foro jurídico identificación de riesgos

Seguridad de la información: Identificación de Riesgos

Seguridad de la Información (Cuarta parte)

Conforme a lo expresado en la tercera parte, las entidades gestionan los riesgos lo cual implica:

a) Identificar los elementos del riesgo y sus indicadores que explican cómo y en qué medida la entidad se puede encontrar expuesta a un incumplimiento de obligaciones.

Nombre del RiesgoPrincipio de CumplimientoÁrea de CumplimientoTipo de Evento de Riesgo
Utilización indebida de datos personales y datos personales sensiblesLey  Federal  de  Protección  de  Datos  Personales  en  Posesión  de los ParticularesSeguridad de la información   Protección de datos personales y datos personales sensibles en posesión de los particularesArtículo  19 Ley  Federal  de  Protección  de  Datos  Personales  en  Posesión  de los Particulares.-  Todo  responsable  que  lleve  a  cabo  tratamiento  de  datos  personales  deberá  establecer  y mantener  medidas  de  seguridad  administrativas,  técnicas  y  físicas  que  permitan  proteger  los  datos personales  contra  daño,  pérdida,  alteración,  destrucción o  el  uso, acceso o  tratamiento  no  autorizado.
Naturaleza
Operativa, financiera y de cumplimiento.
AlcanceArtículoEvento de RiesgoDetonante
Vulnera a las áreas de recursos humanos, compras, ventas, tesorería, contabilidad, legal y recepción, por mencionar algunas pero prácticamente afecta a toda área que trata o transfiere datos personales en la entidad.19 de la Ley  Federal  de  Protección  de  Datos  Personales  en  Posesión  de los ParticularesObtención de datos personales y datos personales sensibles cuyos titulares son partes interesadas para su tratamiento y transferencia sin ninguna medida de seguridad que garantice que no sean explotados para fines distintos a los consentidos en el aviso de privacidad.Se produce porque:   No hay restricciones de acceso.   No hay procesos documentados, roles de responsabilidad ni acciones para moderar el uso de los datos.   No hay medidas de trazabilidad para saber quién trata o transfiere datos.   La entidad no tiene medios para que los titulares ejerzan los derechos ARCO ni una estructura interna que gestione las peticiones.   No se cuenta con proveedores de servicios de seguridad de la información y seguridad informática para aplicar las medidas de seguridad.

b) Utilizar un método documentado de medición de riesgos inherentes, con información confiable, consistente y sustentada en procesos, políticas criterios, medidas y procedimientos, que establezca una relación entre indicadores cualitativos o cuantitativos y los elementos de cada riesgo valorado para su descripción a través de una escala o rango de calificación de cada indicador, la cual deberá representar la relación entre probabilidad de ocurrencia del riesgo y posible impacto.

Multa, Sanción o RiesgoProbabilidad InherenteImpacto InherenteRiesgo Inherente
Artículo  63.-  Constituyen  infracciones  a  esta  Ley,  las  siguientes  conductas  llevadas  a  cabo  por  el responsable: (…) XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;45 Es legal, económico, operacional y de reputación20

Calificación de probabilidad inherente

5 Casi seguro

4 Probable

3 Posible

2 Improbable

1 Raro

Calificación de impacto inherente

5 Catastrófico

4 Alto

3 Intermedio

2 Menor

1 Insignificante

Además, las entidades deben establecer controles para asegurar el cumplimiento de las obligaciones a su cargo, lo cual se explicará en la quinta parte de este artículo.

Te puede interesar: Mecanismos legales de protección de la información

COMPARTIR

Artículos

RELACIONADOS