• No se han encontrado resultados

PILAR Protección de Datos

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "PILAR Protección de Datos"

Copied!
12
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 12 página )

Texto completo

(1)

PILAR – Protección de Datos

27.11.2017

1 Introducción

La protección de datos se ha convertido en un componente esencial de los requisitos de un sistema de información. En particular con la aparición del reglamento europeo (2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos y a la libre circulación de estos datos.

La normativa incluye obligaciones de tipo técnico para proteger la confidencialidad, integridad y disponibilidad de los datos personales conservados o transmitidos. Estas medidas deben

garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban

protegerse. Esta parte puede cubrirse con las medidas de seguridad requerida por el ENS (Esquema Nacional de Seguridad).

Además, los riesgos clásicos de tecnologías de la información y comunicaciones, hay que

extenderlos para cubrir nuevos riesgos sobre la privacidad de las personas físicas, nuevos riesgos que requieren un adecuado tratamiento. En todo caso, las medidas organizativas y técnicas dedicadas a afrontar riesgos de uno u otro tipo deben estar integradas y coordinadas evitando duplicidades y zonas de nadie.

Una organización debe dar respuesta a 3 cuestiones

• ¿Qué medidas de protección se necesitan para satisfacer los requisitos de la organización relativos a seguridad y datos personales y gestionar adecuadamente el riesgo?

• Las medidas de control, ¿están implantadas o existe un plan para su implantación? • ¿Qué nivel de madurez se requiere para poder confiar en la eficacia de las medidas

implantadas?

(2)

2 FAQ – Preguntas básicas

2.1 ¿Cómo de modelan los activos esenciales?

2.2 Amenazas sobre la privacidad

2.3 Medias de mitigación del riesgo

3 Activos

(3)

Y

(4)

4 Valoración de los activos

Aparece una nueva dimensión de para establecer los requisitos de datos personales, así como nuevos criterios para valorar los aspectos de seguridad y privacidad.

El nivel de protección requerido se puede especificar de forma individual para cada dimensión. No obstante, a falta de mejor criterio o pendiente de refinamiento posterior, se puede asignar el mismo nivel en todas las dimensiones.

(5)

5 Amenazas

(6)

Además, se incorporan diversos ejemplos que pueden utilizarse como ideas para un estudio más preciso teniendo en cuenta la naturaleza del tratamiento. Estos ejemplos no están valorados en la tabla TSV: el usuario puede valorarlo para automatizar su uso, o usarlo en riesgos manuales.

6 Medidas de protección

(7)

6.1 Medidas técnicas

Como medidas técnicas de protección nos referimos a la protección de la confidencialidad, integridad y disponibilidad de los activos.

Usaremos las salvaguardas de PILAR, bein directamente, bien encuadradas bajo el perfil del ENS:

6.2 Medidas de cumplimiento legal

Para los aspectos específicos de protección de datos (cumplimiento de normativa) PILAR ofrece 2 perfiles:

Ambos se utilizan para reducir los riesgos sobre la dimensión DP. Puede anular alguno de ellos marcándolo como n.a.

Estos perfiles se asocian a la dimensión DP en el fichero de configuración .car, donde también puede seleccionar uno u otro (comente lo que no desee)

(8)

29151 es la norma ISO de protección de la privacidad, de carácter más internacional, no necesariamente alineado con el Reglamento Europeo.

7 Escenarios de riesgo

PILAR introduce la opción de un tratamiento de riesgos por escenarios especídifoc, desde su descripción hasta la descripción del efecto de las medidas adoptadas.

(9)

Cada línea es un riesgo registrado, que podemos detallar

Se indica

• 1 o más activos afectados. Normalmente serán activos esenciales de información. • La dimensión en la que el valor del activo se ve afectado. En este ejemplo, la de datos

personales.

• Una descripción del riesgo y de las medidas adoptadas para gestionarlo.

• Pueden indicarse una o más amenazas que ayuden a entender el tipo de incidente contemplado.

• Pueden indicarse una o más medidas de protección (salvaguardas y elementos de los perfiles de seguridad) que se utilizan para tratar el riesgo.

(10)

La mitigación del riesgo se puede hacer de forma automática, o de forma manual.

7.1 Mitigación automatizada

Se tiene en cuenta la madurez en cada fase de las medidas de protección identificadas.

Que tienen su efecto reduciendo la probabilidad de forma preventiva y el impacto en forma de limitación o mitigación. PILAR estima el riesgo como combinación de impacto y probabilidad.

7.2 Mitigación manual

Se pueden introducir factores correctores en cada fase; normalmente se indica la fracción residual de impacto y frecuencia a la que se ve expuesto el activo en cada fase

• en el ejemplo anterior, el riesgo tiene un impacto potencial de nivel [A-] y una frecuencia potencial de 10 (veces al año, estimación)

• en la fase actual, el impacto se reduce a la tercera parte y la frecuencia a la mitad

• en la fase objetivo, el impacto queda igual (1/3) mientras que la frecuencia se reduce a la décima parte

(11)

7.3 Presentación de los riesgos

(12)

Riesgo repercutido

8 Informes

Referencias

Descargar ahora ( PDF - 12 página - 0.94 MB )

Documento similar

Relación de bienes y actividades de los miembros de la corporación: 2015-2019

Luis Miguel Utrera Navarrete ha presentado la relación de Bienes y Actividades siguientes para la legislatura de 2015-2019, según constan inscritos en el

EL FUTURO DE LOS DATOS ABIERTOS

Asegurar una calidad mínima en los datos es una de las tareas más difíciles de conseguir para los organismos públicos cuyo objetivo es publicar datos lo más rápidamente posible

Informe de la campaña de control del mercado de termómetros digitales de uso clínico

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

guía de registro

You may wish to take a note of your Organisation ID, which, in addition to the organisation name, can be used to search for an organisation you will need to affiliate with when you

Introducción

Where possible, the EU IG and more specifically the data fields and associated business rules present in Chapter 2 –Data elements for the electronic submission of information

Capítulo 1

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

Capítulo 2

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Capítulo 7

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in