SEGURIDAD DE LA INFORMACION 360ยบ
Vitoria-Gasteiz, a 15 de Marzo 2017.
ÍNDICE
1. 2. 3. 4. 5. 6. 7.
OBJETO ÁMBITO METODOLOGÍA DESCRIPCIÓN DEL PROYECTO BENEFICIOS DEL PROYECTO SERVICIOS ADICIONALES SOLVENCÍA TÉCNICA
OBJETIVO FINAL: proteger la informaciรณn 360ยบ.
Reputaciรณn
Reputaciรณn
OBJETIVO FINAL: proteger información 360º. o ISO 31.000 sobre Gerencia de Riesgos. o ISO 37.001 sobre Sistemas de Gestión Antisoborno. o ISO 27.001 sobre Seguridad de la Información. o ISO 19.600 sobre Sistemas de Prevención de Delitos. o UNE 19601 sobre sistemas de gestión de compliance penal (futura DATOS ISO 19601) PERSONALES
INFORMACION EMPRESARIAL
SECRETOS COMERCIALES
CIBERSEGURIDAD
OBJETIVO FINAL: proteger informaciรณn 360ยบ
IDENTIFICAR AMENAZAS Y SALVAGUARDAS
ESTIMAR IMPACTO Y RIESGOS
Principal activo empresas:
INFORMACIร N
INCIDENCIAS
GESTIONARLOS CON CONTROLES E INDICADORES
OBJETIVO FINAL: proteger información 360º
CONOCERLO y MITIGARLO IMPLEMENTANDO CONTROLES
ACEPTARLO/ ASUMIRLO inversión>pérdidas
CÓMO GESTIONAR EL RIESGO
ELIMINARLO evitando la exposición al mismo
EXTERNALIZARLO ASEGURANDO EL IMPACTO
1. OBJETO
➢ Tomar conciencia del riesgo de no gestionar adecuadamente la protección de la privacidad de los datos personales y del valor que aporta a la organización esa gestión. ➢ Diseñar la implantación de un sistema de protección de datos de carácter personal a medida, en función de las necesidades específicas, real (no meramente formal), responsable, preventivo, evidenciable, actualizable y gestionable mediante una adecuada herramienta informática que acredite su eficaz cumplimiento y desarrollo. ➢ Asesorar en la efectiva implantación del sistema a través de profesionales especializados, rigurosos y serios.
2. ÁMBITO RIESGO DE LA INFORMACIÓN RIESGOS EN PERSONAS
Prevención de Riesgos Laborales
➢ ➢ ➢ ➢
Protección de datos Ciberseguridad Secretos comerciales Seguridad de la información
RIESGO TRANSVERSAL
➢ ➢ ➢ ➢
Buen gobierno corporativo Abuso de poder Derechos de los trabajadores Separación gestión y propiedad
➢ Blanqueo de capitales ➢ Abuso de mercado
RIESGO SECTORIAL
RIESGO CORPORATIVO
RIESGOS DELITO SOCIETARIO
DELITO PATRIMONIAL Y ECONÓMICO
RIESGO PENAL
Persona jurídica
➢ Falsedad de documentos ➢ Imposición acuerdos lesivos
Administración Desleal
➢ ➢ ➢ ➢
Medio ambiente Daños informáticos Estafa Hacienda y Seguridad Social …
2. ÁMBITO: protección datos personales
➢ Información = principal activo. o Datos personales (“petróleo siglo XXI”) o Información confidencial o Propiedad intelectual e industrial o Secretos comerciales ➢ Sociedad (mercado, clientes, proveedores, competidores, trabajadores, usuarios …) espera unos comportamientos de las empresas en cuanto a seriedad, compromiso y responsabilidad en el respecto a la privacidad. Reconocimiento a la protección de datos como valor social. ➢ Núcleo del prestigio de una empresa = REPUTACION DE MARCA. Sociedad ahora tiene una capacidad viral capaz de destruir la reputación de una empresa.
2. ÁMBITO: protección datos personales
➢ Empresas necesitan proteger su información y gestionar de forma responsable los riesgos y amenazas tanto externas (Ciberseguridad) como internas (factor humano = principal riesgo) para proteger su reputación de marca.
➢ Minimizar riesgos, crear y mantener buena reputación y ganar confianza de ciudadanos y consumidores es imprescindible para las organizaciones de todos los sectores.
➢ RGPD exige expresamente recurrir sólo a encargados que ofrezcan suficientes garantías, de conocimientos especializados, fiabilidad y recursos de cara a la aplicación de las medidas técnicas y organizativas que cumplan con los requisitos Reglamento 2016/679 del Parlamento
2. ÁMBITO: protección datos personales
➢ Reglamento Europeo de Protección de Datos exige: “Pasar de la teoría a la práctica” ➢ responsabilidad proactiva: garantizar cumplimiento diligente y efectivo de la normativa, y ser capaz de demostrarlo ➢ adoptando sistemáticamente medidas preventivas eficaces, actualizadas y revisadas periódicamente ➢ acumulando evidencias de dicho cumplimiento. ➢ Ya no sirven los cumplimientos meramente formales, para cubrir el expediente, se exige implantar y gestionar controles eficaces.
OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS
INSCRIPCIÓN FICHEROS REGISTRO TRATAMIENTOS
INFORMAR INTERESADO FORMAR USUARIOS
REVISAR Y ACTUALIZAR
OBLIGACIONES EMPRESARIALES PROTECCIÓN DE DATOS
IMPLANTAR MEDIDASPOLITICAS
RECABAR CONSENTIMIENTO
SEGURIDAD REGULAR EL ACCESO A DATOS POR CUENTA DE TERCEROS
3. METODOLOGÍA
CARATERÍSTICAS ➢ Implantación eficiente y útil, mediante metodología micro implantes, formato modular y herramientas on-line para gestionar la protección de datos de su organización.
➢ Proyecto a medida de su empresa y adaptado a sus necesidades y especificidades. No recogemos información telefónicamente o mediante cuestionarios on-line, queremos conocer su empresa y la visitamos físicamente
para poder diseñar las políticas y medidas de seguridad en relación con su entorno físico.
3. METODOLOGÍA
CARATERÍSTICAS ➢ Reunión inicial de recogida de información (calendario a determinar con la
empresa) con equipo designado al efecto: o Detección de necesidades e identificación de los puntos clave. o Realización del proyecto sobre la base de la información aportada por el cliente y generación del mismo en herramienta de gestión. o Entrega y explicación del proyecto y del funcionamiento de la herramienta de gestión (fechas a determinar con la empresa) o Atención a consultas y servicio de actualización y mantenimiento (conforme a modalidad contratada)
4. DESCRIPCIÓN DEL PROYECTO; ADAPTACIÓN
➢ REDACCIÓN POLITICAS Y CLÁUSULAS INFORMATIVAS o revisión de las existentes para adecuarlas a la normativa en cuanto a consentimiento y cumplimiento del deber de información. ➢ IDENTIFICACION DE FICHEROS/TRATAMIENTOS DE DATOS o CREACIÓN REGISTRO DE ACTIVIDADES para demostrar conformidad con Reglamento. ➢ REDACCION DE CONTRATOS POR TERCEROS que prestan un servicio: asesorías, empresas informáticas, hosters …etc.
➢ REDACCIÓN DE PROCEDIMIENTOS o POLÍTICAS de seguridad técnicas y organizativas para garantizar y poder demostrar que tratamiento conforme con Reglamento. ➢ FORMACIÓN mediante manuales a usuarios y responsables.
4. DESCRIPCIÓN DEL PROYECTO. MANTENIMIENTO.
➢
Al igual que la actividad de la empresa varía y es algo vivo, también cambian los tratamientos de datos. El reglamento europeo de protección de datos exige la permanente revisión y actualización
➢
de las medidas adoptadas para adecuarlas a las circunstancias.
El SERVICIO DE MANTENIMIENTO consiste, entre otras cosas y en función de la modalidad contratada: •
Identificación de nuevos ficheros/tratamientos de datos o creación de nuevos registros de actividades.
•
Redacción de nuevas cláusulas de recogida de información.
•
Redacción de nuevos contratos de acceso a terceros que sean necesarios.
•
Atención de consultas y apoyo al responsable del tratamiento en las dudas que tenga en el ejercicio de sus tareas.
•
Ayuda y asesoramiento en el ejercicio de los derechos de acceso, cancelación, modificación y oposición.
4. DESCRIPCIÓN DEL PROYECTO. FASE DE MANTENIMIENTO
➢ REVISIONES PERIÓDICAS en las instalaciones del cliente a los efectos de verificar el cumplimiento con la normativa, con elaboración de un informe por escrito de las cuestiones, en su caso, pendientes de implementar. ➢ Asistencia ante una posible INSPECCIÓN de la Agencia de Protección de Datos. ➢ Recepción del BOLETÍN de “VADILLO ASESORES SOLUCIONES JURÍDICAS A EMPRESAS, S.L.” sobre buenas prácticas, noticias y novedades en la materia.
5. BENEFICIOS DEL PROYECTO
Evidencias acreditables de cumplimiento con la normativa.
Gestionar de forma correcta la privacidad mitiga el riesgo y facilita la defensa ante incumplimientos.
Mejora y fortalece la seguridad y confianza de clientes, trabajadores y usuarios, que demandan responsabilidad y compromiso con el respeto a la privacidad.
Transmitiendo valores positivos: respeto intimidad y privacidad, seriedad, seguridad, compromiso por gestión eficaz información personal, responsabilidad, credibilidad ‌
5. BENEFICIOS DEL PROYECTO
Protege a su empresa frente a una gestión inadecuada de la información por parte los trabajadores mediante políticas de confidencialidad y uso de la misma.
Contribuye a la eficacia y eficiencia empresarial con criterios gestión riesgos en la gestión y protección principal activo: la información.
Poder solicitar, si se dan las circunstancias legales, la aplicación de los atenuantes del art. 45 LOPD en caso de infracción y/o sanción; evitando la sanción o en su caso su rebaja, siempre que se disponga de sistemas adecuados y sean eficazmente aplicados.
Esos beneficios redundan en > reputación y posicionamiento frente a grupos de interés.
6. SERVICIOS ADICIONALES. PROTECCIÓN DE DATOS
➢ Formación tanto in company como mediante seminarios, cursos y conferencias. ➢ Redacción de políticas de confidencialidad ad hoc. ➢ Redacción de políticas de gestión de la información y uso de tecnologías de la información y de los medios de la empresa (portátiles smartphones, tablets, pendrives …) por los trabajadores ➢ Redacción de cláusulas y/o políticas sobre protección de secretos comerciales ➢ Auditoría bienal de medidas de seguridad para ficheros de nivel medio y alto exigida por los arts. 96 y 110 del RD 1720/2007 ➢ Derecho al olvido / reputación digital
6. SERVICIOS ADICIONALES: PROTECCIÓN DE DATOS ➢
Asistencia/asesoramiento ante inspecciones de la agencia de protección de datos y defensa en procedimientos sancionadores.
➢
Redacción de protocolos para campañas comerciales o publicitarias con tratamiento de datos personales.
➢
Realización evaluaciones de impacto previas (EIPD) antes de realizar tratamientos si probable que alto riesgo para los derechos y libertades interesados ➢ Elaboración de perfiles para toma decisiones con efectos jurídicos sobre interesados o que les afecten significativamente (publicidad, morosidad …) ➢ Tratamientos a gran escala de datos sensibles ➢ Observación sistemática a gran escala de una zona de acceso público
6. SERVICIOS ADICIONALES: PROTECCIÓN DE DATOS ➢ Servicios
de delegado de protección de datos (DPD). Obligatorio para:
➢ Organismos públicos ➢ Responsables o encargados que tengan entre sus actividades principales: ➢ tratamientos con observación habitual y sistemática de interesados a gran escala ➢ tratamiento a gran escala de datos sensibles ➢ Funciones: informar y asesorar responsable o encargado del tratamiento obligaciones en protección datos; supervisar implementación y aplicación políticas cumplimiento normativa protección datos; concienciación y formación a personal; atender ejercicio de derechos; supervisar y asesorar en EIPD y notificaciones brechas seguridad .. ➢
Asesoramiento en notificación de brechas de seguridad a la órgano regulador de protección de datos y a los afectados.
6. SERVICIOS ADICIONALES: ADECUACIÓN A LA LSSI
➢ Elaboración de textos legales. ➢ Redacción de protocolo de comunicaciones comerciales por vía electrónica. ➢ Asesoramiento en materia de cookies. ➢ Comercio electrónico: o Asesoramiento en adecuación de páginas web de comercio electrónico a la ley de consumidores y usuarios. o Asistencia y asesoramiento ante inspecciones. o Defensa en procedimientos sancionadores.
6. SERVICIOS ADICIONALES. CONTRATOS TECNOLÓGICOS. COMPLIANCE PENAL ➢
Elaboración, revisión y asesoramiento sobre todo tipo de contratos informáticos, tecnológicos o sobre nuevas tecnologías
➢ Delitos informáticos – programas de compliance (prevención de riesgos penales): o asesoramiento y defensa legal en materia de delitos informáticos o asesoramiento, diseño, implantación y mantenimiento de sistemas de prevención de delitos empresariales
6.SERVICIOS ADICIONALES: SEGURIDAD DE LA INFORMACIÓN
Empresas gestionan mucha información técnica, tanto propia como de clientes y proveedores, y comercial en la que la confidencialidad y el secreto profesional adquieren la máxima relevancia. Una inadecuada gestión y protección de dicha información y los riesgos asociados a las mismas puede causar un grave perjuicio reputacional a la organización.
➢ Redacción de políticas de confidencialidad ad hoc. ➢ Redacción de políticas de gestión de la información y uso de tecnologías de la información y de los medios de la empresa (portátiles smartphones, tablets, pendrives …) por los trabajadores ➢ Redacción de cláusulas y/o políticas sobre protección de secretos comerciales
6. SERVICIOS ADICIONALES: CIBERSEGURIDAD.
6. SERVICIOS ADICIONALES: CIBERSEGURIDAD.
6. SERVICIOS ADICIONALES: CIBERSEGURIDAD.
6. SERVICIOS ADICIONALES: CIBERSEGURIDAD.
6. SERVICIOS ADICIONALES: CIBERSEGURIDAD.
6. SERVICIOS ADICIONALES: CIBERSEGURIDAD.
6.SERVICIOS ADICIONALES : SEGUROS
➢ Aseguramiento de los riesgos derivados de Ciberseguridad y sanciones de normativa sobre protección de datos: La progresiva digitalización de las organizaciones y la entrada masiva en las oficinas de dispositivos conectados a la red les coloca ante desafíos en materia de seguridad de un alcance nunca visto hasta el momento, multiplicando las vías de entrada para los piratas informáticos y generando nuevos riesgos para la seguridad de la información por lo que es imprescindible ser conscientes de estos riesgos y destinar más recursos a reforzar los sistemas de detección y prevención contra ciberamenazas y de transferencia del impacto de esos riesgos a un buen seguro que cubra esas contingencias.
6. SERVICIOS ADICIONALES. BLANQUEO DE CAPITALES.
➢ Elaboración de textos legales.
➢ Implantación del servicio para la prevención. ➢ Adecuación de la entidad a la legislación vigente sobre prevención del blanqueo de capitales y la financiación
del terrorismo.
7. SOLVENCIA TÉCNICA Algunos clientes que han confiado en nosotros
7. SOLVENCIA TÉCNICA Algunos clientes que han confiado en nosotros
7. SOLVENCIA TÉCNICA
OFICINAS
CORREDURIA DE SEGUROS
VITORIA-GASTEIZ
VITORIA-GASTEIZ
LAGUARDIA
Paduleta, 55 (Pol. Ind. de Júndiz) Paganos, 45 01015 Vitoria-Gasteiz Laguardia
Pintor Díaz de Olano, 18
Travesía
01008 Vitoria-Gasteiz
01300
ASESORIA JURÍDICA
ASESORIA FISCAL-FINANCIERA
ASESORIA LABORAL
MICRO CONSULTORIA
FORMACIÓN
El presente documento está estrictamente reservado su utilización o difusión para propósitos distintos de aquellos que han originado su entrega deberá contar con el consentimiento expreso de ambas partes.