NYMITY GLOBAL    |    LOGIN CLIENTES   Login    |    CONTACTO    |    PRUEBA GRATUITA

CATEGORÍA DE GESTIÓN DE DATOS

6. Gestione los riesgos de seguridad de la información

Mantenga un programa de seguridad de la información basado en requerimientos legales y evaluaciones de riesgos periódicas

CATEGORÍA DE GESTIÓN DE DATOS:

6. Gestione los riesgos de seguridad de la información

Mantenga un programa de seguridad de la información basado en requerimientos legales y evaluaciones de riesgos periódicas

Este proceso de gestión de datos es parte del Marco Nymity de Gobernanza en Privacidad y Protección de Datos. Haga clic en una de las Actividades de Gestión de Información que se encuentran en la parte de abajo y encuentre más información sobre el alcance, los recursos disponibles y otros detalles.

Integre el riesgo de protección de datos en las evaluaciones de riesgo de seguridad

Una evaluación de riesgo de seguridad permite a una organización identificar las amenazas y vulnerabilidades asociadas que tienen el potencial de afectar negativamente al negocio. La evaluación de riesgo de seguridad tiene en cuenta todos los departamentos y sistemas informáticos dentro de la organización, incluyendo los que recolectan, procesan, almacenan, y transmiten información personal.

Fuera del alcance está:

  • Evaluación de necesidades de protección de datos por cargo/empleo;
  • Evaluaciones de riesgos de protección de datos; y
  • Evaluaciones de riesgos de protección de datos del proveedor.

Integre la protección de datos en una política de seguridad de la información

La política de seguridad de la información es una declaración escrita que comunica las intenciones, objetivos, requisitos, responsabilidades y estándares de la organización para la protección de la información. La política:

  • Es una declaración de alto nivel que aclara la dirección de y el apoyo a la seguridad de la información;
  • Explica el “quién” y el “por qué” pero no el “cómo” de la protección de datos;
  • Está soportado por estándares, pautas y procedimientos operativos que explican detalladamente cómo proceder de acuerdo con los requisitos de la política; y
  • Es utilizada para proteger los activos informáticos contra una amplia gama de amenazas para asegurar la continuidad del negocio, prevenir incidentes de seguridad y reducir el riesgo operativo y de negocio.
Esta actividad de gestión de información se centra en aspectos específicos de protección de datos en aras de mantener una política de seguridad de la información; las funciones y las responsabilidades de seguridad de la información o de la organización de las TIC están fuera de alcance.

Implemente medidas de seguridad tecnológicas (ej. detección de intrusos, firewalls, monitoreo)

Las medidas de seguridad técnicas son salvaguardas que las organizaciones implementan y mantienen para evitar, contrarrestar o minimizar riesgos de seguridad. Las medidas de seguridad técnicas consisten en controles de hardware y software que las organizaciones utilizan para proporcionar protección automatizada al sistema y sus aplicaciones. Algunos ejemplos de las medidas de seguridad técnicas incluyen:

  • Firewalls;
  • Sistemas de detección de intrusiones (“IDS" por sus siglas en inglés);
  • Sistemas de prevención de intrusión (“IPS" por sus siglas en inglés); y
  • Sistemas de monitoreo de eventos de seguridad e información.

Mantenga medidas para encriptar los datos personales

Las medidas de seguridad administrativas (p.ej. controles de procedimientos) y las medidas de seguridad técnicas (p.ej. controles de hardware y software) son utilizadas para guiar los procesos de transformación de datos personales mediante algoritmos que permiten usar formatos ilegibles, medida de seguridad que restringe el acceso a aquellos que no cuenten con una llave de encriptado. Esta actividad de gestión de información está enfocada en el rol que juega el Oficial de Protección de Datos en el proceso de encriptado y de esta forma asegurar que la información personal está siendo encriptada de manera apropiada.

Fuera del ámbito de esta actividad de gestión de información se encuentran las medidas de seguridad administrativas y técnicas más allá del encriptado, el cual es utilizado para proteger particularmente datos personales.

Mantenga una política sobre los usos aceptables de los recursos de información

Un Política sobre usos aceptables es un conjunto de reglas aplicadas por una organización que gobierna el uso y define las restricciones de la red, página web y recursos computacionales. Un Política sobre usos aceptables define lo que los usuarios tienen y no tienen permitido hacer con los sistemas de TI de una organización. Debe también definir qué sanciones serán aplicadas si un usuario viola la política de usos aceptables.

Mantenga procedimientos para restringir el acceso a información personal (ej. acceso basado en roles o separado según funciones)

El acceso a los datos personales está restringido a los empleados y usuarios con una necesidad de negocio legítima. Esto incluye controles en el proceso de aprovisionamiento del usuario (añadiendo, modificando y suprimiendo los perfiles de usuario), asegurando que el acceso es autorizado por alguien con el nivel de autoridad apropiado y autenticando a los usuarios. La separación de los deberes asegura que no existan conflictos que podrían representar un riesgo para la seguridad o protección de los datos personales. Esta actividad de gestión de información se centrará en los aspectos específicos de protección de datos de la gestión de acceso a los datos personales.

Integre la protección de datos en una política de seguridad corporativa (protección de las instalaciones físicas y de activos tangibles)

La política de seguridad corporativa describe las medidas de seguridad que están diseñadas para negar el acceso no autorizado a las instalaciones, equipo y recursos de la organización, que almacenan datos personales. 

Una política de seguridad corporativa define el uso de múltiples capas de sistemas interdependientes que incluyen:

  • Vigilancia detallada de los circuitos cerrados de televisión;
  • Guardias de seguridad;
  • Barreras protectoras;
  • Cerraduras;
  • Protocolos de control de acceso; y
  • Otras técnicas para proteger activos físicos.

Mantenga medidas de seguridad de recursos humanos (ej. preselección, valoración de desempeño)

Las medidas de seguridad en recursos humanos aseguran que aquellos empleados que tienen o tendrán acceso a los datos personales o tienen cargos de  confianza (ej., en el área de protección de datos, seguridad de la información o TI) sean individuos responsables, dignos de confianza. Tales medidas también aseguran que, cuando los empleados dejan la organización o son trasladados, se toman medidas para restringir su acceso a los sistemas e instalaciones que contienen datos personales, y garantizan que ningún dato personal sigue bajo su custodia una vez que se han marchado. 

Fuera de alcance están: Las siguientes actividades de la gestión de información se alinean con esta actividad pero no son el foco principal:  

  • Requerir la realización del entrenamiento en protección de datos como parte de las evaluaciones de desempeño;
  • Integrar la protección de datos en las prácticas de contratación de personal; e
  • Integrar la protección de datos en las prácticas de comprobación de antecedentes del empleado.

Mantenga planes de back-up y continuidad del negocio

La organización debe mantener un plan de back-up y continuidad del negocio que permita:

  • Identificar la exposición que tiene el negocio a amenazas tanto internas como externas; y
  • Definir la forma en que la organización se recuperará de un incidente manteniendo la confidencialidad e integridad de los datos personales. 
Esta Actividad de Gestión de la Información se enfoca en el rol del Oficial de Protección de Datos para el mantenimiento de planes de back-up y continuidad del negocio. 

Mantenga una estrategia de prevención de pérdida de datos

Una organización mantiene el procedimiento de gestión de enmiendas de seguridad para asegurar que los sistemas operativos de la organización y los ambientes del software de aplicación están enmendados y configurados adecuadamente contra las vulnerabilidades de seguridad conocidas. Los procedimientos organizacionales se aseguran de que la información relacionada con problemas de seguridad y las actualizaciones de las enmiendas sean conocidas y revisadas, en otras palabras, para los problemas de seguridad y las actualizaciones de software que son relevantes para su ambiente. Las enmiendas de seguridad se prueban antes de la puesta en práctica y se ejecutan a tiempo.

Lleve a cabo exámenes regulares de las condiciones de seguridad de los datos personales

Con base en la evaluación de seguridad de la organización, se deben llevar a cabo exámenes regulares de las condiciones de seguridad de los datos personales que se tratan. El propósito de este examen es:

  • Identificar vulnerabilidades de seguridad; y 
  • Sacar provecho efectivo de las vulnerabilidades que pretendan obtener algún acceso a la red o al sistema de cómputo.  
La falla/vulnerabilidad que es descubierta debe ser clasificada en un nivel de riesgo para la organización, con el propósito de ser mitigada o corregida como parte de una estrategia de corrección o parchado de vulnerabilidades. 

Mantenga una certificación de seguridad (ej. ISO)

Una organización trabaja de la mano con terceros calificados para proporcionar:

  • Una evaluación independiente de controles que incluyen seguridad, disponibilidad, integridad en el tratamiento, confidencialidad y protección de datos; y
  • Un informe que da fe del cumplimiento de una entidad con los principios y criterios relevantes.
Esta actividad de gestión de información se enfocará en los aspectos específicos de protección de datos para mantener las verificaciones de seguridad.

Marco Nymity de Gobernanza en Privacidad y Protección de Datos

130+ Actividades de Gestión de Información, estructuradas en Categorías de Gestión de Datos

El Marco es un listado completo de más de 130 actividades de gestión de información, neutral en materia de jurisdicciones y de categorías de industria, agrupadas en 13 Categorías de Gestión de Datos. El Marco forma la base para estructurar un programa integral de protección de datos personales en cualquier organización al ser neutral en términos de jurisdicción e industria.

Haga clic aquí para descargar la lista completa de Actividades de Gestión de la Información o para obtener más información del Marco Nymity de Gobernanza en Privacidad y Protección de Datos.

© 2002-2017 Nymity Inc. All Rights Reserved.