Seguridad de la información v1.4
-
Upload
gabriel-munoz -
Category
Documents
-
view
419 -
download
1
description
Transcript of Seguridad de la información v1.4
Seguridad de la Información
21/02/2013 1
Temas
IFAI y LFPDPPP
Seguridad Informática
Protección de la Información
Consejos sobre Seguridad de la Información
Productos en el Mercado para lograr el asegurar la información
21/02/2013 2
• IFAI (Instituto Federal de Acceso a la Información). • En el primer semestre de 2010, el Congreso de la Unión
aprobó la Ley Federal de Protección de Datos Personales en Posesión de Particulares, lo cual amplió sustancialmente las facultades, atribuciones y responsabilidades del Instituto, al ser considerado como autoridad nacional en la materia
• LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares. • Regula la forma y condiciones en que deben utilizarse los
datos personales por parte de personas físicas o morales en el ámbito privado. Tiene por objeto garantizar la protección de tu información personal y que puedas ejercer el derecho a decidir, de manera libre e informada, sobre el uso que los entes privados darán a los datos.
IFAI y LFPDPPP
21/02/2013 3
Acceso a la Información
Datos personales Cualquier información
relacionada con una persona
(nombre, teléfono, domicilio,
fotografía…)
Categorías de datos
personales Identificación, Laborales,
Patrimoniales, Académicos,
Ideológicos, Salud,
Características Personales,
Características Físicas.
Datos personales
sensibles Datos que afectan la esfera más
intima del ser humano.
Objetivo de la
protección de datos
personales Evitar que sean utilizados para un
fin distinto para el que fueron
proporcionados.
Dueño de los datos
personales La misma persona que los
proporciona, y decide quien,
para qué, cuando y por qué los
proporciona.
Quién está obligado a
proteger los datos
personales Los individuos: exigiendo sus
derechos. Quienes poseen datos
personales: Aplicando lo
establecido por la ley. 21/02/2013 4
El IFAI, en su carácter de autoridad, tiene la facultad de imponer sanciones a aquellas
empresas que incumplan alguna disposición de la Ley. A continuación se mencionan
algunas de las posibles sanciones:
Multas del IFAI
I. Apercibimiento
II. Multa de 100 a 160,000 días de salario mínimo
vigente en el Distrito Federal, cuando la empresa
actúe con negligencia o dolo con respecto a la
información personal, no observe los principios de
protección de datos establecidos en la Ley u
omita datos en el Aviso de Privacidad
III. Multa de 200 a 320,000 días de salario mínimo general vigente en el Distrito
Federal, cuando incumpla con su deber de confidencialidad en el tratamiento de
los datos, cambie la finalidad del tratamiento de los mismo sin darte aviso,
transfiriera tu datos a terceros sin el consentimiento del titular, obstruya los actos
de verificación del Instituto o realice un uso ilegítimo de los datos
IV. En caso de que persistan las infracciones de manera reiterada, el Instituto podrá
imponer una multa adicional que irá de 100 a 320,000 días de salario mínimo
vigente en el Distrito Federal. Tratándose de infracciones cometidas en el
tratamiento de datos sensibles, los montos de las sanciones podrán
incrementarse hasta por dos veces.
21/02/2013 5
¿Cómo cumplir con el
IFAI?
Nombrar a un responsable que atienda las solicitudes
de Acceso, Rectificación, Cancelación y Oposición de
los datos personales (ARCO)
Contar con las medidas de seguridad necesarias para
garantizar los datos contra un uso indebido o ilícito, un
acceso no autorizado, o contra la pérdida, alteración,
robo o modificación de la información personal.
Documento físico, electrónico o en cualquier otro formato (como
puede ser visual o sonoro) para hacer del conocimiento del titular de
los datos personales, la información que será recabada, para qué
será utilizada y las características del tratamiento al que serán
sometidos sus datos personales.
Capacitar al personal de la empresa que utiliza los datos
personales de un tercero en su uso, manejo y resguardo
conforme a las políticas, procedimientos y controles
establecidos para asegurar la información.
21/02/2013 6
Fuga de Información
21/02/2013 7
La Seguridad de la información nos permite prevenir y nos ayuda
en temas como:
Importancia de la Seguridad de la
Información
21/02/2013 8
Valor de la Información
¿Qué tan valiosa es la información? De acuerdo con las respuestas que
dieron 500 profesionales de TI en América Latina, Aproximadamente 50%
del valor de sus organizaciones deriva de la información que poseen
Fuente: Symantec 21/02/2013 9
Pérdida de la
Información
Las consecuencias de perder toda o parte de su información podría ser
devastador para las empresas.
Fuente: Symantec 21/02/2013 10
Pérdida de la
Información
Fuente: Symantec 21/02/2013 11
Fuente: Understanding Security Complexity in 21st Century IT Environments. Ponemom Institute
Pérdida de la
Información
21/02/2013 12
Fuente: Websense
Pérdida de la
Información
21/02/2013 13
INFORMACIÓN
EN REPOSO
INFORMACIÓN
EN MOVIMIENTO
INFORMACIÓN
EN USO
Protección de la
Información
21/02/2013 14
Educación y Cultura
Acuerdos de Confidencialidad
DLP (Data Loss Prevention)
BCP (Business Continuity Plan)
ITIL (Information Technology Infrastructure Library)
Ley SOX (Ley Sarbanes Oxley)
ISO27001
Herramientas de
Protección
21/02/2013 15
21/02/2013 16
Seguridad de la Información
Cumplimiento de la Ley y de Estándares
Internacionales
(IFAI)
(ISO 27001)
Encripción de Información en
dispositivos móviles
(PGP)
Prevención de Pérdida de Información
(DLP)
Acceso Controlado a los Sistemas
(Identity Management)
Plan de Continuidad de
Negocio
(BCP)
Capacitación de Personal
(E-Learning)
Seguridad Informática
• La seguridad informática es un proceso dinámico y permanente que con el tiempo se torna “automático”, no por que se haga por si solo, sino por que cada uno de los involucrados conoce su función y la realiza de manera eficiente.
• La seguridad informática esta diseñado en un esquema de capas por lo tanto la seguridad es acumulativa.
• La seguridad informática debe ser un proceso planificado, que tenga un claro punto de partida y un claro punto de llegada.
• Los responsables de la seguridad de la información deben estar en constante capacitación y actualización no solo sobre el uso de los “fierros”, sino en la implementación de políticas y estándares que son la base sobre la cual los “fierros” trabajan.
21/02/2013 17
Seguridad Informática
21/02/2013 18
Seguridad Informática
• Symantec
• McAfee
• CA Technologies
• RSA
• Websence
• Verdasys
Productos para lograr el aseguramiento de la
Información
21/02/2013 19
Cinco consejos útiles
1. Establecer políticas, que contemplen planes y programas en materia de seguridad electrónica.
2. Capacitar al personal en todos los niveles de la empresa en seguridad informática, ya que el desconocimiento del usuario facilita el robo de información.
3. Establecer la firma de cláusulas de confidencialidad en los contratos de trabajo de los empleados para que no divulguen información estratégica a la que tienen acceso, aún si dejan de pertenecer a la compañía.
4. Apegarse a los estándares de seguridad informática, como el ISO 27001, que certifica las empresas en función de sus metodologías y estándares de protección de información.
5. Contar con sistemas de seguridad informática especializados que ayuden a facilitar el control y seguimiento de la información.
Consejos sobre Seguridad de la
Información
21/02/2013 20
POR EL BIEN DE SU
EMPRESA, PROTEGAN SU INFORMACIÓN
Comentario final
21/02/2013 21
¿DUDAS?
¿COMENTARIOS?
www.cosinfo.net
COSINFO cuenta con la acreditación
de la norma NMX-I-059/NYCE-2011 en el Nivel 2
MoProSoft (Modelo de Procesos de Software)
21/02/2013 22
Erick Oseguera
Gabriel Muñoz [email protected]
+52 (55) 5680 6716
COSINFO cuenta con la acreditación
de la norma NMX-I-059/NYCE-2011 en el Nivel 2
MoProSoft (Modelo de Procesos de Software)
21/02/2013 23