Cómo IMPLEMENTAR un SGPDP desde la óptica de la GESTION DEL RIESGO.

Transcripción

1 Cómo IMPLEMENTAR un SGPDP desde la óptica de la GESTION DEL RIESGO. Víctor Hugo Rico Macías Consultor en Seguridad Informática Oficial de protección de Datos - Skype: victorrico2007

2 AGENDA 1. Introducción 2. Puntos clave para la implementación de la norma. 3. Implementaciones HOY. 4. El Riesgo en la Organización. 5. La implementación del SGPDP con MR7

3 Introducción ACLARACIÓN INICIAL Ley 1581 de 2012 La ley de protección de datos personales, obliga a todas las empresas a generar medidas adecuadas de protección de la información personal que recolecten y traten, en archivos o en bases de datos automatizados ó físicos.

4 TRATAMIENTO

5 Como cumplir??? LEGALIDAD CONFIDENCIALIDAD SEGURIDAD FINALIDAD INTEGRAL = TODAS LIBERTAD VERACIDAD Y CALIDAD TRANSPARENCIA ACCESO Y CIRCULACION RESTRINGIDA

6 Qué pasa al interior de las empresas? Respuestas.

7 Introducción A mi no me corresponde!!!!! Somos sin ánimo de lucro Mis clientes todos son empresas No tengo empleados, solo por contrato

8 Introducción Y llega la toma de decisión Entonces que hago?

9 Introducción Es una LEY de esto el ENCARGADO es Jurídico, el abogado RESUELVE!!! Hummm además es de Bases de Datos, el RESPONSABLE es T.I. ellos saben de esto

10 Y reciben el correo o llamada Esto genera Introducción Directivas confundidas Pérdida de dinero Decisiones sin bases reales Caos organizacional Implementaciones a última hora Compromisos obligados Implementaciones SIN recurso $ Confusión en las áreas base. Implementaciones EXPRESS Implementaciones COPY / PAGE

11 Qué esta pasando frente al tratamiento de D.P.? En qué desemboca esto?

12 3 millones de usuarios de internet en Colombia recibieron en el primer trimestre correos electrónicos que aparentaban provenir de fuentes confiables, con phishing. Y personas, cayeron en las manos de ciberdelincuentes.

13 Qué esta pasando frente al tratamiento de D.P.? RESOLUCIONES , $ por no contestar un correo electrónico donde se solicitaba información sobre la finalidad de los datos de un ciudadano , $ por no conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta $ por haber tratado la información personal de un ciudadano sin la autorización de 2014 $ por no solicitar copia de la respectiva autorización otorgada por el Titular FUENE:

14 Qué esta pasando frente al tratamiento de D.P.? $ por no garantizar al titular, el ejercicio del derecho de hábeas data; y no tramitar las consultas y reclamos en los términos señalados en la ley. Resolución $ por no dar tramite a las consultas y reclamos relacionados con el tratamiento de los datos personales, y por no informar, sobre el uso dado a sus datos de 2014, $ por no solicitar y conservar, la respectiva autorización otorgada por el Titular de 2014, $ por violar datos personales de menores de edad, y no solicitar la respectiva autorización FUENE:

15 $ $

16 Porqué una sanción ejemplar?? Los cargos por los cuales la Superintendencia de Industria y Comercio sancionó, fueron los siguientes: Falto al deber de conservar la información bajo las condiciones de seguridad que impidan la divulgación no autorizada de la información Deber de informar a la Superintendencia cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información

17 Pero entonces cómo implementar?

18 1. CONOCIMIENTO DE LA NORMA TIPOS DE DATOS T.I. RRHH SANCIONES LEY JURIDI CO PROVEE DORES APLICABILIDAD TRATAMIENTO DIREC TIVA COMER CIAL TIEMPOS DE RESPUESTA

19 GESTIÓN DEL RIESGO 2. GESTIÓN DEL RIESGO

20 IMPORTANCIA DE LA GESTION DEL RIESGO EN LA EMPRESA Son las acciones que buscan proteger y crear valor dentro de una compañía. ISO todas las actividades comerciales de una empresa generan riesgos. AMENAZAS OPORTUNIDADES

21 CONSOLIDAR UN PLAN DE RIESGOS 1. El contexto. (Ley) 2. Valoración de riesgos. (Identificar) 3. Tratamiento. (acción) 4. Comunicación y consulta 5. Monitoreo y revisión,

22 Importancia de la gestión de riesgos 1. Favorece la identificación de amenazas. 2. Aumenta las posibilidades de alcanzar los objetivos. 3. Impulsa la proactividad. 4. Mejora las labores de administración. 5. Mejora la adaptación de la empresa al entorno social y económico al que pertenece. 6. Potencia la confianza de los grupos de interés. 7. Facilita la toma de decisiones. 8. Fomenta la capacidad de transformación de la empresa.

23 OBJETIVOS DEL MODELO DE G.R. 1. Estrategia. 2. Operaciones. 3. Información. 4. Cumplimiento.

24 IDENTIFICACIÓN, VALORACIÓN Y GESTIÓN DEL RIESGO TACTICAL EDGE GESTIÓN DEL RIESGO El RIESGO - COLUMNA VERTEBRAL DEL PLAN EN SGPDP MONITOREAR CUMPLIMIENTO A LA LUZ DE LA GRD 8 7 DOCUMENTAR EN TODO MOMENTO PLANEAR LAS ACTIVIDADES 6 5 CAPACITAR A LOS FUNCIONARIOS SOCIALIZAR Y COMPROMETER TODA LA EMPRESA 4 3 RECONOCER SU TRATAMIENTO RESPALDO DE LAS DIRECTIVAS 2 1 CONOCIMIENTO DE LA NORMA METODOLOGIAS EFICIENTES Y SEGURAS

25 LA IMPLEMENTACIÓN HOY!!!!! LA IMPLEMENTACIÓN HOY!!!!!

26 LA IMPLEMENTACIÓN HOY!!!!! Método sólo legal Entrega de : Formatos Mensajes de privacidad Avisos de privacidad Capacitación Clausulas de confidencialidad OtroSI a los contratos con Terceros

27 LA IMPLEMENTACIÓN HOY!!!!! Método interno COPY / PAGE Entregado TI - Jurídico: Buscar políticas, avisos y mensajes de otras empresas del sector Crean formatos sin procedimientos No generan planes No capacitan No crean planes para gestión del riego Directivas no APOYAN No tienen recursos $

28 Metodología MR7 Método EFECTIVO Y BASADO EN RIESGO MR7 Método EQUIPO

29 Metodología MR7 7. Mejora Contínua 1. Reconocer el Entorno 6. Ejecución 5. Plan de Implementación MR7 ISO Gestión RNBD 2. Definición y Diseño 3. Valoración del Riesgo PMI

30 FASE 1. Reconocimiento del Entorno frente a la protección de datos Responder a: Metodología MR7 Qué se recolecta? Cómo se recolecta? Cómo se cuida? Donde se guarda? Qué se hace con el dato? Qué tipo de datos trata? Cómo clasifica los datos? Con qué tecnología tratan los datos? Cuenta con autorización? Existen políticas internas? Cómo se comparte el dato? Con quien se comparte el dato?

31 Metodología MR7 FASE 2. Definición y Diseño de Documentos. Tabulación y análisis de resultados de la fase 1. Jurídico Definición de formatos, políticas, avisos y mensajes a implementar por área Diseño de formatos, políticas, avisos y mensajes a implementar por área Diseño del Flujograma Transaccional de datos personales. Análisis y definición acciones contractuales.

32 Metodología MR7 FASE 3. Valoración del Riesgo. 3.1 Valoración y análisis del RIESGO Creación del inventario de evaluación basado en resultados de la fase 1 Valoración del Activo Valoración del Riesgo basado en Amenazas Valoración del Riesgo basado en Controles T.I. - CISO Definir el riesgo final a gestionar y residual asumido Proceso alineado y basado en ISO27005

33 Metodología MR7 FASE 3. Valoración del Riesgo. Identificación y valoración de Vulnerabilidades Basar el proceso en la Seguridad en Profundidad. Usar OSSTMM y OWASP. Clasificar y valorar amenazas y el impacto. Informe final de la Línea base de Seguridad de la Información basada en RIESGOS Técnicas de pentesting y Hacking Ético

34 Metodología MR7 FASE 4. Gestión del RNBD ante la SIC. Gestión del inventario de archivos y bases de datos para el registro SIC Basado en la clasificación y resultado de la Fase 1. Definición del inventario base para el registro por área. Depuración del inventario para dejar el final. Diseño y construcción del proceso de destrucción de datos. Registro de base de datos.

35 Metodología MR7 FASE 5. Plan de Implementación del SGPDP. Planeación del proceso de Implementación del SGPDP Configurar el COMITÉ y responsable operativo del SGPDP Plan de capacitación en Implementación del Documentos. Socialización e implementación de las políticas creadas. Diseño y gestión de cronogramas de seguimiento. Definir la implementación de tecnologías basadas en el informe de línea base. Definir metodología de evaluación del nuevo estado después de la puesta en marcha y ejecución.

36 Metodología MR7 FASE 6. Acción y seguimiento Acción al plan desarrollado Reunión de Estrategia. Acción a los cronogramas Gestión de recursos Ejecución de los EDT de manera organizada y con seguimiento Cumplimiento de SLA para el proyecto

37 Metodología MR7 FASE 7. Mejora Contínua. Mejora contínua del SGPDP Basado en los registros de eventos en la ejecución, actuar. Revisión y gestión de nuevas normativas en tratamiento de datos personales. Revisión ajustes a proceso y procedimientos del SGPDP. Ejecución del plan de capacitación para mejora contínua. Ejecutar correcciones a las actividades requeridas.

38 PORQUÉ MR7? Metodología MR7 Se alinea a la organización usando ISO OSSTMM, OWASP PMP PHVA y SEG. En PROFUNDIDAD. Invoca de manera INTEGRAL y COMPLEMENTARIA a las áreas jurídica, Directiva y T.I. y las integra al PLAN de RESPONSABILIDAD DEMOSTRADA Asegura un ALTO nivel de cumplimiento de la LEY Genera una CULTURA de GPDP en la Organización Evita sanciones, y multas millonarias además de otros impactos negativos. Permite CUMPLIR de manera ordenada y segura los requerimientos para el cumplimiento de la ley 1581 y la GUIA de implementación y RESPONSABILIDAD DEMOSTRADA.

39 GRACIAS Preguntas?

40 GRACIAS La Seguridad de la Información es un proceso, la privacidad es una consecuencia. Rebecca Herold, CEO Privacy Professor - Skype:victorrico