LA GESTIÓN DE RIESGOS

Transcripción

1 LA GESTIÓN DE RIESGOS EXECyL - Fundación para la Excelencia Empresarial de Castilla y León 7 de Junio Willis Towers Watson. All rights reserved.

2 EL RIESGO Riesgo (ISO 31000: 2018) Efecto de la incertidumbre en los objetivos Abraracurcix, el jefe de la tribu, es valiente y supersticioso, es respetado por sus hombre y temido por sus enemigos, solo le teme a una cosa que el cielo se desplome sobre sus cabeza, pero como el dice, eso no va a pasar mañana 2

3 SISTEMA DE GESTIÓN DE RIESGOS PENALES 3

4 CONTROL Y GESTIÓN DEL RIESGO PENAL Tres referencias principales: 1. Código Penal, Reforma Julio 2015: La persona jurídica quedará exenta de responsabilidad si [ ] el órgano de administración ha adoptado y ejecutado con eficacia, [ ] modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos (Art. 31 bis) Control y Gestión del Riesgo Penal 2. Recomendaciones de la Fiscalía General del Estado para la interpretación y desarrollo del Art. 31 bis (Circular 1/2016): Conveniencia de externalizar diferentes tareas en los modelos de prevención de delitos porque: Asegura una mirada no viciada. Respuesta Beneficios Con independencia de que el órgano de supervisión y control sea interno, se considera buena práctica la existencia de asesores externos dando soporte al modelo. 3. Certificación Sistemas de Gestión de Compliance (UNE 19601) 4

5 RESPUESTA Identificación Análisis Riesgos Penales Cuantificación Informe Sistema de Gestión de Riesgos Penales SGRP Auditoría / preparación para la certificación Software GlobalSUITE Compliance Penal Mapa de Riesgos Penales Canal de Denuncias y otros Proc. de Apoyo Comunicación y Formación Gap análisis Vs requisitos ISO Recomendaciones / Mejoras Informe Análisis y tratamiento de riesgos automatizado Indicadores y métricas para el mantenimiento diario Auditorías periódicas Control y Gestión del Riesgo Penal Respuesta Beneficios Transferencia: posibilidad de obtener cobertura plena en la Póliza de Consejeros y Directivos. Para más información: Unidad D&O de WTW. 5

6 BENEFICIOS Previene la ocurrencia de delitos. Mejora la imagen y reputación. Posible exención de sanciones penales. Software que facilita su implantación y monitorización, ayudando al Compliance Officer en su labor. Facilita la cobertura plena en las Pólizas de Consejeros y Directivos. En definitiva: Control sobre los posibles riesgos penales de la organización Impacto sobre las personas jurídicas y la organización. Control y Gestión del Riesgo Penal Respuesta Beneficios 6

7 SOLUCIÓN PRÁCTICA PARA LA IMPLANTACIÓN DEL SISTEMA DE GESTION DE RIESGOS PENALES ( SGRP) Cumplimiento de los requisitos necesarios para poder implantar un SGRP. Herramienta de ayuda para el Compliance Officer. Análisis y tratamiento de riesgos de manera automatizada. Módulo de indicadores y métricas para el mantenimiento diario. Posibilidad de hacer auditorías periódicas. Gestor documental, catálogo de servicios, gestión de proyecto, alertas, etc. Control y Gestión del Riesgo Penal Respuesta Beneficios 7

8 REGLAMENTO GENERAL PROTECCIÓN DE DATOS (RGPD) 8

9 9

10 DÓNDE SE APLICARÍA? En todos los países de la Unión Europea, ampliándose a empresas no establecidas en la misma, que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea. 10

11 CUAL HA SIDO LOS PASOS HASTA HOY? 1999 LOPD Hasta ahora: L.O. 15/ R.D. 1720/ RGPD Publicación nuevo Reglamento Europeo de Protección de Datos (UE) 2016/ Transición Periodo de 2 años para adaptarse al nuevo reglamento europeo 25 Mayo 2018 APLICACIÓN Entrada en vigor del RGPD 11

12 POR QUÉ ES NECESARIO EL RGPD? Año (nº incidentes) +7% * (nº incidentes) Año 2017 *Fuente: INCIBE 12

13 REALMENTE HAY QUE PREOCUARSE POR LOS CIBERATAQUES? 2016 Willis Towers Watson. All rights reserved. Proprietary and Confidential. For Willis Towers Watson and Willis Towers Watson client use only. 13

14 TENÍA QUE HABERME ADAPTARME AL NUEVO REGLAMENTO? 14

15 QUÉ OCURRE SI NO CUMPLES? 15

16 ES SÓLO PARA GRANDES EMPRESAS O PARA TODAS? GRANDES EMPRESAS Producción (sin datos personales) PYMES Servicio personal (con datos personales) 16

17 EN QUE ME VA A AFECTAR? NOTIFICACIÓN EN 72h A LA AEPD DATA PROTECTION OFFICER (DPO) Notificación de las brechas de seguridad Máximo de 72 horas para la comunicación La Asociación Española de Protección de Datos (AEPD) debe ser informada con la mayor celeridad Mediante una herramienta informática, por ejemplo. REGISTRO DE TRATAMIENTO RESPONSABILIDAD ACTIVA Nombramiento por la Dirección Comunicación AEPD Evaluación del cumplimiento de las aptitudes necesarias. Evaluaciones de impacto sobre la protección de datos Promoción de códigos de conducta y esquemas de certificación Protección de datos desde el diseño y por defecto MEDIDAS DE TRATAMIENTOS 17

18 Análisis de riesgos / Evaluación de Impacto La evaluación de impacto (EIPD o PIA) se hará solo a los tratamientos que hayan sido con riesgo alto en la evaluación de riesgos anterior. La EIPD/PIA no deja ser otro análisis de riesgos, pero con mayo profundidad y muchos más técnico. 18

19 CÓMO PUEDO ESTAR INCUMPLIENDO CON EL RGPD? TIPO DE AMENAZA ACCESO ILEGÍTIMO DE DATOS MODIFICACIÓN NO AUTORIZADA ELIMINACIÓN DE LOS DATOS AMENAZA Pérdidas de dispositivos móviles Fuga de información Acceso intencionado por personal no autorizado Ataques intencionados Uso ilegitimo de datos personales Ataque para la suplantación de identidad Errores en los procesos de recopilación y captura de información Modificación no autorizada de datos de manera intencionada Corte de suministro eléctrico o fallos en servicios de comunicaciones Error humano o ataque intencionado provoca borrado o perdida de datos Desastres naturales PREGUNTAS IDENTIFICATIVAS Los móviles y dispositivos de almacenamiento están cifrados? Existen métodos para extraer dato durante la operación de tratamiento? La operación de tratamiento es susceptible al hacking? es susceptible de ataques de phising? Existen credenciales o mecanismos de control? Se revisan periódicamente? Existen controles sobre la integridad de la información durante el proceso de captura de datos? se identifica adecuadamente al interesado que proporciona los datos? Un fallo de suministro eléctrico puede implicar la perdida de datos? un fallo en los servicios de comunicaciones puede ocasionar una perdida de datos? Los datos pueden ser eliminados únicamente por el personal autorizado? Existen copias de seguridad? 2016 Willis Towers Watson. All rights reserved. Proprietary and Confidential. For Willis Towers Watson and Willis Towers Watson client use only. 19

20 UN EJEMPLO PRÁCTICO: CÓMO HABRÍA QUE ACTUAR EN UN HOSPITAL? Tratamientos Aplicaciones /Papel Base de datos / Zonas Hardware / Edificios Aplicación Programa de Gestión Servidor Base de datos Historia Clínica Archivo en papel Zona archivo de planta Archivo general del Hospital CPD 2016 Willis Towers Watson. All rights reserved. Proprietary and Confidential. For Willis Towers Watson and Willis Towers Watson client use only. 20

21 CUÁL ES LA SOLUCIÓN? No hay una solución única, ni una serie de normas mínimas con las que cumplir, pero: Lo primero de todo es cumplir el RGPD, que a su vez nos obliga a: 1. Hacer análisis de riesgos e implantar controles de seguridad. 2. Concienciar a las personas en el buen uso de los datos. 3. No ceder datos sin consentimiento expreso. 4. Gestionar y comunicar los incidentes de seguridad. 5. Hacer revisiones periódicas del estado de la seguridad Willis Towers Watson. All rights reserved. Proprietary and Confidential. For Willis Towers Watson and Willis Towers Watson client use only. 21

22 CÓMO PODEMOS AYUDARTE DESDE GERENCIA DE RIESGOS? Revisión / Adaptación Nuevo Reglamento RGPD Software GlobalSUITE -Data Protection (RGPD) Para la adaptación/revisión, el esquema seguido es: Cuestionario Entrevistas Informe Mejora Especializado Interlocutores expertos Requisitos Legales & Técnicos Revisiones periódicas 22

23 Gracias por su atención Fernando Redondo Director Gerencia de Riesgos Oliver Becerro Director Oficina Valladolid T M oliver.becerro@willistowerswatson.com D M Antonio Quevedo CEO Audisec aquevedo@audisec.es M Willis Towers Watson Willis Iberia C / Martínez Villergas 52. 4ª planta. Madrid, Spain 23