Embed Size (px)
Citation preview
Planes de adecuación al RGPD Aspectos prácticos Madrid, 20/diciembre/2018
Pablo Abellanas - EXEVI
PROGRAMA OFICINAS DE TRANSFORMACIÓN DIGITAL Cofinanciado por el Programa Operativo Plurirregional de España (POPE) (C-027/17-ED)
Índice
1. Planes de adecuación al RGPD.
2. Evaluación de Impacto en la Protección de Datos.
3. Análisis de Riesgos.
4. La Seguridad de la Información y la protección de datos personales.
1. Planes de adecuación al RGPD.
Planes de adecuación al RGPD
¿Qué tenemos que hacer las empresas?
1. Registro de actividades de tratamiento
2. Análisis de riesgos de dichos tratamientos
3. Análisis de impacto en la privacidad, cuando el riesgo sea alto
4. Establecer controles para gestionar el riesgo e implantarlos
5. Nombrar un DPD/DPO, si está obligado a ello o voluntariamente
6. Establecer procesos para gestionar derechos de los afectados y las brechas de seguridad (Notificar a la AEPD y afectados las brechas de seguridad)
7. Tener en cuenta la privacidad de datos personales en TODAS las iniciativas de la empresa (Analizar iniciativas y actualizar el Registro de Actividades de Tratamiento)
8. Firmar contratos con Encargados y/o Responsables de los tratamientos
Planes de adecuación al RGPD Registro de actividades de tratamiento. Ejemplo:
Código PR0101 PR0102
Proceso de tratamiento Envío masivo de correo electrónico a clientes Eventos
Descripción Se envían, por correo electrónico, comunicaciones de contenido comercial con el fin
de promocionar el producto y soluciones que ofrece la Empresa, así como de
novedades relativas a la entidad.
Se envían comunicaciones comerciales relativas a eventos concretos organizados por la Empresa
en el que se solicita inscripción a dicho evento.
Persona Responsable N.nnnnnnn M.mmmmmm
Afectados (i) Contacto cliente, (ii) Potenciales clientes (iii) Partners
(iv) Empleados
(i) Contacto cliente, (ii) Potenciales clientes (iii) Partners (iv)
Empleados
Volumen de afectados (i) Cliente - 140 acivos (1400), (ii) Potenciales - 200 (1000),
(iii) Partners - 24 (120) (iv) Empleados 150
(i) Cliente - 140 acivos (1400), (ii) Potenciales - 200 (1000), (iii) Partners
- 24 (120) (iv) Empleados 150
Tipos de datos personales Nombres, apellidos, correo electrónico, empresa, puesto, otros datos de interés
(texto libre)
Nombres, apellidos, correo electrónico, teléfono, país de residencia, empresa, puesto, otros datos
de interés (texto libre). En ocasiones matrícula vehículo, DNI, restricciones alimentarias, alergias y
otros datos a tener en cuenta relacionado con la asistencia a eventos
Origen (i) A través de Sistema (ii) Propio interesado (i) A través de Sistema (ii) Propio interesado
Base de legitimación Consentimiento Consentimiento
Finalidades
(i) Realizar campañas de marketing para promocionar los productos y soluciones de
la Empresa.
(ii) Invitaciones a eventos
(iii) Comunicar novedades relativas a la entidad
(i) Gestionar la participación e inscripción en el evento
(ii) Envío de información posterior relacionada con el evento.
Sistemas (i) Aplicación aaa
(ii) Sharepoint
(iii) Sitios Web gestionados por la Empresa
(i) Aplicación aaa
(ii) Sitios Web gestionados por la Empresa
(iii) Excel en ordenador personal portátil sin disco encriptado
Localización de los datos
personales CPD de la Empresa
Nube Microsoft
CPD de la Empresa
Nube Microsoft
Departamentos con acceso (iii) Operativo (1)
(iv) Marketing (3)
(iii) Operativo (1)
(iv) Marketing (3)
Encargados del tratamiento (i) Proveedor. IT
(ii) Microsoft
(i) Proveedor. IT
(ii) Microsoft.
Cesiones No aplica. Cliente o empresa con la que se organiza el evento de forma conjunta.
Transferencias fuera de la
UE
EEUU (Microsoft). No obstante, Microsoft es una entidad adherida al Privacy Shield
y por tanto, puede garantizar un nivel adecuado en la seguridad de los datos
personales a los que tiene acceso.
EEUU (Microsoft). No obstante, Microsoft es una entidad adherida al Privacy Shield y por tanto,
puede garantizar un nivel adecuado en la seguridad de los datos personales a los que tiene
acceso.
Periodo de conservación (i) Cuando el contacto causa baja en su empresa
(ii) Cuando el contacto nos pide que le demos de baja. SIN DEFINIR UN
PLAZO
(i) Cuando el contacto causa baja en su empresa
(ii) Cuando el contacto nos pide que le demos de baja. SIN DEFINIR UN PLAZO
Planes de adecuación al RGPD Procesos de gestión GDPR. Ejemplo:
Responsable
departamentoPersona Responsable privacidad AEPD Área afectada
PR3901
Implantar
nuevo
tratamiento
1
PR3902
Gestionar
solicitudes de
personas
2
PR3903
Gestionar
brechas de
seguridad
3
Proyecto
diseñado
Registro de
actividad
actualizado
Solicitud de
acceso,
rectificación,
supresión,
limitación,
oposición
Notificación de
resultado
Notificación de
brecha de
seguridad
Notificación de
brecha de
seguridad
Resultado de
acciónRegistro
brechas de
seguridad
Notificación de
brecha
Datos de
personas
actualizados /
eliminados
PRNN
Ejecutar
procesos de
negocio 4
-Datos
personales
-Consentimientos
-Notificaciones
Planes de adecuación al RGPD Procesos de gestión GDPR. Ejemplo: Implantar nuevo tratamiento
Responsable departamento Responsable privacidadEquipo análisis
PIA
Responsable
implantación acción de
mitigación
Responsable de
proveedoresAEPD
Inicio
Diseñar
proyecto de
puesta en
marcha o
modificación de
producto,
proceso,
subcontratación1
Incluye datos
personales?
Completar,
actualizar ficha
tratamiento2
Sí
Ficha
tratamiento
Analizar
cumplimiento3
Cumplimiento
OK?
Incumplimientos o
recomendaciones
No
Proyecto
diseñado
Analizar si se
requiere PIA4
Sí
PIA
Requerida?
Realizar
análisis PIA6
Sí
Informe PIA
Incluye
acciones de
mitigación?
Actualizar
registro de
actividad10
No
Registro de
actividad
actualizado
Implantar
acciones de
mitigación 9
Sí
Resultado
acciones de
mitigación
Acciones
finalizadas?
No
Sí
Incluye nuevo
proveedor con
acceso a
datos?
Elaborar
contrato de
encargado de
tratamiento5
Sí
NoContrato de
encargado de
tratamiento
Incluye acción
no mitigable?
Realizar
consulta AEPD7
Sí
Consulta de
riesgo no
mitigable
Analizar y
contestar
consulta 8
Contestación
consulta
favorable?
Sí
No
Implantar
proyecto11
FIN
2. Evaluación de Impacto en la Protección de Datos
Evaluación de impacto
De todos los tratamientos: cualificar y seleccionar procesos sensibles Se utilizan los siguientes criterios propuestos por el Grupo de Trabajo del Artículo 29 en su documento Guidelines on Data Protections Impact Assessment (DPIA) and determinig wheter processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, publicadas por el Grupo de Trabajo del artículo 29 el 4 de octubre de 2017 (en adelante, “WP 248”):
• Sensibilidad del dato
• Volumen de datos
• Perfilado
• Decisión automática basada en dato personal
• Monitorización sistemática (cámaras)
• Combinación de ficheros
• Sujetos vulnerables
• Tecnologías innovadoras
• El sujeto no puede evitar el uso de su dato
Evaluación de impacto
De todos los tratamientos: cualificar y seleccionar procesos sensibles El grupo de trabajo recomienda que si aplican 2 o más de la lista de criterios anteriores se considere el proceso sensible. Como buena práctica se recomienda que serán sensibles también los procesos que traten datos sensibles, aunque no aplique ningún otro criterio
Para cualificar los dos primeros criterios se utilizan las siguientes definiciones:
• Sensibilidad del dato
• Volumen de datos
Evaluación de impacto
Ejemplo:
Proceso Tratamiento Tipos de datos personalesTipo
afectado
Cantidad
afectado
PIA
requeridoDecisión PIA
Sensibilida
d del dato
Volumen
de datosProfiling
Decisión
automática
basada en
dato
personal
Monitorizac
ión
sistemática
(cámaras)
Combinació
n de
ficheros
Sujetos
vulnerables
Tecnologías
innovadora
s
El sujeto no
puede
evitar el
uso de su
dato
PR01
MARKETING
Y
COMUNICA
CIÓN
Envío masivo de correo
electrónico a clientes
Nombres, apellidos, correo electrónico,
empresa, puesto, otros datos de
interés (texto libre)
Contacto
cliente /
proveedor1.400 NO 1 SI NO NO NO NO NO NO NO
PR01
MARKETING
Y
COMUNICA
CIÓN
Eventos
Nombres, apellidos, correo electrónico,
teléfono, país de residencia, empresa,
puesto, otros datos de inte´res (texto
libre). En ocasiones matrícula vehículo,
DNI, restricciones alimentarias, alergias
y otros datos a tener en cuenta
relacionado con la asistencia a eventos.
Contacto
cliente /
proveedor1.400 SI
Si se elimina
información
de
restricciones
alimentarias y
alergias, no es
necesaria PIA
3 SI NO NO NO NO NO NO NO
PR02
GESTIÓN
COMERCIAL
:
CAPTACIÓN
PROPUESTA
S
IDENTIFICACIÓN CLIENTES
/ CONTACTOS
POTENCIALES,
REALIZACIÓN DE
PROPUESTAS,
PRESENTACIÓN OFERTAS
Nombre Apellido, mail, dirección
oficina y teléfono móvil y/o fijo,
puesto, empresa, otros datos de
interés (texto libre)
Contacto
potencial1.000 NO 1 SI NO NO NO NO NO NO NO
PR02
GESTIÓN
COMERCIAL
:
CAPTACIÓN
PROPUESTA
S
REALIZACIÓN DE
PROPUESTAS,
PRESENTACIÓN OFERTAS,
REALIZACIÓN DE
CONTRATOS
Nombre Apellido, mail, dirección
oficina y teléfono móvil y/o fijo,
puesto, empresa, otros datos de
interés (texto libre)
Contacto
cliente /
proveedor1.680 NO 1 SI NO NO NO NO NO NO NO
Se utiliza la siguiente diagramación:
Analizar flujo detallado de cada proceso sensible
Evaluación de impacto
Cliente /
organizaciones
externas
ROL 1
(responsable de realizar las actividades
de esta columna)
ROL 2
(responsable de realizar las actividades
de esta columna)
Inicio del procesoActividad
2
Entrada o
salida en
formato papelDecisión
Entrada o salida en
formato electrónico
Sí
Entrada o
salida
objeto físico
subproceso
detallado en otro
diagrama 1
Entrada o
salida con
documento
vinculado
No
Actividad con
nota explicativa3
FIN
Ejemplo: Gestión de accidentes de trabajo
Evaluación de impacto Empleado RRHH Mutua de accidentes Gestoría
INICIO
Notificar
accidente de
trabajo 1
Notificación de
accidente
Realizar
asistencia al
empleado 2
Notificación de
accidente
Informe de
accidente de
trabajo
(incluye partes
lesionadas)
Reportar
accidente de
trabajo 4
DELT@
Accidente
reportado
Sistema Mutua
-Información de
accidente
Archivar y
solicitar reporte
DELTA 3
Carpeta RRHH
Informe
accidente de
trabajo
Informe de
accidente de
trabajo
(incluye partes
lesionadas)
3. Análisis de Riesgos
De los diagramas de flujo se identifican todos los activos lógicos (qué información) y activos físicos (dónde se almacena la información)
Identificar activos lógicos y físicos sensibles
Análisis de riesgos
Tipo Proceso Activo lógico Nº Activo físico
Aplicación PR31 Gestionar quejas Documentación sensible queja 1 CRM - quejas Aplicación PR46 RRHH Documentación sensible RRHH 2 ARRHH
Carpeta
PR23 Siniestros responsabilidad civil Documentación sensible siniestro RC 3 Carpeta de escaneo
Carpeta PR46 RRHH Documentación sensible RRHH 3 Carpeta de RRHH
Servicio
PR23 Siniestros responsabilidad civil Documentación sensible siniestro RC 4 email
Servicio PR31 Defensa abogacía Documentación sensible queja 5 OneDrive
Soporte físico
PR23 Siniestros responsabilidad civil Documentación sensible siniestro RC 6 Archivo papel
Soporte físico PR51 Seguridad Imagen grabada 7 Soporte físico
El análisis de riesgos se puede realiza siguiendo la metodología Magerit * , que se basa en determinar el grado de probabilidad (Alta, Media, Baja o Muy Baja) de que se materialicen y el impacto (Alto, Medio, Bajo o Muy Bajo) que dicha materialización supondría para la privacidad de las personas.
Con base en la metodología Magerit, se pueden seleccionar una batería de amenazas y vulnerabilidades señaladas ligadas a activos de información.
La determinación de la probabilidad se basa en el criterio de porcentaje de vulnerabilidades detectadas que no hayan sido controladas.
Probabilidad Descripción Valor
Alta >=80% vulnerabilidades sin
control 3
Media
>=50% vulnerabilidades sin
control
2
Baja >=25% vulnerabilidades sin
control 1
Muy baja <25% vulnerabilidades sin
control 0
(*) MAGERIT versión 3: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.- Edita: © Ministerio de Hacienda y Administraciones Públicas, octubre 2012.- NIPO: 630-12-171-8).
Analizar riesgos de activos físicos (1/3)
Análisis de riesgos
La determinación del impacto se basa en:
Impacto Descripción Valor
Alto
Impacto legal directo GDPR
-Difusión dato personal de sensibilidad nivel 3
-Uso de datos a gran escala
-Profiling con datos personales
-Monitorización sistemática con cámaras
-Uso de tecnologías innovadoras en obtención
y uso de datos personales
3
Medio -Difusión dato personal nivel 2
-Uso de datos a escala media 2
Bajo - Difusión dato personal nivel 1
-Uso de datos a escala baja 1
Muy bajo - Difusión dato personal nivel 1
-Uso de datos a escala individual 0
Analizar riesgos de activos físicos (2/3)
Análisis de riesgos
La cualificación final del riesgo se obtiene a partir de la probabilidad y el impacto en la siguiente matriz:
La empresa debe definir su apetito al riesgo, por ejemplo el nivel 5, es decir, todos los riesgos de nivel 5 o superior deben ser gestionados: mitigados, aceptados o transferidos
Pro
bab
ilid
ad 3 3 4 5 6
2 2 3 4 5
1 1 2 3 4
0 0 1 2 3
0 1 2 3
Impacto
Analizar riesgos de activos físicos (3/3)
Análisis de riesgos
Para todos los riesgos clasificados como altos se proponen controles para mitigar dichos riesgos.
Los controles se proponen para mitigar las vulnerabilidades identificadas como no cubiertas, y dado que algunas vulnerabilidades afectan a varios riesgos, los planes de mitigación también mitigan varios riesgos
Para cada control propuesto se define el responsable de implantación recomendado y la urgencia de implantación recomendada:
0 muy alta antes entrada en producción
1 alta – 1 mes
2 media -2 meses
3 baja – 3 meses
Proponer controles para mitigar riesgos
Análisis de riesgos
Ejemplo de amenazas y vulnerabilidades
Análisis de riesgos
ID Código
amenaz
a
Amenaza Descripción amenaza Vulnerabilidad
R01
A.03
Manipulación de los
registros de actividad
Si los registros de actividad son manipulables sin dejar traza, pierden
su valor de auditoría (un ataque podría ser borrado e impediría ver
que ha ocurrido y quien ha sido)
1- No disponer de mecanismos de seguridad suficientes para evitar este tipo de
análisis.
2- Mala política de privilegios de acceso.
R03
A.05
Suplantación de la
identidad del usuario
Cuando un atacante consigue hacerse pasar por un usuario
autorizado,
disfruta de los privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por
personas
ajenas a la Organización o por personal contratado temporalmente.
1- Malos sistemas de autenticación.
2- Puestos desatendidos.
3- Desconocimiento de procesos disciplinarios
R04
A.06
Abuso de privilegios de
acceso
Cada usuario disfruta de un nivel de privilegios para un determinado
propósito; cuando un usuario abusa de su nivel de privilegios para
realizar
tareas que no son de su competencia, hay problemas.
1- Que el sistema no esté protegido contra accesos físicos y lógicos no
autorizados.
2- No tener un registro de los accesos al sistema.
3- No tener bien definidas las políticas de acceso al sistema.
4- Desconocimiento de procesos disciplinarios
R09
A.17
Corrupción de la
información
Degradación intencional de la información, con ánimo de obtener un
beneficio o causar
un perjuicio. Esta amenaza sólo se identifica sobre datos en general,
pues cuando la información está en algún soporte informático, hay
amenazas específicas.
1- No tener protegida la información.
2- No tener respaldada la información.
3- Mala política de privilegios de acceso
4- Desconocimiento de procesos disciplinarios
R10
A.18
Destrucción de la
información
Destrucción de la información Eliminación intencional de información,
con ánimo de obtener un beneficio o
causar perjuicio
1- No tener protegida la información.
2- No tener respaldada la información.
3- Mala política de privilegios de acceso
4- Desconocimiento de procesos disciplinarios
R12
A.25
Robo de equipos
La sustracción de equipamiento provoca directamente la carencia de
un medio para prestar los servicios, es decir una indisponibilidad.
El robo puede realizarlo personal interno, personas ajenas a la
Organización o personas contratadas de forma temporal, lo que
establece diferentes grados de facilidad para acceder al objetivo
sustraído y diferentes consecuencias.
1- El sistema no está protegido contra acceso físico no autorizado
2- Desconocimiento de las acciones disciplinarias
Ejemplo:
Análisis de riesgos
Archivo físico Correo electrónico Carpeta de proyecto
Carpeta RRHH
Amenaza Vulnerabilidad Control de vulnerabilidad %vul sin
control
Control de vulnerabilidad %vul sin
control
Prob Impacto Clasificaci
ón riesgo
Tratamiento
riesgo
Control
Corrupción de
la información
1- No tener protegida la
información.
2- No tener respaldada la
información.
3- Mala política de
privilegios de acceso
4- Desconocimiento de
procesos disciplinarios
1.- Microsoft
2.- Backups diarios con archivo
de un mes de retención
3.- Política de acceso al correo
correcta
4- Contrato empleado con
clausula confidencialidad
0%
1.- Directorio activo
2.- Proveedor: Backup diario
con 7 días de retención. CPD
Empresa: Backup diario con
retención de 1 día
3.- No se usa
sistemáticamente la
herramienta de ticketing para
solicitud de accesos.
4- Contrato empleado con
clausula confidencialidad
50%
2 3 5 gestionar
riesgo
Establecer Backup con politica de retención
Mensual en servidor en la nube de Proveedor.
Robo de
equipos
1- El sistema no está
protegido contra acceso
físico no autorizado
2- Desconocimiento de las
acciones disciplinarias
1.- Portátiles sin disco
encriptado con Outlook
instalado (todos los correos en
disco).
2.- Contrato empleado con
clausula confidencialidad
50%
1.- Proveedor + CPD
Empresa acceso controlado
huella
2.- Contrato empleado con
clausula confidencialidad
0%
2 3 5 gestionar
riesgo
Implantar Herramienta de cifrado de discos.
Errores de
monitorización
(log)
1- No revisar los logs con la
frecuencia necesaria para
detectar errores
1.- No definido procedimiento
de revisión periódica de logs 100%
1.- No definido procedimiento
de revisión periódica de logs 100%
3 3 6 gestionar
riesgo
Activar Log y Automatizar registros actividad
sospechosas.
Definir y poner en marcha procedimiento de
revisión mensual de logs
4. La Seguridad de la Información y la protección de datos personales
En la actualidad, uno de los mayores desafíos de las organizaciones, tanto públicas como privadas, independientemente de su tamaño o sector de actividad, es garantizar la seguridad de un activo muy importante (y en muchos casos el más importante): la información.
Garantizar la seguridad de la información significa, al menos, asegurarse de su:
• Disponibilidad: Propiedad de ser accesible y utilizable por una entidad autorizada
• Confidencialidad: Propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados.
• Integridad: Propiedad de salvaguardar la exactitud y completitud de los activos.
Estos aspectos se ven amenazados de muy distintas maneras, tanto si la información se encuentra disponible de forma electrónica como en papel o cualquier otro medio que permita su almacenamiento o transmisión. A continuación veremos la relación entre estos conceptos, y la aplicación del nuevo Reglamento general de Protección de Datos, en vigor en Mayo de 2018.
La Seguridad de la Información y la protección de datos personales.
La Seguridad de la Información y la protección de datos personales.
Con el aumento de las amenazas y las vulnerabilidades, los controles se hacen más numerosos y complejos, con la consiguiente dificultad para su gestión. Esta dificultad se manifiesta incluso en el trabajo del personal involucrado de forma más directa, por lo que no es difícil imaginar que la dirección se puede sentir desamparada al afrontar estos aspectos.
De ahí surge la necesidad de establecer un Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) adecuado a las necesidades de la organización.
La norma ISO 27.001 se ha preparado para proporcionar los requisitos para el establecimiento, implementación y mejora continua de un SGSI.
La adopción de un SGSI es una decisión estratégica para una organización en la medida en que está obligada a cumplir un reglamento europeo que garantice la seguridad y confidencialidad de los datos de todas las personas con las que se relaciona.
La Seguridad de la Información y la protección de datos personales.
La implantación de un SGSI según ISO 27001, y la obtención del certificado en su caso, son de una gran ayuda para cualquier organización, porque:
permite saber cuál es nuestra situación respecto a la seguridad de la información necesaria. se define de manera formal la política de la organización respecto a los riesgos relacionados con la
seguridad de la información; establece pautas de comportamiento adecuadas para todos los integrantes de la organización, acordes a
su trabajo y responsabilidad; permite mejorar la seguridad de la información según lo considere adecuado la dirección, siguiendo la
práctica de la mejora continua; se integra con el trabajo existente relativo a estándares que emplean un sistema de mejora continua,
como ISO 9001 o ISO 14001; transmite a clientes y proveedores una imagen sólida respecto a la seguridad de la información; supone una ventaja competitiva, incluso en algunos casos es imprescindible para optar a determinados
concursos públicos; y, en definitiva, mejora la eficiencia y ahorra costes tanto en la implantación de controles como en las
consecuencias de que se manifieste un problema de seguridad.
La Seguridad de la Información y la protección de datos personales.
www
www.transformaciondigital.gob.es
