Una empresa de

Interservices Consulting México

• Ley Federal de Protección de Datos Personales en Posesión de Particulares y

la seguridad de la información

Agenda:

Contexto de Ley Federal de Protección de Datos Personales en Posesión de Particulares • Antecedentes • Visión sobre LFPDPPP y ¿Quién debe cumplirla? • ¿Dónde están los datos en las empresas? • ¿Por dónde iniciar?

Las soluciones desde la visión de Oracle para el Cumplimiento de la LFPDPPP: • La gestión de roles agiliza el trabajo y protege puertas adentro: Database Vault • Prueba tus datos sensibles garantizando la seguridad: Data Masking Pack • Realice la encriptación de datos: Advanced security • Ejecute el control de auditoría de datos : Audit Vault • Opciones de seguridad Oracle para No-Oracle : Protegemos todo

• Línea de Tiempo y ¿Qué sucederá?

LFPDPPP

vendió al gobierno de Estados Unidos BD de uso privativo del

Estado mexicano

• El IFE demandó a los implicados en la venta bajo los

cargos de revelación de secreto, delitos de carácter

electoral y de traición a la patria.

“La información contenida en el padrón electoral, según los expertos, puede ser muy útil para fines comerciales o para fines de Estado.”

• Vanguardia en Informática y Bases de Datos Especializados S.A. de C.V. vendió en 335 mil dólares el padrón electoral con

información de 58 millones de mexicanos

En enero de 2004 los cuatro

inculpados por la venta del

padrón obtuvieron el beneficio

de la libertad mediante el pago

de una fianza

¿Por qué la Ley de Datos

Personales?…

Google multado en Francia por violación de privacidad

600GB de información reservada en esos sistemas inalámbricos en más de 30 países

Las calles si son públicas, las redes

inalámbricas NO!!!

Google fue multado en Francia por US$ 142.000 por violación de las normas de privacidad

Google al tomar imágenes de las calles del país captaron además datos de redes inalámbricas como contraseñas y correos electrónicos privados

Fuente: Paris, Francia | Lunes, 21 de marzo de 2011| www.bbc.co.uk

“Como dijimos antes, estamos profundamente arrepentidos de haber recogido datos de carga de las redes Wi-Fi sin codificar”, indicó el director de protección de datos de Google.

Peter Fleisher

Última noticia…

Mega-robo de datos en la PlayStation Network

El robo de información más importante

de los últimos tiempos.

23 días sin la red de videojuegos

las empresas de videojuegos que dicen

estar perdiendo "cientos de miles de

dólares" información privada de 77 millones de cuentas

Números de tarjetas de crédito con su fecha

de caducidad

Nombres y direcciones postales

Correos electrónicos, nombres de acceso y

contraseñas

Fechas de nacimiento

Fuente: Tokio, Japón | Miércoles 27 de abril de 2011 EFE | El Universal

Última noticia…

Fuente: Deloitte 2010

399

2.362

4.136

2007 2008 2009

Denuncias presentadas ante la Agencia Española de

Protección de Datos

32% 45% 75%

$19.6 M

$22.6 M

$24.8M

2007 2008 2009

Monto recabado por concepto de Multas via resolución de la AEPD

535 621

# Resoluciones

Fuente: Memoria Anual de la Agencia Española de Protección de Datos 2010

De la experiencia internacional…

¿Tienen identificados los activos de información críticos para el negocio?

¿Tienen certeza de que no se han

presentado fugas de información

en su organización?

PREGUNTA 1 …

PREGUNTA 2 …

¿Qué estamos pensando sobre la importancia de la ley?

Más de $200 millones de USD digitales

Viajo por todo EEUU y algunas partes del mundo, realizando transacciones con CC

Robo Físico vs Robo Digital

PGR decomisa $ 200 millones de USD

Zhenli Ye Gon

Albert González

PARADIGMA: Robo Físico vs Robo Digital

Un derecho fundamental y un derecho del titular de

los datos

Una obligación del responsable del tratamiento

y un compromiso

con el titular de los datos

Derecho a la autodeterminación informativa

• Conocer y decidir quién y cómo utiliza sus datos

• Mantener el control de los datos privados

• Derecho a la intimidad, dignidad y libertad

Obligaciones:

• Emitir aviso de privacidad

• Guardar confidencialidad

• Establecer medidas de seguridad

Constitución Política de los Estados Unidos Mexicanos

Art. 73 El Congreso tiene la facultad (…)para legislar en materia de protección datos personales en posesión de particulares.

Art. 6 (…) El derecho a la información será garantizado por el Estado.

Art.16 Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición

Marco Legal

Objetivo

•Tratamiento de datos personales en posesión de Iniciativa Privada

¿Qué protege?

•Datos automatizados

•Datos no automatizados

¿A quién aplica?

•A la Iniciativa privada (personas físicas o morales)

¿En dónde?

•Estados Unidos Mexicanos

Exentos de la ley

•Sociedades de Información Crediticia DOF 15/enero/2011 :Ley para Regular las Sociedades de Información Crediticia.

•Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

Marco Legal. Generalidades

Cualquier información concerniente a

una persona física identificada o

identificable.

• Consentimiento será expreso cuando la

voluntad se manifieste: verbalmente,

escrito, medio electrónico, óptico u otra

tecnología.

• Consentimiento tácito si el Titular no

manifiesta oposición.

Datos personales que afectan la esfera más íntima de su Titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave

(Ejemplo: origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.) Consentimiento: expreso y por escrito, a través de su firma autógrafa, electrónica o cualquier mecanismo de autenticación.

Definiciones sobre Datos

¿Hay información en su negocio que pueda ser de interés para terceros? ¿Cuánto vale?

¿Saben cuánto podría costar una fuga de información?

PREGUNTA 3 …

PREGUNTA 4 …

• Titular o su Representante Legal puede acceder a sus datos y conocer el Aviso de Privacidad Acceso:

• Cuando los datos sean inexactos o incompletos Rectificación:

• El titular podrá solicitarla en cualquier momento al responsable Cancelación:

• Oponerse la transferencia de sus datos personales Oposición:

¿Qué son los Derechos ARCO?

Fuente: Deloitte 2010

Licitud

Consentimiento

Información

Calidad Finalidad

Lealtad

Proporcionalidad

Responsabilidad

Visión General de la LFPDPPP

Fuente: Deloitte 2010

Bases de Datos Directorios Archivos Servidores

CRM

Portal ERP

Email FTP

Sistemas a la medida

Sistemas legados

Componentes de Infraestructura de Red Redes

Repositorios de datos

Sistemas de aplicación

Ventas MKT Fianzas RH Operación Legal Otros

•Prospectos •Clientes actuales •Relaciones

•Estudios de mercado •Información de clientes •Segmentación

•Contabilidad •CxC •CxP •Planeación •Presupuestos

•CV´s •Contratación •Prestaciones •Seguro Social •Finiquitos •Mediciones

•Procesos de negocio •Cadena de suministros

•Contratos •Litigios •Convenios

•Desarrollo •Estadísticas •Outsourcing •Reventas •Etc.

Proceso de negocio

Clientes || Proveedores || Áreas internas || Socios de negocio || Terceros

¿Dónde están los datos personales en las

empresas?...

Fuente: Deloitte 2010

Fuente: Deloitte 2010

•Elaborar un inventario de datos personales y de los

sistemas de tratamiento de datos

personales

1

•Determinar las funciones y

obligaciones de las personas que traten

datos personales

2

• Contar con un análisis de

riesgos de datos personales

3

•Establecer las medidas de seguridad aplicables a los datos personales e identificar aquellas implementadas de

manera efectiva

4

• Realizar un análisis de brechas entre las medidas de

seguridad existentes y las

faltantes

5

• Elaborar un plan de trabajo para

implementar las medidas de

seguridad faltantes

6

• Llevar a cabo revisiones y auditorías

7

• Capacitar al personal que trae los datos

personales

8

• Un registro de cancelaciones o

destrucciones de datos personales

9

• Un registro de los medios de

almacenamiento de datos

personales

10

¿Qué es el documento de seguridad?

Fuente: Deloitte 2010

LEGAL

•Compresión de la Ley, así como su alineación con los requerimientos de negocio •Preparación de avisos de privacidad y formatos de consentimiento •Asistencia en la organización y capacitación del departamento de protección de datos •Actualización de contratos, cláusulas contractuales relativas a la confidencialidad y protección de datos personales

PROCESOS

•Diseño e implementación de nuevos procesos para el cumplimiento de requerimientos •Alineación de nuevas actividades con procesos actuales de negocio •Diseño de roles, responsabilidades, políticas y procedimientos de la función de protección de datos •Difundir y asegurar la adopción de nuevas prácticas y procesos en el negocio actual

TECNOLOGÍA

•Implementación de controles y medidas técnicas de protección basadas en AR •Alineación / Selección de Tecnología •Alineación y soporte tecnológico a nuevos procesos •Administración de disponibilidad, vulnerabilidades e incidentes

PERSONAL

•Consciencia sobre responsabilidades de protección de datos •Punto de contacto de los titulares para dar respuesta entre otras a las solicitudes ARCO •Participación en la obtención de la información (Aviso de privacidad, Consentimiento)

Retos de las áreas involucradas

Retos de las áreas involucradas

La realidad en su Organización en 10

simples preguntas…

1. ¿Tienen identificados los activos de información críticos para el negocio?

2. ¿Hay información en su negocio que pueda ser de interés para terceros?

3. ¿Saben cuánto podría costar una fuga de información?

4. ¿Tienen identificados los flujos internos y externos por donde se mueve y almacena su información?

5. ¿Los empleados conocen sus responsabilidades sobre la protección de información?

6. ¿Tienen forma de controlar la reproducción, física o electrónica, de información importante para el negocio?

7. ¿Puede identificar qué tipo de información se envía a través del correo electrónico? 8. ¿Tienen implementados controles sobre dispositivos móviles (laptops, smartphones, discos duros, memorias USB)? 9. ¿Están o estarán sujetos a alguna normatividad o ley que regule la protección de datos? 10. ¿Tienen certeza de que no se han presentado fugas de información en su organización?

¡Las soluciones de seguridad de datos no son suficientes!

¡Los datos deben de protegerse desde el interior!

Application Database Administrators Application Users

Botware

Malware Key Loggers Espionage

Phishing

SQL Injection

Social Engineering

Web Users

Database Vault

Data

Masking

Advanced

Security

Label

Security

Secure

Backup

Audit

Vault 47986 $5%&*

Oracle Database Security Soluciones para privacidad y cumplimiento

“El departamento legal dice que nuestro DBA no debería poder leer datos financieros, pero el DBA requiere acceder a

la base de datos para hacer su trabajo. ¿Qué hacemos?”

Procurement

HR

Finance

Aplicación

select * from finance.customers

DBA

Oracle Database Vault Control de acceso y autorización

Declaraciones comunes dentro del negocio…

Oracle Advanced Security Cifrado basado en estándares

Disk

Backups

Exports

Off-Site

Facilitie

s

“Enviamos copias de respaldo en cinta fuera del sitio y necesitamos estar seguros de que la información está segura, aún si el sitio remoto está

comprometido”

Declaraciones comunes dentro del negocio…

Oracle Data Masking Enmascaramiento de datos

LAST_NAME SSN SALARY

ANSKEKSL 111—23-1111 60,000

BKJHHEIEDK 222-34-1345 40,000

LAST_NAME SSN SALARY

AGUILAR 203-33-3234 40,000

BENSON 323-22-2943 60,000

Producción Stand by

“Los contratistas externos necesitan datos de producción para probar, pero no podemos darles los nombres de los empleados ni sus IDs”

Declaraciones comunes dentro del negocio…

Oracle Audit Vault Monitoreo y reportes de auditoría automáticos

CRM Data

ERP Data

Databases

HR Data

Datos auditados

Policies

Built-in Reports

Alerts

Custom Reports

!

Auditor

“Para cumplir con regulaciones legales, necesitamos generar reportes mensuales para los auditores para probar que los controles de TI están

funcionando – y a eso nos dedicamos todo el mes”

Declaraciones comunes dentro del negocio…

Oracle Database Firewall Primera línea de defensa

Policies Built-in Reports

Alerts Custom Reports

Applications Block

Log

Allow

Alert

Substitute

“Hemos tenido problemas al controlar todos los firewalls porque no tenemos uno que nos funcione con todas las bases de datos que

manejamos”

Declaraciones comunes dentro del negocio…

Oracle Identity Manager Gestión de identidades

“Necesitamos administrar los accesos a las aplicaciones de la empresa por medio de un acceso único y que los usuarios solamente tengan una

contraseña universal”

Sistema de RH Aprobación

Flujos de trabajo

Empleados Contratos/Despidos Aplicaciones

GRANT

REVOKE

GRANT

REVOKE

GRANT

REVOKE

Declaraciones comunes dentro del negocio…

La contratación de recursos y servicios a compañías externas, implica la posibilidad de contar con un socio confiable que brinde TRANQUILIDAD al implementar soluciones altamente especializadas a través de tecnologías y prácticas internacionales integradas y adaptadas a la especificidad geográfica de la organización y a las necesidades particulares de la industria donde se desempeña. Es así, que Interservices brinda la capacidad para realizar el mantenimiento de diversas aplicaciones y tecnologías en ambientes multiplataforma. Para que un día de trabajo sea como estar en casa.

Muchas Gracias!

Teléfono oficina: 52 79 99 30

¿Preguntas?

Daniel Osorio

Account Manager Oracle Solution

55 2855 7901

Una empresa de