el lugar santo y santisimo final.pptx y sus partes
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
1. GESTIÓN DE LA
PRIVACIDAD
ISO/IEC 27701:2019
TÉCNICAS DE SEGURIDAD - EXTENSIÓN DE ISO/IEC 27001 E ISO/IEC 27002 PARA LA
GESTIÓN DE PRIVACIDAD DE LA INFORMACIÓN – REQUISITOS Y DIRECTRICES
JUNIO 2022
2. CONTENIDO:
1. Seguridad de la Información y Privacidad
2. ¿Qué es ISO/IEC 27701?
3. Riesgos de Seguridad de la Información y Privacidad
4. SGPI
5. Responsabilidades
6. Beneficios del SGPI
7. Consecuencias por incumplimiento al SGPI
4. SEGURIDAD DE LA INFORMACIÓN
Proteger la información
Preservar:
• Confidencialidad
• Integridad
• Disponibilidad
5. PILARES DE LA
SEGURIDAD DE
LA
INFORMACIÓN
•No revelar o difundir a personal no
autorizado
CONFIDENCIALIDAD
•Información precisa o exacta
INTEGRIDAD
•Acceso a la información cuando se la
requiera
DISPONIBILIDAD
6. ELEMENTOS DE LA SEGURIDAD DE LA
INFORMACIÓN
Procesos
Personas
Tecnología
INFORMACIÓN
Proteger la Información
7. DEFINICIONES
•Cualquier información que pueda usarse
para identificar al Titular de IIP la cual está
relacionada al mismo, o que está vinculada
al titular. Ej: Nombre, Cédula, Datos de
salud, datos biométricos.
IIP – INFORMACIÓN DE
IDENTIFICACIÓN PERSONAL
•Persona natural a la que se refiere la
información de identificación personal (IIP).
Ej: Cliente, Paciente, Colaborador.
TITULAR DE IIP
•Parte interesada en la privacidad que
determina los propósitos y los medios para
procesar la información de identificación
personal (IIP).
RESPONSABLE DEL
TRATAMIENTO DE IIP
8.
9.
10. DEFINICIONES
•Parte interesada en privacidad que procesa
información de identificación personal (IIP)
en nombre y de acuerdo con las
instrucciones de un responsable de
tratamiento de IIP.
ENCARGADO DEL TRATAMIENTO
DE IIP
•Operación o conjunto de operaciones
realizadas sobre información de
identificación personal (IIP).
• Los ejemplos de operaciones de
procesamiento de IIP incluyen, entre otros,
la recopilación, el almacenamiento, la
alteración, la recuperación, la consulta, la
divulgación, la anonimización, la
seudonimización, la difusión o la puesta a
disposición, la eliminación o destrucción de
IIP.
PROCESAMIENTO DE IIP
11.
12.
13. DEFINICIONES
•Parte interesada en la privacidad que no sea
el titular de la información de identificación
personal (IIP), el controlador de IIP y el
procesador de IIP, y las personas físicas que
están autorizadas para procesar los datos
bajo la autoridad directa del controlador de
IIP o el procesador de IIP
TERCEROS
•Responsable del tratamiento de IIP que
determina los propósitos y medios del
procesamiento de PII junto con uno o más
responsables del tratamiento de IIP.
CORRESPONSABLE DEL
TRATAMIENTO DE IIP
•Sistema de Gestión de Seguridad de la
información que hace referencia a la
protección de la privacidad como lo
potencialmente afectada por el tratamiento
de IIP.
SGPI: Sistema de Gestión sobre
la Privacidad de Información
17. ¿QUÉ ES ISO/IEC 27701?
Norma Internacional
• Proporciona requisitos y directrices para establecer, implementar,
mantener y mejorar un Sistema de Gestión Privacidad de la Información
(SGPI)
• Proporciona orientación a los responsables y encargados del tratamiento
de IIP que tienen responsabilidad y autoridad de rendir cuentas por el
procesamiento de IIP.
• Amplía los requisitos de ISO/IEC 27001:2013 para tener en cuenta la
protección de la privacidad de los titulares de IIP como potencialmente
afectados por el procesamiento de IIP, además de la seguridad de la
información.
• Aplicable a todos los tipos y tamaños de organizaciones que son
controladores y/o procesadores de IIP dentro de un SGSI.
18. ISO 27001/27701
La ISO/IEC 27701:2019 es una extensión de la ISO 27001 sobre la privacidad de la información. Esta nueva norma sobre la
seguridad de la información proporciona guía a las organizaciones que quieran cumplir con los requisitos del RGPD y otros
requisitos sobre privacidad de datos. ISO 27701, también conocida como Sistema de Gestión de Privacidad de la Información
(SGPI) proporciona un marco de trabajo para que el responsable y encargado de tratamiento gestionen la información de
identificación personal (IIP).
19. Los derechos ARCO surgen en 2009 de la reforma
constitucional al artículo 16, donde reconoce que todas las
personas tienen derecho al acceso, rectificación, cancelación
u oposición de sus datos personales.
El 25 de mayo de 2018 entró en vigor en la Unión Europea
(UE) el Reglamento General de Protección de Datos
(conocido en siglas como RGPD). Esta normativa constituye
un nuevo marco jurídico que se aplicará de modo directo en
todos los Estados miembros de la UE, y que tendrá prioridad
sobre las legislaciones nacionales.
ARCO RGPD
Derechos ARCO ampliados en RGPD
ARCO + RGPD
23. RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN Y PRIVACIDAD
Relacionados a la pérdida de la
confidencialidad, integridad y
disponibilidad.
Riesgo: Efecto de la
incertidumbre sobre los
objetivos. (ISO 31000:2018, 3.1)
24. AMENAZAS
Causa potencial de un incidente no deseado que puede provocar daño a un
Sistema u organización. (ISO/IEC 27000:2018, 3.74)
Externas
• Robo
• Falla de
servicios
(Energía,
Internet
Tecnológicas
• Virus/Malware
• Phishing
• Bugs/Errores
de sistemas.
Factor Humano
• Abuso de
derechos de
acceso
• Errores en el
uso
• Accesos no
autorizados
Factores
Naturales
• Inundaciones
• Erupción
volcánica
25. VULNERABILIDADES
Debilidad de un activo o control que puede ser explotado por una o más
amenazas. (ISO/IEC 27000:2018, 3.77).
Sitio
• Ubicación
susceptible a
inundaciones
• Debilidad en
controles de acceso
físico o falta.
Tecnológicas
• Falta de respaldos
de información
• Infraestructura
tecnológica sin
redundancias
• Falta de revisión
periódica de accesos
a os sistemas
Factor Humano
• Ausencia del
personal
• Uso incorrecto de
equipos o sistemas
• Desconocimiento de
políticas de
seguridad de la
información
Organización
• Falta de
entrenamiento en
seguridad de la
información
• Falta de políticas de
seguridad de la
información.
26. Riesgos de Seguridad de la Información y
privacidad
Divulgación de información de salud de pacientes a personas no autorizadas.
Cómo prevenir?
• Mantener acuerdos de confidencialidad (personal, proveedores)
• Proceso disciplinario (reglamento interno) por incumplimiento de acuerdos de
confidencialidad o de políticas/procesos internos.
27. Riesgos de Seguridad de la Información y
privacidad
Accesos no autorizados a la información por uso de contraseñas compartidas o
expuestas en lugares visibles.
Cómo prevenir:
• Las credenciales de acceso son de uso personal e intransferible
• No anotar contraseñas en papeles/post-it
• No almacenar contraseñas en navegadores
• Utilizar gestores de contraseñas.
29. ¿QUÉ ES SGPI?
SGPI: Sistema de Gestión sobre la privacidad de la Información
• Sistema de Gestión de Seguridad de la información que hace referencia a la
protección de la privacidad como lo potencialmente afectada por el tratamiento
de IIP.
Se basa en la norma ISO/IEC 27701:2019
• Estándar Internacional que amplía los requisitos de ISO/IEC 27001:2013 para tener
en cuenta la protección de la privacidad.
• Aplicable a cualquier tipo de organización responsable y/o encargada del
tratamiento de IIP dentro de un SGSI.
• Especifica requisitos para establecer, implementar, mantener y mejorar el SGPI.
Rol de Veris respecto a Privacidad: Responsable del tratamiento de IIP
(Controlador)
30. Objetivo de la Ley
Este derecho no solo garantiza la autodeterminación informativa y la privacidad, si no que posibilita el libre ejercicio de otros
derechos como la libertad de expresión, la no discriminación, la participación ciudadana, el derecho a reunión pacífica, el
acceso al empleo, la salud, la educación, entre otros.
El objetivo de la ley general de protección de datos personales es establecer reglas para el desarrollo de actividades que
involucren la recolección y procesamiento de datos, por parte de agentes públicos y privados. Así como prevenir injerencias
arbitrarias en el normal desarrollo de la vida de los ciudadanos y ciudadanas, de donde sea que tales injerencias vengan.
La Ley de Protección de Datos Personales propuesta pretende regular el uso de los datos personales con el consentimiento de
los ciudadanos, y combatir el mercado negro de las bases de datos.
Los ciudadanos tendrán el derecho al acceso, la rectificación, y podrán solicitar la eliminación de una base de datos. La
normativa establece sanciones para las empresas que hagan un mal uso de los datos.
Con esta ley los ciudadanos podrán, por ejemplo, exigir a los call center (centros de atención) que retiren sus datos de la
base que poseen para no seguir recibiendo llamadas de ofertas de productos y servicios por parte de empresas.
Que pretende la Ley
Ley Orgánica de Protección de Datos Personales
31. POLÍTICA INTEGRADA
En LATINOMEDICAL S.A. garantizamos la prestación de servicios de
salud, asegurando la confidencialidad, integridad y disponibilidad de
la información, buscando exceder las expectativas a través del
enamoramiento a nuestros clientes y pacientes, cumpliendo los
estándares y requisitos legales aplicables mediante el mejoramiento
continuo y la optimización de nuestros procesos en beneficio de las
partes interesadas, apoyados en nuestros colaboradores que son la
fuente de nuestra fortaleza.
Manual de la Calidad (MC-01)
32. OBJETIVO
Manual de la Calidad (MC-01)
LÍNEA ESTRATÉGICA OBJETIVO DEL SGI
CULTURA DE SEGURIDAD Asegurar la confidencialidad, integridad y
disponibilidad de la información.
34. RESPONSABILIDADES DEL PERSONAL (1)
Conocer y cumplir las políticas, normas, procedimientos respecto a
seguridad de la información y privacidad.
Conocer:
• Importancia de la seguridad de la información y privacidad
• Cómo con sus tareas contribuye a la efectividad del SGPI
• Consecuencias por fallas en la seguridad de la información/privacidad e
incumplimiento de políticas.
35. RESPONSABILIDADES DEL PERSONAL (2)
Colaborar en las actividades relacionadas al SGPI.
Atender y/o reportar cualquier debilidad, evento o incidente de seguridad
que afecte la confidencialidad, integridad y disponibilidad de la información.
A quién reportar?
• A su Gerencia o Jefatura inmediata o al correo sgsi@veris.com.ec
Buen uso de la infraestructura o activos de la empresa para no exponerlos a
riesgos de seguridad de la información y privacidad.
Cumplimiento del acuerdo de confidencialidad.
37. BENEFICIOS
DEL SGPI
•Diferenciador estratégico
•Protege la imagen/reputación
•Mejora interna
•Disponibilidad de los servicios que
proporciona.
PARA LA EMPRESA
•Proporciona confianza a sus
clientes/pacientes respecto al manejo de su
información (Salud, personal).
•Cumplimiento de requerimientos.
PARA EL
CLIENTE/PACIENTE
38. BENEFICIOS
DEL SGPI
•Cumplimiento legal, normativo.
•Reduce la posibilidad de demandas.
LEGAL
•Reducción de costos por multas
•Reducción de costos por prevención de
incidentes de seguridad.
FINANZAS
40. CONSECUENCIAS
Afectación a la imagen de la empresa
Impacto económico por:
• Demandas asociadas a vulnerar la privacidad/intimidad de las personas o errores.
• Incumplimiento contractual.
• Incumplimiento LOPD
• Falta leve: multa de entre el 0.1% y el 0.7% calculada sobre su volumen de negocio,
correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa.
• Falta Grave: multa de entre el 0.7% y el 1% calculada sobre su volumen de negocios,
correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa.
Materialización de los riegos de seguridad de la información y privacidad.
Indisponibilidad de los servicios.
Retrasos en la ejecución de procesos
Quejas/Insatisfacción de clientes/pacientes.
PII, permite identificar a la persona natural
Un controlador de PII a veces instruye a otros (p. ej., procesadores de PII) para que procesen la PII en su nombre, mientras que la responsabilidad del procesamiento permanece en el controlador de PII.