Protección de datos personales en empresas.

...

Es importante que el sistema tecnológico cuente con los siguientes estándares:

- Cumplimiento: evaluar si el sistema se apega a todos los estándares legales establecidos para la protección de los datos.

- Política de Gestión de Datos Personales: la empresa debe tener establecido un compromiso de seguridad para con todos los usuarios y quienes dejen en manos de la misma sus datos personales.

- Conocimiento: el personal de la empresa debe contar con el conocimiento en la materia de protección y la forma en que debe llevar a cabo los procesos para cumplir con el cometido de forma legal y cumpliendo con las políticas de gestión del corporativo.

Seguridad informática: es una disciplina que se encarga del desarrollo de protección a la información que se encuentra en distintos sistemas de esta. Se basa en normas de funcionamiento que evalúan los riesgos de que se vulnere la información privilegiada y al mismo tiempo los previene. Es todo un sistema de protección de la información que protege los archivos, en este caso específicamente los de las personas que proporcionan datos privados.

Toda empresa debe evaluar el grado de vulnerabilidad que podrían tener los archivos que maneja y trabajar en la la eliminación de todos los factores que podrían propiciar un ataque de cualquier tipo, entre los que destacan robo, extravío o copia no autorizada; perdida o destrucción no autorizada; Uso, acceso o tratamiento no autorizado; y daño, alteración o modificación no autorizado.

Evaluación de riesgos. Se evalúan a partir de los siguientes estándares:

- Muy alto: datos que puedan afectar la economía de las personas, como acceso a cuentas bancarias, números confidenciales, etc.

- Alto: datos de salud, morales, preferencias, creencias, etc.

- Medio: datos como ubicación, domicilio, datos jurídicos, etc.

- Bajo: nombre, contacto, educación, etc.

Amenazas de vulnerabilidad de datos personales.

Son situaciones ya sean provocadas directa o indirectamente que causen la exposición o inseguridad de los archivos privilegiados. Se dividen en terciarias, secundarias y primarias.

Las amenazas terciares se subdividen en ataques –motivados por un actor con cierta capacidad y un fin establecido-, accidentes –que son fallas en el hardware- y errores –defectos en la programación-. Los ataques incluyen motivos y acciones como sabotaje, fraude, ingeniería social, etc.

-Implementación de un programa de seguridad.

Se basa en un sistema de gestión que sirve como monitor para implementar, revisar, mantener y mejorar la forma en que son tratados los datos personales. Este sistema se basa en las evaluaciones previas de posibles vulneraciones a los archivos informáticos, en los principios de protección a los datos personales y en la legislación de la materia. Se deben implementar mecanismos de seguridad en forma administrativa, técnica y física.

Incidentes y gestión de incidentes: un incidente se produce cuando una amenaza se lleva a cabo.

La gestión de incidentes se refiera a una forma establecida de actuar y responder ante un incidente. Se debe contar con un protocolo de protección y de ser necesario la recuperación de archivos vulnerados.

Para elaborar un plan satisfactorio de respuesta a incidentes se deben tomar en cuenta las siguientes consideraciones:

- Realizar una evaluación inicial.

- Comunicar el incidente.

- Contener el daño y minimizar el riesgo.

- Identificar el tipo y la gravedad del ataque.

- Proteger las pruebas.

- Notificar a los organismos externos, si corresponde.

- Recuperar los sistemas.

- Compilar y organizar la documentación del incidente. Valorar los daños y costos del incidente. Revisar las directivas de respuesta y actualización.

-

Detección de un incidente: los sistemas de seguridad deben ser eficientes en la detección de incidentes.

Se debe contar con un grupo coordinado de acción y detección en caso de un incidente. Este grupo debe estar capacitado para poder establecer si se trata de una falsa o verdadera amenaza y actuar de forma concreta para solucionar el problema.

Una respuesta adecuada ante un posible incidente debe contar con los siguientes factores:

- Real: el proceso para eliminar el incidente.

- Percibido: determinación de si se trata de una verdadera o falsa alarma.

- Neutralización: detener el incidente mientras se lleva a cabo la solución.

- Determinación: establecer el tipo de incidente.

- Origen: de donde viene el ataque.

- Intención: los motivos para realizarlo, a quien va dirigido.

- Identificar los sistemas o archivos puestos en riesgo.

- Identificar si ha sido vulnerado algún archivo y el grado de confidencialidad de este.

Contención, erradicación y operación: al ser detectado un incidente, se trabaja inmediatamente en su detención, en la seguridad del sistema y en prevenir una nueva intrusión. Se debe proteger al sistema de alguna modificación, eliminación o alteración de los archivos e información privilegiada.

Identificación del atacante: mediante el apoyo de un forense informático, se debe realizar una investigación que determine a la persona responsable del ataque, si así se determinó en el tipo de ataque. La investigación procede en una denuncia en contra del o los responsables.

-Documentación del incidente.

Se debe hacer un reporte a detalle de todo lo que implicó el incidente sufrido, desde su detección hasta su solución. La documentación servirá para trabajar en el sistema de seguridad y su fortalecimiento para evitar futuras amenazas.

Es importante también que se haga el