INTEGRACIÓ DE LA PROTECCIÓ DE DADES EN ELS SISTEMES DE GESTIÓ

DEMANI INFORMACIÓ SENSE COMPROMÍS

El nostre tècnic l’assessorarà

La informació és un dels principals actius de les organitzacions. La defensa d’aquest actiu és una tasca essencial per assegurar la continuïtat i el desenvolupament del negoci, així com també és una exigència legal al nostre país.
Com més gran és el valor de la informació, majors són els riscos associats a la seva pèrdua, deteriorament, manipulació indeguda o malintencionada.
El servei que ofereix SETEMCAT està basat en el Sistema de Gestió de la Seguretat de la Informació i en la nova concepció de “Estructura d’Alt Nivell” amb l’objectiu d’establir una millora contínua de l’acompliment de la LOPD mitjançant el lideratge i compromís per part de l’alta direcció, tenint en compte els requisits legals i altres requisits de la pròpia organització, parts interessades, establint procediments de control per tal de comprovar i verificar l’acompliment de sistema i planificant les mesures per aconseguir els objectius establerts, tot això dins del context de la pròpia organització.
A SETEMCAT creiem que l’enfocament del servei cap a un Sistema de Gestió ofereix importants beneficis a l’organització. D’una banda, aporta un mètode de treball sistemàtic minimitzant riscos; identifica, valora i controla els actius i els seus riscos considerant l’impacte per a l’organització i s’adopten els controls i procediments més eficaços i coherents amb l’estratègia de negoci.
D’altra banda, aporta un valor a l’empresa millorant la seva imatge i oferint confiança i seguretat als seus clients, convertint-se en un factor de distinció enfront de la competència dins d’un mercat cada vegada més canviant.

“Les Organitzacions gasten milions de dòlars en tallafocs i dispositius de seguretat, però tiren els diners perquè cap d’aquestes mesures cobreix la baula més feble de la cadena de seguretat: la gent que fa servir i administra els equips”

Kelvyn Mitnlck

DESENVOLUPAMENT DEL SISTEMA DE GESTIÓ EN PROTECCIÓ DE DADES DE CARÀCTER PERSONAL – LOPD

A continuació, s’exposa la metodologia de treball que SETEMCAT ofereix per a la integració de sistema de gestió en protecció de dades de caràcter personal en l’organització.

L’objectiu d’aquest apartat és conèixer a l’organització per determinar que els pot afectar a nivell intern i extern, que actius requereixen protegir i d’acord amb els recursos disponibles, com podria donar-se aquesta protecció per establir el nivell d’acceptació de el risc a el qual estan disposats, determinar l’abast i limitacions existents

En primer lloc, el consultor amb l’ajuda de l’organització realitzarà una visita inicial de presa de dades per a:

  • Conèixer les activitats realitzades fins al moment en matèria de protecció de dades.
  • Comprendre i definir el context de l’organització.
  • Comprendre i determinar les necessitats i expectatives de les parts interessades tant internes com externes i els seus requisits
  • Determinar els límits i l’aplicabilitat de el sistema de gestió per a establir el seu abast

En definitiva, contextualitzar l’organització per conèixer i establir el punt de partida, conèixer i analitzar els seus riscos identificant amenaces, vulnerabilitats i impactes en l’activitat empresarial

L’objectiu principal d’aquest apartat, és integrar el sistema de gestió dins de el marc global de l’organització de manera eficient i eficaç.

El consultor ajudarà a l’organització a establir un lideratge responsable per part de l’alta direcció donant a entendre la importància de salvaguardar un dels actius més importants per al desenvolupament i continuïtat de l’organització. A el mateix temps, ajudarà a establir uns compromisos per a l’exercici i la consecució dels objectius establerts donant suport altres rols pertinents de la direcció per demostrar el seu lideratge.

No es pot oblidar, la importància de transmetre a el conjunt de l’organització la política, els objectius i els requisits, tant interns com externs, que l’organització pretén assolir.

Per a això, es durà a terme unes jornades formatives per tal de donar a conèixer, promoure, conscienciar i capacitar el conjunt de l’equip humà en relació a l’acompliment de la LOPD establint funcions, rols i responsabilitats de cada departament.

A través de la planificació, el consultor pretén avaluar els riscos i identificar les oportunitats que són pertinents per al compliment de la LOPD. En el mateix sentit, s’identifiquen els riscos que es volen protegir i les seves debilitats, així com les amenaces a les quals es troben exposats.

Dins d’aquest apartat, es tindran en compte els actius rellevants, les activitats rutinàries i no rutinàries, la infraestructura, els equips, els suports, el factor humà, processos i procediments operatius, situacions d’emergència com pèrdues, ús indegut o manipulació fraudulenta de la informació. En definitiva, riscos d’origen natural, tècnic i humà que poden donar origen a un impacte notable sobre el negoci sobre els actius tangibles com els intangibles.

L’organització ha d’establir els recursos necessaris tant tècnic, tecnològics, humans per a garantir el compliment, implementació i manteniment de la LOPD amb l’objectiu d’una millora contínua.

El consultor podrà aconsellar a l’empresa amb la presa de decisions per a l’assoliment de l’acompliment, a través de formacions i presa de consciència de personal, aplicant accions per adquirir o millorar la competència necessària per al desenvolupament de les seves funcions, entre d’altres.

En l’etapa d’operació, el consultor d’adequar i implantarà la LOPD dins de l’organització mitjançant aspectes documentals com la declaració de fitxers a l’AEPD, confecció de el Document de Seguretat i annexos, redacció de clàusules relatives a l’exercici dels drets ARCO, estudi per la correcta obtenció de l’consentiment de l’afectat, Redacció de contractes amb Encarregats de Tractament, correcta regulació de cessions de dades intragrup i amb tercers, les clàusules de contractes de treball per a empleats, etc

A més, també es pretén donar tractament als riscos establint i implantant les accions a prendre per mitigar els riscos trobats i aconseguir riscos residuals acceptables per a l’organització.

S’establirà un pla conseqüent amb els requisits legals i altres requisits, les metes i objectius establerts prioritzant aquells que presenten un major impacte per a l’organització.

Mitjançant el servei de manteniment, es pretén gestionar els incidents, controlar possibles canvis, satisfer noves necessitats, identificar nous riscos, proposar noves mesures, establir els recursos necessaris, en definitiva, mantenir actualitzada la gestió de la LOPD dins de l’organització, així com , assessorar dels canvis d’adaptació a el nou Reglament Europeu.

L’avaluació de l’acompliment és un procés fonamental perquè l’organització conegui el grau de compliment dels requisits legals i altres requisits, així com, l’evolució i eficàcia de l’exercici de forma sistemàtica, independent i documentada.

L’auditor de donar curs a les auditories internes a períodes establerts juntament amb la direcció i les auditories externes fixades per la normativa, determinant les no conformitats i establint nous terminis per al compliment dels requisits.

Els resultats de les auditories es presentaran a l’alta direcció perquè pugui fixar noves mesures per al compliment de les no conformitats.

Aquest apartat està basat en el cercle de Deming o Cicle PDCA (Planificar, Fer, Verificar i Actuar) estretament lligat als Sistemes de Gestió, de manera que les activitats són reevaluadas periòdicament per incorporar noves millores, i al seu torn, determinar els riscos i oportunitats i implementar les accions necessàries per aconseguir els resultats previstos en el sistema de gestió LOPD

El consultor, mitjançant l’anàlisi dels resultats de les auditories, assessorarà l’organització sobre les accions a prendre per eliminar les causes de les no conformitats, seleccionar les oportunitats de millora, així com considerar les necessitats i expectatives futures de l’organització amb per tal de millorar l’acompliment i l’eficàcia de el sistema de gestió LOPD.