Post on 13-Apr-2017
Registro Nacional de Base de Datos Conceptos y acciones para su habilitación
Jorge Javier Calderón CuéllarConsultor Senior Arnnova Consultores
Bogotá D.C. marzo 2015
Objetivos:
A partir de los requisitos planteados por el manual de registro de base de datos, Identificar las actividades practicas para complementar la gestión de bases de datos y prepararse al interior de la empresa, desde el enfoque Funcional, Administrativo y operativo.
Sugerir planes de acción para desarrollar el cumplimiento de requisitos que se materialicen según puntos clave para el Desarrollo y Gestión de las bases de datos.
Sugerir unas líneas de acción para cumplir los requisitos del decreto para el registro de las bases de datos y mejorar la gestión de los datos al interior de la empresa.
Expectativas sobre el RNBD :
Directorio público
Información Personal de
quien(es) tiene(n) relación con la
empresa
Punto de referencia para
Inspección y vigilancia para la
SIC
Herramienta para ejercer control y
protección
Marco General: Expectativas sobre el RNBD
Motivadores del proyecto del proyecto a Nivel nacional el registro se realiza para contar con un directorio publico de las bases de datos personales sujetas a tratamiento, poder monitorear la gestión de los datos personales de los ciudadanos.
El conjunto de directrices y requisitos del manual pretenden estandarizar la administración y gestión de la información de carácter personal de los ciudadanos colombianos en el desarrollo y propósitos de ejecución de su actividad económica.
Sirve de soporte para las investigaciones, control y oportunidad en la respuesta por parte de los responsables de datos hacia los titulares de los mismos, cuando sucedan controversias.
Contribuye a la evolución de un contexto empresarial, comercial y público de madurez en la gestión de la información perteneciente a los ciudadanos para generar un ambiente de transparencia y confianza para los inversionistas en su calificación del país.
Registro Nacional de Base de Datos: Marco general requisitos previos
Consideraciones y/o requisitos previos para el Registro de la(s) base(s) de datos como persona
jurídica o natural.
La empresa, legalmente constituidad esta matriculada en el registro mercantil de su camara de comercio respectiva y
ante la DIAN.
Hay un inventario de las bases de datos que gestión la empresa, y para actividades legalmente ejercidas y que la
persona natural como jurídica tiene permisos para ejercerla.
Deben asignarse los responsables al interior de la empresa para atender el registro y monitoreo de novedades.
Se presume que el responsable de la base de datos, cumple con la matricula en el registro mercantil de la cámara de Comercio vigente. Se requieren datos del registro mercantil en la cámara de comercio correspondiente. (puede que tengamos varias sucursales, con varias cámaras de comercio, se sugiere donde este la casa matriz o dirección general.
También se asume que es una Empresa legalmente constituida con actividades comerciales, legalmente registradas, cuyo ejercicio es formal.
Se deben asignar las responsabilidades planteadas en el manual de registro de base de datos, a quienes tienen responsabilidad y contacto directo con la gestión funcional y a quienes tienen la competencia y responsabilidad técnica de la base de datos para estas actividades operativas.
Registro Nacional de Base de Datos: Marco general requisitos previos
La herramienta para el registro de base de datos de la SIC.
Herra
mie
nta
RNBD
Modulo 1: Inscripción Base de Datos
Formularios de registro, actualización de
responsables, bases de datos reportadas.
Referencia y datos de Registro Cámara de Comercio
Método del Radicado para actualizar información. luego
del registro inicial
Módulo 2: Administración de Usuarios
Protocolo, Formularios de registro, actualización
Nivel Responsable
Administrador
Operativo
Esta es la herramienta
informática que esta disponible para hacer el
registro ante la SIC.
Registro de Responsables y Encargados: Ejemplo practico Registro Usuarios.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Registro de Responsables y Encargados: Usuarios ejemplo práctico
Base de datos Clientes
Rol Administrador; Gerente Comercial y/o representante legal;
Usuario Administrador
Encargado: Mercadeo masivo, Call Center, Proveedor Correo,
Proveedor Impresión,
Usuarios Operativos: bien del :Negocio o del Área responsable de la base de datos. Incluso
podrían ser del tercero.
Base de datos Proveedores
Rol Administrdor: Gerente de Compras y/o
representante legal: Usuario Administrador
Encargado: Negociador o Comprador, Tercero
responsable de selección proveedores
Usuarios Operativos: bien del :Negocio o del Área responsable de la base de datos. Incluso podrían ser del tercero.
Base de datos Colaboradore
sRol Administrador: Gerente de Talento
Humano y/o representante legal:
Usuario Administrador
Responsable o Tercero de Nomina, Responsable o tercero de Desarrollo
de Personal. Responsable Desarrollo
Personal
Usuarios Operativos: bien del :Negocio o del Área responsable de la base de datos. Incluso podrían ser del tercero.
Registro Encargados:
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Previo al registro se deben tener plenamente identificados a los responsables, el inventario de bases de datos que se realice debe arrojarnos esta información.
Se sugiere crear un documento matriz documentada resultado del mapeo e inventario de bases de datos para que sea controlado en sus versiones y contenga los encargados oficiales.
Registro Encargados: Uno a uno.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Registro Encargados: Estructura de archivo para cargue
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Registro Encargados: Implicación de las relaciones, contractuales y gestión de terceros.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Encargados
Proveedores
Área Interna
Socio Conve
nio
Contratos y
Convenios
Control y Relación Contractual
Obligación explicita
Compromiso explicito en el convenio, alcance y
responsabilidades.
Documentar, obligaciones,
responsabilidades y co-
resposabilidades
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Registro de Canales : Imágenes de la aplicación
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Registro de Canales : Imágenes de la aplicación para registro de canales.
Registro de Canales : Imágenes de registro uno a uno para canales
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Registro de Canales : Imágenes de la aplicación agregar canal
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Registro de Canales : Estructura de archivo de canales para cargue
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Registro de Canales de atención : Implicaciones y alcance infraestructura de atención y gestión
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015, elaboración conceptual propia.
Canal de Atención Cliente
- Ciudadano
Punto de atención
personalizadoUbicación, Horario,
Virtual WEB- Electrónico
PORTAL CORPORATIVO
APP MOVIL
Correo Electrónico
Telefónico
Call Center
Mensaje de texto
Escrito Medio físico tradicional
Puntos, horarios, procedimiento
Diseñar, Implementar y Coordinar, Modelo Atención,
procedimiento
Monitorear, Indicadores de Nivel de servicio para
cliente
Registro de Canales : Códigos para Identificación
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Política de Tratamiento: Comentarios para sustentar su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Política de Tratamiento: Comentarios para sustentar su registro.
Marco de acción y referencia con respecto al tratamiento de los datos personales de clientes, y terceros vinculados con la empresa mediante cualquier relación formal que
requiere utilizar sus datos con un fin especifico.
Alcance de la Política: Objetivo, Alcance, Marco legal: Propósito, Marco y
principios, Directrices para desempeño con respecto a los datos personales.
Alcance de los derechos de los
titulares según el Negocio
Implicaciones de los deberes del
responsable y encargado según el
negocio
Definiciones del concepto de tipos
de datos son claves.
Claridad sobre el tipo de tratamiento es
necesario.
Forma de Tratamiento: Comentarios para sustentar su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Manual: Aplica o puede aplicar para personas naturales, invitación a las empresas a tecnificarse, la inversión
paga los riesgos mitigados y las sanciones evitadas.
Automatizada: la automatización apoya la eficiencia, mas no mitiga todos los
riesgos, exige trabajo para mantener un alto estándar de calidad del dato. Que se
recupera en fluidez de atención y oportunidad de atención. Implica un
conjunto de metodologías, ej. Gestion de Datos, Calidad de datos entre otras.
Forma de Tratamiento: Comentarios para sustentar su registro.
Información Contenida en la Base de Datos: conjuntos de Datos según la SIC, que típicamente podrían existir en una base de datos.
Info
rmac
ión
cont
enid
a en
las b
ases
de
dato
s
Datos Generales
Datos de Identificación
Datos de Ubicación
Datos Sensibles
Datos de Contenido Socioeconómico
Otros Datos
Información contenida en la base de datos: Muestra según Aplicativo Registro Nacional de Bases de Datos
Según el contexto pueden ser datos privados.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Información contenida en la base de datos: Muestra según Aplicativo Registro Nacional de Bases de Datos
Información contenida en la base de datos: Muestra según Aplicativo Registro Nacional de Bases de Datos
Según el contexto pueden ser datos privados.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Información contenida en la base de datos: Muestra según Aplicativo Registro Nacional de Bases de Datos
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Inventario de bases de Datos 1: Implementación de Acciones Tipos de Datos.
Públicos: No es semiprivado, privado o sensible. ej. Estado civil, profesión, calidad de comerciante o servidor publico. Pueden estar en documentos públicos. Gacetas, boletines, sentencias etc.
Semiprivados: no tienen naturaleza intima, reservada ni publica, pueden interesar al titular sino a un grupo de personas o a la sociedad en general. Se requiere autorización para su tratamiento. Ej. Datos financieros y crediticios.
Privados: Solo incumben al titular y al prestador para razones exclusivas de prestación del servicios, son de reserva única del titular, ej. Ingresos, números de cuentas, datos de bienes.
Sensibles: Aquellos que afectan la intimidad del titular, como origen racial, étnico, orientación política, convicciones, religiosa o filosófica, pertenencia a sindicatos, u organizaciones sociales de derechos humanos. Salud, vida sexual y datos biométricos.
Estoy validando una clasificacion adecuada.
Fuente: Ley 1581: ; documento abc servimcoop recuperado de http://www.servimcoop.com/Proteccion_datos.pdf
Realmente somos concientes de cuántas bases de datos tenemos en la organización?
El proceso de identificación de las bases de datos debe tener el concurso y patrocinio de la alta dirección. Las sanciones por malas practicas o incumplimientos en las disposiciones y normatividad vigentes pueden recaer sobre el representante legal y siempre afectaran el Estado de resultados en dinero y el valor de la compañía.
Los gerentes de los distintos Procesos deben ser conscientes de la trascendencia de la información personal de sus clientes, en la situación de la empresa con respecto al conjunto de datos personales.
Inventario de Bases de Datos 1:
Inventario de Bases de Datos 1: Propuesta Genérica de Un plan Planeación con involucradosNegocio Principal(es) Responsable(s)Tecnología – HardwareTecnología SoftwareDesarrollo de aplicaciones.Usuarios lideres de aplicación.Gestión Documental - MEDIO FISICO.Gestión de La base de datos.
Implementación de accionesIdentificación y clasificación de la informaciónCumplimiento de los deberes de los responsables, ExplícitosComunicación con el publico cliente.Identificación de sujetos responsables – operativos
ProcedimientosElaboración o validación y actualización de protocolos ya existentes.Mantenimiento y Calidad de la información.Seguridad de datos e Información.Definición de permanencia del dato y su retención posterior. Seguimiento a niveles de calidad del atención y de servicio.
Inventario de Bases de Datos 1: acciones de planeación
Acciones de la planeación
Identificación Sistemas de Información
Aplicaciones de cliente
Proveedores
Nomina
Estructuras
Identificar Actividades
Ciclo de vida de la Información
Identificar puntos de actividad,
control .
Inventario de Involucrados.
Determinar Integrantes, del Negocio y TI .
Expertos.
Gestión del tiempo Elaboración de cronograma
Inventario de bases de datos con información personal de clientes, proveedores,
colaboradores.
Clasificación e identificación de datos personales, públicos, semiprivados,
privados y sensibles.
Capacitación a colaboradores del plan
en los conceptos.
Identificar listado o matriz de datos
personales, elegir un equipo o colaborador
para la labor
Homologación en todas las bases de
datos identificadas
Trabajo de mapeo y elaboración de fichas
de estructura y clasificación de los
datos
Inventario de Bases de Datos 1: Propuesta Genérica de Un plan Implementación de Acciones
Inventario de Bases de Datos 1: Reflexión hacia lo operativo - resultados ¿Realmente somos concientes de cuántas bases de datos tenemos en la
organización? Todas las bases de datos tienen un titular diferente? Concordancia clave entre los inventarios y su gestión, validar
integralmente la coherencia entre los datos. Recolectados y el tratamiento que se les dará.
Asegurar preferiblemente una sola base de datos para mejorar prevención control y seguridad.
Análisis y planeación de las operaciones para los procesos de atención a los clientes.
Es importante para la gestión ante la SIC, Conocer quién tiene la administración del correo electrónico antes mencionado, el responsable puede delegar el asunto a alguien que monitoree el correo y reporte las novedades.
Cual será el usuario y al que se enviará la clave de acceso y las notificaciones del estado y novedades del registro.
Inventario de bases de Datos 1: Implementación de Acciones
Identificación
Listado de Responsables por cada Unidad de
Negocio
Identificación y socialización de
sus responsabilidades
Firma y anexo clausula al contrato de
trabajo
Gestión de consecuencias
Proyección
Políticas de información
Capitulo Datos Personales
Aprobación y divulgación
oficiales
Elaboración o actualización de procedimientos.
Captura, creación de clientes etc.
Comunicación y divulgación
Comunicación al publico sobre los
fines. Documentos de cliente.
Apoyo de Mercadeo,
Comunicaciones, Contenido web,
Webmaster, pagina web,
Correo electrónico, físico,
Inventario de bases de Datos 1: Implementación de Acciones, captura, actualización y reclamación.
Captura
• Registro• Canales• Controles • Consentimiento -
Notificación
Actualización
• Fuentes,• Validaciones• Certificaciones• Ciclo de Mejora• Comunicación
Reclamación
• Canales• Registros• Nivel de atención• Protocolo Operativo,
marco legal.
Inventario de Bases de Datos 1: Factor Clave de Éxito
Participación TI Buenas practicas• Indispensable, participación de IT , las herramientas y practicas a un modelo de gestión de datos.
Área funcional y tecnología de Información, Integración• Interacción del área funcional y tecnológica, para asegurar atributos de la información• Desarrollo conjunto para controlar la necesidad del negocio vs. La habilitación tecnológica.
Asegurar las operacionesMetodología
• Gestión de Datos Maestros, Calidad de Datos, Seguridad de la Información• Campañas de actualización , control, auditoria y creación. Ciclo de vida del dato.
Para saber qué control y seguridad debe ejercerse Para saber cómo utilizarlos según la finalidad para la que fueron
recolectados. Para identificar niveles de seguridad y parametrizar los accesos y
funcionalidades del gestor de base de datos para permitir acceso o integración con herramientas para el desarrollo de las operaciones de la empresa.
Para poder generar procesos de actualización y depuración adecuados y pertinentes, sobre la base de datos según las necesidades funcionales.
Para controlar que las actividades de actualización control y mantenimiento se den sobre el conjunto de datos que efectivamente se ha capturado para los fines publicados y comunicados al cliente.
Inventario de Bases de Datos 1:Para qué clasificar los datos según estos tipos?
Realizar inventario con estructura, debe ser una actividad realizada cuidadosamente; debe tenerse conciencia plena y documentar las bases de datos, (sugerir un documento o ficha técnica y de estructura de la base de datos a registrar) esto mejora el control y permite mantener la evolución de la misma.
La base de datos es una estructura dinámica que evoluciona según el negocio, y los nuevos datos deben clasificarse y controlarse según la política de privacidad y los procedimientos de seguridad para estos datos.
Se requiere identificar tipos de datos, Estructura, lugar de conservación (físico e identificación Lógica)
Inventario de bases de Datos 2: Una propuesta de acción
Identificación del bases de datos en la empresa: una propuesta de matriz de identificación
NOMBRE TIPO DE DATO
ESTRUCTURA(TEXTO, NUMERO, ETC)
APLICACIONES
Número de cliente Semiprivado
Tipo identificación Publico
Numero id. PublicoNombre publicoGenero Publico
Ocupación PrivadoProfesión Semiprivado
Ingreso mensual Privado
Nacionalidad Publico
Grupo sanguíneo Privado
Estrato Privado
Edad Privado
Estado civil Semiprivado
Identificar la diferencia entre registros y titulares, al consolidar información para reportar los datos en la aplicación de la SIC.
El origen de los datos personales que se administran: Deben estar plenamente identificados e “individualizados”
Su mantenimiento y actualización requiere trabajo sistemático y permanente. Un equipo de trabajo responsable.
Es particular la gestión para cada industria, productos y servicios.
Existen estándares y buenas practicas para implementar en su mantenimiento, de forma pertinente y adecuada.
Aprovechar las actividades ya existentes para mejorar e implementar nuevas actividades para la seguridad, confiabilidad y disponibilidad de los datos.
Identificación del bases de datos en la empresa: recomendaciones de implementación
El manejo, cuidado, protección de la información se convierte en un proceso clave y critico para el éxito del control y trazabilidad de la información,
Implementación de practicas del Sistema ISO de Mejora continua apoyan la documentación de la medición, análisis y Mejora. Apoya los registros a mantener y presentar a la SIC.
Las operaciones de captura, de registro de la trazabilidad de la recepción y consentimiento, deben estar también asegurados.
Puede realizar transferencias, con documentación y contrato con el tercero que administra, en todo caso las operaciones deben estar documentadas y hacer parte integral del servicio y del contrato.
Identificación del bases de datos en la empresa: recomendaciones de implementación
Medidas de Seguridad de la Información: Implementación y su registro.
La estructura y preguntas indagan sobre la estructuración y propuesta metodológica de un proceso de seguridad de la información y calidad de datos para su disponibilidad y garantía de integridad para el titular y los interesados.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Medidas de Seguridad de la Información: Implementación y su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Los procesos de seguridad se desarrollan mas efectivamente con la implementación de un
sistema de gestión de seguridad de información o una
metodología probada al respecto
Las metodologías recorren y dan
alcance al tema técnico y humano
procedimental y actitudinal.
Medidas de Seguridad de la Información: Implementación y su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
La implementación de un sistema de gestión de información implica una visión estratégica, táctica y aplicabilidad operativa para materializar los propósitos de la intención estratégica de la gestión.
Medidas de Seguridad de la Información: Implementación y su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Las operaciones y procedimiento para el tratamiento de los datos en su ciclo de vida implica la adopción de unas buenas practicas, que requieren la participación de un equipo interdisciplinario para dar resultados en atributos de confidencialidad, integridad y disponibilidad
Medidas de Seguridad de la Información: Implementación y su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Procedimientos Integrados: La gestión de los datos en una de sus funciones implica la seguridad de los datos, que requiere el diseño según un recorrido e inventario de activos de información, y de auditoria de sistemas de información el aprovechamiento de estas técnicas para agregar valor en la conservación y mantenimiento de los datos de estas bases.
Medidas de Seguridad de la Información: Implementación y su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Política Única puede ser un buena práctica: Se pregunta reiterativamente sobre una política, para seguridad de información, seguridad de los datos, mejorar la seguridad física. Asegurar y promover el cuidado de la información, se sugiere consolidar una política que pueda estar en la gestión de los procesos de los diversos sistemas de gestión de información y metodologías para la calidad y seguridad de los datos con una estructura por capítulos.
Medidas de Seguridad de la Información: Implementación y su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Apalancamiento en las practicas existentes: Ante las preguntas reiterativas sobre las políticas de seguridad de información personal, no hay que caer en la multiplicidad de esfuerzos, se sugiere mas efectivamente implementar un programa o modelo, en el que se incluyan los datos personales y los requisitos legales, como parte de ese sistema de gestión de información y con su capitulo de calidad y seguridad de la información. Como lo proveen el ISO 27001, EL DAMA.org en sus funciones de gestión.
Medidas de seguridad de la información: Marco teórico para el plan de seguridad
Planear Especificar Habilitar Crear y
adquirirMantener
y UsarArchivar y recuperar
Eliminar - purgar
Planear Analizar Diseñar Construir Probar Desplegar Mantener
El ciclo de vida de los datos
El ciclo de vida de desarrollo de los sistemas
Fuente: The DAMA GUIDE to the Data Management Body of Knowledge: traducción propia, figura 1,2 el ciclo de vida de la información y el ciclo de vida de desarrollo de los sistemas. 2009 www.dama.org
Datos
Información
Conocimiento
Fuente: The DAMA GUIDE to the Data Management Body of Knowledge: traducción propia, figura 1,1 Data, information and knowledge. Datos, información y conocimiento. 2009 www.dama.org
Datos sobre los datos: metadatos: ayudan a establecer un contexto de los datos. Su gestión ayuda a mejorar la calidad de la información
DefiniciónFormatoMarco de tiempoRelevancia
Patrones y tendenciasRelacionesSuposiciones
Medidas de seguridad de la información: Marco teórico para el plan de seguridad.
Fuente: The DAMA GUIDE to the Data Management Body of Knowledge: traducción propia, figura 1,1 Data, information and knowledge. Datos, información y conocimiento. 2009 www.dama.org
Medidas de seguridad de la información: Marco teórico para el plan de seguridad.
Medidas de seguridad de la información:
Política: Estratégico
Directrices: táctico
Normas y procedimiento:
operacional
Objetivos: propender por la confidencialidad, integridad y disponibilidad de la información, que esta en las bases de datos , de las cuales hay datos de clientes que son personales.
Reglas Generales.
Declaración de
intenciones
Instrucciones y
preceptos puntuales.
Fuente: elaboración propia a partir de conceptos https://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad
Proceso para proyectar una política de seguridad de información. Sugerido.
Identifique los activos de información
Elabore en panorama o listado de amenazas
Evalúe los riesgos con alguno de los métodos existente
Asigne equipo y responsabilidades para Identificar y mitigarlos
Asignaciones de responsabilidades y controles.
Fuente: elaboración propia a partir de conceptos https://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad
Seguridad de Información para la base de datos: Procedimientos (algunos Ejemplos)
Definir un directorio activo y controlar los accesos
Crear un control entre los niveles de usuarios y los aplicativos
Análisis y control del log de transacciones intentos de intrusión
Asignar y retirar claves de acceso para los usuarios
Instalar los parches, correcciones, firewall,
Realizar rutinas de back up según metodologías adoptadas.
Fuente: elaboración propia a partir de conceptos https://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad
Proceso de control según el medio de acceso y conservación
Personas capacitación,
Tecnicas y tecnologia para seguridad
Protección a medios físicos
Fuente: elaboración propia a partir de conceptos https://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad
Medidas de seguridad de la información: Se sugiere un plan de seguridad:
Identificación• Diagnostico
Activos de Información
• Foco Bases de datos
Listado de Riesgos• Balance de
Controles• Definición y
calificación
Desarrollo• Implementación
de controles• Monitoreo,
seguimiento
Fuente: elaboración propia
Inventario de bases de Datos 1: Implementación de Acciones Seguridad.
Seguridad
Control al crear
Estructura de
Usuarios
Control al Utilizar
Acceso según tipo
Monitoreo Auditoría
Log transacci
ones
Fuente: elaboración propia
Algunas sugerencias sobre momentos y puntos de control para la gestión y uso de los datos.
Autorización del titular de los datos
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Tanto la forma como la autorización del titular para tratar los datos, se deben registrar y vincular a la base de datos a registrar, allí están las opciones “si/no y algunos casos” según cada una aplican los posteriores controles y validaciones.
La herramienta permite actualizar, la información según se tengan las o se deba contar autorizaciones, ellas y se genere algun error durante el registro para eliminar registros
Transferencia Internacional de Datos.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Si la empresa envía información de los clientes a otro ente o empresa fuera del país, este también es responsable. Factor clave el control y la identificación del otro responsable. El fin del tratamiento debe ser al indicado.
La información del destinatario es clave.
Transmisión Internacional de Datos.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Algunas empresas requieren información para prestar servicios que están fuera del país, aunque no se transmite la base de datos completa o los registros completos, estos si se acceden desde el exterior.
Transmisión Internacional de Datos. Imagen aplicación, consideración.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Para prestar servicios que están fuera del país, aunque no se transmite la base de datos completa o los registros completos, estos si se acceden desde el exterior.
Cesión de la base de Datos.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
En algunos casos la base de datos puede cederse completamente o en una de sus partes, es decir un conjunto de registros de clientes, para los dos casos aplica la descripción del proceso, porque la cesión esta generando otro responsable de los datos. El cual debe quedar plenamente identificado y en el documento de cesión se sugiere queden explícitamente detallados los fines para los cuales se cede, recuérdese la importancia de los fines originales, ya que si se cambian el nuevo responsable deberá proceder de conformidad con la ley.
Reporte de Novedades
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Reporte de Novedades
40 tipos y 79 subtipos de reclamos según el manual. Insumo y pauta para la preparación del servicio de atención y parametrización de las
herramientas de habilitación tecnológica.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Reporte de Incidentes de Seguridad
La aplicación para registro cuenta con el formulario para reporte de incidentes de seguridad. Que en uno u otro lugar puede liberar o comprometer a una compañía responsable de los datos. En el sentido de transparencia este es un elemento vital de la nueva normatividad. Una apuesta al autocontrol.
Conclusiones Registro Nacional de Base de Datos Marco General y Conceptos
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
• La actividad del registro de base de datos puede entenderse como la externalización y culminación del proceso interno de practicas, metodologías y costumbres sobre la gestión de los datos de la empresa en el conjunto de datos personales de los clientes, proveedores , colaboradores y todos aquellos relacionados.
• La realización de un inventario de bases de datos considerando los factores integrales que se involucran en su tratamiento hace de este plan un instrumento clave para contribuir a mejorar la gestión de la información en la empresa.
• La tecnificación y adopción de una metodología para la gestión de datos abre las posibilidades y ayuda a evolucionar la gestión de datos como una profesión indispensable para cumplir requisitos de los diversos grupos de interés.
• La relación con el gobierno luego del registro de las bases de datos requerirá de un equipo de colaboradores que en las empresas asuman estos roles o creen unos cargos especializados en la gestión de las bases de datos de las empresas.
• En aquellas empresas que no cuenten con la tecnificación, es una buena oportunidad para implementar un proyecto de esta naturaleza.
Conclusiones Registro Nacional de Base de Datos Marco General y Conceptos
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
• Los procesos de implementación de las practicas exigidas por el gobierno, requieren de recursos y frente a ello se identifican la necesidad de generar valor y obtener retorno sobre la inversión de la gestión de los datos.
• La industria de la gestión de datos ofrece una variedad de posibilidades para apoyar la gestión y la creación de valor y ventaja competitiva con el tratamiento adecuado y profesional de la información de los clientes, proveedores y personas vinculadas a la actividad comercial.
• Adicionalmente al cumplimiento de un requisito legal, puede aprovecharse la implementación del proyecto para tratamiento de datos con el propósito de generar información cada vez de mejor calidad, que apoya la gestión y competitividad de las empresas.
• El escenario de control y vigilancia que se abre para la superintendencia, obtiene una herramienta mas detallada, con alcance y instrumentos mas finos para ejercer su función.
Superindustria pide a tiendas de “apps” móviles reforzar sus políticas de privacidad: http://www.sic.gov.co/drupal/noticias/superindustria-pide-a-tiendas-de-apps-moviles-reforzar-sus-politicas-de-privacidad
http://www.sic.gov.co/drupal/noticias/superindustria-pide-a-tiendas-de-apps-moviles-reforzar-sus-politicas-de-privacidad
Protección de datos personales en el entorno digital en Asomedios: http://www.sic.gov.co/drupal/noticias/proteccion-de-datos-en-el-entorno-digital-en-asomedios
Ejemplo de aviso – anuncio de privacidad : https://www.positiva.gov.co/tramites-Servicios/habeas-data/Paginas/default.aspx datos adquiridos antes de la expedicion del decreto 1377.
Seguridad de Información: seguridad informatica: https://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad
Bibliografía y webgrafía recomendadas:
¿Preguntas?¡Gracias por su atención!
Jorge Javier Calderón CuéllarConsultor Senior Arnnova Consultores
3008900508 Bogotá D.C. Marzo 2015