En esta presentación podrás encontrar un mapeo general sobre la Ley de Protección de Datos Personales en Posesión de Particulares y como se puede aplicar la tecnología para lograr el cumplimiento en uno de los rubros que marca el documento de seguridad de la información.
2. Interservices Consulting México
• Ley Federal de Protección de Datos
Personales en Posesión de Particulares y
la seguridad de la información
3. LFPDPPP
Agenda:
Contexto de Ley Federal de Protección de Datos Personales en Posesión de Particulares
• Antecedentes
• Visión sobre LFPDPPP y ¿Quién debe cumplirla?
• ¿Dónde están los datos en las empresas?
• ¿Por dónde iniciar?
Las soluciones desde la visión de Oracle para el Cumplimiento de la LFPDPPP:
• La gestión de roles agiliza el trabajo y protege puertas adentro: Database Vault
• Prueba tus datos sensibles garantizando la seguridad: Data Masking Pack
• Realice la encriptación de datos: Advanced security
• Ejecute el control de auditoría de datos : Audit Vault
• Opciones de seguridad Oracle para No-Oracle : Protegemos todo
• Línea de Tiempo y ¿Qué sucederá?
4. ¿Por qué la Ley de Datos
Personales?…
vendió al gobierno de Estados Unidos BD de uso privativo del
Estado mexicano
• Vanguardia en Informática y Bases de Datos Especializados S.A.
de C.V. vendió en 335 mil dólares el padrón electoral con
información de 58 millones de mexicanos
• El IFE demandó a los implicados en la venta bajo los
cargos de revelación de secreto, delitos de carácter
electoral y de traición a la patria.
En enero de 2004 los cuatro
inculpados por la venta del “La información contenida en el padrón
padrón obtuvieron el beneficio electoral, según los expertos, puede ser muy
de la libertad mediante el pago útil para fines comerciales o para fines de
de una fianza Estado.”
5. Última noticia…
Google multado en Francia por violación de privacidad
Fuente: Paris, Francia | Lunes, 21 de marzo de 2011| www.bbc.co.uk
Google fue multado en Francia por US$ 142.000
por violación de las normas de privacidad
Las calles si son públicas, las redes
inalámbricas NO!!!
600GB de información reservada en esos
sistemas inalámbricos en más de 30 países
“Como dijimos antes, estamos profundamente
Google al tomar imágenes de las calles del país arrepentidos de haber recogido datos de carga
captaron además datos de redes inalámbricas de las redes Wi-Fi sin codificar”, indicó el
como contraseñas y correos electrónicos privados director de protección de datos de Google.
Peter Fleisher
6. Última noticia…
Mega-robo de datos en la PlayStation Network
Fuente: Tokio, Japón | Miércoles 27 de abril de 2011 EFE | El Universal
El robo de información más importante
de los últimos tiempos.
23 días sin la red de videojuegos
las empresas de videojuegos que dicen
estar perdiendo "cientos de miles de
dólares"
información privada de
77 millones de cuentas
Números de tarjetas de crédito con su fecha
de caducidad
Nombres y direcciones postales
Correos electrónicos, nombres de acceso y
contraseñas
Fechas de nacimiento
8. De la experiencia internacional…
Denuncias presentadas ante Monto recabado por concepto de
Multas via resolución de la AEPD
la Agencia Española de
Protección de Datos
$24.8M
4.136
32% 45% $22.6 M
75%
$19.6 M
535 621
2.362
# Resoluciones
399
2007 2008 2009 2007 2008 2009
Fuente: Memoria Anual de la Agencia Española de Protección de Datos 2010
9. PREGUNTA 1 …
¿Tienen identificados los activos de
información críticos para el negocio?
PREGUNTA 2 …
¿Tienen certeza de que no se han
presentado fugas de información
en su organización?
10. PARADIGMA: Robo Físico vs
Robo Digital
¿Qué estamos pensando sobre la importancia de la ley?
Robo Físico vs Robo Digital
Albert González
PGR decomisa $ 200 millones de USD
Zhenli Ye Gon
Más de $200 millones de
USD digitales
Viajo por todo EEUU y algunas partes del
mundo, realizando transacciones con CC
11. Marco Legal
Constitución Política de los Estados Unidos Mexicanos
Una obligación
Un derecho del responsable
Art.16 Toda persona tiene derecho a la
protección de sus datos personales, al fundamental del tratamiento
acceso, rectificación y cancelación de los y un derecho y un
mismos, así como a manifestar su compromiso
oposición
del titular de
los datos con el titular de
los datos
Art. 73 El Congreso tiene la facultad
(…)para legislar en materia de
protección datos personales en Derecho a la Obligaciones:
posesión de particulares. autodeterminación • Emitir aviso de
informativa privacidad
• Conocer y decidir quién y • Guardar
cómo utiliza sus datos confidencialidad
Art. 6 (…) El derecho a la información será • Mantener el control de los • Establecer medidas
garantizado por el Estado. datos privados
• Derecho a la intimidad,
de seguridad
dignidad y libertad
12. Marco Legal. Generalidades
Objetivo
• Tratamiento de datos personales en posesión de Iniciativa Privada
¿Qué protege?
• Datos automatizados
• Datos no automatizados
¿A quién aplica?
• A la Iniciativa privada (personas físicas o morales)
¿En dónde?
• Estados Unidos Mexicanos
Exentos de la ley
• Sociedades de Información Crediticia DOF 15/enero/2011 :Ley para Regular las Sociedades de
Información Crediticia.
• Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso
exclusivamente personal, y sin fines de divulgación o utilización comercial.
13. Definiciones sobre Datos
Cualquier información concerniente a Datos personales que afectan la esfera más íntima de su Titular
una persona física identificada o o cuya utilización indebida pueda dar origen a
identificable. discriminación o conlleve un riesgo grave
(Ejemplo: origen racial o étnico, estado de salud presente y
• Consentimiento será expreso cuando la futuro, información genética, creencias religiosas, filosóficas
voluntad se manifieste: verbalmente, y morales, afiliación sindical, opiniones políticas, preferencia
escrito, medio electrónico, óptico u otra sexual.)
tecnología. Consentimiento: expreso y por escrito, a través de su firma
• Consentimiento tácito si el Titular no autógrafa, electrónica o cualquier mecanismo de autenticación.
manifiesta oposición.
14. PREGUNTA 3 …
¿Hay información en su negocio que pueda
ser de interés para terceros? ¿Cuánto vale?
PREGUNTA 4 …
¿Saben cuánto podría costar una fuga de
información?
15. ¿Qué son los Derechos ARCO?
• Titular o su Representante Legal puede acceder
Acceso: a sus datos y conocer el Aviso de Privacidad
Rectificación: • Cuando los datos sean inexactos o incompletos
• El titular podrá solicitarla en cualquier
Cancelación: momento al responsable
• Oponerse la transferencia de sus datos
Oposición: personales
16. Visión General de la LFPDPPP
Calidad Finalidad
Información Lealtad
Consentimiento Proporcionalidad
Licitud Responsabilidad
Fuente: Deloitte 2010
18. ¿Dónde están los datos personales en las
empresas?...
Clientes || Proveedores || Áreas internas || Socios de negocio || Terceros
Ventas MKT Fianzas RH Operación Legal Otros
•Prospectos •Estudios de •Contabilidad •CV´s •Procesos de •Contratos •Desarrollo
•Clientes mercado •CxC •Contratación negocio •Litigios •Estadísticas Proceso de
actuales •Información de •CxP •Prestaciones •Cadena de •Convenios •Outsourcing negocio
•Relaciones clientes •Planeación •Seguro Social suministros •Reventas
•Segmentación •Presupuestos •Finiquitos •Etc.
•Mediciones
Sistemas a Sistemas Sistemas de
Email legados aplicación
ERP FTP la medida
Portal
CRM
Repositorios de
Archivos Servidores datos
Directorios
Bases de Datos
Redes
Componentes de Infraestructura de Red
20. ¿Qué es el documento de seguridad?
•Elaborar un •Establecer las medidas • Realizar un análisis
inventario de datos •Determinar las • Contar con un de seguridad aplicables de brechas entre
funciones y a los datos personales
personales y de los
obligaciones de las
análisis de las medidas de
sistemas de e identificar aquellas
personas que traten riesgos de datos implementadas de
seguridad
tratamiento de datos personales existentes y las
datos personales manera efectiva
personales faltantes
1 2 3 4 5
• Elaborar un plan de • Capacitar al • Un registro de • Un registro de
trabajo para • Llevar a cabo personal que cancelaciones o los medios de
implementar las revisiones y trae los datos destrucciones de almacenamiento
medidas de datos personales de datos
seguridad faltantes auditorías personales personales
6 7 8 9 10
22. Retos de las áreas involucradas
•Compresión de la Ley, así como su alineación con los requerimientos de negocio
•Preparación de avisos de privacidad y formatos de consentimiento
LEGAL •Asistencia en la organización y capacitación del departamento de protección de datos
•Actualización de contratos, cláusulas contractuales relativas a la confidencialidad y protección
de datos personales
•Diseño e implementación de nuevos procesos para el cumplimiento de requerimientos
•Alineación de nuevas actividades con procesos actuales de negocio
•Diseño de roles, responsabilidades, políticas y procedimientos de la función de protección de
PROCESOS
datos
•Difundir y asegurar la adopción de nuevas prácticas y procesos en el negocio actual
•Implementación de controles y medidas técnicas de protección basadas en AR
•Alineación / Selección de Tecnología
TECNOLOGÍA •Alineación y soporte tecnológico a nuevos procesos
•Administración de disponibilidad, vulnerabilidades e incidentes
•Consciencia sobre responsabilidades de protección de datos
•Punto de contacto de los titulares para dar respuesta entre otras a las solicitudes ARCO
•Participación en la obtención de la información (Aviso de privacidad, Consentimiento)
PERSONAL
23. Retos de las áreas involucradas
La realidad en su Organización en 10 7. ¿Puede identificar qué tipo de información se envía a
simples preguntas… través del correo electrónico?
1. ¿Tienen identificados los activos de 8. ¿Tienen implementados controles sobre dispositivos
información críticos para el negocio? móviles (laptops, smartphones, discos duros, memorias
2. ¿Hay información en su negocio que USB)?
pueda ser de interés para terceros? 9. ¿Están o estarán sujetos a alguna normatividad o ley
que regule la protección de datos?
3. ¿Saben cuánto podría costar una fuga 10. ¿Tienen certeza de que no se han presentado fugas
de información? de información en su organización?
4. ¿Tienen identificados los flujos
internos y externos por donde se
mueve y almacena su información?
5. ¿Los empleados conocen sus
responsabilidades sobre la protección
de información?
6. ¿Tienen forma de controlar la
reproducción, física o electrónica, de
información importante para el
negocio?
24. ¡Las soluciones de seguridad de datos no son suficientes!
Key Loggers Malware SQL Injection Espionage
Phishing Botware Social Engineering
Web Users
Application Application Database Administrators
Users
¡Los datos deben de protegerse desde el interior!
25. Oracle Database Security
Soluciones para privacidad y cumplimiento
Database Vault
Advanced
Security
Audit
47986 $5%&*
Vault
Data Secure
Masking Backup
Label
Security
26. Declaraciones comunes dentro del negocio…
“El departamento legal dice que nuestro DBA no debería
poder leer datos financieros, pero el DBA requiere acceder a
la base de datos para hacer su trabajo. ¿Qué hacemos?”
Oracle Database Vault
Control de acceso y autorización
Procurement
DBA
HR
Aplicación
Finance
select * from finance.customers
27. Declaraciones comunes dentro del negocio…
“Enviamos copias de respaldo en cinta fuera del sitio y necesitamos estar
seguros de que la información está segura, aún si el sitio remoto está
comprometido”
Oracle Advanced Security
Cifrado basado en estándares
Disk
Backups
Exports
Off-Site
Facilitie
s
28. Declaraciones comunes dentro del negocio…
“Los contratistas externos necesitan datos de producción para probar, pero
no podemos darles los nombres de los empleados ni sus IDs”
Oracle Data Masking
Enmascaramiento de datos
Producción Stand by
LAST_NAME SSN SALARY LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000 ANSKEKSL 111—23-1111 60,000
BENSON 323-22-2943 60,000 BKJHHEIEDK 222-34-1345 40,000
29. Declaraciones comunes dentro del negocio…
“Para cumplir con regulaciones legales, necesitamos generar reportes
mensuales para los auditores para probar que los controles de TI están
funcionando – y a eso nos dedicamos todo el mes”
Oracle Audit Vault
Monitoreo y reportes de auditoría automáticos
HR Data ! Alerts
Built-in
CRM Data Reports
Datos
auditados
Custom
ERP Data Reports
Policies
Databases Auditor
30. Declaraciones comunes dentro del negocio…
“Hemos tenido problemas al controlar todos los firewalls porque no
tenemos uno que nos funcione con todas las bases de datos que
manejamos”
Oracle Database Firewall
Primera línea de defensa
Allow
Log
Alert
Substitute
Applications
Block
Alerts Built-in Custom Policies
Reports Reports
31. Declaraciones comunes dentro del negocio…
“Necesitamos administrar los accesos a las aplicaciones de la empresa por
medio de un acceso único y que los usuarios solamente tengan una
contraseña universal”
Oracle Identity Manager
Gestión de identidades
GRANT
REVOKE
GRANT
REVOKE
GRANT
REVOKE
Empleados Aprobación
Contratos/Despidos Sistema de RH Aplicaciones
Flujos de trabajo
32. ¿Preguntas?
Daniel Osorio
LaAccount Manager recursos y servicios a
contratación de
compañías externas,
Oracle Solution implica la
posibilidad de contar con un socio
55 2855 7901
confiable que brinde TRANQUILIDAD al
implementar soluciones altamente
especializadas a través de tecnologías y
prácticas internacionales integradas y
adaptadas a la especificidad geográfica
de la organización y a las necesidades
particulares de la industria donde se
desempeña. Es así, que Interservices
brinda la capacidad para realizar el
mantenimiento de diversas aplicaciones
y tecnologías en ambientes
multiplataforma. Para que un día de
trabajo sea como estar en casa.
Muchas Gracias!
Teléfono oficina: 52 79 99 30