8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 1/60
COBIT 5Protección de Datos
Jorge Arturo Pérez Morales, CISM
ICA Fluor, México
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 2/60
PROTECCIÓN DE DATOS PERSONALES
A TRAVÉS DE COBIT 5
Agenda:
• Contexto de Protección de DatosPersonales (PDP)
• Origen del requerimiento
• Aplicando COBIT 5 en PDP• Caso práctico
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 3/60
CONTEXTO DE PROTECCIÓN DE DATOS
PERSONALES (PDP)
• Derechos Humanos
• Principios de PDP según OCDE
• Marco de Privacidad de APEC
• Visión holística de PDP
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 4/60
CONTEXTO
• Declaración Universal de Derechos
Humanos*• el artículo 12: “ Nadie será objeto de
injerencias arbitrarias en su vida privada,
su familia, su domicilio o su correspon-
dencia, ni de ataques a su honra o a su
reputación. Toda persona tiene derecho a
la protección de la ley contra tales
injerencias o ataques”
* Adoptada
y proclamada
por
la
Resolución
de
la
Asamblea
General
el
10
de
diciembre
de 1948.
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 5/60
CONTEXTO
• En las últ imas décadas del siglo pasado tomómayor importancia la necesidad de ampliar el
alcance conceptual del tradicional derecho a lapersonalidad desde los primeros acuerdos enmateria de Derechos Humanos que sedesarrol laron en Europa, en la ONU* y en laOCDE**
• En estas circunstancias nace el derecho a laintimidad informática que se ubica entre losderechos fundamentales de las personas y lasprovisiones legales referentes a la protección de
datos personales
*
Organización de
las
Naciones
Unidas
** Organización para la Cooperación y el Desarrollo Económicos
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 6/60
CONTEXTO / DERECHOS HUMANOS
• Las diferentes leyes que se han legislado en elmundo podrían agruparse en dos categorías
fundamentalmente:• El modelo europeo que busca proteger la
información y su propiedad con el propósito deconservar la honorabilidad de la persona aúndespués de su muerte. Este modelo tiene su baseen los derechos humanos.
• El modelo estadounidense busca proteger lainformación de las personas desde la perspectivadel derecho a la privacidad.
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 7/60
CONTEXTO / PROTECCIÓN DE DATOS
PERSONALES
• En 1981 el Consejo de Europa emite el Convenio108 para la protección de las personas conrespecto al tratamiento automatizado de datos decarácter personal.
• El propósito es garantizar en el territorio de los quefirman, que a cualquier persona le sean respetadossus derechos y l ibertades fundamentales,concretamente su derecho a la vida privada
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 8/60
CONTEXTO / PRINCIPIOS DE PDP
• Directrices de privacidad de la OCDE
• La OCDE publica en septiembre de 1980las directrices sobre protección de laprivacidad y flujos transfronterizos dedatos personales
• Chile, España, México
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 9/60
1. Principio de limitación de obtención delos datos
2. Principio de calidad de los datos3. Principio de especificación del propósito
4. Principio de limitación de uso
5. Principio de salvaguardia de la seguridad6. Principio de transparencia
7. Principio de participación individual
8. Principio de responsabilidad
PRINCIPIOS PROPUESTOS POR LA OCDE
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 10/60
• APEC (Cooperación Económica Asia-Pacífico)
• Perú, Chile, México
MARCO DE PRIVACIDAD DEL FORO DE
COOPERACIÓN APEC
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 11/60
MARCO DE PRIVACIDAD DEL FORO DE
COOPERACIÓN APEC
• El Marco de privacidad está pensado paraaplicarse a la información sobre personas
naturales, no legales.• Aplica a información personal, que es
información que puede usarse para
identificar a un individuo.• Aplica a personas u organizaciones en lossectores público y privado que controlanla recolección, posesión, procesamiento,
uso, transferencia o revelación de datospersonales.
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 12/60
VISIÓN HOLÍSTICA DE PDP
Fuente: Elaboración propia
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 13/60
VISIÓN HOLÍSTICA DE PDP
• No todas las organizaciones tienenun sistema de Gestión de Seguridadde la Información
• Porqué? – No hay obligaciones estrictas
– No han tenido impactos
– No han sido multadas
– No han sufrido ataques
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 14/60
VISIÓN HOLÍSTICA DE PDP
• No todas las empresas estáncumpliendo con una Ley de PDP
• Porqué? – No saben como hacerlo
– No les interesa
– No tienen un Sistema de Gobernabilidad
– No tienen un Sistema de Gestión de
Seguridad de la Información
– Cumplen parcialmente, con lo mínimo
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 15/60
VISIÓN HOLÍSTICA DE PDP
• No todas las personas saben comoproteger sus DP
• Porqué? – Desconocimiento de sus derechos
– No han sufrido algún ataque
– No hay una obligación legal
– No saben como hacerlo
– No tienen el conocimiento técnico
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 16/60
ALCANCE
Ciclo de vida de Datos Personales
• Origen de DP• Recolección de DP
• Proceso de DP
• Almacenamiento de DP• Destrucción, borrado de DP
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 17/60
VISIÓN DEL FORO ECONÓMICO MUNDIAL
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 18/60
VISIÓN DEL FORO ECONÓMICO MUNDIAL
Fuente: Reporte del World
Economic Forum,
Rethinking
Personal Data: A new lens
for Strengthening trust
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 19/60
VISIÓN DEL FORO ECONÓMICO MUNDIAL
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 20/60
ORIGEN DEL REQUERIMIENTO DE PDP
• Países con legislación para PDP
• Definiciones esenciales• Origen de los datos personales
• Nuevos riesgos, nuevosrequerimientos
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 21/60
PAÍSES CON LEGISLACIÓN PARA PDP
Fuente: Sitio en internet de National Comprehensive Data Protection /Privacy Laws and Bills 2014
En EU existe Privacy Act of 1974, aplica para las Agencias Federales
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 22/60
PAÍSES CON LEGISLACIÓN PARA PDP
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 23/60
DEFINICIONES ESENCIALES
• Datos Personalesse refiere a cualquier dato o información
relacionada con una persona identi ficadao identif icable
• Consentimiento*: Manifestación de lavoluntad del titular de los datos mediantela cual se efectúa el tratamiento de losmismos
* Art.
3,
fracción
IV
de
Ley
mexicana
de Protección de Datos Personales
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 24/60
DEFINICIONES ESENCIALES
• Datos Personales Sensibles*los que afecten a la esfera más íntima de su titular,
o cuya utilización indebida pueda dar origen adiscriminación o conlleve un riesgo grave paraéste.
• En particular, se consideran sensibles aquellos quepuedan revelar aspectos como origen racial o
étnico, estado de salud presente y futuro,información genética, creencias religiosas,filosóficas y morales, afil iación sindical, opinionespolíticas, preferencia sexual
* Art. 3, fracción VI de Ley mexicana de Protección de Datos Personales
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 25/60
DEFINICIONES ESENCIALES
• Tratamiento*: La obtención, uso, divulgación oalmacenamiento de datos personales, por cualquier
medio. El uso abarca cualquier acción de acceso,manejo, aprovechamiento, transferencia odisposición de datos personales.
• Sujeto obl igado: toda entidad que posee datospersonales para su tratamiento
• Titular **: la persona física a quien corresponden losdatos personales
*
Art. 3,
fracción
XVIII
de
Ley
mexicana
de
Protección
de
Datos
Personales
** idem, fracción XVII
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 26/60
ORIGEN DE LOS DATOS PERSONALES
• Los datos personales son empleados enmuchos aspectos de las operaciones en
toda organización• Para cada persona, su origen de los Datos
Personales inicia cuando nace: Acta deNacimiento, registros de hospital (tipo desangre, ADN)
• Entre la niñez y la vida adulta se generanmuchos datos personales…
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 27/60
NUEVOS RIESGOS, NUEVOS REQUERIMIENTOS
• Fuentes dispersas concontroles físicos
• No podían ser accesadosen línea
• La versión en papelquizá ofrecía mayorseguridad
• Con la digitalización, elcómputo en la nube y laglobalización; los
riesgos aumentaron• Nuevos mecanismos yestrategias se requierenpara garantizar laseguridad
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 28/60
ENFOQUE DEL REQUERIMIENTO
DatosPersonales
Información
Protección
de
DatosPersonales
Seguridad
de
la
Información
• Se requiere un framework amplio y flexible parapoder cumplir con todos los requerimientos queindica una Ley de protección de datos personales
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 29/60
APLICANDO COBIT 5
EN PROTECCIÓN DE DATOS PERSONALES
• Estructura – Principios
– Catalizadores
– Cascada de Objetivos
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 30/60
COBIT 5, PRINCIPIOS
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 31/60
COBIT 5, PRINCIPIOS
Principio 1
Satisfacer las necesidades de laspartes interesadas• Las organizaciones se conciben para crear
valor para sus stakeholders, manteniendo
un balance entre la obtención de losbeneficios y la optimización del riesgo yempleo de todos los recursos disponibles
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 32/60
COBIT 5, PRINCIPIOS
Principio 2
Cubrir la empresa de extremoa extremo
• COBIT 5 no se enfoca únicamente en lasfunciones de TI, en realidad cubre todas
las funciones y procesos dentro de laorganización
• Considera todos los habilitadores de
gobernabilidad y gestión asociados a TI, através de toda la organización
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 33/60
COBIT 5, PRINCIPIOS
Principio 3 Aplicar un marco de referencia único integrado• COBIT 5 está alineado con otros estándares a un alto
nivel
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 34/60
COBIT 5, PRINCIPIOS
Principio 4
Hacer posible un enfoque holístico• Tanto la Gobernabil idad como la Gestión
de TI requieren de un enfoque holístico
• COBIT 5 define siete Catalizadores /
Habilitadores para hacer posible laimplementación de un sistema deGobernabilidad y Gestión de TI
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 35/60
COBIT 5, PRINCIPIO 4, CATALIZADORES
(HABILITADORES)
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 36/60
CATALIZADORES DE COBIT
PARA RESPONDER A REQUERIMIENTOS• Qué tengo que hacer?
• Cómo lo hago?
• Quiénes deben hacerlo?
• Dónde?
• Cuándo?
• E1 Principios, Políticas,Marcos de Referencia
• E2 Procesos de TI
• E3 Estructuras Organizativas
• E4 Cultura, Ética,Comportamiento
• E7 Personas, Habilidades yCompetencias
• E5 Información
• E6 Servicios, Infraestructura, Aplicaciones
• E1, E2, E3, E4, E5, E6, E7
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 37/60
COBIT 5, PRINCIPIOS
Principio 5
Separar el Gobierno de la Gestión• Las disciplinas de Gobernabilidad y
Gestión de TI involucran diferentes tiposde actividades y funciones, requieren
estructuras organizacionales diferentes ysirven para distintos propósitos.
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 38/60
DE QUÉ FORMA SE PUEDE EMPLEAR COBIT 5
PARA ASEGURAR LOS DATOS PERSONALES
• Las leyes de protección de datospersonales en los distintos países
representan un conjunto derequerimientos específicos
• COBIT 5 ayuda en las áreas donde se
necesita• Las necesidades de los stakeholders y los
objetivos de la organización sontraducidos en objetivos para el área de TI
y posteriormente son mapeados enprocesos de TI y procedimientos.
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 39/60
APLICACIÓN DE COBIT 5 PARA PDP
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 40/60
APLICACIÓN DE COBIT 5 PARA PDP
• Podemos ver a losPrincipios como larespuesta a lapregunta:Qué vamos a hacer
• Los Catalizadoresnos ayudan aresponder a la
pregunta:Cómo lo vamos ahacer
Ó
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 41/60
APLICACIÓN DE COBIT 5 PARA PDP
• COBIT 5 considera una diferenciación entreGobierno y Gestión de TI. Esta figura muestra unpanorama global y completo de esa distinción
Ó
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 42/60
APLICACIÓN DE COBIT 5 PARA PDP
Estracto del Mapeo de Necesidades de Stakeholders vsMetas de Empresa. Se señalan las que están involucradasdirectamente con la PDP
M E T A S D E E
M P R E S A
Ó
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 43/60
APLICACIÓN DE COBIT 5 PARA PDP
Estracto del Mapeo de Metas Corporativas
Se señalan las que están involucradas directamentecon la PDP
APLICACIÓN DE COBIT 5 PARA PDP
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 44/60
APLICACIÓN DE COBIT 5 PARA PDP
M e t a s C o
r p o r a t i v a s
Estracto del Mapeo de Metas de TI vs Metas CorporativasSe señalan las que están involucradas directamente con la PDP
APLICACIÓN DE COBIT 5 PARA PDP
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 45/60
APLICACIÓN DE COBIT 5 PARA PDP
Selección de las Metas relacionadas con TI que estáninvolucradas directamente con PDP
APLICACIÓN DE COBIT 5 PARA PDP
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 46/60
APLICACIÓN DE COBIT 5 PARA PDP
APLICACIÓN DE COBIT 5 PARA PDP
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 47/60
APLICACIÓN DE COBIT 5 PARA PDP
Estracto del Mapeo de Metas de TI vs Procesos de COBIT 5
Se señalan las que están involucradas directamente con la PDP 1
/
3
APLICACIÓN DE COBIT 5 PARA PDP
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 48/60
APLICACIÓN DE COBIT 5 PARA PDP
Estracto del Mapeo de Metas de TI vs Procesos de COBIT 5
Se señalan las que están involucradas directamente con la PDP 2 /
3
APLICACIÓN DE COBIT 5 PARA PDP
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 49/60
APLICACIÓN DE COBIT 5 PARA PDP
Estracto del Mapeo de Metas de TI vs Procesos de COBIT 5
Se señalan las que están involucradas directamente con la PDP 3 /
3
APLICANDO COBIT 5
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 50/60
APLICANDO COBIT 5
EN UN CASO REAL
• Ley Federal de Protección de Datos
Personales en Posesión deParticulares (LFPDPPP)
• Reglamento de la misma ley
– Legislación en México
CASO PRÁCTICO
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 51/60
CASO PRÁCTICO
• Siguiendo los pasos ya explicados, seestudia la ley en cuestión para identificar
puntualmente los requerimientos quedeben ser atendidos
• La siguiente es solamente una muestra delos requerimientos de LFPDPPP
• En la aplicación de COBIT 5, se debe hacerun mapeo completo
CASO PRÁCTICO
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 52/60
CASO PRÁCTICO
CASO PRÁCTICO
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 53/60
CASO PRÁCTICO
CASO PRÁCTICO
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 54/60
CASO PRÁCTICO
CASO PRÁCTICO
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 55/60
• Para una implementación efectivade COBIT 5 se requiere un equipo
multidisciplinario: – Una persona del área legal para la
interpretación de la Ley
– Una persona de cada una de las áreas que sehan identificado como stakeholders de datos
personales
– Responsable de los procesos clave del
negocio – Responsable de seguridad de la información
– Responsable de seguridad física
CASO PRÁCTICO
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 56/60
• Llevar a cabo una serie de entrevistas con todaslas áreas de la empresa para identificar los casosdonde se tratan datos personales
• Hacer un registro de las áreas que usan datospersonales sensibles, procesos, responsables,ciclo de vida de los datos
• Identificar los casos de procesamiento manual,automatizado y combinado
• Elaborar el análisis de brechas
• Elaborar el Plan de acciones necesarias
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 58/60
Fin de la
presentación
Gracias
Referencias
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 59/60
• Banisar, D. (2014, Enero 28). National Comprehensive Data Protection/Privacy Laws and
Bills 2014 Map. from Social Science Research Network:
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1951416
• Directrices de
la
OCDE
sobre
protección
de
la
privacidad
y flujos
transfronterizos
de
datos
personales
http://www.oecd.org/sti/ieconomy/15590267.pdf
• APEC, A.‐P. (2014). Member Economies. Asia‐Pacific Economic Cooperation:
http://www.apec.org/About‐Us/About‐APEC/Member‐Economies.aspx
• COBIT 5, COBIT 5 Enabling Processes, COBIT 5 Principles : Where Did They Come From?, COBIT 5 for Information Security. Securing Sensitive Personal Data or Information Under
India’s IT Act Using COBIT 5. COBIT 5 Implementation
http://www.isaca.org/cobit/pages/default.aspx
• World Economic Forum
http://www.weforum.org/reports/rethinking‐personal
‐data
‐new
‐lens
‐strengthening
‐trust
Contacto
8/10/2019 Cobit Caso Practico
http://slidepdf.com/reader/full/cobit-caso-practico 60/60
Jorge Arturo Pérez Morales
http://mx.linkedin.com/in/japmmx
Top Related