Tema: Gobernanza de seguridad de la información

Capitulo 16 - Marco legal, regulatorio y normativo

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

1. Definiciones

Marco Legal: Leyes obligatorias como el GDPR, que definen derechos y obligaciones en protección de datos.

Marco Regulatorio: Normas secundarias que detallan procedimientos y sanciones.

Marco Normativo: Estándares y buenas prácticas (ISO, NIST, COBIT), usados para auditorías y gestión de riesgos.

2. Marco Legal en Europa

GDPR: Reglamento general europeo sobre protección de datos. Principios: licitud, minimización, exactitud, conservación limitada, confidencialidad. Derechos: acceso, rectificación, supresión, portabilidad, oposición.

ePrivacy Directive: Complementa al GDPR, regulando comunicaciones electrónicas (cookies, metadatos, spam).

DORA: Normativa obligatoria desde 2025 para entidades financieras y proveedores TIC críticos. Requiere gobernanza de resiliencia digital, pruebas de estrés y gestión de terceros.

3. Marco Legal en Latinoamérica

Brasil (LGPD): Inspirada en el GDPR, aplica a datos tratados en Brasil o relativos a brasileños. Derechos: acceso, corrección, portabilidad, eliminación. Supervisada por la ANPD.

México (LFPDPPP y GLPPDPOS): Leyes para el sector privado y público, con derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), y supervisión por el INAI.

Argentina (Ley 25.326): Reconoce el habeas data. Exige registro de bases y permite auditorías por la DNPDP.

Colombia (Ley 1581/2012): Derechos similares al GDPR. La SIC supervisa y puede aplicar multas o suspensiones.

Chile (Ley 19.628 y Ley 21.719): Marco actualizado en 2024. Crea la Agencia de Protección de Datos. Establece medidas de seguridad y controles para transferencias internacionales.

4. Normas y Estándares Internacionales

ISO/IEC 27001: Establece sistemas de gestión de seguridad de la información con enfoque basado en riesgos (CIA: Confidencialidad, Integridad y Disponibilidad).

NIST CSF: Framework basado en funciones (Identificar, Proteger, Detectar, Responder, Recuperar), adaptable a cualquier organización.

Esquema Nacional de Seguridad (España): Obligatorio para el sector público, incluye categorización de sistemas y auditorías.

Guías ENISA: Manuales y guías técnicas para gobiernos y empresas, destacando amenazas, cumplimiento de NIS2 y resiliencia.

5. Sector Público vs. Privado

En Latinoamérica, algunas leyes excluyen a fuerzas armadas o entes de seguridad nacional. En Europa, el GDPR permite excepciones solo por ley nacional y bajo principios de necesidad y proporcionalidad.

Sanciones: El sector privado enfrenta multas económicas; el público puede tener sanciones disciplinarias o penales.

6. Gobernanza y Cumplimiento

Autoridades (DPAs, EDPS, EDPB): Supervisan cumplimiento legal y asesoran sobre normativas.

Roles: El DPO supervisa el cumplimiento; el responsable define fines del tratamiento; el comité de seguridad gestiona riesgos y responde a incidentes.

Procesos clave: Registro de actividades, notificación de brechas en 72 h, auditorías, pruebas de penetración.

7. Retos Futuros

IA Generativa: Riesgos de privacidad por generación de datos sintéticos; la UE responde con el AI Act.

Ciberresiliencia: El CRA exige seguridad desde el diseño en productos digitales.

Armonización en LATAM: La RIPD busca estandarizar normativas y cooperación entre países.

Identidad Digital: Las Digital Identity Wallets serán obligatorias en la UE antes de 2026.

Hosted on Acast. See acast.com/privacy for more information.