14 y 15 de noviembre de 2013
Riesgo y cumplimiento en la protecci贸n de datos personales CARLOS VILLAMIZAR R. CISA, CISM, CGEIT, CRISC, ISO27001 LA Director Desarrollo de Negocios Globalsuite Noviembre 14 y 15 de 2013
www.uexternado.edu.co
2
Quiénes somos ? AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en el tratamiento de su activo más importante, sus datos, su información
Experiencia en Consultoría, Implantación y auditoría de: • Sistemas de Gestión de Seguridad de la Información (SGSI) ISO 27001 (LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) • Sistemas de Gestión de Servicios TI Norma ISO 20000 (MÁS DE LA MITAD DE LA EMPRESAS CERTIFICADAS EN ESPAÑA) • Planes de continuidad de Negocio ISO 22301 • Sistemas de gestión para Protección de Infraestructuras Críticas (SGPIC) • Calidad de Software, CMMI, SPICE • Sistemas de protección de datos de carácter personal (LOPD) • Esquema Nacional de Seguridad (ENS) • Sistemas de Gestión de Seguridad en la Cadena de Suministro (ISO 28000) • Gestión de Riesgos (ISO 31000) Desarrollo de proyectos de I + D + i Desarrollo de productos para esos servicios
Experiencia Audisec cuenta con la experiencia de haber ejecutado la adecuación de más de 600 clientes en España, de todos los tamaños y sectores de actividad : •Financiero •Servicios •Seguros •Sanidad •Educación •Administración Pública
Primera empresa en España en obtener: •La certificación ISO 27001 •La certificación ISO 20000 •La certificación ISO 22301 de continuidad de negocio •La certificación SPICE
Introducci贸n Jornada: Seguridad y Privacidad de la Informaci贸n en las Ciudades Inteligentes Noviembre 14 y 15 de 2013
www.uexternado.edu.co
5
GRC Gobernabilidad, gestión de riesgos y cumplimiento (GRC) es el término amplio que explica el enfoque de una organización a través de estas tres áreas estrechamente relacionadas. Las actividades de GRC son cada vez más integrados y alineados en cierta medida, con el fin de evitar conflictos, superposiciones inútiles y vacíos. Si bien interpretado de manera diferente en diferentes organizaciones, GRC normalmente abarca actividades tales como el gobierno corporativo, la gestión de riesgo empresarial (ERM) y el cumplimiento de las empresas con las leyes y reglamentos aplicables.
www.uexternado.edu.co
6
Qué es Gobierno Corporativo ? Es un conjunto de responsabilidades y prácticas ejecutada por la Junta Directiva y la alta dirección (accountables) con el propósito de: Proveer dirección estratégica. ► Asegurar que los objetivos son alcanzados. ► Determinar los riesgos y manejarlos adecuadamente. ► Verificar que los recursos de la empresa son usados responsablemente. ►
Gobierno es acerca de: ►
Desempeño
Desempeño
►
Cumplimiento
Mejorar la rentabilidad, eficiencia, efectividad y crecimiento Asociado a objetivos y metas
Cumplimiento
Adherir a las leyes, políticas internas, y requerimientos de auditoría
Asociado a Factores Críticos de éxito
www.uexternado.edu.co
7
Marcos normativos de nuestros países COLOMBIA
ESPAÑA
•
•
1992: LORTAD. Ley Orgánica de
la que se dictan disposiciones generales
Regulación del Tratamiento
para la protección de datos personales.
Automatizado de Datos de Carácter •
Personal. •
2012: LEPD. Ley Estatutaria nº 1581 por
1999: LOPD. Ley Orgánica de Protección
2013: Decreto nº 1377 por el que se reglamente parcialmente la LEPD.
de Datos (automatizados y no). •
2007: RLOPD. Reglamento de Desarrollo de la LOPD.
20 años de existencia de normativa de aplicación dan a Audisec el bagaje y experiencias necesarios para conocer el mercado y presentir las necesidades básicas de las empresas en los momentos iniciales de aplicación de la nueva normativa. www.uexternado.edu.co
8
Necesidades empresariales de cumplimiento COLOMBIA
ESPAÑA •
•
1992: entrada en vigor 1ª Ley PD. Grado de
ley. Grado de cumplimiento:
1999: entrada en vigor 2ª Ley PD. Grado de
prácticamente nulo. A la espera de
cumplimiento: mínimo. La PD es una obligación
aprobación de Decreto de Desarrollo. •
2013: entrada en vigor de normativa de
2007: entrada en vigor RLOPD. Grado de
desarrollo. Grado de cumplimiento: en
cumplimiento: aumenta interés real de
ciernes.
cumplimiento. Obligación legal vs oportunidad
•
2012: entrada en vigor LEPD, primera
cumplimiento: prácticamente nulo.
legal. Gestión puntual y totalmente manual. •
•
•
Situación real actual: incertidumbre,
de mejora empresarial.
inseguridad. Información escasa. Mismo
Actualidad: interés por mejorar los procesos
escenario España 1992. Necesidad de
empresarial con el mantenimiento de un
cumplimiento por ser obligación legal.
sistema de gestión de protección de datos
No percepción como mejora
basado en procesos automatizados
empresarial. NECESIDAD DE
(herramientas de gestión).
CUMPLIMIENTO. ¿Cómo afronta?
www.uexternado.edu.co
9
Riesgos y cumplimiento de la normativa ESPAÑA = COLOMBIA CUMPLIMIENTO
RIESGOS •
•
Vulneración de derechos de clientes,
compañía, su imagen y sus clientes.
trabajadores, proveedores, usuarios, de la •
compañía. •
•
•
Se garantizan los principales activos de la
Se mejora la formación del personal y sus procesos de producción y gestión.
Lo anterior podría implicar la aplicación de otras consecuencias legales, reclamaciones,
•
Se reduce el riesgo de cometer errores.
juicios, arbitrajes, procesos contra la
•
Se mejoran los procesos de gestión.
compañía para restaurar derechos.
•
Se evitan situaciones de riesgo crítico: fugaz
Degradación de la imagen de la compañía a
de datos e información, tratamientos de
todos los niveles, empresarial, financiero,
información por terceros externos,
gestión, y ante terceros.
reclamaciones de usuarios, etc.
Riesgo de sanciones económicas por el incumplimiento de obligaciones legales.
•
Se evita la imposición de sanciones económicas por incumplimientos.
www.uexternado.edu.co
10
Espíritu - Ley 1581 La privacidad es un derecho importante y por tanto, cuando alguien entrega datos, las empresas u organizaciones tienen que informarle a uno cuáles son los usos de esos datos. Las personas tienen derecho a consultar, en todo momento, qué datos suyos se están utilizando, también puede rectificarlos, actualizarlos o incluso a que se cancelen, a que se supriman cuando los datos no son necesarios.
El derecho a la protección de datos básicamente da la capacidad de decidir a quién damos los datos, para qué los damos, a actualizarlos, rectificarlos y poder suprimirlos.
www.uexternado.edu.co
11
Sanciones Art. 23 Sanciones: La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones: a) Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó. b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar. c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio. d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles. Tales sanciones sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.
Otra Sanción: daño a la imagen o a la reputación www.uexternado.edu.co
12
http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/index-ides-idphp.php
www.uexternado.edu.co
13
www.uexternado.edu.co
14
GlobalLEPD Jornada: Seguridad y Privacidad de la Informaci贸n en las Ciudades Inteligentes Noviembre 14 y 15 de 2013
www.uexternado.edu.co
15
Audisec: I+D+I Audisec ha apostado muy fuerte por la investigación, desarrollo e innovación en seguridad de la información. Su experiencia en el sector en España, con normativa que aplica desde hace 20 años, le ha permitido analizar pacientemente el posicionamiento de los sujetos obligados frente a las diferentes etapas que se han ido desarrollando. La gestión inicial de los sistemas de protección de datos, basada en procesos completamente manuales, resultó ser INEFICAZ. Las empresas adaptaban sus negocios a la normativa y dejaban caer en el olvido la gestión de la protección de datos durante años, de forma que la adecuación inicial se volvía OBSOLETA y las empresas caían en nuevos incumplimientos. Fruto de una necesidad evidente para gestionar sistemas de gestión de protección de datos eficaces, Audisec persigue un doble objetivo: • Crear productos innovadores que el mercado demanda. • Conseguir que nuestros profesionales tengan la mejor formación para poder acometer dichos proyectos con las máximas garantías. Así nace GlobalLOPD, un sistema de gestión de protección de datos que no solo ayuda en la adecuación a la normativa de protección de datos, sino en el mantenimiento y actualización del propio sistema. En España lo usan más de 3000 empresas, de forma constante y satisfactoria.
Para Colombia, Audisec ha desarrollado GlobalLEPD. www.uexternado.edu.co
16
GlobalLEPD : Solución integrada GlobalLEPD®, parte del sistema GlobalSUITE®, persigue los mismos objetivos que la aplicación que en España ya usan más de 3000 empresas, y no sólo eso, sino más:
Evitar en el mercado colombiano más de 15 años de transición y adaptación de procesos y conseguir una rápida gestión en el cumplimiento de las recién estrenadas normas.
www.uexternado.edu.co
17
GlobalLEPD : Solución integrada
La mala gestión empresarial, en cualquier ámbito, da lugar a incumplimientos.
Como ejemplo, PYMES Y GRANDES EMPRESAS comenzaron a gestionar sus sistemas contables a través de herramientas de gestión que agilizaran y simplificaran los procesos.
¿Cómo puede ayudar GlobalLEPD a evitar riesgos de incumplimientos?
•
Mayor control
•
Cumplimiento efectivo
•
Ahorro de costes
•
Menor necesidad de usos de recursos
•
Gestión continua
www.uexternado.edu.co
18
GlobalLEPD : Solución integrada
A través de esta presentación vamos a tratar de mostrar porque es necesario un software como GlobalLEPD para el cumplimiento de la Ley Estatutaria de Protección de Datos y su reglamentación de desarrollo.
Asiste. Ejecuta. Coordina. Es una ventaja competitiva.
www.uexternado.edu.co
19
Proyecto Protección de Datos
Planificación del Proyecto
Asesoramiento de Implantación
Análisis Documental
Elaboración de Documentación
www.uexternado.edu.co
Análisis Jurídico/Técnico de Requisitos
20
Fase Inicial - Planificación
En la Fase Inicial, de planificación, se establecen todos los mecanismos necesarios para la consecución con éxito del proyecto.
Cronograma. Equipo de proyecto. Definición formal del Alcance del proyecto. Planificación de las reuniones.
www.uexternado.edu.co
21
Fase de Análisis y Requisitos
Análisis Jurídico/Técnico de Requisitos
Análisis exhaustivo para comprobar el grado de cumplimiento de los requisitos de la Ley de Protección Datos y marcar el camino óptimo a seguir.
Conocimiento de los requisitos
www.uexternado.edu.co
22
Fase de Desarrollo – Elaboración Documental
Con base a las conclusiones extraídas de la fase anterior se definen, desarrollan y documentan todos los procedimientos necesarios para conseguir cumplimiento legal con la LEPD:
Elaboración de manuales de seguridad. Cláusulas y Anexos. Contratos con terceros. Identificación de tratamientos.
www.uexternado.edu.co
23
Fase de Implantación y Asesoramiento
En esta fase se explica de forma detallada la manera de llevar a la práctica todos los requisitos que son de obligado cumplimiento.
Implantación de procesos de gestión. Implantación de medidas de seguridad. Formación a los responsables del proyecto.
www.uexternado.edu.co
24
GlobalLEPD : Revisión constante del cumplimiento
Mantenimiento de una estrecha relación para velar por el correcto cumplimiento de los requisitos de la LEPD, prestando un servicio de asesoramiento continuo en materia de protección de datos.
Resolución de dudas. Asesoramiento continuo. Revisiones periódicas. Servicio legal. Defensa jurídica. Asistencia ante inspecciones.
www.uexternado.edu.co
25
Beneficios
Consecución de un sistema Mejor Servicio.
adaptado a las necesidades Cumplimiento legal.
y
que
cumple
requisitos identificados iniciales.
de en
con
los
negocio las
fases
Servicio Seguro. Menos
incidentes
problemas. Tranquilidad.
26
y
Porqu茅 automatizar ? Jornada: Seguridad y Privacidad de la Informaci贸n en las Ciudades Inteligentes Noviembre 14 y 15 de 2013
www.uexternado.edu.co
27
GlobalLEPD® es la herramienta de GlobalSUITE® con la que gestionar la adecuación y el mantenimiento de la protección de datos de carácter personal se convierte en un procedimiento sencillo y ágil para cualquier responsable de fichero ya que se trata de:
Una herramienta desarrollada para cumplir con el ciclo completo de implantación, gestión y mantenimiento de la consultoría. Pensada para hacer y gestionar las auditoría SIN PAPELES. Con un alto grado de usabilidad.
www.uexternado.edu.co
28
Técnicamente, GlobalLEPD® ofrece:
Una solución 100% Web, disponible desde cualquier lugar y a cualquier hora. Su acceso se realiza a través de una conexión segura que garantiza la confidencialidad, integridad y disponibilidad de la información. Seguridad de la información del servicio prestado mediante certificación ISO 27001 del mismo Mínimos requerimientos: sin instalaciones, servidores redundantes de alta disponibilidad incluyendo backup. Garantía de calidad de prestación del servicio mediante certificación ISO 20000. Garantía de continuidad de prestación del servicio mediante certificación ISO 22301. Multiplataforma, Multiempresa, Multiusuario.
: Beneficios Complementarios Funcionales
GESTIÓN GLOBAL. Integra todas las herramientas necesarias para la gestión total del sistema (Planificación, implantación, certificación, mantenimiento y auditorías)
GESTIÓN INTEGRADA. Permite gestionar todos los sistemas de la empresa integrados
GESTIÓN CONTINUA Y AUDITORÍAS. Debido a su filosofía y las herramientas que integra permite, con un mínimo esfuerzo, la gestión continua de los sistemas y facilita de manera muy importante las auditorías de las mismas
IMPLANTACIÓN RÁPIDA Y SENCILLA. Facilita y guía en las labores de adecuación a las normas cumpliendo rigurosamente con los requerimientos que exige la misma
FLEXIBLE, ADAPTABLE Y TOTALMENTE CONFIGURABLE. Se adapta a las necesidades concretas del cliente o del consultor y de cualquier metodología. Se comunica con cualquier tipo de herramienta www.uexternado.edu.co
30
: Beneficios Complementarios Funcionales
HERRAMIENTA COLABORATIVA que permite al cliente acceder desde cualquier lugar y en cualquier momento, para poder seguir avanzando en las tareas pendientes
CONSULTORÍA NO INVASIVA que reduce, de forma importante, la utilización de recursos del cliente
ELIMINACIÓN DE PAPEL: Integra toda la gestión documental exigida
CURVA DE APRENDIZAJE MÍNIMA. Usabilidad y sencillez a la hora de realizar implantaciones seguimientos y auditorias
= AHORRO: Importante Reducción de costes, tiempos y recursos
www.uexternado.edu.co
31
: Sinergias con otros Servicios GlobalSUITE permite una entrada sencilla en el cliente • No va a quitar nada que ya exista. • Aporta valor. • Reduce tiempos y costes tanto internos como externos. • Aporta más funcionalidad. • Da una visión de negocio de los sistemas. • Integra diversos sistemas en una plataforma centralizada. • Mejora y complementa los sistemas existentes
32
MĂŠtricas e Indicadores. Seguimiento de la LEPD
www.uexternado.edu.co
33
: Referencias
‌.y cientos mås (algunos no nos han autorizado a publicitar su logo / marca)
www.uexternado.edu.co
34
Más información
Gracias
CARLOS VILLAMIZAR R. cvillamizar@globalsuite.es
MADRID - CIUDAD REAL – BOGOTA D.C. – MEXICO D.F. - LIMA Visítenos en nuestra web www.globalsuite.es