Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
SEMINARIOPROTECCIÓN DE DATOS PERSONALES
Y SEGURIDAD DE LA INFORMACIÓN.
Miércoles 17 de mayo de 2017
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Conversatorio
1. Los empresarios ¿cómo pueden prevenir los
riesgos asociados por incumplimiento de la Ley de Protección de Datos (1581 de 2012)?
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Ejemplos Empresariales
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Ejemplos Empresariales
Algunas sanciones
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Lo que no es una implementación No identificar los factores de riesgo inherentes a la entidad.
No es solo pedir autorizaciones para el tratamiento.
No contar con manuales de políticas y procedimientos.
No tener en cuenta el modelo de negocio.
No contar con canales de comunicación con los titulares de la información.
No vincular al personal de la entidad de una manera proactiva.
SEMINARIOPROTECCIÓN DE DATOS PERSONALES, REGISTRO NACIONAL DE BASE DE DATOS Y SEGURIDAD DE LA INFORMACIÓN.
PASO 1AUDITORIA
PASO 2DOCUMENTACION
PASO 3
SENSIBILIZACION
Cumplimiento Ley 1581 de 2012
Proceso de implementación de la norma
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Conversatorio
2. ¿Y el tema de la seguridad de la información cómo se engrana con la
protección de datos?
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Seguridad de la información S.I
Modelo de mejora continua
ProtegerActivos de
informaciónObjetivos
de negocioAlcanzar
Gestión del riesgo
PII
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Activos de información?
Información = Activo
Dat
os
Co
no
cim
ien
to
Software
Procedimientos
Digital
Fisico
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Propiedades de la S.I.
Confidencialidad: La información nose hace disponible o revelada aindividuos, entidades o procesos noautorizados.
Disponibilidad:Información accesible y utilizable porsolicitud de entidad autorizada.
Integridad: Exactitud y completitud.
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Riesgos en S.I.
¿Riesgos?
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Riesgos y controles en S.I.
RIESGO: Posibilidad (probabilidad) que suceda algún evento que impacte (consecuencia) los objetivos de negocio (AS/NZS 4360)
Efecto de la incertidumbre en los objetivos
IMPACTO: Resultado de un evento de riesgo (ISO Guide 73)
PROBABILIDAD: Oportunidad de ocurrencia de un evento de riesgo (AS/NZS 4360)
CONTROL: Proceso, política, dispositivo, práctica y acciones que optimizan el riesgo (AS/NZS 4360) o lo transforman.
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Gestión del riesgo en S.I.
Establecer el contexto
Identificar los riesgos
Analizar los riesgos
Evaluar los riesgos
Tratar los riesgos
Seguimiento y revisión
Comunicación y consulta
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Dominios de control en S.I.Política de S.I.
Gestión de activos
Control de acceso
Organización de SI
Recursos humanos
Criptografía
Cumplimiento*
Proveedores
S.I. continuidad negocio
Incidentes en SI
Seguridad en operaciones
ADM de sistemas
Seguridad física y ambiental
Seguridad en comunicaciones
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
SECTOR NORMAS APLICACIÓN
Financiero y asegurador
CBJ (Circular Externa 029 de 2014) modificadaCE 028, 049, 053 de 2016
CE 052 de 2007 (Modificada CE 022 de 2010, CE 026 de 2011, CE 042 de 2012)
Canales, medios, seguridad y calidad en el manejo de información en la prestación de servicios financieros.
Gobierno
CONPES 3854 - Política seguridad digitalCONPES 3701 - Ciberseguridad/ciberdefensaCONPES 3248 - Renovación admin públicaCONPES 3072 - Agenda de conectividadEstrategia Gobierno en LíneaMarco de Referencia de Arquitectura TI Modelo seguridad y privacidad (MSPI)Ley 1712 de 2014 (transparencia)Decreto 1080 de 2015
Seguridad y privacidad de la información en gobierno
PostalLey 1369 de 2009Resolución 3680 de 2013
Seguridad de la información y TI
S.I. por sector
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
SECTOR NORMAS APLICACIÓN
SolidarioCE financiera y contable 04/08SIAR (SGR) CE 15/2015Circular básica jurídica 2015 SIPLAFT
Aseguramiento de información financiera y LAFT
Agencias de aduana, puertos, comercializadoras, exportadores, importadores, transportadores, intermediario, zona franca
Decreto 3568 de 2011Decreto 1894 de 2015
Análisis y administración del riesgo;Seguridad de los procesos;Seguridad en tecnología de información
Educación - IESDecreto 1295 2010 MENGuía 3 CNA- Autoevaluación pregrado. Acuerdo 0171 2012 – Guía acreditación CNSC
Acreditación IES
Salud (Acreditación) Resolución 1445 2006Servicios de información, Necesidades de información, Seguridad de la información
S.I. por sector
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
SECTOR NORMAS APLICACIÓNLaboratorios(metrología y calibración)
Decreto 2269 SNNCM (Mod. Decreto 3144 2008 y Decreto 3257 2008 SNCA)Decreto 1011 2006 SOGC Decreto 1074 2015 (compilatorio)Decreto 1471 2014 (reorganiza SNCA)Decreto 1595 2015 (SNCA)
ISO 17025
Acreditación
Certificación de personas (CRC y CALE)
ISO 17024Resolución 1349 2017
Certificación sistemas de gestiónISO 17021ISO 27006ISO 28003
Organismos de Inspección ISO 17020
Ley 527 de 1999Decreto Ley 019 de 2012Decreto 333 de 2014Decreto 1471 de 2014
Certificación digital
Certificación de producto ISO 17065
S.I. por sector
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Conversatorio
3. ¿Qué novedades existen para las
empresas en materia de gestión de datos personales?
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Gestión de datos personales
SISTEMA DE GESTIÓN DE DATOS PERSONALES
IMS-DP-001:2013/Cor2:2017
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Gestión de datos personales
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Gestión de datos personales
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
¿Por qué se necesita?
Ley 1266/2008
Ley 1581/2012
Protección de datos a nivel empresarial
¿Cómo implementar? ¿Cómo controlar?¿Cómo asegurar? ¿Es homogéneo en el sector?
Existe un vacíoConceptual/metodológico
Decreto 2952/2010Decreto 1377/2013Decreto 886/2014Decreto 1759/2016
Dec. 1074/2015
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
¿Por qué se necesita?
Ley 1266/2008
Ley 1581/2012
Decreto 2952/2010Decreto 1377/2013Decreto 886/2014Decreto 1759/2016
Dec. 1074/2015
Asegura la incorporación del marco completo de requisitos
Facilita la implementación
Homogeneiza criterios
Otros requisitos:
- Ley 1437/2011 (C.P. Admin)
(Cód. Proc. Administrativo)
- Ley 594/2000 (G/Documental)
- Dec 1080/2015 (G/Documental)
- Ley 1712/2014 (Transparencia)
- Ley 87/1993; Dec. 943/2014
(Gestión del riesgo)
Norma técnica internacionalIMS-DP-001:2013/Cor2:2017
Guías SIC
Protección de datos a nivel empresarial
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
¿Cómo funciona?
Requisitos
IMS-DP-001
Guía auditoría
IMS-DP-003
Código prácticaIMS-DP-002-CO
(Colombia)
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
¿Cómo funciona?
PLANEAR- Diagnóstico- Contexto- Riesgos
HACER- Implementar- Operar- Capacitar- G/Incidentes
VERIFICAR- Monitoreo- Auditoría
ACTUAR- Aprendizaje
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Ventajas
Tranquilidad sobre el manejo adecuado de los datos(evitando la probabilidad de multas/sanciones)
Reducción de costos de operación y mantenimiento
Transmitir confianza a clientes y usuarios
Mejorar la imagen de la organización en el mercado
Demostrar respeto a empleados y partes interesadas
Fácil integración con otros sistemas de gestión(ej: calidad, seguridad de la información…)
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Gestión de datos personales
ORGANIZACION DE MUESTRA SASCalle 100 No. 15 – 01Bogotá, D.C.Colombia
IMS-DP-001:2013/Cor2:2017Sistema de gestión de datos personales
Alcance de la organización – objeto social de la organización (resumido) en los procesos, oficinas y demás aplicables
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
Conversatorio
4. ¿Qué ventajas competitivas adquieren las empresas con el cumplimiento de la Ley de
Protección de Datos y lo expuesto anteriormente?
MIércoles 17 de mayo de 2017
SEMINARIOPROTECCIÓN DE DATOS PERSONALES Y SEGURIDAD DE LA INFORMACIÓN.
¿INQUIETUDES?
[email protected]: Protección datos personales
Teléfono (1) 3790300. Ext. 1104-1106-1108-1109