Hosted on Acast. See acast.com/privacy for more information.
Hosted on Acast. See acast.com/privacy for more information.
Tema: Gobernanza de seguridad de la información
Capitulo 16 - Marco legal, regulatorio y normativo
Redes Sociales:
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
1. Definiciones
Marco Legal: Leyes obligatorias como el GDPR, que definen derechos y obligaciones en protección de datos.
Marco Regulatorio: Normas secundarias que detallan procedimientos y sanciones.
Marco Normativo: Estándares y buenas prácticas (ISO, NIST, COBIT), usados para auditorías y gestión de riesgos.
2. Marco Legal en Europa
GDPR: Reglamento general europeo sobre protección de datos. Principios: licitud, minimización, exactitud, conservación limitada, confidencialidad. Derechos: acceso, rectificación, supresión, portabilidad, oposición.
ePrivacy Directive: Complementa al GDPR, regulando comunicaciones electrónicas (cookies, metadatos, spam).
DORA: Normativa obligatoria desde 2025 para entidades financieras y proveedores TIC críticos. Requiere gobernanza de resiliencia digital, pruebas de estrés y gestión de terceros.
3. Marco Legal en Latinoamérica
Brasil (LGPD): Inspirada en el GDPR, aplica a datos tratados en Brasil o relativos a brasileños. Derechos: acceso, corrección, portabilidad, eliminación. Supervisada por la ANPD.
México (LFPDPPP y GLPPDPOS): Leyes para el sector privado y público, con derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), y supervisión por el INAI.
Argentina (Ley 25.326): Reconoce el habeas data. Exige registro de bases y permite auditorías por la DNPDP.
Colombia (Ley 1581/2012): Derechos similares al GDPR. La SIC supervisa y puede aplicar multas o suspensiones.
Chile (Ley 19.628 y Ley 21.719): Marco actualizado en 2024. Crea la Agencia de Protección de Datos. Establece medidas de seguridad y controles para transferencias internacionales.
4. Normas y Estándares Internacionales
ISO/IEC 27001: Establece sistemas de gestión de seguridad de la información con enfoque basado en riesgos (CIA: Confidencialidad, Integridad y Disponibilidad).
NIST CSF: Framework basado en funciones (Identificar, Proteger, Detectar, Responder, Recuperar), adaptable a cualquier organización.
Esquema Nacional de Seguridad (España): Obligatorio para el sector público, incluye categorización de sistemas y auditorías.
Guías ENISA: Manuales y guías técnicas para gobiernos y empresas, destacando amenazas, cumplimiento de NIS2 y resiliencia.
5. Sector Público vs. Privado
En Latinoamérica, algunas leyes excluyen a fuerzas armadas o entes de seguridad nacional. En Europa, el GDPR permite excepciones solo por ley nacional y bajo principios de necesidad y proporcionalidad.
Sanciones: El sector privado enfrenta multas económicas; el público puede tener sanciones disciplinarias o penales.
6. Gobernanza y Cumplimiento
Autoridades (DPAs, EDPS, EDPB): Supervisan cumplimiento legal y asesoran sobre normativas.
Roles: El DPO supervisa el cumplimiento; el responsable define fines del tratamiento; el comité de seguridad gestiona riesgos y responde a incidentes.
Procesos clave: Registro de actividades, notificación de brechas en 72 h, auditorías, pruebas de penetración.
7. Retos Futuros
IA Generativa: Riesgos de privacidad por generación de datos sintéticos; la UE responde con el AI Act.
Ciberresiliencia: El CRA exige seguridad desde el diseño en productos digitales.
Armonización en LATAM: La RIPD busca estandarizar normativas y cooperación entre países.
Identidad Digital: Las Digital Identity Wallets serán obligatorias en la UE antes de 2026.
Hosted on Acast. See acast.com/privacy for more information.