración no propia a la seguridad en el tratamiento de los datos personales, el negocio mantenga el mismo nivel de responsabilidad cando no existe un control directo sobre los recursos de ese tercero interventor.

No se define o remite a la ley en específico, para advertir qué tipo de comités deben establecerse en el caso concreto.


Redacción Original

Compartir el Riesgo Implica tomar la decisión de compartir el riesgo con un prestador de servicio que pueda gestionarlo, es decir, un tercero interviene para mitigar los posibles efectos de un riesgo por ejemplo, al contratar un seguro o un proveedor que administre la seguridad de la organización. Cabe mencionar que cuando una organización comparte un riesgo no deja de ser responsable por la protección de los datos personales, además, es importante que se considere que involucrar a un nuevo actor en los procesos de la organización siempre representa un riesgo que debe ser analizado.

La organización debe desarrollar planes de comunicación del riesgo para las operaciones normales, así como para casos de emergencia, es decir, la comunicación del riesgo es una actividad continua. Un método de comunicación entre los tomadores de decisión y las partes interesadas es a través de comités para debatir acerca del riesgo, su tratamiento y aceptación, entre otros asuntos relacionados. Es importante mantener la comunicación entre las áreas afines a la difusión y el departamento de datos personales para responder por ejemplo, a los particulares en caso de incidentes.



. Procede

No Procede

No Procede

No Procede



La Guía contempla el proceso de monitoreo en el Paso 8. Revisiones y Auditoría. Dentro de dicho paso, al inicio de la sección "Revisión de los Factores de Riesgo" se puede leer:

"Se debe monitorear y revisar el riesgo con sus factores relacionados, es decir, el valor de los activos, las amenazas, vulnerabilidades, el impacto, y la probabilidad de ocurrencia, para identificar en una etapa temprana cualquier cambio en el contexto del alcance y objetivos del SGSDP de la organización y así mantener una visión general de la imagen del riesgo".

Esto considera de manera global los activos de apoyo de la organización, incluyendo los componentes arquitectónicos de la infraestructura si, fuera el caso. Ver Anexo A. Ejemplos de Activos, Tipo de Activo: Redes y Telecomunicaciones (Consisten en todos los dispositivos usados para interconectar computadoras o elementos de un sistema de información de voz y/o datos).

Se precisará respecto al monitoreo del riesgo en la Sección Cumplimiento Cotidiano de Medidas de Seguridad del Paso 7.

Se define Compartir el Riesgo como:

"Proceso donde se involucra a terceros para mitigar la pérdida generada por un riesgo en particular, sin que el dueño del activo afectado reduzca su responsabilidad".

Es decir, compartir el riesgo incluye no sólo los seguros y acuerdos legales, sino también la contratación de servicios. Una organización por ejemplo podría considerar migrar ciertos servicios a cómputo en la nube para optimizar costos y/o porque considera que un centro de datos externo podría tener mejores medidas de seguridad que las suyas. En cuanto a los diferentes modelos de cómputo en la nube, cada uno implica un diferente grado de responsabilidad por parte del que lo adquiere y por ello se debe tener en cuenta lo dispuesto en el artículo 52 del Reglamento de la LFPDPPP para adherirse a un contrato adecuado. Compartir el riesgo deriva en un adecuado análisis del contexto de la organización tal que no se adquieran más riesgos de los que se intentan minimizar, por ejemplo el departamento legal tendrá que validar que todos los contratos y acuerdos de servicios con terceros estén alineados a las políticas de privacidad de la organización y al cumplimiento de la LFPDPPP.

La noción de Compartir el riesgo implica habilitar determinadas operaciones y procesos de la organización, dentro de los alcances de la LFPDPPP, no se pueden transferir la responsabilidades legales, por ejemplo los deberes derivados de una vulneración. Queda en manos del Responsable que las contrataciones que se hagan se apeguen a los alcances y objetivos establecidos para la protección de datos.

Los comités tienen por objetivo analizar y comunicar el estado del riesgo, y queda a discreción de la organización, crearlos considerando los roles y responsabilidades definidos, por lo que no es necesario remitir a la ley.

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 3. Monitorear y Revisar el SGSDP

Autor Empresa



Comentario

Falta una directriz clara que garantice la monitorización de los componentes arquitectónicos de la infraestructura: redes, protocolos, servicios, y aplicaciones, en algunos casos en este documento se considera la monitorización de bitácoras, solamente. Este conjunto de indicadores de comportamiento, proporcionarán visibilidad y ayudarán al usuario a poder identificar y detectar amenazas de manera oportuna. Cuanto más próximo a una fase temprana de la ofensiva, se realice la detección, que conlleve a una respuesta incidentes efectiva se podrá proteger de mejor manera la privacidad de la información de los usuarios. Esta monitorización debería considerar, monitorización basadas en datos de sesión, eventos, datos de transacción, datos estadísticos, metadatos, perfilamiento protocolario y en casos de un factor de exposición alto, captura completa de contenido.Se pide que en caso de una intrusión se notifique, lo cual es posible primeramente si la intrusión se detecta. Si nos basamos en el “dwell time” promedio, que es el tiempo en el que los adversarios comprometen un servicio y los afectados se dan cuenta de ello, podemos establecer un tiempo de un año promedio. Un año en gran mayoría por la falta de monitorización, que conlleva a una detección temprana, para poder accionar un proceso de respuesta a incidentes efectivoSe usa en todo el documento el proceso de respuesta a incidentes como un ente sin cohesión a los demás procesos, la monitorización es fundamental para que la detección de intrusiones sea efectiva, y por ende dispare un proceso de respuesta a incidentes a tiempo, es crucial y esto se debe de planificar, y establecer de antemano.


Redacción Original



Procede







3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 3 - PASO 8. Revisiones y Auditoría.

Autor Empresa



Comentario

Considero que es un riesgo para el negocio notificar a través de medios masivos de comunicación. Pues podría causar pánico generalizado, sin justificación.Pues los artículos 64 y 65 de la Ley en la materia, sólo prevé la obligación de informar al titular de los datos personales vulnerados.Artículo 64 del Reglamento de la LFPDPPP: “El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes”.


Redacción Original

Notificación de la vulneración. Una vez identificada la vulneración, ésta se debe comunicar a los titulares de los datos personales para que puedan tomar medidas que mitiguen o eviten una posible afectación. Dependiendo del riesgo que implique para los titulares, la notificación de una vulneración puede ser a través de medios masivos como un anuncio en su página web, periódico, radio y televisión o bien, de manera personalizada.



No Procede



Dentro de la sección "Vulneraciones a la Seguridad de la Información", antes de notificar la vulneración se debe hacer la Identificación de la vulneración, lo que permite seleccionar el medio y procedimiento de notificación pertinente.

3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 4. Mejorar el SGSDP



Redacción Original





3. ACCIONES PARA LA SEGURIDAD DE LOS DATOS PERSONALES - FASE 4 - PASO 9. Mejora Continua y Capacitación.

Autor Empresa



Comentario

Sugiero que los programas de capacitación consideren el entrenamiento en detección de intrusiones, monitorización, y forense.


Redacción Original



No Procede



La sección de "Capacitación" en el Paso 9 menciona que:[... Estos programas de capacitación deben tomar en cuenta elementos como:

"d) Las herramientas tecnológicas relacionadas o utilizadas para el tratamiento de datos personales y para la implementación de medidas de seguridad, y e) Instructores expertos en la materia"....]

Es decir, la capacitación relacionada a la detección de intrusiones, monitorización, forense, sería parte del inciso d) y dependerá del contexto y grado de madurez de las organizaciones.

4. SÍNTESIS DE LA IMPLEMENTACIÓN DEL SGSDP


Carlos A. Ayala Rocha

Gestión de comunicaciones y operaciones es muy ambiguo

Asociación de Seguridad Informática Mexicana (ASIMX)

Sugiero se establezca clara y explícitamente un proceso de Monitorización de los componentes arquitectónicos de la infraestructura: redes (externas, interna, dmz, inalámbricas), protocolos, servicios, y aplicaciones.


Redacción original



No Procede

No Procede







Gestión de comunicaciones y operaciones es un dominio que contempla 19 controles, relacionados con la "gestión de las comunicaciones y operaciones" y la "seguridad en las operaciones", especificados en la ISO 27001:2005, esto con el fin de unificar para los responsables los controles con características similares.

Tabla Comparativa

Autor Empresa


Gerardo Castro Mazars

Tabla Comparativa

Comentario

La mejora continua es un conjunto de planes acción para mejorar el SGSDP y aumentar la madurez de la compañía.

En lo que respecta en la tabla comparativa entre el capítulo III del Reglamento de la LFPDPPP y la Guía conforme al artículo 58 RLFPDPPP sobre vulneraciones de seguridad, el adoptar una SGSDP no ayuda a cumplir con la disposición, se necesita una proceso de atención a vulnerabilidad y un registros de posibles soluciones de incidentes para dar respuesta al titular.

Sobre el Articulo 60 , no se cumple con la disposición con solo hacer un análisis de riesgos, se debe de tener un inventarios de datos y sistemas , alienado con un análisis de riesgos , y elaborar una política de seguridad considerando los elementos que marca el artículo 60 del RLFPDPPP.

Sobre la fracción VI del artículo 60 del RLFPDPPP al implementar las medidas de seguridad no se cumple con lo dispuesto, si no se debe de elaborar un plan de acción para implementar las medidas de seguridad y las actividades que surjan de las brechas.

Se debería de mencionar en la Guía en qué momento se puede hacer una actualización de la política de seguridad y de sus medidas de seguridad conforme a lo que menciona el artículo 62 del RLFPDPPP.

Sobre el artículo 63 del RLFPDPPP vulneración de seguridad, no se debe de considerar el análisis de riesgos ya que e análisis de riesgos es para detectar amenazas y la auditoria nos ayudaría a detectar las vulnerabilidad que existen en la empresa.

En la parte de notificar al titular la vulnerabilidad que surgiera, no es una mejora continua , es una actividad conllevada de un procedimiento de incidentes.

En el documento se expone que la relación entre el Artículo 60 del Reglamento y las Recomendaciones, se encuentra en:Paso 5. Realizar el Análisis de Riesgo de los Datos Personales• Factores para Determinar las Medidas de SeguridadSin embargo, esto limitaría el alcance a la definición de las posibles medidas de seguridad aplicables sin haber realizado una valoración del riesgo; es decir, considerando el riesgo inherente hacia la privacidad y/o seguridad de los datos sin tomar en cuenta los controles que la organización tendría implementados y sin valorar la probabilidad e impacto de los riesgos en el entorno de la organización. En consecuencia, podrían considerarse medidas de seguridad desproporcionadas, con una incorrecta prioridad e incluso sin un balance entre costo y beneficio.

En el documento se expone que la relación entre la Fracción IX del Artículo 61 del Reglamento y las Recomendaciones, se encuentra en:Paso 5. Realizar el Análisis de Riesgo de los Datos PersonalesSin embargo, se considera que existe una relación más estrecha entre las actividades del Paso 4 “Elaborar un Inventario de Datos Personales” con la citada fracción – Fracción IX. Realizar un registro de los medios de almacenamiento de los datos personales.

Tabla Comparativa

Redacción original

Tabla Comparativa


No Procede

No Procede

No Procede

No Procede

No Procede

No Procede

No Procede

No Procede

No Procede

Incluir la actividad de Valoración Respecto al Riesgo del Paso 5 en la relación entre el Artículo 60 del Reglamento y las Recomendaciones; es decir, incluir el Paso 5 por completo.

Modificar la relación entre la Fracción IX y las Recomendaciones, del Paso 5 al Paso 4.

Tabla Comparativa


En términos de lo dispuesto en el artículo 65, fracción III de la Ley, en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de la sanción que corresponda. En este caso la RECOMENDACIÓN GENERAL del IFAI es la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA.Por otro lado, el Paso 8 Revisiones y Auditoría, incluye una sección de Vulneraciones a la Seguridad de la Información, donde se mencionan las directrices mínimas que tienen los Responsables con los Titulares en el marco de la LFPDPPP.

El alcance del artículo 60 contempla sólo la identificación de los factores para determinar las medidas de seguridad, que se puede relacionar con el análisis de contexto de cualquier metodología de análisis de riesgo. En la Fracción III del artículo 61, donde se habla de las Acciones para la seguridad de los datos personales, ya se considera el Análisis de Riesgo de los Datos Personales, que implica tanto los Factores para Determinar las Medidas de Seguridad como la Valoración respecto al Riesgo, cubiertos en el Paso 5.Después, en el Paso 6 se realiza la Identificación de las medidas de seguridad y análisis de brecha para posteriormente elaborar un plan de trabajo conforme a lo establecido en el Paso 7.

Las vulneraciones a la seguridad de los datos personales no son parte de la mejora continua, de hecho están consideradas dentro del Paso 8 Revisiones y Auditoría, adicionalmente una vulneración o un riesgo identificado genera acciones correctivas y preventivas, las cuales sí son mejora continua del SGSDP, como se plantea en el Paso 9 Mejora Continua y Capacitación.

En el Paso 9 se puede leer:

"En esta fase, se adoptan las medidas correctivas y preventivas en función de los resultados de la revisión o verificación efectuadas, o de otras informaciones relevantes, para lograr la mejora continua..."

Ya que el proceso de monitoreo establecido en el Paso 8 es continuo, cada que existe un cambio en el contexto de la organización (como la ocurrencia de un incidente) existe la posibilidad de actualizar las medidas de seguridad.

El alcance del artículo 60 contempla sólo la identificación de los factores para determinar las medidas de seguridad. En la Fracción III del artículo 61, donde se habla de las Acciones para la seguridad de los datos personales, ya se considera el Análisis de Riesgo de los Datos Personales el cual relaciona los factores que se requieren para la valoración respecto al riesgo, y así implementar y mantener las medidas de seguridad como se describe en el Paso 5.

El Paso 4 considera solamente los tipos de datos y el flujo de éstos en el tratamiento, en el Paso 5. Realizar el Análisis de Riesgo de los Datos Personales, se incluye la sección Identificar Activos en la cual se lee "Debe mantenerse actualizado el inventario de activos, así como los medios de almacenamiento en que residen las bases de datos personales."

ANEXO A. Ejemplos de Activos



Redacción original





ANEXO B. Ejemplos de Amenazas Típicas.



Agregar en posibles consecuencias:- Robo de información- Alteración de los sistemas

Terrorista:Agregar en posibles consecuencias:- Ataque a instalaciones y/o personas

Daño Físico:Agregar en amenazas- Incendio- Humedad, goteras, ¿a que se refieren?- ¿A que se refieren con accidentes mayores?- Destrucción de medios y equipos ¿De que tipo, de almacenamiento?

Eventos naturales:Revisar lo siguiente en la columna de Amenaza- ¿Cuáles son ejemplos de fenómenos climáticos y cuales meteorológicos?- Una inundación no es un evento natural, es consecuencia de alguno.


Redacción original



Procede

Procede

Procede

Procede

• Acceso no autorizado al sistema• Ingeniería social• Intrusión en los sistemas • Robo de información

• Ataque a personas y/o instalaciones (por ejemplo, bomba)• Ataque a sistemas (por ejemplo, denegación de servicio)• Manipulación de los sistemas• Penetración a los sistemasFuegoAguaContaminaciónAccidentesPolvo, corrosión, humedad, congelamiento

Fenómenos climáticos o meteorológicos







ANEXO C. Ejemplos de Escenarios.


Carlos A. Ayala Rocha



Sugiere se agregue esta porción de la tabla. El contar con un proceso de monitorización mejora y permite la detección en varios del casos mencionados en la tabla.

Hardware:Revisar lo siguiente en la columna de Ejemplos de vulnerabilidades:- Falta de cuidado en la destrucción de soportes electrónicos- Se sugiere cambiar por - Destrucción no realizada completamenteSoftware:Revisar lo siguiente en la columna de Ejemplos de vulnerabilidades:- Carencia o falta de pruebas al software y su configuración. Se sugiere cambiar por – Software liberado sin haberlo probado o con pruebas insuficientes.Revisar lo siguiente en la columna de Ejemplos de amenazas:- En el mismo rubro de la columna anterior se sugiere cambiar por – Error en el funcionamiento de la aplicación.

Software:En el rubro de “Falta de actualizaciones de seguridad en software”, en la columna de ejemplos de amenazas se sugiere cambiar por – Ataques cibernéticos exitosos.

Software:En el rubro “Copiado incontrolado de información” no queda claro esta vulnerabilidad, ya que si así fuera, la amenaza sería Acceso libre a los sistemas.

Organización:En el rubro “Falta de procedimientos formales de monitoreo y/o auditoría” en la columna de ejemplos de amenazas se sugiere cambiar por – Cualquier evento que tenga acceso a la información, ya que no hay un monitoreo.

Organización:En el rubro “Falta o ausencia de reportes de fallas” en la columna de ejemplos de amenazas se sugiere cambiar por – Repetición de incidentes o problemas pasados.


Organización:En el rubro “Falta o insuficiencia de políticas de “escritorio limpio” en la columna de ejemplos de amenazas se sugiere cambiar por –Robo de documentos y/o información electrónica.

Organización:En el rubro “Falta de mecanismos de monitoreo para vulneraciones a la seguridad de los datos” en la columna de ejemplos de amenazas se sugiere cambiar por – Intrusiones no vigiladas.


Redacción original



Procede

No Procede

Procede

No Procede

Procede

No Procede

Reincidencia de problemas Procede

Se tomará la idea sugerida para la siguiente redacción:Falta de pruebas al sotfware y su configuración antes de su liberación.

Se sugiere la siguiente redacción:Error en el funcionamiento de la aplicación.

01-Tabla-Anexo C.docx

No Procede

ProcedeIntrusión de personas malintencionadas



La redacción propuesta es ambigua.

Se removió el control por considerarlo innecesario.

Existen diversos riesgos no identificados y no sólo los relacionados con acceso a la información.

Se tomó en cuenta el comentario para modificar la redacción.

Si bien en la propuesta se utilizan algunas amenazas como vulnerabilidades, se puede retomar la idea general para mejorar el Anexo C:

1) Actualizar la redacción de la Vulnerabilidad "Servicios de red innecesarios habilitados" por "Servicios de red innecesarios habilitados y/o mal uso de protocolos".

2) Agregar un nuevo escenario de riesgo: Tipo de Activo: RedesEjemplos de Vulnerabilidades: Falta de monitorización de los componentes de las redes, protocolos, servicios y aplicacionesEjemplos de amenazas: Canales encubiertos y tráfico clandestinoPosible vulneración a los datos personales: Uso, acceso, o tratamiento no autorizado

Los ejemplos que se presentan en la tabla son los más comunes, en este caso para el software, una amenaza más común es: Abuso de privilegios por parte de los usuarios, que Ataques cibernéticos exitosos.

Se tomó la idea sugerida para cambiar la redacción.

El robo de documentos y/o información electrónica es la posible vulneración o consecuencia debido a por ejemplo, un acceso no autorizado a los sistemas (amenaza).

ANEXO D. Ejemplos de Controles de Seguridad.


Carlos A. Ayala Rocha Sugiere se agregue esta porción de la tabla.



Sería conveniente incluir el enmascaramiento delos datos, cuando se consulta información de datos personales y que sólo se autorice a dicha lectura cuando el dueño de la información lo requiera, de lo contrario no sería necesario que esté visible.

Revisar la tabla y quitar los encabezados que indican “Controles de Seguridad”, para evitar confusiones al leer la continuación de la información en la siguiente página.

Cumplimiento legal:Objetivo de Control. Identificación de legislación/regulación aplicableSeparar la palabra “documentarlos”, debe decir “documentar_los”.Objetivo de Control. Salvaguarda de registros organizacionalesSería recomendable incluir que la LFPDPPP, no establece un período para el resguardo de los registros; sin embargo, es necesario contar conla documentación que de soporte al consentimiento táctio o expreso del titular.Objetivo de control. Prevención del mal uso de activos de información.Sería recomendable incluir los activos de información físicos porque solamente se mencionan los activos electrónicos.Objetivo de control. Recolección de evidencia.Sería recomendable definir cuáles son las mejores prácticas, ya que éste documento es una guía.para orientar sobre cuáles son los controles que pueden apoyar a implementar el SGSDP.


Estructura Organizacional:Sería recomendable revisar este tema a profundidad, ya que el enfoque de cada objetivo de control no lleva una secuencia o una implicación sobre la organización; se están definiendo actividades o funciones que deberían estar definidas dentro de una política, en esta sección se debería considerar un Organigrama que incluya la definición de roles, responsabilidades y funciones.Y respecto a la revisión de terceros, sería recomendable incluirla como una función o una responsabilidad sobre algún rol para que se verifique, el tema de contratos de Proveedores de Servicio, Servicio en la nube; etc. E incluir los ejemplos claros sobre lo que se tiene que revisar.

Clasificación y acceso a los activos:Objetivo de Control. Inventario y clasificación de datos personales.Sería recomendable incluir la referencia de información física y electrónica.Objetivo de Control. Documentación del SGSDP.Sería recomendable incluir éste punto dentro de la sección de “Políticas del SGSDP”

Seguridad física y ambiental:Objetivo de control. Trabajo en áreas restringidas; Áreas de entrega aislada.En relación a la redacción de los 2 puntos de control no hay una diferencia entre ambas, que permita identificar cuál es el apropiado a implementarse.Objetivo de control. Seguridad de oficinas e instalaciones; equipo de protección física.En ambos controles se hace referencia a las amenazas naturales o causada por el hombre, para lo cual sería conveniente integrarlos en uno solo o dar un enfoque independiente. O en su caso, cambiar el título por el de “Requerimientos de seguridad para espacios físicos” y hacer referencia a los lugares de trabajo, áreas de almacenamiento que deban cumplir con los requisitos de construcción, instalación y condiciones ambientales.

Gestión de comunicaciones y operaciones:Objetivo de Control. Gestión de soportes informáticos extraíbles.Sería conveniente incluir que dentro del procedimiento de manejo de soportes informáticos, exista un registro de los dispositivos autorizados o la evaluación de los mismos, previo a su utilización en los equipos de la empresa, para evitar la fuga de información.


Gestión de comunicaciones y operaciones:Objetivo de Control. Seguridad de correo electrónicoSería conveniente incluir la seguridad, para el monitoreo o bloqueo de información clasificada con datos personales y evitar una fuga de información; teniendo identificados aquellos usuarios que tienen autorización de compartir información a otros clientes de correo ajenos a la empresa, considerando que hay muchos servicios gratuitos en la nube.Se puede integrar con el objetivo de control de Almacenamiento privado|dentro del entorno de operación, ya que ambas interactúan para proteger la información de datos personales.Gestión de comunicaciones y operaciones:Objetivo de control. Seguridad en sistemas electrónicos. Sería conveniente incluir lo relacionado a los accesos para facilitar el monitoreo y registrar los usuarios y las actividades e identificar quién es el personal responsable de dar tratamiento a esa información.

Gestión de comunicaciones y operaciones:Objetivo de control. Sistemas disponibles de manera pública; y, Otras formas de intercambio de información.Sería conveniente hacer referencia a la información que no sólo se podría compartir de forma electrónica, sino que también se considere la información física así como cualquier discurso de prensa, nota de prensa, publicación de concursos, rifas, etc dónde se tienen el riesgo de comunicar información con datos personales.

Gestión de comunicaciones y operaciones:Objetivo de control. Disociación y separación.Sería recomendable incluir en este control, lo relacionado a “enmascaramiento” o “ocultamiento” de información de bases de datos, de tal manera que no quede visible (por ejemplo con asteriscos o con algún otro texto), la información para ciertos perfiles, privilegios o roles y evitar un tratamiento de datos personales.

Control de acceso:Objetivo de control. Gestión de Privilegios; Revisión de derechos de usuariosSería conveniente incluir en esta descripción,que los privilegios van en función de los roles y responsabilidades de cada usuario, delimitando perfectamente que puede hacer cada uno: acceso total, lectura, escritura, borrado.Control de acceso:Objetivo de control. Uso de contraseñas; Gestión de usuarios y contraseñas.Ambos temas se pueden incluir como un solo objetivo de control, ya que interactúan estrechamente en su implementación y cumplimiento.


Seguridad física y ambiental; control de accesoObjetivo de control. Escritorio y pantalla limpia; Equipos sin atender.Ambos temas se pueden incluir como un solo objetivo de control, ya que interactúan estrechamente en su implementación y cumplimiento.

Desarrollo y mantenimiento de sistemas:Sería recomendable incluir en esta sección, la inclusión de un objetivo de control relacionado con la restricción para compartir la información contenida en los ambientes productivos hacia los ambientes de desarrollo, mediante la implementación de disociación, separación o enmascaramiento de la información que contenga datos personales o de negocio. Se puede unir al objetivo de control de “protección de datos de prueba del sistema”, para reforzar la divulgación de información de datos personales o de negocio.Reforzando el objetivo de control de “Separación del área de desarrollo de sistemas de datos personales” de la sección de “Gestión de comunicaciones y operaciones” (página 63)

Vulneraciones de seguridad:Sería conveniente integrar todos los objetivos de control relacionados a manejo de incidentes o vulnerabilidades, y dejarlo como un solo rubro, que establezca todos los temas que deben considerar estos requisitos; integrar una lista que permita identificar dónde pueden existir incidentes o vulnerabilidades y que consolide todo lo que se debe de cumplir; o en su defecto, hacer referencia a todos los puntos de control aplicables.


Redacción original

Cifrado:Deben existir reglas que definan el uso de cifrado en comunicaciones y/o almacenamiento, así como de los controles y tipos de cifrado a implementar.Se debe identificar la sensibilidad de los datos y el nivel de protección necesario para aplicar el cifrado correspondiente, en almacenamiento y/o transferencia de información



Procede

No Procede

Procede

ProcedeSe sugiere la siguiente redacción:Se debe mantener el resguardo de todos los registros y documentación que pudieran ser evidencia o bien, requeridos en cumplimiento de la LFPDPPP y protegerlos contra pérdida, destrucción, falsificación, acceso o revelación no autorizados.

Se sugiere la siguiente redacción para Prevención del mal uso de activos de información:Se deben tener mecanismos contra el uso de activos para propósitos no autorizados, por ejemplo, para sistemas electrónicos, utilizar bloqueos en caso de que usuarios no autorizados traten de acceder a módulos que no tienen permisos e informar mediante un mensaje el uso indebido.

Para Recolección de evidencia, los controles son de carácter general y ya están basados en las mejores prácticas.

01-Tabla-Anexo D.docx

No Procede

Procede

Procede

Procede

En el paso 3 se establecen las condiciones bajo las cuales una organización debería establecer funciones y obligaciones. El objetivo de control Estructura Organizacional ya contempla un control de Designación de deberes en seguridad y protección de datos personales. Finalmente, respecto a las revisiones con terceros se contemplan los controles de Revisión de Implementación, Identificación de riesgos de terceros, Requerimientos de seguridad en contratos con terceros y Requerimientos de seguridad en contratos con servicios de almacenamiento de información y cómputo en la nube.

Se tomará la idea para cambiar la redacción por:Mantener un registro de los datos personales recolectados y tratados por la organización en cualquier soporte físico o electrónico, teniendo especial atención en los datos sensibles, financieros y patrimoniales.

Se cambiará la redacción original por:Deben existir políticas y procedimientos para el manejo uso de soportes informáticos extraíbles como memorias USB, discos, cintas magnéticas, etc.

Procede

No Procede

Procede

No Procede

No Procede

Procede

Se cambiará la redacción original por:Se debe hacer uso adecuado del correo electrónico, mensajería instantánea y redes sociales, utilizando mecanismos que permitan bloquear la recepción de archivos potencialmente inseguros, mensajes no solicitados, no deseados o de remitente no conocido.

Se sugiere la siguiente redacción:Debe existir un proceso de autorización formal para hacer pública información, por cualquier medio de difusión. Cuando se publica un discurso o una nota de prensa, o bien para sistemas de acceso público (por ejemplo, páginas web para publicación de concursos, rifas, entre otros), deben existir mecanismos para que la información mantenga su integridad y que no permita ser el medio para dañar otros activos ubicados dentro de la organización.

Procede

No Procede

Procede



Se modificó la tabla.


Si bien en el Anexo D existen controles como, "Revisión de cumplimiento técnico" y "Procedimientos de acción en caso de incidentes o vulneración de seguridad", que contemplan la revisión y monitoreo de los sistemas, se puede retomar la idea general del comentario para mejorar la redacción del control "Monitorear el uso del sistema": "Debe haber procedimientos para el monitoreo del uso correcto de los activos y el adecuado comportamiento de los sistemas. Los usuarios sólo deben hacer las actividades para las cuales están explícitamente autorizados."

En Identificación de Activos del Paso 5 se incluye una nota técnica donde se mencionan mecanismos para disminuir el nivel de riesgo, tales como disociación: se aislan los datos de manera que por si mismos no aporten información valiosa de un titular o éste no pueda ser identificable. El enmascaramiento de los datos es un control específico de la disociación que podría implicar tecnología especial.

En cuanto a la Documentación del SGSDP se movió al objetivo de control "Políticas del SGSDP".

Se cambió a la sección del objetivo de control:"Políticas del SGSDP"

En cuanto a los controles Seguridad de oficinas e instalaciones y Equipos de protección física, se integraron en un mismo control "Seguridad en entornos de trabajo".


Se integraron los dos controles en Gestión de usuarios y contraseñas

No es viable integrar este control con el de Almacenamiento privado debido al cambio en la redacción original.

Ya se contemplan dos controles relacionados, el primero es Designación de deberes en seguridad y Protección de Datos Personales y el otro es Monitorear el uso de los sistemas.

En Identificación de Activos del Paso 5 se incluye una nota técnica donde se mencionan mecanismos para disminuir el nivel de riesgo, tales como disociación: se aíslan los datos de manera que por si mismos no aporten información valiosa de un titular o éste no pueda ser identificable. El enmascaramiento de los datos es un control específico de la disociación que podría implicar tecnología especial.

En el paso 3 se establecen las condiciones bajo las cuales una organización debería establecer funciones y obligaciones. El objetivo de control Estructura Organizacional ya contempla un control de Designación de deberes en seguridad y protección de datos personales. Finalmente, respecto a las revisiones con terceros se contemplan los controles de Revisión de Implementación, Identificación de riesgos de terceros, Requerimientos de seguridad en contratos con terceros y Requerimientos de seguridad en contratos con servicios de almacenamiento de información y cómputo en la nube.

Se integró en el control Equipos sin atender, lo referente a bloqueo de equipo.

El comentario de este control se responde con los objetivos de control: Segregación de tareas y Separación del área de desarrollo de sistemas de datos personales.

Se unificaron todos los controles relacionados a incidentes en el objetivo de control: Vulneraciones de seguridad.

Guia para implementar SGSDP

Documents