SUBVENCIÓN EN CIBERSEGURIDAD. IMPLANTA ISO 27001

Comparte: Facebooktwittergoogle_pluslinkedin

Hoy día, con la implementación del teletrabajo en la mayoría de las empresas de nuestro país debido a la situación originada por el COVID 19, los ciberdelincuentes están encontrando una gran oportunidad de acceso a la información de las empresas.

Teniendo en cuenta que el principal activo para una empresa es la información y que ésta es tratada a través de dispositivos tecnológicos es muy importante que las empresas sean capaces de implantar una política de seguridad y protección de datos que sea eficaz y que contemple los nuevos riesgos surgidos tras la implementación del teletrabajo y de las nuevas amenazas surgidas. 

Pues bien, para ayudar a las empresas en este campo de la Ciberseguridad, la Cámara de Comercio, Industria, Servicios y Navegación de España, junto con la Cámara de Comercio de Granada han puesto en marcha el Programa Ciberseguridad 2020, en el marco del Programa Operativo “Programa Operativo Plurirregional de España FEDER 2014-2020”. Su objetivo es impulsar el uso seguro y fiable del ciberespacio y capacitar a las pymes para prevenir los principales riesgos en Ciberseguridad.

Dentro del programa está subvencionada, al 70% del gasto, la certificación de sistemas de gestión de Seguridad de la información ISO 27001 y hasta un tope máximo de factura de 4.000 €, es decir una subvención máxima de 2800 €.  El plazo establecido para presentar las solicitudes es de del 17 de septiembre al 15 de diciembre de 2020, pero hay que tener en cuenta que las concesiones son por orden de llegada hasta agotar los fondos, así que mejor solicitarlas cuanto antes.

La norma ISO 27001 ayudará a las empresas a mantener una gestión de la seguridad de la información adecuada, estableciendo medidas preventivas y reactivas e implementando sistemas tecnológicos que permitan resguardar y proteger la información, con el objetivo final de mantener la confidencialidad, la disponibilidad y la integridad de datos.

BENEFICIOS QUE APORTARÁ ISO 27001 A TU EMPRESA

Esta norma se basa en la gestión de riesgos, es decir que, los identifica, los evalúa y luego establece las medidas necesarias para tratarlos. Y es una norma recomendable para cualquier tipo de empresa y de cualquier sector siendo especialmente interesante para empresas del sector financiero, sanitario, publico, de tecnologías de la información (TI) y subcontratas que gestionen información por encargo de otros ya que estas manejan información muy detalla de clientes, proveedores, pacientes…

Los principales beneficios que logran las empresas que implantan un Sistema de Gestión de la Seguridad de la Información (SGSI) bajo la Norma ISO 27001 son:

  • Reducir el riesgo de que se produzcan pérdidas y/o robos de información.
  • Evidenciar el cumplimiento de la legislación vigente.
  • Demostrar a los clientes que la seguridad de la información es fundamental para la organización
  • Evitar pérdidas financieras y/o sanciones asociadas a vulneraciones de datos.
  • Verificar que los posibles riesgos a los cuales se enfrenta la empresa están identificados, evaluados y gestionados, garantizando la seguridad de la información que maneja…
  • Estar preparado ante cualquier intento de acceso fraudulento a la información y bloquearlo.
  • Cumplir con el principio de Responsabilidad proactiva, que tan de moda se ha puesto a raíz de la entrada en vigor del Reglamento General de Protección de Datos, y que nos obliga a tener que demostrar que cumplimos con la norma.
  • Mejorar su posicionamiento frente a la competencia
  • Integrar su sistema de gestión de la seguridad de la información con otros sistemas de gestión basados en normas ISO, como ISO 9001, ISO 14001, ISO 45001…

Aprovecha esta oportunidad y subvenciona la implantación de la norma ISO 27001 en tu empresa. No dude en contactar con nosotros para que le ayudemos con la implantación.

COVID 19, TELETRABAJO Y CIBERATAQUES

Comparte: Facebooktwittergoogle_pluslinkedin

La situación actual que estamos viviendo como consecuencia de la propagación del coronavirus (COVID-19) ha originado que la mayoría de las empresas se hayan visto obligadas a implementar el teletrabajo y este hecho está siendo aprovechado por los ciberdelincuentes, e incluso por APPS utilizadas para llevar a cabo reuniones, para robar datos e información.

Normalmente los empleados se conectan con los recursos de la empresa que suelen disponer de medidas de seguridad adecuadas, pero a raíz de las condiciones de teletrabajo, las medidas de seguridad se han visto afectadas porque impera la necesidad y ésta ha provocado que se estén utilizando equipos personales, equipos obsoletos, sin actualizar o con medidas de seguridad mínimas, convirtiéndose gran oportunidad para los ciberdelincuentes.

Teniendo en cuenta que el principal activo para una empresa es la información y ésta es tratada a través de dispositivos tecnológicos es muy importante que las empresas sean capaces implantar una política de seguridad y protección de datos que sea eficaz y que contemple los nuevos riesgos surgidos tras la implementación del teletrabajo y de las nuevas amenazas surgidas. 

Teletrabajo

Para mantener controlados los riesgos que generan las nuevas amenazas será necesario controlar la gestión de activos de información, la seguridad en las operaciones y la gestión de incidentes, y además se debería tener previsto un Plan de continuidad y contingencia para aquellos casos en los que la amenaza se materialice.Para lograr mantener una gestión de la seguridad de la información adecuada puede ser de gran ayuda la norma ISO 27001, que es el estándar que ayudará a la empresa a establecer medidas preventivas y reactivas e implementar sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos.

Esta norma se basa en la gestión de riesgos, es decir que, los identifica, los evalúa y luego establece las medidas necesarias para tratarlos. Y es una norma recomendable para cualquier tipo de empresa y de cualquier sector siendo especialmente interesante para empresas del sector financiero, sanitario, publico, de tecnologías de la información (TI) y subcontratas que gestionen información por encargo de otros ya que estas manejan información muy detalla de clientes, proveedores, pacientes…

¿CÓMO REDUCIR LO RIESGOS?

Existen una serie de medidas de seguridad que todas las empresas deberíamos tener en cuenta a la hora de abordar el teletrabajo, como son:

  • Proporcionar a los trabajadores dispositivos corporativos, evitando el uso de equipos domésticos en la medida de lo posible.
  • Si se utilizan equipos personales se le deben aplicar las medidas de seguridad necesarias.
  • Establecer contraseñas robustas y cambiarlas periódicamente.
  • Actualizar los sistemas operativos, antivirus y aplicaciones que se vayan a utilizar.
  • Cifrar los soportes informáticos que se vayan a utilizar como pendrive.
  • Instalar firewalls en los ordenadores o puntos de acceso de los equipos de teletrabajo.
  • Aplicar los parches de seguridad que recomiendan los fabricantes de sistemas operativos y equipos.
  • Conectarse a redes wifi-privadas.
  • Cambiar las contraseñas de la red wifi-doméstica en caso de tenerla que usar.
  • Realizar copias de seguridad de forma periódica.
  • Comprobar la autenticidad de los correos electrónicos que se abren y los enlaces que se clican.
  • Estar atentos a los comunicados que realiza el INCIBE, Instituto Nacional de Ciberseguridad.
  • Implantar una norma de Gestión de la Seguridad de la Información (SGSI) como ISO 27001.

Si tras los últimos acontecimientos siente la necesidad de ir un paso más allá, en cuanto a seguridad de la información, no dude en contactar con nosotros, le asesoraremos en todo lo que necesite.

Foto: stories

MEJORA CONTINUA DE ESPAÑA EN CERTIFICACIONES ISO

Comparte: Facebooktwittergoogle_pluslinkedin

La mejora continua es el objetivo común de cualquier sistema de gestión que pretenda ser eficaz para una empresa. Pues bien, las empresas españolas tienen clara su apuesta por los sistemas de gestión certificados en distintos ámbitos, y con ello contribuyen al buen posicionamiento de España respecto a otros países en cuanto a certificaciones ISO se refiere.

En los informes ISO Survey of Certifications de los últimos años, referente mundial en certificaciones de sistemas de gestión conforme a normas internacionales ISO, hemos podido comprobar como España va escalando posiciones cada año, tanto a nivel mundial como a nivel europeo, en la práctica totalidad de certificaciones posibles.

En datos globales, las empresas españolas figuran entre las diez primeras posiciones mundiales en las certificaciones consideradas más importantes, como calidad, gestión ambiental, antisoborno, seguridad de la información, seguridad alimentaria, gestión de la energía o calidad de servicios de TI, entre otras. Y España se sitúa como tercer país de Europa y del mundo por centros certificados en Sistemas de Gestión Ambiental ISO 14001 y Gestión antisoborno ISO 37001.

Según los datos ofrecidos por el informe, hay unos 2 millones de organizaciones certificadas en el mundo, lo que evidencia que las empresas de todo el mundo ven en las certificaciones una herramienta que les permite mejorar en sus procesos al tiempo que mejora su competitividad.

Las empresas españolas ocupan los siguientes puestos en las principales certificaciones:

logo_ISO

• Gestión de la Calidad ISO 9001. Es sin duda la norma de gestión de calidad más demandada por las empresas y la más extendida en el mundo. Una empresa que implanta un Sistema de Gestión de la Calidad obtiene grandes resultados en cuanto a mejora de procesos, ahorro de costes, posicionamiento… Las empresas españolas parecen tenerlo claro y colocan a España como quinto país del mundo y tercero de Europa con cerca de 60.000 centros de trabajo certificados conforme a esta norma.

• Gestión Ambiental ISO 14001. Esta norma establece los requisitos para implantar un Sistema de Gestión Ambiental en una empresa que le permitirá gestionar el equilibrio entre la reducción del impacto ambiental y el mantenimiento de la rentabilidad, utilizando para ello una gestión más eficiente de los recursos y de sus procesos. Las empresas españolas están bastante concienciadas en este sentido y son conscientes de que hoy día no se puede trabajar sin tener en cuenta los aspectos ambientales asociados a los procesos.  Esto se refleja en el informe, puesto que España queda tercera del mundo y primera de Europa, con más de 28.000 centros de trabajo certificados conforme a ISO 14001.

• Gestión de la Energía ISO 50001. Su objetivo fundamental es buscar la eficiencia en la gestión energética, consiguiendo un equilibrio entre evitar el daño al medio ambiente a que generan los consumos energéticos y las emisiones de gases, disminuir costes (con ahorros de hasta el 30%) y garantizar en todo momento la calidad de los servicios y productos que se ofrecen. España, se mantiene en este último informe como cuarto país de Europa y del mundo por número de centros certificados ISO 50001, con más de 3.000 centros.

• Seguridad de la Información ISO 27001.  Aquellas empresas que se certifican en ISO 27001 pueden demostrar a sus clientes que gestiona adecuadamente la seguridad de la información que maneja, que cumple con la normativa vigente y además que está disminuyendo los riesgos de fraude, y de pérdida o filtración de información. España, con cerca de 2000 centros certificados, es el séptimo país del mundo y tercero de Europa.

• Seguridad Alimentaria ISO 22000. Esta norma establece los requisitos para implantar y desarrollar un sistema de gestión de seguridad alimentaria que sea eficaz a lo largo de toda la cadena alimentaria y que asegure la inocuidad de los alimentos. Es una norma que día a día va cobrando más importancia pero que cuenta con la competencia de otros estándares normativos.  Aun así, España es el décimo país del mundo y quinto de Europa con cerca de 800 centros certificados según esta norma.

• Salud y Seguridad en el Trabajo ISO 45001. Su objetivo es lograr que la empresa gestione la seguridad y salud en el trabajo yendo un paso por delante del mero cumplimiento de la legislación aplicable, consiguiendo un valor añadido, demostrando un claro compromiso con la prevención y la seguridad de sus trabajadores, y mejorando la imagen de cara a la sociedad. Implantar esta norma permitirá a la empresa minimizar al máximo los riesgos laborales, reduciendo el número de accidentes y los problemas de salud laboral, lo que a su vez se traducirá en una mayor productividad. España es el tercer país de Europa y cuarto del mundo con casi 700 centros de trabajo certificados.

Si su empresa está interesada en la implantación de un Sistema de Gestión en base a alguna de estas normas, no dude en contactar con nosotros pues disponemos de amplia experiencia en todas ellas.

¿QUÉ EMPRESAS DEBEN CUMPLIR LA NUEVA LOPD-GDD Y CÓMO?

Comparte: Facebooktwittergoogle_pluslinkedinTodas aquellas entidades públicas y privadas que traten datos personales en el desarrollo de su actividad, están obligadas a cumplir con la Ley Orgánica 3/2018 de protección de datos y Garantía de los Derechos Digitales (LOPD-GDD) 

Y ¿qué entendemos por dato personal?

Cualquier información relativa a una persona física identificada o identificable, por lo que, además de nombres, apellidos, domicilio, DNI, correo electrónico …se considera dato personal aquel que permite identificar a una persona concreta, como puede ser su imagen, su voz, su información biométrica, o incluso una dirección.

Por tanto, una empresa que trate, en el ejercicio de su actividad, datos de proveedores, de clientes, de empleados, información sobre contactos de la web… debe cumplir con la LOPD-GDD. Y para el cumplimiento de la Ley, se le va a exigir que tenga una actitud de responsabilidad proactiva y por tanto, entre otras cosas, se le exigirá que previamente a cualquier tratamiento de datos personales realice un análisis de riesgo que le permita tomar las medidas adecuadas para garantizar la seguridad y su mitigación en la medida de lo posible.

¿Qué debe hacer una empresa para cumplir con la nueva LOPD y el RGPD?

Una empresa privada que en el ejercicio de su actividad diaria realiza el tratamiento de datos personales deberá dar los siguientes pasos para cumplir con la nueva LOPD y con el Reglamento europeo (RGPD):

  • Crear un registro de actividades de tratamiento

Es un documento interno en el que se especifican los tratamientos de datos personales que se realizan en la empresa, analizando previamente sus riesgos y estableciendo las medidas de seguridad que se aplican a cada tratamiento. No están obligadas a realizarlo aquellas empresas a las que les sea de aplicación la excepción del apartado 5 del artículo 30 del Reglamento (UE) 2016/679, pero sí es recomendable que cualquier empresa disponga de este documento.

El Registro de actividades de tratamiento debe incluir la siguiente información: el nombre del Responsable de tratamiento, la finalidad de tratamiento, la categoría de interesados, categoría de los datos, destinatarios a los que se les pueden comunicar los datos, si se realizan transferencias a otros países, los plazos de supresión de los datos y cuando sea posible, la descripción general de las medidas de seguridad.

  • Establecer un protocolo o procedimiento para el ejercicio de los derechos del interesado

Se establecerá el procedimiento a seguir para que las personas interesadas puedan solicitar el ejercicio de sus derechos de acceso, rectificación, oposición, supresión, limitación de tratamiento o portabilidad, sobre su información personal. Además debe especificar los pasos a seguir por el Responsable de tratamiento para dar respuesta de una manera eficaz.

  • eSTABLECER UN PROTOCOLO O PROCEDIMIENTO DE NOTIFICACIÓN DE BRECHAS DE SEGURIDAD

Dicho procedimiento especificará los pasos a seguir en el caso de que una empresa detecte una brecha de seguridad que puede poner en riesgo la confidencialidad y/o integridad de los datos de carácter personal que trata. Se debe disponer de formatos que permitan, llegado el caso, notificar las brechas de seguridad a la Agencia Española de Protección de datos y a los propios afectados.

digital composite of laptop with hacking graphic

  • Firmar contratos de Confidencialidad con trabajadores y colaboradores

La empresa informará a sus trabajadores y colaboradores que tengan acceso a datos de carácter personal de su obligación de mantener la confidencialidad y de su responsabilidad en caso de realizar tratamiento de los mismos.

  • Firmar contratos de encargo de tratamiento a terceros

La organización debe firmar un contrato de encargo de tratamiento con aquellas empresas subcontratadas o autónomos con los que comparta información de carácter personal de la que él es Responsable, y que ellos podrán tratar.  En dicho contrato deben incluirse los límites de tratamiento y los deberes y obligaciones del Encargado de tratamiento respecto a los datos y  es importante además, exigir garantías.

  • Incluir cláusulas de consentimiento informado

Tanto la LOPD- GDD como el RGPD, exigen que previamente al tratamiento de datos personales de un interesado exista un consentimiento informado explícito por parte del mismo. Por tanto, se deben incluir cláusulas informativas en todos los lugares en los que se solicite información personal y especificar en todo momento la finalidad de tratamiento, especialmente en aquellos casos en los que el tratamiento de la información recogida no esté legitimado por una base legal.

  • Adaptar la página web de la empresa a las nuevas normativas

La web debe incluir algunos textos como la Política de privacidad, el aviso legal, la política de cookies y las cláusulas de consentimiento informado mencionados anteriormente en los formularios de recogida de datos.

Integra, puede asesorar a su empresa para que la adaptación a la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales sea lo más fácil posible.

Foto: creativeart

LA NUEVA LEY ORGÁNICA DE PROTECCIÓN DE DATOS

Comparte: Facebooktwittergoogle_pluslinkedinLa nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) fue aprobada el 22 de noviembre de 2018 para adaptar el ordenamiento español a la normativa europea en la materia, el Reglamente General de Protección de Datos.

El objetivo, tanto del Reglamento europeo (RGPD) como de la nueva Ley Orgánica, es garantizar y proteger el tratamiento de los datos de carácter personal y los derechos de las personas, asegurando que los datos se traten de una manera lícita y que cualquier persona sepa en todo momento quiénes tratan sus datos, con qué finalidad, por cuánto tiempo, si los comparten o no con terceros y sobre todo que sepa cómo puede ejercer sus derechos.

De inicio, simplemente con observar el nuevo nombre, podemos deducir que la nueva LOPD hace hincapié en garantizar los derechos digitales de la ciudadanía española. Y como ya hemos comentado en posts anteriores sobre el RGPD, esto se ha debido a la transformación digital que ha sufrido nuestra sociedad y el mundo globalizado y la necesidad de hacerlo seguro.

La nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) fue aprobada el 22 de noviembre de 2018

NOVEDADES DE LA NUEVA LOPD

  1. Información por capas. Se adapta al Derecho Español la modalidad de información por capas. El art. 11 de la LOPD establece que cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del RGPD facilitando al afectado una primera capa de información básica e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
  2. Consentimiento de menores. La minoría de edad para prestar consentimiento para el tratamiento de los datos es de catorce años, siendo necesario el consentimiento del titular de la patria potestad o tutela para menores de dicha edad.
  3. Limitación de la actividad publicitaria: las “listas Robinson”. La ley establece las “listas Robinson” con el objetivo de que no pueda enviarse publicidad a las personas que estén inscritas en dicha lista. Una empresa que quiera realizar una campaña publicitaria deberá consultar previamente las “listas Robinson” salvo que los ciudadanos/as objeto de dicha campaña ya hayan dado su consentimiento para recibir publicidad.
  4. Sistemas de denuncias internas anónimas Las empresas podrán establecer canales internos y anónimos para que los empleados puedan informar sobre cualquier incumplimiento que puedan detectar en materia de protección de datos.
  5. Video-vigilancia y grabación de audio. La Ley Orgánica ha querido garantiza el derecho a la intimidad de los empleados en el lugar de trabajo y para ello ha dedicado un artículo a regular el uso de la video-vigilancia y la grabación de sonidos, así como los sistemas de geolocalización. Establece la obligación de informar de manera expresa, clara e inequívoca de dichos sistemas.
  6. Nombramiento del DPOEn el artículo 34 la nueva LOPD amplía en las cuales se deberá nombrar un Delegado de Protección de Datos, incluyendo por ejemplo colegios profesionales o centros educativos.
  7. Inclusión en sistemas de información de solvencia crediticia (“ficheros de morosos”). La nueva ley establece en 50€ la cuantía mínima de deuda a partir de la cual se puede incluir a los ciudadanos en los sistemas de información de solvencia crediticia. Y reduce a 5 años el tiempo máximo de permanencia en el registro.
  8. Derechos digitales.La nueva Ley está orientado a garantizar a todos los ciudadanos ciertos derechos digitales como el acceso universal a Internet, a la educación digital, a la seguridad digital, a la neutralidad de Internet, a la intimidad y desconexión digital en el ámbito laboral, a la protección de menores en Internet, derechos de rectificación, actualización y olvido en internet, derechos en el uso de redes sociales, derecho al testamento digital …

Sí necesita asesoramiento para adaptar la actividad de su empresa a la nueva LOPD no dude en ponerse en contacto con INTEGRA.

Foto: onlyyouqj

¿LE INTERESA IMPLANTAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)?

Comparte: Facebooktwittergoogle_pluslinkedinUn Sistema de Seguridad de la Información es para una empresa el diseño, implantación y mantenimiento de una serie de procesos que le permitirán gestionar eficientemente la accesibilidad de la información al tiempo que asegura su confidencialidad, integridad y disponibilidad, pero minimizando a la vez los riesgos de seguridad.

Para poder garantizar la correcta implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), la base es definir la estrategia a seguir por toda la organización para garantizar la seguridad de la información y posteriormente delimitar e identificar la información de carácter protegido que será el objeto del SGSI. La información es el conjunto de datos que poseen un valor para la empresa u organización, independientemente del formato en que se presente o guarde.

¿Pero cómo garantizamos desde Integra, que el SGSI que vamos a implantar en su organización se adapta a sus necesidades?

  1. Analizando los riesgos que determinan las amenazas y vulnerabilidad de la información que gestiona la empresa
  2. Seleccionando los controles y detallando los objetivos que quieren cumplir en materia de seguridad
  3. Definiendo las medidas correctoras más adecuadas para la empresa, basadas en los riesgos detectados que se deben minimizar.

¿Qué ventajas obtiene tras la implantación de un SGSI?

– Poder certificarse conforme la norma ISO 27001 de Sistemas de Gestión de la Seguridad de la Información, diferenciándose de la competencia.

– Cumplir con la legislación vigente

– Mejora de los procesos y procedimientos existentes relacionados con la gestión de la información

– Garantizarle a los clientes, proveedores, trabajadores…que la información proporcionada se gestiona de forma segura

No lo dude, el equipo técnico de Integra dará cumplimiento a sus expectativas y garantizara la seguridad de la información que gestionan en su empresa. Consúltenos

 

LA COMUNICACIÓN DE LAS BRECHAS DE SEGURIDAD EN EL RGPD

Comparte: Facebooktwittergoogle_pluslinkedinEl Reglamento General de Protección de Datos (RGPD) establece la obligación de notificar a la Agencia Española de Protección de Datos (AEPD) las brechas e incidentes de seguridad que puedan afectar a los datos personales.

Cualquier organización que trate datos personales se encuentra expuesta a sufrir brechas de seguridad que pueden repercutir o no en la privacidad de los interesados. El RGPD define las violaciones de seguridad como aquellas “que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptible en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales”.

Cuando se produzca una violación de la seguridad de los datos que pueda suponer un riesgo para los derechos y libertades de los afectados (robo de la información, acceso no autorizado a la información, publicación de información en internet de datos personales, etc), el Responsable del tratamiento tendrá la obligación de notificarla en el plazo de 72 horas a la Autoridad de Control (Agencia Española de Protección de Datos).  La notificación incluirá toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales y se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es.

La notificación de la quiebra de seguridad deberá incluir como mínimo la siguiente información:

  • Tipo de incidencia
  • Fecha y hora en que se produjo o se detecta
  • Persona que realiza la notificación
  • Persona a quien se comunica
  • Efectos que puede producir la incidencia
  • Descripción detallada de la misma
  • Medidas correctoras aplicadas

En los casos en los que la violación de seguridad entrañe un alto riesgo para los interesados, además de la comunicación a la Autoridad de Control, se deberá comunicar dicha quiebra en la seguridad a los interesados con el objetivo que los mismos puedan tomar medidas oportunas para protegerse de las posibles consecuencias.

En el caso que no se pueda identificar a todos los afectados, la comunicación se podrá realizar mediante la publicación de un anuncio en los medios de comunicación.

Foto: onlyyouqj

¿QUIERE GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN EN SU EMPRESA? ISO 27001 ES SU RESPUESTA

Comparte: Facebooktwittergoogle_pluslinkedinHoy día, con la digitalización del mundo empresarial, se hace indispensable para una empresa mantener la seguridad de la información, y de hecho son muchas las normas dirigidas a este fin y que permiten regular distintos aspectos en materia de seguridad, como puede ser la protección de datos de carácter personal, el comercio electrónico…o muchos otros.

Pues bien, ISO 27001 es la norma internacional certificable que define los requisitos que debe tener un Sistema de Gestión de Seguridad de la Información (SGSI), y que por tanto, englobaría el cumplimiento de todos aquellos requisitos en materia de seguridad de la información regulados por normativas. Por tanto, implantar esta norma posibilitaría a la empresa demostrar a sus clientes que gestiona adecuadamente la seguridad de la información que maneja, que cumple con la normativa vigente y además que está disminuyendo los riesgos de fraude, y de pérdida o filtración de información.

ISO 27001 se basa en la gestión de riesgos, es decir que, los identifica, los evalúa y luego establece las medidas necesarias para tratarlos. Y es una norma recomendable para cualquier tipo de empresa y de cualquier sector siendo especialmente interesante para empresas del sector financiero, sanitario, publico, de tecnologías de la información (TI) y subcontratas que gestionen información por encargo de otros ya que estas manejan información muy detalla de clientes, proveedores, pacientes…

Los principales beneficios que logran las empresas que implantan un Sistema de Gestión de la Seguridad de la Información (SGSI) bajo la Norma ISO/IEC 27001 son:

  • Evidenciar el cumplimiento de la legislación vigente.
  • Demostrar a los clientes que la seguridad de la información es fundamental para la organización
  • Verificar que los posibles riesgos a los cuales se enfrenta la empresa, están identificados, evaluados y gestionados, garantizando la seguridad de la información que maneja…
  • Cumplir con el principio de Responsabilidad proactiva, que tan de moda se ha puesto a raíz de la entrada en vigor del Reglamento General de Protección de Datos, y que nos obliga a tener que demostrar que cumplimos con la norma.

Y quizá, una de las ventajas que presenta esta norma, sea que se puede adaptar a cada empresa, en función de sus características y las necesidades que tenga en materia de seguridad de la información.

¿Quiere garantizar la seguridad de la información que maneja en su empresa? Contacte con nosotros, estaremos encantados de asesorarle.

Foto: onlyyouqj

LA ADAPTACIÓN AL RGPD PUEDE TENER PREMIO

Comparte: Facebooktwittergoogle_pluslinkedinLa Agencia Española de Protección de Datos (AEPD) ha convocado una nueva edición de los ‘Premios Protección de Datos Personales 2018’. En esta ocasión se incluye nuevas categorías como:

  • Categoría de Buenas Prácticas sobre Iniciativas para adaptarse al Reglamento
  • Comunicación,
  • Buenas Prácticas Educativas para el uso seguro de internet por los menores
  • Investigación Emilio Aced.

Con estas categorías, la AEPD pretende reconocer el trabajo realizado en distintos ámbitos de nuestra sociedad para proteger el derecho de los individuos a que sus datos personales estén seguros. Concretamente quiere valorar el esfuerzo llevado a cabo en el ámbito educativo, empresarial, científico, en los medios de comunicación y/o en las administraciones públicas.

Las empresas del sector privado pueden presentarse al Premio a las Buenas prácticas sobre iniciativas para adaptarse al Reglamento, en el que se valorarán principalmente aquellas iniciativas en las que la adaptación al RGPD haya presentado una mayor dificultad,  por tratarse de empresas que realizan tratamientos de datos de alto riesgo.  El plazo para la presentación de candidaturas finalizará el 30 de noviembre.

La AEPD quiere reconocer el esfuerzo de las empresas porque la adaptación al Reglamento les ha supuesto incorporar en el día a día de su actividad las medidas de seguridad necesarias para proteger los datos de carácter personal, siendo por tanto, la protección de datos un aspecto más que se asume la empresa dentro de su filosofía y política. El Reglamento además obliga a que la empresa implante medidas de evaluación y seguimiento continuas que permitan acreditar el cumplimiento de este, lo que les supone grandes esfuerzos de adaptación.

Si su empresa aún no se ha adaptado al RGPD o no sabe cómo demostrar que cumple con la responsabilidad proactiva que se le exige, llámenos.

Foto: rawpixel.com

ANÁLISIS DE RIESGOS Y EVALUACIÓN DE IMPACTO EN EL REGLAMENTO DE PROTECCIÓN DE DATOS

Comparte: Facebooktwittergoogle_pluslinkedinHoy en día, es fundamental para la buena marcha de una empresa que su gestión se apoye en una identificación y evaluación de riesgos que le permita poner en marcha las medidas necesarias para prevenirlos y evitarlos. De hecho, son ya varias las normativas de sistemas de gestión que están incluyendo este enfoque en su estructura, como es el caso de las últimas versiones de las normas ISO 9001, ISO 14001, ISO 45001, ISO 22000…y muchas otras.

Pues bien, la protección de datos no podía ser menos, y el nuevo Reglamento UE 2016/679 General de Protección de Datos (RGPD) exige a los Responsables de tratamiento de los datos que adopten las medidas necesarias de seguridad basándose en los posibles riesgos que detecten. Concretamente, establece lo siguiente:

Artículo 25.1 del RGPD: “Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”.

Artículo 32.2 del RGPD: “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

En efecto, el RGPD establece la necesidad de que cualquier empresa u organización adopte las medidas de seguridad teniendo en cuenta los riesgos. En cambio, la Evaluación de impacto no se requiere siempre, sino que cada organización debe valorar si es necesaria o no en función de cada actividad de tratamiento que lleve a cabo.  Será fundamental el análisis de riesgo previo para poder determinar si existe algún tratamiento con nivel de riesgo alto para los derechos de las personas físicas que nos obligue a realizar la evaluación de impacto, pero además el RGPD nos da pistas, y en el artículo 35.3 describe varios casos en los cuales se ha considerado que un tratamiento puede derivar en riesgos elevados y son aquello en los que exista:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado como la elaboración de perfiles y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten de modo similar.
  • Tratamiento a gran escala de las categorías especiales de datos personales, o datos sobre condenas e infracciones penales o medidas de seguridad conexas.
  • Observación sistemática a gran escala de una zona de acceso público

La Agencia Española de Protección de Datos (AEPD) ha publicado varias guías que abordan tanto el Análisis de Riesgos como la Evaluación de impacto.

Si tiene dudas y necesita más información en relación con el Reglamento General de Protección de Datos (RGPD) contacte con nosotros.

Foto: d3images