ASESORÍA SOBRE MEDIDAS DE SEGURIDAD EN LOS DATOS PERSONALES

ASESORÍA SOBRE MEDIDAS DE SEGURIDAD EN LOS DATOS PERSONALES

Para la asesoría de la empresa “Tecnología Inteligente” les explicaré cuales son las principales medidas de seguridad a considerar en la protección de datos personales.

Lo primero, es saber que las medidas de seguridad en contexto de datos personales buscan proteger:

•               Confidencialidad

·                       Privacidad

·                     Derecho a la intimidad

Para comenzar

Se debe de conocer los 3 principios básicos para la aplicación nacional que recomienda la OCDE que se encuentran estrechamente con la implementación de las medidas de  seguridad

+PRINCIPIO DE CALIDAD DE LOS DATOS: Los datos deberían de ser pertinentes, exactos y correctos. DISPONIBILIDAD: siempre debería de estar disponible cuando sea necesario. CONSISTENCIA: la información se compartirá de acuerdo a lo establecido

+PRINCIPIO DE SALVAGUARDAS DE SEGURIDAD: Los datos deberían protegerse               INTEGRIDAD: evitar la pérdida de los mismos o acceso, destrucción, uso o modificación no autorizado. CONFIDENCIALIDAD: solo puede ser accedida por aquel que esté autorizado.

+PRINCIPIO DE RESPONSABILIDAD: cumplimiento de las medidas de seguridad.                     CONTROL: regular y controlar el acceso a la información

También es necesario implementar los principios de la protección de datos de la LFPDPPP.

+LICITUD: conforme a la ley y lo acordado entre el responsable y el titular

+CONSENTIMIENTO: se debe de obtener para el tratamiento de los datos personales

+INFORMACIÓN: aviso de privacidad sencilla, expresada en lenguaje claro

+CALIDAD: datos exactos, completos, pertinentes y actualizados.

+FINALIDAD: el tratamiento debe limitarse al cumplimiento de las finalidades previstas

+LEALTAD: los datos deben ser tratados conforme a lo acordado

+PROPORCIONALIDAD: solo deben ser usados  cuando resulten necesarios, adecuados.

+RESPONSABILIDAD: velar y responder por el tratamiento de los datos.

Se debe de tomar muy  en cuenta este principio de responsabilidad : en el art.-14 del LFPDPPP NOS DICE  EL RESPONSABLE VELARÁ POR EL CUMPLIMIENTO DE LOS PRINCIPIOS DE PROTECCIÓN DE DATOS PERSONALES ESTABLECIDOS POR ESTA LEY, DEBIENDO DE ADOPTAR LAS MEDIDAS DE SEGURIDAD NECESARIAS PARA SU APLICACIÓN.

Las recomendaciones a la empresa “Tecnología Inteligente” para la seguridad de la información para la preservación de su confidencialidad, su integridad y su disponibilidad sería la siguiente:

La seguridad informática nos va ayudar porque esta se ocupa de diseñar las normas, procedimientos, métodos (software y hardware) técnicas destinadas a conseguir un sistema de información segura y confiable.

*Es entonces que  debemos de proteger los activos informáticos  como.

1.-  Infraestructura computacional: almacenamiento y gestión de la información

2.-Usuarios: personas que utilizan la estructura tecnológica

3.-Información: principal activo

*Con esto se puede evitar todo tipo de vulnerabilidades, ejemplo:

1.-Robo, extravío  o copia no autorizada

2.-Perdida o destrucción no autorizada

3.-Uso, acceso o tratamiento no autorizado

4.-Daño, alteración o modificación no autorizada.

*También es muy importante evaluar los riesgos de acuerdo a su nivel:

+MUY ALTO: beneficio para los atacantes ej.-información adicionales de la tarjeta bancaria (pin, códigos)

+ALTO: los datos sensibles ej.-datos de salud, morales, origen étnico, ideología, preferencia sexuales, afiliación sindical

+MEDIO.- los datos de ubicación, datos patrimoniales, contraseñas, datos jurídicos

+BAJO.- todos los datos de identificación, información académica o laboral.

*Todo esto es importante para poder evitar todo tipo de amenazas provenientes de.

+hackers          +criminal computacional            +terroristas          +espía industrial   +interno

Evitando así cualquier tipo de ataques ya sea:

+Espionaje: revelación de información privada

+Sabotaje: modificación, borrado de la información

+Compromiso de medios de autenticación: suplantar nuestra identidad

+Ingeniería social: utiliza el teléfono o internet para engañar

+ Fraude: +aplicación de los recursos económicos de forma ilegitima

+Código malicioso: malware que daña la información de una computadora sin consentimiento.

*Es entonces que sabiendo todo esto es muy importante y de gran utilidad realizar un programa que maneje datos personales de terceros, para garantizar la seguridad de la información.

Los elementos que integran el programa de seguridad pueden ser:

+MEDIDAS DE SEGURIDAD ADMINISTRATIVAS: conjuntos de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, para la identificación y clasificación del personal.

+MEDIDAS DE SEGURIDAD FÍSICAS: acciones y mecanismos ya sean que empleen o no la tecnología destinados a

.Prevenir el acceso no autorizado

.Proteger los equipos móviles, portátiles.Garantizar la eliminación de datos de forma segura

+MEDIDAS DE SEGURIDAD TÉCNICAS: actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar   

.El acceso a la bases de datos e información a usuarios autorizados.

.Incluir acciones para la adquisición, operación y mantenimiento de sistemas seguros

.Gestión de comunicaciones y operaciones de los recursos informáticos en tratamiento de los datos personales

*Estas medidas de seguridad se pueden determinar considerando:

+El riesgo inherente                                                     +Las vulnerabilidades previas

+Posibles consecuencias de una vulneración y también el número de titulares

+La sensibilidad y el desarrollo tecnológicos

+Demás factores que puedan incidir el nivel de riesgo 

*Es muy importante tener un GESTIÓN DE INCIDENTES DE SEGURIDAD:

En caso de un incidente de seguridad, es decir, obtienes las fases de respuesta con el propósito de minimizar los daños

.Contar con procedimientos de recuperación y respaldo (backup)

.Colocar avisos de advertencias

.Establecer directrices de respuestas

.Capacitación de los usuarios sobre seguridad

Además se debe de contar con normas internaciones que garanticen calidad, seguridad y eficiencia

+ISO/IEC 27005:2011: Proporciona directrices para la gestión de riesgos

+ISO/IEC  27031:2011: Guía de apoyo para la adecuación de la tecnología

+ISO/IEC 27032:2012: Proporciona orientación para la mejora del estado de seguridad cibernética

La recomendación para mejorar prácticas de seguridad de datos personales serían:

.Selección, implantación y mantenimiento de medidas de seguridad informática

.Establecer un departamento de protección de datos

.Zona de confidenciales

.La información privada debería estar protegida mediante control de acceso

* Otro dato importante para facilitar la implementación exitosa de un sistema de seguridad de datos personales en organización se debe de certificar en:

+GIAC: ofrece varias certificaciones, es la más avanzada DE LA GSE

+ISC2: ofrece la certificación CISSP

+ISCA: ofrece la CISA

+ISEOM ofrece la certificación OPST

Para finalizar la empresa “TECNOLOGÍA INTELIGENTE” debe de contar con algunos servicios especializados requeridos para la protección de datos personales estos serían:

.Análisis de riesgos

.Comprobación de vulnerabilidades (interna o externa)

.Auditoría

.Mantenimiento de sistemas (copias de respaldo)

.Certificación de seguridad de aplicaciones

.Outsourcing de centro de recuperación de desastres.

BIBLIOGRAFÍA

-MODULO 4

-OLMOS.D.(2016).ASESORÍA SOBRE MEDIDAS DE SEGURIDAD EN LOS DATOS PERSONALES. Recuperado el 14 de septiembre de 2018 de https://prezi.com