¿Cómo construir un documento de seguridad?
  • LGPDPPSO

¿Cómo construir un documento de seguridad?

En una resolución presentada por el pleno del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) se instruyó a la Secretaría de la Función Pública (SFP) a buscar y dar a conocer los documentos de seguridad, generados entre 2009 y 2016.

Dada la relevancia del documento en cuestión,  es importante recordar, que todos los sujetos obligados en el ámbito federal, estatal y municipal, como son cualquier autoridad, entidad, órgano y organismos de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, como parte de sus medidas para cumplir con lo dispuesto, en el artículo 35 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), deben elaborar un documento de seguridad que contenga por lo menos los siguientes elementos (véase infografía):

Para una mayor claridad y referencia, se detallan a continuación algunos documentos, estándares y guías elaboradas por el INAI, que pueden ser de gran utilidad para la construcción del documento de seguridad.

Es importante, mencionar que el documento de seguridad se crea, a partir de la información que se genera, una vez que se han implementado las acciones para construir el Sistema de Gestión de Datos Personales.

  • Inventario de datos y de sistemas de tratamiento en el documento de seguridad:

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 58, 59

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 4. Elaborar un inventario de Datos Personales pág. 13

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Anexo A. Inventario de datos personales pág. 45

  • Funciones y obligaciones del personal que trata datos personales en el documento de seguridad:

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 57

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 4. Elaborar un inventario de Datos Personales pág. 16

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas

A.3.1. Informar al personal sobre sus deberes mínimos de seguridad y protección de datos pág. 23

C.5.2. Reglas de navegación segura pág. 31

  • Análisis de riesgos en el documento de seguridad:

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 60

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 5. Realizar el Análisis de Riesgos de los Datos Personales pág. 17

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas  2.3 Los riesgos a los que están expuestos los datos personales pág. 6

Metodología de Análisis de Riesgo BAA

ISO 31000

ISO/IEC 27005

Guía práctica de Análisis de riesgos en los tratamientos de Datos Personales sujetos al RGPD

  • Análisis de brecha en el documento de seguridad:

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 61

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 6. Identificación de las medidas de seguridad y Análisis de Brecha    pág. 21

Anexo D. Ejemplos de Controles de Seguridad

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Análisis de brecha pág. 33

Tabla de equivalencia funcional entre estándares de seguridad y la LFPDPPP, su Reglamento y las Recomendaciones en materia de seguridad de datos personales

Guía para el Borrado Seguro de Datos Personales

NIST SP 800-53 (Rev. 4) Security Controls

ISO/IEC 27001

ISO/IEC 27002

  • Plan de trabajo en el documento de seguridad:

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 62

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales

Plan de Trabajo para la Implementación de las Medidas de Seguridad Faltantes   pág. 24

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Etapa 3. Plan de trabajo pág. 36

  • Mecanismos de monitoreo y revisión de medidas de seguridad:

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 63

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 8. Revisiones y Auditoría   pág. 29

Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Etapa 4. Mejora continua pág. 40

  • Programa general de capacitación en el documento de seguridad:

Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 64

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Capacitación   pág. 33

Plataforma de cursos en línea https://cevifaipublica.inai.org.mx/

MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa

Ponte en contacto conmigo.

Artículos relacionados

Sistema de Gestión de Datos Personales
LFPDPPP

Sistema de Gestión de Datos Personales

  • enero 31, 2018
Lo que una política de datos personales puede hacer por tu organización
LFPDPPP

Lo que una política de datos personales puede hacer por tu organización

  • enero 31, 2018
El plan de trabajo para datos personales
LFPDPPP

El plan de trabajo para datos personales

  • enero 31, 2018
Lo que no puede faltar en tu inventario de datos personales
LFPDPPP

Lo que no puede faltar en tu inventario de datos personales

  • enero 31, 2018
¿Cómo definir las funciones y obligaciones de quienes tratan los datos personales?
LFPDPPP

¿Cómo definir las funciones y obligaciones de quienes tratan los datos personales?

  • enero 31, 2018
4 Pasos para el análisis de brecha
LFPDPPP

4 Pasos para el análisis de brecha

  • enero 31, 2018