SEMINARIO PROTECCIÓN DE DATOS PERSONALES

Transcripción

1 PROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA Miércoles 17 de mayo de 2017

2 Conversatorio 1. Los empresarios cómo pueden prevenir los riesgos asociados por incumplimiento de la Ley de Protección de Datos (1581 de 2012)?

3 Ejemplos Empresariales

4 Ejemplos Empresariales

5 Algunas sanciones

6 Lo que no es una implementación No identificar los factores de riesgo inherentes a la entidad. No es solo pedir autorizaciones para el tratamiento. No contar con manuales de políticas y procedimientos. No tener en cuenta el modelo de negocio. No contar con canales de comunicación con los titulares de la información. No vincular al personal de la entidad de una manera proactiva.

7 Proceso de implementación de la norma PASO 1 AUDITORIA PASO 2 DOCUMENTACION PASO 3 SENSIBILIZACION Cumplimiento Ley 1581 de 2012 PROTECCIÓN DE DATOS PERSONALES, REGISTRO NACIONAL DE BASE DE DATOS Y SEGURIDAD DE LA

8 Conversatorio 2. Y el tema de la seguridad de la información cómo se engrana con la protección de datos?

9 Seguridad de la información S.I Modelo de mejora continua Proteger Activos de información Alcanzar Objetivos de negocio PII Gestión del riesgo

10 Conocimiento Datos Activos de información? Fisico Digital Información = Activo Procedimientos Software

11 Propiedades de la S.I. Confidencialidad: La información no se hace disponible o revelada a individuos, entidades o procesos no autorizados. Disponibilidad: Información accesible y utilizable por solicitud de entidad autorizada. Integridad: Exactitud y completitud.

12 Riesgos en S.I. Riesgos?

13 Riesgos y controles en S.I. RIESGO: Posibilidad (probabilidad) que suceda algún evento que impacte (consecuencia) los objetivos de negocio (AS/NZS 4360) Efecto de la incertidumbre en los objetivos IMPACTO: Resultado de un evento de riesgo (ISO Guide 73) PROBABILIDAD: Oportunidad de ocurrencia de un evento de riesgo (AS/NZS 4360) CONTROL: Proceso, política, dispositivo, práctica y acciones que optimizan el riesgo (AS/NZS 4360) o lo transforman.

14 Gestión del riesgo en S.I. Establecer el contexto Comunicación y consulta Identificar los riesgos Analizar los riesgos Seguimiento y revisión Evaluar los riesgos Tratar los riesgos

15 Dominios de control en S.I. Política de S.I. Cumplimiento* Gestión de activos S.I. continuidad negocio Incidentes en SI Organización de SI Seguridad en operaciones Recursos humanos Seguridad en comunicaciones Criptografía Seguridad física y ambiental Proveedores Control de acceso ADM de sistemas

16 S.I. por sector SECTOR NORMAS APLICACIÓN CBJ (Circular Externa 029 de 2014) modificada Canales, medios, seguridad y calidad en el CE 028, 049, 053 de 2016 Financiero y asegurador manejo de información en la prestación de CE 052 de 2007 (Modificada CE 022 de 2010, servicios financieros. CE 026 de 2011, CE 042 de 2012) Gobierno Postal CONPES Política seguridad digital CONPES Ciberseguridad/ciberdefensa CONPES Renovación admin pública CONPES Agenda de conectividad Estrategia Gobierno en Línea Marco de Referencia de Arquitectura TI Modelo seguridad y privacidad (MSPI) Ley 1712 de 2014 (transparencia) Decreto 1080 de 2015 Ley 1369 de 2009 Resolución 3680 de 2013 Seguridad y privacidad de la información en gobierno Seguridad de la información y TI

17 S.I. por sector Solidario SECTOR NORMAS APLICACIÓN CE financiera y contable 04/08 SIAR (SGR) CE 15/2015 Circular básica jurídica 2015 SIPLAFT Aseguramiento de información financiera y LAFT Agencias de aduana, puertos, comercializadoras, exportadores, importadores, transportadores, intermediario, zona franca Educación - IES Decreto 3568 de 2011 Decreto 1894 de 2015 Decreto MEN Guía 3 CNA- Autoevaluación pregrado. Acuerdo Guía acreditación CNSC Análisis y administración del riesgo; Seguridad de los procesos; Seguridad en tecnología de información Acreditación IES Salud (Acreditación) Resolución Servicios de información, Necesidades de información, Seguridad de la información

18 S.I. por sector SECTOR NORMAS APLICACIÓN Laboratorios ISO (metrología y calibración) Certificación de personas (CRC y CALE) ISO Resolución Certificación sistemas de gestión Decreto 2269 SNNCM (Mod. Decreto y Decreto SNCA) Decreto SOGC Decreto (compilatorio) Decreto (reorganiza SNCA) Decreto (SNCA) ISO ISO ISO Organismos de Inspección ISO Certificación digital Ley 527 de 1999 Decreto Ley 019 de 2012 Decreto 333 de 2014 Decreto 1471 de 2014 Acreditación Certificación de producto ISO 17065

19 Conversatorio 3. Qué novedades existen para las empresas en materia de gestión de datos personales?

20 Gestión de datos personales SISTEMA DE GESTIÓN DE DATOS PERSONALES IMS-DP-001:2013/Cor2:2017

21 Gestión de datos personales

22 Gestión de datos personales

23 Por qué se necesita? Ley 1266/2008 Ley 1581/2012 Decreto 2952/2010 Decreto 1377/2013 Decreto 886/2014 Decreto 1759/2016 Dec. 1074/2015 Existe un vacío Conceptual/metodológico Cómo implementar? Cómo controlar? Cómo asegurar? Es homogéneo en el sector? Protección de datos a nivel empresarial

24 Por qué se necesita? Asegura la incorporación del marco completo de requisitos Ley 1266/2008 Ley 1581/2012 Otros requisitos: - Ley 1437/2011 (C.P. Admin) (Cód. Proc. Administrativo) - Ley 594/2000 (G/Documental) - Dec 1080/2015 (G/Documental) - Ley 1712/2014 (Transparencia) - Ley 87/1993; Dec. 943/2014 (Gestión del riesgo) Decreto 2952/2010 Decreto 1377/2013 Decreto 886/2014 Decreto 1759/2016 Dec. 1074/2015 Homogeneiza criterios Norma técnica internacional IMS-DP-001:2013/Cor2:2017 Guías SIC Facilita la implementación Protección de datos a nivel empresarial

25 Cómo funciona? Requisitos IMS-DP-001 Código práctica IMS-DP-002-CO (Colombia) Guía auditoría IMS-DP-003

26 Cómo funciona? ACTUAR - Aprendizaje PLANEAR - Diagnóstico - Contexto - Riesgos VERIFICAR - Monitoreo - Auditoría HACER - Implementar - Operar - Capacitar - G/Incidentes

27 Ventajas Tranquilidad sobre el manejo adecuado de los datos (evitando la probabilidad de multas/sanciones) Reducción de costos de operación y mantenimiento Transmitir confianza a clientes y usuarios Mejorar la imagen de la organización en el mercado Demostrar respeto a empleados y partes interesadas Fácil integración con otros sistemas de gestión (ej: calidad, seguridad de la información )

28 Gestión de datos personales ORGANIZACION DE MUESTRA SAS Calle 100 No Bogotá, D.C. Colombia IMS-DP-001:2013/Cor2:2017 Sistema de gestión de datos personales Alcance de la organización objeto social de la organización (resumido) en los procesos, oficinas y demás aplicables

29 Conversatorio 4. Qué ventajas competitivas adquieren las empresas con el cumplimiento de la Ley de Protección de Datos y lo expuesto anteriormente?

30 INQUIETUDES? Asunto: Protección datos personales Teléfono (1) Ext