top of page

CONFIDENCIALIDAD DE LA INFORMACIÓN DE IDENTIFICACIÓN PERSONAL


Las organizaciones deben evaluar el contexto de uso y finalidad para la que la Información de Identificación Personal (PII) se recoge, almacena, utiliza, procesa y divulga. El contexto de uso puede causar que los mismos elementos de datos aplicados a diferentes fines puedan determinar distintos niveles de impacto dependiendo de su uso.


Por ejemplo, supongamos que una organización tiene dos listas que contienen los mismos campos de datos identificación personal (por ejemplo, nombre, dirección, número de teléfono). La primera lista es la gente que se suscriben a un boletín de noticias de interés general producido por la organización, y la segunda lista es la gente que trabaja encubierto en aplicación de la ley. Si se viola la confidencialidad de las listas, los posibles impactos para los individuos afectados y para la organización son significativamente diferentes para cada lista.


Por ello quería compartir con ustedes esta guía de protección publicada por NIST (SP 800-122 - Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) - Special Publication), que tiene el propósito de ayudar en la protección de la confidencialidad de la información de identificación personal (PII) en los sistemas de información.


El documento explica la importancia de proteger la confidencialidad de la información de identificación personal en el contexto de seguridad de la información y explica su relación con la privacidad mediante la información de Prácticas justas, que son los principios que inspiran la mayoría de las leyes de privacidad y las mejores prácticas de privacidad. (accesos inadecuados, uso y divulgación).


Este documento constituye una guía práctica, basada en el contexto para identificar y determinar qué nivel de protección es adecuado para cada instancia de la información de identificación personal. El documento también sugiere garantías que pueden ofrecer niveles adecuados de protección y proporciona recomendaciones para la elaboración de planes de respuesta para incidentes. Puede servir como guía para adaptar estas recomendaciones a las necesidades de cumplimiento de requisitos específicos de las diferentes Leyes de Protección de Datos Personales.

Abrazo, Fabián

Link de acceso al documento: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf

Fuente: http://csrc.nist.gov/


Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB

http://fabiandescalzo.wix.com/seguridadinformacion

https://www.linkedin.com/in/fabiandescalzo

http://www.slideshare.net/fabiandescalzo

https://twitter.com/fabiandescalzo

Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page