Preauditoria en protección de datos Problemas, problemas

Anuncio
Preauditoria en protección de datos
Ricard Martínez Martínez
Técnico de control bases de datos.
SIUV
Problemas, problemas, problemas…
1
¿Tenemos un problema?
¿Conozco los ficheros existentes en mi
organización?
¿He publicado mis ficheros?
¿He formalizado contratos de tratamiento
de datos con mi fundación, la empresa
que me realiza los envíos o los
proveedores
externos
de
servicios
informáticos?
¿Tengo más de un problema?
¿Dispongo de documento de seguridad?
¿He definido políticas de uso de los
recursos informáticos?
¿Conoce el personal sus obligaciones y
derechos en esta materia?
¿Dispongo de una política de uso del
correo electrónico?
¿Qué hacemos con el papel?
2
Si respondí negativamente a todas las
cuestiones anteriores…
Si respondí negativamente a varias de las
cuestiones anteriores…
Si respondí negativamente a una de las
cuestiones anteriores…
Tengo un problema…..
3
Conceptos básicos
Conceptos básicos
Datos de carácter personal: cualquier información
concerniente a personas físicas identificadas o
identificables.
Fichero: todo conjunto organizado de datos de carácter
personal, cualquiera que fuere la forma o modalidad de
su creación, almacenamiento, organización y acceso.
Tratamiento de datos: operaciones y procedimientos
técnicos de carácter automatizado o no, que permitan la
recogida,
grabación,
conservación,
elaboración,
modificación, bloqueo y cancelación, así como las
cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.
4
Objetivos
Inmediatos
Identificación de ficheros
Verificación de prácticas y procedimientos
Flujos de información
Seguridad
Otras necesidades
5
Globales
Legalidad
Confianza
Eficiencia
Calidad
Ciertos mitos
6
Yo no tengo ficheros (lo mío son word, pdf y en
el peor de los casos archivos en soporte
papel…)
Los datos sólo los uso “a efectos internos”.
Estos datos son públicos ergo no estan sujetos
a la norma.
Si esto le beneficia ¿para qué pedir permiso?
El paraguas de la Universitat
Procedimiento
7
Charla inicial.
Encuestas a usuarios.
Planificación.
Implementación de medidas.
Formación.
Retroalimentación.
Enfoque PDCA (Plan, Do,
Check, Act) utilizado en
procesos de calidad (norma
UNE-ISO/IEC 71502:2004).
planificar las acciones,
implementarlas,
verificar la consecución de los
objetivos propuestos
aprovechar la retroalimentación
obtenida para mejorar la
planificación.
8
Ciertos problemas añadidos
Esto es cosa de los
abogados.
Esto es cosa de los
informáticos.
Esto es cosa de todos
9
Usuarios reticentes
El usuario concibe la LOPD y el RMS
como una obligación adicional “excesiva”:
Las medidas legales y de seguridad
responden al sentido común y a la más
elemental traslación de la seguridad del
mundo físico al virtual.
La aplicación de la LOPD beneficia al usuario.
¿Realmente es un problema?
Algunos mitos sobre la protección de
datos:
Las medidas se plantean como objetivos
inalcanzables.
Resultan imposibles de implantar.
Los usuarios son incapaces de aplicarlas
debido a su dificultad jurídica y técnica.
Los costes que provocan son inasumibles o
excesivos.
10
¿Realmente es un problema?
Seamos sinceros esto de la LOPD
nos da trabajo que no teníamos,
nos impone costes que no
habíamos previsto, vaya nos da
mucha rabia…
LOPD ¿Por qué?
Porque es necesaria:
En la sociedad de la información resulta esencial
proteger nuestros activos.
Es presupuesto para el correcto funcionamiento de
los sistemas y para la adopción de decisiones.
Contribuye a la racionalización de los medios y de los
usos: facilita el cumplimiento del principio de calidad.
Genera una cultura de gestión de la información en
las organizaciones.
Proporciona confianza:
• Interna: en el funcionamiento de los sistemas.
• Externa en el usuario.
11
Porque es una obligación legal:
STC 292/2000
Ley Orgánica 15/1999, de 13 de diciembre,
de protección de datos de carácter personal.
Ley 34/2002, de 11 de julio, de servicios de la
sociedad de la información y de comercio
electrónico.
Responsabilidad
Régimen sancionador: LOPD (art. 44).
Infracción de los deberes laborales.
Responsabilidad civil
Objetiva objetiva por el daño causado (art.
1902).
Contractual (1101 y ss.)
Responsabilidad
patrimonial
Administración Pública.
de
la
12
Responsabilidad ética: hablamos de
derechos fundamentales
La defensa de los derechos y su relación con la
seguridad.
El derecho fundamental a la protección de
datos.
El control de la información personal como
presupuesto
para
la
autodeterminación
individual.
El tratamiento de información personal como
soporte básico para el funcionamiento del
Estado Social.
Beneficios de la auditoria
La gestación de una cultura LOPD
Las ventajas de la cultura LOPD en la
gestión de la información
La especialización de los gestores.
El proceso final de formación.
13
Dos objetivos imprescindibles
Garantizar
los
ciudadanos.
derechos
de
los
Perseguir la excelencia (Normas UNEISO/IEC 17799 y UNE 71502).
Muchas gracias
ricard.martinez@uv.es
14
Descargar