Please enable JavaScript.
Coggle requires JavaScript to display documents.
Charla Reglamento de protección de datos (Cyberseguridad (Ciclo de vida de…
Charla Reglamento de protección de datos
RGPD (Reglamento General de Protección de Datos)
¿Por qué?
Derecho fundamental previsto en la constitución: protege al usuario frente a la recogida, almacenamiento y tratamiento de sus datos personales aportados en su relación con la empresa.
Europa exige tener un sistema de protección de datos
Que sea gestionable y adaptable
Entró en mayo del 2015 y dieron 2 años, así que en mayo de 2017 es obligatoria
Claves
Consentimiento claro, explícito, afirmativo, inequivoco, informado, acreditable a la finalidad del tratamiento
Derecho a recitivar, limirtar y surimir datos "erecho al olvido"
Infomración clara y visible sobre la finalidad del tratamiento
Dereho de portabilidad de sus datos
Derecho a facilitar el acceso a los datos personales recogidos
DPO
Persona responsable del mantenimiento del sistema
Notificación a usuarios eafectados y AEPD brecha de seguridad y fuga de datos
Accountability Privacy & Security by design
Transferencia intenacional, con garantías adecuadas. Hay que informarlo y certificar que está controlado
Importante
Asegurarse en una baja es total - incluido a las empresas con las que trabajemos, en cascada
Presente durante todo el ciclo de vida del dato
Medidas de seguridad técnicas y organizativas apropiadas: Enfoque basado en evaluar y asumir responsablemente el riesgo.
Accountability
Responsabilidad activa basada en la prevención
Se plantea la seudonimacización, que puede ser reversible si es necesario
Poner la info para usuarios en lenguaje calro y sencillo, posible utilización de infografías
Si nuestros proveedores han tenido una brecha nos tienen que informar
La AEPD es la que gestiona todo esto
Raquel Ramo
Cyberseguridad
ENS - ISO 27001
Vulnerabilidades y parcheado
Actualizaciones windows...
Protección de wi-fi Pineapple
Normativa para el personal sobre el USO de los recursos TIC
Control de acceso a redes
Cuidado
Cambiar contraseñas
Cifrar la info
No conectarnos a cualquier wifi
Concienciación de los empleados
Siempre es el eslabón más débil
Postit con claves en los ordenadores
Hackend - gamificación para evitar crackings... - forma divertida de aprender
Ciclo de vida de un ataque
Romper el perímetro
Entrega malware
Movimiento lateral - Vulnerabilidad
Sacar datos - exfiltrar
¿Qué podemos hacer?
Perímetro seguro
Protección del puesto de trabajo
Firewalls de nueva generación
Estudia el comportamiento habitual del usuario - así se detectan anomalías
Backup
Tengo que tener backup y asegurarme que la info puede ser recuperada
Política de restauración
Periodicidad
Evaluaciones de impacto
MAcchivos de infraestructura
Organziación
Personas
Daniel Chóliz
Priorizar los puntos más importantes
Mismas reglas del juego para toda Europa
Cada organización puede gestionarse como quiera
Cambio relevante respecto a la LOPD
Complicado saber si con lo que estoy haciendo es suficiente o no
Grupo de trabajo del artículo 29
Comenta y da directrices acerca de la ley
No es la ley, es sólo la interpretación
Más exigente que la reglamentación, pero al menos tenemos un criterio
Nuevos requerimientos
Data Protection Oficer (DPO)
No es obligatorio pero es bueno tenerlo
Las empresas están optando por perfiles jurídicos
Es alguien que ayuda a los demás para que hagan lo que tengan que hacer
Se puede externalizar
Registro de actividades del tratamiento
Pinta los procesos
Qué información tienes, para qué los empleas, quién tiene acceso al mismo, etc
Todo tratamiento (uso) ha de tener una legitimación
Existe el interés legítimo
Tengo interés en hacer cosas con otra organización
Cuidado con los derechos de los demás - tienen su propio interés
Hay que poner en la balanza mi interés por publicitarme y la del interés de recibir publicidad - sopesamiento
Consentimiento
Para envío de publicidad
Ahora no se puede hacer lo de 'si en 30 días no me dices nada, lo hago...'
No redactar de forma ambigua
Términos claros
Antes de lanzar nada, coger una muestra de clientes y trabajadores a ver si lo ven claro
Validar
Con eso puedes demostrar que no lo has hecho al tuntún, sino que lo has validado con un grupo de trabajadores
Derechos
Al olvido
Portabilidad
Dame todos mis datos, para dárselo a la competencia
Privacidad por diseño y por diseño
Cada persona emplea lo que necesita
PIA (Privacy Impact Assessment)
Di que riesgos tienes
Con los datos que tengo y para lo que los utilizo, ¿Qué riesgos tengo?
Montar controles que minimicen esos riesgos
Brechas de seguridad
Dos tipos de empresas: los que han sufrido un ataque y los que no saben que han sufrido un ataque
Hay que organizarse para que en cuanto lo sepas, en 72 horas lo comuniques a la agencia y a los afectados
Procedimentar qué se va a hacer y quién lo va a hacer
Transferencias de datos internacionales
Gestión de terceros
Incluir clausulas en contrato
Asumir responsabilidad de a quién has elegido
Proceso de homologación previa
Se está yendo a empresas con nombre, para cuidarse las espaldas
Hay que hacer seguimiento
Ir en su casa y comprobar que hacen buen uso de los datos
Si no te dejan entrar, se asigna a un mediador