La semana pasada el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) instruyó a la Secretaría de la Función Pública (SFP) a buscar y dar a conocer los documentos de seguridad, generados entre 2009 y 2016, de tal forma que es importante recordar, que todos los sujetos obligados en el ámbito federal, estatal y municipal, como son cualquier autoridad, entidad, órgano y organismos de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, como parte de sus medidas para cumplir con lo dispuesto, en el artículo 35 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), deben elaborar un documento de seguridad que contenga por lo menos los siguientes elementos (véase infografía):

Para una mayor claridad y referencia, se detallan a continuación algunos documentos, estándares y guías, que pueden servir de apoyo para la estructuración del documento de seguridad.

  • Inventario de datos y de sistemas de tratamiento:

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 58, 59

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 4. Elaborar un inventario de Datos Personales pág. 13

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Anexo A. Inventario de datos personales pág. 45

  • Funciones y obligaciones del personal que trata datos personales:

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 57

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 4. Elaborar un inventario de Datos Personales pág. 16

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas

A.3.1. Informar al personal sobre sus deberes mínimos de seguridad y protección de datos pág. 23

C.5.2. Reglas de navegación segura pág. 31

  • Análisis de riesgos

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 60

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 5. Realizar el Análisis de Riesgos de los Datos Personales pág. 17

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas  2.3 Los riesgos a los que están expuestos los datos personales pág. 6

Metodología de Análisis de Riesgo BAA

ISO 31000

ISO/IEC 27005

Guía práctica de Análisis de riesgos en los tratamientos de Datos Personales sujetos al RGPD

  • Análisis de brecha

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 61

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 6. Identificación de las medidas de seguridad y Análisis de Brecha    pág. 21

Anexo D. Ejemplos de Controles de Seguridad

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Análisis de brecha pág. 33

Tabla de equivalencia funcional entre estándares de seguridad y la LFPDPPP, su Reglamento y las Recomendaciones en materia de seguridad de datos personales

Guía para el Borrado Seguro de Datos Personales

NIST SP 800-53 (Rev. 4) Security Controls

ISO/IEC 27001

ISO/IEC 27002

  • Plan de trabajo

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 62

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales

Plan de Trabajo para la Implementación de las Medidas de Seguridad Faltantes   pág. 24

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Etapa 3. Plan de trabajo pág. 36

  • Mecanismos de monitoreo y revisión de medidas de seguridad

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 63

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 8. Revisiones y Auditoría   pág. 29

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Etapa 4. Mejora continua pág. 40

  • Programa general de capacitación

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 64

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Capacitación   pág. 33

Plataforma de cursos en línea https://cevifaipublica.inai.org.mx/

 

Es importante, mencionar que el documento de seguridad se crea, a partir de la información que se genera, una vez que se han implementado las acciones para construir el Sistema de Gestión de Datos Personales.