Capitulo 16 - Marco legal, regulatorio y normativo скачать в хорошем качестве

Capitulo 16 - Marco legal, regulatorio y normativo

Tema: Gobernanza de seguridad de la información Capitulo 16 - Marco legal, regulatorio y normativo Redes Sociales: [email protected] https://shows.acast.com/blueteam-sin-...   / blue-team-smi   https://x.com/blueteam_smi    / @blueteamsmi   Donativo: https://buymeacoffee.com/btsmi 1. Definiciones Marco Legal: Leyes obligatorias como el GDPR, que definen derechos y obligaciones en protección de datos. Marco Regulatorio: Normas secundarias que detallan procedimientos y sanciones. Marco Normativo: Estándares y buenas prácticas (ISO, NIST, COBIT), usados para auditorías y gestión de riesgos. 2. Marco Legal en Europa GDPR: Reglamento general europeo sobre protección de datos. Principios: licitud, minimización, exactitud, conservación limitada, confidencialidad. Derechos: acceso, rectificación, supresión, portabilidad, oposición. ePrivacy Directive: Complementa al GDPR, regulando comunicaciones electrónicas (cookies, metadatos, spam). DORA: Normativa obligatoria desde 2025 para entidades financieras y proveedores TIC críticos. Requiere gobernanza de resiliencia digital, pruebas de estrés y gestión de terceros. eIDAS y eIDAS 2.0: Marco para firmas electrónicas y carteras de identidad digital interoperables. 3. Marco Legal en Latinoamérica Brasil (LGPD): Inspirada en el GDPR, aplica a datos tratados en Brasil o relativos a brasileños. Derechos: acceso, corrección, portabilidad, eliminación. Supervisada por la ANPD. México (LFPDPPP y GLPPDPOS): Leyes para el sector privado y público, con derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), y supervisión por el INAI. Argentina (Ley 25.326): Reconoce el habeas data. Exige registro de bases y permite auditorías por la DNPDP. Colombia (Ley 1581/2012): Derechos similares al GDPR. La SIC supervisa y puede aplicar multas o suspensiones. Chile (Ley 19.628 y Ley 21.719): Marco actualizado en 2024. Crea la Agencia de Protección de Datos. Establece medidas de seguridad y controles para transferencias internacionales. 4. Normas y Estándares Internacionales ISO/IEC 27001: Establece sistemas de gestión de seguridad de la información con enfoque basado en riesgos (CIA: Confidencialidad, Integridad y Disponibilidad). NIST CSF: Framework basado en funciones (Identificar, Proteger, Detectar, Responder, Recuperar), adaptable a cualquier organización. Esquema Nacional de Seguridad (España): Obligatorio para el sector público, incluye categorización de sistemas y auditorías. Guías ENISA: Manuales y guías técnicas para gobiernos y empresas, destacando amenazas, cumplimiento de NIS2 y resiliencia. 5. Sector Público vs. Privado En Latinoamérica, algunas leyes excluyen a fuerzas armadas o entes de seguridad nacional. En Europa, el GDPR permite excepciones solo por ley nacional y bajo principios de necesidad y proporcionalidad. Sanciones: El sector privado enfrenta multas económicas; el público puede tener sanciones disciplinarias o penales. 6. Gobernanza y Cumplimiento Autoridades (DPAs, EDPS, EDPB): Supervisan cumplimiento legal y asesoran sobre normativas. Roles: El DPO supervisa el cumplimiento; el responsable define fines del tratamiento; el comité de seguridad gestiona riesgos y responde a incidentes. Procesos clave: Registro de actividades, notificación de brechas en 72 h, auditorías, pruebas de penetración. 7. Retos Futuros IA Generativa: Riesgos de privacidad por generación de datos sintéticos; la UE responde con el AI Act. Ciberresiliencia: El CRA exige seguridad desde el diseño en productos digitales. Armonización en LATAM: La RIPD busca estandarizar normativas y cooperación entre países. Identidad Digital: Las Digital Identity Wallets serán obligatorias en la UE antes de 2026.