1

2

3

4

• De conformidad con el Vigésimo noveno de los Lineamientos, el Documento de seguridad —al igual que el resto de la información relativa a la gestión de las medidas de seguridad en la dependencia o entidad— es información reservada y será de acceso restringido.

• Respecto de las medidas de seguridad…

• Contiene descripciones generales, no detalles que se pudieran convertir en vulnerabilidades.

• Las medidas de seguridad incluidas deben ser las que ya están implementadas y en operación.

• Derivado de la premisa de la “necesidad de conocer” que rige todo tratamiento de datos, este documento sólo deben verlo aquellos autorizados para tratamiento de datos personales.

5

Para cumplir:

• Obligación señalada en el Trigésimo tercero de los Lineamientos de Protección de Datos Personales.

Para comunicar y disuadir:

• Con este documento, se informa a los servidores públicos y terceros (autorizados para realizar tratamiento de datos personales) sus obligaciones en materia de seguridadrealizar tratamiento de datos personales) sus obligaciones en materia de seguridad aplicada a datos personales.

• Comunicar las medidas de seguridad implementadas tiene además el propósito de disuadir a los autorizados respecto del mal uso que pudieran hacer de los datos personales.

6

7

8

Deber de secreto:

• Los Responsables y Encargados que intervengan en cualquier fase del tratamiento de los sistemas de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá durante y después del tratamiento de los datos personales.

Deber de seguridad:

• Es un deber que corresponde a cada dependencia o entidad para el cual se deberán• Es un deber que corresponde a cada dependencia o entidad, para el cual se deberán adoptar y mantener las medidas de seguridad administrativas, físicas y técnicas necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos personales, mediante acciones que eviten su daño, alteración, pérdida, destrucción, o el uso, transmisión y acceso no autorizado. Aspectos a considerar:

• La naturaleza y tipo de datos —y su correspondiente nivel de protección;

L fi lid d d l t t i t• Las finalidades del tratamiento;

• Las capacidades técnicas y económicas de la dependencia o entidad, y

• Las amenazas y vulnerabilidades.

9

10

¿Cuántos ya conocen los Lineamientos?

¿Cuántos ya leyeron la Guía?

11

Este no es un curso de seguridad de la información pero sí vamos a revisar conceptos clave para elaborar el Documento de seguridad.

12

1. Con esto se explica por qué podrán encontrar materiales que se refieren a datos personales utilizando un concepto equivalente que es información personal.

2. Los conocimientos que adquieran en materia de seguridad de la información son aplicables a seguridad de datos personales.

13

14

15

Imagen pública:

En 2006, TJ Maxx, una popular cadena de tiendas de descuento en los EUA, fue víctima de un sigiloso incidente de robo de información perpetrado de mayo a diciembre de ese año. Fueron extraídos datos de 45 millones de tarjetas de crédito y débito para ser ofrecidas en el mercado negro.

• ¿Cambió la opinión de los clientes respecto de la cadena de tiendas?

• ¿Cuántas horas hombre se perdieron en trámites para sustituir plásticos a consecuencia¿Cuántas horas hombre se perdieron en trámites para sustituir plásticos a consecuencia de ese caso?

• ¿Alguien demandó a TJ Maxx por haber sido sujeto de fraude?

16

17

18

Pregunta de examen.

Se presenta un incidente en el centro de datos: fuego incontrolable. ¿Qué se debe hacer primero?

a. Rescatar el servidor principal.

b. Rescatar las copias de respaldo.

c. Evacuar al personal.

d. Todas las anteriores.

19

De las diapositivas anteriores, se aprecia que la seguridad de la información requiere de varias disciplinas del conocimiento para articularse en todos los ámbitos donde se requiere proteger datos personales.

20

21

22

Combinaremos el uso del enfoque organizativo (seguridad administrativa, física y técnica) con el de las mejores practicas (once grupos de medidas de seguridad contenidas en las normas internacionales ISO/IEC 27001:2005 y 27002:2005) a fin de explicar qué temas incluye cada uno de los tipos de seguridad del enfoque organizativo.

Cabe señalar lo siguiente:

1. La seguridad técnica es la que generalmente se entiende como “seguridad”: la compra e instalación de antivirus, antispyware, firewall, y demás elementos tecnológicos. Sin embargo, no es lo único.

2. Debido a los elementos tecnológicos que se implementan, la seguridad técnica y la seguridad física requieren de una inversión monetaria mayor a lo que requiere la seguridad administrativa.

23

Notarán que la seguridad administrativa incluye más rubros que la seguridad técnica y la seguridad física juntas. No obstante, como en su mayor parte implica la creación o modificación de procedimientos internos, la seguridad administrativa es la que “más barato” resulta implementar.

24

25

Más detalles en las Recomendaciones sobre medidas de seguridad aplicables a los sistemas de datos personales publicadas por el IFAI.

26

27

28

Proceso sugerido que deberá adaptarse al contexto de cada dependencia o entidad.

29

¿A qué se refiere unidades administrativas interesadas?

Por ejemplo:

• Informática

• Seguridad de la información (si existe)

• Recursos materiales o servicios generales (mantenimiento y vigilancia)

• Archivo

30

Resultados de este ejercicio:

• Determinar si la unidad administrativa ha identificado todos sus sistemas de datos personales con base en los Lineamientos y demás normatividad aplicable. Factores que intervienen:

• Que el sistema contenga datos que permitan identificar a la persona;

• Que el sistema sea sustantivo para las atribuciones de la dependencia o entidad (de conformidad con el Sexto de los Lineamientos), y(de conformidad con el Sexto de los Lineamientos), y

• Lo más importante: considerar la normatividad que faculta a la dependencia o entidad para tratar los datos personales.

• Determinar si las medidas de seguridad implementadas son las que requieren para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que custodia la dependencia o entidad.

31

32

1. Estructura orgánica de la dependencia o entidad:ú d d d d• Número de unidades administrativas

• Número de ubicaciones o localidades geográficas• Regiones geográficas

2. Dificultades en la distribución del Documento de seguridad.3. Visibilidad de las medidas de seguridad.Es recomendable que la dependencia o entidad centralice y resguarde una copia de todos los Documentos de seguridad generados a su interior.

33

34

De las seis partes del Documento de seguridad, nos enfocaremos sólo en tres: las que mayor complejidad técnica suelen presentar.

35

Estos son los tres apartados que abordaremos con más detalle revisando algunos conceptos relacionados. Seguramente, estos son los temas de donde más preguntas saldrán.

36

37

38

39

40

El diagrama de arquitectura es general —sin nombres de servidores ni direcciones IP— a fin de identificar cuántas capas de seguridad existen antes de llegar a los datos personales en el ciberespacio.

41

El apartado B consta de ocho rubros relativos a medidas de seguridad tomados de la Guía pero en otro orden para fines didácticos.

42

Deberán señalar…

43

Ejemplo de la redacción que se debe utilizar en el Documento de seguridad:

• Tiempo verbal: lo que se ha implementado y está en operación.

• Grado de detalle: sin ofrecer información que se pueda convertir en vulnerabilidades.

Más ejemplos en las Recomendaciones antes mencionadas.

44

45

46

1. La seguridad se implementa en capas. Desde las más lejana a los datos personales hasta la más cercana.

2. En cuanto al acceso a las instalaciones, al menos deberían implementar medidas de seguridad física en estas dos capas: perímetro exterior y perímetro interior.

47

Ejemplo de la redacción que se debe utilizar en el Documento de seguridad:

• Tiempo verbal: lo que se ha implementado y está en operación.

• Grado de detalle: sin ofrecer información que se pueda convertir en vulnerabilidades.

Más ejemplos en las Recomendaciones antes mencionadas.

48

49

50

Recuerden que el control de acceso aplica para la seguridad física y la seguridad técnica.

• A la izquierda del candado está el ejemplo que aplica para control de acceso en las instalaciones (seguridad física).

• A la derecha, lo que aplicaría para el ciberespacio (seguridad técnica).

51

52

53

54

55

56

57

Administración de perfiles de usuario y contraseñas:

• Gestión de perfiles de usuario:

• Altas, bajas, cambios y demás.

• El cargo o área quien lo lleva a cabo.

• Contraseñas:

• Fortaleza

• Caducidad

58

59

60

Ejemplo del Reino Unido:

• A finales de 2007, el gobierno del Reino Unido perdió 3 discos compactos con datos personales de 25 millones de habitantes. Incluía cuentas bancarias y datos de niños beneficiarios de programas de becas. Las bases de datos no iban cifradas, sólo protegidas por contraseña.

61

62

1. Un incidente: incendio, inundación, robo, incursión de persona no autorizada (en persona o por la red)

2. Con la gestión de incidentes se uniformizan los procedimientos para enfrentar dichos incidentes.

3. Se aprende mucho de la gestión de incidentes:

• Cómo mejorar la defensa

• Dónde implementar más medidas de seguridad• Dónde implementar más medidas de seguridad.

63

64

• No confundir Plan de contingencia (seguridad técnica) con BCP (seguridad administrativa)

65

66

67

68

69

El último apartado…

Respecto de los mecanismos para la supresión: se puede elegir la técnica que quieran siempre y cuando garantice que los datos personales no podrán ser recuperados.

• Ejemplos de recuperación de datos de soportes físicos y electrónicos, aún después de haber destruido el soporte.

70

Respecto de la documentación de las medidas de seguridad implementadas, hemos visto d d lid d d ldos modalidades para documentarlas:

• Agrupación por sistema

Las medidas de seguridad implementadas se agrupan por sistema. Por ejemplo, si una entidad cuenta con tres sistemas A, B y C, su Documento de seguridad puede organizar las medidas de seguridad abriendo tres apartados de manera que el apartado del sistema A incluirá las medidas que le corresponden; el apartado del sistema B listará las medidas que le corresponden; y, finalmente, el apartado del sistema C presentará sus q p ; y, , p pmedidas.

• Mediante un catálogo

Primero, todas las medidas de seguridad implementadas en la dependencia o entidad se enumeran y describen en un catálogo. Se utiliza una clave y tal vez un título breve para referenciar cada medida.

Posteriormente, al enumerar las medidas de seguridad implementadas para cada sistema, se utilizan las claves y los títulos del catálogo. Así se documentan las medidas aplicables a cada sistema sin repetir la descripción. De ser necesario, sólo se tendrían que describir las particularidades aplicables.

71

72