PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
GDPR EUROPEOReglamento 2016/679 del Parlamento Europeo,
de 27 de Abril de 2016
2
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 3
PONENTES
Eduardo AyuelaVanesa Alarcón
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 4
Información Esencial
Remplaza la Directiva 95/46/CE que requería transposición.
Ámbito territorial: Europa, de aplicación directa.
Fecha a tener en cuenta: 25 de mayo de 2018
La LOPD se está modificandopero no sería necesario.
No “ficheros” sino “tratamientos”LOPD
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
LOS PRINCIPIOS DEL TRATAMIENTO
5
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 6
Anteriormente en la LOPD
Deber de Información
Consentimiento
Calidad:
• Necesario, pertinente, proporcionado.
• Finalidad compatible.
• Datos exactos y debidamente actualizados.
• Cancelados, cuando dejen de ser necesarios. (Ojo: bloqueo)
• Almacenados de forma segura y que permitan ejercicio derechos ARCO.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 7
Con el nuevo GDPR
Principio de licitud, lealtad y transparencia (5.1.a):
• Datos tratados de manera lícita, leal y transparente.
El art. 4.7 de la LOPD prohibía expresamente la recogida de datos por medios fraudulentos, desleales o ilícitos.
• Art. 6 RGPD: “licitud del tratamiento”;
• El art. 5 + 12 RGPD: transparencia + deber facilitar al interesado toda la información relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 8
Con el nuevo GDPR
Principio de limitación de la finalidad (5.1.b):
• Recogida datos con fines determinados, explícitos y legítimos; no tratados después de forma incompatible con dichos fines.
• El tratamiento de los datos con fines de archivo en interés público, de investigación científica e histórica o estadísticos, no se considerará incompatible con los fines iniciales.
• Semejante al de calidad (art. 4 LOPD) en su vertiente de principio de finalidad.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 9
Con el nuevo GDPR
Principio de Accountability o Proactividad:
• Implementar mecanismos que permitan acreditar que se han adoptando todas las medidas necesarias para tratar los datos personales como exige la norma.
• Es una responsabilidad proactiva. Las organizaciones y empresas deben ser capaces de demostrar que cumplen dichas exigencias, lo cual obligará a desarrollar políticas, procedimientos, controles...
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 10
Con el nuevo GDPR
Principio Privacy by Design & by Default:
• Medidas que garanticen el cumplimiento de la norma desde el momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 11
Sobre el consentimiento
• No consentimiento tácito
• El silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento
• Es necesario el consentimientoinformado y explícito, requiere acción afirmativa
• Posición activa del interesado
• Se excluye el consentir por silencio o cuando se comporta como si lo aceptara.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
LOS NIVELES DE PROTECCIÓN Y MEDIDAS
12
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 13
¿Qué tipo de datos tenemos?
Datos sensibles
• Salud, ideología, raza, creencias, pensamiento político…
• Se añaden:– Datos genéticos y biométricos. – Se incluyen también en esta
categoría las infracciones y condenas penales, aunque no las administrativas.
Nivel básico
Nivel medio
Nivel alto
El resto
LOPD GDPR
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 14
Documento de Seguridad
Hasta ahora
• Declaración de Ficheros ante Autoridad Competente
• Documento de Seguridad con:
• Medidas físicas
• Medidas informáticas
• Medidas organizativas
• Documentales
Con el GDPR
• ¿Declaración ficheros? Veremos… LOPD actualizada
• Documento “self-made”
• Inventario de tratamientos
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 15
Inventario de Tratamientos
Fase 3: Creación del inventario• Listado de tratamientos• Esquema, trazabilidad o
circuito
Fase 4: Mantenimiento y evolución• Mapeo de tratamientos • Plan de acción y
mantenimiento• Qué tenemos bien• Qué tenemos que mejorar• Qué tenemos que ir
supervisando
Fase 1: Identificación• Reuniones y entrevistas• Revisión documentación• Revisión medidas seguridad• Creación “Inventario inicial”
Fase 2: Simplificación-esquematización• Identidades entre
tratamientos o posibles agrupaciones
• Registros individuales / tratamientos por separado en el inventario o agrupación/integración
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 17
Derechos de los ciudadanos
Con el GDPR+
• Derecho al olvido
• Derecho portabilidad
Hasta ahora
Información + ConsentimientoAcceso
RectificaciónCancelaciónOposición
Revocación
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
EL DELEGADO DE PROTECCIÓN DE DATOS
18
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 19
Roles en la protección de datos
Hasta ahora
• Responsable del tratamiento• Responsable de seguridad• Delegados• Encargado tratamiento• Tercero con confidencialidad• DPO en UK u otros territorios
Con el GDPR
• DPO o DPD: Data ProtectionOfficer o Delegado Protección de Datos
▪ Funciones
▪ Requisitos
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 20
¿Cuándo es obligatorio un DPO?
Artículo 37: Necesario su nombramiento, cuando:
– Cuando tratamiento se lleve a cabo por una autoridad u organismo público, exceptuando tribunales como consecuencia de su función judicial.
– Cuando las actividades principales del responsable o encargado requieran una observación habitual y sistemática de interesados a gran escala.
– Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 del Reglamento y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
• Casos donde no es obligatoria la incorporación de un DPO pero sí recomendable:
– Cuando exista una complejidad legal en el tratamiento de los datos;
– Para una mayor concienciación de los interesados sobre sus derechos y vías de protección de sus datos;
– En aras de velar por la privacidad de los clientes o usuarios y también para prevenir el incurrir en sanciones.
Una duda en el aire…
¿Qué sucede con las empresas de más y/o menos de 250 trabajadores?
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
SIN OLVIDARNOS DE OTRAS NOVEDADES…
21
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 22
Otras novedades
• Hasta ahora:– Registro de incidencias– No notificación afectado/AGPD
• Con el GDPR:– Registro de incidencias– Deber notificación AFECTADO /
AGPD cuando se produzcan determinadas circunstancias• Deberán ser comunicadas a las
autoridades de control y, en casos graves, a los afectados, tan pronto sean conocidas, estableciéndose plazo máximo de 72 horas.
– Necesidad de los PIA (PrivacyImpact Assessment) para eliminar o mitigar ciertos riesgos
– Del Safe Harbor pasamos al Privacy Shield
– Nuevas sanciones• Pueden llegar a los 20 millones de
euros o el 4% de la facturación global anual (no se excluye de las multas a las Administraciones Públicas, aunque los Estados Miembros pueden acordarlo así).
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 24
Medidas de seguridad que exige el GDPR
EL CIFRADO…• Hasta ahora:
– Cifrado o cualquier forma que garantice que la información no sea alterada, manipulada por terceros y sea ininteligible (RLOPD)
• Con el GDPR:– Deben implementar estas medidas:
– Empresas europeas, autónomos y AAPP
– Los que tratan datos personales con fines diferentes a los personales y domésticos
– Empresas extranjeras que presten servicios a usuarios europeos o reciban datos desde la UE
¿Qué es el cifrado?La transformación de un mensaje o información para protegerlo de intrusiones de las personas que no deban verlo o entenderlo.
• Cifrado clásico• Cifrado simétrico o de
clave simétrica• Cifrado asimétrico o de
clave pública
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 25
Medidas de seguridad que exige el GDPR
¿Qué es el cifrado?La transformación de un mensaje o información para protegerlo de intrusiones de las personas que no deban verlo o entenderlo.
• Cifrado clásico• Cifrado simétrico o de
clave simétrica• Cifrado asimétrico o de
clave pública
• Cifrado obligatorio:– Lo impone una norma estatal.
P.ej. Datos sensibles – Código de conducta o certificados– Evaluación de impacto – Para mitigar riesgos
• Cifrado conveniente:- Brecha de seguridad
• Cifrado voluntario- Datos disociados o del artículo 11
GDPR
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 26
Medidas de seguridad que exige el GDPR
• Requisitos del cifrado
• Cifrado y EIPD
• Casos donde es necesario el cifrado:
• Cuando el riesgo lo exige
• Para evitar notificar brechas de seguridad
Sectores donde es necesario• Salud• PBCFT• Telecomunicaciones• Defensa Nacional y
Seguridad• Sector jurídico• Periodismo• Propiedad Intelectual y
know-how
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 27
Medidas de seguridad que exige el GDPR
• Sistemas de doble factor de seguridad o 2FA
• Bring yourown device(BYOD)
• Notificación brechas de seguridad
• Certificaciones informáticas requeridas por Ley
• Régimen de sanciones
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
¿QUÉ OS PODEMOS OFRECER COMO SERVICIOS?
28
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 29
¿Qué os podemos ofrecer?
• Análisis de vuestra empresa para determinar nivel de cumplimiento actual y enfoque hacia el GDPR
• Evaluación de impacto de privacidad
• Implementación de Privacy by Design
• Consultoría de mantenimiento
• Soporte ante denuncias y/o incidencias
• Auditorías
• Función de DPO Externo
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Trabajamos por tu seguridadSoluciones Globales de Auditoría, Seguridad y Desarrollo
a Grupo Hodei Company
PRESENTACIÓN TSS 2016 · V_FEB_16
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 31
PONENTES
Miguel ToránFrancisco Sanz
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 32
The Security Sentinel | Trabajamos por tu seguridad
- Esta Ley es el punto de partida para establecer una verdadera política de protección de datos y no una política para evitar sanciones.
- La nueva figura DPO (Delegado de Protección de Datos) debe ser secundada por la creación de una comisión Interna de Gobierno de datos multidepartamental. Atención a las certificaciones necesarias.
- Es muy importante que todas los directivos estén familiarizados con la Ley y que toda la plantilla tenga una formación a medida de las normas a aplicar en función de su desempeño
- Todos los sistemas que almacenen o transmitan datos de clientes, proveedores, personal están afectados (ERP, CRM, Edi, Editran, Swift…) y sus fabricantes deben de aportar garantías
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 33
- Toda información de personas o empresas debe tener su consentimiento expreso (Revisión de permisos)
- La transmisión de datos personales o empresariales debe tener doble cifrado.
- Revisión de todas las aplicaciones con acceso en movilidad. Protección de todos los equipos móviles de los empleados
- Es muy importante inventariar todos los sistemas que contengan datos personales y que datos contienen
- Todos los sistemas que almacenen o transmitan datos de clientes, proveedores, personal están afectados (ERP, CRM, Edi, Editran, Swift…) y sus fabricantes deben de aportar garantías
The Security Sentinel | Trabajamos por tu seguridad
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 34
Riesgos Principales | Riesgos Internos
Una gran parte de los riesgos de infracción en la protección de datos se debe al mal uso intencionado o no de datos por parte de los empleados. Un ex empleado enfadado no es un eximente:- Inclusión de Cláusulas específicas en los contratos de trabajo- Políticas de empleo de aplicaciones en dispositivos móviles sean o no
de la empresa. (MDM)- Políticas en la compartición de datos de clientes y proveedores,
prospectos, empleados, candidatos y exempleados.- Acceso controlado a los datos sensibles por los empleados adecuados.- Definición de procedimientos de subsanación y comunicación de
incidentes. Informes de auditoría y Kpi´s claros- Procedimientos de destrucción de información
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 35
- Hacking Ético- Análisis global de infraestructura tecnológica (incluido
dispositivos móviles).- Test de intrusión manual- Test de intrusión automatizado- Escaneo de vulnerabilidades basadas en protocolos- Escaneo de vulnerabilidades basadas en configuraciones- Escaneo de vulnerabilidades basada en Software y
Hardware.- Explotación de vulnerabilidades reales de forma controlada- Realización de resumen ejecutivo en informe técnico real de
la infraestructura.
The Security Sentinel | Servicios y Soluciones
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 36
- Seguridad Perimetral- Instalación y/o reconfiguración de dispositivos de seguridad
tecnológicos (firewall, IDS, IPS…)- Análisis físico y tecnológico de Estructura (cpd’s, Servidores,
cámaras ip…)
- Monitorización - Soc personalizado por empresa y usuarios.- Bloqueo de ip’s atacantes , tanto externas como internas.
The Security Sentinel | Servicios y Soluciones
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 37
- Análisis y Auditorias- Referido a toda infraestructura física de redes y/o dispositivos no
físicos (cloud)- Análisis de dispositivos (incluidos de movilidad), con guías de
buenas practicas dependiendo políticas de empresa.- Auditorías para implantaciones de ISO.
The Security Sentinel | Servicios y Soluciones
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 38
- Forensia- Auditoría reactiva con diversos fines:
- Pericial con fines judiciales.- Pericial para investigación de mala praxis.
The Security Sentinel | Servicios y Soluciones
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 39
- Formación presencial y on line- Formación ciberseguridad
- Red Team- Blue Team- Forensia- Normas básicas de cumplimiento GDPR- Auditoría GDPR (Próximamente)
The Security Sentinel | Servicios y Soluciones
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
[email protected] 792 426 – 689 888 537