28 Jun itSMF México centra su 5to evento anual en la seguridad de la información y protección de datos

itSMF México centra su 5to evento anual en la seguridad de la información y protección de datos

Dándole continuidad a su labor de ser el máximo organismo portavoz de las gestión de servicios de TI en el país, el Information Technology Service Management Forum de la Ciudad de México (itSMF México) celebró su 5to evento del año, en esta oportunidad en las instalaciones de la Universidad Iberoamericana, campus Santa Fe, en donde se dieron cita profesionales y estudiantes de posgrados de carreras relacionadas a las TIC, con el propósito de profundizar sus conocimientos en temas actuales y de interés como la Ley Federal de Protección de Datos Personales (LFPDPPP) y la Seguridad de la Información desde la Perspectiva de ITIL. Presididos por Jorge Garibay, Presidente del itSMF México, así como el Mtto. Pedro Solares Soto, Coordinador de la Maestría en Administración de Servicios de Tecnología de Información de la mencionada Casa de Estudios, los expositores fueron: Dr. Manuel Ballester y Mtto. Fernando Mar, ambos catedráticos en la Universidad Iberoamericana.

Tomó inicialmente la palabra Manuel Ballester, quien habló acerca de la Ley Federal de Protección de Datos Personales en México, destacando que en materia de protección de la información existe algunos conceptos que son fundamentales como: Datos personales (información relativa a personas físicas identificadas o identificables); Responsable (persona física o jurídica, pública o privada que determina el tratamiento que le dará a los datos recibidos) y Titular (la persona física a quien le pertenecen los datos que serán objeto de tratamiento). El tratamiento de datos se debe ejecutar bajo formas legales y lícitas. Esto implica que los datos recopilados solamente deberán utilizarse para las finalidades establecidas, las cuales deben ser informadas al titular; por lo tanto si se pretende utilizar la información para otros fines hay contar con el consentimiento de la persona a quien obviamente deberá informársele acerca de dichos usos. Por principio ético y ahora normativo, solamente deben recogerse aquellos datos que sean necesarios de acuerdo a la finalidad de su recolección, así que no hay que excederse tratando de averiguar mayor cantidad de información pues se incurre en un acto desleal. Cuando se vaya a plantear la finalidad de la recopilación de los datos, es vital informar al titular acerca de:

• Identidad y domicilio del responsable que recoge la información
• Objetivo del tratamiento de los datos
• Opciones y medios que se ofrezcan para que el titular pueda limitar el uso o divulgación de sus datos
• Los medios para ejercer los derechos ARCO (Acceso, rectificación, cancelación u oposición), de conformidad con la LFPDPPP
• Las transferencias de datos que se realicen (en los casos de que así se acuerden)
• El procedimiento y medio por el cual el responsable comunicará a los titulares acerca de cambios al aviso de privacidad según la ley.

Al momento de proteger datos también hay que considerar otros puntos como:

• Clasificación de los datos conforme a su nivel de protección
• Cesión de datos a terceros
• Tratamiento de los datos por terceros
• Transferencias internacionales de datos
• Atención al ejercicio de los derechos
• Protección de los datos, medidas de seguridad a aplicar
• Tratamientos específicos de publicidad, creación de ficheros de exclusión de publicidad

Al igual que sucedió con otras legislaciones en otros países del mundo, las organizaciones en México que recopilan datos de diversa índole de personas físicas deben protegerlos y una buena práctica para su tratamiento es mediante sistemas de gestión y privacidad de datos, el cual se puede regir por la serie ISO 27000 de las mejores prácticas recomendadas para la Seguridad de la Información.

Es evidente que si una organización implementa un sistema para el manejo de la información de titulares, éste no debe ir aislado de los demás sistemas de gestión de la compañía y tiene que integrarse para que forme parte de las políticas y objetivos de la empresa y no sea simplemente una aplicación solitaria que es utilizada por unos pocos. Si bien es cierto que la implementación de un sistema de gestión no es garantía del cumplimiento de la privacidad de datos, la aplicación de las buenas prácticas de la serie ISO 27000 constituye una óptima forma de gestión de datos personales para su protección según el ordenamiento de la ley vigente en México.

Protegiendo la información desde ITIL

El Mtto Fernando Mar planteó inicialmente los retos que enfrenta la seguridad de la información en cuanto a los activos del servicio, pues generalmente se comparten a más de una unidad. Otro desafío tiene que ver con el valor y si éste es entregado justo a tiempo a través de la orquestación de varios activos de servicios. Otra fuente de riesgo proviene de las acciones o no acciones de los clientes. Ante estos retos, el Gobierno Corporativo de TI debe centralizar las estrategias de la seguridad de la información que maneja la organización y para ello: Proporciona una visión de todos los aspectos y administra todas las actividades asociadas con la seguridad de TI Da dirección estratégica en actividades de seguridad Garantiza que los recursos de seguridad de la organización son manejados con responsabilidad Garantiza que los riesgos en seguridad de la información son tratados de manera apropiada En este ámbito las organizaciones determinan Sistemas de Gestión de Seguridad de la Información (SGSI), a través de los cuales establecerán un gobierno de seguridad por el que conducirán todos los requerimientos de seguridad del negocio, las soluciones de seguridad serán ajustadas a los procesos de negocio, la inversión en seguridad de TI se alineará al perfil de riesgo del negocio y en definitiva ese manejo minucioso de la seguridad va alineado estratégicamente con los objetivos que se ha planteado la empresa.

Content & Community Manager Inteli

01/11/2012