Seguridad de la Información

21/02/2013 1

Temas

IFAI y LFPDPPP

Seguridad Informática

Protección de la Información

Consejos sobre Seguridad de la Información

Productos en el Mercado para lograr el asegurar la información

21/02/2013 2

• IFAI (Instituto Federal de Acceso a la Información). • En el primer semestre de 2010, el Congreso de la Unión

aprobó la Ley Federal de Protección de Datos Personales en Posesión de Particulares, lo cual amplió sustancialmente las facultades, atribuciones y responsabilidades del Instituto, al ser considerado como autoridad nacional en la materia

• LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares. • Regula la forma y condiciones en que deben utilizarse los

datos personales por parte de personas físicas o morales en el ámbito privado. Tiene por objeto garantizar la protección de tu información personal y que puedas ejercer el derecho a decidir, de manera libre e informada, sobre el uso que los entes privados darán a los datos.

IFAI y LFPDPPP

21/02/2013 3

Acceso a la Información

Datos personales Cualquier información

relacionada con una persona

(nombre, teléfono, domicilio,

fotografía…)

Categorías de datos

personales Identificación, Laborales,

Patrimoniales, Académicos,

Ideológicos, Salud,

Características Personales,

Características Físicas.

Datos personales

sensibles Datos que afectan la esfera más

intima del ser humano.

Objetivo de la

protección de datos

personales Evitar que sean utilizados para un

fin distinto para el que fueron

proporcionados.

Dueño de los datos

personales La misma persona que los

proporciona, y decide quien,

para qué, cuando y por qué los

proporciona.

Quién está obligado a

proteger los datos

personales Los individuos: exigiendo sus

derechos. Quienes poseen datos

personales: Aplicando lo

establecido por la ley. 21/02/2013 4

El IFAI, en su carácter de autoridad, tiene la facultad de imponer sanciones a aquellas

empresas que incumplan alguna disposición de la Ley. A continuación se mencionan

algunas de las posibles sanciones:

Multas del IFAI

I. Apercibimiento

II. Multa de 100 a 160,000 días de salario mínimo

vigente en el Distrito Federal, cuando la empresa

actúe con negligencia o dolo con respecto a la

información personal, no observe los principios de

protección de datos establecidos en la Ley u

omita datos en el Aviso de Privacidad

III. Multa de 200 a 320,000 días de salario mínimo general vigente en el Distrito

Federal, cuando incumpla con su deber de confidencialidad en el tratamiento de

los datos, cambie la finalidad del tratamiento de los mismo sin darte aviso,

transfiriera tu datos a terceros sin el consentimiento del titular, obstruya los actos

de verificación del Instituto o realice un uso ilegítimo de los datos

IV. En caso de que persistan las infracciones de manera reiterada, el Instituto podrá

imponer una multa adicional que irá de 100 a 320,000 días de salario mínimo

vigente en el Distrito Federal. Tratándose de infracciones cometidas en el

tratamiento de datos sensibles, los montos de las sanciones podrán

incrementarse hasta por dos veces.

21/02/2013 5

¿Cómo cumplir con el

IFAI?

Nombrar a un responsable que atienda las solicitudes

de Acceso, Rectificación, Cancelación y Oposición de

los datos personales (ARCO)

Contar con las medidas de seguridad necesarias para

garantizar los datos contra un uso indebido o ilícito, un

acceso no autorizado, o contra la pérdida, alteración,

robo o modificación de la información personal.

Documento físico, electrónico o en cualquier otro formato (como

puede ser visual o sonoro) para hacer del conocimiento del titular de

los datos personales, la información que será recabada, para qué

será utilizada y las características del tratamiento al que serán

sometidos sus datos personales.

Capacitar al personal de la empresa que utiliza los datos

personales de un tercero en su uso, manejo y resguardo

conforme a las políticas, procedimientos y controles

establecidos para asegurar la información.

21/02/2013 6

Fuga de Información

21/02/2013 7

La Seguridad de la información nos permite prevenir y nos ayuda

en temas como:

Importancia de la Seguridad de la

Información

21/02/2013 8

Valor de la Información

¿Qué tan valiosa es la información? De acuerdo con las respuestas que

dieron 500 profesionales de TI en América Latina, Aproximadamente 50%

del valor de sus organizaciones deriva de la información que poseen

Fuente: Symantec 21/02/2013 9

Pérdida de la

Información

Las consecuencias de perder toda o parte de su información podría ser

devastador para las empresas.

Fuente: Symantec 21/02/2013 10

Pérdida de la

Información

Fuente: Symantec 21/02/2013 11

Fuente: Understanding Security Complexity in 21st Century IT Environments. Ponemom Institute

Pérdida de la

Información

21/02/2013 12

Fuente: Websense

Pérdida de la

Información

21/02/2013 13

INFORMACIÓN

EN REPOSO

INFORMACIÓN

EN MOVIMIENTO

INFORMACIÓN

EN USO

Protección de la

Información

21/02/2013 14

Educación y Cultura

Acuerdos de Confidencialidad

DLP (Data Loss Prevention)

BCP (Business Continuity Plan)

ITIL (Information Technology Infrastructure Library)

Ley SOX (Ley Sarbanes Oxley)

ISO27001

Herramientas de

Protección

21/02/2013 15

21/02/2013 16

Seguridad de la Información

Cumplimiento de la Ley y de Estándares

Internacionales

(IFAI)

(ISO 27001)

Encripción de Información en

dispositivos móviles

(PGP)

Prevención de Pérdida de Información

(DLP)

Acceso Controlado a los Sistemas

(Identity Management)

Plan de Continuidad de

Negocio

(BCP)

Capacitación de Personal

(E-Learning)

Seguridad Informática

• La seguridad informática es un proceso dinámico y permanente que con el tiempo se torna “automático”, no por que se haga por si solo, sino por que cada uno de los involucrados conoce su función y la realiza de manera eficiente.

• La seguridad informática esta diseñado en un esquema de capas por lo tanto la seguridad es acumulativa.

• La seguridad informática debe ser un proceso planificado, que tenga un claro punto de partida y un claro punto de llegada.

• Los responsables de la seguridad de la información deben estar en constante capacitación y actualización no solo sobre el uso de los “fierros”, sino en la implementación de políticas y estándares que son la base sobre la cual los “fierros” trabajan.

21/02/2013 17

Seguridad Informática

21/02/2013 18

Seguridad Informática

• Symantec

• McAfee

• CA Technologies

• RSA

• Websence

• Verdasys

Productos para lograr el aseguramiento de la

Información

21/02/2013 19

Cinco consejos útiles

1. Establecer políticas, que contemplen planes y programas en materia de seguridad electrónica.

2. Capacitar al personal en todos los niveles de la empresa en seguridad informática, ya que el desconocimiento del usuario facilita el robo de información.

3. Establecer la firma de cláusulas de confidencialidad en los contratos de trabajo de los empleados para que no divulguen información estratégica a la que tienen acceso, aún si dejan de pertenecer a la compañía.

4. Apegarse a los estándares de seguridad informática, como el ISO 27001, que certifica las empresas en función de sus metodologías y estándares de protección de información.

5. Contar con sistemas de seguridad informática especializados que ayuden a facilitar el control y seguimiento de la información.

Consejos sobre Seguridad de la

Información

21/02/2013 20

POR EL BIEN DE SU

EMPRESA, PROTEGAN SU INFORMACIÓN

Comentario final

21/02/2013 21

¿DUDAS?

¿COMENTARIOS?

www.cosinfo.net

contacto@cosinfo.net

COSINFO cuenta con la acreditación

de la norma NMX-I-059/NYCE-2011 en el Nivel 2

MoProSoft (Modelo de Procesos de Software)

21/02/2013 22

Erick Oseguera

eoseguera@cosinfo.net

Gabriel Muñoz gmcarrillo@cosinfo.net

+52 (55) 5680 6716

COSINFO cuenta con la acreditación

de la norma NMX-I-059/NYCE-2011 en el Nivel 2

MoProSoft (Modelo de Procesos de Software)

21/02/2013 23