Recomendaciones en materia de Seguridad de Datos Personales (México)
El gobierno de México ha publicado en el Diario oficial de la Federación (DOF) las Recomendaciones en materia de Seguridad de Datos Personales emitidas por el IFAI, las cuales constituyen un marco de referencia respecto a las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales. La Recomendación General es la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP) basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).
Junto con las Recomendaciones el IFAI ha presentado en su sitio web dos documentos, una Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales y la Metodología de Análisis de Riesgo BAA.
Las Recomendaciones y la Guía responden al "¿Qué y Cómo?" para instruir a responsables, encargados y cualquier otro interesado sobre los pasos clave de la implementación de un SGSDP, orientado a la mejora continua y a lograr un nivel aceptable de riesgo, de acuerdo al modelo y objetivos de la organización. Además, próximamente se dará a conocer un Manual en materia de Seguridad de Datos Personales para MIPYMES, que contendrá de manera simplificada los objetivos del SGSDP.
La Guía es un ejercicio de concreción, síntesis y armonización de diferentes estándares internacionales como BS 10012, ISO 27001, ISO 27002, NIST SP 800-14 entre otros, de los cuales el IFAI recomienda su consulta para la adecuada gestión de la seguridad de los datos personales, en este sentido las organizaciones que ya tienen madurez en el tema de seguridad o sistemas de gestión encontrarán que la implementación de un SGSDP no representa una carga adicional, sino un esquema de trabajo que se puede acoplar y documentar con sus esquemas ya existentes.
Por su parte la Metodología BAA, aunque no forma parte de las Recomendaciones, es una propuesta innovadora en muchos aspectos respecto a su enfoque de la valoración del riesgo, considerando tres variables: el Beneficio que representan los datos personales para un atacante, la Anonimidad que puede tener el atacante y la Accesibilidad a los entornos.
Más allá del incentivo que representa la posible atenuación de multas, todo aquel involucrado en el tratamiento de datos personales debe considerar el valor de implementar un SGSDP: primero, porque la protección de datos personales es un derecho fundamental de los ciudadanos, segundo, el SGSDP ayuda a prevenir y mitigar los efectos de una vulneración a la seguridad, finalmente, para evitar pérdidas económicas debido a compensación de daños y pérdida de clientes.
En suma, la protección de los datos personales habilita el comercio y aumenta la competitividad, gracias al aumento de la confianza de los consumidores e inversionistas, por ello las Recomendaciones y la Guía son herramientas de alto impacto para alcanzar estos objetivos.
Fuente: bSecure
El artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la Ley) establece que: Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.El cumplimiento de las Recomendaciones podrá ser un factor a considerar para la reducción de sanciones en los casos que ocurra una vulneración a la seguridad de los datos personales, según lo establecido en el Artículo 58 del Reglamento de la Ley Federal de Protección de Datos Personales (RLFPDPPP).
Junto con las Recomendaciones el IFAI ha presentado en su sitio web dos documentos, una Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales y la Metodología de Análisis de Riesgo BAA.
Las Recomendaciones y la Guía responden al "¿Qué y Cómo?" para instruir a responsables, encargados y cualquier otro interesado sobre los pasos clave de la implementación de un SGSDP, orientado a la mejora continua y a lograr un nivel aceptable de riesgo, de acuerdo al modelo y objetivos de la organización. Además, próximamente se dará a conocer un Manual en materia de Seguridad de Datos Personales para MIPYMES, que contendrá de manera simplificada los objetivos del SGSDP.
La Guía es un ejercicio de concreción, síntesis y armonización de diferentes estándares internacionales como BS 10012, ISO 27001, ISO 27002, NIST SP 800-14 entre otros, de los cuales el IFAI recomienda su consulta para la adecuada gestión de la seguridad de los datos personales, en este sentido las organizaciones que ya tienen madurez en el tema de seguridad o sistemas de gestión encontrarán que la implementación de un SGSDP no representa una carga adicional, sino un esquema de trabajo que se puede acoplar y documentar con sus esquemas ya existentes.
Por su parte la Metodología BAA, aunque no forma parte de las Recomendaciones, es una propuesta innovadora en muchos aspectos respecto a su enfoque de la valoración del riesgo, considerando tres variables: el Beneficio que representan los datos personales para un atacante, la Anonimidad que puede tener el atacante y la Accesibilidad a los entornos.
Más allá del incentivo que representa la posible atenuación de multas, todo aquel involucrado en el tratamiento de datos personales debe considerar el valor de implementar un SGSDP: primero, porque la protección de datos personales es un derecho fundamental de los ciudadanos, segundo, el SGSDP ayuda a prevenir y mitigar los efectos de una vulneración a la seguridad, finalmente, para evitar pérdidas económicas debido a compensación de daños y pérdida de clientes.
En suma, la protección de los datos personales habilita el comercio y aumenta la competitividad, gracias al aumento de la confianza de los consumidores e inversionistas, por ello las Recomendaciones y la Guía son herramientas de alto impacto para alcanzar estos objetivos.
Fuente: bSecure
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!