COBIT 5

Proteccin de Datos

Jorge Arturo Prez Morales, CISM

ICA Fluor, Mxico

PROTECCIN DE DATOS PERSONALES

A TRAVS DE COBIT 5

Agenda:
Contexto de Proteccin de Datos
Personales (PDP)
Origen del requerimiento
Aplicando COBIT 5 en PDP
Caso prctico

CONTEXTO DE PROTECCIN DE DATOS

PERSONALES (PDP)

Derechos Humanos
Principios de PDP segn OCDE
Marco de Privacidad de APEC
Visin holstica de PDP

CONTEXTO

Declaracin Universal de Derechos

Humanos*
el artculo 12: Nadie ser objeto de
injerencias arbitrarias en su vida privada,
su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su
reputacin. Toda persona tiene derecho a
la proteccin de la ley contra tales
injerencias o ataques

*AdoptadayproclamadaporlaResolucindelaAsambleaGeneralel10dediciembre
de1948.

CONTEXTO

En las ltimas dcadas del siglo pasado tom

mayor importancia la necesidad de ampliar el
alcance conceptual del tradicional derecho a la
personalidad desde los primeros acuerdos en
materia de Derechos Humanos que se
desarrollaron en Europa, en la ONU* y en la
OCDE**
En estas circunstancias nace el derecho a la
intimidad informtica que se ubica entre los
derechos fundamentales de las personas y las
provisiones legales referentes a la proteccin de
datos personales

* OrganizacindelasNacionesUnidas
** OrganizacinparalaCooperacinyelDesarrolloEconmicos

CONTEXTO / DERECHOS HUMANOS

Las diferentes leyes que se han legislado en el

mundo podran agruparse en dos categoras
fundamentalmente:
El modelo europeo que busca proteger la
informacin y su propiedad con el propsito de
conservar la honorabilidad de la persona an
despus de su muerte. Este modelo tiene su base
en los derechos humanos.
El modelo estadounidense busca proteger la
informacin de las personas desde la perspectiva
del derecho a la privacidad.

CONTEXTO / PROTECCIN DE DATOS

PERSONALES

En 1981 el Consejo de Europa emite el Convenio

108 para la proteccin de las personas con
respecto al tratamiento automatizado de datos de
carcter personal.
El propsito es garantizar en el territorio de los que
firman, que a cualquier persona le sean respetados
sus derechos y libertades fundamentales,
concretamente su derecho a la vida privada

CONTEXTO / PRINCIPIOS DE PDP

Directrices de privacidad de la OCDE

La OCDE publica en septiembre de 1980
las directrices sobre proteccin de la
privacidad y flujos transfronterizos de
datos personales
Chile, Espaa, Mxico

PRINCIPIOS PROPUESTOS POR LA OCDE

1. Principio de limitacin de obtencin de

los datos
2. Principio de calidad de los datos
3. Principio de especificacin del propsito
4. Principio de limitacin de uso
5. Principio de salvaguardia de la seguridad
6. Principio de transparencia
7. Principio de participacin individual
8. Principio de responsabilidad

MARCO DE PRIVACIDAD DEL FORO DE

COOPERACIN APEC
APEC (Cooperacin Econmica Asia-Pacfico)
Per, Chile, Mxico

MARCO DE PRIVACIDAD DEL FORO DE

COOPERACIN APEC
El Marco de privacidad est pensado para
aplicarse a la informacin sobre personas
naturales, no legales.
Aplica a informacin personal, que es
informacin que puede usarse para
identificar a un individuo.
Aplica a personas u organizaciones en los
sectores pblico y privado que controlan
la recoleccin, posesin, procesamiento,
uso, transferencia o revelacin de datos
personales.

VISIN HOLSTICA DE PDP

Fuente:Elaboracinpropia

VISIN HOLSTICA DE PDP

No todas las organizaciones tienen

un sistema de Gestin de Seguridad
de la Informacin
Porqu?

No hay obligaciones estrictas

No han tenido impactos
No han sido multadas
No han sufrido ataques

VISIN HOLSTICA DE PDP

No todas las empresas estn

cumpliendo con una Ley de PDP
Porqu?

No saben como hacerlo

No les interesa
No tienen un Sistema de Gobernabilidad
No tienen un Sistema de Gestin de
Seguridad de la Informacin
Cumplen parcialmente, con lo mnimo

VISIN HOLSTICA DE PDP

No todas las personas saben como

proteger sus DP
Porqu?

Desconocimiento de sus derechos

No han sufrido algn ataque
No hay una obligacin legal
No saben como hacerlo
No tienen el conocimiento tcnico

ALCANCE

Ciclo de vida de Datos Personales

Origen de DP
Recoleccin de DP
Proceso de DP
Almacenamiento de DP
Destruccin, borrado de DP

VISIN DEL FORO ECONMICO MUNDIAL

VISIN DEL FORO ECONMICO MUNDIAL

Fuente:ReportedelWorld
EconomicForum,Rethinking
PersonalData:Anewlens
forStrengtheningtrust

VISIN DEL FORO ECONMICO MUNDIAL

ORIGEN DEL REQUERIMIENTO DE PDP

Pases con legislacin para PDP

Definiciones esenciales
Origen de los datos personales
Nuevos riesgos, nuevos
requerimientos

PASES CON LEGISLACIN PARA PDP

EnEUexiste PrivacyActof1974,aplicaparalasAgenciasFederales

Fuente:SitioeninternetdeNationalComprehensiveDataProtection/PrivacyLawsandBills2014

PASES CON LEGISLACIN PARA PDP

DEFINICIONES ESENCIALES

Datos Personales
se refiere a cualquier dato o informacin
relacionada con una persona identificada
o identificable
Consentimiento*: Manifestacin de la
voluntad del titular de los datos mediante
la cual se efecta el tratamiento de los
mismos

*Art.3,fraccinIVdeLeymexicana
deProteccindeDatosPersonales

DEFINICIONES ESENCIALES

Datos Personales Sensibles*

los que afecten a la esfera ms ntima de su titular,
o cuya utilizacin indebida pueda dar origen a
discriminacin o conlleve un riesgo grave para
ste.
En particular, se consideran sensibles aquellos que
puedan revelar aspectos como origen racial o
tnico, estado de salud presente y futuro,
informacin gentica, creencias religiosas,
filosficas y morales, afiliacin sindical, opiniones
polticas, preferencia sexual

*Art.3,fraccinVIdeLeymexicanadeProteccindeDatosPersonales

DEFINICIONES ESENCIALES

Tratamiento*: La obtencin, uso, divulgacin o

almacenamiento de datos personales, por cualquier
medio. El uso abarca cualquier accin de acceso,
manejo, aprovechamiento, transferencia o
disposicin de datos personales.

Sujeto obligado: toda entidad que posee datos

personales para su tratamiento

Titular **: la persona fsica a quien corresponden los

datos personales

*Art.3,fraccinXVIIIdeLeymexicanadeProteccindeDatosPersonales
**idem,fraccinXVII

ORIGEN DE LOS DATOS PERSONALES

Los datos personales son empleados en

muchos aspectos de las operaciones en
toda organizacin
Para cada persona, su origen de los Datos
Personales inicia cuando nace: Acta de
Nacimiento, registros de hospital (tipo de
sangre, ADN)
Entre la niez y la vida adulta se generan
muchos datos personales

NUEVOS RIESGOS, NUEVOS REQUERIMIENTOS

Fuentes dispersas con

controles fsicos
No podan ser accesados
en lnea
La versin en papel
quiz ofreca mayor
seguridad
Con la digitalizacin, el
cmputo en la nube y la
globalizacin; los
riesgos aumentaron
Nuevos mecanismos y
estrategias se requieren
para garantizar la
seguridad

ENFOQUE DEL REQUERIMIENTO

Informacin

Datos
Personales

Seguridad
dela
Informacin
Proteccin
deDatos
Personales

Se requiere un framework amplio y flexible para

poder cumplir con todos los requerimientos que
indica una Ley de proteccin de datos personales

APLICANDO COBIT 5
EN PROTECCIN DE DATOS PERSONALES

Estructura
Principios
Catalizadores
Cascada de Objetivos

COBIT 5, PRINCIPIOS

COBIT 5, PRINCIPIOS

Principio 1
Satisfacer las necesidades de las
partes interesadas
Las organizaciones se conciben para crear
valor para sus stakeholders, manteniendo
un balance entre la obtencin de los
beneficios y la optimizacin del riesgo y
empleo de todos los recursos disponibles

COBIT 5, PRINCIPIOS

Principio 2
Cubrir la empresa de extremo
a extremo
COBIT 5 no se enfoca nicamente en las
funciones de TI, en realidad cubre todas
las funciones y procesos dentro de la
organizacin
Considera todos los habilitadores de
gobernabilidad y gestin asociados a TI, a
travs de toda la organizacin

COBIT 5, PRINCIPIOS

Principio 3
Aplicar un marco de referencia nico integrado

COBIT 5 est alineado con otros estndares a un alto

nivel

COBIT 5, PRINCIPIOS

Principio 4
Hacer posible un enfoque holstico
Tanto la Gobernabilidad como la Gestin
de TI requieren de un enfoque holstico
COBIT 5 define siete Catalizadores /
Habilitadores para hacer posible la
implementacin de un sistema de
Gobernabilidad y Gestin de TI

COBIT 5, PRINCIPIO 4, CATALIZADORES

(HABILITADORES)

CATALIZADORES DE COBIT
PARA RESPONDER A REQUERIMIENTOS

Qu tengo que hacer?

E1 Principios, Polticas,
Marcos de Referencia

Cmo lo hago?

E2 Procesos de TI

Quines deben hacerlo?

E3 Estructuras Organizativas
E4 Cultura, tica,
Comportamiento
E7 Personas, Habilidades y
Competencias

Dnde?

Cundo?

E5 Informacin
E6 Servicios, Infraestructura,
Aplicaciones

E1, E2, E3, E4, E5, E6, E7

COBIT 5, PRINCIPIOS

Principio 5
Separar el Gobierno de la Gestin
Las disciplinas de Gobernabilidad y
Gestin de TI involucran diferentes tipos
de actividades y funciones, requieren
estructuras organizacionales diferentes y
sirven para distintos propsitos.

DE QU FORMA SE PUEDE EMPLEAR COBIT 5

PARA ASEGURAR LOS DATOS PERSONALES
Las leyes de proteccin de datos
personales en los distintos pases
representan un conjunto de
requerimientos especficos
COBIT 5 ayuda en las reas donde se
necesita
Las necesidades de los stakeholders y los
objetivos de la organizacin son
traducidos en objetivos para el rea de TI
y posteriormente son mapeados en
procesos de TI y procedimientos.

APLICACIN DE COBIT 5 PARA PDP

APLICACIN DE COBIT 5 PARA PDP

Podemos ver a los

Principios como la
respuesta a la
pregunta:
Qu vamos a hacer

Los Catalizadores
nos ayudan a
responder a la
pregunta:
Cmo lo vamos a
hacer

APLICACIN DE COBIT 5 PARA PDP

COBIT 5 considera una diferenciacin entre

Gobierno y Gestin de TI. Esta figura muestra un
panorama global y completo de esa distincin

METASDEEMPRESA

APLICACIN DE COBIT 5 PARA PDP

Estracto del Mapeo de Necesidades de Stakeholders vs

Metas de Empresa. Se sealan las que estn involucradas
directamente con la PDP

APLICACIN DE COBIT 5 PARA PDP

Estracto del Mapeo de Metas Corporativas

Se sealan las que estn involucradas directamente
con la PDP

MetasCorporativas

APLICACIN DE COBIT 5 PARA PDP

Estracto del Mapeo de Metas de TI vs Metas Corporativas

Se sealan las que estn involucradas directamente con la PDP

APLICACIN DE COBIT 5 PARA PDP

Seleccin de las Metas relacionadas con TI que estn

involucradas directamente con PDP

APLICACIN DE COBIT 5 PARA PDP

APLICACIN DE COBIT 5 PARA PDP

Estracto del Mapeo de Metas de TI vs Procesos de COBIT 5

Se sealan las que estn involucradas directamente con la PDP

1/3

APLICACIN DE COBIT 5 PARA PDP

Estracto del Mapeo de Metas de TI vs Procesos de COBIT 5

Se sealan las que estn involucradas directamente con la PDP

2 /3

APLICACIN DE COBIT 5 PARA PDP

Estracto del Mapeo de Metas de TI vs Procesos de COBIT 5

Se sealan las que estn involucradas directamente con la PDP

3 /3

APLICANDO COBIT 5
EN UN CASO REAL

Ley Federal de Proteccin de Datos

Personales en Posesin de
Particulares (LFPDPPP)
Reglamento de la misma ley
Legislacin en Mxico

CASO PRCTICO

Siguiendo los pasos ya explicados, se

estudia la ley en cuestin para identificar
puntualmente los requerimientos que
deben ser atendidos
La siguiente es solamente una muestra de
los requerimientos de LFPDPPP
En la aplicacin de COBIT 5, se debe hacer
un mapeo completo

CASO PRCTICO

CASO PRCTICO

CASO PRCTICO

CASO PRCTICO

Para una implementacin efectiva

de COBIT 5 se requiere un equipo
multidisciplinario:
Una persona del rea legal para la
interpretacin de la Ley
Una persona de cada una de las reas que se
han identificado como stakeholders de datos
personales
Responsable de los procesos clave del
negocio
Responsable de seguridad de la informacin
Responsable de seguridad fsica

CASO PRCTICO

Llevar a cabo una serie de entrevistas con todas

las reas de la empresa para identificar los casos
donde se tratan datos personales

Hacer un registro de las reas que usan datos

personales sensibles, procesos, responsables,
ciclo de vida de los datos

Identificar los casos de procesamiento manual,

automatizado y combinado

Elaborar el anlisis de brechas

Elaborar el Plan de acciones necesarias

Findela
presentacin
Gracias

Referencias

Banisar,D.(2014,Enero 28).NationalComprehensiveDataProtection/PrivacyLawsand
Bills2014Map.fromSocialScienceResearchNetwork:
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1951416

DirectricesdelaOCDEsobreproteccindelaprivacidadyflujostransfronterizosdedatos
personales
http://www.oecd.org/sti/ieconomy/15590267.pdf

APEC,A.P.(2014).MemberEconomies.AsiaPacificEconomicCooperation:
http://www.apec.org/AboutUs/AboutAPEC/MemberEconomies.aspx

COBIT5,COBIT5EnablingProcesses,COBIT5Principles:WhereDidTheyComeFrom?,
COBIT5forInformationSecurity.SecuringSensitivePersonalDataorInformationUnder
IndiasITActUsingCOBIT5.COBIT5Implementation
http://www.isaca.org/cobit/pages/default.aspx

WorldEconomicForum
http://www.weforum.org/reports/rethinkingpersonaldatanewlensstrengthening
trust

Contacto

Jorge.perezm@icafluor.com
japm@comunidad.unam.mx

JorgeArturoPrezMorales
http://mx.linkedin.com/in/japmmx