SlideShare una empresa de Scribd logo
BDO Argentina - Fabián Descalzo 1
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
SEGURIDAD DE LA
INFORMACIÓN
ENFOCADA A LA
PRIVACIDAD Y
PROTECCIÓN DE DATOS
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
1
2
BDO Argentina - Fabián Descalzo 2
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Fabián Descalzo (fdescalzo@bdoargentina.com)
Socio y DPO de BDO en Argentina del Departamento de Aseguramiento de
Procesos Informáticos (API). Posee 30 años de experiencia en el área de gestión
e implementación de Gobierno de Seguridad de la Información, Gobierno de TI,
Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para
el cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio. Docente del
Diplomado Universitario en Accounting Tech en la Universidad Argentina de la
Empresa - UADE del módulo BIG DATA Y SERVICIOS EN LA NUBE, Docente del
módulo 27001 de las Diplomaturas de “IT Governance, Uso eficiente de
Frameworks” y “Gobierno y Gestión de Servicios de TI” del Instituto Tecnológico
Buenos Aires (ITBA), Docente del Módulo de Auditoría de IT de la Diplomatura en
Delitos Informáticos para EDI en la Universidad Nacional de Río Negro y Docente
en Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT para TÜV
Rheinland. Miembro del Comité Directivo de ISACA Buenos Aires Chapter,
Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM” para
Qatalys Global sección Infraestructura Crítica, Miembro del Comité Científico del
IEEE (Institute of Electrical and Electronics Engineers)
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
El equilibrio de fuerzas ha cambiado en
la era interconectada. Las personas
ahora son "públicas por defecto y
privadas por esfuerzo".
Danah Boyd
Principal Researcher at Microsoft Research Founderof Data & Society Research Institute
VisiónACTUALdelaPrivacidad
El principal reto de la privacidad en la era
digital: Devolver a los usuarios el control sobre
los datos de su vida digital y física”, que solo se
logará con sensibilización y capacitación
3
4
BDO Argentina - Fabián Descalzo 3
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Información
personalen
línea
% de los usuarios
adultos de Internet
que dicen que esta
información sobre
ellos está disponible
en línea
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
datos
TECNOLOGÍA
NEGOCIO
BIG DATA
60’s
Almacenes de datos
Data Warehouse: Entregar la información
correcta a la gente indicada en el momento
óptimo y en el formato adecuado
80’s
90’s
2000’s
Capacidad Tecnológica
Mayor capacidad que hace que
cada 40 meses se duplique el
almacenamiento de datos
Inicio
Cantidad de datos tal que supera la capacidad del
software convencional para ser capturados,
administrados y procesados en un tiempo razonable
Se define el crecimiento constante
de datos como una oportunidad y
un reto para investigar en el
volumen, la velocidad y la variedad
"Big data representa los activos de información
caracterizados por un volumen, velocidad y
variedad tan altos que requieren una
tecnología específica y métodos analíticos para
su transformación en valor"
70’s
Dependencia de IT en
procesos centralizados
no interactivos
Procesos centralizados en línea
Primeros virus - Antivirus
Poca seguridad informática
Procesos distribuidos, internet y
crecimiento dependencia tecnológica
Proveedores, dispositivos extraíbles
Ataques a defensa, tecnología
mobile, fraude online, riesgos
internos, privacidad, IoT, Teletrabajo
5
6
BDO Argentina - Fabián Descalzo 4
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
datos
TECNOLOGÍA
NEGOCIO
BIG DATA
60’s
80’s
90’s
2000’s
Inicio
Modelo publicado en 2009
(Comisionado de Información y
Privacidad de Ontario, la Autoridad
Holandesa de Protección de Datos y la
Organización Holandesa para la
Investigación Científica)
70’s
Enfoque preventivo para la
protección de la privacidad de
los datos, modelo robusto y
escalable para garantizar la
privacidad total de los datos (*)
En 2018 la Unión Europea pasó a
incorporar la privacidad por diseño
como parte del RGPD
PRIVACIDAD POR DISEÑO
(*) Dra. Ann Cavoukian, directora ejecutiva del Instituto de Privacidad y Big Data de la Universidad de Ryerson y ex Comisionada de Información y Privacidad de Ontario
Procesos distribuidos, internet y
crecimiento dependencia tecnológica
Proveedores, dispositivos extraíbles
Ataques a defensa, tecnología
mobile, fraude online, riesgos
internos, privacidad, IoT,
Teletrabajo
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Nuestra información
personal se relaciona en
gran medida con
operaciones,
procesamiento e
intercambio, de distintas
formas y a través de
numerosos medios
COLEGAS DE UNA
MISMA ÁREA
COLEGAS DE
OTRAS Áreas
COLABORADORES
EXTERNOs
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
7
8
BDO Argentina - Fabián Descalzo 5
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
La legislación para la privacidad de datos
Seguridad de la información
enfocada a la privacidad y
protección de datos
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
9
10
BDO Argentina - Fabián Descalzo 6
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Directiva ePrivacy 2021
El nuevo Reglamento sobre Privacidad y Comunicaciones Electrónicas
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Regulación de la Protección de Datos Personales en el Mundo
LGPD
- Privacy Act 1974
- ECPA 1986
- CCPA
- HIPPA
- FCRA
- GLBA
- COPPA
- Normas estatales
Uruguay:
18331
Chile
19.628
20575
Mexico
LFPDPPP
Rusia
Federal Law 152-FZ
Japón
APPI
Australia
FEDERAL PRIVACY ACT 1988
AUSTRALIAN PRIVACY
PRINCIPLES
COLOMBIA
1.266
1.581
Canada
PIPEDA
Marruecos:
09-08
Túnez: 2004-
63
Sudafrica
POPIA
Angola
22/11
Ghana
Act 843
Turquía
6698
China PIPL
Dubai Data
Law
GDPR y
normas
locales
Argentina
25.326
Ley 81
Panamá
Ecuador
LOPDP
Costa Rica
8968
Peru
29733
FUENTE: ALAP Asociación Latinoamericana de Privacidad
11
12
BDO Argentina - Fabián Descalzo 7
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Fuente: European Data Protection Supervisor
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
13
14
BDO Argentina - Fabián Descalzo 8
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Se debe demostrar que se cuenta
con mecanismos de gestión para la
aplicación de "medidas técnicas y
organizativas apropiadas" para
proteger los datos personales que
procesa y defender los derechos de
los interesados, de acuerdo con el
principio de responsabilidad del
Reglamento (Artículo 5 (2)).
El artículo 42 del RGPD analiza los
mecanismos de certificación de
protección de datos. Es posible
lograr la certificación acreditada de
forma independiente según ISO
27001, y por extensión ISO 27701 si
implementa sus controles, lo que
demostrará a las partes interesadas
y reguladores que su organización
está siguiendo las mejores prácticas
internacionales cuando se trata de
proteger datos personales / PII.
GDPR
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Esta norma internacional proporciona un marco de
protección de datos que:
 Establece una terminología común sobre la protección de
datos;
 Define los actores y su papel en el tratamiento de los
datos personales (PII)
 Describe las consideraciones de privacidad y
 Referencias a principios conocidos de protección de datos
para la tecnología de la información.
Descarga gratuita en
https://standards.iso.org/ittf/PubliclyAvailableStandards/
15
16
BDO Argentina - Fabián Descalzo 9
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
 Consentimiento y elección
 Legitimación y especificación del propósito
 Limitación de la colección
 Minimización de datos
 Limitación de uso, retención y divulgación
 Precisión y calidad
 La apertura, la transparencia y el aviso
 Participación y acceso individual
 Rendición de cuentas
 Seguridad de la información
 Cumplimiento de la privacidad
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
17
18
BDO Argentina - Fabián Descalzo 10
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
GDPR
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Artículos de ejemplo Entendimiento, separado en Negocio, Tecnología y Seguridad/Compliance Gestión desde el Gobierno de la
Tecnologíay la Información
Procesamiento Cualquier operación o conjunto de operaciones que se realiza en datos personales o
en conjuntos de datos personales, ya sea por medios automatizados, como
recolección, registro, organización, estructuración, almacenamiento, adaptación o
alteración, recuperación , consulta, uso, divulgación por transmisión, difusión o
puesta a disposición, alineación o combinación, restricción, eliminación o
destrucción
• Gestión de identidades e IDM
• Políticas de seguridad en
plataformas
• Gobierno de datos
• Ciclo de vida de la información
• Clasificación de información
• Dueño de datos.
• Responsables de control
• Procesadores de datos
• Borrado seguro
• Desarrollo seguro
• Segregación de ambientes
• Segregación de comunicaciones
• Almacenamiento seguro
• Ofuscación/enmascaramiento
Principios de protección de
datos
 Procesamiento legal, justo y de manera transparente
 Recopilado para fines especificados, explícitos y legítimos
 Adecuado, relevante y limitado a lo necesario
 Preciso y, cuando sea necesario, actualizarlos
 Se mantiene en una forma que permite la identificación por no más de lo
necesario
 Procesado de manera que garantice una seguridad adecuada
Delegado de protección de
datos
La persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o
conjuntamente con otros, determine los fines y los medios del tratamiento de los
datos personales
Rectificación y supresión Portabilidad de datos, rectificación y supresión, limitación del tratamiento
19
20
BDO Argentina - Fabián Descalzo 11
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Agencia de Acceso a la Información Pública
Medidas de seguridad para el conservación para el tratamiento y conservación
Legislación argentina
Ley 25.326 de Protección de Datos Personales
Datos Personales Datos Sensibles
Anexo I - Datos Personales en medios informatizados
A. Recolección de datos
B. Control de acceso
C. Control de cambios
D. Respaldo y recuperación
E. Gestión de vulnerabilidades
F. Destrucción de la información
G. Incidentes de seguridad
H. Entornos de Desarrollo
Anexo II - Datos Personales en medios no informatizados
A. Recolección de datos
B. Control de acceso
C. Conservación de la información
D. Destrucción de la información
E. Incidentes de seguridad
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
ISO27701 y el tratamiento de la información privada
Seguridad de la información
enfocada a la privacidad y
protección de datos
21
22
BDO Argentina - Fabián Descalzo 12
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
La protección dela
privacidades una
necesidadsocial
Casi todas las
organizaciones procesan
Información de
identificación personal
(PII) y su procesamiento
está en aumento, al igual
que el número de
situaciones en las que una
organización comparte
esta información.
ES IMPORTANTERECORDAR QUE SEGURIDADNO SIGNIFICA PRIVACIDAD
La seguridad protege a los datos y la
privacidad protege a la identidad
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
En el presente documento se especifican los
requisitos y se ofrece orientación sobre
 La instalación,
 Implementación,
 Mantenimiento y
 La mejora continua
Un PIMS (Privacy Information Management
System) en forma de extensión de la ISO/IEC 27001
y la ISO/IEC 27002 para la gestión de la protección
de datos dentro de la empresa
ISO/IEC 27701:2019
23
24
BDO Argentina - Fabián Descalzo 13
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Especifica los requisitos y proporciona
orientación para establecer, implementar,
mantener y mejorar en forma continua
un Sistema de Gestión de Privacidad de la
Información (PIMS), como extensión a
ISO/IEC 27001 e ISO/IEC 27002, y basado
en sus requisitos, objetivos de control y
controles para el manejo de la privacidad
en el contexto de la organización
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Aplicabilidad
de
ISO/IEC
27001
y
27002
25
26
BDO Argentina - Fabián Descalzo 14
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Cambios
en
el
SGSI
para
la
implementación
de
un
SGPI
27
28
BDO Argentina - Fabián Descalzo 15
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Al evaluar la aplicabilidad de los objetivos y controles de la ISO/IEC 27001:2013 Anexo A para el
tratamiento de riesgos, los objetivos de control y los controles se tendrán en cuenta tanto en el
contexto de los riesgos para la seguridad de la información como de los riesgos aparejados para el
tratamiento de la PII, incluidos los riesgos para los PII Principales
Modificaciones
al
añadir
ISO27701
en
controles
de
ISO27002
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Modificaciones
al
añadir
ISO27701
en
controles
de
ISO27002
29
30
BDO Argentina - Fabián Descalzo 16
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Además de proporcionar requisitos, controles y objetivos de control específicos de
privacidad para controladores y procesadores, ISO 27701 incluye anexos que los
asignan a:
 ISO 29100 (Tecnología de la información – Técnicas de seguridad – Marco de
privacidad);
 ISO 29151 (Tecnología de la información – Técnicas de seguridad – Código de
prácticas para la protección de la información de identificación personal); y
 ISO 27018 (Tecnología de la información – Técnicas de seguridad – Código de
prácticas para la protección de la información de identificación personal (PII) en
nubes públicas que actúan como procesadores de PII)
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Framework de la privacidad
31
32
BDO Argentina - Fabián Descalzo 17
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Negocio y la información privada
Seguridad de la información
enfocada a la privacidad y
protección de datos
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
500 altos
directivos de 55
países
(Europa, Oriente Medio,
África, Asia y América)
33
34
BDO Argentina - Fabián Descalzo 18
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
IoT, BIG DATa, IA, BI
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
IoT
Internet delasCosas
ciberseguridad
35
36
BDO Argentina - Fabián Descalzo 19
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
En 2025 habrá
más de 50
millones de
dispositivos
inteligentes
conectados en el
mundo, todos
ellos
desarrollados
para recopilar,
analizar y
compartir datos
Hasta3Gbpor mes
https://www.csoonline.com/article/3160511/how-to-protect-your-data-your-vehicles-and-your-people-against-automotive-cyber-threats.html
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Los controles opcionales ahora son obligatorios… distintas áreas “no TI” (Shadow IT) usando tecnologíadeben solicitar controles de
ciberseguridad sobre sus proveedores de plataformas tecnológicas.
37
38
BDO Argentina - Fabián Descalzo 20
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
39
40
BDO Argentina - Fabián Descalzo 21
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Punto de vista
del entorno
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
41
42
BDO Argentina - Fabián Descalzo 22
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
 Establecer misión, visión y
directrices
 Definir estrategias, modelar y
simular
 Evaluar estado y definir nivel de
madurez
 Definir organización y dar
responsabilidades ejecutivas
 Planificar la comunicación
 Planificar el control
 Definir políticas
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
actividadesdeprivacidadcon los principios deCOBIT
Identificar dónde existen los datos personales dentro del entorno
empresarial y cómo se mueven en toda la empresa
Implementar protecciones de privacidad dentro de todas las
funciones y procesos que afectan la privacidad dentro de la empresa
Identificar y comprender las necesidades de
privacidad de las partes interesadas
Generar confianza protegiendo la privacidad
Beneficiar a las personas al reducir su riesgo
de fraude de identidad y otros daños Integración de TI empresarial, seguridad
de la información y privacidad a través de
la alineación de COBIT con estándares y
marcos generalmente aceptados,
incluidos los estándares y marcos
específicos de TI
Centrarse en el negocio para garantizar que los controles y
consideraciones de privacidad se integren en las
actividades comerciales.
Adoptar un enfoque basado en el riesgo para garantizar
que el riesgo de privacidad se mitigue de manera
coherente y efectiva
Proteger las aplicaciones empresariales en las que una
violación de la privacidad tendría el mayor impacto en el
negocio
Promover un comportamiento de privacidad responsable
Identificar el riesgo de privacidad que se basa en
los procesos, estructuras organizativas, tipos de
información, comportamientos y culturas,
servicios y aplicaciones, personas involucradas y el
contexto en el que se utiliza la información.
Proporcionar controles de privacidad
Mitigar el riesgo de privacidad en acciones para
cumplir los objetivos de la empresa
43
44
BDO Argentina - Fabián Descalzo 23
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO
Los responsables del tratamiento deben aplicar las medidas técnicas y organizativas adecuadas al tratamiento de los
datos personales
DISEÑO: Verificar desde el diseño si el producto
cumple con los principios de privacidad por diseño
desde todos los enfoques.
DEFECTO: Funciones de privacidad se integran en
cualquier sistema, herramienta o dispositivo,
garantizando el anonimato pase lo que pase
• Identifica los flujos de información: qué se
recopila, por qué se recopila y a dónde va.
• Identificar los riesgos de privacidad: identificar a
los terceros que tienen acceso a los datos del
usuario.
• Identificar e implementar formas de reducir los
riesgos de privacidad.
• Restringir el intercambio de datos
• Minimizan el uso de datos
• Brindar la posibilidad de optar por no compartir
información confidencial
• Diseñar los valores predeterminados de sus
sistemas para garantizar que se requiera un
esfuerzo mínimo para mantener la privacidad
ISO 31700 Protección del consumidor - Privacidad por diseño para bienes y servicios de consumo
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
45
46
BDO Argentina - Fabián Descalzo 24
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Ejemplos de medidas de protección de datos desde el
diseño
Ejemplos de medidas de protección de datos por defecto
• Configuración de un sistema de acceso a los datos por roles
dentro de una entidad, de forma que únicamente puedan
acceder a ellos los empleados que estrictamente necesiten
hacerlo.
• Aplicar técnicas de seudonimización y de cifrado de los datos
personales a la hora de su almacenamiento.
• Almacenar copias de seguridad de los datos de forma
separada a los originales, de forma que se mantenga su
integridad.
• Que las copias de seguridad que se llevan a cabo sean las
estrictamente necesarias y su acceso se encuentre
restringido.
• Codificación de comunicaciones entre personal de una
empresa, para evitar que terceros puedan tener acceso a
datos personales de forma no autorizada.
• Proporcionar a los usuarios de una página web de llevar a
cabo actividades sin necesidad de darse de alta o de crearse
una cuenta, siempre que ello no sea necesario según la
finalidad.
• Si se lleva a cabo una comunicación mediante formularios de
contacto, establecer como obligatorios los mínimos datos
posibles, siendo todos los demás voluntarios.
• Incorporación de mecanismos de ofuscación para evitar el
tratamiento de datos biométricos en fotos, video, teclado,
ratón, etc.
• Facilitar el ejercicio de derechos de oposición, supresión y
limitación del tratamiento de datos personales.
• Configuración de los plazos de conservación de datos
personales, de forma que este sea el menor tiempo posible.
ISO 31700 Protección del consumidor - Privacidad por diseño para bienes y servicios de consumo
47
48
BDO Argentina - Fabián Descalzo 25
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Principios
para la
protección de
datos desde
el diseño
Actitud
proactiva, no
reactiva;
preventiva, no
correctiva
La privacidad
como
configuración
predeterminada
Privacidad
incorporada en
la fase de diseño
Funcionalidad
total:
pensamiento de
"todos ganan"
Aseguramiento
de la privacidad
en todo el ciclo
de vida de los
datos
Visibilidad y
transparencia
Respeto de la
privacidad de los
usuarios:
mantener un
enfoque
centrado en el
usuario
1. Optimizar: Menor número de
datos personales posible y
durante el menor tiempo
posible.
2. Configurar: Permitir al usuario
limitar el tratamiento de datos
personales
3. Restringir: Tratamiento
limitando
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
OCHO ESTRATEGIAS A IMPLEMENTAR PARA PROTECCIÓN DEDATOS DESDE EL DISEÑO
1. Minimizar: Recoger y tratar la mínima cantidad de datos posible. Se suelen emplear cuatro tácticas: seleccionar, excluir, podar y
eliminar.
2. Ocultar: Limitar la exposición de los datos. Para dar respuesta a esta estrategia se suelen aplicar cuatro tácticas: restringir, ofuscar,
disociar y agregar.
3. Separar: Evitar, o al menos minimizar, el riesgo de que se pueda llegar a realizar un perfilado completo del sujeto. Las siguientes
tácticas contribuyen a implementar la estrategia de separación: aislar y distribuir.
4. Abstraer: Limitar al máximo el detalle de los datos personales que son tratados. Esta estrategia se centra en el grado de detalle con
el que los datos son tratados y en su agregación mediante el empleo de tres tácticas: sumarizar, agrupar y ofuzcar.
5. Informar: Esta estrategia es la implementación del objetivo y principio de transparencia establecido en el RGPD, informando del
procesamiento de sus datos en tiempo y forma a los sujetos, usando las siguientes tácticas: facilitar, explicar y notificar.
6. Controlar: Persigue el objetivo de proporcionar a los interesados control en relación a la recogida, tratamiento, usos y
comunicaciones realizadas sobre sus datos personales. La implementación de estos mecanismos se apoya en el empleo de las
siguientes tácticas: consentir, alertar, elegir, actualizar y retirar.
7. Cumplir: Asegura que los tratamientos de datos personales sean compatibles y respeten los requisitos y las obligaciones legales
impuestas por la normativa. La cultura de la privacidad debe formar parte esencial de la organización y hacer partícipes a todos los
miembros de ésta.
8. Demostrar: Pretende que, de acuerdo con el artículo 24 del RGPD, el responsable del tratamiento pueda demostrar, tanto a los
interesados como a los autoridades de supervisión, el cumplimiento de la política de protección de datos que esté aplicando, así
como el resto de requisitos y obligaciones legales impuestas (responsabilidad proactiva). Las tácticas que permiten garantizar y
poder demostrar conformidad al RGPD son: registrar, auditar e informar.
49
50
BDO Argentina - Fabián Descalzo 26
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Escenariosde amenazas Vulnerabilidades Riesgos
 Dispositivos informáticos potentes y
portátiles(por ejemplo,teléfonos
inteligentes, tabletasy computadoras
portátiles) que facilitan cada vez más la
recopilación, agregación y difusión de
información
 Aumento del número de relaciones con
terceros (por ejemplo, proveedores de
conexiones y aplicaciones)
 Aumento de la concentración de la
infraestructura del ciberespacio (por
ejemplo, centros de datos y redes
troncales de comunicación)
 Leyesy regulacionesque
comprometen la privacidad
 Profesionalización de los atacantes (por
ejemplo, equiposindividualesy equipos
financiados por el estado)
 Aumento del número de personas que realizan
actividades en el ciberespacio
 Aumento del número de fuentes para
recopilar datos (porejemplo,cámarasIP,
biométricas, GPS, RFID, etc.)
 Usuarios sin educación / inconscientes con
respecto a la privacidad del ciberespacio
 Faltade preocupaciones de protección de la
privacidad en aplicaciones / desarrollo de
sistemas
 Datos másvaliosos que se almacenan y
procesan electrónicamente a escala masiva y
centralizada (por ejemplo, almacenes de datos)
 Información compartida,combinaday vinculada
con mayor frecuencia
 Usode credenciales comunes para acceder a
varios sistemas
 Recopilación de información no
requerida para el propósito principal
 Mantenimiento de la información
más allá del tiempolegítimo de uso
 Divulgación de información
confidencial sobre la vida o el
negocio de uno
 Promoción de información
incorrecta que compromete la
reputación
 Robo de identidad
 Aplicaciones / sistemas sin
funcionalidades / controles
adecuados de protección de la
privacidad
Riesgos para la privacidad en el ciberespacio
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Ciberseguridad Protección de la privacidad
Confidencialidad de la información
almacenada en las TIC
El aspecto más directo de la ciberseguridad con respecto a la
protección de la privacidad, que abarca todos los conceptos
discutidos (el derecho a ser dejado de lado, el acceso limitado, los
estados de privacidad y el secreto).
Integridad de la información almacenada
/ procesada
Esta relación es más implícita, ya que se debe preservar la
integridad de las reglas establecidas para controlar quién tiene
acceso a la información y quién puede alterarla para garantizar la
privacidad del usuario.
Disponibilidad y fiabilidad de las
Tecnologías de la Información y la
Comunicación (TIC)
Los activos de TIC deben estar disponibles y ser fiables a la
manera de proporcionar las funcionalidades necesarias para
garantizar el control adecuado de la privacidad.
Las relaciones entre ciberseguridad y protección de la privacidad
51
52
BDO Argentina - Fabián Descalzo 27
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
ISO/IEC 24760-1Seguridady privacidad deTI — Un marco parala gestión deidentidades
 Gestión de credenciales, administración de la
información de identidad, Ciclo de vida de la
identidad digital
 Se debe implementar medidas para proteger la
privacidad de las entidades humanas con las que
interactúan los sistemas, con capacidad para:
 Aplicar mecanismos, incluidas políticas,
procesos y tecnología, para una divulgación
mínima de datos privados;
 Autenticar entidades que utilizan
información de identidad;
 Minimizar la capacidad de vincular
identidades;
 Registrar y auditar el uso de la información
de identidad
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Cláusula
número Título Observaciones
5
Políticasde seguridadde la
información
Se proporciona orientación específica del sector para la aplicación y otra información.
6
Organización de la seguridadde la
información
Se proporciona orientación específica del sector para la aplicación.
7 Seguridad de los recursoshumanos Se proporciona orientación específica del sector para la aplicación y otra información.
8 Gestiónde activos No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información.
9 Control de acceso
Se proporcionan orientaciones sectoriales sobre la aplicación, para facilitar una referencia cruzada a los controles
que figuran en el anexo A.
10 Criptografía Se proporciona orientación específica del sector para la aplicación.
11 Seguridad físicay ambiental
Se proporcionan orientaciones sectoriales sobre la aplicación, para facilitar una referencia cruzada a los controles
que figuran en el anexo A.
12 Seguridad de las operaciones Se proporciona orientación específica del sector para la aplicación.
13 Seguridad de las comunicaciones
Se proporcionan orientaciones sectoriales sobre la aplicación, para facilitar una referencia cruzada a los controles
que figuran en el anexo A.
14
Adquisición, desarrolloy
mantenimientode sistemas
No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información.
15 Relacionescon proveedores No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información.
16
Gestiónde incidentesde seguridad
de la información Se proporciona orientación específica del sector para la aplicación.
17
Aspectos de seguridadde la
informaciónde la gestión de la
continuidad del negocio
No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información.
18 Conformidad
Se proporcionan orientaciones sectoriales sobre la aplicación, para facilitar una referencia cruzada a los controles
que figuran en el anexo A.
Ubicación de las orientaciones sectoriales y otra información para la aplicación de los controles en ISO/IEC 27002
53
54
BDO Argentina - Fabián Descalzo 28
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Cláusula
número Título Observaciones
5
Políticas de seguridad de la
información
Las políticas de seguridad de la información deben complementarse con una declaración sobre el apoyo y
compromiso de lograr el cumplimiento de la legislación de protección de PII aplicable y el contrato
términos acordados entre el procesador de PII en la nube pública y sus clientes (clientes de servicios en la nube)
6
Organizaciónde la seguridad de
la información
El procesador de PII en la nube pública debe designar un punto de contacto para que lo utilice el cliente del servicio
en la nube con respecto al procesamiento de la PII en virtud del contrato.
7
Seguridad de los recursos
humanos
Sensibilización, educación y formación en seguridad de la información: Se deben implementar medidas para que el
personal relevante sea consciente de las posibles consecuencias en el procesamiento de PII en la nube pública (por
ejemplo, consecuencias legales, pérdida de negocio y marca o daño a la reputación), consecuencias de control
interno (por ejemplo, consecuencias disciplinarias) y en la dirección de PII (por ejemplo, consecuencias físicas,
materiales y emocionales) de infringir las reglas y procedimientos de privacidad o seguridad, especialmente aquellos
que se refieren al manejo de PII.
9 Control de acceso
1. En el contexto de las categorías de servicio de la arquitectura cloud, el cliente del servicio en la nube puede ser
responsable de algunos o todos los aspectos de la gestión de acceso para los usuarios del servicio en la nube bajo
su control.
2. Los procedimientos para el alta y baja de cuentas de usuarios deben abordar la situación en la que el control de
acceso del usuario se vea comprometido, por ejemplo, como resultado de una divulgación inadvertida de
contraseña.
10 Criptografía
El procesador de PII en la nube pública debe proporcionar información al cliente sobre los métodos que utiliza para la
criptografía aplicada en la protección de la PII que procesa (por ejemplo, datos de salud relacionados con un principal
de PII, números de registro de residente, números de pasaporte y números de licencia de conducir), incluyendo
cualquier capacidad que brinde que pueda ayudar al cliente a aplicar su propia protección criptográfica.
11 Seguridad física y ambiental
A los efectos de la eliminación o reutilización segura, el equipo tecnológico que contenga medios de almacenamiento
que posiblemente puedan contener PII debe tratarse como si lo hiciera.
Ubicación de las orientaciones sectoriales y otra información para la aplicación de los controles en ISO/IEC 27002
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Cláusula
número Título Observaciones
12 Seguridad de las operaciones
1. Cuando no se pueda evitar el uso de PII con fines de prueba, se debe realizar una evaluación de riesgos e
implementar medidas técnicas y organizativas para minimizar los riesgos identificados.
2. Se deben crear o mantener múltiples copias de datos en ubicaciones físicas y / o lógicamente diversas (que
pueden estar dentro del propio sistema de procesamiento de información) con el fin de realizar copias de
seguridad y / o recuperación.
3. Deben establecerse procedimientos para permitir la restauración de las operaciones de procesamiento de datos
dentro de un período documentado específico después de un evento adverso grave.
4. Se debe implementar un proceso para revisar los registros de eventos con una periodicidad documentada
específica, para identificar irregularidades y proponer esfuerzos de remediación.
5. Siempre que sea posible, los registros de eventos deben registrar si la PII ha sido cambiada (agregada,
modificada o eliminada) como resultado de un evento y por quién.
6. Cuando a un cliente de servicio en la nube se le permite acceder a los registros controlados por el procesador de
PII, éste debe asegurarse de que el cliente solo pueda acceder a sus registros, y que no pueda acceder a ningún
otro registro de otros clientes de servicios en la nube.
7. La información contenida en logs con fines tales como monitoreo de seguridad y diagnóstico operativo puede
contener PII, por lo que se deben implementar medidas para controlar el acceso a estos archivos y para
garantizar que la información registrada solo se utilice para los fines previstos. Debe establecerse un
procedimiento, preferiblemente automático, para garantizar que la información registrada se elimine dentro de
un período especificado y documentado.
Ubicación de las orientaciones sectoriales y otra información para la aplicación de los controles en ISO/IEC 27002
55
56
BDO Argentina - Fabián Descalzo 29
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Cláusula
número Título Observaciones
13
Seguridad de las
comunicaciones
Siempre que se utilicen medios físicos para la transferencia de información, se debe establecer un sistema para
registrar los medios físicos entrantes y salientes que contengan PII, incluido el tipo de medio físico, el remitente /
destinatario autorizado, la fecha y hora, y la cantidad de medios físicos. . Siempre que sea posible, se debe solicitar a
los clientes de servicios en la nube que implementen medidas adicionales (como el cifrado) para garantizar que solo se
pueda acceder a los datos en el punto de destino y no en el camino.
16
Gestión de incidentes de
seguridad de la información
1. En el contexto de toda la arquitectura de referencia de la computación en la nube, puede haber roles compartidos
en la gestión de incidentes de seguridad de la información y la realización de mejoras.
2. Un incidente de seguridad de la información debe desencadenar una revisión por parte del procesador de PII de la
nube pública, como parte de su proceso de gestión de incidentes de seguridad de la información, para determinar si
se ha producido una violación de datos que involucre PII
18 Conformidad
1. El procesador de PII en la nube pública debe poner a disposición de los clientes del servicio, antes de celebrar un
contrato y durante la duración de un contrato, evidencia de que la seguridad de la información se implementa y
opera de acuerdo con las políticas y procedimientos del procesador de PII en la nube pública.
2. Una auditoría independiente relevante seleccionada por el procesador de PII en la nube pública es un método
aceptable para satisfacer el interés del cliente, siempre que se proporcione suficiente transparencia.
Ubicación de las orientaciones sectoriales y otra información para la aplicación de los controles en ISO/IEC 27002
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Etapas del nivel de madurez de la compañía entorno a los datos corporativo
Inactiva:
Procesos: hay desconocimiento del impacto e importancia del dato.
Evolución: para pasar a la siguiente etapa, es necesario un proceso de
culturización del dato.
Reactivo:
Personas: La empresa ya es consciente de la importancia del dato pero
no dispone todavía de roles específicos en la gestión del dato.
Tecnología: No hay soluciones tácticas dentro de los silos
departamentales.
Evolución: Es necesario organizar la gestión del dato y su estrategia.
Acciones como el mapa de estrategia o un programa de transformación
de Gobierno del Dato permiten evolucionar a la siguiente etapa de
madurez.
Proactivo:
Personas: La empresa ya dispone de patrocinadores, charters y métricas
de éxito.
Procesos: clara identificación entre negocio y IT.
Tecnología: Foco en el descubrimiento y análisis de causa.
Evolución: Implantación de un modelo de Gobierno del Dato.
Optimizado:
Personas: Organización de datos implantada y responsable de los
activos corporativos.
Procesos: Calidad de los datos monitoreados como parte de las
operaciones estándar.
Tecnología: Enfoque de plataforma para perfilar, monitorizar y visualizar
datos.
57
58
BDO Argentina - Fabián Descalzo 30
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
DPO
Delegado de
Protección
de Datos
La persona responsable deberá:
 Ser independiente e informar directamente al nivel de gestión adecuado
de la organización con el fin de garantizar una gestión eficaz de los riesgos
de privacidad;
 Participar en la gestión de todas las cuestiones relacionadas con la
tramitación de la II;
 Ser experto en legislación, regulación y práctica en materia de protección
de datos;
 Actuar como punto de contacto para las autoridades de supervisión;
 Informar a la alta dirección y a los empleados de la organización de sus
obligaciones con respecto al procesamiento de la II;
 Proporcionar asesoramiento con respecto a las evaluaciones de impacto
en la privacidad realizadas por la organización.
Asesorar sobre protección de datos, supervisar el cumplimiento de la norma y servir de contacto entre la
empresa, la autoridad y los empleados.
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
 Obligatorio en organizaciones
con más de 250 trabajadores
 Con menos de 250 empleados,
obligatorio cuando necesiten un
seguimiento sistemático y
periódico de los datos
personales tratados para la
monitorización o investigación
de mercados, análisis de riesgos
o datos crediticios o de
solvencia patrimonial, datos
sensibles
DPO
Delegado de
Protección
de Datos
 Nuevos entornos digitales y evolución
tecnológica para el procesamientos masivos
de datos o afectación a datos sensibles
 Velar por el cumplimiento legal y técnico en
las entidades
 Garantizar el cumplimiento de la normativa
de privacidad y protección de datos de su
organización
 Especialistas de la legislación y las prácticas
en materia de protección de datos
59
60
BDO Argentina - Fabián Descalzo 31
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
CDO
CHIEF DATA OFFICER
Asume total responsabilidad de la
estrategia con los datos y la
información, estableciendo las
políticas, criterios y procesos.
Oficina de
Gobierno del
Dato
Encargado de
velar por el cumplimiento de la
estrategia, Políticas, criterio y
procesos
Citizen Data
Scientist
Responsable de generar modelos
tanto de datos como negocio, a
partir del análisis predictivo o
Prescriptivo, (Intermedio entre Data
Scientist y el Business Analyst)
Data Owner Experto encargado de garantizar
la correcta gestión de los ámbitos
de los que es responsable.
Data
administrator
Responsables de ejecutar en su
ambito las
políticas, criterios y procesos
basándose en la
estrategia del Gobierno del Dato
Data
Architect
Asegura la coherencia de los
datos residentes en los
aplicativos, tanto a nivel de
definición como de calidad y
seguridad, y asesora al equipo
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
NISTIR 8062 Introducción a la ingeniería y la gestión de riesgos de privacidad
61
62
BDO Argentina - Fabián Descalzo 32
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
NISTIR 8062 Objetivos de ingeniería de privacidad
Previsibilidad
Permitir suposiciones
confiables por parte de
individuos, propietarios
y operadores sobre la
PII y su procesamiento
por un sistema de
información
Manejabilidad
Proporcionar la
capacidad para la
administración
granular de PII,
incluida la
alteración, la
eliminación y la
divulgación
selectiva.
Disociabilidad
Permitir el
procesamiento de PII o
eventos sin asociación a
personas o dispositivos
más allá de los
requisitos operativos de
los sistemas.
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
¿Cuáles son los riesgos de privacidad asociados con un censo de
población?
En particular, el riesgo del uso secundario sobre la información por parte
del Gobierno (como actor de amenazas) de la información de etnicidad
(violación de la privacidad) que resulta en la pérdida de libertad
(consecuencia adversa) para las personas en el país (población afectada)
NISTIR 8062 Introducción a la ingeniería de privacidad y la gestión de riesgos en sistemas federales
ejemplo
63
64
BDO Argentina - Fabián Descalzo 33
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Capacidad
Severidad
La probable frecuencia y magnitud probable de
futuras violaciones de la privacidad.
La frecuencia probable, dado un marco de tiempo, que
un actor de amenazaactúa hacia un individuo de una
manera que es una posible violación de la privacidad.
La frecuencia
probable, dado un
marco de tiempo, en
el que un actor de la
amenazaentrará en
contacto con un
individuo o la
información del
individuo.
La probabilidad de
que un actor de
amenazas actúe de
una manera que sea
una posible violación
de la privacidad, si se
le da la oportunidad.
Las habilidadesy
recursos disponibles
para que un actor de
amenazas, en una
situación dada, actúe
de una manera que
sea una posible
violación.
Los impedimentos que
un actor amenaza, en
una situación dada,
debe superar para
actuar de una manera
que sea una posible
violación.
La frecuencia probable
consecuencias
adversas para la
población afectada.
La magnitud probable
de las consecuencias
adversas sobre la
población afectada.
La probable gravedad de la violación de la privacidad
de la población afectaday los consiguientesriesgos
para esa población
La gravedad probable de la violación de la
privacidad en toda la población en riesgo. La
gravedad de la nota es subjetiva y comparativa
con otras violaciones similares
La frecuencia probable y la
magnitud probable de las
consecuencias adversas sobre
la población afectada
Riesgo de
privacidad
Frecuencia de
acción
Intento de
frecuencia
Vulnerabilidad
Oportunidad de
amenaza
Probabilidad de
acción
Dificultad
Magnitud de
violación
Consecuencias
secundarias Riesgo
Consecuencias
Frecuencia
Consecuencias
Magnitud
La probabilidad de que
los actos de un actor de
amenazas tengan éxito.
La frecuencia probable, dado un marco
de tiempo, que una amenaza se
materializa sobre los datos de un
individuo
Análisis de factores en el riesgo privacidad de información según NISTIR 8062
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Diagrama de
flujo de datos
65
66
BDO Argentina - Fabián Descalzo 34
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Auditoría de privacidad de datos
Seguridad de la información
enfocada a la privacidad y
protección de datos
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Defina los objetivos de la auditoría
 Primero, considere las siete categorías de privacidad:
 Privacidad de la persona
 Privacidad de comportamiento y acción
 Privacidad de la comunicación
 Privacidad de datos e imagen (información)
 Privacidad de pensamientos y sentimientos
 Privacidad de la ubicación y el espacio (territorial)
 Privacidad de la asociación
 Considere el riesgo de privacidad que puede conducir a una publicidad adversa y daños a la
reputación que resultan en pérdidas económicas y de clientes, incluidas multas.
 Finalmente, considere los objetivos de la auditoría. Es probable que esto incluya el
cumplimiento de las leyes y regulaciones.
67
68
BDO Argentina - Fabián Descalzo 35
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Ejemplosderiesgodeprivacidad
Categoría de privacidad Ejemploderiesgo
Privacidad de comportamiento y acción
Las redes sociales contienen información, imágenes, video y audio que
revelan actividades personales, orientaciones y preferencias, muchas de las
cuales son de naturaleza sensible y pueden afectar a los interesados.
Privacidad de pensamientos y sentimientos
El análisis de big data tiene el potencial de tomar grandes cantidades de datos
y revelar los pensamientos o sentimientos de individuos específicos en función
de los datos que proporcionan o que otros proporcionan sobre ellos. Tales
conocimientos pueden tener un impacto negativo si se toman medidas debido
a los hallazgos analíticos.
Privacidad de la ubicación y el espacio
(territorial)
Los dispositivos informáticos de propiedad privada que se utilizan para
actividades comerciales también pueden grabar imágenes y audio. Tales
imágenes y audio crean un riesgo de privacidad si los dispositivos también se
utilizan para realizar actividades comerciales dentro del lugar de trabajo.
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Número de
principio Principio Control de evidencias del programa de auditoría
1 Elección y consentimiento
Cuando se obtiene información de identificación personal (PII) de individuos, se
obtiene el consentimiento.
2
Especificación del propósito legítimo y
limitación del uso
Existen directrices claras para garantizar el uso y la retención adecuados de los datos en
toda la empresa.
3
Ciclo de vida de la información
personal y la información confidencial
Existen directrices claras para garantizar el uso, retención y la eliminación adecuados de
los datos en toda la empresa..
4 Precisión y calidad
Determine si la guía de administración de registros describe la estrategia y los
procedimientos de la empresa con respecto al mantenimiento, la retención y la
destrucción de registros de acuerdo con todas las leyes y regulaciones estatales y
federales.
5 Apertura, transparencia y aviso Cuando se obtiene PII de individuos, se obtiene el consentimiento.
6 Participación individual
El propósito y el alcance / aplicabilidad del proceso de gestión de registros están
claramente definidos.
7 Responsabilidad
Los roles y responsabilidades de las personas involucradas en la gestión del gobierno
de datos para la privacidad, confidencialidad y cumplimiento para la empresa se han
definido claramente.
Principios de privacidad de ISACA
69
70
BDO Argentina - Fabián Descalzo 36
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Número de
principio Principio Control de evidencias del programa de auditoría
8 Medidas de seguridad
Existen estándares de cifrado de datos apropiados para los datos en reposo, y se
llevan a cabo campañas de concientización apropiadas para capacitar a los
empleados.
9
Monitoreo, medición y presentación
de informes
Se tiene en cuentala conciencia y se utilizan métricas clave para la conformidad y el
cumplimiento de la capacitación requerida.
10 Prevención de daños
La integración de las evaluaciones de impacto en la privacidad (PIA) está
firmemente establecida en la empresa y existen herramientas y monitoreo
adecuados para la validación del cumplimiento.
11 Gestión de terceros/Proveedores
El lenguaje contractual para la gestión de piI por parte de terceros se incluye y
acuerda adecuadamente.
12 Gestión de incumplimiento/desvíos
El plan de escaladade infracciones está en marcha para reaccionar a las infracciones de
PII.
13 Seguridad y privacidad por diseño
La desidentificación de datos en toda la empresa se aplica adecuadamente a través de
herramientas y medios automatizados.
14
Libre flujo de información y restricción
legítima
Las políticas y los requisitos de privacidad global se han modificado para alinearse con
los requisitos específicos de la región o el país.
Principios de privacidad de ISACA
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Legislación argentina | Agencia de Acceso ala Información Pública
Fiscalización en materia de datos personales
Aspectos generales relativos a la protección de los datos personales:
A. Licitud del tratamiento;
B. Calidad de los datos personales tratados;
C. Consentimiento del titular del dato;
D. Información;
E. Categorías especiales de datos;
F. Seguridad;
G. Confidencialidad;
H. Cesión y transferencia internacional de datos personales;
I. Prestación de servicios de información crediticia;
J. Tratamiento de datos con fines de publicidad;
K. Procedimientos para el ejercicio de los derechos de los titulares de los datos personales,
acceso, rectificación, actualización o supresión.
L. Existencia de una evaluación de impacto en materia de protección de datos personales;
M. Términos y condiciones y política de privacidad del responsable;
N. Actuación del Responsable o delegado de protección de datos;
O. Sistema de notificaciones a los titulares de datos y a la Agencia de Acceso a la Información
Pública en caso de incidentes de seguridad.
Criterios de selección de
inspeccionados:
A. Impacto del tratamiento de datos en la
privacidad de las personas;
B. Volumen de tratamiento de datos;
C. Clase de datos tratados;
D. Cantidad de denuncias recibidas por el
organismo;
E. Gravedad de las denuncias recibidas;
F. Actividad que desarrolla.
71
72
BDO Argentina - Fabián Descalzo 37
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Legislación argentina | Agencia de Acceso ala Información Pública
Fiscalización en materia de datos personales – anexo ii
 1. LICITUD DEL TRATAMIENTO
 LICITUD DEL TRATAMIENTO EN CASO DE DATOS PERSONALES
 LICITUD DEL TRATAMIENTO EN CASO DE DATOS SENSIBLES
 TRATAMIENTOS RELATIVOS A CONDENAS E INFRACCIONES PENALES
 2. CALIDAD DE LOS DATOS
 3. CONSENTIMIENTO
 CONSENTIMIENTO GENERAL
 CONSENTIMIENTO DE NIÑOS
 4. INFORMACIÓN
 5. SEGURIDAD Y CONFIDENCIALIDAD
 6. CESION DE DATOS
 7. TRANSFERENCIA INTERNACIONAL DE DATOS
 8. PRESTACIÓN DE SERVICIOS DE INFORMACIÓN CREDITICIA
 9. PUBLICIDAD
 10. DERECHOS DEL TITULAR DE DATOS
Este documentocontiene los lineamientos generales a tener en cuenta por los inspectores parala fiscalización de las actividades de
tratamiento de datos personales. Contiene las bases de fiscalización, constituido por las verificaciones jurídicas y las verificaciones técnicas,
que se llevan a cabo al momento de la visita al responsable o usuario de las bases de datos.
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
74
certificación de protección de datos en sistemas informáticos – TRUST IT
Procedimiento de certificación en el que la evaluación de la privacidad de un proceso se combina con la evaluación de la seguridad del
sistema de TI correspondiente. El nivel de calidad de la protección de datos que se ha logrado se establece en función del cumplimiento de
requisitos. En este proceso, se incluye en la investigación una serie de características de calidad, que se enumeran a continuación:
 Requerimientos legales
 Permisibilidad de procesamiento
 Derecho del cliente sobre sus datos
 Derecho de los empleados sobre sus datos
 Seguridad en el procesamiento de datos personales en productos IT
 Transparencia
 Gestión de la calidad de la protección de datos
 Seguridad de datos (control de acceso físico y lógico, control de transmisión,
control de entrada, control de procesamiento, disociación)
 Investigación del sistema desde el punto de vista técnico (seguridad de
componentes, gestión del sistema, pruebas de intrusión y auditorías técnicas)
73
74
BDO Argentina - Fabián Descalzo 38
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Aspectos dela evaluación Elementos deprueba
Requisitos legales  Categoría legal del objeto de prueba
 Requisitos formales
 Requisitos para las diferentes fases de procesamiento
 Operación transfronteriza
 Responsabilidades
 Descripción de los requisitos para el objeto de prueba
Permisibilidad del
tratamiento
 Propósito
 Autorizaciones y justificación para el procesamiento de datos, por ejemplo:
 Contrato y relaciones de confianza similares al contrato
 Interés justificado del responsable del tratamiento
 Interés justificado de un tercero
 Interés público justificado
 Fuentes de acceso general/público
 Transmisión en forma de lista
 Acuerdo del interesado
 Otras regulaciones legales o legislación
 Cumplimiento de los principios básicos de protección de datos y privacidad
 Respeto de los derechos de los interesados
 Medidas técnicas y organizativas
 Condiciones estructurales
 Proporcionalidad
 Declaración de obligaciones
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Aspectos dela evaluación Elementos deprueba
Aspectos de la evaluación Elementos de prueba
Compatibilidad con los
interesados
 Notas que llaman la atención sobre la protección de datos
 Participación
 Posibilidad de que las personas protejan sus propios datos personales por medios técnicos u organizativos
 Aceptación de los medios técnicos y organizativos
 Descripción adecuada del producto
 Instrucciones de instalación
 Posibilidad de formación o información b
Transparencia  Transparencia de la política de protección de datos
 Transparencia de los medios técnicos y organizativos utilizados
Gestión de la calidad de la
protección de datos
 Política de protección de datos
 Análisis de riesgos
 Responsabilidad de la protección de datos
 Cualificación en materia de protección de datos
 Notas que llaman la atención sobre la protección de datos
 Documentación
 Proceso de mejora continua
 Administración del sistema
 Documentación
75
76
BDO Argentina - Fabián Descalzo 39
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
77
Aspectos dela evaluación Elementos deprueba
Seguridad de los datos  Control de entrada
 Control de acceso físico
 Control de acceso a datos
 Control de transmisión
 Control de entrada de datos
 Control de pedidos
 Control de disponibilidad
 Separación de datos
Inspección de seguridad  Seguridad de los componentes utilizados, también seguridad de la red y del transporte de datos
 Medios y métodos utilizados para la gestión del sistema
 Pruebas e inspecciones
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
Seguridad de la información
enfocada a la privacidad y
protección de datos
Conclusiones
77
78
BDO Argentina - Fabián Descalzo 40
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
• No pidas más información de la necesaria.
• Haz que los datos personales sean anónimos para que no se puedan conectar a una
persona específica.
• Tener una política de privacidad clara, accesible y actualizada periódicamente.
• Proporcionar opciones para que los usuarios configurar sus preferencias de
recopilación de datos.
• Recuerda a los usuarios que revisen su configuración de privacidad.
• Eliminar datos antiguos.
• Sigue el enfoque Security by Design mediante la automatización de los controles de
seguridad de los datos en los sistemas de TI.
• Desarrolle procedimientos para detectar, informar e investigar de manera efectiva las
violaciones de datos.
conclusiones
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
 ISO/IEC 17789, Computación en la nube — Arquitectura de referencia
 ISO/IEC 27001, Sistemas de gestión de la seguridad de la información — Requisitos
 ISO/IEC 27005, Riesgo para la seguridad de la información - Administración
 ISO/IEC 27035, Incidente de seguridad de la información - Administración
 ISO/IEC 27036-4, Seguridad de la información para las relaciones con los proveedores
 ISO/IEC 27040, Seguridad del almacenamiento
 ISO/IEC 29100:2011, Marco de privacidad
 ISO/IEC 29101, Marco de arquitectura de privacidad
 ISO/IEC 29134, Directrices para el impacto en la privacidad - Evaluación
 ISO/IEC 29191, Requisitos para la autenticación parcialmente anónima y parcialmente desvinculable
 ISO/IEC JTC 1/SC 27, WG 5 — Parte 1: Lista de Referencias de Privacidad. Última versión, disponible en
http://www.jtc1sc27.din.de/sbe/wg5sd2
 BS 10012:2009, Protección de datos. Especificación para un sistema de gestión de información personal
 JIS Q 15001:2006, Sistemas de gestión de protección de la información personal — Requisitos
 NIST SP 800-53rev5, Security and Privacy Controls for Federal Information Systems and Organizations
 NIST SP 800-122, Guía para proteger la confidencialidad de la información de identificación personal
 NIST SP 800-144, Directrices sobre seguridad y privacidad en la computación en la nube pública
 ENISA. Informe sobre Cloud Computing: Beneficios, riesgos y recomendaciones para la seguridad de la
información, 2009 de noviembre (http://www.enisa.europa.eu/activities/risk-management/files/
entregables/cloud-computing-risk-assessment/at_download/fullReport)
 Unión Europea, Grupo del Artículo 29, Dictamen 05/ 2012 sobre la computación en nube, adoptado en
julio de 2012: (http://ec.europa.eu/justice/data-protection/article-29/documentation /opinion-
recommendation/files/2012/wp196_en.pdf)
79
80
BDO Argentina - Fabián Descalzo 41
SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS
API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
Gracias por acompañarnos
81

Más contenido relacionado

La actualidad más candente

Privacy-ready Data Protection Program Implementation
Privacy-ready Data Protection Program ImplementationPrivacy-ready Data Protection Program Implementation
Privacy-ready Data Protection Program Implementation
Eryk Budi Pratama
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
Jose Rafael
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
Cvent
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
Common Practice in Data Privacy Program Management
Common Practice in Data Privacy Program ManagementCommon Practice in Data Privacy Program Management
Common Practice in Data Privacy Program Management
Eryk Budi Pratama
 
International Data Transfer Update
International Data Transfer UpdateInternational Data Transfer Update
International Data Transfer Update
TrustArc
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Urgensi RUU Perlindungan Data Pribadi
Urgensi RUU Perlindungan Data PribadiUrgensi RUU Perlindungan Data Pribadi
Urgensi RUU Perlindungan Data Pribadi
Eryk Budi Pratama
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Haroll Suarez
 
Data Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
Data Protection Indonesia: Basic Regulation and Technical Aspects_ErykData Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
Data Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
Eryk Budi Pratama
 
Ciberseguridad en la nube
Ciberseguridad en la nubeCiberseguridad en la nube
Ciberseguridad en la nube
Olaf Reitmaier Veracierta
 
GDPR
GDPRGDPR
GDPR
Gopi PD
 
Iso 27001 foundation sample slides
Iso 27001 foundation sample slidesIso 27001 foundation sample slides
Iso 27001 foundation sample slides
Stratos Lazaridis
 
GDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationGDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection Regulation
Vicky Dallas
 
Azure Information Protection
Azure Information ProtectionAzure Information Protection
Azure Information Protection
Robert Crane
 
Curso SGSI 2023
Curso SGSI 2023Curso SGSI 2023
Curso SGSI 2023
Panel Sistemas
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptx
PedroMarquez78
 
01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt
SteveVe1
 
Unidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta DisponibilidadUnidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta Disponibilidad
vverdu
 

La actualidad más candente (20)

Privacy-ready Data Protection Program Implementation
Privacy-ready Data Protection Program ImplementationPrivacy-ready Data Protection Program Implementation
Privacy-ready Data Protection Program Implementation
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 
Common Practice in Data Privacy Program Management
Common Practice in Data Privacy Program ManagementCommon Practice in Data Privacy Program Management
Common Practice in Data Privacy Program Management
 
International Data Transfer Update
International Data Transfer UpdateInternational Data Transfer Update
International Data Transfer Update
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Urgensi RUU Perlindungan Data Pribadi
Urgensi RUU Perlindungan Data PribadiUrgensi RUU Perlindungan Data Pribadi
Urgensi RUU Perlindungan Data Pribadi
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Data Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
Data Protection Indonesia: Basic Regulation and Technical Aspects_ErykData Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
Data Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
 
Ciberseguridad en la nube
Ciberseguridad en la nubeCiberseguridad en la nube
Ciberseguridad en la nube
 
GDPR
GDPRGDPR
GDPR
 
Iso 27001 foundation sample slides
Iso 27001 foundation sample slidesIso 27001 foundation sample slides
Iso 27001 foundation sample slides
 
GDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection RegulationGDPR Basics - General Data Protection Regulation
GDPR Basics - General Data Protection Regulation
 
Azure Information Protection
Azure Information ProtectionAzure Information Protection
Azure Information Protection
 
Curso SGSI 2023
Curso SGSI 2023Curso SGSI 2023
Curso SGSI 2023
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptx
 
01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt01-Pengantar Keamanan Komputer.ppt
01-Pengantar Keamanan Komputer.ppt
 
Unidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta DisponibilidadUnidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta Disponibilidad
 

Similar a 2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf

Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)
Agust Allende
 
ley de proteccion de datos
ley de proteccion de datosley de proteccion de datos
ley de proteccion de datos
BANCORPPROCASH
 
PRESENTACION CIBERSEGURIDAD BASC SENA.pptx
PRESENTACION CIBERSEGURIDAD BASC SENA.pptxPRESENTACION CIBERSEGURIDAD BASC SENA.pptx
PRESENTACION CIBERSEGURIDAD BASC SENA.pptx
WilliamBeltran26
 
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptxISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
diegofelipealarconma
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
Jonathan López Torres
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
Javier Peña Alonso
 
Seguridad-de-la-Informacion.pdf
Seguridad-de-la-Informacion.pdfSeguridad-de-la-Informacion.pdf
Seguridad-de-la-Informacion.pdf
RogyAcurio
 
Marco legal de la privacidad, identidad digital y la protección de datos pers...
Marco legal de la privacidad, identidad digital y la protección de datos pers...Marco legal de la privacidad, identidad digital y la protección de datos pers...
Marco legal de la privacidad, identidad digital y la protección de datos pers...
Propertyrights de Colombia Ltda.
 
AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.
PowerData
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personales
BetoMassa
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personales
BetoMassa
 
Protección y privacidad una realidad para latinoamérica
Protección y privacidad una realidad para latinoaméricaProtección y privacidad una realidad para latinoamérica
Protección y privacidad una realidad para latinoamérica
Interlat
 
Articles 9337 recurso-1
Articles 9337 recurso-1Articles 9337 recurso-1
Articles 9337 recurso-1
iedsanfernando
 
Ponencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez PiquerasPonencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez Piqueras
cepgranada
 
Seguridad de la información como medida para la protección de los datos.pdf
Seguridad de la información como medida para la protección de los datos.pdfSeguridad de la información como medida para la protección de los datos.pdf
Seguridad de la información como medida para la protección de los datos.pdf
AlexisNivia
 
Afc module 4 translated
Afc module 4 translatedAfc module 4 translated
Afc module 4 translated
SoniaNaiba
 
Educacion lopd andatic_II
Educacion lopd andatic_IIEducacion lopd andatic_II
Marco legal y técnico de la seguridad de la información en la Administración ...
Marco legal y técnico de la seguridad de la información en la Administración ...Marco legal y técnico de la seguridad de la información en la Administración ...
Marco legal y técnico de la seguridad de la información en la Administración ...
Rodolfo Herrera Bravo
 
Data set module 4 - spanish
Data set   module 4 - spanishData set   module 4 - spanish
Data set module 4 - spanish
Data-Set
 
Seguridad informatica auditoria
Seguridad informatica auditoriaSeguridad informatica auditoria
Seguridad informatica auditoria
Diego Llanes
 

Similar a 2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf (20)

Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)
 
ley de proteccion de datos
ley de proteccion de datosley de proteccion de datos
ley de proteccion de datos
 
PRESENTACION CIBERSEGURIDAD BASC SENA.pptx
PRESENTACION CIBERSEGURIDAD BASC SENA.pptxPRESENTACION CIBERSEGURIDAD BASC SENA.pptx
PRESENTACION CIBERSEGURIDAD BASC SENA.pptx
 
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptxISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
 
Seguridad-de-la-Informacion.pdf
Seguridad-de-la-Informacion.pdfSeguridad-de-la-Informacion.pdf
Seguridad-de-la-Informacion.pdf
 
Marco legal de la privacidad, identidad digital y la protección de datos pers...
Marco legal de la privacidad, identidad digital y la protección de datos pers...Marco legal de la privacidad, identidad digital y la protección de datos pers...
Marco legal de la privacidad, identidad digital y la protección de datos pers...
 
AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.AR-Un paso más allá en a seguridad de sus datos.
AR-Un paso más allá en a seguridad de sus datos.
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personales
 
Las importancia de proteger los datos personales
Las importancia de proteger los datos personalesLas importancia de proteger los datos personales
Las importancia de proteger los datos personales
 
Protección y privacidad una realidad para latinoamérica
Protección y privacidad una realidad para latinoaméricaProtección y privacidad una realidad para latinoamérica
Protección y privacidad una realidad para latinoamérica
 
Articles 9337 recurso-1
Articles 9337 recurso-1Articles 9337 recurso-1
Articles 9337 recurso-1
 
Ponencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez PiquerasPonencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez Piqueras
 
Seguridad de la información como medida para la protección de los datos.pdf
Seguridad de la información como medida para la protección de los datos.pdfSeguridad de la información como medida para la protección de los datos.pdf
Seguridad de la información como medida para la protección de los datos.pdf
 
Afc module 4 translated
Afc module 4 translatedAfc module 4 translated
Afc module 4 translated
 
Educacion lopd andatic_II
Educacion lopd andatic_IIEducacion lopd andatic_II
Educacion lopd andatic_II
 
Marco legal y técnico de la seguridad de la información en la Administración ...
Marco legal y técnico de la seguridad de la información en la Administración ...Marco legal y técnico de la seguridad de la información en la Administración ...
Marco legal y técnico de la seguridad de la información en la Administración ...
 
Data set module 4 - spanish
Data set   module 4 - spanishData set   module 4 - spanish
Data set module 4 - spanish
 
Seguridad informatica auditoria
Seguridad informatica auditoriaSeguridad informatica auditoria
Seguridad informatica auditoria
 

Más de Fabián Descalzo

INTELIGENCIA ARTIFICIAL: Ciberseguridad, gobernanza y protección de datos
INTELIGENCIA ARTIFICIAL: Ciberseguridad, gobernanza y protección de datosINTELIGENCIA ARTIFICIAL: Ciberseguridad, gobernanza y protección de datos
INTELIGENCIA ARTIFICIAL: Ciberseguridad, gobernanza y protección de datos
Fabián Descalzo
 
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
Fabián Descalzo
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
Fabián Descalzo
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
Fabián Descalzo
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
Fabián Descalzo
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
Fabián Descalzo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
Fabián Descalzo
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
Fabián Descalzo
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
Fabián Descalzo
 
Proteccion frente a ciberataques
 Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
Fabián Descalzo
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad   30 noviembre 2021Dia internacional ciberseguridad   30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
Fabián Descalzo
 
2021 Mes de la ciberseguridad
  2021 Mes de la ciberseguridad  2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
Fabián Descalzo
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Fabián Descalzo
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
Fabián Descalzo
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
Fabián Descalzo
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
Fabián Descalzo
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
Fabián Descalzo
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
Fabián Descalzo
 
Cómo poner en valor la gestión de la Seguridad de la Información dentro de la...
Cómo poner en valor la gestión de la Seguridad de la Información dentro de la...Cómo poner en valor la gestión de la Seguridad de la Información dentro de la...
Cómo poner en valor la gestión de la Seguridad de la Información dentro de la...
Fabián Descalzo
 

Más de Fabián Descalzo (20)

INTELIGENCIA ARTIFICIAL: Ciberseguridad, gobernanza y protección de datos
INTELIGENCIA ARTIFICIAL: Ciberseguridad, gobernanza y protección de datosINTELIGENCIA ARTIFICIAL: Ciberseguridad, gobernanza y protección de datos
INTELIGENCIA ARTIFICIAL: Ciberseguridad, gobernanza y protección de datos
 
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
 
Proteccion frente a ciberataques
 Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad   30 noviembre 2021Dia internacional ciberseguridad   30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
 
2021 Mes de la ciberseguridad
  2021 Mes de la ciberseguridad  2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
 
Cómo poner en valor la gestión de la Seguridad de la Información dentro de la...
Cómo poner en valor la gestión de la Seguridad de la Información dentro de la...Cómo poner en valor la gestión de la Seguridad de la Información dentro de la...
Cómo poner en valor la gestión de la Seguridad de la Información dentro de la...
 

Último

Carlos Ronquillo - eCommerce Day Ecuador 2024
Carlos Ronquillo - eCommerce Day Ecuador 2024Carlos Ronquillo - eCommerce Day Ecuador 2024
Carlos Ronquillo - eCommerce Day Ecuador 2024
eCommerce Institute
 
Mario Alejandro León - eCommerce Day Ecuador 2024
Mario Alejandro León - eCommerce Day Ecuador 2024Mario Alejandro León - eCommerce Day Ecuador 2024
Mario Alejandro León - eCommerce Day Ecuador 2024
eCommerce Institute
 
Programa FEXTICUM 2024 .
Programa FEXTICUM 2024                 .Programa FEXTICUM 2024                 .
Programa FEXTICUM 2024 .
Monsefú Perú
 
Marcos Pueyrredon, Juan Luis Calvo, María Andrea Rivadeneira, Philippe Fossae...
Marcos Pueyrredon, Juan Luis Calvo, María Andrea Rivadeneira, Philippe Fossae...Marcos Pueyrredon, Juan Luis Calvo, María Andrea Rivadeneira, Philippe Fossae...
Marcos Pueyrredon, Juan Luis Calvo, María Andrea Rivadeneira, Philippe Fossae...
eCommerce Institute
 
Presentacion premios muchachos discord.pptx
Presentacion premios muchachos discord.pptxPresentacion premios muchachos discord.pptx
Presentacion premios muchachos discord.pptx
ehernandezgloria6
 
Revista de geografia de La Provincia de Colón
Revista de geografia de La Provincia de ColónRevista de geografia de La Provincia de Colón
Revista de geografia de La Provincia de Colón
KayrielisRizo
 
PROGRAMA DE FEXTICUM 2024 MONSEFÚ - PERÚ.pdf
PROGRAMA DE  FEXTICUM 2024 MONSEFÚ - PERÚ.pdfPROGRAMA DE  FEXTICUM 2024 MONSEFÚ - PERÚ.pdf
PROGRAMA DE FEXTICUM 2024 MONSEFÚ - PERÚ.pdf
Monsefú Perú
 
Danny Barbery - eCommerce Day Ecuador 2024
Danny Barbery - eCommerce Day Ecuador 2024Danny Barbery - eCommerce Day Ecuador 2024
Danny Barbery - eCommerce Day Ecuador 2024
eCommerce Institute
 
Problemas y errores de traducción en traductología
Problemas y errores de traducción en traductologíaProblemas y errores de traducción en traductología
Problemas y errores de traducción en traductología
sergio1234321
 
Christian Jaque - eCommerce Day Ecuador 2024
Christian Jaque - eCommerce Day Ecuador 2024Christian Jaque - eCommerce Day Ecuador 2024
Christian Jaque - eCommerce Day Ecuador 2024
eCommerce Institute
 
Gisella Galati, Juan Carlos Salame, Mauricio Chiappe, Byron Efren Añazco Teni...
Gisella Galati, Juan Carlos Salame, Mauricio Chiappe, Byron Efren Añazco Teni...Gisella Galati, Juan Carlos Salame, Mauricio Chiappe, Byron Efren Añazco Teni...
Gisella Galati, Juan Carlos Salame, Mauricio Chiappe, Byron Efren Añazco Teni...
eCommerce Institute
 
Thiago Domingues - eCommerce Day Ecuador 2024
Thiago Domingues - eCommerce Day Ecuador 2024Thiago Domingues - eCommerce Day Ecuador 2024
Thiago Domingues - eCommerce Day Ecuador 2024
eCommerce Institute
 
EBDV 2024 SHINE - ADOLESCENTES CLASE.pptx
EBDV 2024 SHINE - ADOLESCENTES CLASE.pptxEBDV 2024 SHINE - ADOLESCENTES CLASE.pptx
EBDV 2024 SHINE - ADOLESCENTES CLASE.pptx
KErries1
 
Historia de la Obra conocida de "Carta a Silvia"
Historia de la Obra conocida de "Carta a Silvia"Historia de la Obra conocida de "Carta a Silvia"
Historia de la Obra conocida de "Carta a Silvia"
cristhianerquinigo20
 
cultura cañaris parte baja distrito de cañaris region lambayeque .pptx
cultura cañaris parte baja distrito de cañaris region lambayeque .pptxcultura cañaris parte baja distrito de cañaris region lambayeque .pptx
cultura cañaris parte baja distrito de cañaris region lambayeque .pptx
AlexHuamanLucero
 
Jefferson Malquin Reina - eCommerce Day Ecuador 2024
Jefferson Malquin Reina - eCommerce Day Ecuador 2024Jefferson Malquin Reina - eCommerce Day Ecuador 2024
Jefferson Malquin Reina - eCommerce Day Ecuador 2024
eCommerce Institute
 
Jefferson Malquin Reina - eCommerce Day Ecuador 2024
Jefferson Malquin Reina - eCommerce Day Ecuador 2024Jefferson Malquin Reina - eCommerce Day Ecuador 2024
Jefferson Malquin Reina - eCommerce Day Ecuador 2024
eCommerce Institute
 
Presentación ley 21.643 Ley Karin asociación chilena de segruidad
Presentación ley 21.643 Ley Karin asociación chilena de segruidadPresentación ley 21.643 Ley Karin asociación chilena de segruidad
Presentación ley 21.643 Ley Karin asociación chilena de segruidad
EmilioSotoContreras
 
ENCUENTRO LITERARIO DAVID MONTEAGUDO & PEDRO CARBONELL CASTILLERO EN LIBRERIA...
ENCUENTRO LITERARIO DAVID MONTEAGUDO & PEDRO CARBONELL CASTILLERO EN LIBRERIA...ENCUENTRO LITERARIO DAVID MONTEAGUDO & PEDRO CARBONELL CASTILLERO EN LIBRERIA...
ENCUENTRO LITERARIO DAVID MONTEAGUDO & PEDRO CARBONELL CASTILLERO EN LIBRERIA...
Octavio Serret
 

Último (19)

Carlos Ronquillo - eCommerce Day Ecuador 2024
Carlos Ronquillo - eCommerce Day Ecuador 2024Carlos Ronquillo - eCommerce Day Ecuador 2024
Carlos Ronquillo - eCommerce Day Ecuador 2024
 
Mario Alejandro León - eCommerce Day Ecuador 2024
Mario Alejandro León - eCommerce Day Ecuador 2024Mario Alejandro León - eCommerce Day Ecuador 2024
Mario Alejandro León - eCommerce Day Ecuador 2024
 
Programa FEXTICUM 2024 .
Programa FEXTICUM 2024                 .Programa FEXTICUM 2024                 .
Programa FEXTICUM 2024 .
 
Marcos Pueyrredon, Juan Luis Calvo, María Andrea Rivadeneira, Philippe Fossae...
Marcos Pueyrredon, Juan Luis Calvo, María Andrea Rivadeneira, Philippe Fossae...Marcos Pueyrredon, Juan Luis Calvo, María Andrea Rivadeneira, Philippe Fossae...
Marcos Pueyrredon, Juan Luis Calvo, María Andrea Rivadeneira, Philippe Fossae...
 
Presentacion premios muchachos discord.pptx
Presentacion premios muchachos discord.pptxPresentacion premios muchachos discord.pptx
Presentacion premios muchachos discord.pptx
 
Revista de geografia de La Provincia de Colón
Revista de geografia de La Provincia de ColónRevista de geografia de La Provincia de Colón
Revista de geografia de La Provincia de Colón
 
PROGRAMA DE FEXTICUM 2024 MONSEFÚ - PERÚ.pdf
PROGRAMA DE  FEXTICUM 2024 MONSEFÚ - PERÚ.pdfPROGRAMA DE  FEXTICUM 2024 MONSEFÚ - PERÚ.pdf
PROGRAMA DE FEXTICUM 2024 MONSEFÚ - PERÚ.pdf
 
Danny Barbery - eCommerce Day Ecuador 2024
Danny Barbery - eCommerce Day Ecuador 2024Danny Barbery - eCommerce Day Ecuador 2024
Danny Barbery - eCommerce Day Ecuador 2024
 
Problemas y errores de traducción en traductología
Problemas y errores de traducción en traductologíaProblemas y errores de traducción en traductología
Problemas y errores de traducción en traductología
 
Christian Jaque - eCommerce Day Ecuador 2024
Christian Jaque - eCommerce Day Ecuador 2024Christian Jaque - eCommerce Day Ecuador 2024
Christian Jaque - eCommerce Day Ecuador 2024
 
Gisella Galati, Juan Carlos Salame, Mauricio Chiappe, Byron Efren Añazco Teni...
Gisella Galati, Juan Carlos Salame, Mauricio Chiappe, Byron Efren Añazco Teni...Gisella Galati, Juan Carlos Salame, Mauricio Chiappe, Byron Efren Añazco Teni...
Gisella Galati, Juan Carlos Salame, Mauricio Chiappe, Byron Efren Añazco Teni...
 
Thiago Domingues - eCommerce Day Ecuador 2024
Thiago Domingues - eCommerce Day Ecuador 2024Thiago Domingues - eCommerce Day Ecuador 2024
Thiago Domingues - eCommerce Day Ecuador 2024
 
EBDV 2024 SHINE - ADOLESCENTES CLASE.pptx
EBDV 2024 SHINE - ADOLESCENTES CLASE.pptxEBDV 2024 SHINE - ADOLESCENTES CLASE.pptx
EBDV 2024 SHINE - ADOLESCENTES CLASE.pptx
 
Historia de la Obra conocida de "Carta a Silvia"
Historia de la Obra conocida de "Carta a Silvia"Historia de la Obra conocida de "Carta a Silvia"
Historia de la Obra conocida de "Carta a Silvia"
 
cultura cañaris parte baja distrito de cañaris region lambayeque .pptx
cultura cañaris parte baja distrito de cañaris region lambayeque .pptxcultura cañaris parte baja distrito de cañaris region lambayeque .pptx
cultura cañaris parte baja distrito de cañaris region lambayeque .pptx
 
Jefferson Malquin Reina - eCommerce Day Ecuador 2024
Jefferson Malquin Reina - eCommerce Day Ecuador 2024Jefferson Malquin Reina - eCommerce Day Ecuador 2024
Jefferson Malquin Reina - eCommerce Day Ecuador 2024
 
Jefferson Malquin Reina - eCommerce Day Ecuador 2024
Jefferson Malquin Reina - eCommerce Day Ecuador 2024Jefferson Malquin Reina - eCommerce Day Ecuador 2024
Jefferson Malquin Reina - eCommerce Day Ecuador 2024
 
Presentación ley 21.643 Ley Karin asociación chilena de segruidad
Presentación ley 21.643 Ley Karin asociación chilena de segruidadPresentación ley 21.643 Ley Karin asociación chilena de segruidad
Presentación ley 21.643 Ley Karin asociación chilena de segruidad
 
ENCUENTRO LITERARIO DAVID MONTEAGUDO & PEDRO CARBONELL CASTILLERO EN LIBRERIA...
ENCUENTRO LITERARIO DAVID MONTEAGUDO & PEDRO CARBONELL CASTILLERO EN LIBRERIA...ENCUENTRO LITERARIO DAVID MONTEAGUDO & PEDRO CARBONELL CASTILLERO EN LIBRERIA...
ENCUENTRO LITERARIO DAVID MONTEAGUDO & PEDRO CARBONELL CASTILLERO EN LIBRERIA...
 

2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf

  • 1. BDO Argentina - Fabián Descalzo 1 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS 1 2
  • 2. BDO Argentina - Fabián Descalzo 2 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Fabián Descalzo (fdescalzo@bdoargentina.com) Socio y DPO de BDO en Argentina del Departamento de Aseguramiento de Procesos Informáticos (API). Posee 30 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio. Docente del Diplomado Universitario en Accounting Tech en la Universidad Argentina de la Empresa - UADE del módulo BIG DATA Y SERVICIOS EN LA NUBE, Docente del módulo 27001 de las Diplomaturas de “IT Governance, Uso eficiente de Frameworks” y “Gobierno y Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA), Docente del Módulo de Auditoría de IT de la Diplomatura en Delitos Informáticos para EDI en la Universidad Nacional de Río Negro y Docente en Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT para TÜV Rheinland. Miembro del Comité Directivo de ISACA Buenos Aires Chapter, Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM” para Qatalys Global sección Infraestructura Crítica, Miembro del Comité Científico del IEEE (Institute of Electrical and Electronics Engineers) SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS El equilibrio de fuerzas ha cambiado en la era interconectada. Las personas ahora son "públicas por defecto y privadas por esfuerzo". Danah Boyd Principal Researcher at Microsoft Research Founderof Data & Society Research Institute VisiónACTUALdelaPrivacidad El principal reto de la privacidad en la era digital: Devolver a los usuarios el control sobre los datos de su vida digital y física”, que solo se logará con sensibilización y capacitación 3 4
  • 3. BDO Argentina - Fabián Descalzo 3 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Información personalen línea % de los usuarios adultos de Internet que dicen que esta información sobre ellos está disponible en línea SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS datos TECNOLOGÍA NEGOCIO BIG DATA 60’s Almacenes de datos Data Warehouse: Entregar la información correcta a la gente indicada en el momento óptimo y en el formato adecuado 80’s 90’s 2000’s Capacidad Tecnológica Mayor capacidad que hace que cada 40 meses se duplique el almacenamiento de datos Inicio Cantidad de datos tal que supera la capacidad del software convencional para ser capturados, administrados y procesados en un tiempo razonable Se define el crecimiento constante de datos como una oportunidad y un reto para investigar en el volumen, la velocidad y la variedad "Big data representa los activos de información caracterizados por un volumen, velocidad y variedad tan altos que requieren una tecnología específica y métodos analíticos para su transformación en valor" 70’s Dependencia de IT en procesos centralizados no interactivos Procesos centralizados en línea Primeros virus - Antivirus Poca seguridad informática Procesos distribuidos, internet y crecimiento dependencia tecnológica Proveedores, dispositivos extraíbles Ataques a defensa, tecnología mobile, fraude online, riesgos internos, privacidad, IoT, Teletrabajo 5 6
  • 4. BDO Argentina - Fabián Descalzo 4 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS datos TECNOLOGÍA NEGOCIO BIG DATA 60’s 80’s 90’s 2000’s Inicio Modelo publicado en 2009 (Comisionado de Información y Privacidad de Ontario, la Autoridad Holandesa de Protección de Datos y la Organización Holandesa para la Investigación Científica) 70’s Enfoque preventivo para la protección de la privacidad de los datos, modelo robusto y escalable para garantizar la privacidad total de los datos (*) En 2018 la Unión Europea pasó a incorporar la privacidad por diseño como parte del RGPD PRIVACIDAD POR DISEÑO (*) Dra. Ann Cavoukian, directora ejecutiva del Instituto de Privacidad y Big Data de la Universidad de Ryerson y ex Comisionada de Información y Privacidad de Ontario Procesos distribuidos, internet y crecimiento dependencia tecnológica Proveedores, dispositivos extraíbles Ataques a defensa, tecnología mobile, fraude online, riesgos internos, privacidad, IoT, Teletrabajo SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Nuestra información personal se relaciona en gran medida con operaciones, procesamiento e intercambio, de distintas formas y a través de numerosos medios COLEGAS DE UNA MISMA ÁREA COLEGAS DE OTRAS Áreas COLABORADORES EXTERNOs SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS 7 8
  • 5. BDO Argentina - Fabián Descalzo 5 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS La legislación para la privacidad de datos Seguridad de la información enfocada a la privacidad y protección de datos SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS 9 10
  • 6. BDO Argentina - Fabián Descalzo 6 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Directiva ePrivacy 2021 El nuevo Reglamento sobre Privacidad y Comunicaciones Electrónicas SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Regulación de la Protección de Datos Personales en el Mundo LGPD - Privacy Act 1974 - ECPA 1986 - CCPA - HIPPA - FCRA - GLBA - COPPA - Normas estatales Uruguay: 18331 Chile 19.628 20575 Mexico LFPDPPP Rusia Federal Law 152-FZ Japón APPI Australia FEDERAL PRIVACY ACT 1988 AUSTRALIAN PRIVACY PRINCIPLES COLOMBIA 1.266 1.581 Canada PIPEDA Marruecos: 09-08 Túnez: 2004- 63 Sudafrica POPIA Angola 22/11 Ghana Act 843 Turquía 6698 China PIPL Dubai Data Law GDPR y normas locales Argentina 25.326 Ley 81 Panamá Ecuador LOPDP Costa Rica 8968 Peru 29733 FUENTE: ALAP Asociación Latinoamericana de Privacidad 11 12
  • 7. BDO Argentina - Fabián Descalzo 7 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Fuente: European Data Protection Supervisor SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS 13 14
  • 8. BDO Argentina - Fabián Descalzo 8 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Se debe demostrar que se cuenta con mecanismos de gestión para la aplicación de "medidas técnicas y organizativas apropiadas" para proteger los datos personales que procesa y defender los derechos de los interesados, de acuerdo con el principio de responsabilidad del Reglamento (Artículo 5 (2)). El artículo 42 del RGPD analiza los mecanismos de certificación de protección de datos. Es posible lograr la certificación acreditada de forma independiente según ISO 27001, y por extensión ISO 27701 si implementa sus controles, lo que demostrará a las partes interesadas y reguladores que su organización está siguiendo las mejores prácticas internacionales cuando se trata de proteger datos personales / PII. GDPR SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Esta norma internacional proporciona un marco de protección de datos que:  Establece una terminología común sobre la protección de datos;  Define los actores y su papel en el tratamiento de los datos personales (PII)  Describe las consideraciones de privacidad y  Referencias a principios conocidos de protección de datos para la tecnología de la información. Descarga gratuita en https://standards.iso.org/ittf/PubliclyAvailableStandards/ 15 16
  • 9. BDO Argentina - Fabián Descalzo 9 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS  Consentimiento y elección  Legitimación y especificación del propósito  Limitación de la colección  Minimización de datos  Limitación de uso, retención y divulgación  Precisión y calidad  La apertura, la transparencia y el aviso  Participación y acceso individual  Rendición de cuentas  Seguridad de la información  Cumplimiento de la privacidad SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS 17 18
  • 10. BDO Argentina - Fabián Descalzo 10 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS GDPR SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Artículos de ejemplo Entendimiento, separado en Negocio, Tecnología y Seguridad/Compliance Gestión desde el Gobierno de la Tecnologíay la Información Procesamiento Cualquier operación o conjunto de operaciones que se realiza en datos personales o en conjuntos de datos personales, ya sea por medios automatizados, como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación , consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, eliminación o destrucción • Gestión de identidades e IDM • Políticas de seguridad en plataformas • Gobierno de datos • Ciclo de vida de la información • Clasificación de información • Dueño de datos. • Responsables de control • Procesadores de datos • Borrado seguro • Desarrollo seguro • Segregación de ambientes • Segregación de comunicaciones • Almacenamiento seguro • Ofuscación/enmascaramiento Principios de protección de datos  Procesamiento legal, justo y de manera transparente  Recopilado para fines especificados, explícitos y legítimos  Adecuado, relevante y limitado a lo necesario  Preciso y, cuando sea necesario, actualizarlos  Se mantiene en una forma que permite la identificación por no más de lo necesario  Procesado de manera que garantice una seguridad adecuada Delegado de protección de datos La persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y los medios del tratamiento de los datos personales Rectificación y supresión Portabilidad de datos, rectificación y supresión, limitación del tratamiento 19 20
  • 11. BDO Argentina - Fabián Descalzo 11 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Agencia de Acceso a la Información Pública Medidas de seguridad para el conservación para el tratamiento y conservación Legislación argentina Ley 25.326 de Protección de Datos Personales Datos Personales Datos Sensibles Anexo I - Datos Personales en medios informatizados A. Recolección de datos B. Control de acceso C. Control de cambios D. Respaldo y recuperación E. Gestión de vulnerabilidades F. Destrucción de la información G. Incidentes de seguridad H. Entornos de Desarrollo Anexo II - Datos Personales en medios no informatizados A. Recolección de datos B. Control de acceso C. Conservación de la información D. Destrucción de la información E. Incidentes de seguridad SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS ISO27701 y el tratamiento de la información privada Seguridad de la información enfocada a la privacidad y protección de datos 21 22
  • 12. BDO Argentina - Fabián Descalzo 12 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS La protección dela privacidades una necesidadsocial Casi todas las organizaciones procesan Información de identificación personal (PII) y su procesamiento está en aumento, al igual que el número de situaciones en las que una organización comparte esta información. ES IMPORTANTERECORDAR QUE SEGURIDADNO SIGNIFICA PRIVACIDAD La seguridad protege a los datos y la privacidad protege a la identidad SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS En el presente documento se especifican los requisitos y se ofrece orientación sobre  La instalación,  Implementación,  Mantenimiento y  La mejora continua Un PIMS (Privacy Information Management System) en forma de extensión de la ISO/IEC 27001 y la ISO/IEC 27002 para la gestión de la protección de datos dentro de la empresa ISO/IEC 27701:2019 23 24
  • 13. BDO Argentina - Fabián Descalzo 13 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar en forma continua un Sistema de Gestión de Privacidad de la Información (PIMS), como extensión a ISO/IEC 27001 e ISO/IEC 27002, y basado en sus requisitos, objetivos de control y controles para el manejo de la privacidad en el contexto de la organización SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Aplicabilidad de ISO/IEC 27001 y 27002 25 26
  • 14. BDO Argentina - Fabián Descalzo 14 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Cambios en el SGSI para la implementación de un SGPI 27 28
  • 15. BDO Argentina - Fabián Descalzo 15 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Al evaluar la aplicabilidad de los objetivos y controles de la ISO/IEC 27001:2013 Anexo A para el tratamiento de riesgos, los objetivos de control y los controles se tendrán en cuenta tanto en el contexto de los riesgos para la seguridad de la información como de los riesgos aparejados para el tratamiento de la PII, incluidos los riesgos para los PII Principales Modificaciones al añadir ISO27701 en controles de ISO27002 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Modificaciones al añadir ISO27701 en controles de ISO27002 29 30
  • 16. BDO Argentina - Fabián Descalzo 16 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Además de proporcionar requisitos, controles y objetivos de control específicos de privacidad para controladores y procesadores, ISO 27701 incluye anexos que los asignan a:  ISO 29100 (Tecnología de la información – Técnicas de seguridad – Marco de privacidad);  ISO 29151 (Tecnología de la información – Técnicas de seguridad – Código de prácticas para la protección de la información de identificación personal); y  ISO 27018 (Tecnología de la información – Técnicas de seguridad – Código de prácticas para la protección de la información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII) SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Framework de la privacidad 31 32
  • 17. BDO Argentina - Fabián Descalzo 17 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Negocio y la información privada Seguridad de la información enfocada a la privacidad y protección de datos SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS 500 altos directivos de 55 países (Europa, Oriente Medio, África, Asia y América) 33 34
  • 18. BDO Argentina - Fabián Descalzo 18 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS IoT, BIG DATa, IA, BI SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS IoT Internet delasCosas ciberseguridad 35 36
  • 19. BDO Argentina - Fabián Descalzo 19 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS En 2025 habrá más de 50 millones de dispositivos inteligentes conectados en el mundo, todos ellos desarrollados para recopilar, analizar y compartir datos Hasta3Gbpor mes https://www.csoonline.com/article/3160511/how-to-protect-your-data-your-vehicles-and-your-people-against-automotive-cyber-threats.html SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Los controles opcionales ahora son obligatorios… distintas áreas “no TI” (Shadow IT) usando tecnologíadeben solicitar controles de ciberseguridad sobre sus proveedores de plataformas tecnológicas. 37 38
  • 20. BDO Argentina - Fabián Descalzo 20 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS 39 40
  • 21. BDO Argentina - Fabián Descalzo 21 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Punto de vista del entorno SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS 41 42
  • 22. BDO Argentina - Fabián Descalzo 22 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS  Establecer misión, visión y directrices  Definir estrategias, modelar y simular  Evaluar estado y definir nivel de madurez  Definir organización y dar responsabilidades ejecutivas  Planificar la comunicación  Planificar el control  Definir políticas SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS actividadesdeprivacidadcon los principios deCOBIT Identificar dónde existen los datos personales dentro del entorno empresarial y cómo se mueven en toda la empresa Implementar protecciones de privacidad dentro de todas las funciones y procesos que afectan la privacidad dentro de la empresa Identificar y comprender las necesidades de privacidad de las partes interesadas Generar confianza protegiendo la privacidad Beneficiar a las personas al reducir su riesgo de fraude de identidad y otros daños Integración de TI empresarial, seguridad de la información y privacidad a través de la alineación de COBIT con estándares y marcos generalmente aceptados, incluidos los estándares y marcos específicos de TI Centrarse en el negocio para garantizar que los controles y consideraciones de privacidad se integren en las actividades comerciales. Adoptar un enfoque basado en el riesgo para garantizar que el riesgo de privacidad se mitigue de manera coherente y efectiva Proteger las aplicaciones empresariales en las que una violación de la privacidad tendría el mayor impacto en el negocio Promover un comportamiento de privacidad responsable Identificar el riesgo de privacidad que se basa en los procesos, estructuras organizativas, tipos de información, comportamientos y culturas, servicios y aplicaciones, personas involucradas y el contexto en el que se utiliza la información. Proporcionar controles de privacidad Mitigar el riesgo de privacidad en acciones para cumplir los objetivos de la empresa 43 44
  • 23. BDO Argentina - Fabián Descalzo 23 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO Los responsables del tratamiento deben aplicar las medidas técnicas y organizativas adecuadas al tratamiento de los datos personales DISEÑO: Verificar desde el diseño si el producto cumple con los principios de privacidad por diseño desde todos los enfoques. DEFECTO: Funciones de privacidad se integran en cualquier sistema, herramienta o dispositivo, garantizando el anonimato pase lo que pase • Identifica los flujos de información: qué se recopila, por qué se recopila y a dónde va. • Identificar los riesgos de privacidad: identificar a los terceros que tienen acceso a los datos del usuario. • Identificar e implementar formas de reducir los riesgos de privacidad. • Restringir el intercambio de datos • Minimizan el uso de datos • Brindar la posibilidad de optar por no compartir información confidencial • Diseñar los valores predeterminados de sus sistemas para garantizar que se requiera un esfuerzo mínimo para mantener la privacidad ISO 31700 Protección del consumidor - Privacidad por diseño para bienes y servicios de consumo SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS 45 46
  • 24. BDO Argentina - Fabián Descalzo 24 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Ejemplos de medidas de protección de datos desde el diseño Ejemplos de medidas de protección de datos por defecto • Configuración de un sistema de acceso a los datos por roles dentro de una entidad, de forma que únicamente puedan acceder a ellos los empleados que estrictamente necesiten hacerlo. • Aplicar técnicas de seudonimización y de cifrado de los datos personales a la hora de su almacenamiento. • Almacenar copias de seguridad de los datos de forma separada a los originales, de forma que se mantenga su integridad. • Que las copias de seguridad que se llevan a cabo sean las estrictamente necesarias y su acceso se encuentre restringido. • Codificación de comunicaciones entre personal de una empresa, para evitar que terceros puedan tener acceso a datos personales de forma no autorizada. • Proporcionar a los usuarios de una página web de llevar a cabo actividades sin necesidad de darse de alta o de crearse una cuenta, siempre que ello no sea necesario según la finalidad. • Si se lleva a cabo una comunicación mediante formularios de contacto, establecer como obligatorios los mínimos datos posibles, siendo todos los demás voluntarios. • Incorporación de mecanismos de ofuscación para evitar el tratamiento de datos biométricos en fotos, video, teclado, ratón, etc. • Facilitar el ejercicio de derechos de oposición, supresión y limitación del tratamiento de datos personales. • Configuración de los plazos de conservación de datos personales, de forma que este sea el menor tiempo posible. ISO 31700 Protección del consumidor - Privacidad por diseño para bienes y servicios de consumo 47 48
  • 25. BDO Argentina - Fabián Descalzo 25 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Principios para la protección de datos desde el diseño Actitud proactiva, no reactiva; preventiva, no correctiva La privacidad como configuración predeterminada Privacidad incorporada en la fase de diseño Funcionalidad total: pensamiento de "todos ganan" Aseguramiento de la privacidad en todo el ciclo de vida de los datos Visibilidad y transparencia Respeto de la privacidad de los usuarios: mantener un enfoque centrado en el usuario 1. Optimizar: Menor número de datos personales posible y durante el menor tiempo posible. 2. Configurar: Permitir al usuario limitar el tratamiento de datos personales 3. Restringir: Tratamiento limitando SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS OCHO ESTRATEGIAS A IMPLEMENTAR PARA PROTECCIÓN DEDATOS DESDE EL DISEÑO 1. Minimizar: Recoger y tratar la mínima cantidad de datos posible. Se suelen emplear cuatro tácticas: seleccionar, excluir, podar y eliminar. 2. Ocultar: Limitar la exposición de los datos. Para dar respuesta a esta estrategia se suelen aplicar cuatro tácticas: restringir, ofuscar, disociar y agregar. 3. Separar: Evitar, o al menos minimizar, el riesgo de que se pueda llegar a realizar un perfilado completo del sujeto. Las siguientes tácticas contribuyen a implementar la estrategia de separación: aislar y distribuir. 4. Abstraer: Limitar al máximo el detalle de los datos personales que son tratados. Esta estrategia se centra en el grado de detalle con el que los datos son tratados y en su agregación mediante el empleo de tres tácticas: sumarizar, agrupar y ofuzcar. 5. Informar: Esta estrategia es la implementación del objetivo y principio de transparencia establecido en el RGPD, informando del procesamiento de sus datos en tiempo y forma a los sujetos, usando las siguientes tácticas: facilitar, explicar y notificar. 6. Controlar: Persigue el objetivo de proporcionar a los interesados control en relación a la recogida, tratamiento, usos y comunicaciones realizadas sobre sus datos personales. La implementación de estos mecanismos se apoya en el empleo de las siguientes tácticas: consentir, alertar, elegir, actualizar y retirar. 7. Cumplir: Asegura que los tratamientos de datos personales sean compatibles y respeten los requisitos y las obligaciones legales impuestas por la normativa. La cultura de la privacidad debe formar parte esencial de la organización y hacer partícipes a todos los miembros de ésta. 8. Demostrar: Pretende que, de acuerdo con el artículo 24 del RGPD, el responsable del tratamiento pueda demostrar, tanto a los interesados como a los autoridades de supervisión, el cumplimiento de la política de protección de datos que esté aplicando, así como el resto de requisitos y obligaciones legales impuestas (responsabilidad proactiva). Las tácticas que permiten garantizar y poder demostrar conformidad al RGPD son: registrar, auditar e informar. 49 50
  • 26. BDO Argentina - Fabián Descalzo 26 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Escenariosde amenazas Vulnerabilidades Riesgos  Dispositivos informáticos potentes y portátiles(por ejemplo,teléfonos inteligentes, tabletasy computadoras portátiles) que facilitan cada vez más la recopilación, agregación y difusión de información  Aumento del número de relaciones con terceros (por ejemplo, proveedores de conexiones y aplicaciones)  Aumento de la concentración de la infraestructura del ciberespacio (por ejemplo, centros de datos y redes troncales de comunicación)  Leyesy regulacionesque comprometen la privacidad  Profesionalización de los atacantes (por ejemplo, equiposindividualesy equipos financiados por el estado)  Aumento del número de personas que realizan actividades en el ciberespacio  Aumento del número de fuentes para recopilar datos (porejemplo,cámarasIP, biométricas, GPS, RFID, etc.)  Usuarios sin educación / inconscientes con respecto a la privacidad del ciberespacio  Faltade preocupaciones de protección de la privacidad en aplicaciones / desarrollo de sistemas  Datos másvaliosos que se almacenan y procesan electrónicamente a escala masiva y centralizada (por ejemplo, almacenes de datos)  Información compartida,combinaday vinculada con mayor frecuencia  Usode credenciales comunes para acceder a varios sistemas  Recopilación de información no requerida para el propósito principal  Mantenimiento de la información más allá del tiempolegítimo de uso  Divulgación de información confidencial sobre la vida o el negocio de uno  Promoción de información incorrecta que compromete la reputación  Robo de identidad  Aplicaciones / sistemas sin funcionalidades / controles adecuados de protección de la privacidad Riesgos para la privacidad en el ciberespacio SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Ciberseguridad Protección de la privacidad Confidencialidad de la información almacenada en las TIC El aspecto más directo de la ciberseguridad con respecto a la protección de la privacidad, que abarca todos los conceptos discutidos (el derecho a ser dejado de lado, el acceso limitado, los estados de privacidad y el secreto). Integridad de la información almacenada / procesada Esta relación es más implícita, ya que se debe preservar la integridad de las reglas establecidas para controlar quién tiene acceso a la información y quién puede alterarla para garantizar la privacidad del usuario. Disponibilidad y fiabilidad de las Tecnologías de la Información y la Comunicación (TIC) Los activos de TIC deben estar disponibles y ser fiables a la manera de proporcionar las funcionalidades necesarias para garantizar el control adecuado de la privacidad. Las relaciones entre ciberseguridad y protección de la privacidad 51 52
  • 27. BDO Argentina - Fabián Descalzo 27 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS ISO/IEC 24760-1Seguridady privacidad deTI — Un marco parala gestión deidentidades  Gestión de credenciales, administración de la información de identidad, Ciclo de vida de la identidad digital  Se debe implementar medidas para proteger la privacidad de las entidades humanas con las que interactúan los sistemas, con capacidad para:  Aplicar mecanismos, incluidas políticas, procesos y tecnología, para una divulgación mínima de datos privados;  Autenticar entidades que utilizan información de identidad;  Minimizar la capacidad de vincular identidades;  Registrar y auditar el uso de la información de identidad SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Cláusula número Título Observaciones 5 Políticasde seguridadde la información Se proporciona orientación específica del sector para la aplicación y otra información. 6 Organización de la seguridadde la información Se proporciona orientación específica del sector para la aplicación. 7 Seguridad de los recursoshumanos Se proporciona orientación específica del sector para la aplicación y otra información. 8 Gestiónde activos No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información. 9 Control de acceso Se proporcionan orientaciones sectoriales sobre la aplicación, para facilitar una referencia cruzada a los controles que figuran en el anexo A. 10 Criptografía Se proporciona orientación específica del sector para la aplicación. 11 Seguridad físicay ambiental Se proporcionan orientaciones sectoriales sobre la aplicación, para facilitar una referencia cruzada a los controles que figuran en el anexo A. 12 Seguridad de las operaciones Se proporciona orientación específica del sector para la aplicación. 13 Seguridad de las comunicaciones Se proporcionan orientaciones sectoriales sobre la aplicación, para facilitar una referencia cruzada a los controles que figuran en el anexo A. 14 Adquisición, desarrolloy mantenimientode sistemas No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información. 15 Relacionescon proveedores No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información. 16 Gestiónde incidentesde seguridad de la información Se proporciona orientación específica del sector para la aplicación. 17 Aspectos de seguridadde la informaciónde la gestión de la continuidad del negocio No se proporciona ninguna orientación adicional sobre la aplicación específica del sector u otra información. 18 Conformidad Se proporcionan orientaciones sectoriales sobre la aplicación, para facilitar una referencia cruzada a los controles que figuran en el anexo A. Ubicación de las orientaciones sectoriales y otra información para la aplicación de los controles en ISO/IEC 27002 53 54
  • 28. BDO Argentina - Fabián Descalzo 28 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Cláusula número Título Observaciones 5 Políticas de seguridad de la información Las políticas de seguridad de la información deben complementarse con una declaración sobre el apoyo y compromiso de lograr el cumplimiento de la legislación de protección de PII aplicable y el contrato términos acordados entre el procesador de PII en la nube pública y sus clientes (clientes de servicios en la nube) 6 Organizaciónde la seguridad de la información El procesador de PII en la nube pública debe designar un punto de contacto para que lo utilice el cliente del servicio en la nube con respecto al procesamiento de la PII en virtud del contrato. 7 Seguridad de los recursos humanos Sensibilización, educación y formación en seguridad de la información: Se deben implementar medidas para que el personal relevante sea consciente de las posibles consecuencias en el procesamiento de PII en la nube pública (por ejemplo, consecuencias legales, pérdida de negocio y marca o daño a la reputación), consecuencias de control interno (por ejemplo, consecuencias disciplinarias) y en la dirección de PII (por ejemplo, consecuencias físicas, materiales y emocionales) de infringir las reglas y procedimientos de privacidad o seguridad, especialmente aquellos que se refieren al manejo de PII. 9 Control de acceso 1. En el contexto de las categorías de servicio de la arquitectura cloud, el cliente del servicio en la nube puede ser responsable de algunos o todos los aspectos de la gestión de acceso para los usuarios del servicio en la nube bajo su control. 2. Los procedimientos para el alta y baja de cuentas de usuarios deben abordar la situación en la que el control de acceso del usuario se vea comprometido, por ejemplo, como resultado de una divulgación inadvertida de contraseña. 10 Criptografía El procesador de PII en la nube pública debe proporcionar información al cliente sobre los métodos que utiliza para la criptografía aplicada en la protección de la PII que procesa (por ejemplo, datos de salud relacionados con un principal de PII, números de registro de residente, números de pasaporte y números de licencia de conducir), incluyendo cualquier capacidad que brinde que pueda ayudar al cliente a aplicar su propia protección criptográfica. 11 Seguridad física y ambiental A los efectos de la eliminación o reutilización segura, el equipo tecnológico que contenga medios de almacenamiento que posiblemente puedan contener PII debe tratarse como si lo hiciera. Ubicación de las orientaciones sectoriales y otra información para la aplicación de los controles en ISO/IEC 27002 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Cláusula número Título Observaciones 12 Seguridad de las operaciones 1. Cuando no se pueda evitar el uso de PII con fines de prueba, se debe realizar una evaluación de riesgos e implementar medidas técnicas y organizativas para minimizar los riesgos identificados. 2. Se deben crear o mantener múltiples copias de datos en ubicaciones físicas y / o lógicamente diversas (que pueden estar dentro del propio sistema de procesamiento de información) con el fin de realizar copias de seguridad y / o recuperación. 3. Deben establecerse procedimientos para permitir la restauración de las operaciones de procesamiento de datos dentro de un período documentado específico después de un evento adverso grave. 4. Se debe implementar un proceso para revisar los registros de eventos con una periodicidad documentada específica, para identificar irregularidades y proponer esfuerzos de remediación. 5. Siempre que sea posible, los registros de eventos deben registrar si la PII ha sido cambiada (agregada, modificada o eliminada) como resultado de un evento y por quién. 6. Cuando a un cliente de servicio en la nube se le permite acceder a los registros controlados por el procesador de PII, éste debe asegurarse de que el cliente solo pueda acceder a sus registros, y que no pueda acceder a ningún otro registro de otros clientes de servicios en la nube. 7. La información contenida en logs con fines tales como monitoreo de seguridad y diagnóstico operativo puede contener PII, por lo que se deben implementar medidas para controlar el acceso a estos archivos y para garantizar que la información registrada solo se utilice para los fines previstos. Debe establecerse un procedimiento, preferiblemente automático, para garantizar que la información registrada se elimine dentro de un período especificado y documentado. Ubicación de las orientaciones sectoriales y otra información para la aplicación de los controles en ISO/IEC 27002 55 56
  • 29. BDO Argentina - Fabián Descalzo 29 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Cláusula número Título Observaciones 13 Seguridad de las comunicaciones Siempre que se utilicen medios físicos para la transferencia de información, se debe establecer un sistema para registrar los medios físicos entrantes y salientes que contengan PII, incluido el tipo de medio físico, el remitente / destinatario autorizado, la fecha y hora, y la cantidad de medios físicos. . Siempre que sea posible, se debe solicitar a los clientes de servicios en la nube que implementen medidas adicionales (como el cifrado) para garantizar que solo se pueda acceder a los datos en el punto de destino y no en el camino. 16 Gestión de incidentes de seguridad de la información 1. En el contexto de toda la arquitectura de referencia de la computación en la nube, puede haber roles compartidos en la gestión de incidentes de seguridad de la información y la realización de mejoras. 2. Un incidente de seguridad de la información debe desencadenar una revisión por parte del procesador de PII de la nube pública, como parte de su proceso de gestión de incidentes de seguridad de la información, para determinar si se ha producido una violación de datos que involucre PII 18 Conformidad 1. El procesador de PII en la nube pública debe poner a disposición de los clientes del servicio, antes de celebrar un contrato y durante la duración de un contrato, evidencia de que la seguridad de la información se implementa y opera de acuerdo con las políticas y procedimientos del procesador de PII en la nube pública. 2. Una auditoría independiente relevante seleccionada por el procesador de PII en la nube pública es un método aceptable para satisfacer el interés del cliente, siempre que se proporcione suficiente transparencia. Ubicación de las orientaciones sectoriales y otra información para la aplicación de los controles en ISO/IEC 27002 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Etapas del nivel de madurez de la compañía entorno a los datos corporativo Inactiva: Procesos: hay desconocimiento del impacto e importancia del dato. Evolución: para pasar a la siguiente etapa, es necesario un proceso de culturización del dato. Reactivo: Personas: La empresa ya es consciente de la importancia del dato pero no dispone todavía de roles específicos en la gestión del dato. Tecnología: No hay soluciones tácticas dentro de los silos departamentales. Evolución: Es necesario organizar la gestión del dato y su estrategia. Acciones como el mapa de estrategia o un programa de transformación de Gobierno del Dato permiten evolucionar a la siguiente etapa de madurez. Proactivo: Personas: La empresa ya dispone de patrocinadores, charters y métricas de éxito. Procesos: clara identificación entre negocio y IT. Tecnología: Foco en el descubrimiento y análisis de causa. Evolución: Implantación de un modelo de Gobierno del Dato. Optimizado: Personas: Organización de datos implantada y responsable de los activos corporativos. Procesos: Calidad de los datos monitoreados como parte de las operaciones estándar. Tecnología: Enfoque de plataforma para perfilar, monitorizar y visualizar datos. 57 58
  • 30. BDO Argentina - Fabián Descalzo 30 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS DPO Delegado de Protección de Datos La persona responsable deberá:  Ser independiente e informar directamente al nivel de gestión adecuado de la organización con el fin de garantizar una gestión eficaz de los riesgos de privacidad;  Participar en la gestión de todas las cuestiones relacionadas con la tramitación de la II;  Ser experto en legislación, regulación y práctica en materia de protección de datos;  Actuar como punto de contacto para las autoridades de supervisión;  Informar a la alta dirección y a los empleados de la organización de sus obligaciones con respecto al procesamiento de la II;  Proporcionar asesoramiento con respecto a las evaluaciones de impacto en la privacidad realizadas por la organización. Asesorar sobre protección de datos, supervisar el cumplimiento de la norma y servir de contacto entre la empresa, la autoridad y los empleados. SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS  Obligatorio en organizaciones con más de 250 trabajadores  Con menos de 250 empleados, obligatorio cuando necesiten un seguimiento sistemático y periódico de los datos personales tratados para la monitorización o investigación de mercados, análisis de riesgos o datos crediticios o de solvencia patrimonial, datos sensibles DPO Delegado de Protección de Datos  Nuevos entornos digitales y evolución tecnológica para el procesamientos masivos de datos o afectación a datos sensibles  Velar por el cumplimiento legal y técnico en las entidades  Garantizar el cumplimiento de la normativa de privacidad y protección de datos de su organización  Especialistas de la legislación y las prácticas en materia de protección de datos 59 60
  • 31. BDO Argentina - Fabián Descalzo 31 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS CDO CHIEF DATA OFFICER Asume total responsabilidad de la estrategia con los datos y la información, estableciendo las políticas, criterios y procesos. Oficina de Gobierno del Dato Encargado de velar por el cumplimiento de la estrategia, Políticas, criterio y procesos Citizen Data Scientist Responsable de generar modelos tanto de datos como negocio, a partir del análisis predictivo o Prescriptivo, (Intermedio entre Data Scientist y el Business Analyst) Data Owner Experto encargado de garantizar la correcta gestión de los ámbitos de los que es responsable. Data administrator Responsables de ejecutar en su ambito las políticas, criterios y procesos basándose en la estrategia del Gobierno del Dato Data Architect Asegura la coherencia de los datos residentes en los aplicativos, tanto a nivel de definición como de calidad y seguridad, y asesora al equipo SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS NISTIR 8062 Introducción a la ingeniería y la gestión de riesgos de privacidad 61 62
  • 32. BDO Argentina - Fabián Descalzo 32 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS NISTIR 8062 Objetivos de ingeniería de privacidad Previsibilidad Permitir suposiciones confiables por parte de individuos, propietarios y operadores sobre la PII y su procesamiento por un sistema de información Manejabilidad Proporcionar la capacidad para la administración granular de PII, incluida la alteración, la eliminación y la divulgación selectiva. Disociabilidad Permitir el procesamiento de PII o eventos sin asociación a personas o dispositivos más allá de los requisitos operativos de los sistemas. SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS ¿Cuáles son los riesgos de privacidad asociados con un censo de población? En particular, el riesgo del uso secundario sobre la información por parte del Gobierno (como actor de amenazas) de la información de etnicidad (violación de la privacidad) que resulta en la pérdida de libertad (consecuencia adversa) para las personas en el país (población afectada) NISTIR 8062 Introducción a la ingeniería de privacidad y la gestión de riesgos en sistemas federales ejemplo 63 64
  • 33. BDO Argentina - Fabián Descalzo 33 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Capacidad Severidad La probable frecuencia y magnitud probable de futuras violaciones de la privacidad. La frecuencia probable, dado un marco de tiempo, que un actor de amenazaactúa hacia un individuo de una manera que es una posible violación de la privacidad. La frecuencia probable, dado un marco de tiempo, en el que un actor de la amenazaentrará en contacto con un individuo o la información del individuo. La probabilidad de que un actor de amenazas actúe de una manera que sea una posible violación de la privacidad, si se le da la oportunidad. Las habilidadesy recursos disponibles para que un actor de amenazas, en una situación dada, actúe de una manera que sea una posible violación. Los impedimentos que un actor amenaza, en una situación dada, debe superar para actuar de una manera que sea una posible violación. La frecuencia probable consecuencias adversas para la población afectada. La magnitud probable de las consecuencias adversas sobre la población afectada. La probable gravedad de la violación de la privacidad de la población afectaday los consiguientesriesgos para esa población La gravedad probable de la violación de la privacidad en toda la población en riesgo. La gravedad de la nota es subjetiva y comparativa con otras violaciones similares La frecuencia probable y la magnitud probable de las consecuencias adversas sobre la población afectada Riesgo de privacidad Frecuencia de acción Intento de frecuencia Vulnerabilidad Oportunidad de amenaza Probabilidad de acción Dificultad Magnitud de violación Consecuencias secundarias Riesgo Consecuencias Frecuencia Consecuencias Magnitud La probabilidad de que los actos de un actor de amenazas tengan éxito. La frecuencia probable, dado un marco de tiempo, que una amenaza se materializa sobre los datos de un individuo Análisis de factores en el riesgo privacidad de información según NISTIR 8062 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Diagrama de flujo de datos 65 66
  • 34. BDO Argentina - Fabián Descalzo 34 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Auditoría de privacidad de datos Seguridad de la información enfocada a la privacidad y protección de datos SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Defina los objetivos de la auditoría  Primero, considere las siete categorías de privacidad:  Privacidad de la persona  Privacidad de comportamiento y acción  Privacidad de la comunicación  Privacidad de datos e imagen (información)  Privacidad de pensamientos y sentimientos  Privacidad de la ubicación y el espacio (territorial)  Privacidad de la asociación  Considere el riesgo de privacidad que puede conducir a una publicidad adversa y daños a la reputación que resultan en pérdidas económicas y de clientes, incluidas multas.  Finalmente, considere los objetivos de la auditoría. Es probable que esto incluya el cumplimiento de las leyes y regulaciones. 67 68
  • 35. BDO Argentina - Fabián Descalzo 35 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Ejemplosderiesgodeprivacidad Categoría de privacidad Ejemploderiesgo Privacidad de comportamiento y acción Las redes sociales contienen información, imágenes, video y audio que revelan actividades personales, orientaciones y preferencias, muchas de las cuales son de naturaleza sensible y pueden afectar a los interesados. Privacidad de pensamientos y sentimientos El análisis de big data tiene el potencial de tomar grandes cantidades de datos y revelar los pensamientos o sentimientos de individuos específicos en función de los datos que proporcionan o que otros proporcionan sobre ellos. Tales conocimientos pueden tener un impacto negativo si se toman medidas debido a los hallazgos analíticos. Privacidad de la ubicación y el espacio (territorial) Los dispositivos informáticos de propiedad privada que se utilizan para actividades comerciales también pueden grabar imágenes y audio. Tales imágenes y audio crean un riesgo de privacidad si los dispositivos también se utilizan para realizar actividades comerciales dentro del lugar de trabajo. SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Número de principio Principio Control de evidencias del programa de auditoría 1 Elección y consentimiento Cuando se obtiene información de identificación personal (PII) de individuos, se obtiene el consentimiento. 2 Especificación del propósito legítimo y limitación del uso Existen directrices claras para garantizar el uso y la retención adecuados de los datos en toda la empresa. 3 Ciclo de vida de la información personal y la información confidencial Existen directrices claras para garantizar el uso, retención y la eliminación adecuados de los datos en toda la empresa.. 4 Precisión y calidad Determine si la guía de administración de registros describe la estrategia y los procedimientos de la empresa con respecto al mantenimiento, la retención y la destrucción de registros de acuerdo con todas las leyes y regulaciones estatales y federales. 5 Apertura, transparencia y aviso Cuando se obtiene PII de individuos, se obtiene el consentimiento. 6 Participación individual El propósito y el alcance / aplicabilidad del proceso de gestión de registros están claramente definidos. 7 Responsabilidad Los roles y responsabilidades de las personas involucradas en la gestión del gobierno de datos para la privacidad, confidencialidad y cumplimiento para la empresa se han definido claramente. Principios de privacidad de ISACA 69 70
  • 36. BDO Argentina - Fabián Descalzo 36 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Número de principio Principio Control de evidencias del programa de auditoría 8 Medidas de seguridad Existen estándares de cifrado de datos apropiados para los datos en reposo, y se llevan a cabo campañas de concientización apropiadas para capacitar a los empleados. 9 Monitoreo, medición y presentación de informes Se tiene en cuentala conciencia y se utilizan métricas clave para la conformidad y el cumplimiento de la capacitación requerida. 10 Prevención de daños La integración de las evaluaciones de impacto en la privacidad (PIA) está firmemente establecida en la empresa y existen herramientas y monitoreo adecuados para la validación del cumplimiento. 11 Gestión de terceros/Proveedores El lenguaje contractual para la gestión de piI por parte de terceros se incluye y acuerda adecuadamente. 12 Gestión de incumplimiento/desvíos El plan de escaladade infracciones está en marcha para reaccionar a las infracciones de PII. 13 Seguridad y privacidad por diseño La desidentificación de datos en toda la empresa se aplica adecuadamente a través de herramientas y medios automatizados. 14 Libre flujo de información y restricción legítima Las políticas y los requisitos de privacidad global se han modificado para alinearse con los requisitos específicos de la región o el país. Principios de privacidad de ISACA SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Legislación argentina | Agencia de Acceso ala Información Pública Fiscalización en materia de datos personales Aspectos generales relativos a la protección de los datos personales: A. Licitud del tratamiento; B. Calidad de los datos personales tratados; C. Consentimiento del titular del dato; D. Información; E. Categorías especiales de datos; F. Seguridad; G. Confidencialidad; H. Cesión y transferencia internacional de datos personales; I. Prestación de servicios de información crediticia; J. Tratamiento de datos con fines de publicidad; K. Procedimientos para el ejercicio de los derechos de los titulares de los datos personales, acceso, rectificación, actualización o supresión. L. Existencia de una evaluación de impacto en materia de protección de datos personales; M. Términos y condiciones y política de privacidad del responsable; N. Actuación del Responsable o delegado de protección de datos; O. Sistema de notificaciones a los titulares de datos y a la Agencia de Acceso a la Información Pública en caso de incidentes de seguridad. Criterios de selección de inspeccionados: A. Impacto del tratamiento de datos en la privacidad de las personas; B. Volumen de tratamiento de datos; C. Clase de datos tratados; D. Cantidad de denuncias recibidas por el organismo; E. Gravedad de las denuncias recibidas; F. Actividad que desarrolla. 71 72
  • 37. BDO Argentina - Fabián Descalzo 37 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Legislación argentina | Agencia de Acceso ala Información Pública Fiscalización en materia de datos personales – anexo ii  1. LICITUD DEL TRATAMIENTO  LICITUD DEL TRATAMIENTO EN CASO DE DATOS PERSONALES  LICITUD DEL TRATAMIENTO EN CASO DE DATOS SENSIBLES  TRATAMIENTOS RELATIVOS A CONDENAS E INFRACCIONES PENALES  2. CALIDAD DE LOS DATOS  3. CONSENTIMIENTO  CONSENTIMIENTO GENERAL  CONSENTIMIENTO DE NIÑOS  4. INFORMACIÓN  5. SEGURIDAD Y CONFIDENCIALIDAD  6. CESION DE DATOS  7. TRANSFERENCIA INTERNACIONAL DE DATOS  8. PRESTACIÓN DE SERVICIOS DE INFORMACIÓN CREDITICIA  9. PUBLICIDAD  10. DERECHOS DEL TITULAR DE DATOS Este documentocontiene los lineamientos generales a tener en cuenta por los inspectores parala fiscalización de las actividades de tratamiento de datos personales. Contiene las bases de fiscalización, constituido por las verificaciones jurídicas y las verificaciones técnicas, que se llevan a cabo al momento de la visita al responsable o usuario de las bases de datos. SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS 74 certificación de protección de datos en sistemas informáticos – TRUST IT Procedimiento de certificación en el que la evaluación de la privacidad de un proceso se combina con la evaluación de la seguridad del sistema de TI correspondiente. El nivel de calidad de la protección de datos que se ha logrado se establece en función del cumplimiento de requisitos. En este proceso, se incluye en la investigación una serie de características de calidad, que se enumeran a continuación:  Requerimientos legales  Permisibilidad de procesamiento  Derecho del cliente sobre sus datos  Derecho de los empleados sobre sus datos  Seguridad en el procesamiento de datos personales en productos IT  Transparencia  Gestión de la calidad de la protección de datos  Seguridad de datos (control de acceso físico y lógico, control de transmisión, control de entrada, control de procesamiento, disociación)  Investigación del sistema desde el punto de vista técnico (seguridad de componentes, gestión del sistema, pruebas de intrusión y auditorías técnicas) 73 74
  • 38. BDO Argentina - Fabián Descalzo 38 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Aspectos dela evaluación Elementos deprueba Requisitos legales  Categoría legal del objeto de prueba  Requisitos formales  Requisitos para las diferentes fases de procesamiento  Operación transfronteriza  Responsabilidades  Descripción de los requisitos para el objeto de prueba Permisibilidad del tratamiento  Propósito  Autorizaciones y justificación para el procesamiento de datos, por ejemplo:  Contrato y relaciones de confianza similares al contrato  Interés justificado del responsable del tratamiento  Interés justificado de un tercero  Interés público justificado  Fuentes de acceso general/público  Transmisión en forma de lista  Acuerdo del interesado  Otras regulaciones legales o legislación  Cumplimiento de los principios básicos de protección de datos y privacidad  Respeto de los derechos de los interesados  Medidas técnicas y organizativas  Condiciones estructurales  Proporcionalidad  Declaración de obligaciones SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Aspectos dela evaluación Elementos deprueba Aspectos de la evaluación Elementos de prueba Compatibilidad con los interesados  Notas que llaman la atención sobre la protección de datos  Participación  Posibilidad de que las personas protejan sus propios datos personales por medios técnicos u organizativos  Aceptación de los medios técnicos y organizativos  Descripción adecuada del producto  Instrucciones de instalación  Posibilidad de formación o información b Transparencia  Transparencia de la política de protección de datos  Transparencia de los medios técnicos y organizativos utilizados Gestión de la calidad de la protección de datos  Política de protección de datos  Análisis de riesgos  Responsabilidad de la protección de datos  Cualificación en materia de protección de datos  Notas que llaman la atención sobre la protección de datos  Documentación  Proceso de mejora continua  Administración del sistema  Documentación 75 76
  • 39. BDO Argentina - Fabián Descalzo 39 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS 77 Aspectos dela evaluación Elementos deprueba Seguridad de los datos  Control de entrada  Control de acceso físico  Control de acceso a datos  Control de transmisión  Control de entrada de datos  Control de pedidos  Control de disponibilidad  Separación de datos Inspección de seguridad  Seguridad de los componentes utilizados, también seguridad de la red y del transporte de datos  Medios y métodos utilizados para la gestión del sistema  Pruebas e inspecciones SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS Seguridad de la información enfocada a la privacidad y protección de datos Conclusiones 77 78
  • 40. BDO Argentina - Fabián Descalzo 40 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS • No pidas más información de la necesaria. • Haz que los datos personales sean anónimos para que no se puedan conectar a una persona específica. • Tener una política de privacidad clara, accesible y actualizada periódicamente. • Proporcionar opciones para que los usuarios configurar sus preferencias de recopilación de datos. • Recuerda a los usuarios que revisen su configuración de privacidad. • Eliminar datos antiguos. • Sigue el enfoque Security by Design mediante la automatización de los controles de seguridad de los datos en los sistemas de TI. • Desarrolle procedimientos para detectar, informar e investigar de manera efectiva las violaciones de datos. conclusiones SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS  ISO/IEC 17789, Computación en la nube — Arquitectura de referencia  ISO/IEC 27001, Sistemas de gestión de la seguridad de la información — Requisitos  ISO/IEC 27005, Riesgo para la seguridad de la información - Administración  ISO/IEC 27035, Incidente de seguridad de la información - Administración  ISO/IEC 27036-4, Seguridad de la información para las relaciones con los proveedores  ISO/IEC 27040, Seguridad del almacenamiento  ISO/IEC 29100:2011, Marco de privacidad  ISO/IEC 29101, Marco de arquitectura de privacidad  ISO/IEC 29134, Directrices para el impacto en la privacidad - Evaluación  ISO/IEC 29191, Requisitos para la autenticación parcialmente anónima y parcialmente desvinculable  ISO/IEC JTC 1/SC 27, WG 5 — Parte 1: Lista de Referencias de Privacidad. Última versión, disponible en http://www.jtc1sc27.din.de/sbe/wg5sd2  BS 10012:2009, Protección de datos. Especificación para un sistema de gestión de información personal  JIS Q 15001:2006, Sistemas de gestión de protección de la información personal — Requisitos  NIST SP 800-53rev5, Security and Privacy Controls for Federal Information Systems and Organizations  NIST SP 800-122, Guía para proteger la confidencialidad de la información de identificación personal  NIST SP 800-144, Directrices sobre seguridad y privacidad en la computación en la nube pública  ENISA. Informe sobre Cloud Computing: Beneficios, riesgos y recomendaciones para la seguridad de la información, 2009 de noviembre (http://www.enisa.europa.eu/activities/risk-management/files/ entregables/cloud-computing-risk-assessment/at_download/fullReport)  Unión Europea, Grupo del Artículo 29, Dictamen 05/ 2012 sobre la computación en nube, adoptado en julio de 2012: (http://ec.europa.eu/justice/data-protection/article-29/documentation /opinion- recommendation/files/2012/wp196_en.pdf) 79 80
  • 41. BDO Argentina - Fabián Descalzo 41 SEGURIDAD DE LA INFORMACIÓN ENFOCADA A LA PRIVACIDAD Y PROTECCIÓN DE DATOS API Aseguramiento de Procesos Informáticos RAS | Risk Advisory Services | IT Assurance, Audit and Compliance Gracias por acompañarnos 81