ISO-LOPD - Integración LOPD en Sistemas de Gestión

Transcripción

1 T24: Impacto de la falta de seguridad en el negocio! Tomás Arroyo Salido Gerente Seguridad de la Información NOVOTEC CONSULTORES

2 Introducción Funciones de la Oficina Técnica del Responsable LOPD OBLIGACIONES Medidas Organizativas/recursos Oficinas Técnicas responsables LOPD Integración con las normas ISO 9001 Oficina Técnica Responsable Calidad Medidas Organizativas / Sistema de Gestión Conclusiones 2

3 Medidas Organizativas-Recursos OFICINA TECNICA DEL RESPONSABLE DEL FICHERO Su misión es organizar a la corporación para garantizar el cumplimiento de la legislación Estructuradamente puede incluir la Oficina Técnica del Responsable de Seguridad. Puede estar encuadrada dentro de las funciones de Control Interno y de Calidad 3

4 OFICINA TECNICA DEL RESPONSABLE DEL FICHERO VELAR POR EL CUMPLIMIENTO DEL MARCO LEGAL Inscripción de Ficheros y tratamientos Relaciones con los Encargados de Tratamiento Inventario y control de contratos. Recabar cláusulas de Información y Consentimiento A. Jurídica Seguimiento Legislativo Control de relaciones externas AEPD Control de Entornos WEB 4

5 OFICINA TECNICA DEL RESPONSABLE DEL FICHERO FACILITAR EL EJERCICIO DE DERECHOS Recepción de Solicitudes Coordinar la ejecución de Rectificación Cancelación y Oposición Comprobaciones y preparación de datos Contestaciones Custodia de Registros 5

6 OFICINA TECNICA DEL RESPONSABLE DEL FICHERO COORDINAR LAS RELACIONES INTERNAS Asesoría Jurídica Responsable de Seguridad Atención al Cliente Departamentos internos Marketing y publicidad (campañas) Clientes RRHH Compras y proveedores Correspondencia Divulgación Comunicación y Formación Integración con otros Sistemas de Gestión.(Seguridad) 6

7 OFICINA TECNICA DEL RESPONSABLE DE SEGURIDAD VELAR POR EL CUMPLIMIENTO DE LAS MEDIDAS DE SEGURIDAD Ejecución de los Controles Periódicos ASEGURAR LAS OBLIGACIONES LEGALES Informes de accesos a datos de nivel alto Mantenimiento actualizado del Doc. Seguridad PARTICIPAR EN EL PROCESO DE GESTION DE INCIDENCIAS DE SEGURIDAD Responsable del seguimiento/resolución de incidencias de Seguridad LOPD SEGUIMIENTO DE LOS REPAROS DE AUDITORIAS DEL REGLAMENTO. 7

8 OFICINA TECNICA DEL RESPONSABLE DE SEGURIDAD 1 Descripción de la actividad del control Explicación detallada de la actividad de control desarrollada 2 Tipología de control Detectivos Preventivos 3 Grado de automatización Automáticos Manual 4 Clase de control Conciliaciones Autorizaciones Segregación de funciones Verificaciones 5 Frecuencia del control En todas las actividades Diaria Semanal Mensual 6 Responsable Puesto, departamento o unidad encargada de realizar el control 7 Evidencia generada Documentación del resultado del control, qué output se genera como resultado del control 8 8

9 OFICINA TECNICA DEL RESPONSABLE DE CALIDAD VELAR POR EL CUMPLIMIENTO DE LAS MEDIDAS DE CALIDAD (iso 9001:2008) Ejecución de los Controles Periódicos ASEGURAR LAS OBLIGACIONES DE LA NORMA Divulgación y Coordinación Delegación de las obligaciones de la Dirección Asegurar Compromiso y recursos Mantenimiento actualizado de la Documentación PARTICIPAR EN EL PROCESO DE GESTION DE INCIDENCIAS DE CALIDAD Responsable del seguimiento/resolución de incidencias de Calidad SEGUIMIENTO DE LOS REPAROS DE AUDITORIAS DEL SISTEMA. (No Conformidades) 9

10 4 Requisitos Mixtos NORMA UNE-EN ISO 9001:2008 y Legislación Protección de Datos LOPD y RD.1720/2007 Sistema de Gestión de la Calidad Requisitos Generales Establecer, Documentar, Implantar y Mantener un SGC y Sistema de Seguridad Requisitos de la Documentación Política de Calidad y de Seguridad Manual de Calidad y de Seguridad Procedimientos Documentados o Referenciados Procedimientos ISO 9001:2008 Notificación, gestión y respuesta ante Incidencias Realización de Copias de Seguridad y Recuperaciones de datos Transporte de Soportes y Documentos Documentos para garantizar el nivel de seguridad exigido y asegurar la eficacia de los procesos Registros requeridos por la Norma y por el Reglamento (RD-1720/2007) Registros ISO 901/2008 (4.2.4) Registros de Incidencias Registros de Entrada y salida de soportes Registros de Acceso a datos nivel alto Manual Específico (Calidad y Seguridad) Incluir alcance del Sistema de Gestión de Calidad y Sistema de Seguridad Incluir o referenciar los Procedimientos de Calidad y los Procedimientos de Seguridad Incluir la descripción e interación de los procesos y los Flujos de datos e información. Control de los Documentos Revisados y Actualizados Aprobados antes de su emisión formal Control de los Registros Definir los controles necesarios para los registros de calidad y de seguridad 10

11 5 Requisitos Mixtos NORMA UNE-EN ISO 9001:2008 y Legislación Protección de Datos LOPD y RD.1720/2007 Responsabilidad de la Dirección - Responsable del Fichero Compromiso de la alta dirección - Delegación autorizaciones, Responsable de Seguridad Comunicar requisitos aplicables (seguridad y calidad) Establecer la política de la calidad y Seguridad Revisiones por la Dirección:Sistema de Gestión de Calidad y Sistema de Seguridad Asegurar la disponibilidad de recursos (garantizar la seguridad de los datos) Enfoque al Cliente Asegurar el cumplimiento de requisitos del cliente Política de calidad y seguridad Adecuada al proposito de la organización, comunicada, entendida, asignada y revisada Planificación Planificación del SGC y Sistema de Seguridad Responsabilidad, autoridad y comunicción Responsabilidades definidas, documentadas y comunicadas. Representare de la Dirección /Responsable de Seguridad Asegurar se establecen, implementan y mantienen los procesos y medidas de seguridad Informar a la Dirección sobre el desempeño y promover mejoras Promover la toma de conciencia de los requisitos del cliente Comunicación interna Establecer procesos de comunicación apropiados Revisión por la alta dirección Revisión y controles periódicos del Sistema de Calidad y de Seguridad Información de entrada Resultados Auditorias; información cliente; cambios SGC y SS;acciones correctivas y preventivas. Resultados de la revisión. Mejorar la eficacia de los procesos - Calidad y Seguridad Mejora del Sistema de gestión de la Calidad y del Sistema de Seguridad Mejora de producto/servicio Necesidad de los recursos (para garantizar la seguridad de los datos) 11

12 6 Requisitos Mixtos NORMA UNE-EN ISO 9001:2008 y Legislación Protección de Datos LOPD y RD.1720/2007 Provisión de recursos Determinar y proporcionar recursos para Implantar y mantener el sistema de gestión de la calidad y de seguridad Mejorar su eficacia (y eficiencia) Garantizar la seguridad de los datos. Recursos Humanos Determinar competencias y obligaciones del personal Proporcionar formación y concienciación Comunicación al personal de la importancia de su actividad Infraestructura necesaria Determinar, proporcionar y mantener la estructura necesaria para: Garantizar la seguridad de los datos y la información en:. Edificios, espacio de trabajo y servicios asociados equipos para los procesos (HW y SW..) Servicios de apoyo (transporte, comunicación, S.I.) 12

13 7 Requisitos Mixtos NORMA UNE-EN ISO 9001:2008 y Legislación Protección de Datos LOPD y RD.1720/2007 Realización del producto Planificar y desarollar procesos, documentos, y para garantizar la seguridad de los datos, así como sus Procesos relacionados con el cliente Determinar requisitos aplicables (producto/servicio;protección de datos) Requisitos legales y reglamentarios Modificar documentación por cambios en requisitos Determinar mecanismos para comunicaciones con el cliente Información sobre el producto y consentimiento Consultas, contratos atención, derechos del interesado Retroaliomentación del cliente, Derechos de rectificación e incidencias. Compras Evaluar y seleccionar proveedores-encargados de tratamiento Verificar y controlar los productos Control de la producción y la prestación del servicio Las condiciones controladas deben incluir: Disponibilidad instrucciones de trabajo Uso del equipo adecuado Implemenación del seguimiento y la medición Implantación actividades de liberación entrega Identificación y trazabilidad Identificación del producto/datos y soportes por medios adecuados Propiedad del Cliente Proteger los bienes/datos e información durante su utilización Identificar y proteger bienes/datos relativos al cliente Registros de bienes/datos del cliente, perdida o deterioro Preservación del producto Mecanismos adecuados de manipulación, almacenamiento y entrega 13

14 8 Requisitos Mixtos NORMA UNE-EN ISO 9001:2008 y Legislación Protección de Datos LOPD y RD.1720/2007 Auditoría Interna Planificación de auditorias (Calidad y Seguridad) Mantener registros de auditorías Emprender acciones eficaces para eliminar las no conformidades Verificar las acciones tomadas Seguimiento y medición de los procesos Aplicar métodos para el seguimiento y medición, generando registros. Control de productos y servicios no conformes e incidencias en la protección de datos. Identificación y control productos/servicios No conformes (controles e incidencias) Definir un procedimiento de gestión de No Conformidades (controles e incidencias) Evaluar y tratar los productos no conformes y las incidencias Análisis de datos Prorcionar información sobre los procesos y productos (seguridad) Proporcionar información sobre la conformidad con los requisitos Mejora Adopción de medidas para la mejhora continua del Sistema (Gestión de Calidad y de Seguridad) Adopción de acciones correctivas para eliminar la causa de las No conformidades Adopción de acciones preventivas para eliminar las causas potenciales y garantizar la seguridad de los 14

15 Conclusión DUDAS??? 15

16 Muchas gracias 16