w w w . g l o b a l s u i t e . e s

PRESENTACIÓN CORPORATIVA

2. Compañía

¿Por qué Audisec?

Audisec es una compañía especializada en la implantación e

integración de procesos de mejora organizacional basados

principalmente en estándares internacionales. Audisec es la

empresa desarrolladora de GlobalSUITE®, herramienta

única a nivel mundial para la implementación de sistemas de

gestión integrados.

Audisec, durante sus más de 10 años de trayectoria, ha

desarrollado más de 1.000 proyectos de implantación de

Sistemas de Gestión dentro de los servicios que presta,

destacando el apoyo de GlobalSUITE® en todos ellos. Casi la

mitad de los proyectos de implantación ISO 27001, ISO

20000, ISO 22301 realizados en España han sido apoyados

por Audisec o GlobalSUITE®. Por tanto, podemos asegurar

que en la actualidad, Audisec y GlobalSUITE® son un

referente a nivel mundial en todos estos servicios con más

de 350 empresas certificadas en estas normas con nuestra

ayuda.

Consultoría y Auditoría GlobalSUITE®

Herramienta única a nivel mundial

para la implementación de

sistemas de gestión integrados.

I+D+i

Audisec ha apostado muy fuerte por la

Investigación, Desarrollo e Innovación

en Seguridad de la Información,

Gestión de Riesgos, Continuidad de

Negocio, Cumplimiento, etc.

2.1 Líneas principales de trabajo

Cumplimiento legal y voluntario

derivado de normas y leyes de distintos

países así como estándares

internacionales.

5. Presencia Internacional

La estrategia de expansión deGlobalSUITE® sigue en aumento y enla actualidad tenemos presenciaGlobal de manera directa o a travésde nuestros Partner, llevando a caboproyectos en AdministracionesPúblicas y Grandes Empresas ensectores como Banca, Seguros,Industria, Sector Energético, Servicioslogísticos, etc.

15.000Usuarios

2006Fundación

1000clientes

22 partners

15 países

03

07

04

ISO 27001

Sistemas de Seguridad de la

Información (SGSI-ISO/IEC 27001).

ISO 20000

Sistemas de Gestión de Servicios de

TI (SGS-ISO/IEC 20000).

Compliance Penal

Sistemas de Prevención de Delitos

(UNE 19601).

7. Catálogo de servicios

01 02ISO 31000

Gestión de Riesgos empresarial,

corporativo, financiero, etc. (ISO

31000).

RGPD - GDPRImplantación del Reglamento

General de Protección de Datos

05

ISO 22301 – ISO 27031

Sistemas de Gestión de Continuidad

de Negocio y Continuidad

Tecnológica.

06

PIC

Sistemas de Protección de

Infraestructuras Críticas (LPIC).

08

Ciberriesgo-Ciberseguridad

Auditorías periódicas

0

14

16

12

ISO 14001

Sistemas de Gestión de medio

ambiente-SGA (ISO 14001)

ISO 9001

Sistemas de gestión de calidad-

SGC (ISO 9001),

ISO 28000

Sistema de Gestión de Seguridad

en la cadena de Suministro (ISO

28000)

7. Catálogo de servicios

09

15ISO 50001

Sistemas de Gestión de Eficiencia

Energética (ISO 50001).

11

SPICE

Sistemas de Gestión Calidad de

software (ISO 15504, SPICE).

10

ENS

Esquema Nacional de Seguridad

(ENS).

13

Cuadro de mandos

Cuadro de mandos integral

(CMI-BSC)

Blanqueo de capitales

Prevención de Blanqueo de

Capitales y Financiación del

Terrorismo

8. Software GlobalSUITE®

GlobalSUITE® ayuda en la implantación, gestión, mantenimiento y despliegue de las normas, leyes y estándares internacionales

mundialmente reconocidos como ISO 22301, ISO 27001, ISO 31000, ISO 20000, Compliance, Compliance Penal, Protección de

Infraestructuras Críticas, Protección de Datos, Buenas Prácticas, Gobierno Corporativo, Balanced ScoreCard, etc.

GlobalSUITE® está integrada por herramientas específicas para los principales sistemas y normativas del mercado.

Continuidad

Business Continuity

Crisis Management

Seguridad

Information Security

Supply Chain Security

PCI-DSS

Critical Infrastructures Protection

Esquema Nacional de Seguridad

Riesgos

Risk Management

Gobierno

Service Management

Balanced ScoreCard

Quality Management

Environmental Management

OHSAS Management

CumplimientoCompliance

Compliance Penal

Data Protection (RGPD)

Data Protection (LOPD)

Data Protection (LPDP)

Data Protection (LFPDPPP)

Canal de Denuncias

Business Continuity

Data Protection

Supply Chain Security

Crisis Management PCI-DSS

Balanced Scorecard

Compliance Penal

Information Security Risk Management

Compliance

Management System

Quality Management

Esquema Nacional de Seguridad

Canal de Denuncias

Critical Infrastructures Protection

Service Management

Caso Práctico de Implantación GDPR

Descripción de la empresaHospital General

Hay que plantearse, si vamos a equiparar los ficheros declarados a la agencia a los tratamientos del RGPD.

Ficheros declarados a la Agencia:

* Documentación Clínica* Investigación clínica* Gestión de recursos humanos* Nóminas* Prevención de riesgos laborales* Videovigilancia

Los medios de recogida de datos:

Interesado Medio

PacientesPágina Web: Formulario de solicitud de citasFormulario de quejas y sugerencias

PacientesAdmisión: Toma de datos en el programa de gestión hospitalaria.

Pacientes Consentimiento informado participación en programas de investigación

Pacientes, visitas, empleados, proveedores, etc.

Videovigilancia

Empleados Contrato laboral

Empleado Parte de accidente laboral

TratamientoPrincipios relativos al tratamiento

• Periodos de conservación de los datos.

• Revisión / Análisis de la licitud del tratamiento de los datos, específicamente la base legal de los mismos

Consentimiento e información

• Revisión / Análisis de la forma del consentimiento (expreso).

• Revisión / Análisis de las cláusulas informativas existentes (contenido, forma de presentación).

Derechos

• Revisión del protocolo de atención a los derechos.

• Evidencia de la atención de los derechos conforme al protocolo.

Encargados del tratamiento.

• Revisión de la existencia de contratos conforme a la normativa vigente.

Transferencias internacionales de datos

• Revisión / Análisis de los tipos de transferencia.

• Comprobación de la conformidad para la realización de las mismas.

Análisis de cada tratamiento de cumplimiento de la legislación

Es necesario analizar como se está solicitando la información y recogiendoel consentimiento actualmente.

No cambia que en el caso de datos sensibles o transferenciasinternacionales el consentimiento sea expreso (inequívoco y explícito).

Solo cambia el consentimiento para el tratamiento de datos paradecisiones automatizadas (elaboración de perfiles, toma d decisiones enbase a determinados aspectos), tiene que ser de la misma manera.

Consentimiento e información

El consentimiento ya no puede otorgarse por omisión.

Consentimiento e información

Encargados del tratamiento

Revisión de los contratos de encargo del tratamiento, es necesario modificarlos e incluir las siguientes consideraciones:

* Objeto, duración, naturaleza y la finalidad del tratamientos* Tipo de datos personales y categorías de interesados* Obligación del encargado de tratar los datos personales únicamente siguiendo

instrucciones documentadas del responsable* Condiciones para que el responsable pueda dar su autorización previa, específica o

general, a las subcontrataciones* Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de

derechos de los interesados...

Se tendrá en cuenta que esté certificado (ISO 27001, ISO 20000, etc.)

Análisis para cada uno de los tratamientos que se identifiquen o que existan en la empresa

Evaluación del riesgo

Revisión de tratamientos

Evaluación de los tratamientos

y PIA cuando aplique

Registro de actividades del

tratamiento

Gestión del riesgo y

controles

Evaluación del riesgoA los tratamientos de escaso riesgo les aplicaremos las siguientes medidas de seguridad al menos:

Formación a los empleados en relación con el deber de secreto, el ejercicio de derechos de los afectados y comunicación de incidencias de seguridad

Medidas técnicas: IdentificaciónCopias de seguridadAntivirusActualización de SWFirewallRevisiones de vulnerabilidades, etc.

Análisis de riesgos

Para hacer un análisis de riesgos se puede utilizar cualquier metodología internacionalmente reconocida. Para ello podemos tener como referencia la norma ISO 31010 en donde una de las metodologías es la Matriz de consecuencia / probabilidad.

Para realizar el análisis de riesgos, partiremos de cada uno de los tratamientos y de ellos analizaremos que activos son los que los soportan.

Análisis de riesgos

Hardware / Edificios

Base de datos / Zonas

Aplicaciones /Papel

Tratamientos

Historia Clínica

Programa de Gestión

Aplicación

Base de datos

Servidor

CPD

Archivo en papel

Zona archivo de planta

Archivo general del Hospital

Análisis de riesgos

El listado de amenazas a aplicar a cada uno de los diferentes activos varia enfunción de la naturaleza de cada uno de los mismos.

En el caso de los tratamientos utilizaremos el listado que la agencia nosproporciona para una EIPD (Evaluación de impacto en protección de datos).

En el caso de los activos que dan soporte a los tratamientos se puedenutilizar listados de amenazas como pueden ser los de Magerit.

Análisis de riesgos

Análisis de riesgos

Medidas de carácter general

• Realización de la revisión por parte de un tercero del cumplimiento de las exigencias del RGPD

• Realización de la formación a los empleados.

• Nombramiento por la Dirección

• Comunicación AEPD

• Evaluación del cumplimiento de las aptitudes necesarias.

• Notificación de violaciones de seguridad

• Revisión del protocolo de atención a los derechos y de la atención realizada al ejercicio de derechos.

Gestión de incidencias y atención de

derechos

Roles y responsabilidades

(DPO)

Auditoría Formación

¿Preguntas?

Paseo de la Castellana 164 Planta 14 Izquierda. MADRID

+34 911 883 659

¡Gracias!

comercial@audisec.es