Estrategia de Seguridad para la Protección de Datos Personales

Estrategia de Seguridad para la Protección de Datos Personales

Introducción

A raíz del incremento de eventos o incidentes de seguridad en México y en el mundo, los directores de las empresas  requieren que la seguridad sea implementada en las compañías con la intención de evitar incidentes o multas, en este caso se tiene como necesidad el cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y se ha solicitado que se entregue un programa o plan de trabajo relacionado con este tema y que deben implementarse controles físicos, administrativos y técnicos, para poder contrarrestar algún tipo de ataque. Sin embargo, no se está comenzando por el principio para poder tener unos pilares sólidos en términos de seguridad de la información ya que se requiere implementar los controles

pero aun no se tienen otro tipo de elementos básicos, como la estrategia de seguridad y el papel del área de seguridad es conseguir implementar la estrategia de seguridad, aunque nadie más este  interesado en ella, pero es muy relevante ya que será uno de los pilares para la seguridad de la empresa, por lo que se ha decidido realizar una presentación a la alta dirección que contenga elementos que ayuden a que la alta dirección pueda sensibilizarse ante estos temas y de forma paralela trabajar en los elementos claves que servirán para el cumplimiento de la LFPDPPP y la implementación de los controles requeridos.

Hablando en términos de cumplimiento con la LFPDPPP, actualmente es un requerimiento en México establecido por el INAI (Instituto Nacional de Transparencia y Acceso a la Información) para las empresas que manejan datos personales de particulares y retienen información personal deben ser responsables de salvaguardar los datos personales de sus clientes para que solo sean utilizados para los fines autorizados, además de responder por las consecuencias de fallar en este deber. Por otro lado, en México es común que una misma institución proporcione varios servicios y pese a que un suscriptor solo dé información personal para un servicio específico, estas empresas se aprovechan de tener la información del titular para ofrecerle servicios adicionales. Por tal motivo y con ánimos de proteger la empresa se estarán contemplando las actividades necesarias para implementar la LFPDPPP en la compañía. Adicionalmente como la empresa es relativamente nueva en el mercado es necesario realizar la implementación de la estrategia de seguridad es un documento que detalla los pasos necesarios para que una organización identifique, remedie y administre los riesgos. El desarrollo de una estrategia de seguridad es un proceso detallado que implica evaluación inicial, planificación, implementación y monitoreo constante. El documento de estrategia de seguridad define y prioriza las iniciativas de aseguramiento. Si bien es esencial comprender las amenazas y vulnerabilidades genéricas, las que pueden afectar a una organización en particular son vitales. Los estrategas de seguridad deben decidir cuánto esfuerzo, tiempo y dinero se requieren para desarrollar políticas y controles de seguridad específicos de la organización. Se debe evaluar la madurez de los procesos antes de planificar la estrategia de seguridad y se deben identificar las áreas que requieren mejoras.

Objetivo

El objetivo principal es mejorar el nivel de seguridad de la información de la compañía a través de la formulación y ejecución de una estrategia de seguridad de la información que impulse los objetivos del negocio y los intereses de las compañías, por tal motivo en este documento se establece el plan de trabajo para implementar la estrategia de seguridad de la información teniendo en cuenta su estado de madurez y que debe cumplir con la LFPDPPP.

Desarrollo

Análisis de la empresa 

La empresa que se está analizando se dedica a la venta de seguros médicos únicamente a particulares, actualmente la contratación es realizada en cualquiera de sus sucursales dentro la ciudad de México y utilizan medios electrónicos únicamente para todo el ciclo de vida de la información. La empresa es nueva y está iniciando labores, sin embargo, no se tienen controles de seguridad implementados. Existe una versión draft de la estrategia de seguridad, sin embargo, no ha sido aprobada por el comité ejecutivo que actualmente existe y está formado por las direcciones del área legal, ventas, seguridad informática y el director general de la empresa. 
Por lo mencionado anteriormente, la empresa tiene necesidad de cumplir con la LFPDPPP vigente, ya que se están procesando datos personales y por lo tanto se ha hecho un levantamiento de información y análisis de los datos que utiliza la empresa y se relacionan con la ley para poder trabajar en los puntos identificados, cumplir con la ley y establecer controles que permitan estar más seguros y evitar multas ocasionadas por el incumplimiento de la misma ley. A continuación, se muestra la lista de los datos que han sido identificados como usados en la empresa y que tienen que ver con la LFPDPPP:

También se tienen los siguientes rubros, pero en este caso no fueron encontrados datos relevantes manejados por la empresa, sin embargo, en caso de que en un futuro se requiera su manejo deberán ser considerados para el cumplimiento de la LFPDPPP:

Otro punto que es relevante es identificar los datos que la LFPDPPP considera como sensibles y que está manejando la empresa, como se muestra a continuación se tiene el resultado del análisis, mostrando los datos sensibles y son los datos que, de divulgarse de manera indebida, afectarían la esfera más íntima del ser humano. En nuestro caso es el estado de salud. Estos datos requieren mayor protección y la Ley establece un tratamiento especial.

Actores involucrados en el cumplimiento de la LFPDPPP:

Los principales actores que deberán participar en la implementación de medidas administrativas, técnicas y físicas para proteger la seguridad de los datos, son los siguientes y por tal motivo la oficina ARCO tiene que ser creada para poder asignar las responsabilidades y roles que define la LFPDPPP:

• Responsable, persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
• Encargado, persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
• Titular, persona física a quien corresponden los datos personales.
• Tercero, persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.
• Secretaría de Economía, tendrá como función difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano; promoverá las mejores prácticas comerciales en torno a la protección de los datos personales
• IFAI, tendrá como función el difundir el conocimiento del derecho a la protección de datos personales, promover su ejercicio y velar su cumplimiento. Algunas de sus funciones serán:Vigilar y verificar el cumplimiento de la LFPDPPP. Proporcionar apoyo técnico a los responsables que lo soliciten. Emitir recomendaciones y normas técnicas para el cumplimiento de la ley. Dar capacitación a los objetos obligados al cumplimiento de la ley.

Metodología para la implementación de controles físicos, administrativos y técnicos.

Estatus Actual

Finalmente se han analizado preliminarmente los objetivos de la empresa para poder apoyarlos con la estrategia de seguridad y claramente se ha notado que la empresa procesa y almacena datos personales de particulares ya que la principal actividad es la venta de seguros médicos a particulares por lo que se tiene información sensible y el objetivo principal de la empresa es lograr la contratación de seguros a través de Internet.

...