Este documento trata sobre la seguridad de la información. Explica conceptos como el IFAI, la LFPDPPP, y la protección de datos personales. También discute temas como la seguridad informática, productos para asegurar la información, y consejos sobre seguridad de la información. Finalmente, enfatiza la importancia de proteger la información de una organización.
2. Temas
IFAI y LFPDPPP
Seguridad Informática
Protección de la Información
Consejos sobre Seguridad de la Información
Productos en el Mercado para lograr el
asegurar la información
21/02/2013 2
3. IFAI y LFPDPPP
• IFAI (Instituto Federal de Acceso a la Información).
• En el primer semestre de 2010, el Congreso de la Unión
aprobó la Ley Federal de Protección de Datos Personales en
Posesión de Particulares, lo cual amplió sustancialmente las
facultades, atribuciones y responsabilidades del Instituto, al ser
considerado como autoridad nacional en la materia
• LFPDPPP (Ley Federal de Protección de Datos
Personales en Posesión de Particulares.
• Regula la forma y condiciones en que deben utilizarse los
datos personales por parte de personas físicas o morales en el
ámbito privado. Tiene por objeto garantizar la protección de tu
información personal y que puedas ejercer el derecho a
decidir, de manera libre e informada, sobre el uso que los
entes privados darán a los datos.
21/02/2013 3
4. Acceso a la
Información
Datos personales Datos personales
Cualquier información sensibles
relacionada con una persona
Datos que afectan la esfera más
(nombre, teléfono, domicilio,
intima del ser humano.
fotografía…)
Dueño de los datos Objetivo de la
personales protección de datos
La misma persona que los personales
proporciona, y decide quien,
Evitar que sean utilizados para un
para qué, cuando y por qué los
fin distinto para el que fueron
proporciona.
proporcionados.
Quién está obligado a
Categorías de datos proteger los datos
personales personales
Identificación, Laborales, Los individuos: exigiendo sus
Patrimoniales, Académicos, derechos. Quienes poseen datos
Ideológicos, Salud, personales: Aplicando lo
Características Personales,
establecido por la ley.
21/02/2013
Características Físicas. 4
5. Multas del IFAI
El IFAI, en su carácter de autoridad, tiene la facultad de imponer sanciones a aquellas
empresas que incumplan alguna disposición de la Ley. A continuación se mencionan
algunas de las posibles sanciones:
I. Apercibimiento
II. Multa de 100 a 160,000 días de salario mínimo
vigente en el Distrito Federal, cuando la empresa
actúe con negligencia o dolo con respecto a la
información personal, no observe los principios de
protección de datos establecidos en la Ley u
omita datos en el Aviso de Privacidad
III. Multa de 200 a 320,000 días de salario mínimo general vigente en el Distrito
Federal, cuando incumpla con su deber de confidencialidad en el tratamiento de
los datos, cambie la finalidad del tratamiento de los mismo sin darte aviso,
transfiriera tu datos a terceros sin el consentimiento del titular, obstruya los actos
de verificación del Instituto o realice un uso ilegítimo de los datos
IV. En caso de que persistan las infracciones de manera reiterada, el Instituto podrá
imponer una multa adicional que irá de 100 a 320,000 días de salario mínimo
vigente en el Distrito Federal. Tratándose de infracciones cometidas en el
tratamiento de datos sensibles, los montos de las sanciones
21/02/2013
podrán 5
incrementarse hasta por dos veces.
6. ¿Cómo cumplir con el
IFAI?
Documento físico, electrónico o en cualquier otro formato (como
puede ser visual o sonoro) para hacer del conocimiento del titular de
los datos personales, la información que será recabada, para qué
será utilizada y las características del tratamiento al que serán
sometidos sus datos personales.
Nombrar a un responsable que atienda las solicitudes
de Acceso, Rectificación, Cancelación y Oposición de
los datos personales (ARCO)
Contar con las medidas de seguridad necesarias para
garantizar los datos contra un uso indebido o ilícito, un
acceso no autorizado, o contra la pérdida, alteración,
robo o modificación de la información personal.
Capacitar al personal de la empresa que utiliza los datos
personales de un tercero en su uso, manejo y resguardo
conforme a las políticas, procedimientos y controles
establecidos para asegurar la información.
21/02/2013 6
8. Importancia de la
Seguridad de la
Información
La Seguridad de la información nos permite prevenir y nos ayuda
en temas como:
21/02/2013 8
9. Valor de la Información
¿Qué tan valiosa es la información? De acuerdo con las respuestas que
dieron 500 profesionales de TI en América Latina, Aproximadamente 50%
del valor de sus organizaciones deriva de la información que poseen
21/02/2013 Fuente: Symantec 9
10. Pérdida de la
Información
Las consecuencias de perder toda o parte de su información podría ser
devastador para las empresas.
21/02/2013 10
Fuente: Symantec
11. Pérdida de la
Información
21/02/2013 11
Fuente: Symantec
12. Pérdida de la
Información
21/02/2013Fuente: Understanding Security Complexity in 21st Century IT Environments. Ponemom Institute
12
13. Pérdida de la
Información
21/02/2013 Fuente: Websense13
14. Protección de la
Información
INFORMACIÓN
EN REPOSO
INFORMACIÓN
EN MOVIMIENTO
INFORMACIÓN
EN USO
21/02/2013 14
15. Herramientas de
Protección
Educación y Cultura
Acuerdos de Confidencialidad
DLP (Data Loss Prevention)
BCP (Business Continuity Plan)
ITIL (Information Technology Infrastructure Library)
Ley SOX (Ley Sarbanes Oxley)
ISO27001
21/02/2013 15
16. Seguridad Informática
Cumplimiento de
la Ley y de
Estándares
Internacionales
(IFAI)
(ISO 27001)
Encripción de
Capacitación de Información en
Personal dispositivos
(E-Learning) móviles
(PGP)
Seguridad de
la Información
Plan de Prevención de
Continuidad de Pérdida de
Negocio Información
(BCP) (DLP)
Acceso
Controlado a
los Sistemas
(Identity
Management)
21/02/2013 16
17. Seguridad Informática
• La seguridad informática es un proceso dinámico y permanente que con el
tiempo se torna “automático”, no por que se haga por si solo, sino por que
cada uno de los involucrados conoce su función y la realiza de manera
eficiente.
• La seguridad informática esta diseñado en un esquema de capas por lo
tanto la seguridad es acumulativa.
• La seguridad informática debe ser un proceso planificado, que tenga un
claro punto de partida y un claro punto de llegada.
• Los responsables de la seguridad de la información deben estar en
constante capacitación y actualización no solo sobre el uso de los “fierros”,
sino en la implementación de políticas y estándares que son la base sobre
la cual los “fierros” trabajan.
21/02/2013 17
19. Productos para lograr el
aseguramiento de la
Información
• Symantec
• McAfee
• CA
Technologies
• RSA
• Websence
• Verdasys
21/02/2013 19
20. Consejos sobre
Seguridad de la
Información
Cinco consejos útiles
1. Establecer políticas, que contemplen planes y programas en materia de
seguridad electrónica.
2. Capacitar al personal en todos los niveles de la empresa en seguridad
informática, ya que el desconocimiento del usuario facilita el robo
de información.
3. Establecer la firma de cláusulas de confidencialidad en los contratos de
trabajo de los empleados para que no divulguen información estratégica
a la que tienen acceso, aún si dejan de pertenecer a la compañía.
4. Apegarse a los estándares de seguridad informática, como el ISO
27001, que certifica las empresas en función de sus metodologías y
estándares de protección de información.
5. Contar con sistemas de seguridad informática especializados que
ayuden a facilitar el control y seguimiento de la información.
21/02/2013 20
21. Comentario final
POR EL BIEN DE SU
EMPRESA, PROTEGAN SU
INFORMACIÓN
21/02/2013 21
22. ¿DUDAS?
¿COMENTARIOS?
www.cosinfo.net
contacto@cosinfo.net
COSINFO cuenta con la acreditación
de la norma NMX-I-059/NYCE-2011 en el Nivel 2
MoProSoft (Modelo de Procesos de Software)
21/02/2013 22
23. Erick Oseguera
eoseguera@cosinfo.net
Gabriel Muñoz
gmcarrillo@cosinfo.net
+52 (55) 5680 6716
COSINFO cuenta con la acreditación
de la norma NMX-I-059/NYCE-2011 en el Nivel 2
MoProSoft (Modelo de Procesos de Software)
21/02/2013 23