22. Medidas a implementar
Mecanismos para el
Procedimientos para
cumplimiento de las
Elaborar políticas y recibir y responder
políticas y programas
programas de dudas y quejas de los
de privacidad y
privacidad titulares de los datos
sanciones por su
personales
incumplimiento
Programas de
Revisar periódicamente
capacitación, Establecer medidas
las políticas y
actualización y para el aseguramiento
programas de
concientización del de los datos personales
seguridad
personal
Procedimientos
Procedimientos para
Establecer un sistema técnicos que permiten
atender el riesgo para
de supervisión y rastrear a los datos
la protección de datos
vigilancia interna personales durante su
personales
tratamiento
Destinar recursos para
Verificaciones o la instrumentación de
auditorías externas los programas y
políticas de privacidad
Artículo 48
23. Alcance
El responsable y, en su caso, el encargado
deberán establecer y mantener las medidas
de seguridad administrativas, físicas y, en
su caso, técnicas para la protección de los
datos personales, con independencia del
sistema de tratamiento.
Se entenderá por medidas de seguridad, el
control o grupo de controles de
seguridad para proteger los datos
personales
Sin perjuicio de lo establecido por las
disposiciones vigentes en materia de
seguridad emitidas por las autoridades
competentes al sector que corresponda
Artículo 57
24. Atenuación de sanciones
En caso de una vulneración a la
seguridad de los datos personales, el
IFAI podrá tomar en consideración el
cumplimiento de sus recomendaciones
para determinar la atenuación de la
sanción que corresponda
Artículo 58
25. Factores para determinar
El responsable determinará las medidas de seguridad
tomando en consideración los siguientes factores:
El riesgo inherente La sensibilidad de los
El número de
por tipo de dato datos personales
titulares
personal tratados
Las posibles Las vulnerabilidades
El desarrollo consecuencias de previas ocurridas en
tecnológico una vulneración los sistemas de
para los titulares tratamiento
Factores que
El valor que podrían
puedan incidir en el
tener los datos para
nivel de riesgo, que
un tercero no
resulten de otras
autorizado
leyes o regulación
Artículo 60
26. Acciones para la seguridad I
Inventario de
Datos Sensibilidad Sistemas Roles datos personales
RH
Nombre Dato personal Sistema de RH
Director del Área
Teléfono Dato personal Sistema de Nominas Finanzas
Inventario de los
sistemas de
tratamiento
Numero de Sistemas de Finanzas
Dato personal
empleado Nominas RH
Funciones y
RH obligaciones de
Salario Dato personal sensible Expediente físico las personas que
Archivo
traten los datos
personales
Artículo 61
27. Acciones para la seguridad II
Medidas de seguridad
Análisis de riesgos de
aplicables a los datos
datos personales
personales
Alto
Medio Alto
Sensibilidad
Moderado
Bajo Medio
Mínimo
Menor Medio Mayor
Artículo 61 Volumen
28. Acciones para la seguridad III
Análisis de brecha de las
Plan de trabajo para la
medidas de seguridad
implementación de las
existentes y aquéllas
medidas de seguridad
faltantes para cada tipo de
faltantes, derivadas del
dato y cada sistema de
análisis de brecha
tratamiento
Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4
Implantación de Proceso de Administración
de Riesgos
Implantación de Proceso de desarrollo
Seguro de aplicaciones
Proceso de Administración de
Actualizaciones y Vulnerabilidades
Proceso de Administración
de Cambios Seguros
Migración de protocolo de soporte remoto robusto
Migración de protocolo de
comunicación inalámbrica
Migración de almacenamiento
de contraseñas
Estándar de Contraseñas
Guías de Configuración de
Seguridad en SO
Guías de Configuración de
Seguridad en aplicaciones
Artículo 61 2011 2012
29. Acciones para la seguridad IV
• Revisiones y/o auditorías
8
• Capacitar al personal que trate datos personales
9
• Registro de las cancelaciones o destrucciones de datos
personales
10
• Registro de los medios de almacenamiento de los datos
personales
11
Artículo 61
30. Actualizaciones de las
medidas de seguridad
Modificación a las medidas y/o procesos Modificaciones sustanciales en el
de seguridad tratamiento de datos personales
El documento de seguridad deberá
ser revisado, y/o actualizado
cuando:
En el momento que exista una afectación
En el momento en que se vulneren los
a los datos personales distinta a las
sistemas de tratamiento
anteriores
En el caso de datos personales sensibles, el
documento de seguridad deberá revisarse y
actualizarse una vez al año
Artículo 62
31. ¿Qué es una vulneración de
seguridad?
La pérdida o El robo,
destrucción extravío o
no copia no
autorizada autorizada
El daño, la
El uso,
alteración
acceso o
y/o
tratamiento
modificación
no
no
autorizado
autorizada
Artículo 63
32. ¿Qué debo informar en caso
de una vulneración?
1 La naturaleza de la vulneración
2 Los datos personales comprometidos
Recomendaciones al titular para proteger sus
3
intereses
Las acciones correctivas realizadas de forma
4
inmediata
Los medios donde se puede obtener más
5
información al respecto
Artículo 65
33. Medidas correctivas en caso
de vulneraciones
El responsable • Las causas por las cuales se
deberá analizar presentó
• Correctivas
Implementar las
• Preventivas
acciones
• Mejora
Para adecuar las
medidas de • Para evitar que la vulneración se
seguridad repita
correspondientes
Artículo 63
36. Creando un plan
Ciclo de vida la
información
PIA
•Legal
Implementación
•Técnico
•Procesos
Controles,
Clasificación de la
Estándares y
información
Procedimientos
Generación de
políticas
37.
38.
39.
40.
41.
42. Tres Vectores para gestionar Riesgo
Accesibilidad
para terceros
Anonimidad Valor
de los terceros para terceros
43. La Privacidad no es un
proyecto… es un proceso
Logrando la protección de datos
aumentamos la confianza y
ampliamos la competitividad de
nuestras empresas.