Carlos Villamizar -Riesgo y cumplimiento en la protección de datos personales
-
Upload
observatics-universidad-externado-de-colombia -
Category
Documents
-
view
218 -
download
4
description
Transcript of Carlos Villamizar -Riesgo y cumplimiento en la protección de datos personales
14 y 15 de noviembre de 2013
id18929348 pdfMachine by Broadgun Software - a great PDF writer! - a great PDF creator! - http://www.pdfmachine.com http://www.broadgun.com
Riesgo y cumplimiento en la
protección de datos personales
CARLOS VILLAMIZAR R.
CISA, CISM, CGEIT, CRISC, ISO27001 LA
Director Desarrollo de Negocios Globalsuite
Noviembre 14 y 15 de 2013
www.uexternado.edu.co 2
Quiénes somos ?
AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en
el tratamiento de su activo más importante, sus datos, su información
Experiencia en Consultoría, Implantación y auditoría de:
� Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001
(LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
� Sistemas de Gestión de Servicios TI Norma ISO 20000
(MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)
� Planes de continuidad de Negocio ISO 22301
� Sistemas de gestión para Protección de Infraestructuras Críticas (SGPIC)
� Calidad de Software, CMMI, SPICE
� Sistemas de protección de datos de carácter personal (LOPD)
� Esquema Nacional de Seguridad (ENS)
� Sistemas de Gestión de Seguridad en la Cadena de Suministro (ISO 28000)
� Gestión de Riesgos (ISO 31000)
Desarrollo de proyectos de I + D + i
Desarrollo de productos para esos servicios
Experiencia
Audisec cuenta con la experiencia de haber ejecutado la adecuación de más de 600 clientes
en España, de todos los tamaños y sectores de actividad :
�Financiero
�Servicios
�Seguros
�Sanidad
�Educación�Educación
�Administración Pública
Primera empresa en España en obtener:
�La certificación ISO 27001
�La certificación ISO 20000
�La certificación ISO 22301 de continuidad de negocio
�La certificación SPICE
Introducción
Jornada: Seguridad y Privacidad de la Información en las Ciudades Inteligentes
Noviembre 14 y 15 de 2013
www.uexternado.edu.co 5
GRC
Gobernabilidad, gestión de riesgos y cumplimiento (GRC) es el término amplio que explica el enfoque de una organización a través de estas tres áreas estrechamente relacionadas.Las actividades de GRC son cada vez más integrados y alineados en cierta medida, con el fin de evitar conflictos, medida, con el fin de evitar conflictos, superposiciones inútiles y vacíos. Si bien interpretado de manera diferente en diferentes organizaciones, GRC normalmente abarca actividades tales como el gobierno corporativo, la gestión de riesgo empresarial (ERM) y el cumplimiento de las empresas con las leyes y reglamentos aplicables.
www.uexternado.edu.co 6
Es un conjunto de responsabilidades y prácticas ejecutada por la Junta Directiva y la altadirección (accountables) con el propósito de:
► Proveer dirección estratégica.
► Asegurar que los objetivos son alcanzados.
► Determinar los riesgos y manejarlos adecuadamente.
► Verificar que los recursos de la empresa son usados responsablemente.
Qué es Gobierno Corporativo ?
Gobierno es acerca de:
► Desempeño Mejorar la rentabilidad, eficiencia, efectividad y crecimiento
Asociado a objetivos y metas
► Cumplimiento Adherir a las leyes, políticas internas, y requerimientos de auditoría
Asociado a Factores Críticos de éxito
CumplimientoDesempeño
www.uexternado.edu.co 7
Marcos normativos de nuestros países
ESPAÑAESPAÑA COLOMBIACOLOMBIA
� 2012: LEPD. Ley Estatutaria nº 1581 por
la que se dictan disposiciones generales
para la protección de datos personales.
� 2013: Decreto nº 1377 por el que se
reglamente parcialmente la LEPD.
� 1992: LORTAD. Ley Orgánica de
Regulación del Tratamiento
Automatizado de Datos de Carácter
Personal.
� 1999: LOPD. Ley Orgánica de Protección
de Datos (automatizados y no).
� 2007: RLOPD. Reglamento de Desarrollo
de la LOPD.
20 años de existencia de normativa de aplicación dan a Audisec el bagaje y
experiencias necesarios para conocer el mercado y presentir las necesidades
básicas de las empresas en los momentos iniciales de aplicación de la nueva
normativa.
www.uexternado.edu.co 8
Necesidades empresariales de cumplimiento
ESPAÑAESPAÑA COLOMBIACOLOMBIA
� 2012: entrada en vigor LEPD, primera
ley. Grado de cumplimiento:
prácticamente nulo. A la espera de
aprobación de Decreto de Desarrollo.
� 2013: entrada en vigor de normativa de
desarrollo. Grado de cumplimiento: en
� 1992: entrada en vigor 1ª Ley PD. Grado de
cumplimiento: prácticamente nulo.
� 1999: entrada en vigor 2ª Ley PD. Grado de
cumplimiento: mínimo. La PD es una obligación
legal. Gestión puntual y totalmente manual.
� 2007: entrada en vigor RLOPD. Grado de desarrollo. Grado de cumplimiento: en
ciernes.
� Situación real actual: incertidumbre,
inseguridad. Información escasa. Mismo
escenario España 1992. Necesidad de
cumplimiento por ser obligación legal.
No percepción como mejora
empresarial. NECESIDAD DE
CUMPLIMIENTO. ¿Cómo afronta?
� 2007: entrada en vigor RLOPD. Grado de
cumplimiento: aumenta interés real de
cumplimiento. Obligación legal vs oportunidad
de mejora empresarial.
� Actualidad: interés por mejorar los procesos
empresarial con el mantenimiento de un
sistema de gestión de protección de datossistema de gestión de protección de datos
basado en procesos automatizados
(herramientas de gestión).
www.uexternado.edu.co 9
Riesgos y cumplimiento de la normativa
ESPAÑAESPAÑA = COLOMBIA= COLOMBIA
RIESGOSRIESGOS
� Se garantizan los principales activos de la
compañía, su imagen y sus clientes.
� Se mejora la formación del personal y sus
procesos de producción y gestión.
� Se reduce el riesgo de cometer errores.
� Vulneración de derechos de clientes,
trabajadores, proveedores, usuarios, de la
compañía.
� Lo anterior podría implicar la aplicación de
otras consecuencias legales, reclamaciones,
CUMPLIMIENTOCUMPLIMIENTO
� Se reduce el riesgo de cometer errores.
� Se mejoran los procesos de gestión.
� Se evitan situaciones de riesgo crítico: fugaz
de datos e información, tratamientos de
información por terceros externos,
reclamaciones de usuarios, etc.
� Se evita la imposición de sanciones
económicas por incumplimientos.
otras consecuencias legales, reclamaciones,
juicios, arbitrajes, procesos contra la
compañía para restaurar derechos.
� Degradación de la imagen de la compañía a
todos los niveles, empresarial, financiero,
gestión, y ante terceros.
� Riesgo de sanciones económicas por el
incumplimiento de obligaciones legales.
www.uexternado.edu.co 10
Espíritu - Ley 1581
La privacidad es un derecho importante y por tanto, cuando alguien entregadatos, las empresas u organizaciones tienen que informarle a uno cuálesson los usos de esos datos.
Las personas tienen derecho a consultar, en todo momento, qué datos suyosse están utilizando, también puede rectificarlos, actualizarlos o incluso ase están utilizando, también puede rectificarlos, actualizarlos o incluso aque se cancelen, a que se supriman cuando los datos no son necesarios.
El derecho a la protección de datos básicamente da la capacidadde decidir a quién damos los datos, para qué los damos, aactualizarlos, rectificarlos y poder suprimirlos.
www.uexternado.edu.co 11
SancionesArt. 23 Sanciones:La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:
a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.
b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.
d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.
Tales sanciones sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.
www.uexternado.edu.co 12
Otra Sanción: daño a la imagen o a la reputación
www.uexternado.edu.co 13
http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/index-ides-idphp.php
www.uexternado.edu.co 14
GlobalLEPD
Jornada: Seguridad y Privacidad de la Información en las Ciudades Inteligentes
Noviembre 14 y 15 de 2013
www.uexternado.edu.co 15
Audisec: I+D+I
Audisec ha apostado muy fuerte por la investigación, desarrollo e innovación en seguridad de la información.
Su experiencia en el sector en España, con normativa que aplica desde hace 20 años, le ha permitido analizar
pacientemente el posicionamiento de los sujetos obligados frente a las diferentes etapas que se han ido
desarrollando.
La gestión inicial de los sistemas de protección de datos, basada en procesos completamente manuales,
resultó ser INEFICAZ. Las empresas adaptaban sus negocios a la normativa y dejaban caer en el olvido la
gestión de la protección de datos durante años, de forma que la adecuación inicial se volvía OBSOLETA y las
empresas caían en nuevos incumplimientos.
Fruto de una necesidad evidente para gestionar sistemas de gestión de protección de datos eficaces, Audisec Fruto de una necesidad evidente para gestionar sistemas de gestión de protección de datos eficaces, Audisec
persigue un doble objetivo:
� Crear productos innovadores que el mercado demanda.
� Conseguir que nuestros profesionales tengan la mejor formación para poder acometer dichos
proyectos con las máximas garantías.
Así nace GlobalLOPD, un sistema de gestión de protección de datos que no solo ayuda en la adecuación a la
normativa de protección de datos, sino en el mantenimiento y actualización del propio sistema.
En España lo usan más de 3000 empresas, de forma constante y satisfactoria.
Para Colombia, Audisec ha desarrollado GlobalLEPD.
www.uexternado.edu.co 16
GlobalLEPD : Solución integrada
GlobalLEPD®, parte del sistema GlobalSUITE®, persigue los mismos objetivos que la aplicación
que en España ya usan más de 3000 empresas, y no sólo eso, sino más:
Evitar en el mercado colombiano más de 15 años de transición y adaptación
de procesos y conseguir una rápida gestión
en el cumplimiento de las recién estrenadas normas.
www.uexternado.edu.co 17
GlobalLEPD : Solución integrada
La mala gestión empresarial, en cualquier ámbito, da lugar a incumplimientos.
Como ejemplo, PYMES Y GRANDES EMPRESAS comenzaron a gestionar sus sistemas contables a
través de herramientas de gestión que agilizaran y simplificaran los procesos.
¿Cómo puede ayudar GlobalLEPD a evitar riesgos de incumplimientos?¿Cómo puede ayudar GlobalLEPD a evitar riesgos de incumplimientos?
� Mayor control
� Cumplimiento efectivo
� Ahorro de costes
� Menor necesidad de usos de recursos
� Gestión continua
www.uexternado.edu.co 18
GlobalLEPD : Solución integrada
A través de esta presentación vamos a tratar de mostrar porque es necesario un software
como GlobalLEPD para el cumplimiento de la Ley Estatutaria de Protección de Datos y su
reglamentación de desarrollo.
Asiste.
Ejecuta. Ejecuta.
Coordina.
Es una ventaja competitiva.
www.uexternado.edu.co 19
Proyecto Protección de Datos
Planificación del Proyecto
Análisis Documental
Asesoramiento de Implantación
Análisis Jurídico/Técnico
de Requisitos
Elaboración de Documentación
www.uexternado.edu.co 20
Fase Inicial - Planificación
En la Fase Inicial, de planificación, se establecen todos los mecanismos necesarios para la
consecución con éxito del proyecto.
Cronograma.
Equipo de proyecto.
Definición formal del Alcance del proyecto.
Planificación de las reuniones.
www.uexternado.edu.co 21
Fase de Análisis y Requisitos
Análisis Jurídico/Técnico de Requisitos
Análisis exhaustivo para comprobar el grado de cumplimiento de los requisitos de la Ley de
Protección Datos y marcar el camino óptimo a seguir.
Conocimiento de los requisitos
www.uexternado.edu.co 22
Fase de Desarrollo � Elaboración Documental
Con base a las conclusiones extraídas de la fase anterior se definen, desarrollan y documentan
todos los procedimientos necesarios para conseguir cumplimiento legal con la LEPD:
Elaboración de manuales de seguridad.
Cláusulas y Anexos.
Contratos con terceros.
Identificación de tratamientos.
www.uexternado.edu.co 23
Fase de Implantación y Asesoramiento
En esta fase se explica de forma detallada la manera de llevar a la práctica todos los requisitos que
son de obligado cumplimiento.
Implantación de procesos de gestión.
Implantación de medidas de seguridad.
Formación a los responsables del proyecto.
www.uexternado.edu.co 24
GlobalLEPD : Revisión constante del cumplimiento
Mantenimiento de una estrecha relación para velar por el correcto cumplimiento de
los requisitos de la LEPD, prestando un servicio de asesoramiento continuo en materia
de protección de datos.
Resolución de dudas.
Asesoramiento continuo.
Revisiones periódicas.
Servicio legal.
Defensa jurídica.
Asistencia ante inspecciones.
www.uexternado.edu.co 25
Beneficios
Consecución de un sistema
adaptado a las necesidades
y que cumple con los
requisitos de negocio
identificados en las fases
Mejor Servicio.
Cumplimiento legal.
Servicio Seguro.
Menos incidentes y
problemas.
iniciales. Tranquilidad.
26
Porqué automatizar ?
Jornada: Seguridad y Privacidad de la Información en las Ciudades Inteligentes
Noviembre 14 y 15 de 2013
www.uexternado.edu.co 27
GlobalLEPD® es la herramienta de GlobalSUITE® con la que gestionar la adecuación y
el mantenimiento de la protección de datos de carácter personal se convierte en un
procedimiento sencillo y ágil para cualquier responsable de fichero ya que se trata de:
Una herramienta desarrollada para cumplir con el ciclo completo de implantación, Una herramienta desarrollada para cumplir con el ciclo completo de implantación,
gestión y mantenimiento de la consultoría.
Pensada para hacer y gestionar las auditoría SIN PAPELES.
Con un alto grado de usabilidad.
www.uexternado.edu.co 28
Técnicamente, GlobalLEPD® ofrece:
Una solución 100% Web, disponible desde cualquier lugar y a cualquier hora.
Su acceso se realiza a través de una conexión segura que garantiza la
confidencialidad, integridad y disponibilidad de la información.
Seguridad de la información del servicio prestado mediante certificación ISO 27001
del mismo
Mínimos requerimientos: sin instalaciones, servidores redundantes de alta
disponibilidad incluyendo backup.
Garantía de calidad de prestación del servicio mediante certificación ISO 20000.
Garantía de continuidad de prestación del servicio mediante certificación ISO
22301.
Multiplataforma, Multiempresa, Multiusuario.
: Beneficios Complementarios Funcionales
GESTIÓN GLOBAL. Integra todas las herramientas necesarias para la gestión total del sistema(Planificación, implantación, certificación, mantenimiento y auditorías)
GESTIÓN INTEGRADA. Permite gestionar todos los sistemas de la empresa integrados
GESTIÓN CONTINUA Y AUDITORÍAS. Debido a su filosofía y las herramientas que integrapermite, con un mínimo esfuerzo, la gestión continua de los sistemas y facilita de manera muypermite, con un mínimo esfuerzo, la gestión continua de los sistemas y facilita de manera muyimportante las auditorías de las mismas
IMPLANTACIÓN RÁPIDA Y SENCILLA. Facilita y guía en las labores de adecuación a las normascumpliendo rigurosamente con los requerimientos que exige la misma
FLEXIBLE, ADAPTABLE Y TOTALMENTE CONFIGURABLE. Se adapta a las necesidades concretasdel cliente o del consultor y de cualquier metodología. Se comunica con cualquier tipo deherramienta
www.uexternado.edu.co 30
HERRAMIENTA COLABORATIVA que permite al cliente acceder desde cualquier lugar y encualquier momento, para poder seguir avanzando en las tareas pendientes
CONSULTORÍA NO INVASIVA que reduce, de forma importante, la utilización de recursos delcliente
ELIMINACIÓN DE PAPEL: Integra toda la gestión documental exigida
: Beneficios Complementarios Funcionales
ELIMINACIÓN DE PAPEL: Integra toda la gestión documental exigida
CURVA DE APRENDIZAJE MÍNIMA. Usabilidad y sencillez a la hora de realizar implantacionesseguimientos y auditorias
= AHORRO: Importante Reducción de costes, tiempos y recursos
www.uexternado.edu.co 31
: Sinergias con otros Servicios
GlobalSUITE permite una entrada sencilla en el cliente� No va a quitar nada que ya exista.
� Aporta valor.
� Reduce tiempos y costes tanto internos como externos.
� Aporta más funcionalidad.
� Da una visión de negocio de los sistemas.
� Integra diversos sistemas en una plataforma centralizada.
�Mejora y complementa los sistemas existentes
32
Métricas e Indicadores. Seguimiento de la LEPD
www.uexternado.edu.co 33
: Referencias
www.uexternado.edu.co 34
�.y cientos más (algunos no nos han autorizado a publicitar su logo / marca)
Más información
Gracias
MADRID - CIUDAD REAL � BOGOTA D.C. � MEXICO D.F. - LIMA
Visítenos en nuestra web www.globalsuite.es
CARLOS VILLAMIZAR R.