0

El Nuevo Reglamento Europeo de Protección de datos

-

El 14 de abril de 2016 se ha aprobado el esperado Nuevo Reglamento Europeo de Protección de datos. Este Reglamento entrará en vigor 20 días después de haber sido publicado en el Diario oficial de la Unión Europea, que previsiblemente será a finales de junio y los países miembros tendrán una vacatio legis de dos años para adaptarlo a sus legislaciones nacionales, es decir hasta mayo de 2018

Entre las novedades más significativas destacamos:

  • Evaluación de Impacto relativa a la protección de datos. Se trata de cuál es el efecto en la privacidad del individuo de ciertos desarrollos tecnológicos. Es un análisis de riesgos. La AEPD ya se pronunció sobre éste asunto, creando una guía. A través de ésta evaluación se consigue la protección de datos desde el diseño y por defecto.
  • Ventanilla única (One Stop Shop) a través de la cual las empresas españolas con sedes en otros Estados Miembros, podrán tratar con, en nuestro caso, la AEPD o con la del Estado Miembro donde se encuentre su matriz.
  • Elaboración de perfiles para evaluar determinados aspectos personales de una persona física.
  • Seudonimización que consiste en el tratamiento de datos personales de forma que no puedan atribuirse a una persona física identificada o identificable.
  • Derecho al olvido mediante la rectificación o supresión de datos personales.
  • Derecho a la portabilidad de datos de un proveedor de servicios a otro.
  • Multas de hasta 20 millones de euros o el 4% de su facturación global (optándose por la mayor cuantía)
  • Licitud del consentimiento. El consentimiento queda como un acto afirmativo claro.
  • Delegado de Protección de Datos, DPO.
  • Notificar una vulneración de seguridad en 72 horas al órgano de control, o si es de alto riesgo, al interesado.
  • Datos genéticos (datos que proporcionen información sobre la fisiología o la salud de personas obtenidos por análisis de muestras biológicas) / Datos biométricos (datos que permiten la identificación única de personas, como imágenes faciales o datos dactiloscópicos).
  • Responsabilidad proactiva. Las empresas deben de adoptar medidas para demostrar que se está cumpliendo con el Reglamento, es decir, los responsables tienen que demostrar la carga de la prueba. Esto da lugar a un capítulo entero de medidas y obligaciones prácticas, que será la parte que más contribuya a proteger los datos.
  • Transparencia de la información. Las políticas de privacidad deberán cambiar para adaptarse a lo que exige el Reglamento.
  • Protección de datos desde el diseño y por defecto.
  • Cambia del concepto de encargado del tratamiento, hacia un “encargado seguro” de forma que el contrato que regula la relación de estos prestadores de servicios se refuerza, exigiendo que quede todo estipulado, con nuevas medidas como el derecho a auditar por parte del responsable del tratamiento hacia el encargado.

Con respecto a las medidas de seguridad en los tratamientos España de los pocos países que disponemos ya de una norma (Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal), que regula las disposiciones que exigen el nuevo Reglamento Europeo, por lo que en principio, no nos supondrá tanto impacto como a otros países, a expensas de que como hemos comentado, se pronuncie la AEPD.

Puedes descargar el contenido del RU 2016/679 en este enlace.

captura-de-pantalla-2016-12-04-a-las-14-47-42

 

0

Las 7 novedades más importantes de la nueva ISO 27001:2013 Gestión de Seguridad de la Información

-

A finales de 2013 salió publicada la nueva versión de la norma ISO/IEC 27001:2013, el estándar por excelencia de la Gestión de la Seguridad de la Información, norma que por ejemplo en España ya cuenta con cerca de 700 certificaciones en diversas empresas, sobre todo del sector TIC y que se ha convertido en una verdadera herramienta para mejoras algunas empresas TI, dando valor en mercado y haciendo que esta certificación se convierta en un auténtico must para algunos proveedores de servicios en la nube.

Fuera de un análisis más profundo, que publicaremos más adelante, y dirigido esta primera entrada a profesionales del sector, podemos resaltar 7 novedades de la nueva versión del estándar, tras las primeras experiencias de formación y consultoría en empresas y con la opinión de diversos profesionales:

  1. El proceso de Análisis de Riesgos más sencillo y real. Uno de los grandes mitos de la ISO 27001 es que Magerit y Pilar son herramientas indispensables. Más bien y como opinión del autor, suponen un riesgo porque muchos análisis de riesgos realizados en empresas certificadas no aportan ningún valor y hasta en ocasiones descuidan las acciones más relevantes que se deben implementar. La versión 2013 nos da la luz a un proceso donde se identifican riesgos y oportunidades, es decir la famosa acción correctiva identificada en auditoría pasa a formar parte del análisis de riesgos, dando pie a otra norma ISO 31500.
  2. El nuevo concepto de LIDERAZGO. No es necesario ni comité ni parafernalias administrativas, lo importante es que alguien en la organización lidere la gestión de la seguridad, el CISO
  3. Lenguaje ITIL. La nueva norma respira conceptos de Operación, Support, Configuración, etc. un lenguaje total de la gestión de servicios que junto al nuevo Anexo SL de las normas de gestión se abandona un poco el famoso espíritu PDCA para dar paso a una gestión por procesos más real en la empresa.
  4. La Comunicación de la Seguridad, un requisito. Dentro del nuevo apartado de Support aparece la comunicación de la seguridad como un hito obligatorio a realizar sobre las partes interesadas del sistema de seguridad. Anteriormente era un punto de la mejora contínua, pero éste era uno de los GAP identificado en muchas auditorías donde ni siquiera se identificaba este punto.
  5. Menos controles, más dominios de control, como la gestión de Proveedores (suministradores) como uno de los focos principales para transmitir seguridad. Lo malo es que cambian completamente los números, haciendo un trabajo de gestión en las actuales declaraciones de aplicabilidad.
  6. La definición de objetivos en base a la Política, con una gestión de indicadores y elementos de gestión.
  7. Gestionar la ISO 27001 como un proyecto, uno de los nuevos controles de la Declaración de aplicabilidad que nos da la pista definitiva que se deben gestionar recursos, personas, tareas, calendarios, etc. Es decir poner la palabra “proyecto” en algo que desde los inicios de las normas ISO le llamaban “sistema de gestión” y que alguno no sabía todavía definir

Continuaremos hablando de la norma ISO 27001:2013 con más detalles.

blogimg-15

0

Convergencia CALIDAD TIC

-

Presentación realizada el 12 de Junio en Bellaterra, Barcelona, en el marco de la conferencia “Novedades de las normas ISO 27001 e ISO 20000″ presentado conjuntamente por DOITsmart, Applus+ e IRON MOUNTAIN.

 

0

Claves de éxito en la certificación ISO 27001

-

Presentación realizada el 12 de Junio en Bellaterra, Barcelona, en el marco de la conferencia “Novedades de las normas ISO 27001 e ISO 20000” presentado conjuntamente por DOITsmart, Applus+ e IRON MOUNTAIN

 

0

Los 10 principios del Gobierno TI

-

0

¿Qué significa GESTIONAR la Seguridad de la Información?

-