Como realizar la revision y preparación al interior de su organización para desarrollar sus tacticas y operaciones alineados a una estrategia unificadora de gestion de calidad de datos y gestion de seguridad de la información. de esta manera el cumplimiento del requisito adicionalmente a generarle las coberturas sobre los riesgos y sanciones, le generará valor a su organización.
1. Registro Nacional de Base de Datos
Conceptos y acciones para su
habilitación
Jorge Javier Calderón Cuéllar
Consultor Senior Arnnova Consultores
Bogotá D.C. marzo 2015
2. Objetivos:
A partir de los requisitos planteados por el manual de registro
de base de datos, Identificar las actividades practicas para
complementar la gestión de bases de datos y prepararse al
interior de la empresa, desde el enfoque Funcional,
Administrativo y operativo.
Sugerir planes de acción para desarrollar el cumplimiento de
requisitos que se materialicen según puntos clave para el
Desarrollo y Gestión de las bases de datos.
Sugerir unas líneas de acción para cumplir los requisitos del
decreto para el registro de las bases de datos y mejorar la
gestión de los datos al interior de la empresa.
3. Expectativas sobre el RNBD :
Directorio público
Información Personal de
quien(es) tiene(n)
relación con la empresa
Punto de referencia para
Inspección y vigilancia
para la SIC
Herramienta para ejercer
control y protección
4. Marco General: Expectativas sobre el RNBD
Motivadores del proyecto del proyecto a Nivel nacional el registro se realiza para
contar con un directorio publico de las bases de datos personales sujetas a
tratamiento, poder monitorear la gestión de los datos personales de los ciudadanos.
El conjunto de directrices y requisitos del manual pretenden estandarizar la
administración y gestión de la información de carácter personal de los ciudadanos
colombianos en el desarrollo y propósitos de ejecución de su actividad económica.
Sirve de soporte para las investigaciones, control y oportunidad en la respuesta por
parte de los responsables de datos hacia los titulares de los mismos, cuando sucedan
controversias.
Contribuye a la evolución de un contexto empresarial, comercial y público de
madurez en la gestión de la información perteneciente a los ciudadanos para
generar un ambiente de transparencia y confianza para los inversionistas en su
calificación del país.
5. Registro Nacional de Base de Datos: Marco general requisitos
previos
Consideraciones y/o requisitos previos para el Registro de
la(s) base(s) de datos como persona jurídica o natural.
La empresa, legalmente constituidad esta matriculada en el registro mercantil de su camara
de comercio respectiva y ante la DIAN.
Hay un inventario de las bases de datos que gestión la empresa, y para actividades
legalmente ejercidas y que la persona natural como jurídica tiene permisos para ejercerla.
Deben asignarse los responsables al interior de la empresa para atender el registro y
monitoreo de novedades.
6. Se presume que el responsable de la base de datos, cumple con la
matricula en el registro mercantil de la cámara de Comercio vigente.
Se requieren datos del registro mercantil en la cámara de comercio
correspondiente. (puede que tengamos varias sucursales, con varias
cámaras de comercio, se sugiere donde este la casa matriz o dirección
general.
También se asume que es una Empresa legalmente constituida con
actividades comerciales, legalmente registradas, cuyo ejercicio es
formal.
Se deben asignar las responsabilidades planteadas en el manual de
registro de base de datos, a quienes tienen responsabilidad y contacto
directo con la gestión funcional y a quienes tienen la competencia y
responsabilidad técnica de la base de datos para estas actividades
operativas.
Registro Nacional de Base de Datos: Marco general
requisitos previos
7. La herramienta para el registro de base de datos de la
SIC.
HerramientaRNBD
Modulo 1: Inscripción Base de Datos
Formularios de registro, actualización
de responsables, bases de datos
reportadas.
Referencia y datos de Registro
Cámara de Comercio
Método del Radicado para actualizar
información. luego del registro inicial
Módulo 2: Administración de Usuarios
Protocolo, Formularios de registro,
actualización
Nivel Responsable
Administrador
Operativo
Esta es la
herramienta
informática que esta
disponible para
hacer el registro ante
la SIC.
8. Registro de Responsables y Encargados: Ejemplo practico
Registro Usuarios.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
9. Registro de Responsables y Encargados: Usuarios ejemplo práctico
Base de datos
Clientes
Rol Administrador; Gerente Comercial
y/o representante legal; Usuario
Administrador
Encargado: Mercadeo masivo, Call
Center, Proveedor Correo, Proveedor
Impresión,
Usuarios Operativos: bien del :Negocio
o del Área responsable de la base de
datos. Incluso podrían ser del tercero.
Base de datos
Proveedores
Rol Administrdor: Gerente de Compras
y/o representante legal: Usuario
Administrador
Encargado: Negociador o Comprador,
Tercero responsable de selección
proveedores
Usuarios Operativos: bien del :Negocio
o del Área responsable de la base de
datos. Incluso podrían ser del tercero.
Base de datos
Colaboradores
Rol Administrador: Gerente de Talento
Humano y/o representante legal:
Usuario Administrador
Responsable o Tercero de Nomina,
Responsable o tercero de Desarrollo
de Personal. Responsable Desarrollo
Personal
Usuarios Operativos: bien del :Negocio
o del Área responsable de la base de
datos. Incluso podrían ser del tercero.
10. Registro Encargados:
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Previo al registro se deben tener
plenamente identificados a los
responsables, el inventario de bases
de datos que se realice debe
arrojarnos esta información.
Se sugiere crear un documento
matriz documentada resultado del
mapeo e inventario de bases de
datos para que sea controlado en
sus versiones y contenga los
encargados oficiales.
11. Registro Encargados: Uno a uno.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
12. Registro Encargados: Estructura de archivo para cargue
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
13. Registro Encargados: Implicación de las relaciones, contractuales y
gestión de terceros.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Encargados
Proveedore
s
Área
Interna
Socio
Conveni
o
Contratos y
Convenios
Control y Relación
Contractual Obligación
explicita
Compromiso explicito en el
convenio, alcance y
responsabilidades.
Documentar,
obligaciones,
responsabilidades y
co-resposabilidades
14. Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Registro de Canales : Imágenes de la aplicación
15. Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Registro de Canales : Imágenes de la aplicación para registro
de canales.
16. Registro de Canales : Imágenes de registro uno a uno para
canales
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
17. Registro de Canales : Imágenes de la aplicación agregar canal
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
18. Registro de Canales : Estructura de archivo de canales para
cargue
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
19. Registro de Canales de atención : Implicaciones y alcance
infraestructura de atención y gestión
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015,
elaboración conceptual propia.
Canal de Atención
Cliente - Ciudadano
Punto de atención
personalizado
Ubicación, Horario,
Virtual WEB-
Electrónico
PORTAL
CORPORATIVO
APP MOVIL
Correo Electrónico
Telefónico
Call Center
Mensaje de texto
Escrito Medio físico
tradicional
Puntos, horarios,
procedimiento
Diseñar, Implementar y
Coordinar, Modelo Atención,
procedimiento
Monitorear, Indicadores de Nivel
de servicio para cliente
20. Registro de Canales : Códigos para Identificación
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
21. Política de Tratamiento: Comentarios para sustentar su
registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
22. Política de Tratamiento: Comentarios para sustentar su
registro.
Marco de acción y referencia con respecto al tratamiento de los datos
personales de clientes, y terceros vinculados con la empresa mediante cualquier
relación formal que requiere utilizar sus datos con un fin especifico.
Alcance de la Política: Objetivo, Alcance, Marco
legal: Propósito, Marco y principios, Directrices para
desempeño con respecto a los datos personales.
Alcance de los derechos de
los titulares según el
Negocio
Implicaciones de los deberes
del responsable y encargado
según el negocio
Definiciones del
concepto de tipos de
datos son claves.
Claridad sobre el tipo de
tratamiento es necesario.
23. Forma de Tratamiento: Comentarios para sustentar su
registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
24. Manual: Aplica o puede aplicar para personas
naturales, invitación a las empresas a tecnificarse, la
inversión paga los riesgos mitigados y las sanciones
evitadas.
Automatizada: la automatización apoya la eficiencia,
mas no mitiga todos los riesgos, exige trabajo para
mantener un alto estándar de calidad del dato. Que se
recupera en fluidez de atención y oportunidad de
atención. Implica un conjunto de metodologías, ej.
Gestion de Datos, Calidad de datos entre otras.
Forma de Tratamiento: Comentarios para sustentar su
registro.
25. Información Contenida en la Base de Datos: conjuntos de Datos según
la SIC, que típicamente podrían existir en una base de datos.
Informacióncontenidaenlasbasesde
datos
Datos Generales
Datos de Identificación
Datos de Ubicación
Datos Sensibles
Datos de Contenido
Socioeconómico
Otros Datos
26. Información contenida en la base de datos: Muestra
según Aplicativo Registro Nacional de Bases de Datos
Según el contexto pueden
ser datos privados.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
27. Información contenida en la base de datos: Muestra
según Aplicativo Registro Nacional de Bases de Datos
28. Información contenida en la base de datos: Muestra
según Aplicativo Registro Nacional de Bases de Datos
Según el contexto
pueden ser datos
privados.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
29. Información contenida en la base de datos: Muestra
según Aplicativo Registro Nacional de Bases de Datos
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
30. Inventario de bases de Datos 1: Implementación de Acciones
Tipos de Datos.
Públicos: No es semiprivado, privado o sensible. ej. Estado civil, profesión, calidad de comerciante o servidor publico. Pueden
estar en documentos públicos. Gacetas, boletines, sentencias etc.
Semiprivados: no tienen naturaleza intima, reservada ni publica, pueden interesar al titular sino a un grupo de
personas o a la sociedad en general. Se requiere autorización para su tratamiento. Ej. Datos financieros y crediticios.
Privados: Solo incumben al titular y al prestador para razones exclusivas de prestación del servicios, son de reserva
única del titular, ej. Ingresos, números de cuentas, datos de bienes.
Sensibles: Aquellos que afectan la intimidad del titular, como origen racial, étnico, orientación política, convicciones, religiosa
o filosófica, pertenencia a sindicatos, u organizaciones sociales de derechos humanos. Salud, vida sexual y datos biométricos.
Estoy validando una clasificacion adecuada.
Fuente: Ley 1581: ; documento abc servimcoop recuperado de
http://www.servimcoop.com/Proteccion_datos.pdf
31. Realmente somos concientes de cuántas bases de datos tenemos en la
organización?
El proceso de identificación de las bases de datos debe tener el concurso y
patrocinio de la alta dirección. Las sanciones por malas practicas o
incumplimientos en las disposiciones y normatividad vigentes pueden recaer
sobre el representante legal y siempre afectaran el Estado de resultados en dinero
y el valor de la compañía.
Los gerentes de los distintos Procesos deben ser conscientes de la trascendencia
de la información personal de sus clientes, en la situación de la empresa con
respecto al conjunto de datos personales.
Inventario de Bases de Datos 1:
32. Inventario de Bases de Datos 1: Propuesta
Genérica de Un plan
Planeación con involucrados
Negocio Principal(es) Responsable(s)
Tecnología – Hardware
Tecnología Software
Desarrollo de aplicaciones.
Usuarios lideres de aplicación.
Gestión Documental - MEDIO FISICO.
Gestión de La base de datos.
Implementación de acciones
Identificación y clasificación de la información
Cumplimiento de los deberes de los
responsables, Explícitos
Comunicación con el publico cliente.
Identificación de sujetos responsables –
operativos
Procedimientos
Elaboración o validación y actualización de
protocolos ya existentes.
Mantenimiento y Calidad de la información.
Seguridad de datos e Información.
Definición de permanencia del dato y su
retención posterior.
Seguimiento a niveles de calidad del atención y
de servicio.
33. Inventario de Bases de Datos 1: acciones de
planeación
Acciones de la
planeación
Identificación Sistemas de Información
Aplicaciones de cliente
Proveedores
Nomina
Estructuras
Identificar Actividades
Ciclo de vida de la
Información
Identificar puntos de
actividad, control .
Inventario de
Involucrados.
Determinar Integrantes,
del Negocio y TI .
Expertos.
Gestión del tiempo
Elaboración de
cronograma
34. Inventario de bases de datos con información
personal de clientes, proveedores, colaboradores.
Clasificación e identificación de datos
personales, públicos, semiprivados, privados
y sensibles.
Capacitación a
colaboradores del plan en
los conceptos.
Identificar listado o matriz
de datos personales, elegir
un equipo o colaborador
para la labor
Homologación en
todas las bases de
datos identificadas
Trabajo de mapeo y
elaboración de fichas de
estructura y clasificación de
los datos
Inventario de Bases de Datos 1: Propuesta Genérica de Un plan
Implementación de Acciones
35. Inventario de Bases de Datos 1: Reflexión hacia lo operativo -
resultados
¿Realmente somos concientes de cuántas bases de datos tenemos en la
organización? Todas las bases de datos tienen un titular diferente?
Concordancia clave entre los inventarios y su gestión, validar
integralmente la coherencia entre los datos. Recolectados y el tratamiento
que se les dará.
Asegurar preferiblemente una sola base de datos para mejorar prevención
control y seguridad.
Análisis y planeación de las operaciones para los procesos de atención a
los clientes.
Es importante para la gestión ante la SIC, Conocer quién tiene la
administración del correo electrónico antes mencionado, el responsable
puede delegar el asunto a alguien que monitoree el correo y reporte las
novedades.
Cual será el usuario y al que se enviará la clave de acceso y las
notificaciones del estado y novedades del registro.
36. Inventario de bases de Datos 1: Implementación de Acciones
Identificación
Listado de Responsables
por cada Unidad de
Negocio
Identificación y
socialización de sus
responsabilidades
Firma y anexo clausula al
contrato de trabajo
Gestión de consecuencias
Proyección
Políticas de información
Capitulo Datos Personales
Aprobación y divulgación
oficiales
Elaboración o actualización
de procedimientos.
Captura, creación de
clientes etc.
Comunicación y
divulgación
Comunicación al publico
sobre los fines.
Documentos de cliente.
Apoyo de Mercadeo,
Comunicaciones,
Contenido web,
Webmaster, pagina web,
Correo electrónico, físico,
37. Inventario de bases de Datos 1: Implementación de Acciones,
captura, actualización y reclamación.
Captura
•Registro
•Canales
•Controles
•Consentimiento - Notificación
Actualización
•Fuentes,
•Validaciones
•Certificaciones
•Ciclo de Mejora
•Comunicación
Reclamación
•Canales
•Registros
•Nivel de atención
•Protocolo Operativo, marco
legal.
38. Inventario de Bases de Datos 1: Factor Clave de Éxito
Participación TIBuenas practicas
• Indispensable, participación de IT , las herramientas y practicas a un modelo de gestión de datos.
Área funcional y tecnología de Información,Integración
• Interacción del área funcional y tecnológica, para asegurar atributos de la información
• Desarrollo conjunto para controlar la necesidad del negocio vs. La habilitación tecnológica.
Asegurar las operacionesMetodología
• Gestión de Datos Maestros, Calidad de Datos, Seguridad de la Información
• Campañas de actualización , control, auditoria y creación. Ciclo de vida del dato.
39. Para saber qué control y seguridad debe ejercerse
Para saber cómo utilizarlos según la finalidad para la que fueron
recolectados.
Para identificar niveles de seguridad y parametrizar los accesos y
funcionalidades del gestor de base de datos para permitir acceso o
integración con herramientas para el desarrollo de las operaciones de
la empresa.
Para poder generar procesos de actualización y depuración adecuados
y pertinentes, sobre la base de datos según las necesidades
funcionales.
Para controlar que las actividades de actualización control y
mantenimiento se den sobre el conjunto de datos que efectivamente
se ha capturado para los fines publicados y comunicados al cliente.
Inventario de Bases de Datos 1:Para qué clasificar los datos
según estos tipos?
40. Realizar inventario con estructura, debe ser una actividad
realizada cuidadosamente; debe tenerse conciencia plena y
documentar las bases de datos, (sugerir un documento o ficha
técnica y de estructura de la base de datos a registrar) esto
mejora el control y permite mantener la evolución de la
misma.
La base de datos es una estructura dinámica que evoluciona
según el negocio, y los nuevos datos deben clasificarse y
controlarse según la política de privacidad y los
procedimientos de seguridad para estos datos.
Se requiere identificar tipos de datos, Estructura, lugar de
conservación (físico e identificación Lógica)
Inventario de bases de Datos 2: Una propuesta de
acción
41. Identificación del bases de datos en la empresa: una propuesta
de matriz de identificación
NOMBRE TIPO DE
DATO
ESTRUCTURA(TEX
TO, NUMERO,
ETC)
APLICACIONES
Número de cliente Semiprivado
Tipo identificación Publico
Numero id. Publico
Nombre publico
Genero Publico
Ocupación Privado
Profesión Semiprivado
Ingreso mensual Privado
Nacionalidad Publico
Grupo sanguíneo Privado
Estrato Privado
Edad Privado
Estado civil Semiprivado
Identificar la diferencia entre
registros y titulares, al consolidar
información para reportar los
datos en la aplicación de la SIC.
42. El origen de los datos personales que se administran:
Deben estar plenamente identificados e “individualizados”
Su mantenimiento y actualización requiere trabajo sistemático y permanente. Un
equipo de trabajo responsable.
Es particular la gestión para cada industria, productos y servicios.
Existen estándares y buenas practicas para implementar en su mantenimiento, de
forma pertinente y adecuada.
Aprovechar las actividades ya existentes para mejorar e implementar nuevas actividades
para la seguridad, confiabilidad y disponibilidad de los datos.
Identificación del bases de datos en la empresa:
recomendaciones de implementación
43. El manejo, cuidado, protección de la información se convierte en un proceso clave
y critico para el éxito del control y trazabilidad de la información,
Implementación de practicas del Sistema ISO de Mejora continua apoyan la
documentación de la medición, análisis y Mejora. Apoya los registros a mantener y
presentar a la SIC.
Las operaciones de captura, de registro de la trazabilidad de la recepción y
consentimiento, deben estar también asegurados.
Puede realizar transferencias, con documentación y contrato con el tercero que
administra, en todo caso las operaciones deben estar documentadas y hacer parte
integral del servicio y del contrato.
Identificación del bases de datos en la empresa:
recomendaciones de implementación
44. Medidas de Seguridad de la Información:
Implementación y su registro.
La estructura y
preguntas indagan
sobre la
estructuración y
propuesta
metodológica de un
proceso de seguridad
de la información y
calidad de datos para
su disponibilidad y
garantía de
integridad para el
titular y los
interesados.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
45. Medidas de Seguridad de la Información:
Implementación y su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Los procesos de seguridad se
desarrollan mas efectivamente con
la implementación de un sistema de
gestión de seguridad de
información o una metodología
probada al respecto
Las metodologías
recorren y dan
alcance al tema
técnico y humano
procedimental y
actitudinal.
46. Medidas de Seguridad de la Información:
Implementación y su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
La implementación de un sistema de gestión de información
implica una visión estratégica, táctica y aplicabilidad operativa
para materializar los propósitos de la intención estratégica de la
gestión.
47. Medidas de Seguridad de la Información: Implementación y
su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Las operaciones y
procedimiento para el
tratamiento de los datos en
su ciclo de vida implica la
adopción de unas buenas
practicas, que requieren la
participación de un equipo
interdisciplinario para dar
resultados en atributos de
confidencialidad, integridad
y disponibilidad
48. Medidas de Seguridad de la Información:
Implementación y su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Procedimientos Integrados:
La gestión de los datos en una
de sus funciones implica la
seguridad de los datos, que
requiere el diseño según un
recorrido e inventario de
activos de información, y de
auditoria de sistemas de
información el
aprovechamiento de estas
técnicas para agregar valor en
la conservación y
mantenimiento de los datos
de estas bases.
49. Medidas de Seguridad de la Información:
Implementación y su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Política Única puede ser un buena práctica:
Se pregunta reiterativamente sobre una
política, para seguridad de información,
seguridad de los datos, mejorar la seguridad
física. Asegurar y promover el cuidado de la
información, se sugiere consolidar una política
que pueda estar en la gestión de los procesos
de los diversos sistemas de gestión de
información y metodologías para la calidad y
seguridad de los datos con una estructura por
capítulos.
50. Medidas de Seguridad de la Información:
Implementación y su registro.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Apalancamiento en las practicas existentes:
Ante las preguntas reiterativas sobre las políticas
de seguridad de información personal, no hay
que caer en la multiplicidad de esfuerzos, se
sugiere mas efectivamente implementar un
programa o modelo, en el que se incluyan los
datos personales y los requisitos legales, como
parte de ese sistema de gestión de información y
con su capitulo de calidad y seguridad de la
información. Como lo proveen el ISO 27001, EL
DAMA.org en sus funciones de gestión.
51. Medidas de seguridad de la información: Marco teórico
para el plan de seguridad
Planear Especificar Habilitar
Crear y
adquirir
Mantener y
Usar
Archivar y
recuperar
Eliminar -
purgar
Planear Analizar Diseñar Construir Probar Desplegar Mantener
El ciclo de vida de los datos
El ciclo de vida de desarrollo de los
sistemas
Fuente: The DAMA GUIDE to the Data Management Body of Knowledge: traducción propia, figura
1,2 el ciclo de vida de la información y el ciclo de vida de desarrollo de los sistemas. 2009
www.dama.org
52. Datos
Información
Conocimiento
Fuente: The DAMA GUIDE to the Data Management Body of Knowledge: traducción propia, figura 1,1 Data, information and
knowledge. Datos, información y conocimiento. 2009 www.dama.org
Datos sobre los datos: metadatos:
ayudan a establecer un contexto de
los datos. Su gestión ayuda a
mejorar la calidad de la información
Definición
Formato
Marco de
tiempo
Relevancia
Patrones y
tendencias
Relaciones
Suposiciones
Medidas de seguridad de la información: Marco teórico
para el plan de seguridad.
53. Fuente: The DAMA GUIDE to the Data Management Body of Knowledge: traducción propia, figura 1,1 Data, information and
knowledge. Datos, información y conocimiento. 2009 www.dama.org
Medidas de seguridad de la información: Marco teórico
para el plan de seguridad.
54. Medidas de seguridad de la información:
Política: Estratégico
Directrices: táctico
Normas y
procedimiento:
operacional
Objetivos: propender por
la confidencialidad,
integridad y disponibilidad
de la información, que esta
en las bases de datos , de
las cuales hay datos de
clientes que son
personales.
Reglas
Generales.
Declaración
de
intenciones
Instrucciones
y preceptos
puntuales.
Fuente: elaboración propia a partir de conceptos
https://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad
55. Proceso para proyectar una política de seguridad de
información. Sugerido.
Identifique los activos de información
Elabore en panorama o listado de amenazas
Evalúe los riesgos con alguno de los métodos
existente
Asigne equipo y responsabilidades para Identificar
y mitigarlos
Asignaciones de responsabilidades y controles.
Fuente: elaboración propia a partir de conceptos
https://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad
56. Seguridad de Información para la base de datos: Procedimientos
(algunos Ejemplos)
Definir un directorio activo y controlar los accesos
Crear un control entre los niveles de usuarios y los
aplicativos
Análisis y control del log de transacciones intentos
de intrusión
Asignar y retirar claves de acceso para los usuarios
Instalar los parches, correcciones, firewall,
Realizar rutinas de back up según metodologías
adoptadas.
Fuente: elaboración propia a partir de conceptos
https://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad
57. Proceso de control según el medio de acceso y
conservación
Personas capacitación,
Tecnicas y tecnologia para
seguridad
Protección a medios físicos
Fuente: elaboración propia a partir de conceptos
https://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad
58. Medidas de seguridad de la información: Se sugiere un
plan de seguridad:
Identificación
• Diagnostico Activos
de Información
• Foco Bases de datos
Listado de
Riesgos
• Balance de Controles
• Definición y
calificación
Desarrollo
• Implementación de
controles
• Monitoreo,
seguimiento
Fuente: elaboración propia
59. Inventario de bases de Datos 1: Implementación de Acciones
Seguridad.
Segurida
d
Control al
crear
Estructura
de
Usuarios
Control al
Utilizar
Acceso
según tipo
Monitoreo
Auditoría
Log
transaccion
es
Fuente: elaboración propia
Algunas sugerencias
sobre momentos y
puntos de control para la
gestión y uso de los
datos.
60. Autorización del titular de los datos
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Tanto la forma como la autorización
del titular para tratar los datos, se
deben registrar y vincular a la base de
datos a registrar, allí están las
opciones “si/no y algunos casos”
según cada una aplican los posteriores
controles y validaciones.
La herramienta
permite actualizar, la
información según se
tengan las o se deba
contar autorizaciones,
ellas y se genere
algun error durante el
registro para eliminar
registros
61. Transferencia Internacional de Datos.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Si la empresa envía
información de los
clientes a otro ente o
empresa fuera del
país, este también es
responsable. Factor
clave el control y la
identificación del
otro responsable. El
fin del tratamiento
debe ser al indicado.
La información
del destinatario
es clave.
62. Transmisión Internacional de Datos.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Algunas empresas
requieren
información para
prestar servicios
que están fuera del
país, aunque no se
transmite la base
de datos completa
o los registros
completos, estos si
se acceden desde
el exterior.
63. Transmisión Internacional de Datos. Imagen aplicación,
consideración.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Para prestar
servicios que están
fuera del país,
aunque no se
transmite la base
de datos completa
o los registros
completos, estos si
se acceden desde
el exterior.
64. Cesión de la base de Datos.
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
En algunos casos la base de datos puede cederse completamente o en una
de sus partes, es decir un conjunto de registros de clientes, para los dos
casos aplica la descripción del proceso, porque la cesión esta generando
otro responsable de los datos. El cual debe quedar plenamente identificado
y en el documento de cesión se sugiere queden explícitamente detallados
los fines para los cuales se cede, recuérdese la importancia de los fines
originales, ya que si se cambian el nuevo responsable deberá proceder de
conformidad con la ley.
65. Reporte de Novedades
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
66. Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Reporte de Novedades
40 tipos y 79 subtipos de reclamos según
el manual. Insumo y pauta para la
preparación del servicio de atención y
parametrización de las herramientas de
habilitación tecnológica.
67. Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
Reporte de Incidentes de Seguridad
La aplicación para registro cuenta
con el formulario para reporte de
incidentes de seguridad. Que en
uno u otro lugar puede liberar o
comprometer a una compañía
responsable de los datos. En el
sentido de transparencia este es un
elemento vital de la nueva
normatividad. Una apuesta al
autocontrol.
68. Conclusiones Registro Nacional de Base de Datos Marco General
y Conceptos
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
• La actividad del registro de base de datos puede entenderse como la externalización y
culminación del proceso interno de practicas, metodologías y costumbres sobre la
gestión de los datos de la empresa en el conjunto de datos personales de los clientes,
proveedores , colaboradores y todos aquellos relacionados.
• La realización de un inventario de bases de datos considerando los factores integrales que
se involucran en su tratamiento hace de este plan un instrumento clave para contribuir a
mejorar la gestión de la información en la empresa.
• La tecnificación y adopción de una metodología para la gestión de datos abre las
posibilidades y ayuda a evolucionar la gestión de datos como una profesión indispensable
para cumplir requisitos de los diversos grupos de interés.
• La relación con el gobierno luego del registro de las bases de datos requerirá de un
equipo de colaboradores que en las empresas asuman estos roles o creen unos cargos
especializados en la gestión de las bases de datos de las empresas.
• En aquellas empresas que no cuenten con la tecnificación, es una buena oportunidad para
implementar un proyecto de esta naturaleza.
69. Conclusiones Registro Nacional de Base de Datos Marco General
y Conceptos
Fuente: Registro Nacional de Bases de Datos: Manual del usuario Superintendencia de Industria y Comercio 2015
• Los procesos de implementación de las practicas exigidas por el gobierno, requieren de
recursos y frente a ello se identifican la necesidad de generar valor y obtener retorno
sobre la inversión de la gestión de los datos.
• La industria de la gestión de datos ofrece una variedad de posibilidades para apoyar la
gestión y la creación de valor y ventaja competitiva con el tratamiento adecuado y
profesional de la información de los clientes, proveedores y personas vinculadas a la
actividad comercial.
• Adicionalmente al cumplimiento de un requisito legal, puede aprovecharse la
implementación del proyecto para tratamiento de datos con el propósito de generar
información cada vez de mejor calidad, que apoya la gestión y competitividad de las
empresas.
• El escenario de control y vigilancia que se abre para la superintendencia, obtiene una
herramienta mas detallada, con alcance y instrumentos mas finos para ejercer su
función.
70. Superindustria pide a tiendas de “apps” móviles reforzar sus políticas de
privacidad: http://www.sic.gov.co/drupal/noticias/superindustria-pide-a-tiendas-de-
apps-moviles-reforzar-sus-politicas-de-privacidad
http://www.sic.gov.co/drupal/noticias/superindustria-pide-a-tiendas-de-apps-moviles-
reforzar-sus-politicas-de-privacidad
Protección de datos personales en el entorno digital en Asomedios:
http://www.sic.gov.co/drupal/noticias/proteccion-de-datos-en-el-entorno-digital-en-
asomedios
Ejemplo de aviso – anuncio de privacidad : https://www.positiva.gov.co/tramites-
Servicios/habeas-data/Paginas/default.aspx datos adquiridos antes de la expedicion del
decreto 1377.
Seguridad de Información: seguridad informatica:
https://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+
de+Seguridad
Bibliografía y webgrafía recomendadas:
71. ¿Preguntas?
¡Gracias por su atención!
Jorge Javier Calderón Cuéllar
Consultor Senior Arnnova Consultores
3008900508
Bogotá D.C. Marzo 2015