Reconoce el valor de los datos como componente esencial de los negocios digitales

1

¿Qué es Seguridad de la Información y por qué hablamos de prevención de pérdida de datos?

2

Estudios de Casos: Riesgos materializados que han afectado a grandes empresas

3

Iniciación: Planeación y Compromiso Interno para adelantar un proceso de Gestión de Riesgos de Seguridad

4

¿Qué son los activos de Información? Cuál es su valor y cómo identificar los controles a implementar de acuerdo a su nivel de criticidad

5

¿Qué son los riesgos digitales? Cómo identificarlos y tratarlos

6

Prevención de pérdida de datos, una visión estratégica y proactiva, no solo técnica y reactiva

Utiliza los conceptos básicos de gestión de riesgos de seguridad digital para prevenir la pérdida y/o filtración tus datos

7

Modelo de Gestión de Riesgos de Seguridad Digital y su relación con la Protección de Datos Personales

8

Diferenciación de la Visión Europea de protección de datos personales, a la visión Norteamericana

9

Roles, Responsabilidades, Recursos y Criterios para la Gestión de Riesgos de Seguridad Digital

10

Definición y tipologías de Riesgos y Gestión de incidentes de seguridad de la información

11

La prevención de pérdida de datos, como factor de crecimiento y cumplimiento regulatorio

12

Análisis Normativo GDPR y CCPA. Modelos de Gestión de Riesgos de Seguridad

Construye una política de prevención de pérdida de datos para tu organización

13

Identificación de información sensible dentro de los activos de información e infraestructuras cibernéticas críticas asociadas a su negocio

14

Realiza una evaluación de impacto de privacidad

15

Identificación y valoración de los riesgos inherentes y residuales asociados a su actividad

16

Técnicas de tratamiento de datos, minimización, anonimización, seudonimización, disociación y agregación de datos

17

Evaluación y retroalimentación de los controles asociados a tu actividad

18

Política de prevención de pérdida de datos

Qué hacer en caso de materialización del riesgo

19

¿Qué hacer en caso de materialización de un riesgo de seguridad o de pérdida o filtración de datos?

20

Cadena de custodia de evidencias digitales y contacto con autoridades

21

Lecciones aprendidas de la gestión de incidentes

22

Métodos para la recuperación de datos

23

Creación y restauración de copias de seguridad

24

Tipos de soluciones que se pueden implementar para prevenir la pérdida de datos

25

Conclusiones finales y cierre

Análisis Normativo GDPR y CCPA. Modelos de Gestión de Riesgos de Seguridad

12/25

Lectura

Actualmente en el panorama internacional tenemos dos referentes normativos que debemos considerar para cualquier despliegue o modelo de negocios que queramos desarrollar en un entorno digital. Estos son GDPR y CCPA, en esta clase estaremos revisando las características mas relevantes de estos dos modelos.

GDPR

gdpr.jpg

  1. Protege los datos personales de los Residentes en la Unión Europea
  2. Aplica a todas las personas y empresas que traten datos residentes en la UE.
  3. Art. 15. Acceso (30 días)
  4. Art. 16. Rectificación
  5. Art. 17. Eliminación (olvido)
  6. Art. 18. Restricción de Procesamiento
  7. Art. 19. Portabilidad
  8. Art. 21. Objeción
  9. Art. 22. No ser objeto de decisiones automatizadas

10 Para el tratamiento de datos las empresas deben demostrar que cuentan con el consentimiento inequívoco de los titulares de los datos
11. Obliga a realizar Evaluaciones de Impacto de Privacidad

  1. Quienes traten datos deben tener la capacidad de garantizar:
  • Confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  1. Las Autoridades de Protección de Datos de los Países de la Unión Europea pueden imponer multas según el tipo de infracción:
  • Las menos graves se sancionarán con hasta 10 millones de euros o el 2% del volumen de facturación anual de la empresa (la más alta de las dos).
  • Y las más graves se sancionan con multas que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa (la más alta de las dos)

CCPA

ccpa.png
  1. Protege la Privacidad de los Consumidores en el Estado de California
  2. Aplica a grandes empresas que recopilen y/o controlen información personas residentes de California y además deben cumplir alguna de estas tres condiciones:
  • Ingresos brutos anuales mayores de $25.000.000
  • Tratar anualmente información personal de 50.000 o más residentes, hogares o dispositivos en California (visitas web).
  • Obtener el 50% o más de sus ingresos anuales por la venta de información personal.
  1. Acceso - (45 días)

  2. Derecho a saber (se deben informar las categorías de información personal que han vendido o revelado en los últimos 12 meses)

  3. Eliminación *

  4. A oponerse a la venta - Son los consumidores los que deben hacer una exclusión voluntaria (Hacer Click en la opción * No vender)
    A no ser discriminado

  5. Las empresas deben informar las finalidades para las cuales recolectan datos, si los usan para categorizar o, sí ese uso implica fines comerciales y/o si se está compartiendo data con terceros

  6. Permite a los negocios ofrecer incentivos financieros a los consumidores por el uso y recopilación de su información personal, pero los obliga a identificar plenamente los activos y los flujos de información que posee.

  7. Obliga a informar antes de que la información sea recolectada

  8. Se debe implementar controles razonables de seguridad.

  9. Le otorga la competencia al Procurador General del Estado para investigar y sancionar hasta con $ 7.500 cuando se den accesos no autorizados, o filtración de datos, robo o divulgación de información personal no encriptada o no autorizada por el consumidor.

Estas dos Normas, que si bien no tienen aplicación directa en Latinoamérica, ya que la mayoría de nuestros países cuentan con su propia regulación de seguridad y protección de datos personales, se están convirtiendo en estándares internacionales a tener en cuenta para el uso y aprovechamiento de información personal en los Negocios Digitales, toda vez que definen una serie de derechos, prácticas, exigencias, buenas prácticas y controles que cualquier negocio digital con vocación de internacionalización debe incorporar.

Conforme a todo lo anterior, para dar cumplimiento al Reglamento Europeo de Protección de datos y a la Ley de Privacidad del Consumidor de California, los emprendimientos digitales deben identificar sus activos de información, analizar cómo los están gestionando e incorporar las medidas técnicas de prevención de pérdida de datos, que sean necesarias acorde con la información que se maneje.

Para ello es importante implementar dentro de la organización un modelo de Gestión de Riesgos de seguridad, como el que estamos estudiando en este curso.

Para mayor información ver:

ISO 31000
MAGERIT
Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process

Y si deseas profundizar más sobre el GDPR y la CCPA en estos enlaces encuentras mucha información muy valiosa. Si tienes dudas dejame un comentario en esta clase.

Aportes 22

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

Comparto la regulación que puede ser consultada para Colombia:

Ley 1581 de 2012, el artículo 6 de la Ley 1266 de 2008 y el artículo 5 del Decreto 1377 de 2013.
**Guías y Conceptos: ** https://www.sic.gov.co/tema/proteccion-de-datos-personales

😃

Mis apuntes - GDPR y CCPA. Modelos de Gestión de Riesgos de Seguridad

  • La mayoría de nuestros países cuentan con su propia regulación de seguridad y protección de datos personales.
  • Se están convirtiendo en estándares internacionales.
  • Para cumplir con la GDPR y la CCPA se debe hacer:
  • Identificar sus activos de información.
  • Analizar cómo los están gestionando.
  • Incorporar las medidas técnicas de prevención de pérdida de datos

Ámbos comprenden muchas similitudes con el fin de alcanzar un objetivo claro y principal: ser resilentes e iterativos con el ciclo “identificar sus activos de información, analizar cómo los están gestionando e incorporar las medidas técnicas de prevención de pérdida de datos” y garantizar en todo momento el cumplimiento del triángulo C.I.A (confidencialidad, integridad y disponibilidad)

El tiempo en que una empresa puede resguardar mis datos personales tiene fecha de caducacion o termino y si es asi la empresa esta olbigada a hacermelo saber ya sea por escrito o por un email?

Sin tanto tecnisismo, básicamente es que los usuarios sean concientes de lo que se hace con su información y para qué.

Si mi empresa es de tipo operador, donde mis clientes son empresas y ellos son los que tienen el control de los datos de sus usuarios y yo solo tengo CDR, (no tengo data estructurada de usuarios sino transacciones), como me afecta la GDPR?
qué responsabilidades tengo? tengo alguna excepción o exclusión?

muy importante informacion para tener en cuenta

Importantes datos!

Importante comparacion.

En mi poca experiencia en el tema, considero que la forma de tratar los datos como lo hace la UE es muy confiable para uno como consumidor puesto que se siente respaldado por los principios que estipula, pero como dije quizás hay mas desventajas detrás de ello.

Excelente contenido.

Que diferencia en las multas tan grandes.

Excelente aporte.

Buen aporte con la documentación relacionada.

Gracias

Esta información es muy útil para aquellos que estamos planeando negocios digitales que requieren información de los usuarios.

Gracias por la informacion, es muy importante conocer las regulaciones internacionales

El tiempo en que mis datos son custodiados por la empresa tiene algun limite?
y cuando ese limite la empresa tiene la obligación de avisarme que borro mis datos personales? entiendo que en cada pais la regulacion de ello debera variar en el caso que exitiera un limite a esa custodia?

¿cual es la norma vigente en colombia?

que educativo

muy interesante!!

Interesante, nada que ver con los órganos de mi país.