Presentación de PowerPoint - thesecuritysentinel.es · PRESENTACIÓN CASHFLOW MANAGER ·...

PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es


GDPR EUROPEOReglamento 2016/679 del Parlamento Europeo,

de 27 de Abril de 2016

2

PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 3

PONENTES

Eduardo AyuelaVanesa Alarcón


Información Esencial

Remplaza la Directiva 95/46/CE que requería transposición.

Ámbito territorial: Europa, de aplicación directa.

Fecha a tener en cuenta: 25 de mayo de 2018

La LOPD se está modificandopero no sería necesario.

No “ficheros” sino “tratamientos”LOPD


LOS PRINCIPIOS DEL TRATAMIENTO

5


Anteriormente en la LOPD

Deber de Información

Consentimiento

Calidad:

• Necesario, pertinente, proporcionado.

• Finalidad compatible.

• Datos exactos y debidamente actualizados.

• Cancelados, cuando dejen de ser necesarios. (Ojo: bloqueo)

• Almacenados de forma segura y que permitan ejercicio derechos ARCO.


Con el nuevo GDPR

Principio de licitud, lealtad y transparencia (5.1.a):

• Datos tratados de manera lícita, leal y transparente.

El art. 4.7 de la LOPD prohibía expresamente la recogida de datos por medios fraudulentos, desleales o ilícitos.

• Art. 6 RGPD: “licitud del tratamiento”;

• El art. 5 + 12 RGPD: transparencia + deber facilitar al interesado toda la información relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso.


Con el nuevo GDPR

Principio de limitación de la finalidad (5.1.b):

• Recogida datos con fines determinados, explícitos y legítimos; no tratados después de forma incompatible con dichos fines.

• El tratamiento de los datos con fines de archivo en interés público, de investigación científica e histórica o estadísticos, no se considerará incompatible con los fines iniciales.

• Semejante al de calidad (art. 4 LOPD) en su vertiente de principio de finalidad.


Con el nuevo GDPR

Principio de Accountability o Proactividad:

• Implementar mecanismos que permitan acreditar que se han adoptando todas las medidas necesarias para tratar los datos personales como exige la norma.

• Es una responsabilidad proactiva. Las organizaciones y empresas deben ser capaces de demostrar que cumplen dichas exigencias, lo cual obligará a desarrollar políticas, procedimientos, controles...


Con el nuevo GDPR

Principio Privacy by Design & by Default:

• Medidas que garanticen el cumplimiento de la norma desde el momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.


Sobre el consentimiento

• No consentimiento tácito

• El silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento

• Es necesario el consentimientoinformado y explícito, requiere acción afirmativa

• Posición activa del interesado

• Se excluye el consentir por silencio o cuando se comporta como si lo aceptara.


LOS NIVELES DE PROTECCIÓN Y MEDIDAS

12


¿Qué tipo de datos tenemos?

Datos sensibles

• Salud, ideología, raza, creencias, pensamiento político…

• Se añaden:– Datos genéticos y biométricos. – Se incluyen también en esta

categoría las infracciones y condenas penales, aunque no las administrativas.

Nivel básico

Nivel medio

Nivel alto

El resto

LOPD GDPR


Documento de Seguridad

Hasta ahora

• Declaración de Ficheros ante Autoridad Competente

• Documento de Seguridad con:

• Medidas físicas

• Medidas informáticas

• Medidas organizativas

• Documentales

Con el GDPR

• ¿Declaración ficheros? Veremos… LOPD actualizada

• Documento “self-made”

• Inventario de tratamientos


Inventario de Tratamientos

Fase 3: Creación del inventario• Listado de tratamientos• Esquema, trazabilidad o

circuito

Fase 4: Mantenimiento y evolución• Mapeo de tratamientos • Plan de acción y

mantenimiento• Qué tenemos bien• Qué tenemos que mejorar• Qué tenemos que ir

supervisando

Fase 1: Identificación• Reuniones y entrevistas• Revisión documentación• Revisión medidas seguridad• Creación “Inventario inicial”

Fase 2: Simplificación-esquematización• Identidades entre

tratamientos o posibles agrupaciones

• Registros individuales / tratamientos por separado en el inventario o agrupación/integración


LOS NUEVOS DERECHOS

16


Derechos de los ciudadanos

Con el GDPR+

• Derecho al olvido

• Derecho portabilidad

Hasta ahora

Información + ConsentimientoAcceso

RectificaciónCancelaciónOposición

Revocación


EL DELEGADO DE PROTECCIÓN DE DATOS

18


Roles en la protección de datos

Hasta ahora

• Responsable del tratamiento• Responsable de seguridad• Delegados• Encargado tratamiento• Tercero con confidencialidad• DPO en UK u otros territorios

Con el GDPR

• DPO o DPD: Data ProtectionOfficer o Delegado Protección de Datos

▪ Funciones

▪ Requisitos


¿Cuándo es obligatorio un DPO?

Artículo 37: Necesario su nombramiento, cuando:

– Cuando tratamiento se lleve a cabo por una autoridad u organismo público, exceptuando tribunales como consecuencia de su función judicial.

– Cuando las actividades principales del responsable o encargado requieran una observación habitual y sistemática de interesados a gran escala.

– Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 del Reglamento y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

• Casos donde no es obligatoria la incorporación de un DPO pero sí recomendable:

– Cuando exista una complejidad legal en el tratamiento de los datos;

– Para una mayor concienciación de los interesados sobre sus derechos y vías de protección de sus datos;

– En aras de velar por la privacidad de los clientes o usuarios y también para prevenir el incurrir en sanciones.

Una duda en el aire…

¿Qué sucede con las empresas de más y/o menos de 250 trabajadores?


SIN OLVIDARNOS DE OTRAS NOVEDADES…

21


Otras novedades

• Hasta ahora:– Registro de incidencias– No notificación afectado/AGPD

• Con el GDPR:– Registro de incidencias– Deber notificación AFECTADO /

AGPD cuando se produzcan determinadas circunstancias• Deberán ser comunicadas a las

autoridades de control y, en casos graves, a los afectados, tan pronto sean conocidas, estableciéndose plazo máximo de 72 horas.

– Necesidad de los PIA (PrivacyImpact Assessment) para eliminar o mitigar ciertos riesgos

– Del Safe Harbor pasamos al Privacy Shield

– Nuevas sanciones• Pueden llegar a los 20 millones de

euros o el 4% de la facturación global anual (no se excluye de las multas a las Administraciones Públicas, aunque los Estados Miembros pueden acordarlo así).


MEDIDAS DE SEGURIDAD

23


Medidas de seguridad que exige el GDPR

EL CIFRADO…• Hasta ahora:

– Cifrado o cualquier forma que garantice que la información no sea alterada, manipulada por terceros y sea ininteligible (RLOPD)

• Con el GDPR:– Deben implementar estas medidas:

– Empresas europeas, autónomos y AAPP

– Los que tratan datos personales con fines diferentes a los personales y domésticos

– Empresas extranjeras que presten servicios a usuarios europeos o reciban datos desde la UE

¿Qué es el cifrado?La transformación de un mensaje o información para protegerlo de intrusiones de las personas que no deban verlo o entenderlo.

• Cifrado clásico• Cifrado simétrico o de

clave simétrica• Cifrado asimétrico o de

clave pública



¿Qué es el cifrado?La transformación de un mensaje o información para protegerlo de intrusiones de las personas que no deban verlo o entenderlo.

• Cifrado clásico• Cifrado simétrico o de

clave simétrica• Cifrado asimétrico o de

clave pública

• Cifrado obligatorio:– Lo impone una norma estatal.

P.ej. Datos sensibles – Código de conducta o certificados– Evaluación de impacto – Para mitigar riesgos

• Cifrado conveniente:- Brecha de seguridad

• Cifrado voluntario- Datos disociados o del artículo 11

GDPR



• Requisitos del cifrado

• Cifrado y EIPD

• Casos donde es necesario el cifrado:

• Cuando el riesgo lo exige

• Para evitar notificar brechas de seguridad

Sectores donde es necesario• Salud• PBCFT• Telecomunicaciones• Defensa Nacional y

Seguridad• Sector jurídico• Periodismo• Propiedad Intelectual y

know-how



• Sistemas de doble factor de seguridad o 2FA

• Bring yourown device(BYOD)

• Notificación brechas de seguridad

• Certificaciones informáticas requeridas por Ley

• Régimen de sanciones


¿QUÉ OS PODEMOS OFRECER COMO SERVICIOS?

28


¿Qué os podemos ofrecer?

• Análisis de vuestra empresa para determinar nivel de cumplimiento actual y enfoque hacia el GDPR

• Evaluación de impacto de privacidad

• Implementación de Privacy by Design

• Consultoría de mantenimiento

• Soporte ante denuncias y/o incidencias

• Auditorías

• Función de DPO Externo


Trabajamos por tu seguridadSoluciones Globales de Auditoría, Seguridad y Desarrollo

a Grupo Hodei Company

PRESENTACIÓN TSS 2016 · V_FEB_16


PONENTES

Miguel ToránFrancisco Sanz


The Security Sentinel | Trabajamos por tu seguridad

- Esta Ley es el punto de partida para establecer una verdadera política de protección de datos y no una política para evitar sanciones.

- La nueva figura DPO (Delegado de Protección de Datos) debe ser secundada por la creación de una comisión Interna de Gobierno de datos multidepartamental. Atención a las certificaciones necesarias.

- Es muy importante que todas los directivos estén familiarizados con la Ley y que toda la plantilla tenga una formación a medida de las normas a aplicar en función de su desempeño

- Todos los sistemas que almacenen o transmitan datos de clientes, proveedores, personal están afectados (ERP, CRM, Edi, Editran, Swift…) y sus fabricantes deben de aportar garantías


- Toda información de personas o empresas debe tener su consentimiento expreso (Revisión de permisos)

- La transmisión de datos personales o empresariales debe tener doble cifrado.

- Revisión de todas las aplicaciones con acceso en movilidad. Protección de todos los equipos móviles de los empleados

- Es muy importante inventariar todos los sistemas que contengan datos personales y que datos contienen

- Todos los sistemas que almacenen o transmitan datos de clientes, proveedores, personal están afectados (ERP, CRM, Edi, Editran, Swift…) y sus fabricantes deben de aportar garantías

The Security Sentinel | Trabajamos por tu seguridad


Riesgos Principales | Riesgos Internos

Una gran parte de los riesgos de infracción en la protección de datos se debe al mal uso intencionado o no de datos por parte de los empleados. Un ex empleado enfadado no es un eximente:- Inclusión de Cláusulas específicas en los contratos de trabajo- Políticas de empleo de aplicaciones en dispositivos móviles sean o no

de la empresa. (MDM)- Políticas en la compartición de datos de clientes y proveedores,

prospectos, empleados, candidatos y exempleados.- Acceso controlado a los datos sensibles por los empleados adecuados.- Definición de procedimientos de subsanación y comunicación de

incidentes. Informes de auditoría y Kpi´s claros- Procedimientos de destrucción de información


- Hacking Ético- Análisis global de infraestructura tecnológica (incluido

dispositivos móviles).- Test de intrusión manual- Test de intrusión automatizado- Escaneo de vulnerabilidades basadas en protocolos- Escaneo de vulnerabilidades basadas en configuraciones- Escaneo de vulnerabilidades basada en Software y

Hardware.- Explotación de vulnerabilidades reales de forma controlada- Realización de resumen ejecutivo en informe técnico real de

la infraestructura.

The Security Sentinel | Servicios y Soluciones


- Seguridad Perimetral- Instalación y/o reconfiguración de dispositivos de seguridad

tecnológicos (firewall, IDS, IPS…)- Análisis físico y tecnológico de Estructura (cpd’s, Servidores,

cámaras ip…)

- Monitorización - Soc personalizado por empresa y usuarios.- Bloqueo de ip’s atacantes , tanto externas como internas.



- Análisis y Auditorias- Referido a toda infraestructura física de redes y/o dispositivos no

físicos (cloud)- Análisis de dispositivos (incluidos de movilidad), con guías de

buenas practicas dependiendo políticas de empresa.- Auditorías para implantaciones de ISO.



- Forensia- Auditoría reactiva con diversos fines:

- Pericial con fines judiciales.- Pericial para investigación de mala praxis.



- Formación presencial y on line- Formación ciberseguridad

- Red Team- Blue Team- Forensia- Normas básicas de cumplimiento GDPR- Auditoría GDPR (Próximamente)



[email protected] 792 426 – 689 888 537

Presentación de PowerPoint - thesecuritysentinel.es · PRESENTACIÓN CASHFLOW MANAGER ·...

Documents

Transcript of Presentación de PowerPoint - thesecuritysentinel.es · PRESENTACIÓN CASHFLOW MANAGER ·...