la cuenta atrás ha empezado l - necsia.esa-necsia-gdpr-360.pdf · iso27001, gdpr, pci-dss)...
TRANSCRIPT
La cuenta atrás ha empezado
GDPR TOUR:
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
GPDR 360ºRafael Navarro SánchezCISA Lead Auditor & GDPR Compliance consultor
AGENDA
Aproximación legal a la GDPR
Laura MasAbogado Compliance
12.15 – 12.45h
12.45-13.15h
Descubrir: GDPR Inventory – ¿Conoces dónde se pierden los datos?Carlos de la InsuaSoftcare Managing Director
13.15-13.45h
Bienvenida Manel ÁlvarezNecsia Cybersecurity Business Unit Director
12.00h
Microsoft Secure (GDPR Approach)Maureen ManubensChannel Marketing Manager (Microsoft)
13.45h-14.15h
COCKTAIL - NETWORKING
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Manel ÁlvarezNecsia Cybersecurity Business Unit Director
www.necsia.es
Bienvenida
La cuenta atrás ha empezadoGDPR TOUR:
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Nuestra compañía
Q U I É N E S S O M O S
Crecimiento sostenido del 20%durante los últimos cuatroaños.
CAPITAL ESPAÑOL
FUNDADA EN 2005Más de 10 años de solvenciacontrastada en el sector ITespañol. Presencia en cuentasIBEX-35
PROFESIONALESProfesionales contrastados concertificaciones.Personas comprometidas conlos valores de Necsia
100%
2005
300
I N N O VA C I Ó N
S O C I O S
PEDRO FONTANA
Socio
MIGUEL PLANAS
Socio - Presidente
RAMON PLANAS
Socio - DirectorGeneral
3
D Ó N D E E S TA M O S
BARCELONA MADRID
SANTIAGO DE CHILE LIMA CIUDAD DE MÉXICO
CIUDAD DE PANAMÁ
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
BA N C A y S EG U R O S U T I L I T I E S y A A P P I N D U S T R I A y S E R V I C I O S
Nuestros clientes
Necsia es el tipo de compañía que sabe entender las oportunidades que la
tecnología aporta en cada momento.
- Banco Sabadell -
Necsia demuestra siempre e implicación y profesionalidad,
aportando su experiencia y conocimiento en los proyectos
de la Oficina Técnica de Seguridad.
- Vueling -
Es una empresa próxima y capaz de entender todos
nuestros problemas.
- CIRSA -
Trabajamos con Necsia, entre todos los motivos,
por su flexibilidad.
- Grupo Agbar -
El equipo de Necsia está formado por personas de confianza y
honestidad que transmiten todo su conocimiento y calidad de
servicios en cada uno de nuestros proyectos.
- CaixaBank -
ESPECIALIZACIÓNFLEXIBIL IDAD INNOVACIÓN
6
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Nuestros servicios
FLEXIBILIDAD | INNOVACIÓN | ESPECIALIZACIÓN
7
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Necsia Cybersecurity Center
ComplianceNecsia
Academy
SecurityIntegration
Security Evaluation
ServiciosEspecializados
HACKING ÉTICO INFRAESTRUCTURAWEB, APPs e IoT
SIEMAPT REDAPT ENDPOINTNG HONEYPOTNG FIREWALLNACMDM
OTS / PMOEXPERTOS EN
CIBERSEGURIDAD
PLANOS DE CONCIENCIACIÓNCURSOS ON-LINE
(E-LEARNING)
CURSOS PRESENCIALES APP DE CONCIENCIACIÓN
ProSOC
Managed Detection & Response
MicrosoftSecure Platform
SEGURIDAD LÓGICA(ISO27001, NIST, ENS, PIC)
AUDITORIAS(ISO27001, GDPR, PCI-DSS)
GESTIÓN DE RIESGOS Y DE TERCEROS
MSSPIDENTIDAD
APLICACIONES Y DATOSDISPOSITIVOS
INFRAESTRUCTURA
SOC-AS-A-SERVICEACTIVE DEFENSETHREAT INTELLIGENCESIEM-AS-A-SERVICE
DEVICE MANAGEMENTSECURITY TECHNICAL SUPPORTVULNERABILITY ASSESMENT
OTINTEGRACIÓN Y VISIBILIDAD ENTRE RED IT Y OTANÁLISIS DE AMENAZAS ESPECÍFICAS
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
IMPACTO
• Impacto y llegada de los beneficios ylos nuevos hábitos a todos loscomponentes del área.
• Acompañamiento profesional.
ExpertiseLíderes en securizar la transformación digital
FORMACIÓN
• Conocimiento técnico-práctico enCiberseguridad y Soluciones Digitales.
• Compromiso con el cambio y lacapacitación de peers.
• Implicación y motivación Lead-for-Action.
MotivaciónProfesionales destacados
del sector
RISING-STAR
• Trabajamos con nuestros clientes enidentificar los rising-star quetrabajarán con peers en un proceso deaprendizaje y colaboración
Formato MixtoPresencial & Online
FASES FORMATIVAS
MANAGEMENT EN SEGURIDADDE LA TRANSFORMACIÓN DIGITAL
ORGANIZADORES:
PARTNERS TECNOLÓGICOS:
Consúltanos sobre la bonificación de Fundae para este Máster
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
MÁS INFORMACIÓN
Tabla Periódica de la Ciberseguridad
© 2 0 1 8 , N e c s i a I T C o n s u l t i n g . C o n f i d e n t i a l
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Rafael Navarro SánchezCISA Lead Auditor & GDPR Compliance consultor en Necsia
www.necsia.es
GDPR 360º
La cuenta atrás ha empezadoGDPR TOUR:
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
¿Cómo afrontar la GDPR?
GDPR360º
ASESORAR DESCUBRIR
GESTIONAR
PROTEGER
REPORTAR
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
GDPR Product Mapping
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Normativas aún vigentes:
‒ Directiva 95/46/CE de octubre de 1995‒ En España: Ley Orgánica 15/1999 de
Protección de Datos de Carácter Personal.
Antecedentes: Adaptarse al desarrollo tecnológico
El nuevo Reglamento viene motivado por lanecesidad de renovar una ley obsoleta frutode una joven UE. El desarrollo tecnológico yevolución de Internet han ocasionado que nosencontremos ante cierta desprotección sobre:
DATOS PERSONALES
DE NAVEGACIÓNDESARROLLO CLOUD REDES SOCIALES
DISPOSITIVOS MÓVILES Y GEOLOCALIZACIÓN
BIG DATA EVOLUCIÓN DEL
E-COMMERCE
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Tratamientos
Categorías modificadasLos datos especialmente protegidos por la ley son:
Los datos personales son aquellos que contienen información que permite identificar a una persona inequívocamente.
Afecta a todas las empresas del mundo que procesen datos de residentes de la UE.
LOPD Vs GDPR
En la nueva normativa sólo se habla del concepto tratamiento(incluido en el fichero como un tratamiento más).
Además, se cuenta con una mayor flexibilidad dado que hay quetener los tratamientos a disposición de la Autoridad de Control enlugar de notificar a la Agencia Española.
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
LOPD Vs GDPR: Sanciones por incumplimiento
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Simulación por incumplimiento
*Valores expresados en millones de euros
Simulación empresas IBEX 35
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
VS
¿Y el riesgo reputacional?
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Entrada en vigor
El Reglamento será aplicable a partir del 25 de mayo de 2018.
El Reglamento fue publicado en el Diario Oficial de laUnión Europea el 4 de mayo, y tras los 20 días de supublicación, entró en vigor el día 25 de mayo de 2016.
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Obligaciones
PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO
NOTIFICACIÓN A LA AUTORIDAD DE CONTROL
REGISTRO DE ACTIVIDADES DE TRATAMIENTO
CÓDIGO DE CONDUCTA Y CERTIFICACIONES
• La adhesión al código de conducta
• Mecanismo de certificación, sellos ymarcas de protección de datos
A disposición de la Autoridad de Control. Aplicaa entidades a partir de 250 empleados ocuando:
- Tratamiento sea continuado
- Entraña riesgo a las libertades
- Categorías especiales
- Condena e infracciones penales
• Esta medida debe aplicarse antes,durante y hasta el fin del tratamiento
ELECCIÓN DEL ENCARGADO
EVALUACIÓN DEL NIVEL DE SEGURIDAD
Los Responsables deben aplicar medidas técnicas, legales yorganizativas apropiadas a fin de garantizar el tratamientoconforme el GDPR.
• Este debe ofrecer garantías suficientes paraaplicar las mismas medidas técnicas, legalesy organizativas del Responsable
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Derechos de los interesados
Plazo para atender los derechos:
‒ Un mes a partir de la recepción de la solicitud.
‒ Prorrogable otros dos meses en caso necesario según la complejidad y el número desolicitudes.
‒ En caso de no atender la solicitud, el interesado podrá presentar una reclamación a laautoridad de control y ejercitar acciones judiciales.
RECLAMACIÓN ALA AUTORIDAD DECONTROL
RENOVACIÓNDEL CONSENTIMIENTOEXPLÍCITO
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Figuras claves en GDPR
RESPONSABLE DEL TRATAMIENTO
• Establece los plazos de supresión yrevisión de los datos.
• Debe demostrar que el interesado hadado su consentimiento para laoperación del tratamiento.
• Aplica medidas técnicas, legales yorganizativas apropiadas a fin degarantizar y poder demostrar que eltratamiento es conforme.
ENCARGADO DEL TRATAMIENTO
• Asiste al Responsable de Tratamiento
• Informa de cualquier cambio osustitución de los responsables(terceros).
• Trata los datos en base a lasinstrucciones del Responsable
• Pone a disposición del Responsableel Cumplimiento de las obligacionesestablecidas.
DATA PROTECTIONOFFICER (DPO)
Junto con CIO y CISO, el DPO esla figura que vela por elcumplimiento correcto de lasleyes de la misma forma quetiene la misión principal deadaptar la nueva normativacon la máxima precisión dentrode la compañía. Entre susprincipales responsabilidadesse encuentran:
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Nuevas figuras en la empresa:
• Informar, aconsejar, documentar y dar respuesta sobre las obligaciones de la empresa.
Cuando el tratamiento lo realice una autoridad u organismo público (excepto los tribunales)
• Controlar y monitorizar la implementación y aplicación de las políticas así como laformación de la organización en administración de datos.
• Documentar qué son los datos personales, quién los ha recogido dentro de laempresa, dónde, mediante qué entidad o colaborador y qué finalidad.
• Velar por la transacción de los datos dentro o fuera de la UE y definir los límitestemporales de uso.
• Supervisar las fugas y filtraciones de datos y ser el responsable de contacto con laautoridad supervisora.
Data Protection Officer (DPO)
Cuando las actividades del responsable o encargado traten datos personales a gran escala
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
¿Cómo empezar con GDPR?
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
¿Cómo empezamos?
ASESORAR DESCUBRIR
GESTIONAR
PROTEGER
REPORTAR
1
2
3
4
5
GDPR360º
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
¿Cómo Necsia te puede ayudar?
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
• El servicio de Análisis GAP consiste en la realización de una análisis tipo GAP (análisiscomparativo entre una situación actual y una objetivo) en relación a GDPR. Comoresultado del análisis GAP se dispondrá de:• una “foto” de la organización con respecto a los objetivos y requerimientos de
GDPR.• un plan de acción que permitirá cumplir los objetivos y requisitos de GDPR
¿Cómo Necsia te puede ayudar?
Análisis GAP & GDPR Inventory
• Los proyectos de adecuación a adecuación a GDPR consistirán en proyectos deconsultoría en el caso de tratarse de requisitos de carácter organizativo o deproyectos relacionados en la tecnología al tratarse de requisitos de caráctertécnico. Estos últimos consistirán en la implantación de soluciones tecnológicasque permitan la automatización y simplificación de las actividades requeridas porlos requisitos de GDPR, que de otra forma requerirían de un esfuerzo humanosignificativo.
Proyectos de AdecuaciónInventario de Activos – Clasificación de la Información
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
Roadmap de Análisis
FASE 0: Formación y Concienciación
FASE 1: Análisis GAP
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
¿Cómo Necsia te puede ayudar?
Oficina de adecuación• La oficina de adecuación proporciona a las empresas todos los recursos necesarios para
implementar los objetivos y requisitos establecidos en la norma GDPR. Los requisitos sonde carácter legal, técnico y organizativo.
• Dentro de este servicio se distinguen dos modalidades:• Empresa con presencia en un solo país (España) y cuyos departamentos/áreas
están gestionados de forma centralizada.• Grupo de empresas con presencias en varios países y los departamentos/áreas
están gestionados de forma independiente, p.e. por ubicación física, por empresa.• La modalidad “Grupo de empresas con presencias en varios países y los
departamentos/áreas están gestionados de forma independiente” se diferencia en elmodelo que siguen algunas organizaciones consistente en la existencia de una sedecentral encargada de dar las directrices y recursos necesarios al resto de sedes para laimplantación de leyes, regulaciones o sistemas de gestión. Este modelo se caracterizapor la necesidad de una mayor gestión y organización. Asimismo, la documentacióntiene como requisitos ser auto-explicativa y disponer de instrucciones para sucumplimentación y/o uso.
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
c
¿Cómo Necsia te puede ayudar?
Necsia Academy• Curso básico GDPR (presencial o e-learning): es un curso básico de formación y
concienciación en GDPR. El contenido consiste en una descripción del reglamento,explicación de los conceptos clave y ejemplos de situaciones en los que se debe aplicarGDPR. Al final del curso se deberá llevar a cabo un examen de evaluación de loscontenidos del curso. Finalmente se dispondrá de un certificado de aprovechamientodel mismo. La plataforma de e-learning permitirá asegurar la asistencia al cursomediante el registro de los asistentes y los certificados de aprovechamientocorrespondientes.
• Cursos específicos GDPR: personal con responsabilidades en la contratación deservicios en los que se trate información personal, área de marketing, área de personasy áreas de ventas. Estos cursos consistirán en cursos adicionales al básico (de menorduración) en los que se tratará de forma específica los conocimientos necesarios delárea/rol en cuestión.
• App de FyC de GDPR: la App de formación y concienciación en Seguridad de laInformación que dispone Necsia con contenidos de GDPR.
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
c
¿Cómo Necsia te puede ayudar?
Data Protection Officer• Los servicios profesionales de DPO buscan proporcionar ayuda al cliente la necesidad
de disponer del nuevo rol incluido en GDPR, cuyas responsabilidades son:
Informar, aconsejar, documentar y dar respuesta sobre las obligaciones de la empresa.Controlar y monitorizar la implementación y aplicación de las políticas así como la formación dela organización en administración de datos.Documentar qué son los datos personales, quién los ha recogido dentro de la empresa, dónde,mediante qué entidad o colaborador y qué finalidad.Velar por la transacción de los datos dentro o fuera de la UE y definir los límites temporales deuso.Supervisar las fugas y filtraciones de datos y ser el responsable de contacto con la autoridadsupervisora.
• Se dispone de dos modalidades:• DPO: los servicios profesionales serán proporcionados por la misma persona con
dedicación al 100% a ese cliente las horas mensuales contratadas.• Apoyo al DPO: los servicios profesionales podrán ser prestados por distintas
personas según las necesidades del momento del DPO. Se requiere que laempresa disponga de un DPO certificado y nombrado formalmente. Este servicioes un soporte en las actividades llevadas a cabo por el DPO.
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
¿Realmente estás preparado?
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
CONTÁCTENOS¿ALGUNA PREGUNTA?
www.necsia.es
932 521 285
914 415 677
BARCELONA
MADRID
LIMA
SANTIAGO DE CHILE
CIUDAD DE MÉXICO
CIUDAD DE PANAMÁ
©
20
18
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al