COBIT 5 Protección de Datos
Jorge Arturo Pérez Morales, CISM ICA Fluor, México
PROTECCIÓN DE DATOS PERSONALES A TRAVÉS DE COBIT 5
Agenda: • Contexto de Protección de Datos Personales (PDP) • Origen del requerimiento • Aplicando COBIT 5 en PDP • Caso práctico
CONTEXTO DE PROTECCIÓN DE DATOS PERSONALES (PDP)
• • • •
Derechos Humanos Principios de PDP según OCDE Marco de Privacidad de APEC Visión holística de PDP
CONTEXTO
• Declaración Universal de Derechos Humanos* • el artículo 12: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”
* Adoptada y proclamada por la Resolución de la Asamblea General el 10 de diciembre de 1948.
CONTEXTO
•
•
En las últimas décadas del siglo pasado tomó mayor importancia la necesidad de ampliar el alcance conceptual del tradicional derecho a la personalidad desde los primeros acuerdos en materia de Derechos Humanos que se desarrollaron en Europa, en la ONU* y en la OCDE** En estas circunstancias nace el derecho a la intimidad informática que se ubica entre los derechos fundamentales de las personas y las provisiones legales referentes a la protección de datos personales
* Organización de las Naciones Unidas ** Organización para la Cooperación y el Desarrollo Económicos
CONTEXTO / DERECHOS HUMANOS
•
•
•
Las diferentes leyes que se han legislado en el mundo podrían agruparse en dos categorías fundamentalmente: El modelo europeo que busca proteger la información y su propiedad con el propósito de conservar la honorabilidad de la persona aún después de su muerte. Este modelo tiene su base en los derechos humanos. El modelo estadounidense busca proteger la información de las personas desde la perspectiva del derecho a la privacidad.
CONTEXTO / PROTECCIÓN DE DATOS PERSONALES
•
•
En 1981 el Consejo de Europa emite el Convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. El propósito es garantizar en el territorio de los que firman, que a cualquier persona le sean respetados sus derechos y libertades fundamentales, concretamente su derecho a la vida privada
CONTEXTO / PRINCIPIOS DE PDP
• Directrices de privacidad de la OCDE • La OCDE publica en septiembre de 1980 las directrices sobre protección de la privacidad y flujos transfronterizos de datos personales • Chile, España, México
PRINCIPIOS PROPUESTOS POR LA OCDE
1. Principio de limitación de obtención de los datos 2. Principio de calidad de los datos 3. Principio de especificación del propósito 4. Principio de limitación de uso 5. Principio de salvaguardia de la seguridad 6. Principio de transparencia 7. Principio de participación individual 8. Principio de responsabilidad
MARCO DE PRIVACIDAD DEL FORO DE COOPERACIÓN APEC • APEC (Cooperación Económica Asia-Pacífico) • Perú, Chile, México
MARCO DE PRIVACIDAD DEL FORO DE COOPERACIÓN APEC • El Marco de privacidad está pensado para aplicarse a la información sobre personas naturales, no legales. • Aplica a información personal, que es información que puede usarse para identificar a un individuo. • Aplica a personas u organizaciones en los sectores público y privado que controlan la recolección, posesión, procesamiento, uso, transferencia o revelación de datos personales.
VISIÓN HOLÍSTICA DE PDP
Fuente: Elaboración propia
VISIÓN HOLÍSTICA DE PDP
• No todas las organizaciones tienen un sistema de Gestión de Seguridad de la Información • Porqué? – – – –
No hay obligaciones estrictas No han tenido impactos No han sido multadas No han sufrido ataques
VISIÓN HOLÍSTICA DE PDP
• No todas las empresas están cumpliendo con una Ley de PDP • Porqué? – – – –
No saben como hacerlo No les interesa No tienen un Sistema de Gobernabilidad No tienen un Sistema de Gestión de Seguridad de la Información – Cumplen parcialmente, con lo mínimo
VISIÓN HOLÍSTICA DE PDP
• No todas las personas saben como proteger sus DP • Porqué? – – – – –
Desconocimiento de sus derechos No han sufrido algún ataque No hay una obligación legal No saben como hacerlo No tienen el conocimiento técnico
ALCANCE
Ciclo de vida de Datos Personales • Origen de DP • Recolección de DP • Proceso de DP • Almacenamiento de DP • Destrucción, borrado de DP
VISIÓN DEL FORO ECONÓMICO MUNDIAL
VISIÓN DEL FORO ECONÓMICO MUNDIAL
Fuente: Reporte del World Economic Forum, Rethinking Personal Data: A new lens for Strengthening trust
VISIÓN DEL FORO ECONÓMICO MUNDIAL
ORIGEN DEL REQUERIMIENTO DE PDP
• • • •
Países con legislación para PDP Definiciones esenciales Origen de los datos personales Nuevos riesgos, nuevos requerimientos
PAÍSES CON LEGISLACIÓN PARA PDP
En EU existe Privacy Act of 1974, aplica para las Agencias Federales
Fuente: Sitio en internet de National Comprehensive Data Protection /Privacy Laws and Bills 2014
PAÍSES CON LEGISLACIÓN PARA PDP
DEFINICIONES ESENCIALES
• Datos Personales se refiere a cualquier dato o información relacionada con una persona identificada o identificable • Consentimiento*: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos
* Art. 3, fracción IV de Ley mexicana de Protección de Datos Personales
DEFINICIONES ESENCIALES
•
•
Datos Personales Sensibles* los que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual
* Art. 3, fracción VI de Ley mexicana de Protección de Datos Personales
DEFINICIONES ESENCIALES
•
Tratamiento*: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
•
Sujeto obligado: toda entidad que posee datos personales para su tratamiento
•
Titular **: la persona física a quien corresponden los datos personales
* Art. 3, fracción XVIII de Ley mexicana de Protección de Datos Personales ** idem, fracción XVII
ORIGEN DE LOS DATOS PERSONALES
• Los datos personales son empleados en muchos aspectos de las operaciones en toda organización • Para cada persona, su origen de los Datos Personales inicia cuando nace: Acta de Nacimiento, registros de hospital (tipo de sangre, ADN) • Entre la niñez y la vida adulta se generan muchos datos personales…
NUEVOS RIESGOS, NUEVOS REQUERIMIENTOS
• • •
•
•
Fuentes dispersas con controles físicos No podían ser accesados en línea La versión en papel quizá ofrecía mayor seguridad Con la digitalización, el cómputo en la nube y la globalización; los riesgos aumentaron Nuevos mecanismos y estrategias se requieren para garantizar la seguridad
ENFOQUE DEL REQUERIMIENTO
Información
Datos Personales
•
Seguridad de la Información Protección de Datos Personales
Se requiere un framework amplio y flexible para poder cumplir con todos los requerimientos que indica una Ley de protección de datos personales
APLICANDO COBIT 5 EN PROTECCIÓN DE DATOS PERSONALES
• Estructura – Principios – Catalizadores – Cascada de Objetivos
COBIT 5, PRINCIPIOS
COBIT 5, PRINCIPIOS
Principio 1 Satisfacer las necesidades de las partes interesadas • Las organizaciones se conciben para crear valor para sus stakeholders, manteniendo un balance entre la obtención de los beneficios y la optimización del riesgo y empleo de todos los recursos disponibles
COBIT 5, PRINCIPIOS
Principio 2 Cubrir la empresa de extremo a extremo • COBIT 5 no se enfoca únicamente en las funciones de TI, en realidad cubre todas las funciones y procesos dentro de la organización • Considera todos los habilitadores de gobernabilidad y gestión asociados a TI, a través de toda la organización
COBIT 5, PRINCIPIOS
Principio 3 Aplicar un marco de referencia único integrado •
COBIT 5 está alineado con otros estándares a un alto nivel
COBIT 5, PRINCIPIOS
Principio 4 Hacer posible un enfoque holístico • Tanto la Gobernabilidad como la Gestión de TI requieren de un enfoque holístico • COBIT 5 define siete Catalizadores / Habilitadores para hacer posible la implementación de un sistema de Gobernabilidad y Gestión de TI
COBIT 5, PRINCIPIO 4, CATALIZADORES (HABILITADORES)
CATALIZADORES DE COBIT PARA RESPONDER A REQUERIMIENTOS •
Qué tengo que hacer?
•
E1 Principios, Políticas, Marcos de Referencia
•
Cómo lo hago?
•
E2 Procesos de TI
Quiénes deben hacerlo?
• •
E3 Estructuras Organizativas E4 Cultura, Ética, Comportamiento E7 Personas, Habilidades y Competencias
•
•
•
Dónde?
• •
•
Cuándo?
•
E5 Información E6 Servicios, Infraestructura, Aplicaciones
E1, E2, E3, E4, E5, E6, E7
COBIT 5, PRINCIPIOS
Principio 5 Separar el Gobierno de la Gestión • Las disciplinas de Gobernabilidad y Gestión de TI involucran diferentes tipos de actividades y funciones, requieren estructuras organizacionales diferentes y sirven para distintos propósitos.
DE QUÉ FORMA SE PUEDE EMPLEAR COBIT 5 PARA ASEGURAR LOS DATOS PERSONALES • Las leyes de protección de datos personales en los distintos países representan un conjunto de requerimientos específicos • COBIT 5 ayuda en las áreas donde se necesita • Las necesidades de los stakeholders y los objetivos de la organización son traducidos en objetivos para el área de TI y posteriormente son mapeados en procesos de TI y procedimientos.
APLICACIÓN DE COBIT 5 PARA PDP
APLICACIÓN DE COBIT 5 PARA PDP •
Podemos ver a los Principios como la respuesta a la pregunta: Qué vamos a hacer
•
Los Catalizadores nos ayudan a responder a la pregunta: Cómo lo vamos a hacer
APLICACIÓN DE COBIT 5 PARA PDP
•
COBIT 5 considera una diferenciación entre Gobierno y Gestión de TI. Esta figura muestra un panorama global y completo de esa distinción
METAS DE EMPRESA
APLICACIÓN DE COBIT 5 PARA PDP
Estracto del Mapeo de Necesidades de Stakeholders vs Metas de Empresa. Se señalan las que están involucradas directamente con la PDP
APLICACIÓN DE COBIT 5 PARA PDP
Estracto del Mapeo de Metas Corporativas Se señalan las que están involucradas directamente con la PDP
Metas Corporativas
APLICACIÓN DE COBIT 5 PARA PDP
Estracto del Mapeo de Metas de TI vs Metas Corporativas Se señalan las que están involucradas directamente con la PDP
APLICACIÓN DE COBIT 5 PARA PDP
Selección de las Metas relacionadas con TI que están involucradas directamente con PDP
APLICACIÓN DE COBIT 5 PARA PDP
APLICACIÓN DE COBIT 5 PARA PDP
Estracto del Mapeo de Metas de TI vs Procesos de COBIT 5 Se señalan las que están involucradas directamente con la PDP
1 / 3
APLICACIÓN DE COBIT 5 PARA PDP
Estracto del Mapeo de Metas de TI vs Procesos de COBIT 5 Se señalan las que están involucradas directamente con la PDP
2 / 3
APLICACIÓN DE COBIT 5 PARA PDP
Estracto del Mapeo de Metas de TI vs Procesos de COBIT 5 Se señalan las que están involucradas directamente con la PDP
3 / 3
APLICANDO COBIT 5 EN UN CASO REAL
• Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) • Reglamento de la misma ley – Legislación en México
CASO PRÁCTICO
• Siguiendo los pasos ya explicados, se estudia la ley en cuestión para identificar puntualmente los requerimientos que deben ser atendidos • La siguiente es solamente una muestra de los requerimientos de LFPDPPP • En la aplicación de COBIT 5, se debe hacer un mapeo completo
CASO PRÁCTICO
CASO PRÁCTICO
CASO PRÁCTICO
CASO PRÁCTICO
• Para una implementación efectiva de COBIT 5 se requiere un equipo multidisciplinario: – Una persona del área legal para la interpretación de la Ley – Una persona de cada una de las áreas que se han identificado como stakeholders de datos personales – Responsable de los procesos clave del negocio – Responsable de seguridad de la información – Responsable de seguridad física
CASO PRÁCTICO
•
Llevar a cabo una serie de entrevistas con todas las áreas de la empresa para identificar los casos donde se tratan datos personales
•
Hacer un registro de las áreas que usan datos personales sensibles, procesos, responsables, ciclo de vida de los datos
•
Identificar los casos de procesamiento manual, automatizado y combinado
•
Elaborar el análisis de brechas
•
Elaborar el Plan de acciones necesarias
Fin de la presentación Gracias
Referencias
•
Banisar, D. (2014, Enero 28). National Comprehensive Data Protection/Privacy Laws and Bills 2014 Map. from Social Science Research Network: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1951416
•
Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales http://www.oecd.org/sti/ieconomy/15590267.pdf
•
APEC, A.‐P. (2014). Member Economies. Asia‐Pacific Economic Cooperation: http://www.apec.org/About‐Us/About‐APEC/Member‐Economies.aspx
•
COBIT 5, COBIT 5 Enabling Processes, COBIT 5 Principles : Where Did They Come From?, COBIT 5 for Information Security. Securing Sensitive Personal Data or Information Under India’s IT Act Using COBIT 5. COBIT 5 Implementation http://www.isaca.org/cobit/pages/default.aspx
•
World Economic Forum http://www.weforum.org/reports/rethinking‐personal‐data‐new‐lens‐strengthening‐ trust
Contacto
[email protected] [email protected]
Jorge Arturo Pérez Morales http://mx.linkedin.com/in/japmmx
