Marzo de 2011

Asuntos relevantes sobre Protección de Datos Personales para 2011 Los retos que enfrentan los programas de Privacidad de la Información en un mundo sin fronteras.

Resumen de los asuntos relevantes • Reglamentos, leyes y ejecución. Históricamente, la definición y aplicación de leyes ►

de protección de datos en diferentes países ha sido heterogénea o no ha existido. Los organismos reguladores actuales han tomado acción al respecto, al buscar definir criterios homologados, abarcar geografías más amplias en la definición de leyes e imponer sanciones más estrictas. La madurez sobre este tema continuará dándose a pasos cada vez más acelerados.

• Requisitos adicionales para las notificaciones de vulneración a las medidas de seguridad. Los gobiernos alrededor del mundo elaboran y adoptan leyes que incluyen la notificación a los afectados, así como las vulneraciones a las medidas de seguridad. Las organizaciones deben adaptarse de acuerdo con su industria y en las jurisdicciones en donde operan. ► • Iniciativas de gobierno, riesgo y cumplimiento (GRC). Las organizaciones amplían las iniciativas de GRC para amalgamarlas con el gobierno y mejorar el desempeño del negocio por medio de la administración de riesgos. En la actualidad, hay un número limitado de tecnologías GRC disponibles, pero van en aumento. En 2011, veremos a las firmas de tecnología producir y actualizar los módulos que buscan abordar el monitoreo de las medidas de protección de datos adoptadas. ► • Cómputo en nube. Las organizaciones que cambian sus procesos de negocio hacia un entorno de cómputo en nube deben tener un modelo de administración de riesgos de proveedores y de manejo de relaciones con terceros robusto y que incluya temas específicos de protección de datos personales. ► • Dispositivos móviles. Medios portátiles implican información personal portátil. Tanto las organizaciones como sus colaboradores deben comprender y respetar el poder, las limitaciones y los controles técnicos de los dispositivos móviles. ► • Aumento en las inversiones. Las organizaciones aumentan sus inversiones en gobierno corporativo y en herramientas que ayudan a administrar la privacidad de la información y la protección de datos, debido en parte a los reglamentos que han surgido, pero también porque los riesgos relacionados se han incrementado. ► • Más evaluaciones de protección de datos. Consulte a los departamentos de auditoría interna para identificar las partes específicas de sus organizaciones que requieren auditorías de protección de datos más profundas y evaluaciones más exigentes. ► • Normas de presentación de información de los proveedores de servicios. Los cambios que entran en vigor en 2011 en la Declaración número 70 sobre Estándares de Auditoría, comúnmente conocida como SAS 70 (SAS, por sus siglas en inglés), le permitirá a los proveedores de servicios obtener un informe sobre el cumplimiento y control de la privacidad de la información y la protección de datos. ► • Privacidad por Diseño. La Privacidad por Diseño ha pasado de ser un concepto a convertirse en un componente esencial de la protección de datos, e indica que los organismos reguladores reconocen la importancia de integrar desde el principio la privacidad en las nuevas tecnologías y prácticas de negocio. ► • Redes sociales. Las organizaciones deben elaborar y comunicar políticas de protección de datos bien pensadas que aborden las interacciones entre los clientes, colaboradores y candidatos a posiciones vacantes en las redes sociales. ► • Expectativas cambiantes de los profesionales de la privacidad. Las certificaciones personales se vuelven cada vez más especializadas, lo cual permite que las personas se certifiquen en áreas enfocadas como seguridad de la información, regulación jurisdiccional, TI o por sector industrial.

Introducción Durante años, las fronteras fijas establecidas a través de las cuatro paredes de una oficina que resguardaba los centros de procesamiento de datos han favorecido que las compañías intenten administrar la protección de los datos que custodian. Pero en esta era en la que se puede acceder a la información en el momento que sea y en cualquier lugar, estas fronteras tradicionales desaparecen. Es un mundo nuevo, uno impulsado por la tecnología, siempre conectado, globalmente extendido y que va más allá del alcance de los enfoques convencionales de protección de datos. En los resultados de nuestra más reciente Encuesta Global de Seguridad de la Información puede verse que 81% de los ejecutivos entrevistados señalan que proteger los datos personales se ha convertido en un asunto que va de importante a sumamente importante para su organización. Esto no resulta sorprendente, ya que los incidentes ampliamente divulgados de fuga de datos o robo de identidad representan riesgos considerables para la marca y reputación de los negocios, y es un tema que en la misma encuesta recibió también una gran atención. En México, la atención al tema de protección de datos personales ha ido en aumento. No debemos olvidar que en 2010 se promulgó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y hoy en cada organización que está sujeta a cumplimiento con esta ley deberían ejecutarse las acciones iniciales para cumplir con lo que en ella se especifica, ya que sus plazos de cumplimiento señalan claramente dos momentos importantes: julio de 2011 y enero de 2012. No atenderla puede llevar a enfrentar sanciones importantes. Un tema pendiente en relación con la LFPDPPP es la emisión de su reglamento, mismo que se espera a más tardar para julio de este año. Al momento de liberar esta publicación, ha comenzado a circular una primera versión del borrador de este documento y, en conjunto con nuestra experiencia, creemos que lo que la comunidad empresarial mexicana debe esperar al respecto es: • Una autoridad (Instituto Federal de Acceso a la Información y Protección de Datos, IFAI), robustecida por asignaciones presupuestarias y por la facultad para establecer delegaciones regionales que extiendan su presencia, así como por la autorización para apoyarse en verificadores privados que refuercen su competencia. • Un fuerte impulso a los modelos de autorregulación, que facilitarán el cumplimiento con lo dispuesto por la LFPDPPP. • Una mayor interacción de México con autoridades regulatorias internacionales en materia de protección de datos. • Un mayor apoyo al desarrollo de especialistas en temas de protección de datos personales. • Un detalle más preciso en la definición de: o Principios de la LFPDPPP. o Mecanismos de mediación y conciliación. o Conceptos generales como: dato personal, dato financiero o patrimonial, bases de datos y los elementos que constituyen la esfera más íntima del titular. o Recomendaciones para la construcción de los avisos de privacidad y posibilidad de utilizar herramientas de audio y video en su definición.

Ernst & Young - México

• Una sugerencia más precisa en la conceptualización de: o El mecanismo de comunicación a los titulares sobre la vulneración de bases de datos. o El diseño de los procedimientos de ejercicio de derechos y protección de derechos. Como resultado de lo anterior, en México y en el mundo las organizaciones incrementan el monto de sus inversiones en protección de datos personales, con la intención de responder con eficacia a dos temas particulares: los requerimientos regulatorios específicos en la materia y la creciente ola de riesgos relacionados con la protección de datos personales. Sin embargo, la pregunta es: ¿invierten correctamente? Debido a que ciertas áreas de la economía global aún están en vías de recuperación, los ejecutivos mantienen esa cuestión sobre la mesa mientras buscan el equilibrio entre invertir en la protección de datos personales y asumir los niveles adecuados de riesgos para administrar los costos. Ante esta incertidumbre, lo que sí es seguro es que el tiempo sigue pasando y los compromisos de cumplimiento acortan sus plazos. En el caso de México lo hemos comentado ya, julio de 2011 y enero de 2012 traen consigo las primeras obligaciones de cumplimiento con la LFPDPPP. No deje que pase más tiempo sin tomar acción; además, considere que los avances tecnológicos seguirán su curso acelerado y las organizaciones, incluida la suya, necesitan estar listas. Mientras que los gobiernos refuerzan los reglamentos y su aplicación, la protección de datos personales necesita de una armonización global que, aunque ha madurado, hoy todavía no tenemos, porque existe en la actualidad un mosaico de cumplimientos con niveles de consistencia y armonización contra recomendaciones internacionales que varía de acuerdo con el país y de una industria a otra. Las organizaciones no pueden esperar hasta que los organismos reglamentarios mundiales lleguen a un consenso. Deben tomar acción en estos momentos para elaborar e implantar proactivamente estrategias de protección de datos personales en toda la empresa, mientras cuidan que estos concuerden con el perfil de riesgo de la organización. Al basarse en sus propias necesidades en la definición de las estrategias de protección de datos personales para impulsar el cumplimiento con regulaciones y no al revés, las organizaciones podrán cumplir con las necesidades actuales y también anticipar los retos del mañana.

Reglamentos, leyes y su aplicación A lo largo de la historia, el cumplimiento de las leyes de protección de datos personales se ha visto afectado por la falta de fuerza. Sin embargo, los reguladores en la actualidad pretenden cambiar esto al ampliar su alcance e imponer sanciones más estrictas. La ley de Tecnologías de la Información para la Salud Económica y Clínica (la Ley HITECH, por sus siglas en inglés) de 2009 es un ejemplo. Bajo ésta, los fiscales generales pueden investigar y tomar acciones contra aquellas organizaciones que no resguardan de forma adecuada la información de salud. Otro ejemplo es la LFPDPPP en México; basta ver las sanciones que su incumplimiento puede acarrear a las organizaciones para darse cuenta que es una disposición regulatoria con fuerza propia.

las organizaciones que no cumplan, y a mejorar la cooperación y coordinación entre las naciones integrantes. En anticipación a la publicación de nuevos reglamentos bajo la Directiva de Protección de Datos de la UE, varios países de la región se han dedicado a intensificar las políticas de aplicación existentes.

Veremos también que 2011 traerá consigo una perspectiva más clara y detallada sobre las disposiciones de los reglamentos que abordan el ambiente en línea que se tiene en muchos países. En la UE, la Comisión Europea se encuentra en proceso de actualizar la Directiva de Protección de Datos de la UE de 1995. Los planes para fortalecer su aplicación incluyen ayudar a las autoridades de protección de datos a investigar y demandar a

De igual forma, la UE determinó que las leyes de protección de datos de Israel, un destino importante de outsourcing para la UE, ofrecían un “nivel adecuado de protección de datos” en relación con la Directiva de Protección de Datos de la UE. Esta designación implica que los datos compartidos entre la UE e Israel ahora pueden intercambiarse con mayor libertad.

La LFPDPPP le ha servido a México, un destino de outsourcing importante, para unirse a otros 50 países en la adopción de una amplia y moderna regulación de privacidad que esté enfocada al sector privado. La LFPDPPP afectará a organizaciones mexicanas locales, pero también a muchas compañías internacionales con presencia en este país.

Preguntas a considerar • ¿Se ha mantenido al tanto sobre los reglamentos que afectan a su industria específica y sobre los datos personales a los que su organización les da tratamiento? • ¿Ya verificó si cambió la regulación en materia de protección de datos personales en la(s) jurisdicción(es) en donde opera? • ¿Ha realizado un diagnóstico de cumplimiento de su organización con las diversas regulaciones que en materia de protección de datos personales debe atender?

2



Asuntos relevantes sobre Protección de Datos Personales para 2011

Obligaciones adicionales en materia de notificaciones de vulneración Las notificaciones de vulneración a la protección de datos personales van más allá del mero cumplimiento reglamentario. Se enfocan en la transparencia, la cual ha alterado considerablemente la forma en que las organizaciones abordan la protección de datos personales. El hecho de no presentar este tipo de notificaciones ha provocado daños reputacionales y ha atraído la atención de los reguladores. En EE.UU., muchos estados adoptaron las obligaciones en cuanto a las notificaciones de vulneración que generalmente se enfocan en los identificadores sensibles y financieros. La Ley HITECH presentó obligaciones similares para la información de salud protegida. Y mientras que EE.UU. ha adoptado anticipadamente las obligaciones de las notificaciones de vulneración, estos tipos de obligaciones cobran cada vez más importancia en otras partes del mundo.

gasto relacionado con dichas vulneraciones puede conllevar a una cantidad considerable de gastos directos e indirectos para las organizaciones que operan en dicho país.

En México, la LFPDPPP especifica en su artículo 20 que las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento de datos personales y que afecten de forma significativa los derechos patrimoniales o morales de los titulares deberán ser informadas inmediatamente por el responsable al titular, a fin que este último tome las medidas pertinentes en la defensa de sus derechos. Se espera que el reglamento traiga mayor precisión en los mecanismos presentados por el artículo 20.

Las herramientas de prevención de pérdida de datos (DLP, por sus siglas en inglés) también pueden ayudar a monitorear la fuga de datos intencional o no intencional que surge dentro de una organización. En 2011, aumentará la popularidad de dichas herramientas a medida que las instituciones busquen un control técnico para limitar su exposición a los casos de vulneración. Sin embargo, para lograr un monitoreo eficaz de los datos personales y evitar que se pierdan, no bastará con solo adquirir herramientas de DLP. Para adoptarlas, es necesario considerar la política que determinará el grado en que se implementarán(por ejemplo, para detener una posible fuga o simplemente reportarla para investigarla más adelante) así como un apoyo interfuncional del liderazgo y contar con el personal necesario y entrenado para implantarlo y operarlo.

En Canadá, una enmienda a la Ley de Protección de la Información Personal y de Documentos Electrónicos (PIPEDA, por sus siglas en inglés) se empieza a integrar en el proceso reglamentario e incluye obligaciones de notificaciones de vulneración. En la UE, un reglamento de notificaciones de vulneración para la industria de telecomunicaciones entrará en vigor en 2011. Además, se espera que la revisión de la UE de la Directiva de Protección de Datos resulte en obligaciones de notificación para todos los países integrantes de la UE. Algunos países de la UE incluyen sus propias disposiciones para las notificaciones de vulneración. Por ejemplo, en el Reino Unido los reguladores crean una ley que obligará a las organizaciones a reconocer públicamente ante los reguladores cualquier incumplimiento en materia de datos y a informar a las partes afectadas.

El tema relacionado con las notificaciones de vulneración no puede abordarse sin que surja la inquietud de la “amenaza interna”. Cada vez más, las personas autorizadas para acceder y utilizar la información se encuentran en el centro de los incidentes más destacados. Este mal uso de los datos personales podría atribuirse a una falta de conciencia o a actos de intención dolosa. La capacitación y concientización son clave para abordar la revelación no intencional de información. Los controles técnicos, como las herramientas para monitorear el tráfico de información, pueden ser sumamente útiles al momento de abordar los casos más dolosos.

Al margen de la jurisdicción, las organizaciones tienen que adaptarse a las nuevas obligaciones relacionadas con las notificaciones de vulneración. Sin importar su grado de dependencia sobre los controles técnicos para evitar la pérdida de datos personales, las organizaciones deben contar con programas eficaces para detectar, abordar y resolver los casos de vulneración. También deben contar con planes de respuesta a incidentes que incluyan mecanismos de comunicación abiertos y transparentes para informar a las partes afectadas cuando sus datos se han visto comprometidos.

En Asia, Japón encabeza estos esfuerzos a través de las obligaciones en cuanto a las notificaciones de vulneración que han existido durante varios años. Al igual que con EE.UU., el

Preguntas a considerar • ¿Ha creado e implantado un plan de respuesta a incidentes para manejar los casos de vulneración a la protección de datos personales? • ¿Ha identificado las obligaciones relevantes en cuanto a las notificaciones de vulneración en la industria y jurisdicción(es) en donde opera? • ¿Ha considerado la posibilidad de adoptar una herramienta de DLP o de utilizar servicios de DLP para monitorear la red de su organización en cuanto a posibles pérdidas de datos personales?

Ernst & Young - México

3

Iniciativas de gobierno, riesgo y cumplimiento (GRC) Las organizaciones han hecho inversiones considerables en las iniciativas de GRC durante años. Pero tras la peor crisis económica desde la Gran Depresión, algunos informes señalan que las instituciones financieras por sí solas gastaban hasta 100 mil millones de dólares para mitigar los riesgos en 2010. En una encuesta de Ernst & Young de 20101, de 567 organizaciones en Europa, Medio Oriente, India y África, 69% de los participantes señalaron que dependen considerablemente de sus actividades de GRC como medida preventiva contra el fracaso. Sin embargo, 67% de los encuestados señalan que se requieren mayores esfuerzos para mejorar sus funciones de GRC. Desde una perspectiva tecnológica, el mercado para las herramientas de GRC crece y ofrece soluciones de administración de riesgos, y más específicamente, soluciones para administrar la protección de datos personales. En 2009 y 2010, las grandes compañías de tecnología ingresaron al mercado de GRC. No obstante, pocos proveedores ofrecen una solución integral de GRC, y aún menos tienen en su portafolio módulos sofisticados o de uso fácil para la administración de protección de datos personales. Esto se debe en parte a la naturaleza compleja de las obligaciones, y también a las dificultades que implica automatizar las actualizaciones clave relacionadas con la protección de datos personales. Pero mientras las grandes firmas de tecnología de GRC aún aprenden sobre la administración de protección de datos personales, algunas compañías de software especializadas, al considerar que hay una necesidad que debe satisfacerse, ingresan al mercado. Estas compañías más pequeñas buscan formas de automatizar el mapeo reglamentario y de políticas así como la incorporación de un marco que favorezca la integración

del cumplimiento y las evaluaciones de riesgo. En 2011, esperamos que las firmas de tecnología grandes y pequeñas elaboren nuevos módulos que integren la protección de datos personales al monitoreo de controles de mejor forma. Sin embargo, las herramientas de GRC no deben considerarse una solución unidimensional para administrar los riesgos. A menudo las organizaciones deben transformar por completo sus funciones de riesgo para lograr una implantación exitosa de estas herramientas. En 2011, esperamos ver que las organizaciones progresivas adopten un enfoque integrado que alinee los riesgos y los objetivos de negocio estratégicos. Esto significa modificar las inversiones de GRC para enfocarse en los riesgos importantes, e identificar las redundancias en los controles de cumplimiento dentro de la misma empresa. Al partir de este punto, las organizaciones posiblemente querrán considerar la convergencia del cumplimiento, la cual optimiza los controles de forma horizontal en lugar de vertical dentro de la organización. La convergencia de las actividades de control disminuirá la fatiga de las funciones de auditoría y la presión que ejercen las auditorías repetidas sobre los recursos. También podría ofrecer una eficiencia en costos tan buscada por las organizaciones que cuidan sus presupuestos. A medida que las organizaciones trabajen para implementar un programa de transformación de riesgos para mejorar su desempeño en materia de GRC, los profesionales de privacidad deben asegurar que las inquietudes en torno a la protección de datos personales sean una de las más altas prioridades para los líderes de riesgos y una parte integral de cualquier solución de GRC.

Preguntas a considerar • ¿Ha tomado en cuenta enfoques diferentes para monitorear los aspectos clave de su programa de protección de datos personales de manera continua? • ¿Ha evaluado soluciones de GRC que ofrecen una amplia gama de áreas para monitoreo, incluyendo protección de datos personales? • ¿Le ha solicitado módulos actualizados a su proveedor de GRC actual para poder monitorear el riesgo y cumplimiento relacionados con el tratamiento de datos personales?

1 The multi-billion dollar black hole — Is your governance, risk and compliance investment being sucked in?, encuesta de

Ernst & Young a 567 compañías en Europa, Medio Oriente, India y África, realizada durante el segundo trimestre de 2010. 4

Asuntos relevantes sobre Protección de Datos Personales para 2011

“El cómputo en nube tiene un enorme potencial social y económico. Puede ayudar a las compañías a ahorrar dinero y crear empleos. Puede aumentar la eficiencia entre los gobiernos y así servir mejor a sus ciudadanos. Asimismo, puede apoyar a las escuelas para educar mejor a sus alumnos. Sin embargo, muchos clientes potenciales consideran a las inquietudes en torno a la privacidad un impedimento considerable en la adopción de la computación en nube. Para poder asegurar que la sociedad maximice los beneficios de la computación en nube, es muy importante eliminar las barreras en torno a la privacidad. Los proveedores de servicios de computación en nube pueden dar un primer paso al fomentar la confianza de sus clientes en estos servicios. Esto pueden hacerlo al mostrar un respeto inherente por la privacidad que se refleje en prácticas de negocio transparentes y un compromiso con la responsabilidad”. Brendon Lynch, Chief Privacy Officer, Microsoft

Cómputo en nube Aunque aumenta la popularidad del cómputo en nube, muchas organizaciones aún tienen dudas con respecto a los riesgos de protección de datos y seguridad que implican trabajar con los proveedores de estos servicios. En nuestra más reciente edición de la Encuesta Global de Seguridad de la Información, el análisis de resultados mundiales nos muestra que solamente 23% de los participantes utiliza soluciones de entrega basadas en cómputo en nube; 55% señala que no tiene planes de utilizar cómputo en nube durante los próximos 12 meses. Sin embargo, de acuerdo con Gartner, esto cambiará rápidamente de 2010 a 2014, ya que menos de 10% de las compañías considerará que los temas de privacidad serán una razón para no utilizar el cómputo en nube2. Los atractivos más notables del cómputo en nube son el costo y la flexibilidad. Mientras algunas economías globales luchan por recuperarse, las organizaciones buscan nuevas formas de optimizar las operaciones y ahorrar dinero. El cómputo en nube puede reducir los costos considerablemente. Resulta especialmente atractivo para las compañías pequeñas y medianas que deciden utilizarlo para mantener su competitividad. Pero utilizar el cómputo en nube implica responsabilidades. Las organizaciones deben contar con una administración de riesgos de proveedores robusta, incluidas habilidades de presentación de información de terceros que aborden los riesgos de protección de datos personales. Por ejemplo, los servicios de cómputo en nube localizados en diferentes geografías representan desafíos reglamentarios debido a que la información personal se difunde a través de esas jurisdicciones.

En EE.UU., actualmente es más fácil requerir por la vía de un requerimiento regulatorio que se libere o revele información mientras la tiene en resguardo un tercero (como un proveedor de cómputo en nube) que si la tiene el mismo dueño. Y hay ciertas leyes como la Ley PATRIOT, la cual permite que para ciertos fines específicos el gobierno obtenga acceso a datos personales en manos de un proveedor de cómputo en nube sin que lo sepa el dueño de la información o la persona afectada. Además, conforme más compañías opten por utilizar servicios de proveedores de cómputo en nube en 2011, con mayor frecuencia necesitarán comprender con claridad sus propios requerimientos en materia de protección de datos personales a fin de poder comunicárselas adecuadamente a su proveedor. Antes de trasladar datos a la nube, las organizaciones deben analizar sus datos y elaborar políticas que aborden los riesgos relacionados tanto con los datos sensibles como con los requisitos reglamentarios. Las políticas deben abordar qué tan rápido el proveedor de cómputo en nube debe notificar a la organización de una vulneración a la seguridad, para que la organización pueda notificar a los organismos reglamentarios relevantes y a las personas afectadas. Las organizaciones también querrán aclarar temas como la aplicación de sanciones, los periodos de retención –en dónde los datos pueden o no pueden transferirse–, el acceso a los datos por parte de los administradores de la nube y la capacidad de otros de acceder a los datos para fines de investigación de mercado u otras actividades secundarias.

Preguntas a considerar • ¿Ha realizado una revisión basada en riesgos de los procesos de negocio y los datos personales relacionados que se requieren antes de poder trasladarse a un entorno de cómputo en nube, así como de los diversos niveles de protección y control que requieren? • ¿Ha revisado las restricciones contractuales y reglamentarias que podrían existir al trabajar con un proveedor de cómputo en nube, incluidas las preguntas en torno a la ubicación geográfica, retención de datos y seguridad? • ¿Ha analizado su capacidad para monitorear qué tanto se apegan sus proveedores de cómputo en nube a los términos estipulados en los acuerdos celebrados entre ustedes, incluidos aquellos en materia de protección de datos personales? 2 “Predicts 2011: Enterprises Should Not Wait to Find Solutions for Business-Critical Privacy Issues”, Gartner,

8 de noviembre de 2010, © 2010 Gartner, Inc. y/o sus Afiliados. Ernst & Young - México

5

Dispositivos móviles Computadoras portátiles, celulares, teléfonos inteligentes y minicomputadoras: en el mundo inalámbrico de hoy, hay una gran variedad de dispositivos móviles que los colaboradores de su organización, clientes y proveedores pueden utilizar para mantenerse conectados a sus bases de datos sin tener que poner un pie en su oficina. Esta clase de movilidad le ofrece enormes oportunidades a las organizaciones de aumentar su productividad. Pero hay ciertos riesgos. Los medios portátiles conducen a información personal portátil. En 2011, prevemos que habrá más reglamentos que aborden directamente el tema de la protección de datos personales en los dispositivos móviles, y de la información sensible revelada por el rastreo de geolocalización de éstos.

Cifrado

Geolocalización

Capacitación y transparencia

Cada vez más, los avances tecnológicos les permiten a las organizaciones identificar la ubicación física de un dispositivo, así como la de la persona que lo utiliza. En términos de protección de datos personales, las organizaciones deben saber en dónde poner límites en cuanto al uso de datos de localización. A nivel del personal, las organizaciones pueden llevar un control de sus colaboradores al comparar en dónde se encuentran en un determinado momento contra el lugar en donde deberían estar. A nivel de clientes, las organizaciones pueden ofrecer programas de mercadotecnia que estén basados en sus ubicaciones inmediatas. Si la empresa decide utilizar la ubicación física para rastrear a sus colaboradores o tener listas para sus clientes ofertas especiales, la transparencia es de suma importancia. Los colaboradores deben conocer las políticas en torno a la geolocalización y las herramientas de las que podrían disponer para proteger su privacidad al decidir cuánta información comparten en el dispositivo. Los clientes deben tener la oportunidad de dar su autorización antes de dejar que las organizaciones rastreen su ubicación. El consentimiento es muy importante.

Trasladar los datos implica entender y apegarse a los reglamentos de privacidad estatales, federales e internacionales que variarán de una jurisdicción a otra. Algunos le ponen énfasis al cifrado de datos personales en los dispositivos móviles (por ejemplo, el estado de Massachusetts en EE.UU.). Pero en la mayoría de los casos, el cifrado del disco duro solamente resulta útil cuando el dispositivo móvil se extravía o es robado y cuando está en modo “apagado” o de “hibernación”. No protege contra los hackers, ni protege la información que se respalda. El cifrado es una herramienta eficaz para proteger algunos datos, pero no evita los ataques y tal vez no aborda los principales riesgos de seguridad de su organización. Los beneficios que representa para las organizaciones y para sus colaboradores el hecho de poder trabajar en diferentes lugares y en diferentes husos horarios (piense en el trabajo a distancia) trae consigo mayores responsabilidades en cuanto a proteger la información personal que sus colaboradores utilizan para hacer su trabajo. Las organizaciones y sus colaboradores deben comprender y respetar las limitaciones y los controles técnicos de los dispositivos móviles. Cuando ellos utilizan dispositivos personales para el trabajo, las organizaciones podrán aplicar controles técnicos (por ejemplo, solicitar la descarga de ciertas configuraciones de base antes de permitir que se conecte un dispositivo móvil a la red de la firma) que ofrezcan visibilidad a diversos contenidos y actividades en dichos dispositivos. Sin embargo, ¿en dónde deben poner límites las organizaciones en términos de las violaciones a la privacidad personal? Las organizaciones deben asegurarse de que cuentan con políticas específicas en cuanto al uso de cada dispositivo móvil asignado, y en cuanto al grado en que se podrá monitorear los dispositivos móviles utilizados para fines de trabajo. Las organizaciones deben comunicar claramente a sus colaboradores la información que se monitorea, la forma en que se hace y las consecuencias de no apegarse a las políticas para el uso de dispositivos móviles.

Preguntas a considerar • ¿Ha considerado tanto las ventajas como los riesgos de utilizar información de geolocalización para dispositivos móviles en sus operaciones? • ¿Ha evaluado el nivel de cifrado (o la combinación de niveles) que se requiere para proteger los datos personales en los ambientes de trabajo comunes de su organización? • ¿Ha revisado sus políticas de privacidad recientemente a raíz del uso de dispositivos móviles por parte de su organización?

6

Asuntos relevantes sobre Protección de Datos Personales para 2011

Aumento en las inversiones Las organizaciones entienden la importancia de la protección de datos personales y aumentan sus inversiones en esta materia debido en parte a los reglamentos, pero también por el aumento en los riesgos. En 2011, se incrementarán y enfocarán en dos cuestiones: iniciativas de programas y controles técnicos. Las organizaciones una vez más revisarán sus estructuras de gobierno con una lupa de seguridad de la información y protección de datos personales, incluidas políticas actualizadas, nuevos procedimientos y programas de concientización; por consiguiente, reclutarán talentos. Como reacción ante la crisis económica global, muchas compañías disminuyeron sus posturas de cumplimiento y administración de riesgos. Conforme empiecen a recuperarse económicamente, y conforme aumenten los riesgos en materia de protección de datos personales, volverán a invertir en las posturas relacionadas. El aumento en el uso de herramientas de privacidad –como las soluciones de

DLP– también requerirá que se cuente con personal suficiente y competente para monitorear y responder las alertas de tecnología. Por lo que corresponde a controles técnicos, para 2011 esperamos ver más inversiones debido a que las organizaciones dependen más de éstos para administrar el tratamiento de los datos personales. Rastrear la web –con la administración de riesgos de reputación y marca en mente– es otra área en la que invertirán las organizaciones en 2011, a medida que sus colaboradores y clientes interactúen cada vez más con otras entidades, productos y servicios. Además de las tecnologías de GRC y DLP mencionadas con anterioridad, las organizaciones invertirán en soluciones de monitoreo para identificar actividades inadecuadas por parte de quienes tienen alguna responsabilidad en el tratamiento de datos personales.

“En el sector de servicios de asistencia médica, la privacidad se remonta a miles de años con el Juramento Hipocrático. Incluso en aquel entonces dicha profesión sabía que para poder brindarles asistencia médica a las personas, las interacciones entre el médico y paciente debían ser confidenciales. La privacidad fomenta la confianza, y ésta es la parte central al brindar asistencia médica. Si no existe, puede haber consecuencias negativas para la salud del paciente, ya que posiblemente no busque el tratamiento que necesita. A diferencia de otras industrias, en donde se puede compensar a una persona después de haber sido afectada por un incidente de vulneración, en el sector de servicios de asistencia médica no se puede compensar a alguien por una afectación irreversible a su privacidad. La confianza se pierde. Históricamente, esta industria se ha enfocado en el cumplimiento reglamentario. La noción de la seguridad como una disciplina independiente del cumplimiento aún es relativamente nueva. Pero a medida que los servicios de asistencia médica dependan más de la tecnología de la información como medio para brindar la asistencia, la seguridad debe incluir más que solo unos lineamientos básicos sobre el tamaño de la contraseña y sobre no compartir información de forma inadecuada. El hecho de depender cada vez más de la tecnología de la información expone a la industria de servicios de asistencia médica a nuevos riesgos que van más allá de los que tradicionalmente la acompañan. Las nuevas y rápidamente cambiantes tecnologías también han aumentado los riesgos en el sentido que una vulneración ahora puede involucrar miles de expedientes. Adaptarse continuamente a las diferentes amenazas y desarrollar las tecnologías para administrar los riesgos y asegurar la privacidad del paciente son los retos que enfrentamos en el campo de servicios de asistencia médica”. Patrick Heim, Chief Information Security Officer, Kaiser Permanente

Preguntas a considerar • ¿Ha evaluado sus necesidades de presupuesto ante el panorama cambiante de riesgo y cumplimiento? • ¿Ha revisado las posturas necesarias para un gobierno eficaz en cuanto a sus actividades de privacidad y protección de datos personales? • ¿Ha consultado a los profesionales de privacidad de su organización en cuanto a la inversión en tecnología para monitorear el tratamiento (y posible abuso) de datos personales?

Ernst & Young - México

7

Más evaluaciones de privacidad Proteger datos personales debe ser un objetivo permanente para las organizaciones. A los auditores internos constantemente se les pide que identifiquen y evalúen los controles para reducir los riesgos de vulneraciones en materia de datos. De acuerdo con la más reciente edición de nuestra Encuesta Global de Seguridad de la Información, 54% de los participantes a nivel global emplean la auditoría interna para probar los controles de la fuga de información sensible. En 2011, prevemos que este número aumentará. En el pasado, las auditorías internas han tenido un enfoque considerablemente amplio. En el futuro, estos departamentos identificarán áreas específicas de sus organizaciones para realizar auditorías de privacidad más detalladas. Esto podría incluir analizar la eficacia del monitoreo de la posible revelación de datos personales. Las inquietudes en torno a posibles abusos en el tratamiento de datos personales por parte de los colaboradores de una organización, ya sea intencional o no intencional, convierten a la privacidad en un área de riesgo que la auditoría interna no puede ignorar. Dichas auditorías se enfocan en el empleo eficaz de controles técnicos para monitorear las actividades y el uso de datos personales en las bases de datos y red de la organización.

También se deberán realizar auditorías de orientación y capacitación, ya que los incidentes relacionados con tratamientos inadecuados de datos personales podrían deberse a ignorancia o falta de conciencia en lugar de una intención real de causar daño. Los Principios de Privacidad Generalmente Aceptados (GAPP, por sus siglas en inglés) del Grupo de Trabajo de Privacidad del Instituto Estadounidense de Contadores Públicos Certificados (AICPA, por sus siglas en inglés) y del Instituto Canadiense de Contadores Certificados (CICA, por sus siglas en inglés) describen un marco integral creado para permitir la auditoría y elaboración de programas de privacidad. Los GAPP ayudan a la administración a crear políticas eficaces que aborden los riesgos de privacidad y están obteniendo un amplio reconocimiento y uso en cuanto al diseño, medición, monitoreo y auditoría de programas de privacidad. En 2011, las organizaciones podrán utilizar un nuevo modelo de madurez para autoevaluarse, con mejoras incrementales. Además, para mediados de 2011 los cambios a las normas de presentación de información para los proveedores de servicios permitirán que las organizaciones incluyan los criterios de GAPP en los informes que reciben de sus auditores

Preguntas a considerar • ¿Hay, o debería haber, auditorías internas de privacidad planeadas para 2011? • ¿El grupo de auditoría interna de su organización tiene acceso a una capacitación profesional sobre los riesgos de privacidad o protección de datos personales? •¿Ha revisado los GAPP y su posible uso para evaluar y elaborar su programa de privacidad?

8

Asuntos relevantes sobre Protección de Datos Personales para 2011

Normas de presentación de información de los proveedores de servicios Una organización que cuenta con prácticas y controles de protección de datos personales no puede cumplir con sus compromisos al respecto si los proveedores de servicios que le atienden no cuentan con prácticas y controles igual de robustos. En la más reciente edición de nuestra Encuesta Global de Seguridad de la Información, 41% de los participantes a nivel global señalaron que los proveedores de servicios y el outsourcing son algunos de sus cinco principales áreas de riesgo de TI.

• Una descripción de su sistema por parte de la administración del proveedor de servicios, una aseveración de la eficacia de sus controles y su cumplimiento con las obligaciones de privacidad de acuerdo con los GAPP.

Como resultado de lo anterior, muchas organizaciones buscan o requieren que sus proveedores de servicios obtengan una evaluación independiente de sus prácticas de seguridad de la información y protección de datos personales. Aquellas que buscan obtener dicha evaluación a menudo se conforman con los informes SAS 70, aunque éstos no pretenden abordar temas de privacidad ni de seguridad en la mayoría de los casos. El AICPA se encuentra en proceso de emitir una nueva guía sobre la presentación de información de controles de organizaciones de servicios –SOC, por sus siglas en inglés– (SOC 2, Informes sobre los Controles en una Organización de Servicios Relacionados con Seguridad, Disponibilidad, Integridad del Procesamiento, Confidencialidad y Privacidad), la cual permitirá que los proveedores de servicios presenten informes sobre sus controles de privacidad y seguridad.

• Una descripción de las pruebas realizadas por el auditor para formular su opinión y los resultados de dichas pruebas.

Un informe preparado con base en esta guía proporcionará lo siguiente:

• La opinión del auditor sobre la razonabilidad de la descripción del sistema, la eficacia de los controles y el cumplimiento con los compromisos de privacidad con base en los GAPP.

Este nuevo informe proporcionará transparencia y perspectivas en cuanto a las prácticas de seguridad de la información y protección de datos personales de los proveedores de servicio, ya que les permitirá demostrar que cuentan con prácticas eficaces al respecto. Muchos proveedores de servicios líderes esperan ansiosamente esta nueva guía, y sus clientes aún más. Para 2011, se puede esperar un mayor interés y nuevas discusiones en torno a las evaluaciones independientes de prácticas de seguridad de la información y protección de datos personales. Los proveedores de servicios deben familiarizarse con esta nueva guía, los principios y criterios de los GAPP y los controles requeridos para abordarlos. Los proveedores de servicios y sus clientes podrán seguir los avances de ésta en http://www.aicpa.org/InterestAreas/InformationTechnology.

• Una descripción del sistema del proveedor de servicios en relación con la seguridad de la información y protección de datos personales durante su ciclo de vida.

Preguntas a considerar • ¿Se ha basado en el informe de SAS 70 de sus proveedores de servicios como mecanismo para el monitoreo de seguridad de la información y protección de datos personales? • ¿Ha hablado con sus proveedores de servicios acerca de los controles sobre el uso de datos personales que espera se incluyan en los nuevos informes?

Ernst & Young - México

9

Privacidad por Diseño La Privacidad por Diseño (del término inglés Privacy by Design) cobró reconocimiento internacional cuando se firmó la resolución en la materia durante la 32.a Conferencia Internacional de Comisionados de Protección de Datos y Privacidad en Jerusalén. La resolución pretende ayudar a consolidar la privacidad de la información en el futuro, al procurarle mayor efectividad, una asignación de recursos más eficiente y que sea mejor aprovechada. El concepto de Privacidad por Diseño no es nuevo. La Dra. Ann Cavoukian, Comisionada de Información y Privacidad de Ontario, Canadá, se ha encargado de promocionar la idea desde los años noventa. El modelo ofrece un enfoque que no busca dar un mayor beneficio a la seguridad en aras de una afectación a la privacidad o viceversa. En lugar de sacrificar una por la otra, el concepto de Privacidad por Diseño sugiere que las organizaciones creen sistemas que desde sus etapas iniciales de concepción consideren a ambas, y ofrezcan de esta forma una respuesta proactiva y prescriptiva que esté integrada en el tejido propio de la organización.

La Resolución de Privacidad por Diseño busca que este concepto se convierta en un componente clave de la protección de datos personales al integrarlo a nuevas tecnologías y prácticas de negocio desde el principio, en su concepción original. La resolución también fomenta a las organizaciones a adoptar principios de Privacidad por Diseño como un medio importante para las operaciones. A nivel gubernamental, incita a los comisionados de protección de datos y privacidad a promover globalmente la Privacidad por Diseño y a incorporar sus principios en las futuras políticas y leyes de privacidad en sus jurisdicciones. En 2011, se prevé que las organizaciones debatan abiertamente la Privacidad por Diseño al mismo tiempo que discutan los nuevos productos y servicios que lanzarán al mercado. El concepto elevará la función importante que los profesionales de privacidad asumen en sus organizaciones. También aumentará su participación en las consideraciones operativas iniciales, es decir, aquellas que influyen sobre el rumbo de la organización.

“Vivimos en una era de mayor vigilancia: minería de datos, análisis de comportamiento, prácticas objetivas y discriminatorias y cómputo en nube. Si queremos conservar la privacidad que sustenta nuestra libertad, más allá de enfocarnos en la próxima década, debemos adoptar un nuevo enfoque y hacerlo en este momento.” Dra. Ann Cavoukian, Comisionado de Información y Privacidad, Provincia de Ontario, Canadá

Preguntas a considerar • ¿Ha considerado la Privacidad por Diseño como parte del ciclo de vida del desarrollo de sus sistemas (CVDS) y del ciclo de vida del desarrollo de sus procesos (CVDP)? • ¿Los profesionales de privacidad en su organización asumen una función obligatoria e integral al considerar con anticipación los avances en el negocio y los cambios que podrían afectar a los datos personales tanto de sus colaboradores como de sus clientes?

10

Asuntos relevantes sobre Protección de Datos Personales para 2011

Redes sociales Las organizaciones conviven con una nueva generación de colaboradores y clientes que nunca han conocido un mundo sin Internet, sin los medios sociales o sin el acceso a la información disponible las 24 horas del día. Tienen diferentes expectativas de su entorno laboral, en donde las líneas entre la comunicación personal, profesional y comercial se vuelven borrosas. A nivel individual, las historias en donde los perfiles de las redes sociales afectan las oportunidades de trabajo son ya legendarias. Una vez que se publican las fotos o actualizaciones de estado, Internet las vuelve accesibles para siempre. Las redes sociales han creado un reto para el concepto de privacidad acerca del derecho a ser olvidado. A pesar de los avances y el crecimiento en materia de reglamentos de protección de datos personales, a los reguladores se les dificulta abordar adecuadamente los retos específicos que conlleva el hecho de compartir información personal en las redes sociales. Muchas de las acciones tomadas por los reguladores en cuanto a dichos sitios han estado enfocadas en cuestionar sus prácticas actuales y en solicitar ciertos cambios a dichas prácticas. El derecho a ser olvidado es todavía un asunto pendiente. En el lugar de trabajo existen muchos asuntos que las compañías tienen que aclarar. Deben ser transparentes en cuanto a sus expectativas en relación con el comportamiento de sus colaboradores en los sitios de redes sociales (según aplique para la organización) y en cuanto a si dichas actividades podrán monitorearse y utilizarse para aplicar medidas disciplinarias. Los reclutadores deben contar con políticas acerca de cómo utilizar las redes sociales para buscar información sobre los candidatos y deben comunicarles estas intenciones abiertamente a los candidatos cuando lleguen a una entrevista. Comercialmente, algunas organizaciones establecen presencia en las redes sociales para promover sus productos y servicios, así como para comunicarse directamente con sus clientes.

Pero cuando una organización crea un perfil con esta finalidad, ¿cómo define y comunica sus prácticas de privacidad para la información que recopila? Y en el caso de los colaboradores de una organización que por esta vía se comunican con sus clientes de manera individual, ¿cómo pueden utilizar la información personal adicional disponible en los perfiles? Todas éstas son preguntas que deberían hacerse las compañías que utilizan las redes sociales como una herramienta de ventas o promocional. También deben estar conscientes de que se puede abusar de los sitios de redes sociales con fines fraudulentos y que la información recopilada por el sitio no está dentro del control de la organización y probablemente “perdurará” más tiempo de lo que pretende o espera. En 2011, independientemente que las organizaciones utilicen sus redes sociales para establecer contacto con los clientes o comunicarse con (o monitorear a) sus colaboradores, las políticas, la capacitación y la creación de una conciencia profunda son elementos clave. Es importante que las organizaciones elaboren y comuniquen políticas bien pensadas de protección de privacidad de la información, que aborden las interacciones entre los clientes, colaboradores y candidatos para puestos. El solo hecho de deshabilitar el uso de las redes sociales en las oficinas no es una solución completa y quizá ni siquiera adecuada. El acceso a redes sociales puede darse a través de diversos dispositivos que no están bajo control de la organización y es por eso que lo más efectivo es crear conciencia en los individuos de los riesgos de privacidad a los que la información puede enfrentarse en estos canales de comunicación. Basarse en estas políticas es especialmente importante en un entorno en donde los requisitos reglamentarios no se alinean fácilmente con la tecnología de la información y sus usos más comunes. Las campañas de concientización y la capacitación deben acompañar los cambios en las políticas.

Preguntas a considerar • ¿Ha considerado los posibles riesgos de privacidad de la información y los retos de cumplimiento antes de utilizar los sitios de redes sociales para fines comerciales? • ¿Ha reunido a sus grupos de Cumplimiento, Legal y Recursos Humanos para hablar sobre el enfoque y las políticas a seguir en cuanto al tratamiento que pudiera darse a los datos personales mantenidos en los sitios de redes sociales de los clientes, colaboradores y candidatos a integrarse a la compañía? • ¿Ha compartido claramente sus expectativas a los colaboradores de su organización respecto de la comunicación que mantienen a través de los sitios de redes sociales en donde se identifican como integrantes de su organización, o en cuanto a su interacción con colegas o clientes?

Ernst & Young - México

11

Expectativas cambiantes de los profesionales de la privacidad Con un mayor escrutinio sobre la protección de datos personales, no sorprende que la profesión de privacidad evolucione más allá del puesto del director de seguridad. Las organizaciones que tienen oficinas de privacidad reclutan y capacitan a profesionales de privacidad para enfocarse en áreas específicas del negocio. Además, más allá de ser una función sin futuro con una trayectoria profesional poco clara, los puestos de privacidad adoptan una función fundamental dentro de la organización. En 2011, las organizaciones contratarán a más profesionales de privacidad, de esa manera revertirán la disminución de personal que las oficinas de privacidad experimentaron durante la crisis económica. Las organizaciones entenderán mejor la naturaleza compleja de la protección de datos personales y sus necesidades para administrar mejor los riesgos y obligaciones de cumplimiento relacionados. Varias compañías mejoran la privacidad al fusionar la seguridad de la información, privacidad y otras funciones (recursos humanos, legal, sourcing) con las organizaciones de gobierno de riesgos de información virtual, las cuales adoptan un enfoque más holístico en cuanto a la protección de datos. Esto también fomenta un cumplimiento más proactivo con los requisitos de privacidad de la información.

Más allá de los profesionales que solo se enfocan en la privacidad de la información, muchas funciones que se relacionan con el tratamiento de datos personales por parte de las organizaciones obtendrán más conocimientos acerca de los temas de riesgos y cumplimiento. En 2011, veremos cómo las personas que trabajan en las áreas de TI, auditoría, legal, recursos humanos y mercadotecnia agregarán la protección de datos personales a sus conjuntos de habilidades. Para dar cabida a este crecimiento, en 2011 aumentará la cantidad de personas que buscan obtener certificaciones de privacidad. Por ejemplo, Ernst & Young desde hace algunos años agregó la certificación de Profesional de Privacidad de la Información (CIPP, por sus siglas en inglés) como una de las certificaciones profesionales que un colaborador debe obtener para ser promovido en nuestro grupo de Servicios de Asesoría. En 2011, esta certificación y otras se volverán más profesionales, y permitirán que las personas las reciban en áreas específicas, como reglamentación jurídica, TI o requisitos de privacidad específicos de la industria.

“A medida que evolucione la profesión de la privacidad, creo que habrá un enfoque constante sobre los riesgos reglamentarios y la tecnología de la información, pero tal vez con una dosis adicional de ética y responsabilidad social. Ya no será una función solo en donde los abogados asesoran a los profesionales de TI o en donde los expertos en tecnología de la información cuestionan las normas reglamentarias. Las tecnologías colaborativas desafían nuestras nociones de lo que se considera “bueno” –lo que se considera apropiado para nuestros hijos, nuestras comunidades y nuestra sociedad– en términos de la cantidad de información que compartimos y guardamos indefinidamente. Necesitamos líderes responsables en las empresas, el gobierno y la sociedad civil para poder abordar estas cuestiones”. Nuala O’Connor Kelly, Asesor Senior, Líder de Privacidad y Gobierno de la Información, General Electric; Ex - Presidente del Comité Ejecutivo de la Asociación Internacional de Profesionales de Privacidad (IAPP, por sus siglas en inglés).

Preguntas a considerar • ¿Ha pensando en qué funciones específicas dentro de su organización podrían beneficiarse al recibir capacitación adicional e incluso certificaciones en materia de privacidad de la información? • ¿Ha identificado los requisitos de certificación específicos que podrían requerir los profesionales que manejan datos personales en las áreas de recursos humanos, mercadotecnia, TI, auditoría interna, cumplimiento y legal en su organización?

12

Asuntos relevantes sobre Protección de Datos Personales para 2011

Conclusión En un entorno operativo que cada vez tiene menos fronteras, es fundamental proteger los datos personales. La comunicación móvil, las redes sociales y el cómputo en nube han contribuido al desvanecimiento de las fronteras del entorno empresarial tradicional. También han dando lugar a nuevos riesgos de privacidad de la información tanto para las organizaciones y sus colaboradores por igual. Los reguladores se han dado cuenta de esto. En 2011, se prevé la introducción de varios reglamentos nuevos, entre ellos la LFPDPPP en México. Además, veremos el surgimiento claro de recursos de aplicación de ley que buscarán asegurar que las organizaciones cumplan su parte. Pero según lo señalan los nuevos reglamentos para las notificaciones de vulneración que entran en vigor en diversas jurisdicciones alrededor del mundo, la protección de datos personales ya no es un ejercicio de cumplimiento. Quienes ignoren la importancia de proteger datos personales desde afuera –o desde adentro– tendrán más repercusiones que sanciones financieras. Al alto costo del incumplimiento habrá que sumarle el daño causado por los impactos a su reputación y marca. En el mundo, la sociedad reacciona ante quienes no manifiestan interés por proteger los datos personales. Los reglamentos emitidos y los riesgos derivados del tratamiento de datos personales son las dos razones principales por las que las organizaciones aumentarán sus inversiones en privacidad de la información, tanto para contratar a profesionales de privacidad certificados altamente capacitados como para definir controles técnicos que monitoreen y manejen los ataques externos y las fugas desde el interior. A medida que 2011 avance, veremos un cambio fundamental en cuanto a la forma en que las organizaciones se enfocan en la protección de datos personales, ya que éste es un tema que no puede considerarse más como una idea de último momento que se agrega al programa actual de privacidad o seguridad de la información. Como lo señala la Privacidad por Diseño, este concepto debe ser considerado desde el origen. En definitiva, el enfoque sobre la privacidad de la información mejorará el desempeño de negocio de las organizaciones líderes. Actúe hoy.

Contactos: Lic. Sylvia Martínez

Socia Asesoría Legal Tel: (55) 1101 6416 [email protected]

Lic. Carina Barrera

Gerente Asesoría Legal Tel: (222) 237 9922 Ext. 2106 [email protected] Ernst & Young - México

LI Carlos Chalico CISA, CISSP, CISM, CGEIT Socio Asesoría en TI Tel: (55) 1101 6414 [email protected]

IEC Ricardo Lira M. en C. CISSP, PMP

Gerente Senior Asesoría en TI Tel: (55) 5283 1459 [email protected] 13

Ernst & Young Aseguramiento | Asesoría | Fiscal | Transacciones Acerca de los Servicios de Asesoría de Ernst & Young La relación entre la mejora en el desempeño y los riesgos es un reto cada vez más complejo y primordial para los negocios, ya que su desempeño está directamente relacionado con el reconocimiento y manejo eficaz del riesgo. Ya sea que su enfoque sea en la transformación del negocio o en mantener los logros, contar con los asesores adecuados puede marcar la diferencia. Nuestros 18,000 profesionales en asesoría forman una de las redes globales más extensas de cualquier organización profesional, la cual integra a equipos multidisciplinarios y experimentados que trabajan con nuestros clientes para brindarles una experiencia poderosa y de gran calidad. Utilizamos metodologías comprobadas e integrales para ayudarles a alcanzar sus prioridades estratégicas y a efectuar mejoras que sean sostenibles durante un mayor plazo. Entendemos que para alcanzar su potencial como organización requiere de servicios que respondan a sus necesidades específicas; por lo tanto, le ofrecemos una amplia experiencia en el sector y profundo conocimiento sobre el tema para aplicarlos de manera proactiva y objetiva. Nos comprometemos a medir las ganancias e identificar en dónde la estrategia está proporcionando el valor que su negocio necesita. Así es como Ernst & Young marca la diferencia.

Para mayor información por favor visite www.ey.com/mx/asesoria © 2011 Mancera, S.C. Integrante de Ernst & Young Global Derechos reservados Clave ARP001 Ernst & Young se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes.