La seguridad en el RGPD.
|
|
- José Luis Ramos Álvarez
- hace 5 años
- Vistas:
Transcripción
1 La seguridad en el RGPD. Javier Cao Avellaneda. Cybersecurity, Privacy, and IT Risk Leader en
2 Agenda. La seguridad del tratamiento en el RGPD. Gestión de violaciones de seguridad: Qué hacer.
3 Artículo 32. Seguridad del tratamiento. 1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
4 Artículo 32. Seguridad del tratamiento. 2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo. 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
5 Qué supone la seguridad de los datos. Destrucción o pérdida DISPONIBILIDAD Alteración accidental o ilícita INTEGRIDAD Comunicación o acceso no autorizado CONFIDENCIALIDAD Impactos en la seguridad del tratamiento
6 Nuevo contexto RGPD. 1. Libertad en el marco de medidas de seguridad para la gestión del riesgo. 2. Lograr resultados verificando la eficacia de los controles Trazabilidad de decisiones para justificar Responsabilidad activa. = Sistema de gestión de la seguridad de la información (SGSI).
7 Directrices de la AEPD.
8 Los papeles sólo ya no sirven sólo los resultados.
9 Valorar riesgo y evidenciar decisiones.
10 DPO CEO Tenemos una violación de seguridad Qué era eso del accountability?
11
12 Evitar situaciones del Rey desnudo.
13 Gestión basada en la mejora continua.
14 Confianza basada en resultados no sensaciones. Gestión basada en objetivos e indicadores. Cumpli-Y-NO-MIENTO.
15 Auditoria como garante de eficacia. Ciclo de resolución DEFICIENCIA Ciclo de mejora Acción correctiva Incidencias o carencias Todo en orden Ciclo de mantenimiento OBSERVACIÓN Mantener el Sistema OPORTUNIDAD DE MEJORA Ideas/Mejoras
16 Agenda. La seguridad del tratamiento en el RGPD. Violaciones de seguridad: diagnóstico y tratamiento.
17 Los síntomas. Evento de seguridad : ocurrencia en un sistema, servicio o equipo de red que indica que una posible brecha de seguridad, incumplimiento o fallo de un control o una situación desconocida que pueda ser relevante en seguridad. ISO/IEC 27035: Information security incident management. Incidente de seguridad : uno o varios eventos que seguridad que tengan una probabilidad considerable de comprometer los servicios de negocio o amenazar a la seguridad de la información. ISO/IEC 27035: Information security incident management.
18 Los síntomas. Art. 4. Definiciones RGPD. Violación de la seguridad de los datos personales: Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
19 Los síntomas. Amenaza causa Acción indeseada explota Vulnerabilidad Ocurrencia de Clasificado como Evento de seguridad de la información expone Incidente de seguridad de la información Impacta en Activo de información ISO/IEC 27035: Information security incident management.
20 Los síntomas: Taxonomía de incidentes. Fuente:
21 Los síntomas. Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control 1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. 2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
22 Los síntomas. Es muy improbable que un incidente no deje alguna huella pero requiere de un buen diseño de las trazas de auditoría en el sistema.
23 Primer gran reto: la detección de eventos de seguridad y la valoración para establecer si es o no un incidente que supone una violación de seguridad.
24 El diagnóstico. Factores clave para el diagnóstico. Contexto. Tiempo de respuesta. Organización interna. Severidad. Criterios de escalado.
25 El diagnóstico: contexto. Mismos datos, diferentes impactos. Nombre, apellido, DNI, usuario.
26 El diagnóstico: tiempo de respuesta. A mayor tiempo de detección de la violación y más retardo en la respuesta, mayor impacto.
27 El diagnóstico: organización interna. 1) Toma de decisiones. 2) Gestión de crisis. 3) Comunicación. 1) Detección. 2) Monitorización operativa 3) Reporte y escalado. 1) Contención y respuesta 2) Reporte y escalado. 3) Propuesta de nuevas medidas 1) Valoración jurídica. 2) Gestión mediática.
28 El diagnóstico: severidad del incidente. Se pueden establecer criterios de ponderación para estimar la severidad de un incidente e iniciar los protocolos internos que correspondan. Cada organización debe ajustar sus valores en función de su contexto, sus tratamientos, sus riesgos y su responsabilidad social corporativa. Los parámetros para valorar escenarios pueden variar: Tipos de datos. Volumen de afectados. Tiempo de vida del incidente. Tipo de amenaza que causa el incidente. Causas que han permitido la violación.
29 El diagnóstico: criterios de escalado. Una vez segmentada la severidad, la organización debe tener protocolos o procedimientos internos definidos para establecer el escalado de incidentes y valorar cuándo se superan los umbrales tolerables que transforman en contingencia los hechos acaecidos. DECISIÓN a TOMAR: Iniciar proceso de notificación de la violación de seguridad.
30 Segundo gran reto: Resolver los aspectos organizativos para tener procesos ágiles y eficaces de respuesta frente a incidentes que establezcan cuando es violación de seguridad y cuándo se requiere notificar.
31 Método de trabajo. Ciclo de vida del incidente. ISO 27035:2011. Information security incident management
32 Método de trabajo. Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control. La notificación contemplada en el apartado 1 deberá, como mínimo: a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; c) describir las posibles consecuencias de la violación de la seguridad de los datos personales; d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. 4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
33 ISO Proceso de gestión de incidentes. Preparar y planificar. Detectar e informar. Valorar y decidir. Responder. Lecciones aprendidas.
34 ISO Information security incident management. Los objetivos de un proceso maduro de gestión de incidentes debe ser asegurar: A) Que los eventos sean detectados con eficiencia, en particular, son adecuadamente valorados y clasificados para establecer si son o no un incidente. B) Se responda de forma eficaz a todos los incidentes de seguridad que son identificados. C) Se minimicen los efectos adversos que pueda tener el incidente para la organización mediante controles adecuados como parte de la respuesta frente al incidente o en conjunción con los planes de gestión de crisis o de continuidad de negocio. D) Se identifican e informan las vulnerabilidades detectadas para que sean adecuadamente tratadas y resueltas. E) Se incorporan y gestionan todas aquellas lecciones aprendidas de los incidentes ya acaecidos.
35 ISO Preparar y planificar. Debe definirse y documentar las siguientes cuestiones: Política de gestión de incidentes de la organización. Procedimiento interno de gestión de incidentes, que incluya: Criterios de clasificación y severidad de la organización (Deberá contemplar criterios RGPD). Tipos de informes de eventos, incidentes y vulnerabilidades a contemplar. Protocolos a aplicar en cada caso o por escenarios: eventos, incidentes y vulnerabilidades. Roles operativos que deben intervenir (Deberá incluir DPO). Criterios de escalado de eventos e incidentes. Información de contacto con partes interesadas: internas y externas que se puedan ver afectadas (Deberá incluir AGPD). Programas de formación interna. Plan de pruebas de los procedimientos y protocolos establecidos.
36 ISO Detectar y informar. Se centra en tareas operativas dirigidas a monitorizar los eventos y establecer si existen o no incidentes. De igual forma, debe también identificar posibles vulnerabilidades que en un futuro pudieran ocasionar también incidentes para que se tomen las medidas preventivas que sean necesarias. Debe registrar todo tipo de eventos que tengan que ser valorados. Debe también iniciar la conservación de evidencias digitales cuando el tipo de incidente lo requiera.
37 ISO Valorar y decidir. Fase clave donde se toman decisiones respecto a los eventos o incidentes detectados. Debe recoger información precisa de lo sucedido o que está sucediendo, actualizándola cuando proceda. Debe involucrar al DPO como un rol activo, que tiene que ser capaz de estimar la severidad, desde el punto de vista del RGPD, del incidente según los tratamientos de la organización afectados. Debe escalar los hechos según criterios de clasificación y severidad. Debe coordinar y gestionar la posible crisis y la contención mediática del incidente si se produce.
38 ISO Valorar y decidir. En esta fase, una vez se obtiene información de lo sucedido, deberá valorarse y decidir si el incidente supone o no una violación de seguridad. Establecer si se notifica tanto a la AGPD como al afectado. La trazabilidad del proceso de gestión de incidentes garantiza tener evidencias por si la Autoridad de Control cuestiona las decisiones. Artículo 33 Notificación de una violación de la seguridad de los datos personales a la autoridad de control. 4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. 5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.
39 ISO Valorar y decidir. Crítico el tiempo en obtener respuestas.
40 ISO Responder. Esta fase inicia las tareas de contención, una vez valorado lo sucedido y tomadas las decisiones oportunas. Las actividades de respuesta son: Si el incidente está bajo control. Iniciar la activación de los protocolos de respuesta frente a incidentes que correspondan y la comunicación interna y externa a las autoridades competentes. Es en esta fase cuando se debería notificar la violación de seguridad tanto a la Autoridad de Control, como si procede, al afectado. Si no está bajo control, iniciar las actividades de escalado según los procedimientos de gestión de crisis y el empeoramiento de la situación que vaya produciéndose. Garantizar que se están recogiendo las evidencias suficientes que permitan posteriormente un análisis adecuado o su uso en caso de emprender acciones legales.
41 ISO Responder. La notificación de la violación de seguridad debe satisfacer unos contenidos mínimos. En esta fase se debe disponer de la información necesaria para poder completar en la medida de lo posible los apartados establecidos por el RGPD. a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; c) describir las posibles consecuencias de la violación de la seguridad de los datos personales; d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. El DPO debe canalizar esta notificación y ser el punto de contacto con las autoridades de control.
42 ISO Responder. El CNIL, ICO e ISO proporcionan ya ejemplos de formularios de notificación.
43 ISO Responder. OODA Loop
44 ISO Lecciones aprendidas. Esta fase tiene por objetivo solventar posibles deficiencias en la gestión de incidentes o incorporar mejoras que permitan una mejor respuesta en la siguiente ejecución. De por tanto servir para: Depurar errores o actualizar información que se haya evidenciado obsoleta. Detectar nuevos mecanismos de control que puedan ser necesarios o mejorar los ya existentes. Revisar la eficacia del proceso de gestión. Analizar la información forense que todavía esté pendiente de procesar y que pueda aportar mejoras. Comunicar los resultados del proceso y realizar una valoración final del incidente.
45 Se puede perdonar el ser derrotado, pero nunca el ser sorprendido. Federico I el Grande, de Prusia.
CONTRATO DE ENCARGO DE TRATAMIENTO CON ACCESO A DATOS DE CARÁCTER PERSONAL
CONTRATO DE ENCARGO DE TRATAMIENTO CON ACCESO A DATOS DE CARÁCTER PERSONAL Mediante las presentes cláusulas se habilita a la entidad SOLUCIONES WEB ON LINE S.L con CIF B04437729 y domicilio social en C/
Más detallesANÁLISIS DE RIESGOS EVALUACIÓN IMPACTO BRECHAS DE SEGURIDAD. Andrés Calvo y Charo Heras Unidad de Evaluación y Estudios Tecnológicos
ANÁLISIS DE RIESGOS EVALUACIÓN IMPACTO BRECHAS DE SEGURIDAD Andrés Calvo y Charo Heras Unidad de Evaluación y Estudios Tecnológicos RGPD SI 10ª Sesión Anual Abierta de la AEPD. Teatros del Canal-Sala Roja.
Más detallesANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J]
ANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J] A continuación se presenta la ISO/IEC 27001:2005 [J] a manera de resumen con el objetivo de entender el alcance y contenido de la misma y comprender
Más detallesAspectos organizativos y técnicos del RGPD
Aspectos organizativos y técnicos del RGPD Joseba Enjuto Director de Consultoría jenjuto@nextel.es 18/10/2017 ÍNDICE Introducción Aspectos organizativos Aspectos técnico-operativos Riesgos y oportunidades
Más detallesCONTRATO DE ENCARGADO DEL TRATAMIENTO DE DATOS POR CUENTA DE LA UNIVERSIDAD DE OVIEDO (ARTÍCULO 28 RGPD)
CONTRATO DE ENCARGADO DEL TRATAMIENTO DE DATOS POR CUENTA DE LA (ARTÍCULO 28 RGPD) En, a de de 20.. Reunidos de una parte,.., Rector/a Magnífico/a de la Universidad de Oviedo en virtud del Decreto., y
Más detallesLa seguridad jurídica online
LA PROTECCIÓN CONTRA EL CIBERRIESGO EN LAS ORGANIZACIONES Y LA SEGURIDAD DE LA INFORMACIÓN Seguridad de datos personales orientada al riesgo Nacho Alamillo (ignacio.alamillo@logalty.com) Abogado, CISA,
Más detallesEl nuevo Reglamento Europeo de Protección de Datos: una aproximación a la conformidad legal
El nuevo Reglamento Europeo de Protección de Datos: una aproximación a la conformidad legal INSERTAR FOTO PONENTE opcional DR. CARLOS GALÁN Profesor UC3M Presidente ATL 1 Carlos Galán es Doctor en Informática,
Más detallesMEDIAS DE SEGURIDAD EN EL NUEVO RGPD.
MEDIAS DE SEGURIDAD EN EL NUEVO RGPD. 27 de febrero de 2018 MEDIDAS DE SEGURIDAD. ENFOQUE DEL RIESGO En la actual LOPD y su Reglamento de desarrollo, se establece tres niveles de seguridad (bajo, medio,
Más detallesLa Ley Orgánica 4/1997 regula en sus artículos 5 los supuestos en que es posible la utilización de cámaras móviles estableciendo lo siguiente:
La consulta plantea si resulta conforme a la normativa de protección de datos que la policía local, en el ejercicio de sus funciones de policía judicial en sentido genérico y en casos excepcionales de
Más detallesAuditoría» ISO/IEC 27001» Requerimientos
Auditoría» ISO/IEC 27001» Requerimientos El análisis de brechas: estado de aplicación de ISO/IEC 27001. 4: Sistema de Gestión de Seguridad de la Información 4.1: Requisitos generales 4.1.1 La organización
Más detallesNorma IRAM-ISO/IEC 27001
Norma IRAM-ISO/IEC 27001 Qué es ISO/IEC 27001? Standard Auditable. Marco para administrar un Programa de Seguridad de la Información. Permite considerar aspectos legales, reglamentarios y requisitos contractuales.
Más detallesGestión de la seguridad de la información: UNE 71502, ISO Antonio Villalón Huerta
Gestión de la seguridad de la información: UNE 71502, ISO 17799 Antonio Villalón Huerta avillalon@s2grupo.com Junio, 2004 Índice Introducción La norma UNE-ISO/IEC 17799 La norma UNE 71502 Gestión de la
Más detallesRGPD, DPO, ENS y ANY Como encaja todo
RGPD, DPO, ENS y ANY Como encaja todo Quienes somos Estamos ubicados en unas instalaciones inmejorables, en el Parc Científic de la Universitat de Valencia www.mobilizaacademy.com FORMACIÓN Y CERTIFICACIÓN
Más detallesObligaciones de responsables y encargados. Rafael García Gozalo Jefe del Departamento Internacional
Obligaciones de responsables y encargados Rafael García Gozalo Jefe del Departamento Internacional Responsabilidad activa y demostrable El Reglamento prevé que los responsables aplicarán las medidas técnicas
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesMejora del Sistema de Gestión n Ambiental Objetivos, Metas y Programas. Mejora del Sistema de Gestión Ambiental
Mejora del Sistema de Gestión Ambiental INDICE 1.- SISTEMAS DE GESTIÓN AMBIENTAL 2.- REQUISITOS DE LA ISO 14001:2004 1.Sistema de Gestión n Ambiental La parte del sistema general de gestión que incluye
Más detallesI.- Que [NOMBRE DE LA EMPRESA] (Encargado del Tratamiento) se dedica a la prestación de servicios de.
En Alcalá de Henares, a [ Fecha ] REUNIDOS De una parte, D. / Dña.., [CARGO EN LA UAH] de la Universidad de Alcalá, en nombre y representación de la Universidad de Alcalá (UAH) con sede en [DOMICILIO],
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03
DE SEGURIDAD DE LA INFORMACIÓN 21 de diciembre de 2015 POL-01-03 INDICE 1. Antecedentes... 2 2. Objeto... 2 3. Contexto del Desarrollo del SGSI en ZERTIFIKA... 2 4. Partes Interesadas, sus necesidades
Más detallesCONTRATO ENCARGADO DE TRATAMIENTO
En #POBLACION# a de de 20 CONTRATO ENCARGADO DE TRATAMIENTO REUNIDOS De una parte, Don provisto de DNI nº actuando como representante legal de con domicilio en y CIF nº en adelante RESPONSABLE DEL FICHERO.
Más detallesEl tratamiento de datos personales incluirá los siguientes aspectos:
Política de uso de datos como encargado de tratamiento conforme al artículo 28.3 del Reglamento (UE) 2016/679 General de Protección de Datos (Responsable a Encargado) ENVIRA INGENIEROS ASESORES, S.L. con
Más detallesReglamento Europeo de Protección de Datos: hacia un nuevo modelo europeo de privacidad Madrid, 17 de octubre de 2018
Reglamento Europeo de Protección de Datos: hacia un nuevo modelo europeo de privacidad Madrid, 17 de octubre de 2018 José Luis Piñar Mañas Catedrático de Derecho Administrativo Abogado Titular de la Cátedra
Más detallesAUDITORIA EN SISTEMAS NORMA DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA
AUDITORIA EN SISTEMAS NORMA 27000 DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN SUPERIOR GRUPO 30104 Bogotá, 07 de Octubre de 2013 NORMA 27000 Qué
Más detallesSEGURIDAD COMO ELEMENTO GENERADOR DE CONFIANZA
FORO DE LA SEGURIDAD La seguridad de la información en el Reglamento Europeo de Protección de Datos LA SEGURIDAD COMO ELEMENTO GENERADOR DE CONFIANZA Barcelona, 22 de noviembre de 2016 José Luis Piñar
Más detallesA conocer por medios electrónicos el estado de tramitación de los procedimientos en los que sean interesados
La Ley 11/2007, de Acceso Electrónico de los ciudadanos a los Servicios Públicos en su artículo 6 crea una serie de derechos como son entre otros muchos: Se reconoce a los ciudadanos el derecho a relacionarse
Más detalles*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 14 Marzo 2011 ÍNDICE S21Sec, Servicios
Más detallesISO Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García
ISO 20000 Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García Introducción Introducción, no llores = Introducción Requisitos del SGS objetivo + eficiencia y eficacia Reemplaza por completo a
Más detallesGestión del Riesgo en el Laboratorio
Gestión del Riesgo en el Laboratorio Integrado Mejora Continua Estructurado y Comprensible Factores Humanos y Culturales Principios para la Gestión de Riesgos Personalizado Mejor información disponible
Más detallesAPLICACIÓN N DE LA GESTIÓN N DE RIESGOS A LOS PRODUCTOS SANITARIOS
APLICACIÓN N DE LA GESTIÓN N DE RIESGOS A LOS PRODUCTOS SANITARIOS María Aláez DIRECTORA TÉCNICA QUÉ ES EL ANÁLISIS DE RIESGOS? Es un ejercicio metodológico que consiste en prever todos los posibles riesgos
Más detallesEJEMPLO - REGISTRO DE ACTIVIDADES DE TRATAMIENTO
EJEMPLO - REGISTRO DE ACTIVIDADES DE TRATAMIENTO RESPONSABLE DEL TRATAMIENTO Datos identificativos del Responsable del tratamiento: Clínica dental San Vicente CIF B52410033 C/ San Vicente, 8 bajo 28550
Más detallesAproximación legal al RGPD
Aproximación legal al RGPD Xavier Ribas PUNTOS CLAVE Prioridades a tener en cuenta 1 CONSENTIMIENTO 2 EIPD - PIA 3 DPD - DPO 4 INTERÉS LEGÍTIMO 5 VIOLACIONES DE DATOS 6 OTRAS MATERIAS 20 M 20 M Los resultados
Más detallesAPENDICE A REQUISITOS 4 A 8 DE LA NORMA ISO 9001:2000*
Apéndice A 80 APENDICE A REQUISITOS 4 A 8 DE LA NORMA ISO 9001:2000* 4. SISTEMA DE GESTION DE CALIDAD 4.1. Requisitos generales. La alta dirección debe proporcionar evidencia de su compromiso con el desarrollo
Más detallesNovedades legislativas en Protección de Datos: Estás preparado para adaptarte al Reglamento General de Protección de Datos?
Novedades legislativas en Protección de Datos: Estás preparado para adaptarte al Reglamento General de Protección de Datos? Luis María Gómez Guerrero Consultor de Protección de Datos PSN SERCON 1 INTRODUCCIÓN
Más detalles*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, CRISC, CDPP, Lead Auditor, QSA Fecha: 21 Diciembre 2011
Más detallesVerificación. Revisión por la Dirección
15 Verificación. Revisión por la Dirección ÍNDICE: 15.1 Verificación 15.1.1 Seguimiento y medición 15.1.2 Evaluación del cumplimiento legal 15.1.3 No conformidad, acción correctiva y acción preventiva
Más detallesLección 11: Análisis y Gestión de Riesgos
Lección 11: Análisis y Gestión de Riesgos Dr. José A. Mañas jmanas@dit.upm.es Departamento de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid Definición Seguridad de las redes y de
Más detallesRequerimientos [Señalar los requerimientos que debe de cumplir el SGSI, deberá considerar los factores críticos de gobernabilidad.
HOJA 1 de 7 APENDICE IV Formato F4 - Administración de la seguridad de la información Formato F4 1. DEFINICIÓN DEL SGSI: Situación actual [Señalar el estado actual en materia protección de activos tecnológicos
Más detallesDecreto No. 451/009. RESULTANDO: I) Que razones de juridicidad y conveniencia imponen regular el funcionamiento y organización del CERTuy.
Decreto No. 451/009 VISTO: Lo dispuesto en el artículo 73 de la Ley No. 18.362, de 6 de octubre de 2008, que crea el "Centro Nacional de Respuesta a Incidentes de Seguridad Informática" (CERTuy) en la
Más detallesGLOSARIO. A continuación se relacionan conceptos básicos dentro del tema de emergencias.
GLOSARIO A continuación se relacionan conceptos básicos dentro del tema de emergencias. 1 Accidente Evento indeseado o interrupción repentina no planeada de una actividad que resulta en daño a las personas,
Más detallesNueva LEY GENERAL de PROTECCION de DATOS 2018
Nueva LEY GENERAL de PROTECCION de DATOS 2018 TRATAMIENTO DE DATOS DE CLIENTES Clausula informativa: Responsable: Identidad: MundoAudio SC - NIF: J99226656 Dir. Postal: Calle Pilar Miró 6 1A Teléfono:
Más detallesIndice DIRECTRICES PARA LA ELABORACIÓN DE CONTRATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO 1
Indice 1.- Qué es un encargado del tratamiento y cuál es su función principal?... 2 2.- Qué tratamientos puede llevar a cabo un encargado sobre los datos que le han sido encomendados?... 3 3.- Qué nivel
Más detallesCaminos y Puentes Federales de Ingresos y Servicios Conexos
Página 1 de 7 Fecha de la auditoria: d d m m a a Proceso Auditado: rma auditada: 4.2 Política ambiental La alta dirección debe tener definida una política ambiental La política ambiental debe ser apropiada
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN SECRETARÍA DE ESTADO DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN
Más detallesAproximación legal al RGPD
Aproximación legal al RGPD Laura Mas PUNTOS CLAVE Prioridades a tener en cuenta 1 CONSENTIMIENTO 2 MEDIDAS DE SEGURIDAD 3 EIPD - PIA 4 5 DPD - DPO VIOLACIONES DE DATOS 6 OTRAS MATERIAS CONSENTIMIENTO Antes
Más detallesPROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN EN LAS DIPUTACIONES PROVINCIALES
PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN EN LAS DIPUTACIONES PROVINCIALES 23 de octubre de 2017 Javier Peña Alonso Principios. El Reglamento prevé que los responsables aplicarán las medidas técnicas
Más detallesEl encargado del tratamiento en el Reglamento General de Protección de Datos (RGPD)
El encargado del tratamiento en el Reglamento General de Protección de Datos (RGPD) Este documento, elaborado por la Autoridad Catalana de Protección de Datos en colaboración con la Agencia Española de
Más detallesMANUAL DE PROCESOS Y PROCEDIMIENTOS CONTROL DE PRODUCTO NO CONFORME
Pág. 2 de 12 2. CARTA DE PROCESO Nombre del Proceso: Dueño del Proceso: Propósito: Clientes Internos: Clientes Externos: Control de Producto No Conforme. Responsables de procesos en los 3 niveles. Asegurar
Más detallesEMISIÓN. Aplica a todos los procesos definidos dentro del alcance de cada Sistema de Gestión de Pronósticos para la Asistencia Pública.
DIRECCIÓN GENERAL 2 11 DE LA DIRECCIÓN I. OBJETIVO Establecer los criterios de las revisiones por la Dirección General al Sistema Integral de Gestión de Pronósticos para la Asistencia Pública, asegurar
Más detallesGUIA DE AUDITORIA BASADA EN RIESGOS PARA TECNOLOGIA DE INFORMACIÓN (TI) EN LA BANCA PÚBLICA
GUIA DE AUDITORIA BASADA EN RIESGOS PARA TECNOLOGIA DE INFORMACIÓN (TI) EN LA BANCA PÚBLICA Maestría en Evaluación y Auditoría de Sistemas Tecnológicos Integrantes: Tannya Benalcázar Martínez Carlos Quinga
Más detallesCÓDIGO FECHA DE REVISIÓN No. DE REVISIÓN PÁGINA
PRDG-06 Septiembre 2006 0 1 de 8 1. OBJETIVO: Establecer una metodología que permita detectar, analizar y eliminar las causas de no conformidades potenciales en Universal International Services con el
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
1. APROBACIÓN Y ENTRADA EN VIGOR Texto aprobado el día 29 de noviembre de 2016 por el Comité de Calidad y Seguridad. Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que
Más detallesPRESENTACIÓN CORPORATIVA. w w w. g l o b a l s u i t e. e s
PRESENTACIÓN CORPORATIVA w w w. g l o b a l s u i t e. e s 2. Compañía Por qué Audisec? Audisec es una compañía especializada en la implantación e integración de procesos de mejora organizacional basados
Más detallesPolítica de seguridad
1001 - Política de seguridad Parc Científic i Tecnològic Agroalimentari de Lleida (PCiTAL) Edifici H1, 2a planta B 25003 Lleida (Spain) (+34) 973 282 300 info@lleida.net Control Documental Fecha Versión
Más detallesSistema de Gestión Ambiental ISO Luis Antonio González Mendoza Luis E. Rodríguez Gómez
Sistema de Gestión Ambiental ISO 14001 Luis Antonio González Mendoza Luis E. Rodríguez Gómez Beneficios para la 0rganización Ahorro de costes Incremento de la eficacia Maores oportunidades de mercado Maor
Más detallesElementos claves para el cumplimiento de la Norma ISO 15489
Jornada sobre Normas, normativa y legislación en gestión de documentos (Records Management) en España Elementos claves para el cumplimiento de la Norma ISO 15489 José Alberto Alonso Consultor en gestión
Más detallesIMPRENTA NACIONAL DE COLOMBIA ANALISIS BRECHA O ANALISIS GAP. 4.1 Requisitos generales GI-A-PR Política ambiental 1) GI-A-IN-5 2) GI-A-IN-6
Fecha: Realizado por: CARLOS ESTEBAN SANABRIA CARVAJAL Detalles de la localización del sitio: Carrera 66 No. 24 09 barrió el Salitre localidad No.9 de Fontibón IMPRENTA NACIONAL DE COLOMBIA ANALISIS BRECHA
Más detallesAnexo O. Cálculo de la Inversión del Proyecto
. Participantes del Proyecto Anexo O. Cálculo de la Inversión del Proyecto Participante Descripción Cargo Representante Patrocinador del Comité de Seguridad Responsable Del Consultor Experto en seguridad
Más detallesMODELO DE UN SISTEMA DE GESTIÓN DE LA CALIDAD BASADO EN PROCESOS
MODELO DE UN SISTEMA DE GESTIÓN DE LA CALIDAD BASADO EN PROCESOS MEJORA CONTINUA DEL SISTEMA DE CALIDAD NECESIDADES Y ESPECTATIVAS RESPONSABILIDAD DE LA DIRECCIÓN SATISFACCION GESTIÓN DE RECURSOS MEDICIÓN,
Más detallesSantos Pardos 24 de mayo de 2018
Implantación de un marco de protección del dato y privacidad en las empresas para cumplimiento RGPD (GDPR) (DP & P MS, Data Protection and Privacy Management Systems) Santos Pardos santos@cartv.es 24 de
Más detallesPROCEDIMIENTO ACCIONES PREVENTIVAS, CORRECTIVAS Y DE MEJORA
Página 1 de 6 1. OBJETIVO Describir los criterios y metodología para la formulación de acciones preventivas y correctivas, que permitan eliminar la causa de una no conformidad real o potencial del SGC.
Más detallesLISTA DE VERIFICACIÓN PARA AUDITORÍA DE LA NORMA ISO 14001:2015
LISTA DE VERIFICACIÓN PARA AUDITORÍA DE LA NORMA ISO 14001:2015 Este documento es una guía para darle una indicación de su preparación para la auditoría según la norma ISO 14001: 2015. Puede ser útil usar
Más detallesDirección de Planeación y Evaluación 1
Control de Registros Sistema Tabla de Contenido 1. OBJETIVO... 2 2. ALCANCE... 2 3. NORMATIVIDAD... 2 3.1. Directrices... 2 3.2. Lineamientos... 2 4. RESPONSABILIDADES... 2 4.1. Responsable del Proceso...
Más detallesGDPR: 4 claves sobre Seguridad para afrontar un cumplimiento efectivo. Zulayka Vera Líder de Consultoría de Seguridad, IBM
GDPR: 4 claves sobre Seguridad para afrontar un cumplimiento efectivo Zulayka Vera Líder de Consultoría de Seguridad, IBM zulaykavera@es.ibm.com Prevención Responsabilidad proactiva Desde el diseño Técnicas
Más detallesAnálisis centros de seguridad
www.s2grupo.es Análisis centros de seguridad S2 Grupo Gestión de incidentes de Seguridad Antonio Villalón Contenidos Incidentes de Seguridad Detección y notificación Respuesta ante incidentes Respuesta
Más detallesQUIERES SER AUDITOR?
QUIERES SER AUDITOR? GESTIONAR CON ÉXITO LAS AUDITORÍAS INTERNAS DE CALIDAD 1. GENERALIDADES 1.GENERALIDADES 2. ISO 9001 Y AUDITORÍAS INTERNAS 3. FASES AUDITORIAS 3.1.PREPARACIÓN 3.2.REALIZACIÓN 3.3.INFORME
Más detallesChecklist para Auditorías Internas ISO 9001:2015 y para
Checklist para Auditorías Internas ISO 9001:2015 y para Análisis de Brechas. Cláusula 7 7. Soporte 7.1 RECURSOS 7.1.1 GENERALIDADES La organización ha determinado y proporcionado los recursos necesarios
Más detallesINDICE Página 1. INTRODUCCIÓN DOCUMENTACIÓN APLICABLE DEFINICIONES CLASIFICACIÓN DE DESVIACIONES... 3
INDICE Página 1. INTRODUCCIÓN... 1 2. OBJETO Y CAMPO DE APLICACIÓN... 2 3. DOCUMENTACIÓN APLICABLE... 2 4. DEFINICIONES... 2 5. CLASIFICACIÓN DE DESVIACIONES... 3 6. TRATAMIENTO DE LAS DESVIACIONES...
Más detalles1.- Puesta en Marcha de un Proyecto
1.- Puesta en Marcha de un Proyecto 1.- Designar el Ejecutivo y el Project Manager: Revisar el mandato de proyecto y su comprensión. Designar el ejecutivo: Establecer sus responsabilidades. Preparar una
Más detallesAnexo 2. Plan de Implementación del SGC para BDV, S.A., basado en la Norma ISO 9001:2015
FASE 1. DIAGNÓSTICO DEL SGC 1 Aprobar realización de diagnóstico de la organización. 2 Realizar diagnóstico (aplicando herramienta). Herramienta de Diagnóstico. Herramienta y resultado de Diagnóstico.
Más detallesP-15 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN
POLÍTICA DE SEGURIDAD EN LA RESPUESTA A INCIDENTES DE SEGURIDAD P-15 2011 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido
Más detalles1. OBJETO Y CAMPO DE APLICACIÓN 2. PUBLICACIONES PARA CONSULTA
OHSAS 18001:2007 Página 1 de 11 1. OBJETO Y CAMPO DE APLICACIÓN Este estándar de la Serie de Evaluación de la Seguridad y Salud en el Trabajo (OHSAS) especifica los requisitos para un sistema de gestión
Más detallesEl Análisis de Riesgos en el Reglamento Europeo de Protección de Datos
El Análisis de Riesgos en el Reglamento Europeo de Protección de Datos INSERTAR FOTO PONENTE opcional DR. CARLOS GALÁN Profesor UC3M Presidente ATL 1 Carlos Galán es Doctor en Informática, Abogado especialista
Más detallesNOTA INFORMATIVA SOBRE OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES TRAS LA ENTRADA EN VIGOR DEL REGLAMENTO (UE) 2016/679
NOTA INFORMATIVA SOBRE OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES TRAS LA ENTRADA EN VIGOR DEL REGLAMENTO (UE) 2016/679 1. INTRODUCCION La presente nota se expide en virtud de la entrada
Más detallesPOLÍTICA DE PROTECCIÓN DE DATOS
POLÍTICA DE PROTECCIÓN DE DATOS FREMAP está comprometida, de acuerdo a su Misión, Visión y Valores, a mantener y mejorar su modelo de gestión basado en la mejora continua y la innovación, cuyos factores
Más detallesNovedades Legislativas en materia de. Protección de Datos. Reglamento de Protección de Datos UE 2016/679
Circular nº 63/2017 Novedades Legislativas en materia de Protección de Datos Reglamento de Protección de Datos UE 2016/679 1 Novedades Legislativas en materia de Protección de Datos Reglamento de Protección
Más detallesTipos de Ficheros. Medida de seguridad en el tratamiento de datos de carácter personal. Documento de seguridad.
Módulo XI. PROTECCION DE DATOS DE CARÁCTER PERSONAL II EDICIÓN Tipos de Ficheros. Medida de seguridad en el tratamiento de datos de carácter personal. Documento de seguridad. Ponente: Manuel Peña Zafra
Más detallesSERVICIOS DE CERTIFICACIÓN APELACIONES Y QUEJAS
Pág. 1 de 5 1 GENERAL 1.1 Objetivos Describir un proceso estándar y estructurado para gestionar (registrar, analizar, procesar, atender y dar seguimiento) las Apelaciones y Quejas de clientes derivadas
Más detallesCaso Práctico: Proyecto de Certificación ISO 27001
Caso Práctico: Proyecto de Certificación ISO 27001 SER MÁS LÍDERES 21 Junio 2.006 Índice 01 La Problemática 02 Qué es un Sistema de Gestión? 03 Qué es un SGSI? 04 Por qué un SGSI? 05 Qué es la Norma ISO/IEC
Más detallesLOPD EN L A E M P R E S A
B o l etí n 06/ 1 8 LOPD EN L A E M P R E S A A U T O R : J U L I O C É S A R M I G U E L P É R E Z EL RGPD UE 2016/679 EN APLICACIÓN Por qué nos interesa el considerando 47? En el Reglamento (UE) 2016/679
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesISO 50001:2011 SOLUCIONES EFICIENTES, RESPONSABLES Y SEGURAS
ISO 50001:2011 SOLUCIONES EFICIENTES, RESPONSABLES Y SEGURAS www.sustant.es www.sustantperu.com www.sustant-international.com ANTECEDENTES DE LA NORMA DE GESTIÓN BENEFICIOS POTENCIALES PARA LA ORGANIZACIÓN
Más detallesAPLICACIÓN DE LA NORMA ISO A LA GESTIÓN DEL RIESGO DE FRAUDE
APLICACIÓN DE LA NORMA ISO 31000 A LA GESTIÓN DEL RIESGO DE FRAUDE Carlos Restrepo Oramas CISA, CISM, CGEIT, CRISC, CBCP, Lead Implementer ISO 22301, ISO 27001, ISO 20000 Lead Auditor ISO 22301, ISO 27001,
Más detallesDATOS IDENTIFICATIVOS DEL DOCUMENTO
DATOS IDENTIFICATIVOS DEL DOCUMENTO Centro Directivo Servicio Proyecto Descripción del documento SGSI-OP Política de Seguridad de la Información que recoge los principios e intenciones del Organismo Pagador
Más detallesPolítica de Privacidad
Política de Privacidad Introducción La presente Política de Privacidad ha sido desarrollada teniendo en cuenta lo dispuesto por la Ley Orgánica de Protección de Datos de carácter personal en vigor, así
Más detallesPolítica de Privacidad
Introducción La presente Política de Privacidad ha sido desarrollada teniendo en cuenta lo dispuesto por la Ley Orgánica de Protección de Datos de carácter personal en vigor, así como por el Reglamento
Más detallesCertified Cyber Security Professional (CCSP)
1 Certified Cyber Security Professional (CCSP) Formulario de solicitud para el Programa de Reconocimiento de Méritos Profesionales 2 INFORMACIÓN PERSONAL Apellidos Nombre NIF o pasaporte Soy socio de ISMS
Más detallesDirección y Gerencia
Sistema de Gestión de Seguridad de la Información (SGSI) Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información DIRIGIDA A : Dirección y Gerencia Segunda Sesión Proyecto de
Más detallesLa organización debe planificar e implementar los procesos de seguimiento, medición, análisis y mejora necesarios para:
8. MEDICIÓN,ANÁLISIS Y MEJORA 8.1 GENERALIDADES La organización debe planificar e implementar los procesos de seguimiento, medición, análisis y mejora necesarios para: Demostrar la conformidad del producto
Más detallesMódulo 5: Implantación de un SGSI
Módulo 5: Implantación de un SGSI Aspectos generales: La primera consideración importante que tiene que hacerse a la hora de abordar la implantación de un SGSI es restringirse a un ámbito manejable y reducido.
Más detallesAUDITORIA INTERNAS DE CALIDAD SIDECOMEX
Curso de Entrenamiento Metodología de Auditores Internos de Calidad AUDITORIA INTERNAS DE CALIDAD SIDECOMEX OBJETIVOS Desarrollar habilidades de auditores para la desarrollo entrevistas y preparación de
Más detallesSEGURIDAD, NUEVOS RETOS
SEGURIDAD, NUEVOS RETOS APROSIP Profesionales de la Seguridad Medidas de seguridad en infraestructuras críticas y certificaciones normativas Sevilla, 26 de noviembre de 2015 Universidad Pablo de Olavide
Más detallesSISTEMA DE GESTIÓN DE INSTALACIONES Y EFICIENCIA ENERGÉTICA (SGIEE) Compromisos y Responsabilidades del SGIEE
SISTEMA DE GESTIÓN DE INSTALACIONES Y EFICIENCIA ENERGÉTICA (SGIEE) Compromisos y Responsabilidades del SGIEE Dirección General de Infraestructuras, Campus y Sostenibilidad Título Entregable Nombre del
Más detallesLista de la Verificación de la Gestión Ambiental 1
Lista de la Verificación de la Gestión Ambiental 1 Sección Punto de Control Cumplimiento 4. Requisitos del Sistema de Gestión Ambiental 4.1 Requisitos generales La organización, ha establecido, puesto
Más detallesGRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29
GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29 18/ES WP250rev.01 Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679
Más detallesPlan de mejora de la Seguridad de la Información, a través de la implantación de un SGSI. Informe Ejecutivo
Plan de mejora de la Seguridad de la Información, a través de la implantación de un SGSI Informe Ejecutivo Nombre Estudiante: Carlos Vila Martínez Programa: Proyecto Final de Posgrado Gestión y Auditoría
Más detallesSISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (ISO/IEC 27001)
SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (ISO/IEC 27001) 1 Temario del Curso Conceptos fundamentales. Seguridad de la información. Normas aplicables. Las Normas ISO/IEC 17799 -- ISO/IEC 27001
Más detalles