14 y 15 de noviembre de 2013

id18929348 pdfMachine by Broadgun Software - a great PDF writer! - a great PDF creator! - http://www.pdfmachine.com http://www.broadgun.com

Riesgo y cumplimiento en la

protección de datos personales

CARLOS VILLAMIZAR R.

CISA, CISM, CGEIT, CRISC, ISO27001 LA

Director Desarrollo de Negocios Globalsuite

Noviembre 14 y 15 de 2013

www.uexternado.edu.co 2

Quiénes somos ?

AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en

el tratamiento de su activo más importante, sus datos, su información

Experiencia en Consultoría, Implantación y auditoría de:

� Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001

(LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

� Sistemas de Gestión de Servicios TI Norma ISO 20000

(MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA)

� Planes de continuidad de Negocio ISO 22301

� Sistemas de gestión para Protección de Infraestructuras Críticas (SGPIC)

� Calidad de Software, CMMI, SPICE

� Sistemas de protección de datos de carácter personal (LOPD)

� Esquema Nacional de Seguridad (ENS)

� Sistemas de Gestión de Seguridad en la Cadena de Suministro (ISO 28000)

� Gestión de Riesgos (ISO 31000)

Desarrollo de proyectos de I + D + i

Desarrollo de productos para esos servicios

Experiencia

Audisec cuenta con la experiencia de haber ejecutado la adecuación de más de 600 clientes

en España, de todos los tamaños y sectores de actividad :

�Financiero

�Servicios

�Seguros

�Sanidad

�Educación�Educación

�Administración Pública

Primera empresa en España en obtener:

�La certificación ISO 27001

�La certificación ISO 20000

�La certificación ISO 22301 de continuidad de negocio

�La certificación SPICE

Introducción

Jornada: Seguridad y Privacidad de la Información en las Ciudades Inteligentes

Noviembre 14 y 15 de 2013

www.uexternado.edu.co 5

GRC

Gobernabilidad, gestión de riesgos y cumplimiento (GRC) es el término amplio que explica el enfoque de una organización a través de estas tres áreas estrechamente relacionadas.Las actividades de GRC son cada vez más integrados y alineados en cierta medida, con el fin de evitar conflictos, medida, con el fin de evitar conflictos, superposiciones inútiles y vacíos. Si bien interpretado de manera diferente en diferentes organizaciones, GRC normalmente abarca actividades tales como el gobierno corporativo, la gestión de riesgo empresarial (ERM) y el cumplimiento de las empresas con las leyes y reglamentos aplicables.

www.uexternado.edu.co 6

Es un conjunto de responsabilidades y prácticas ejecutada por la Junta Directiva y la altadirección (accountables) con el propósito de:

► Proveer dirección estratégica.

► Asegurar que los objetivos son alcanzados.

► Determinar los riesgos y manejarlos adecuadamente.

► Verificar que los recursos de la empresa son usados responsablemente.

Qué es Gobierno Corporativo ?

Gobierno es acerca de:

► Desempeño Mejorar la rentabilidad, eficiencia, efectividad y crecimiento

Asociado a objetivos y metas

► Cumplimiento Adherir a las leyes, políticas internas, y requerimientos de auditoría

Asociado a Factores Críticos de éxito

CumplimientoDesempeño

www.uexternado.edu.co 7

Marcos normativos de nuestros países

ESPAÑAESPAÑA COLOMBIACOLOMBIA

� 2012: LEPD. Ley Estatutaria nº 1581 por

la que se dictan disposiciones generales

para la protección de datos personales.

� 2013: Decreto nº 1377 por el que se

reglamente parcialmente la LEPD.

� 1992: LORTAD. Ley Orgánica de

Regulación del Tratamiento

Automatizado de Datos de Carácter

Personal.

� 1999: LOPD. Ley Orgánica de Protección

de Datos (automatizados y no).

� 2007: RLOPD. Reglamento de Desarrollo

de la LOPD.

20 años de existencia de normativa de aplicación dan a Audisec el bagaje y

experiencias necesarios para conocer el mercado y presentir las necesidades

básicas de las empresas en los momentos iniciales de aplicación de la nueva

normativa.

www.uexternado.edu.co 8

Necesidades empresariales de cumplimiento

ESPAÑAESPAÑA COLOMBIACOLOMBIA

� 2012: entrada en vigor LEPD, primera

ley. Grado de cumplimiento:

prácticamente nulo. A la espera de

aprobación de Decreto de Desarrollo.

� 2013: entrada en vigor de normativa de

desarrollo. Grado de cumplimiento: en

� 1992: entrada en vigor 1ª Ley PD. Grado de

cumplimiento: prácticamente nulo.

� 1999: entrada en vigor 2ª Ley PD. Grado de

cumplimiento: mínimo. La PD es una obligación

legal. Gestión puntual y totalmente manual.

� 2007: entrada en vigor RLOPD. Grado de desarrollo. Grado de cumplimiento: en

ciernes.

� Situación real actual: incertidumbre,

inseguridad. Información escasa. Mismo

escenario España 1992. Necesidad de

cumplimiento por ser obligación legal.

No percepción como mejora

empresarial. NECESIDAD DE

CUMPLIMIENTO. ¿Cómo afronta?

� 2007: entrada en vigor RLOPD. Grado de

cumplimiento: aumenta interés real de

cumplimiento. Obligación legal vs oportunidad

de mejora empresarial.

� Actualidad: interés por mejorar los procesos

empresarial con el mantenimiento de un

sistema de gestión de protección de datossistema de gestión de protección de datos

basado en procesos automatizados

(herramientas de gestión).

www.uexternado.edu.co 9

Riesgos y cumplimiento de la normativa

ESPAÑAESPAÑA = COLOMBIA= COLOMBIA

RIESGOSRIESGOS

� Se garantizan los principales activos de la

compañía, su imagen y sus clientes.

� Se mejora la formación del personal y sus

procesos de producción y gestión.

� Se reduce el riesgo de cometer errores.

� Vulneración de derechos de clientes,

trabajadores, proveedores, usuarios, de la

compañía.

� Lo anterior podría implicar la aplicación de

otras consecuencias legales, reclamaciones,

CUMPLIMIENTOCUMPLIMIENTO

� Se reduce el riesgo de cometer errores.

� Se mejoran los procesos de gestión.

� Se evitan situaciones de riesgo crítico: fugaz

de datos e información, tratamientos de

información por terceros externos,

reclamaciones de usuarios, etc.

� Se evita la imposición de sanciones

económicas por incumplimientos.

otras consecuencias legales, reclamaciones,

juicios, arbitrajes, procesos contra la

compañía para restaurar derechos.

� Degradación de la imagen de la compañía a

todos los niveles, empresarial, financiero,

gestión, y ante terceros.

� Riesgo de sanciones económicas por el

incumplimiento de obligaciones legales.

www.uexternado.edu.co 10

Espíritu - Ley 1581

La privacidad es un derecho importante y por tanto, cuando alguien entregadatos, las empresas u organizaciones tienen que informarle a uno cuálesson los usos de esos datos.

Las personas tienen derecho a consultar, en todo momento, qué datos suyosse están utilizando, también puede rectificarlos, actualizarlos o incluso ase están utilizando, también puede rectificarlos, actualizarlos o incluso aque se cancelen, a que se supriman cuando los datos no son necesarios.

El derecho a la protección de datos básicamente da la capacidadde decidir a quién damos los datos, para qué los damos, aactualizarlos, rectificarlos y poder suprimirlos.

www.uexternado.edu.co 11

SancionesArt. 23 Sanciones:La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.

c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.

d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

Tales sanciones sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.

www.uexternado.edu.co 12

Otra Sanción: daño a la imagen o a la reputación

www.uexternado.edu.co 13

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/index-ides-idphp.php

www.uexternado.edu.co 14

GlobalLEPD

Jornada: Seguridad y Privacidad de la Información en las Ciudades Inteligentes

Noviembre 14 y 15 de 2013

www.uexternado.edu.co 15

Audisec: I+D+I

Audisec ha apostado muy fuerte por la investigación, desarrollo e innovación en seguridad de la información.

Su experiencia en el sector en España, con normativa que aplica desde hace 20 años, le ha permitido analizar

pacientemente el posicionamiento de los sujetos obligados frente a las diferentes etapas que se han ido

desarrollando.

La gestión inicial de los sistemas de protección de datos, basada en procesos completamente manuales,

resultó ser INEFICAZ. Las empresas adaptaban sus negocios a la normativa y dejaban caer en el olvido la

gestión de la protección de datos durante años, de forma que la adecuación inicial se volvía OBSOLETA y las

empresas caían en nuevos incumplimientos.

Fruto de una necesidad evidente para gestionar sistemas de gestión de protección de datos eficaces, Audisec Fruto de una necesidad evidente para gestionar sistemas de gestión de protección de datos eficaces, Audisec

persigue un doble objetivo:

� Crear productos innovadores que el mercado demanda.

� Conseguir que nuestros profesionales tengan la mejor formación para poder acometer dichos

proyectos con las máximas garantías.

Así nace GlobalLOPD, un sistema de gestión de protección de datos que no solo ayuda en la adecuación a la

normativa de protección de datos, sino en el mantenimiento y actualización del propio sistema.

En España lo usan más de 3000 empresas, de forma constante y satisfactoria.

Para Colombia, Audisec ha desarrollado GlobalLEPD.

www.uexternado.edu.co 16

GlobalLEPD : Solución integrada

GlobalLEPD®, parte del sistema GlobalSUITE®, persigue los mismos objetivos que la aplicación

que en España ya usan más de 3000 empresas, y no sólo eso, sino más:

Evitar en el mercado colombiano más de 15 años de transición y adaptación

de procesos y conseguir una rápida gestión

en el cumplimiento de las recién estrenadas normas.

www.uexternado.edu.co 17

GlobalLEPD : Solución integrada

La mala gestión empresarial, en cualquier ámbito, da lugar a incumplimientos.

Como ejemplo, PYMES Y GRANDES EMPRESAS comenzaron a gestionar sus sistemas contables a

través de herramientas de gestión que agilizaran y simplificaran los procesos.

¿Cómo puede ayudar GlobalLEPD a evitar riesgos de incumplimientos?¿Cómo puede ayudar GlobalLEPD a evitar riesgos de incumplimientos?

� Mayor control

� Cumplimiento efectivo

� Ahorro de costes

� Menor necesidad de usos de recursos

� Gestión continua

www.uexternado.edu.co 18

GlobalLEPD : Solución integrada

A través de esta presentación vamos a tratar de mostrar porque es necesario un software

como GlobalLEPD para el cumplimiento de la Ley Estatutaria de Protección de Datos y su

reglamentación de desarrollo.

Asiste.

Ejecuta. Ejecuta.

Coordina.

Es una ventaja competitiva.

www.uexternado.edu.co 19

Proyecto Protección de Datos

Planificación del Proyecto

Análisis Documental

Asesoramiento de Implantación

Análisis Jurídico/Técnico

de Requisitos

Elaboración de Documentación

www.uexternado.edu.co 20

Fase Inicial - Planificación

En la Fase Inicial, de planificación, se establecen todos los mecanismos necesarios para la

consecución con éxito del proyecto.

Cronograma.

Equipo de proyecto.

Definición formal del Alcance del proyecto.

Planificación de las reuniones.

www.uexternado.edu.co 21

Fase de Análisis y Requisitos

Análisis Jurídico/Técnico de Requisitos

Análisis exhaustivo para comprobar el grado de cumplimiento de los requisitos de la Ley de

Protección Datos y marcar el camino óptimo a seguir.

Conocimiento de los requisitos

www.uexternado.edu.co 22

Fase de Desarrollo � Elaboración Documental

Con base a las conclusiones extraídas de la fase anterior se definen, desarrollan y documentan

todos los procedimientos necesarios para conseguir cumplimiento legal con la LEPD:

Elaboración de manuales de seguridad.

Cláusulas y Anexos.

Contratos con terceros.

Identificación de tratamientos.

www.uexternado.edu.co 23

Fase de Implantación y Asesoramiento

En esta fase se explica de forma detallada la manera de llevar a la práctica todos los requisitos que

son de obligado cumplimiento.

Implantación de procesos de gestión.

Implantación de medidas de seguridad.

Formación a los responsables del proyecto.

www.uexternado.edu.co 24

GlobalLEPD : Revisión constante del cumplimiento

Mantenimiento de una estrecha relación para velar por el correcto cumplimiento de

los requisitos de la LEPD, prestando un servicio de asesoramiento continuo en materia

de protección de datos.

Resolución de dudas.

Asesoramiento continuo.

Revisiones periódicas.

Servicio legal.

Defensa jurídica.

Asistencia ante inspecciones.

www.uexternado.edu.co 25

Beneficios

Consecución de un sistema

adaptado a las necesidades

y que cumple con los

requisitos de negocio

identificados en las fases

Mejor Servicio.

Cumplimiento legal.

Servicio Seguro.

Menos incidentes y

problemas.

iniciales. Tranquilidad.

26

Porqué automatizar ?

Jornada: Seguridad y Privacidad de la Información en las Ciudades Inteligentes

Noviembre 14 y 15 de 2013

www.uexternado.edu.co 27

GlobalLEPD® es la herramienta de GlobalSUITE® con la que gestionar la adecuación y

el mantenimiento de la protección de datos de carácter personal se convierte en un

procedimiento sencillo y ágil para cualquier responsable de fichero ya que se trata de:

Una herramienta desarrollada para cumplir con el ciclo completo de implantación, Una herramienta desarrollada para cumplir con el ciclo completo de implantación,

gestión y mantenimiento de la consultoría.

Pensada para hacer y gestionar las auditoría SIN PAPELES.

Con un alto grado de usabilidad.

www.uexternado.edu.co 28

Técnicamente, GlobalLEPD® ofrece:

Una solución 100% Web, disponible desde cualquier lugar y a cualquier hora.

Su acceso se realiza a través de una conexión segura que garantiza la

confidencialidad, integridad y disponibilidad de la información.

Seguridad de la información del servicio prestado mediante certificación ISO 27001

del mismo

Mínimos requerimientos: sin instalaciones, servidores redundantes de alta

disponibilidad incluyendo backup.

Garantía de calidad de prestación del servicio mediante certificación ISO 20000.

Garantía de continuidad de prestación del servicio mediante certificación ISO

22301.

Multiplataforma, Multiempresa, Multiusuario.

: Beneficios Complementarios Funcionales

GESTIÓN GLOBAL. Integra todas las herramientas necesarias para la gestión total del sistema(Planificación, implantación, certificación, mantenimiento y auditorías)

GESTIÓN INTEGRADA. Permite gestionar todos los sistemas de la empresa integrados

GESTIÓN CONTINUA Y AUDITORÍAS. Debido a su filosofía y las herramientas que integrapermite, con un mínimo esfuerzo, la gestión continua de los sistemas y facilita de manera muypermite, con un mínimo esfuerzo, la gestión continua de los sistemas y facilita de manera muyimportante las auditorías de las mismas

IMPLANTACIÓN RÁPIDA Y SENCILLA. Facilita y guía en las labores de adecuación a las normascumpliendo rigurosamente con los requerimientos que exige la misma

FLEXIBLE, ADAPTABLE Y TOTALMENTE CONFIGURABLE. Se adapta a las necesidades concretasdel cliente o del consultor y de cualquier metodología. Se comunica con cualquier tipo deherramienta

www.uexternado.edu.co 30

HERRAMIENTA COLABORATIVA que permite al cliente acceder desde cualquier lugar y encualquier momento, para poder seguir avanzando en las tareas pendientes

CONSULTORÍA NO INVASIVA que reduce, de forma importante, la utilización de recursos delcliente

ELIMINACIÓN DE PAPEL: Integra toda la gestión documental exigida

: Beneficios Complementarios Funcionales

ELIMINACIÓN DE PAPEL: Integra toda la gestión documental exigida

CURVA DE APRENDIZAJE MÍNIMA. Usabilidad y sencillez a la hora de realizar implantacionesseguimientos y auditorias

= AHORRO: Importante Reducción de costes, tiempos y recursos

www.uexternado.edu.co 31

: Sinergias con otros Servicios

GlobalSUITE permite una entrada sencilla en el cliente� No va a quitar nada que ya exista.

� Aporta valor.

� Reduce tiempos y costes tanto internos como externos.

� Aporta más funcionalidad.

� Da una visión de negocio de los sistemas.

� Integra diversos sistemas en una plataforma centralizada.

�Mejora y complementa los sistemas existentes

32

Métricas e Indicadores. Seguimiento de la LEPD

www.uexternado.edu.co 33

: Referencias

www.uexternado.edu.co 34

�.y cientos más (algunos no nos han autorizado a publicitar su logo / marca)

Más información

Gracias

MADRID - CIUDAD REAL � BOGOTA D.C. � MEXICO D.F. - LIMA

Visítenos en nuestra web www.globalsuite.es

CARLOS VILLAMIZAR R.

cvillamizar@globalsuite.es