Organización.Tratamiento de datos.Personas.

Organización.

Analizar los riesgos y aplicar soluciones.

Read More

Tratamiento de datos.

Leyes y tecnología en la estrategia, cultura, procesos.

Read More

Personas.

Un activo a sensibilizar.

Read More

info@asegurdat.com
+ 34 93 270 13 86

Evaluación TIC

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.

La evaluación deberá incluir como mínimo:

  1. a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  2. b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad
  3. c) una evaluación de los riesgos para los derechos y libertades de los interesados
  4. d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales
  5. e) demostrar la conformidad con la legislación vigente, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

La evaluación de riesgo por uso de las tecnologías de la información y la comunicación (TIC) identifica las amenazas, vulnerabilidades y riesgos de la información, sobre la plataforma tecnológica de una organización, con el fin de generar un plan de implementación de los controles que aseguren un ambiente informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de la información.

La evaluación de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas la oportunidad de obtener una evaluación económica del impacto de estos sucesos, valor que se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir) junto con la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.

Se debe identificar los recursos (hardware, software, información, personal, accesorios, etc.) qué se quiere proteger y las amenazas a las que están expuestos, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos.

Se evaluará, al menos una vez al año, el cumplimiento y eficacia de la Política de seguridad respecto al tratamiento de datos de carácter personal, y en todo caso, cuando se pongan de manifiesto infracciones relevantes de las normas o programas o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada por la entidad, valorando entonces la conveniencia de su modificación.

El Test tecnológico podría tener esta guía.

“¿Qué amenazas se han/pueden materializarse sobre los activos TIC más relevantes?”

“¿Con qué frecuencia se han/pueden ocurrir?”

“¿Cuáles serían sus consecuencias organizativas, técnicas y económicas?”

“¿Qué haremos con el riesgo observado?”

“¿Tenemos un Plan de contingencia frente a problemas TIC, por un día, una semana, cuánto tiempo?”

“¿Cuánto, tiempo se puede estar off-line sin que los usuarios se quejen y/o se vayan a la competencia?”

“¿Se tiene forma de detectar a un empleado deshonesto en el sistema?”

“¿Se tiene control sobre las operaciones de los distintos sistemas?”

“¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?”

“¿Afecta a la información reservada, confidencial, restringida, clasificada sin clasificar?”

“¿La información reservada, confidencial, restringida permanece encriptada en los sistemas?”

“¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?”

“¿Tenemos el inventario de a quien se le permite usar que recurso?”

“¿Tenemos inventario de quién es el propietario del recurso? y ¿Quién es el usuario con mayores privilegios sobre ese recurso?”

“¿Cómo se actuará si la seguridad TIC es violada?”

 

Tipo de Riesgo Factor riesgo Medida
Robo de hardware Alto ֍֍֍֍֍
Robo de información Alto ֍֍֍֍֍
Vandalismo Medio ֍֍֍֍
Fallas en los equipos Medio ֍֍֍֍
Virus Informáticos Medio ֍֍֍֍
Equivocaciones Medio ֍֍֍֍
Accesos no autorizados Medio ֍֍֍֍
Fraude Bajo ֍֍֍
Fuego Muy Bajo ֍֍
Terremotos Muy Bajo ֍֍

Después de efectuar el análisis de riesgos, debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron.

Controlar el riesgo. – Fortalecer los controles existentes y/o agregar nuevos controles.

Eliminar el riesgo. – Eliminar el activo relacionado y con ello se elimina el riesgo.

Compartir el riesgo. – Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.

Aceptar el riesgo. – Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.

 

Pequeño diccionario de términos:

Activo. Es un objeto o recurso de valor empleado en una empresa u organización, componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.

Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos.

Vulnerabilidad: son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables.

Riesgo. Es un incidente o situación, que ocurre en un sitio concreto en un intervalo de tiempo determinado, con consecuencia negativas o positivas que pueden afectar el cumplimiento de los objetivos

Impacto: las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo.

Probabilidad: establecer la probabilidad de ocurrencia puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada.

Autenticidad. Propiedad o característica consistente en que una entidad es quien dice ser o bien

que garantiza la fuente de la que proceden los datos.

Confidencialidad. Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.

Disponibilidad. Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.

Integridad. Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.

Categoría de un sistema. Es un nivel, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema recoge la visión holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios.

 

Contacte cuando desee.

+34.93.270.13.86 (fijo y móvil).

consulta@asegurdat.com

42eva1tic

//

Leyes

Su entidad conoce las obligaciones legales respecto al tratamiento de datos personales y por tanto las responsabilidades que deben asumir los Presidentes, Directores, Gerentes, etc., llamados Responsables de tratamiento de […]

Read More
Organizar

Las leyes vigentes en protección de datos personales regulan un aspecto esencial para la tutela del derecho fundamental a la protección de datos, la seguridad, que repercute sobre múltiples aspectos […]

Read More
RR.HH.

El tratamiento de datos de carácter personal, en el ámbito de los recursos humanos, tiene dos ámbitos obligados que debe cumplir el personal que participa en dicho tratamiento, deber de […]

Read More
Tecnología

La tecnología de la información y la comunicación (TIC), forma parte del activo de la entidad. La transformación digital ha hecho que buena parte de las actividades que antes se […]

Read More