presentación de powerpoint - octubre 2017 de seguridad •revisión del protocolo de atención a...
TRANSCRIPT
2. Compañía
¿Por qué Audisec?
Audisec es una compañía especializada en la implantación e
integración de procesos de mejora organizacional basados
principalmente en estándares internacionales. Audisec es la
empresa desarrolladora de GlobalSUITE®, herramienta
única a nivel mundial para la implementación de sistemas de
gestión integrados.
Audisec, durante sus más de 10 años de trayectoria, ha
desarrollado más de 1.000 proyectos de implantación de
Sistemas de Gestión dentro de los servicios que presta,
destacando el apoyo de GlobalSUITE® en todos ellos. Casi la
mitad de los proyectos de implantación ISO 27001, ISO
20000, ISO 22301 realizados en España han sido apoyados
por Audisec o GlobalSUITE®. Por tanto, podemos asegurar
que en la actualidad, Audisec y GlobalSUITE® son un
referente a nivel mundial en todos estos servicios con más
de 350 empresas certificadas en estas normas con nuestra
ayuda.
Consultoría y Auditoría GlobalSUITE®
Herramienta única a nivel mundial
para la implementación de
sistemas de gestión integrados.
I+D+i
Audisec ha apostado muy fuerte por la
Investigación, Desarrollo e Innovación
en Seguridad de la Información,
Gestión de Riesgos, Continuidad de
Negocio, Cumplimiento, etc.
2.1 Líneas principales de trabajo
Cumplimiento legal y voluntario
derivado de normas y leyes de distintos
países así como estándares
internacionales.
5. Presencia Internacional
La estrategia de expansión deGlobalSUITE® sigue en aumento y enla actualidad tenemos presenciaGlobal de manera directa o a travésde nuestros Partner, llevando a caboproyectos en AdministracionesPúblicas y Grandes Empresas ensectores como Banca, Seguros,Industria, Sector Energético, Servicioslogísticos, etc.
15.000Usuarios
2006Fundación
1000clientes
22 partners
15 países
03
07
04
ISO 27001
Sistemas de Seguridad de la
Información (SGSI-ISO/IEC 27001).
ISO 20000
Sistemas de Gestión de Servicios de
TI (SGS-ISO/IEC 20000).
Compliance Penal
Sistemas de Prevención de Delitos
(UNE 19601).
7. Catálogo de servicios
01 02ISO 31000
Gestión de Riesgos empresarial,
corporativo, financiero, etc. (ISO
31000).
RGPD - GDPRImplantación del Reglamento
General de Protección de Datos
05
ISO 22301 – ISO 27031
Sistemas de Gestión de Continuidad
de Negocio y Continuidad
Tecnológica.
06
PIC
Sistemas de Protección de
Infraestructuras Críticas (LPIC).
08
Ciberriesgo-Ciberseguridad
Auditorías periódicas
0
14
16
12
ISO 14001
Sistemas de Gestión de medio
ambiente-SGA (ISO 14001)
ISO 9001
Sistemas de gestión de calidad-
SGC (ISO 9001),
ISO 28000
Sistema de Gestión de Seguridad
en la cadena de Suministro (ISO
28000)
7. Catálogo de servicios
09
15ISO 50001
Sistemas de Gestión de Eficiencia
Energética (ISO 50001).
11
SPICE
Sistemas de Gestión Calidad de
software (ISO 15504, SPICE).
10
ENS
Esquema Nacional de Seguridad
(ENS).
13
Cuadro de mandos
Cuadro de mandos integral
(CMI-BSC)
Blanqueo de capitales
Prevención de Blanqueo de
Capitales y Financiación del
Terrorismo
8. Software GlobalSUITE®
GlobalSUITE® ayuda en la implantación, gestión, mantenimiento y despliegue de las normas, leyes y estándares internacionales
mundialmente reconocidos como ISO 22301, ISO 27001, ISO 31000, ISO 20000, Compliance, Compliance Penal, Protección de
Infraestructuras Críticas, Protección de Datos, Buenas Prácticas, Gobierno Corporativo, Balanced ScoreCard, etc.
GlobalSUITE® está integrada por herramientas específicas para los principales sistemas y normativas del mercado.
Continuidad
Business Continuity
Crisis Management
Seguridad
Information Security
Supply Chain Security
PCI-DSS
Critical Infrastructures Protection
Esquema Nacional de Seguridad
Riesgos
Risk Management
Gobierno
Service Management
Balanced ScoreCard
Quality Management
Environmental Management
OHSAS Management
CumplimientoCompliance
Compliance Penal
Data Protection (RGPD)
Data Protection (LOPD)
Data Protection (LPDP)
Data Protection (LFPDPPP)
Canal de Denuncias
Business Continuity
Data Protection
Supply Chain Security
Crisis Management PCI-DSS
Balanced Scorecard
Compliance Penal
Information Security Risk Management
Compliance
Management System
Quality Management
Esquema Nacional de Seguridad
Canal de Denuncias
Critical Infrastructures Protection
Service Management
Descripción de la empresaHospital General
Hay que plantearse, si vamos a equiparar los ficheros declarados a la agencia a los tratamientos del RGPD.
Ficheros declarados a la Agencia:
* Documentación Clínica* Investigación clínica* Gestión de recursos humanos* Nóminas* Prevención de riesgos laborales* Videovigilancia
Los medios de recogida de datos:
Interesado Medio
PacientesPágina Web: Formulario de solicitud de citasFormulario de quejas y sugerencias
PacientesAdmisión: Toma de datos en el programa de gestión hospitalaria.
Pacientes Consentimiento informado participación en programas de investigación
Pacientes, visitas, empleados, proveedores, etc.
Videovigilancia
Empleados Contrato laboral
Empleado Parte de accidente laboral
TratamientoPrincipios relativos al tratamiento
• Periodos de conservación de los datos.
• Revisión / Análisis de la licitud del tratamiento de los datos, específicamente la base legal de los mismos
Consentimiento e información
• Revisión / Análisis de la forma del consentimiento (expreso).
• Revisión / Análisis de las cláusulas informativas existentes (contenido, forma de presentación).
Derechos
• Revisión del protocolo de atención a los derechos.
• Evidencia de la atención de los derechos conforme al protocolo.
Encargados del tratamiento.
• Revisión de la existencia de contratos conforme a la normativa vigente.
Transferencias internacionales de datos
• Revisión / Análisis de los tipos de transferencia.
• Comprobación de la conformidad para la realización de las mismas.
Análisis de cada tratamiento de cumplimiento de la legislación
Es necesario analizar como se está solicitando la información y recogiendoel consentimiento actualmente.
No cambia que en el caso de datos sensibles o transferenciasinternacionales el consentimiento sea expreso (inequívoco y explícito).
Solo cambia el consentimiento para el tratamiento de datos paradecisiones automatizadas (elaboración de perfiles, toma d decisiones enbase a determinados aspectos), tiene que ser de la misma manera.
Consentimiento e información
Encargados del tratamiento
Revisión de los contratos de encargo del tratamiento, es necesario modificarlos e incluir las siguientes consideraciones:
* Objeto, duración, naturaleza y la finalidad del tratamientos* Tipo de datos personales y categorías de interesados* Obligación del encargado de tratar los datos personales únicamente siguiendo
instrucciones documentadas del responsable* Condiciones para que el responsable pueda dar su autorización previa, específica o
general, a las subcontrataciones* Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de
derechos de los interesados...
Se tendrá en cuenta que esté certificado (ISO 27001, ISO 20000, etc.)
Análisis para cada uno de los tratamientos que se identifiquen o que existan en la empresa
Evaluación del riesgo
Revisión de tratamientos
Evaluación de los tratamientos
y PIA cuando aplique
Registro de actividades del
tratamiento
Gestión del riesgo y
controles
Evaluación del riesgoA los tratamientos de escaso riesgo les aplicaremos las siguientes medidas de seguridad al menos:
Formación a los empleados en relación con el deber de secreto, el ejercicio de derechos de los afectados y comunicación de incidencias de seguridad
Medidas técnicas: IdentificaciónCopias de seguridadAntivirusActualización de SWFirewallRevisiones de vulnerabilidades, etc.
Análisis de riesgos
Para hacer un análisis de riesgos se puede utilizar cualquier metodología internacionalmente reconocida. Para ello podemos tener como referencia la norma ISO 31010 en donde una de las metodologías es la Matriz de consecuencia / probabilidad.
Para realizar el análisis de riesgos, partiremos de cada uno de los tratamientos y de ellos analizaremos que activos son los que los soportan.
Análisis de riesgos
Hardware / Edificios
Base de datos / Zonas
Aplicaciones /Papel
Tratamientos
Historia Clínica
Programa de Gestión
Aplicación
Base de datos
Servidor
CPD
Archivo en papel
Zona archivo de planta
Archivo general del Hospital
Análisis de riesgos
El listado de amenazas a aplicar a cada uno de los diferentes activos varia enfunción de la naturaleza de cada uno de los mismos.
En el caso de los tratamientos utilizaremos el listado que la agencia nosproporciona para una EIPD (Evaluación de impacto en protección de datos).
En el caso de los activos que dan soporte a los tratamientos se puedenutilizar listados de amenazas como pueden ser los de Magerit.
Medidas de carácter general
• Realización de la revisión por parte de un tercero del cumplimiento de las exigencias del RGPD
• Realización de la formación a los empleados.
• Nombramiento por la Dirección
• Comunicación AEPD
• Evaluación del cumplimiento de las aptitudes necesarias.
• Notificación de violaciones de seguridad
• Revisión del protocolo de atención a los derechos y de la atención realizada al ejercicio de derechos.
Gestión de incidencias y atención de
derechos
Roles y responsabilidades
(DPO)
Auditoría Formación