ESTE ES GTI-M01_ManualdeTratamientoDatosPersonales
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONAL
Views 104 Downloads 36 File size 2MB
Recommend stories
- Author / Uploaded
- spedroza
Citation preview
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 1 de 68
INTRODUCCION ....................................................................................................................................... 4 1. ALCANCE .............................................................................................................................................. 4 2. DEFINICIONES ...................................................................................................................................... 4 3. COMPROMISO DE LA ORGANIZACIÓN .................................................................................................. 7 3.1 COMITE DE PROTECCION DE DATOS PERSONALES .............................................................................. 7 3.1.1 ACTIVIDADES DEL COMITÉ DE PROTECCION DE DATOS PERSONALES............................................... 7 3.1.2 PRESENTACION DE INFORMES ......................................................................................................... 8 4. TRATAMIENTOS DE DATOS PERSONALES.............................................................................................. 8 4.1 ALINEACION DE POLITICAS Y PROCEDIMIENTOS ................................................................................. 8 4.2 INVENTARIO DE TRATAMIENTOS ...................................................................................................... 10 4.2.1 Tratamiento De Datos De Afiliados ................................................................................................ 10 4.2.2 Tratamiento De Datos De Empleados ............................................................................................ 11 4.2.3 Tratamiento De Datos De Candidatos ............................................................................................ 11 4.2.4 Tratamiento De Datos De Proveedores Y Empresas Patrocinadoras ............................................... 12 4.3 REGISTRO DE ACTIVIDADES DE TRATAMIENTO ................................................................................. 13 4.4 INVENTARIO DE BASE DE DATOS ...................................................................................................... 15 5. MEDIDAS ORGANIZATIVAS PARA PERSONAL CON ACCESO A DATOS PERSONALES ............................. 17 5.1 OBLIGACIONES DE DESTINAR COMO RESPONSABLE DEL TRATAMIENTO O PARA ENCARGADOS DEL TRATAMIENTO DISPUESTOS POR DESTINAR ........................................................................................... 17 5.2 DEBER DE CONFIDENCIALIDAD Y SECRETO ....................................................................................... 18 5.3 RECOMENDACIÓN DE CLAUSULAS CONTRACTUALES PARA CONTRATOS DE EMPRESAS DE SERVICIOS INFORMATICOS...................................................................................................................................... 19 6. DERECHOS DE LOS TITULARES DE LOS DATOS..................................................................................... 19 7. SISTEMA DE ADMINISTRACION DE RIESGOS ASOCIADOS AL TRATAMIENTO DE DATOS PERSONALES.. 20 7.1 ANÁLISIS DE LA NECESIDAD DE REALIZAR UNA EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS (EIPD) ......................................................................................................................................... 20 7.2 REPONSABLES DEL ANALISIS DE LA EIPD ........................................................................................... 20 7.3 METODOLOGIA UTILIZADA PARA EFECUTAR LA EIPD ........................................................................ 22 7.4 HERRAMIENTA PARA TRATAMIENTOS DE ESCASO RIESGO (FACILITA)............................................... 23 7.5 CONTEXTO DEL TRATAMIENTO ........................................................................................................ 24 7.5.1 CICLO DE VIDA DE LOS DATOS ....................................................................................................... 24 7.5.2 ANALIZAR LA NECESIDAD Y PROPORCIONALIDAD DEL TRATAMIENTO ........................................... 26 7.6 GESTION DE RIESGOS ....................................................................................................................... 27 7.6.1 IDENTIFICACION DE AMENAZAS .................................................................................................... 27 1
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 2 de 68 7.6.2 IDENTIFICACION DE RIESGOS......................................................................................................... 29 7.6.3 METODOLOGIA UTILIZADA PARA LA EVALUACION DE RIESGOS ..................................................... 30 7.6.3.1 EVALUAR LOS RIESGOS ............................................................................................................... 30 7.6.3.2 RIESGO INHERENTE .................................................................................................................... 30 7.6.3.3 DEFINICION DE CALIFICACION DE PROBABILIDAD E IMPACTO ..................................................... 31 7.6.3.4 CÁLCULO DE RIESGO INHERENTE ................................................................................................ 32 7.6.3.5 TRATAMIENTO ANTE LOS RIESGOS ............................................................................................. 33 8. REQUISITOS DE FORMACION Y EDUCACION ....................................................................................... 35 9. PROTOCOLOS DE RESPUESTA EN EL MANEJO DE VIOLACIONES E INCIDENTES .................................... 35 9.1 INCIDENTES DE SEGURIDAD ............................................................................................................ 35 9.2 Alertas e incidentes de seguridad ..................................................................................................... 36 9.3 NOTIFICACIÓN DE VULNERACIONES A LA SEGURIDAD DE LOS DATOS PERSONALES .......................... 39 9.3.1 NOTIFICAR UN INCIDENTE DE SEGURIDAD POR LOS FUNCIONARIOS ............................................. 39 9.3.2 NOTIFICAR UN INCIDENTE DE SEGURIDAD A LOS TITULARES ......................................................... 39 9.3.3 NOTIFICAR UN INCIDENTE DE SEGURIDAD ANTE LA SIC ................................................................. 40 9.3.4 CONSIDERACIONES DE UN INCIDENTE DE SEGURIDAD................................................................... 40 9.4 TIPOS DE INCIDENTES DE SEGURIDAD .............................................................................................. 41 9.4.1 Incidentes relacionados con el servicio del correo electrónico ....................................................... 41 9.5 Etapas del plan de respuesta a incidentes de seguridad ................................................................... 42 9.5.1 Preparación................................................................................................................................... 42 9.5.2 Identificación ................................................................................................................................ 45 9.5.3 Contención.................................................................................................................................... 45 9.5.4 Mitigación (Erradicación)............................................................................................................... 46 9.5.5 Recuperación ................................................................................................................................ 46 9.5.6 Mejora continua (Aprendizaje) ...................................................................................................... 47 10. GESTION DE LOS ENCARGADOS DEL TRATAMIENTO EN LAS TRANSMICIONES INTERNACIONALES DE DATOS PERSONALES .............................................................................................................................. 47 11. COMUNICACIÓN EXTERNA ............................................................................................................... 48 12. PLAN DE SUPERVISIÓN Y REVISIÓN DE LA IMPLANTACIÓN................................................................ 48 13. PLAN DE ACCION .............................................................................................................................. 49 13.1.1 MEJORAMIENTO DE MEDIDAS TÉCNICAS..................................................................................... 50 13.1.1.2 CAPTACIÓN DE IMÁGENES CON CÁMARAS CUYA FINALIDAD ES LA SEGURIDAD (VIDEOVIGILANCIA) ................................................................................................................................ 52 14. REPORTE DE NOVEDADES ANTE LA SIC ............................................................................................. 52 2
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 3 de 68 14.1 TAREAS PARA EL REPORTE DE NOVEDADES .................................................................................... 53 15. SANCIONES DE LA SIC ....................................................................................................................... 53 16. INFORME Y CONCLUSIONES ............................................................................................................. 54 ANEXO 1. CLASIFICACION DE DATOS PERSONALES ................................................................................ 55 ANEXO 2. LISTA DE DATOS TRATADOS.................................................................................................... 60 ANEXO 3. ANÁLISIS DE LA NECESIDAD DE LA REALIZACIÓN DE UNA EIPD ............................................... 61 ANEXO 4. INTERVINIENTES INVOLUCRADOS ........................................................................................... 65 ANEXO 5. CARTA DE GARANTIA Y AVAL AL PROVEEDOR CDMON ........................................................... 68 ANEXO 6. RECOMENDACIONES A LOS USUARIOS CONTRA EL SOFTWARE MALICIOSO ............................ 69
3
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 4 de 68 INTRODUCCION Este documento ha sido diseñado para tratamientos de datos personales de bajo riesgo de donde se deduce que el mismo no podrá ser utilizado para tratamientos de datos personales que incluyan datos personales relativos al origen étnico o racial, ideología política religiosa o filosófica, filiación sindical, datos genéticos y biométricos, datos de salud, y datos de orientación sexual de las personas así como cualquier otro tratamiento de datos que entrañe alto riesgo para los derechos y libertades de las personas. El artículo 5.1.f del Reglamento General de Protección de Datos (RGPD) determina la necesidad de establecer garantías de seguridad adecuadas contra el tratamiento no autorizado o ilícito, contra la pérdida de los datos personales, la destrucción o el daño accidental. Esto implica el establecimiento de medidas técnicas y organizativas encaminadas a asegurar la integridad y confidencialidad de los datos personales y la posibilidad (artículo 5.2) de demostrar que estas medidas se han llevado a la práctica (responsabilidad proactiva). 1. ALCANCE El presente manual para el Tratamiento y Protección de Datos Personales tiene por objetivo implementar y dar cumplimiento a la Ley 1581 de 2012 y al decreto reglamentario 1377 de 2013, este documento define Los Tratamientos, los Responsables, los Encargados, el ejercicio de los derechos de los Titulares, las cláusulas informativas que se deben incluir en los formularios de solicitud de información, y aquellas que se deben anexar en cada uno de los contratos de prestación de servicios, el registro de actividades de tratamiento y una sección con recomendaciones sobre medidas de seguridad sobre los datos personales, las cuales son responsabilidad de DESTINAR FMI. La Superintendencia Financiera de Colombia en su circular externa No. 007 donde Imparte instrucciones relacionadas con los requerimientos mínimos para la gestión del riesgo de ciberseguridad, en el numeral 7.1 del Gestion del Riesgo de este manual aplica para el dominio de datos personales, de igual forma el numeral 9.1 de incidentes de seguridad, se estima unificar la investigación de incidentes en datos personales y en el tema de ciberseguridad. 2. DEFINICIONES Accountability: Es un principio fundamental conocido como responsabilidad demostrada, publicado por la OCDE. La SIC recoge este postulado y recomienda a los responsables y encargados del tratamiento a ser capaces de demostrar que se ha implementado medidas apropiadas y efectivas para cumplir las obligaciones establecidas en la ley 1581 de 2012. Activo: Todo elemento de valor para una organización, involucrado en el tratamiento de datos personales,1 entre ellos, las bases de datos, el conocimiento de los procesos, el personal, el hardware, el software, los archivos o los documentos en papel. Activos críticos: Activos que un responsable considera como los más valiosos y que, si ocurre su pérdida, destrucción, robo, extravío, copia, uso, acceso, tratamiento, daño, alteración o 4
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 5 de 68 modificación no autorizada, podría provocar una crisis, y comprometer las operaciones, la prestación de servicios o incluso la existencia de la organización. Alerta de seguridad: Hecho o evento que se detecta y/o registra en los sistemas de tratamiento físico o electrónico, el cual advierte de un posible incidente de seguridad. Amenaza: Circunstancia o condición externa, con la capacidad de causar daño a los activos explotando una o más de sus vulnerabilidades. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento De datos personales. Si cualquiera de los datos personales es requerido por una persona fuera del desarrollo normal de la afiliación al DESTINAR FMI, el fondo debe contar con la autorización escrita del afiliado a excepción de que este haya fallecido y así se verifique, previo a la entrega de los datos. El formato de autorización para que el cliente permita que DESTINAR FMI maneje sus datos personales están publicados en la página web, en la sección formatos, (formato de afiliación y actualización de datos). En ningún caso DESTINAR FMI hará uso comercial con terceros de los datos personales que maneja. Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales. Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento. Ciberseguridad: Es el desarrollo de capacidades empresariales para defender y anticipar las amenazas cibernéticas con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la entidad. Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Dato Sensible: Información que afectan la intimidad de las personas o cuyo uso indebido puede generar discriminación (Origen racial o étnico, orientación política, convicciones filosóficas o religiosas, pertinencia a sindicatos u organizaciones sociales o derechos humanos, datos de salud, vida sexual y/o datos biométricos). DESTINAR FMI: Destinar Fondo Mutuo de Ahorro e Inversión. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento. En los eventos en que el Responsable no ejerza como Encargado de la base de datos, se identificará expresamente quién será el Encargado. Incidente de seguridad: Cualquier violación a las medidas de seguridad físicas, técnicas o administrativas de un responsable, que afecte la confidencialidad, la integridad o la disponibilidad de la información. 5
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 6 de 68
Malware: Palabra que nace de la unión de los términos software malintencionado “malicious software”. Dentro de esta definición tiene cabida un amplio elenco de programas maliciosos: virus, gusanos, troyanos, backdoors, spyware, etc. Phishing: Es la denominación que recibe la estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta. El estafador o phisher suplanta la personalidad de una persona o empresa de confianza para que el receptor de una comunicación electrónica aparentemente oficial (vía email, fax, sms o telefónicamente) crea en su veracidad y facilite, de este modo, los datos privados que resultan de interés para el estafador. Ransomware: es un tipo de software malicioso cuyo objetivo es cifrar la información de un equipo de cómputo o dispositivo con la finalidad de secuestrarla, y hacerla inaccesible al dueño a menos que pague un rescate por ella. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos. SPAM: Se denomina spam a todo correo no deseado recibido por el destinatario, procedente de un envío automatizado y masivo por parte del emisor. El spam generalmente se asocia al correo electrónico personal, pero no sólo afecta a los correos electrónicos personales, sino también a foros, blogs y grupos de noticias Titular: Persona natural cuyos datos personales sean objeto de tratamiento. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable. Oficial de Protección de Datos: Encargado de vigilar, controlar y promover la aplicación de la Política de Protección de Datos Personales al interior de La Compañía. Wanna Cry: Es un tipo de virus, del formato troyano, con la capacidad de introducirse en nuestro equipo explotando una vulnerabilidad de software. Es un tipo de ransomware , una evolución de lo que podría ser CryptoLocker. El ransomware tiene como objetivo cifrar los archivos del equipo infectado para pedir un rescate vía BitCoins. Para que el proceso de encriptación sea más rápido solo encripta aquellos ficheros más críticos del usuario (doc, jpg, pdf) evitando encriptar archivos del sistema, para mayor velocidad. 6
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 7 de 68
3. COMPROMISO DE LA ORGANIZACIÓN La Gerencia de DESTINAR FMI, se compromete a apoyar y exigir una cultura organizacional de respeto a la protección de los datos personales y emitirá directrices para que el programa se implemente exitosamente en todas las áreas. La Gerencia debe: Designar a la persona o al área que asumirá la función de protección de datos dentro de la organización Aprobar y monitorear el Programa Integral de Gestion de Datos Personales Informar de manera periódica a los órganos directivos sobre su ejecución. Destinar recursos suficientes que le permitan al área o persona encargada 3.1 COMITE DE PROTECCION DE DATOS PERSONALES Con el objetivo de velar por la implementación efectiva de las políticas y procedimientos adoptados para cumplir con la ley 1581 de 2012, La Gerencia crea y designa El comité de datos personales, conformado por: Nombre Cargo Diego A. Triana Gerente General Ana I Larrota Auditora Interna Nicolai Cárdenas Analista de TI Tabla No. 1 Integrantes comité de datos personales 3.1.1 ACTIVIDADES DEL COMITÉ DE PROTECCION DE DATOS PERSONALES 1. Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales. 2. Coordinar la definición e implementación de los controles del Programa Integral de Gestion de Datos Personales (PIGD). 3. Servir de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal del PIGD. 4. Impulsar una cultura de protección de datos dentro de la organización. 5. Mantener un inventario de las Base de Datos personales en poder de la organización y clasificarlas según su tipo. 6. Registrar las bases de datos de la organización en el Registro Nacional de Base de Datos y actualizar el reporte atendiendo las instrucciones que sobre el particular emita la SIC. 7. Obtener las declaraciones de conformidad de la SIC cuando sea requerido. 8. Revisar los contenidos de los contratos de transmisiones internacionales de datos que se suscriban con Encargados no residentes en Colombia. 9. Analizar las responsabilidades de cada cargo de la organización, para diseñar un programa de entrenamiento en protección de datos personales específico para cada uno de ellos. 10. Realizar un entrenamiento general en protección de datos personales para todos los empleados de la compañía. 7
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 8 de 68 11. Realizar el entrenamiento necesario a los nuevos empleados, que tengan acceso por las condiciones de su empleo, a datos personales gestionados por la organización, 12. Integrar las políticas de protección de datos personales dentro de las actividades de las demás áreas de la organización (Talento Humano, Seguridad, Call Centers y gestión de proveedores, etc.) 13. Medir la participación y calificar el desempeño en los entrenamientos de protección de datos personales. 14. Requerir que dentro de los análisis de desempeño de los empleados, se encuentre haber completado satisfactoriamente el entrenamiento sobre protección de datos personales. 15. Velar por la implementación de planes de auditoria interna para verificar el cumplimiento de sus políticas de tratamiento de la información personal. 16. Acompañar y asistir a la organización en la atención de las visitas y los requerimientos que realice la SIC 17. Realizar seguimiento al PIGD. 3.1.2 PRESENTACION DE INFORMES Reunir todas las evidencias que sustente la implementación del PIGD en DESTINAR FMI. La Gerencia debe presentar un informe semestralmente a la Junta Directiva de DESTINAR FMI con el fin de mantenerlos plenamente informados. El informe debe incluir: 1. Definir de manera clara la estructura de la generación de reportes. Esto implica saber que empleado genera que tipo de reporte, para asignar responsabilidades claras en el evento de una queja o de una violación a los códigos de seguridad. 2. Documentar el proceso de generación de reportes como parte del PIGD 3. Generar reportes para los miembros de la junta directiva de manera periódica, e informar en estos el estado del Programa de Protección de datos personales. 4. TRATAMIENTOS DE DATOS PERSONALES 4.1 ALINEACION DE POLITICAS Y PROCEDIMIENTOS DESTINAR FMI imparte instrucciones para actualizar todos los procedimientos que tengan que ver con el tratamiento de datos personales y con las disposiciones legales vigentes para tener la visión general y poder manejar adecuadamente los riesgos inherentes al tratamiento de información personal dentro de las actividades de Gestion operacional. A continuación se hace un inventario de los procedimientos de todas las áreas de DESTINAR FMI, según la codificación del Sistema de Gestion de Calidad: PROCESO GESTION TECNOLOGIA
PROCEDIMIENTOS Y POLITICAS DE GTI-MP01_Política de Seguridad de la Información. GTI-MP02_Política de Protección de Datos Personales GTI-M01_Manual de Protección de Datos Personales GTH-PD01_Procedimiento selección y contratación de personal GESTION DEL GTH-PD05-F02 Formato de información básico personal de TALENTO HUMANO funcionarios y contratistas Destinar GTH-PD05-F10 Medevac 8
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 9 de 68 PROCESO
PROCEDIMIENTOS Y POLITICAS GTH-PD05-F11 Perfil sociodemográfico GTH-PD05-F44 Seguimiento exámenes médicos de ingreso, periódicos y retiro GTH-PD05-F23 Información sintomatológica de los trabajadores GTH-PD05-F39 Encuesta para la detención osteomusculares antecedentes personales GTH-PD05-F52 Encuesta de farmacodependencia GTH-PD05-F03 Hoja de vida brigadistas GTH-PD05-F04 Inscripción candidatos Copasst GTH-PD05-F22 Hoja de inscripción de candidatos al COLAB
GESTION DE INVERSIONES GESTION COMERCIAL
GC-PD01_GESTION_NUEVAS_EMPRESAS GC-PD02_AFILIACION_COLABORADORES_EMPRESAS GC-PD03_PROCEDIMIENTO_DE_SERVICIO_AL_CLIENTE
GESTION DE TESORERÍA GA-PD01-F01Formato de vinculación de proveedores GCF-PD01 Procedimiento liquidación de nómina, seguridad social y prestaciones sociales AI-PD01-F06 Informe de Auditoria AI-PD01-F07 Comité de Auditoria (presentación hallazgos) AI-PD01-F08 Actas Comités, existe el instructivo de la elaboración y AUDITORIA INTERNA custodias de actas AI-PD01 Gestión Evaluación Independiente AI-PD04 Gestión Asamblea General y posesiones ante la SFC Tabla No. 2 Inventario de procedimientos relacionados con la protección de datos GESTION CONTABLE
DESTINAR FMI debe incorporar políticas de tratamiento de la información, de obligatorio cumplimiento, que establezcan reglas sobre los siguientes puntos: 1. La recolección, almacenamiento, mantenimiento, uso, circulación y supresión o disposición final de la información personal, incluyendo los requisitos para obtener la autorización de los titulares. 2. El acceso y corrección de datos personales 3. El uso responsable de la información, incluyendo controles de seguridad administrativos, físicos y tecnológicos. 4. Inclusión en todos los medios contractuales de la empresa de una cláusula de confidencialidad y de manejo de información, donde se afirme que se conoce a suficiencia la política de la empresa, se acepta, y se permite a la compañía utilizar dicha información de forma responsable, en caso que DESTINAR FMI estime que dicho contratista asume responsabilidad de encargado de la información personal. 5. Presentación de quejas, denuncias y reclamos.
9
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 10 de 68 4.2 INVENTARIO DE TRATAMIENTOS
DATOS COMUNES A TODOS LOS TRATAMIENTOS Responsable del tratamiento
DESTINAR FMI - NIT: 800017043 Dirección.: CARRERA 51 No. 96-23 Teléfono: 6462700 Correo electrónico: [email protected] Delegado de Protección de Datos Comité de Protección de datos Analista de TI (Casos urgentes de incidentes de seguridad) Trasferencia Internacional de Solo aplica para planes de copias de seguridad. Datos Cesión de Datos No permitida. Controlado por acuerdos de confidencialidad. Tabla No. 3 Datos comunes a los tratamientos
4.2.1 Tratamiento De Datos De Afiliados
1
TRATAMIENTO DE DATOS DE AFILIADOS
Clausula informativa: El texto que se muestra a continuación deberá incluirlo en todos aquellos formularios que utilice para recabar datos personales de sus clientes, tanto si se realiza en soporte papel como si los recoge a través de un formulario web: En cumplimiento de la Ley de Protección de Datos 1581 de 2012, le informamos que sus datos personales están incorporados en una base de datos cuyo responsable es Destinar Fondo Mutuo de Ahorro e Inversión (DESTINAR FMI), y con la finalidad de responderle sus inquietudes, envío de información financiera y comercial con relación a su calidad de afiliado a DESTINAR FMI. Si lo desea, puede ejercer los derechos de acceso, rectificación, u oposición de sus datos personales en el correo electrónico [email protected] o por escrito a la carrera 51 No. 96-23 Oficina 403.” Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal Al diligenciar y firmar este formato declaro que he leído la política de protección de datos personales1 mencionada anteriormente y el Estatuto y Reglamento de Destinar, los cuales acepto, y declaro que todos los datos proporcionados son verídicos y corresponden a la realidad. No. Cedula Afiliado ________________ Firma Afiliado _________________ AVISO: Debe tener en cuenta que si el formulario de Afiliación no viene firmado por el 1
http://www.destinar.net/destinar_documentos/GTI-MP02_PoliticaProteccionDatosDFMI.pdf
10
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 11 de 68 titular, en ningún caso podrá ser afiliado a DESTINAR FMI. 4.2.2 Tratamiento De Datos De Empleados
2
TRATAMIENTO DE DATOS DE EMPLEADOS
Clausula informativa: Opción 1 El texto que se muestra a continuación deberá incluirlo en todos aquellos formularios que utilice para recabar datos personales de sus empleados, tanto si se realiza en soporte papel como si los recoge a través de un formulario web. Opción 2 Para recoger la autorización expresa de datos existentes, o cuando se inicia un proceso de selección nuevo, y para facilitar una autorización, se puede hacer firmar el GTI_PD01F07.AUTORIZACION_PARA_EL_TRATAMIENTO_DE_DATOS PERSONALES_EMPLEADOS “En nombre de DESTINAR FMI tratamos la información que nos facilita con el fin del mantenimiento de la relación laboral. Los datos proporcionados se conservarán mientras se mantenga la relación laboral o durante los años necesarios para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si en DESTINAR FMI estamos tratando sus datos personales por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios. No. Cedula Empleado _____________
Firma Empleado _______________
AVISO: Recuerde que debe borrar los datos cuando finalice la relación laboral y no haya ninguna obligación legal para mantenerlos. 4.2.3 Tratamiento De Datos De Candidatos
3
TRATAMIENTO DE DATOS DE CANDIDATOS
Clausula informativa: El texto que se muestra a continuación deberá incluirlo en todos aquellos formularios que utilice para recabar datos personales de los candidatos a un puesto de trabajo, tanto si se realiza en soporte papel como si los recoge a través de un formulario web: En nombre de DESTINAR FMI tratamos la información que nos facilita con el fin de 11
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 12 de 68 mantenerle informado de las distintas vacantes a un puesto de trabajo que se produzcan en nuestra organización. Los datos proporcionados se conservarán hasta la adjudicación de un puesto de trabajo o hasta que usted ejerza su derecho de cancelación por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios. Los datos no se cederán a terceros.” Si los candidatos aportan su Hoja de Vida en papel normal, sin formulario, se les pedirá que firmen un formulario fechado en que figure la información antes citada. No. Cedula Candidato ________________ _________________
Firma
Candidato
AVISO: Recuerde que debe borrar los datos cuando finalice el proceso de seleccion y no haya ninguna obligación legal para mantenerlos. 4.2.4 Tratamiento De Datos De Proveedores Y Empresas Patrocinadoras
4
TRATAMIENTO DE DATOS DE PROVEEDORES Y EMPRESAS PATROCINADORAS
Clausula informativa: El texto que se muestra a continuación deberá incluirlo en todos aquellos formularios que utilice para recabar datos personales de los proveedores y/o empresas patrocinadoras como por ejemplo en el formulario de Sarlaft GC-PD01-F06 PERSONA JURÍDICA/NATURAL. En cumplimiento de la Ley de Protección de Datos 1581 de 2012 y en nombre de DESTINAR FMI le informamos que tratamos la información que nos facilita con el fin de realizar pedido, recibir facturas de sus servicios y en caso de ser empresa patrocinadora, tener los soportes solicitados por nuestras políticas internas y disposiciones legales. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si en DESTINAR FMI estamos tratando sus datos personales por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios el correo electrónico [email protected] o por escrito en Bogotá a la carrera 51 No. 96-23 Oficina 403. No. Cedula ________________ Firma _________________ Representante legal Si los proveedores aportan sus datos mediante otro sistema, se les pedirá que firmen un formulario fechado en que figure la información antes citada. AVISO: Recuerde que debe borrar los datos cuando finalice la relación comercial y no haya ninguna obligación legal para mantenerlos. 12
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 13 de 68
4.3 REGISTRO DE ACTIVIDADES DE TRATAMIENTO
TRATAMIENTO:
AFILIADOS
Finalidad del tratamiento Descripción de las categorías del afiliado
Gestión de la relación con los afiliados Personas con las que se mantiene una relación comercial como Afiliados a DESTINAR FMI
Categorías de datos personales: Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales: supresión de las diferentes categorías de datos:
Consultar el anexo 1, sobre la clasificación de Datos personales tratados por Destinar FMI Administración tributaria: DIAN
TRATAMIENTO: Finalidad del tratamiento
Los previstos por la legislación fiscal respecto a la prescripción de responsabilidades y normas de archivo.
EMPLEADOS Y MIEMBROS DE JUNTA DIRECTIVA Gestión de la relación laboral con los empleados
Personas que trabajan para el responsable del Descripción de las categorías de los empleados tratamiento
Categorías de datos personales:
Los necesarios para el mantenimiento de la relación comercial. Gestionar la nómina 1) De identificación: nombre, apellidos, número de cedula, dirección, teléfonos, e-mail etc. 2) Características personales: estado civil, fecha y lugar de nacimiento, edad, sexo, nacionalidad y beneficiarios 3) Datos académicos 4) Datos profesionales
Ninguna aparte de las EPS, ARL y la UGPP (Unidad de Las categorías de Gestión Pensional y Parafiscales) destinatarios a quienes se comunicaron o comunicarán los datos personales:
supresión de las diferentes
Los previstos por la legislación fiscal y laboral respecto 13
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 14 de 68
categorías de datos:
a la prescripción de responsabilidades
TRATAMIENTO: Finalidad del tratamiento
CANDIDATOS Gestión de la relación con los candidatos a un empleo en la empresa
Personas que desean trabajar para el responsable del Descripción de las categorías de los empleados tratamiento
Categorías de datos personales:
Los necesarios para gestionar las hojas de vida de posibles futuros empleados 1) De identificación: nombre, apellidos, dirección, teléfonos, e-mail 2) Características personales: estado civil, fecha y lugar de nacimiento, edad, sexo, nacionalidad y otros excluyendo datos de raza, salud o afiliación sindical 3) Datos académicos 4) Datos profesionales
No existe comunicación de datos personales de Las categorías de candidatos a terceros. destinatarios a quienes se comunicaron o comunicarán los datos personales:
supresión de las diferentes categorías de datos:
Un año desde la presentación de la candidatura
TRATAMIENTO:
PROVEEDORES
Finalidad del tratamiento
Gestión de la relación con los proveedores
Descripción de las categorías de los proveedores Categorías de datos personales:
Personas con las que se mantiene una relación comercial como proveedores de productos y/o servicios Los necesarios para el mantenimiento de la relación laboral 1) De identificación: nombre, NIT, dirección, teléfonos, e-mail 2) Datos bancarios: para la domiciliación de pagos 3) Datos del representante legal como personal natural 14
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 15 de 68
No existe comunicación de datos personales de Las categorías de candidatos a terceros. destinatarios a quienes se comunicaron o comunicarán los datos personales:
supresión de las diferentes categorías de datos:
Los previstos por la legislación fiscal respecto a la prescripción de responsabilidades
TRATAMIENTO: Finalidad del tratamiento Descripción de las categorías de las empresas patrocinadoras Categorías de datos personales:
Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales: supresión de las diferentes categorías de datos:
EMPRESAS PATROCINADORAS Gestión de la relación comercial con las empresas patrocinadoras Personas con las que se mantiene una relación comercial como empresas patrocinadoras Los necesarios para el mantenimiento de la relación laboral 1) De identificación: nombre, NIT, dirección, teléfonos, e-mail 2) Datos bancarios: para la domiciliación de pagos No existe comunicación de datos personales de empresas patrocinadoras a terceros.
Los previstos por la legislación fiscal y el estatuto interno respecto a la prescripción de responsabilidades
4.4 INVENTARIO DE BASE DE DATOS No. Radicado (CIR)
Nombre de la Base de Datos
Cantidad de Titulares
18-322327--000000-000
CRM_AFILIADOS_CONTABILIDAD
33.645
18-322328--000000-000
NOMINA
10
18-322331--000000-000
PROVEEDORES
35
18-322333--000000-000
IVR
2.531
15
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 16 de 68
No. Radicado (CIR)
Nombre de la Base de Datos
Cantidad de Titulares
18-322336--000000-000
SERVICIOS_WEB
2.531
18-322339--000000-000
CONTROL_HORARIO
18-322341--000000-000
ARCHIVO_FÍSICO_EXTERNO
33.645
18-322343--000000-000
ARCHIVO_FISICO_INTERNO
2.531
8
Tabla No. 4 Base de Datos reportados en la SIC En la tabla anterior se listan las bases de datos que se reportaron ante la SIC, que tienen relación con el tratamiento de datos personales.
TAREA
PROCEDIMIENTO
BASE DE DATOS Formulario Web y formularios físicos Archivo central Archivo Gestion
recolección almacenamiento
PRUEBA AUTORIZACION
SI SI
mantenimiento Uso y circulación acceso y corrección Supresión disposición final Tabla No. 5 DESTINAR FMI garantiza que no recolecta datos personales sensibles, datos de niños y adolescentes, y capacita al área comercial para que informe al titular o a quien corresponda que no existe obligación de suministrar tales datos. Hace parte del inventario de Base de Datos, la Clasificación de los datos personales como se observa en el Anexo No. 2
16
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 17 de 68
5. MEDIDAS ORGANIZATIVAS PARA PERSONAL CON ACCESO A DATOS PERSONALES Todo el personal con acceso a los datos personales deberá tener conocimiento de sus obligaciones con relación a los tratamientos de datos personales y serán informados acerca de dichas obligaciones. La información mínima que será conocida por todo el personal será la siguiente:
5.1 OBLIGACIONES DE DESTINAR COMO RESPONSABLE DEL TRATAMIENTO O PARA ENCARGADOS DEL TRATAMIENTO DISPUESTOS POR DESTINAR
El responsable y/o el encargado del tratamiento y todo su personal se obliga a: a) Utilizar los datos personales a los que tenga acceso sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe La Política de Protección de Datos o cualquier otra disposición en materia de protección de datos, el encargado informará inmediatamente al responsable. c) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. d) Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el contrato. e) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. f)
Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
g) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. h) Notificación de violaciones de la seguridad de los datos El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida y a través de la dirección de correo electrónico que le indique el responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Se facilitará, como mínimo, la información siguiente: 1) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. 17
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 18 de 68 2) Datos de la persona de contacto para obtener más información. 3) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. i)
Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
j)
Auxiliar al responsable de tratamiento a implantar las medidas de seguridad necesarias para: 1) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. 2) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. 3) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
k) Con relación al Destino de los datos, el responsable del tratamiento no conservará datos de carácter personal relativos a los tratamientos del encargado salvo que sea estrictamente necesario para la prestación del servicio, y solo durante el tiempo estrictamente necesario para su prestación. l)
Facilitar al encargado el acceso a los equipos a fin de prestar el servicio contratado.
m) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento de la Política de Protección de Datos Personales por parte del encargado. n) Supervisar el tratamiento. 5.2 DEBER DE CONFIDENCIALIDAD Y SECRETO a) Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará: dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.),. Cuando se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla o al cierre de la sesión. b) Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día. c) No se desecharán documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción o el borrado seguro de la información.
18
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 19 de 68 d) No se comunicarán datos personales o cualquier información personal a terceros, se prestará atención especial en no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc. e) El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la empresa. 5.3 RECOMENDACIÓN DE CLAUSULAS CONTRACTUALES PARA CONTRATOS DE EMPRESAS DE SERVICIOS INFORMATICOS En los contratos con empresas que prestan algún servicio deberá incluir las siguientes cláusulas contractuales: Objeto del encargo del tratamiento Mediante las presentes cláusulas se estipula que las empresas que prestan un servicio informático a DESTINAR FMI; NO son encargadas del tratamiento, únicamente deben asegurar la información que DESTINAR FMI, sube en calidad de prestación de los servicios ofertados, los datos personales nunca se entenderá que son cedidos para su manejo. Este objeto aplica para contratos como por ejemplo el servicio de HOSTING. Identificación de la información afectada Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, DESTINAR FMI como responsable del tratamiento, pone a disposición de la entidad CDMON, GEMDA la información disponible de afiliados que reposan en las base de datos, para efectuar tareas de soporte a los sistemas informáticos. Duración El presente acuerdo tiene una duración de una año (1), renovable. Una vez finalice el presente contrato, el encargado del tratamiento debe devolver al responsable los datos personales, y suprimir cualquier copia que mantenga en su poder. No obstante, podrá mantener bloqueados los datos para atender posibles responsabilidades administrativas o jurisdiccionales. AVISO: No olvide firmar la última hoja de cada uno de los contratos que se han obtenido.
6. DERECHOS DE LOS TITULARES DE LOS DATOS
Se informará a todos los trabajadores acerca del procedimiento para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos (medios electrónicos, referencia al Delegado de Protección de Datos si lo hubiera, dirección, etc.) teniendo en cuenta lo siguiente: Previa presentación de la cedula de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión, oposición y portabilidad. El responsable del tratamiento deberá dar respuesta a los interesados sin dilación indebida. 19
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 20 de 68 Para el derecho de acceso se facilitará a los interesados la lista de los datos personales de que disponga junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios de los datos, los plazos de conservación, y la identidad del responsable ante el que pueden solicitar la rectificación supresión y oposición al tratamiento de los datos. Para el derecho de rectificación se procederá a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento. Para el derecho de supresión se suprimirán los datos de los interesados cuando los interesados manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida. Para el derecho de oposición los interesados deberán manifestar su negativa al tratamiento de sus datos ante el responsable, que dejará de procesarlos siempre que no exista una obligación legal que lo impida. Para el derecho de portabilidad los interesados deberán comunicar su decisión e informar al responsable, en su caso, sobre la identidad del nuevo responsable al que facilitar sus datos personales. El responsable del tratamiento deberá informar a todas las personas con acceso a los datos personales acerca de los términos de cumplimiento para atender los derechos de los interesados, la forma y el procedimiento en que se atenderán dichos derechos.
7. SISTEMA DE ADMINISTRACION DE RIESGOS ASOCIADOS AL TRATAMIENTO DE DATOS PERSONALES 7.1 ANÁLISIS DE LA NECESIDAD DE REALIZAR UNA EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS (EIPD) 7.2 REPONSABLES DEL ANALISIS DE LA EIPD En base a la metodología RACI, se establecen las responsabilidades en el proceso de realización de una EIPD. RACI establece las siguientes figuras de responsabilidad:
RACI Responsible (R) Accountable (A)
Consulted
(C)
Informed
(I)
Descripción
Cargo
Responsable de realizar la tarea Responsable de que la tarea se realice, sin necesidad de ser el que la ejecute y responsable de rendir cuentas sobre su ejecución. Figura que debe ser consultada para la realización de la tarea.
Analista de TI Analista de TI
Figura que debe ser informada 20
Gerencia
Auditora Interna Directora Comercial
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 21 de 68 sobre la realización de la tarea. Tabla No. 6 Responsables del Análisis de la EIPD
FASE
Responsable del Tratamiento
1. Describir el ciclo de vida R/A de los datos 2. Analizar la necesidad y proporcionalidad del R/A tratamiento 3. Identificar amenazas y R/A riesgos 4. Evaluar los riesgos R/A 5. Tratar los riesgos R/A 6. Plan de acción y R/A conclusiones Tabla No. 7 Fases del Análisis de la EIPD
OPD
Encargado del Tratamiento
Áreas relevantes que intervienen
C/I
C
C
C/I
C
C
C/I
C
-
C/I C/I
C C
C
C/I
C
C
Con el objetivo de determinar si es necesario realizar la evaluación de impacto para los tratamientos de datos que realiza DESTINAR FMI, se aplica el siguiente método, provisto por la Agencia Española de Protección de Datos. Se aclara que dicha metodología define que DESTINAR FMI, por no manejar datos sensibles ni menores de edad no está obligada a efectuar el análisis de riesgo, no obstante nuestro ente regulador (SIC) recomienda adelantar la identificación y manejo de los riesgos asociados al tratamiento de los datos personales. Por esto, se desarrolla un sistema de administración de riesgos acorde a nuestros procesos y procedimientos internos asociados al tratamiento de datos personales, a la cantidad de base de datos, tipos de datos personales tratados. El objetivo de este sistema nos permite identificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedan incidir en la debida administración del riesgo a que se está expuesto en desarrollo de la norma de protección de datos personales. La implementación del Sistema le permite mejorar entre otros, factores: la reputación y confianza respecto de los afiliados, empresas patrocinadoras, proveedores y del sector gremial, el uso como valor competitivo en el mercado, demostrar el compromiso con el cumplimiento normativo, la opinión pública ante un tratamiento de interés general o impacto social. En este sentido se sigue el estudio con la fase de contexto según la anterior figura de la metodología.
21
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 22 de 68 7.3 METODOLOGIA UTILIZADA PARA EFECUTAR LA EIPD
22
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 23 de 68 7.4 HERRAMIENTA PARA TRATAMIENTOS DE ESCASO RIESGO (FACILITA)
DESTINAR FMI Está enmarcada como una empresa que realiza tratamientos de datos personales que, implicarían escaso nivel de riesgos por que sus tratamientos son: tratamientos de datos de contacto de afiliados y empresas patrocinadoras, tratamiento de proveedores para facturación, y el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral. También es de anotar que DESTINAR FMI no maneja datos sensibles de sus afiliados o terceros en su gestión de su objeto social. La anterior evaluación fue realizada con la herramienta FACILITA que pone a disposición del público la Agencia Española para la Protección de Datos en su sitio web, en la cual dictamino que DESTINAR FMI tiene un escaso nivel de riesgos. Adicionalmente, con el objetivo de poder determinar qué tipo de tratamientos pueden considerarse de alto riesgo, se analizó varios criterios que pueden evidenciar que DESTINAR FMI no tiene un elevado riesgo inherente a las actividades de tratamiento. El anexo 3 análisis de la necesidad de la realización de una EIPD de este documento se sintetizan en la siguiente tabla:
TIPO DE TRATAMIENTO
DESCRIPCIÓN
Valoraciones y análisis, incluidos la elaboración de perfiles y predicciones, especialmente de “aspectos relacionados con Evaluación o scoring el desempeño del interesado en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, ubicación o movimientos”. Procesamiento que tiene como objetivo la toma de decisiones sobre sujetos que Toma de decisiones producen “efectos legales sobre la persona automatizada con efecto física” o que “de manera similar afecta legal o similar significativamente a la persona física”. Por ejemplo, si el procesamiento puede conducir a la exclusión o discriminación de las personas. Procesamiento utilizado para observar o controlar a los interesados, incluidos los datos Monitorización sistemática recopilados a través de redes o un sistema de control de un área de acceso público. Actividades de tratamiento con categorías especiales de datos personales, por ejemplo, Datos confidenciales o de información sobre las opiniones políticas de naturaleza altamente los individuos o registros médicos, así como personal datos personales relacionados con condenas penales o delitos. Actividades de tratamiento que implican la 23
MANEJO EN DESTINAR
NO
NO
NO
NO NO
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 24 de 68 TIPO DE TRATAMIENTO
DESCRIPCIÓN
MANEJO EN DESTINAR
Coincidencia o combinación de conjuntos de datos. Por combinación de conjuntos ejemplo, procedentes de dos o más de datos actividades de tratamiento de datos realizadas para diferentes propósitos y/o por diferentes responsables del tratamiento de una manera que exceda las expectativas razonables del sujeto de datos.
Datos relativos a personas vulnerables
las
Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas
Los sujetos de datos vulnerables pueden incluir menores, segmentos más vulnerables de la población que requieren protección especial (personas con enfermedades mentales, solicitantes de asilo o ancianos, pacientes, etc.). Actividades de tratamiento realizadas mediante el uso de tecnología innovadora que pueda implicar nuevas formas de recopilación y uso de datos, posiblemente con un alto riesgo para los derechos y las libertades de las personas. Por ejemplo, la combinación del uso de la huella dactilar y el reconocimiento facial para mejorar el control del acceso físico, etc. Operaciones de procesamiento que tienen como objetivo permitir, modificar o rechazar el acceso de los interesados a un servicio o la entrada en un contrato.
Cuando el procesamiento en sí mismo “impide que los interesados ejerzan un derecho o utilicen un servicio o un contrato” Tratamientos sujetos a un Si a los tratamientos evaluados se les aplica código de conducta que lo un código de conducta que exige su requiere cumplimiento también debe ser objeto de la evaluación. Tabla No. 8 Tipos de Tratamiento de necesidad de la realización de una EIPD
NO
NO
NO
NO
7.5 CONTEXTO DEL TRATAMIENTO 7.5.1 CICLO DE VIDA DE LOS DATOS
El siguiente formulario recoge toda información para permitir una adecuada identificación de amenazas y valoración de los riesgos a los que están expuestos los datos de carácter personal afectados.
CICLO DE VIDA DE LOS DATOS EN LAS 24
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 25 de 68
OPERACIONES DEL TRATAMIENTO
ELMENTOS QUE INTERVIENEN LAS OPERACIONES DEL TRATAMIENTO
Captura datos
de
Formularios web y físicos
Clasificación / Almacenamient o
Uso / Tratamiento
Cesión o transferencia de los datos a un tercero para su tratamiento
Destrucción
NA
Permanente en Archivo Activo o Inactivo
Datos tratados
Ver Anexo 2
Actualizar BD Fondago. Formularios físicos se guardan el archivo central. Ver Anexo 2
Intervinientes involucrados
Ver Anexo 4
Ver Anexo 4
Ver Anexo 4
NA
Ver Anexo 4
Fondago Excel
Fondago Excel
Fondago Excel
Hosting
NA
Actividades del proceso
Tecnologías intervinientes
Ver Anexo 2
NA
Ver Anexo 2
Tabla No. 9. Plantilla De Descripción De Las Actividades De Tratamiento
Roles Interesados
AFILIADOS, PROVEEDORES, EMPRESAS PATROCINADORAS Y EMPLEADOS Responsable del tratamiento GERENCIA Encargados de tratamiento ANALISTA DE TI Terceras partes involucradas NINGUNO Descripción sistemática de las operaciones y finalidades del tratamiento Principales transferencias / envíos de Hosting. datos: Flujos de datos entre sistemas Fondago – Excel Productos o servicios generados por Cálculos Excel procesamiento de los datos Procedimiento para cumplir el deber de GC-PD03_PROCEDIMIENTO_ATENCION_ información, en caso de que se recojan AFILIADO los datos directamente del interesado GC-PD01_GESTION_NUEVAS_EMPRESAS Procedimiento para la solicitud de GC-PD01_GESTION_NUEVAS_EMPRESAS consentimiento, en caso de que se GTI-MP02_PoliticaProteccionDatosDFMI recojan los datos directamente del interesado Procedimiento para el ejercicio de los GTI-MP02_PoliticaProteccionDatosDFMI derechos por parte de los interesados Tabla No. 10 Descripción de las operaciones y finalidades 25
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 26 de 68 7.5.2 ANALIZAR LA NECESIDAD Y PROPORCIONALIDAD DEL TRATAMIENTO Después de describir en detalle el ciclo de vida de los datos asociados a los tratamientos, se efectúa el análisis de la proporcionalidad de las actividades de tratamiento y se plasman las siguientes conclusiones: a) Los datos recolectados validan la finalidad que se ha documentado para el tratamiento. La disposición final de los datos es su almacenamiento, para cumplir con la relación comercial con los interesados. b) Se identificaron los datos que se van a tratar para los tratamientos descritos y se determina que todos ellos son necesarios para cumplir con la finalidad con la que se recogen c) Se identifica el origen o la fuente de los datos como son afiliados, empresas patrocinadoras, proveedores, empleados y candidatos. d) Desde punto de vista de licitud del tratamiento se identifica que DESTINAR FMI: i. Cuenta con el consentimiento del interesado para los fines específicos del tratamiento. ii. Que el tratamiento es necesario para la ejecución de la relación comercial y que el interesado libremente acepta el tratamiento para dar cumplimiento a la ley. iii. Que el tratamiento es necesario para proteger los intereses vitales de los interesados. iv. Que el tratamiento hace prevalecer los intereses o los derechos y libertades fundamentales del interesado que requiere la protección de datos personales. v. Que la licitud del tratamiento es el consentimiento del interesado, DESTINAR FMI garantiza y puede demostrar que ha obtenido el consentimiento inequívoco y expreso del interesado. e) Desde punto de vista de necesidad y proporcionalidad del tratamiento se identifica que DESTINAR FMI: i. respeta el principio de “minimización de datos”, es decir, se establece que los datos personales son “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que serán tratados”. Durante la definición del mismo, se valida qué los datos recolectados son estrictamente necesarios para realizar las actividades de tratamiento en función de las finalidades previstas. ii. El plazo de conservación se limita a un mínimo estricto según las leyes, la política de archivo y tablas de retención documental. iii. Las actividades de tratamiento son proporcionales a las finalidades previstas.
26
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 27 de 68 7.6 GESTION DE RIESGOS 7.6.1 IDENTIFICACION DE AMENAZAS
DESTINAR FMI determina efectuar la identificación de amenazas tomando como el eje central las dimensiones de seguridad de la información (Autenticidad (A), integridad (I), disponibilidad (D) y confidencial (C)), teniendo en cuenta los activos de nuestro sistema de información y el ciclo de vida de los datos. El catálogo de amenazas analizado es el que provee MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información y el de la agencia de protección de datos de España
Tipo de amenaza
Acceso ilegítimo a los datos
Modificación no autorizada de los datos
Amenaza Perdidas de dispositivos Móviles y/o equipos portátiles(C) Fuga de información (C) Acceso intencionado por parte de personal no autorizado Ataques intencionados (Hacking, suplantación de identidad, etc.) Uso ilegítimo de datos Personales Alteración accidental de la información (I)
Ataque para la suplantación de identidad (C,A,I) Errores en los procesos de recopilación y captura de información Modificación no autorizada de datos intencionada Uso ilegítimo de datos Personales Errores y fallos no
¿Qué preguntas se pueden formular para identificar la amenaza? ¿Los dispositivos móviles y de almacenamiento están cifrados? ¿Existen métodos para extraer la información durante la operación de tratamiento? ¿Está expuesta la información al acceso por parte de terceros no autorizados? ¿Existe un mecanismo para dar acceso a los datos únicamente al personal autorizado? ¿La operación de tratamiento es susceptible de ataques de hacking? ¿Es susceptible de ataques de phishing o de otros métodos de suplantación de identidad? ¿Existe una adecuada gestión de la configuración de los parámetros de seguridad de los elementos (elementos de red, SO y BBDD) ¿Existe una base legitimadora para la actividad de tratamiento? ¿las finalidades de las actividades de tratamiento son necesarias y proporcionales? ¿Existen credenciales o mecanismos de control que limiten el acceso a personal no autorizado? ¿Se cuentan con controles que puedan detectar cuando un atacante intenta o consigue hacerse pasar por un usuario autorizado? ¿Se revisa periódicamente la actividad realizada por los usuarios cuando acceden a los sistemas? ¿Existen controles sobre la integridad de la información durante el proceso de captura de datos? ¿se identifica adecuadamente al interesado que proporciona los datos? 27
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 28 de 68 Tipo de amenaza
Amenaza intencionados por parte de usuarios y/o administradores (C,D, I, )
Eliminación de los datos
Eliminación de datos por errores de configuración
Corte de suministro eléctrico o fallos en servicios de Comunicaciones (D) Error humano o ataque intencionado que provoca borrado o pérdida de datos (D) Desastres naturales o sucesos de fuego o agua (D) Contaminación mecánica (D) Corte del suministro eléctrico (D) Degradación de los soportes de almacenamiento de la información (D) Errores de monitorización (log) (I) Errores de configuración (I)
Difusión de software dañino (D, I,C ) Destrucción de
¿Qué preguntas se pueden formular para identificar la amenaza? ¿Los datos son modificables únicamente por el personal autorizado? ¿La actividad de tratamiento sobre los datos son acordes a las finalidades para las cuales existe una base legitimadora? ¿se puede realizar un perfilado o una operación de tratamiento que no esté alineada con las finalidades de la operación de tratamiento? ¿Se pueden detectar equivocaciones de las personas cuando usan los servicios, datos, etc.? ¿Se controlan las equivocaciones de personas con responsabilidades de instalación y operación? ¿Un fallo de suministro eléctrico puede implicar la pérdida de datos? ¿Un fallo en los servicios de comunicaciones puede ocasionar una pérdida de datos? ¿Los datos pueden ser eliminados únicamente por el personal autorizado? ¿Existen copias de seguridad? ¿Están los sistemas que almacenan datos en ubicaciones expuestas a la posibilidad de que se produzca un desastre natural? ¿Existe réplica de los datos en diferentes ubicaciones? ¿Se efectúan mantenimientos periódicos de los equipos de cómputo que eviten polvo, suciedad? ¿Existen sistemas alternos de suministros de electricidad como ups? ¿Existe política de manejo de backup de la información de los interesados? ¿Existe un inadecuado registro de actividades? (falta de registros, registros incompletos, registros incorrectamente fechados, registros incorrectamente atribuidos etc) ¿Existe una constante modificación de los parámetros de los sistemas? ¿Existen privilegios de acceso que eviten el ingreso a las opciones de configuración? ¿Existen herramientas que eviten propagación inocente de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.? ¿Existe política de para la destrucción de 28
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 29 de 68 Tipo de amenaza
Amenaza información (D)
Pérdida de equipos (D, C) Ausencia de canales de comunicación con los Derechos y libertades de interesados los Inadecuada Interesados autorización para el manejo de datos personales Tabla No. 11 Identificación de amenazas
¿Qué preguntas se pueden formular para identificar la amenaza? backup de la información de los interesados? ¿Existen copias de seguridad para la recuperación en caso de pérdida accidental de información?. ¿Existen un protocolo en caso de pérdida de equipos? ¿Existen procedimientos para el ejercicio de derechos de los intervinientes? ¿El tratamiento de datos efectuado por Destinar es legítimo?
7.6.2 IDENTIFICACION DE RIESGOS En la siguiente tabla que reúne los riesgo identificados después del análisis de las amenazas. Para llegar a este resultado se consideró todos los posibles escenarios con los que el riesgo se haría efectivo, incluidos aquellos que impliquen un mal uso o abuso de los datos y las alteraciones técnicas o del entorno.
Tipología de riesgo
Riesgos Modificación o alteración de datos personales no Integridad de los datos intencionada personales
Protección de los datos personales
Derechos y libertades de los Interesados
Pérdida o borrado no intencionado de datos personales Disponibilidad de los Corte de suministro eléctrico o fallos en servicios datos personales de Comunicaciones que produzcan perdida de datos (D) Pérdida de datos almacenados en el sistema (violación de la disponibilidad) Confidencialidad de los Acceso no autorizado a los datos personales datos personales Perdidas de dispositivos Móviles y/o equipos portátiles Garantizar el ejercicio Ausencia de procedimientos para el ejercicio de de los derechos de los derechos interesados Garantizar los Uso ilegítimo de datos personales (vulneración de 29
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 30 de 68 principios relativos al los derechos y libertades) tratamiento Tabla No. 11 Identificación de Riesgos
7.6.3 METODOLOGIA UTILIZADA PARA LA EVALUACION DE RIESGOS A continuación, se presenta la metodología escogida por DESTINAR FMI para la valoración de la probabilidad e impacto basada en cuatro niveles (de acuerdo a la ISO 29134). 7.6.3.1 EVALUAR LOS RIESGOS A la hora de definir los criterios para cuantificar los riesgos es importante destacar que, la diferencia principal entre la EIPD y los análisis de riesgos tradicionales que una entidad suele realizar, reside en que la EIPD se realiza desde “el punto de vista del interés del sujeto” mientras que los análisis de riesgos se realizan desde el punto de vista del “riesgo para la entidad”.
7.6.3.2 RIESGO INHERENTE El riesgo inherente surge de la exposición que se tenga a la operación de tratamiento en particular y de la probabilidad de que la amenaza asociada al riesgo se materialice. El cálculo del riesgo inherente se realiza mediante la siguiente fórmula:
Riesgo = Probabilidad X Impacto Escala de posibles valores para: el cálculo de la probabilidad:
el cálculo del impacto:
Probabilidad despreciable: La posibilidad de Impacto despreciable: El impacto es muy ocurrencia es muy baja (por ejemplo, un bajo (por ejemplo, un evento cuyas evento que puede pasar de forma fortuita). consecuencias son prácticamente despreciables sin impacto sobre el interesado). Probabilidad limitada: La posibilidad de Impacto limitado: El impacto es bajo (por ocurrencia es baja (por ejemplo, un evento ejemplo, un evento cuyas consecuencias que puede pasar de forma ocasional). implican un daño menor sin impacto relevante sobre el interesado). Probabilidad significativa: La posibilidad de Impacto significativo: El impacto es alto ocurrencia es alta (por ejemplo, un evento que (por ejemplo, un evento cuyas 30
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 31 de 68 Escala de posibles valores para: el cálculo de la probabilidad: puede pasar con bastante frecuencia). Probabilidad máxima: La posibilidad de ocurrencia es muy elevada (por ejemplo, un evento cuya ocurrencia se produce con mucha frecuencia). El impacto se determina en base a los posibles daños que se pueden producir si la amenaza se materializa.
el cálculo del impacto: consecuencias implican un daño elevado con impacto sobre el interesado). Impacto máximo: El impacto es muy alto (por ejemplo, un evento cuyas consecuencias implican un daño muy elevado un impacto crítico sobre el interesado).
Tabla No. 12 Riesgos Inherentes El impacto asociado a un riesgo puede ser ocasionado por daños de diferente índole. Para evaluar el impacto asociado a un riesgo, se recomienda realizar la evaluación considerando tres dimensiones diferentes de posibles daños que se pueden producir sobre el interesado:
Tipo de Daño Daño físico: Daño material: Daño moral:
Descripción Conjunto de acciones que pueden ocasionar un daño en la integridad física del interesado. Conjunto de acciones que pueden ocasionar pérdidas económicas, de patrimonio, de empleo, etc. Conjunto de acciones que pueden ocasionar un daño moral o mental en el interesado, como una depresión, fobias, acoso, etc.
7.6.3.3 DEFINICION DE CALIFICACION DE PROBABILIDAD E IMPACTO Para poder determinar el riesgo inherente, es necesario asignar valores a cada uno de los niveles de las escalas de probabilidad e impacto. La escala de valores comprende desde el valor 1, en el caso de que la magnitud sea despreciable, hasta el valor 4 en el caso donde la magnitud es máxima:
31
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 32 de 68
Si se enfrentan la probabilidad y el impacto, se forma una matriz de riesgo, tal y como se puede ver a continuación:
Al establecer un valor numérico a la probabilidad y otro valor al impacto, según la escala de valores definida, se obtiene una posición en la matriz de riesgos que se corresponde con el riesgo inherente resultado de aplicar la fórmula de estimación del riesgo. El resultado del riesgo inherente se puede considerar en los siguientes niveles en función del valor obtenido:
Considerando los criterios establecidos, si se deseara valorar un riesgo, por ejemplo, al añadir valores numéricos a la probabilidad y al impacto, ante un riesgo con probabilidad limitada (2) e impacto significativo (3), el nivel de riesgo inherente será medio (2 x 3 = 6). 7.6.3.4 CÁLCULO DE RIESGO INHERENTE
Durante la fase de evaluación de riesgos, se realizó este ejercicio para cada una de las amenazas identificadas con más peso para los interesados, considerando los riesgos asociados, el impacto y la probabilidad que se puede materializar; determinando su riesgo inherente.
Amenaza
Riesgo
Probabilidad
Impacto
Riesgo inherente
Alteración y/o borrado accidental de la información (I)
Modificación o alteración de datos personales no intencionada
Despreciable
Significativo
Medio
3
3
32
1
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 33 de 68 Riesgo
Probabilidad
Impacto
Riesgo inherente
Acceso no autorizado por parte de terceros a datos de cualquier interesado (violación de la confidencialidad)
Limitada
Significativo
Alto
3
6
Corte de suministro eléctrico o fallos en servicios de comunicaciones(como consecuencia del fallo se produce un periodo temporal en el cual los datos no han sido almacenados)
Pérdida de datos almacenados en el sistema (violación de la disponibilidad)
Despreciable
Operación de tratamiento no autorizada (derivada del uso de los datos para una finalidad sin base legitimadora, por ejemplo, acciones de marketing indirecto sobre productos de salud) Ataque cibernético (malware que modifica los datos almacenados en la nube o servidores internos)
Uso ilegítimo de datos personales (vulneración de los derechos y libertades)
Ataque intencionado que provoca la indisponibilidad de los datos (como consecuencia de un ataque de cifrado de las bases de datos que inhabilita las mismas)
Amenaza Fuga de información (derivada de la Perdidas de dispositivos Móviles y/o equipos portátiles) Ataque para la suplantación de identidad (C,A,I)
2
1
Limitado
Bajo
2
2
Despreciable
Limitado
Bajo
1
2
2
Modificación de datos no autorizada por parte de terceros (violación de la integridad)
Despreciable
Limitado
Bajo
1
2
2
Pérdida de datos almacenados en el sistema (violación de la disponibilidad)
Despreciable
Limitado
Bajo
1
2
2
Tabla No. 13 Cálculo de Riesgo Inherente 9 8 6
7.6.3.5 TRATAMIENTO ANTE LOS RIESGOS La última etapa del proceso de gestión de riesgos consiste en definir la respuesta o las medidas necesarias para tratar el riesgo y reducir su nivel de exposición. Tratar un riesgo es el resultado de definir y establecer medidas de control para disminuir la probabilidad y/o el impacto asociados al riesgo inherente de una operación de tratamiento. El análisis de riesgo residual arroja que la fuga de información (valorado como Alto) y la alteración o borrado accidental de la información (valorado como Media), es donde DESTINAR FMI, debe hacer énfasis con las Medidas de Control para mitigar el riesgo, obviamente sin descuidar la riesgos valorados como Bajo.
IDENTIFICACION DE RIESGOS Tipología de riesgo Protección de los datos personales
Riesgos
Medidas de control
Modificación o alteración Segregación de funciones Integridad de los de datos personales no mediante perfiles de acceso datos personales intencionada Controles de monitorización de amenazas en red 33
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 34 de 68 IDENTIFICACION DE RIESGOS Tipología de riesgo
Riesgos
Medidas de control
Pérdida o borrado no Copias de seguridad intencionado de datos Almacenamiento en dos personales ubicaciones diferentes
Disponibilidad de los datos personales
Corte de suministro Instalación de ups eléctrico o fallos en servicios de Comunicaciones que produzcan perdida de datos (D) Pérdida de datos Copias de seguridad almacenados en el Almacenamiento en dos sistema ubicaciones diferentes (violación de la disponibilidad) Acceso no autorizado a los datos personales (fuga de información)
Mecanismos de control de acceso Cláusulas de confidencialidad en los contratos a empleados y terceros.
Perdidas de dispositivos Móviles y/o equipos portátiles
Mecanismos de control de acceso
Confidencialidad de los datos personales
Derechos y libertades de los Interesados
Garantizar el Ausencia de Procedimientos y canales ejercicio procedimientos para el para el ejercicio de de los derechos de ejercicio de derechos derechos los interesados Divulgación de la política de protección de datos de Destinar FMI Garantizar los Uso ilegítimo de datos Cláusulas informativas y principios personales (vulneración base legitimadora para el relativos al de los derechos y tratamiento de datos tratamiento libertades) Monitorización del uso de datos personales Contratos de confidencialidad con terceros
Tabla No. 14 Identificación Riesgo 34
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 35 de 68
8. REQUISITOS DE FORMACION Y EDUCACION DESTINAR FMI establece una formación y educación permanente y programa de actualización periódico para todo el personal, puesto que todos los funcionarios DESTINAR FMI, deben tener la sensibilización en el tratamiento de los datos personales de los afiliados. INTERESADOS TODO EL PERSONAL
PROGRAMACION TRIMESTRAL Fecha Limite: 30/3/2019 TODO EL PERSONAL TRIMESTRAL Fecha Limite: 30/6/2019 TODO EL PERSONAL TRIMESTRAL Fecha Limite: 30/9/2019 TODO EL PERSONAL TRIMESTRAL Fecha Limite: 30/12/2019 Tabla No. 15 Requisitos de Formación
TEMA Explicación de la ley 1581, y política y manual de tratamiento de datos personales Protocolos de respuesta en el manejo de violaciones e incidentes Reclamos presentados por los Titulares e incidentes de seguridad A Escoger
9. PROTOCOLOS DE RESPUESTA EN EL MANEJO DE VIOLACIONES E INCIDENTES El objetivo a la hora de tratar un incidente es su rápida detección, es aquí donde entra la actuación de los funcionarios DESTINAR FMI, los cuales, deben saber en todo momento a quién dirigirse dependiendo del caso y donde registrar el incidente. El objeto de definir el protocolo es conseguir que cualquier usuario pueda identificar un incidente de seguridad de la información y saber cómo registrarlo. 9.1 INCIDENTES DE SEGURIDAD Un incidente de seguridad es un único evento o una serie de eventos de seguridad de la información, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones de DESTINAR FMI y de amenazar la seguridad de la información. Un evento de seguridad es la ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información, un fallo de las salvaguardas o una situación desconocida hasta el momento y que puede ser relevante para la seguridad. Para evitar incidentes de seguridad DESTINAR cuenta con mecanismos preventivos MEDIDA PREVENTIVA Filtrado Web
a.) b.) c.) d.)
¿QUE SE PRETENDE EVITAR? Infecciones por malware. Fugas de información. Accesos ilegales o pedófilos. Acceso a urls de Phishing. 35
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 36 de 68 MEDIDA PREVENTIVA Software Antivirus Solución Antispam Política de Seguridad
Normas de uso
¿QUE SE PRETENDE EVITAR? Proteger la integridad del software y de la información. SPAM. Acceso a urls de Phishing. Infecciones por malware. Proporcionar indicaciones para la gestión y soporte de la seguridad de la información de acuerdo con las directrices de la Política de Seguridad de la información, la legislación y las normativas aplicables. Protección de registros y documentos de la CARM Mal uso del puesto de trabajo en el entorno laboral. Mala implementación en la política de uso de contraseñas. Mal uso del correo electrónico corporativo. Mal uso del acceso a Internet.
Buenas prácticas (Área Evitar incidentes de seguridad en general de seguridad Tabla No. 15 Incidentes de Seguridad https://glpi-project.org/features/
9.2 Alertas e incidentes de seguridad Los activos, las amenazas y las vulnerabilidades se combinan para generar riesgos. Cuando un riesgo se materializa, ocurre un incidente de seguridad, el cual se traduce en una violación a las medidas de seguridad. Riesgo
Amenaza
Acción o evento no deseado Es o genera
Vulnerabilidades de los archivos que trata de explotar
Para identificar un incidente de seguridad, se requiere de la detección y/o registro de alertas de seguridad, los cuales son advertencias respecto a cambios en los sistemas de tratamiento. Sin embargo, dichas alertas no siempre implican que haya ocurrido un incidente de seguridad. Además, si no se tienen suficientes medidas de seguridad, puede ocurrir un incidente sin que éste se detecte. A continuación, se presenta una lista de alertas de seguridad, que pueden advertir de una anomalía o cambio no deseado en los activos: 36
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 37 de 68 Ejemplos de alertas de seguridad Entorno
Tipo de alerta
Alarmas para desastres como incendios o terremotos. Alarmas automatizadas contra robos o intrusos en instalaciones. Alertas del personal de vigilancia o a través de circuito cerrado de video. Aviso de desaparición o extravío de equipos de cómputo, medios de Físico almacenamiento o documentos. Avisos del personal, clientes, proveedores, autoridades o reportes en medios de comunicación masivos. Anomalías o accesos no autorizados identificados en bitácoras de los sistemas de tratamiento físicos. Notificaciones sobre software malicioso o vulnerabilidades técnicas descubiertas, preferentemente de fuentes confiables como agencias nacionales o firmas especializadas en riesgos o seguridad. Alertas de sistemas automatizados como firewalls, antivirus, filtros de contenido, sistemas de detección de intrusos (IDS, por sus siglas en Electrónico inglés) o gestores de seguridad de la información y eventos (SIEM, por sus siglas en inglés). Anomalías o accesos no autorizados identificados en bitácoras de los sistemas de tratamiento automatizados, medios de almacenamiento y equipos de cómputo. Tabla No. 16 Ejemplos de alertas de seguridad Tomando como referencia la tabla anterior, las alertas de seguridad pueden ser manuales o automatizadas, y originarse a través de distintas fuentes, entre las más comunes están: a) Clientes o titulares de los datos personales, b) Usuarios de los sistemas de tratamiento, c) Subcontrataciones, d) Analista de tecnologías de la información internos o de proveedores, e) Comité de protección de datos personales, f ) Mesa de servicio o departamentos de atención al cliente, g) Proveedores de servicios de telecomunicaciones e Internet, h) Unidades de negocio, i) Medios masivos de comunicación, y j) Sitios web especializados. Por ejemplo, derivado de la queja de un afiliado, un responsable podría enterarse que los datos personales de sus clientes se están utilizando por un tercero no autorizado. O bien, que una organización se entere de que sus sistemas de tratamiento han sido comprometidos o hackeados, a través de una publicación en medios masivos de comunicación. Cuando se identifica o reporta una alerta de seguridad que involucra información comprometida o daño a los activos, se habla de un incidente de seguridad. 37
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 38 de 68 En la siguiente tabla se enlistan diferentes categorías de incidentes de seguridad:
Ejemplos de alertas de seguridad Categoría
Ejemplos
Desastre natural (más allá del control humano) Inestabilidad social Daño físico (accidental o deliberado) Falla de infraestructura Falla técnica Software malicioso
Ataques técnicos
Incumplimiento reglas o políticas (accidental deliberado) Información dañada
Terremoto, erupción de un volcán, tsunami, huracán, etc.
Huelgas, terrorismo, guerra. Incendio, inundación, malas condiciones ambientales (contaminación, polvo, corrosión, congelamiento), radiación o pulso electromagnético, destrucción parcial o toral de medios de almacenamiento físico o electrónico. la Falla en el suministro de servicios como: energía, agua, telecomunicaciones y redes, aire acondicionado. Fallas del hardware, mal funcionamiento del software, sobrecarga o saturación en el uso de los sistemas, falta de mantenimiento.
Diferentes categorías de software malicioso (malware) como virus, troyanos, software de acceso y control remoto (RAT, por sus siglas en inglés), amenazas persistentes avanzadas (APT, por sus siglas en inglés), Ransomware. Explotación de vulnerabilidades de la configuración, protocolos o programas, normalmente a la fuerza. Escaneo de redes, utilización de puertas traseras en el software, intentos de acceso no autorizado, inferencia de contraseñas, ataques de denegación de servicio. de Uso no autorizado de activos, uso de activos autorizados, pero para finalidades no autorizadas, uso de software, o dispositivos no o permitidos, instalación de programas o aplicaciones no autorizadas o ilegales, copia o sustracción de documentos o información no autorizada. Sobre escritura accidental, error de captura o de almacenamiento.
Intercepción de Espionaje, intervención de comunicaciones, ingeniería social, robo, información pérdida o extravío de información. Divulgación de Difusión en medios masivos de comunicación de contenido ilegal, contenido malicioso, abusivo o que pueda dañar los derechos morales o perjudicial patrimoniales de las personas. Tabla No. 17 Categorías de incidentes de seguridad
38
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 39 de 68 Relación entre riesgos, incidentes y alertas de seguridad
Riesgo materializado
9.3 NOTIFICACIÓN PERSONALES
Incidente Seguridad
DE
Alerta de Seguridad
Es un
que se detecta a través de
VULNERACIONES
A
LA SEGURIDAD DE
LOS
DATOS
9.3.1 NOTIFICAR UN INCIDENTE DE SEGURIDAD POR LOS FUNCIONARIOS Una vez detectado un incidente de seguridad por los funcionarios de DESTINAR FMI, estos incidentes se deben reportar al Analista de TI, a través del envió de un correo electrónico, solicitando intervención técnica y para que el Analista de TI, logre documentar el caso y así llevar una Base de Conocimiento de incidentes de seguridad. El Analista de TI debe ejecutar y seguir el manual de protección de datos personales para tratar los incidentes de seguridad de origen técnico. A su vez, derivado de una vulneración de seguridad, los responsables tienen el deber de analizar las causas por las cuales se presentó ésta, e implementar las medidas de seguridad preventivas y correctivas para evitar que incidentes similares se repitan. 9.3.2 NOTIFICAR UN INCIDENTE DE SEGURIDAD A LOS TITULARES DESTINAR FMI debe notificar a los titulares (i) en el menor tiempo posible, (ii) cuando ya se tenga información concreta del incidente y (iii) cuando ya no exista exposición de los activos involucrados en la vulneración. Dentro del proceso de respuesta a incidentes, esto ocurre al final de la etapa de Contención, o bien al inicio de la etapa de Mitigación. El método recomendado de notificación es el directo con los titulares, es decir por teléfono, correo electrónico o en persona. En caso de que exista urgencia por contactar al titular, puede resultar oportuno utilizar más de un medio de contacto a la vez. Se puede optar por la notificación indirecta a través de sitios web o medios de comunicación masivos, solamente cuando la notificación directa pueda causar más afectaciones al titular, sea muy costosa o no se tenga información de contacto. La notificación debe ser independiente y personalizada, y no debe incluir material o información no relacionada con el incidente de seguridad, ya que podría causar confusión. Si derivado de la investigación de un incidente se identifica un posible delito, se debe dar parte a la autoridad competente. El contenido de una notificación a los titulares puede variar dependiendo de la vulneración ocurrida. 39
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 40 de 68 Sin embargo, la información que proporcione el responsable debe servir para que el titular entienda el incidente y pueda prevenir una mayor afectación, la notificación debe considerar al menos: a) Descripción de la vulneración: Se debe explicar de manera muy sencilla y general el incidente ocurrido, en qué consistió, así como el periodo en el que se desarrolló. No se deben dar detalles o incluir información que revele vulnerabilidades o fallas específicas en los sistemas de tratamiento, solamente describir de las circunstancias generales en torno a la vulneración ocurrida, que ayuden al titular a entender el impacto del incidente b) Datos personales involucrados: Una descripción de los datos personales afectados en el incidente. c) Recomendaciones a los titulares: El listado de acciones que puede realizar el titular para minimizar los efectos adversos de la vulneración, en otras palabras dar las recomendaciones al titular acerca de las medidas que éste puede adoptar para protegerse d) Acciones correctivas o de mitigación: Una descripción general de las acciones correctivas realizadas de forma inmediata y las acciones correctivas llevadas a cabo para evitar que incidentes similares se repitan. e) Información de contacto: Datos de la Directora Comercial o su encargado para atender dudas y proporcionar información adicional del incidente. f ) Fuentes de información adicional: Referencias o documentos adicionales de consulta para apoyar a los titulares ante situaciones específicas, Ej: el robo de identidad. 9.3.3 NOTIFICAR UN INCIDENTE DE SEGURIDAD ANTE LA SIC Ver el numeral 15 donde se menciona las tareas de novedades ante la SIC.
9.3.4 CONSIDERACIONES DE UN INCIDENTE DE SEGURIDAD Contar con una bitácora de las vulneraciones a la seguridad de los datos personales puesto que estas son incidentes de seguridad, en la que se describa: 1. En qué consistió la vulneración. 2. La fecha en la que ocurrió. 3. El motivo o causa de la vulneración. 4. Las acciones correctivas implementadas de forma inmediata y a largo plazo y, efectuar la actualización del documento de seguridad correspondiente.
Finalmente, las revelaciones son incidentes de seguridad que exponen la información a través de Internet o en medios masivos de comunicación. Las revelaciones de información pueden resultar en una vulneración de seguridad al exponer datos personales a un sin número de terceros. Cuando se identifica que una revelación expone datos personales, el responsable debe tomar todas las medidas que estén a su alcance para mitigar la difusión o publicación de los mismos. 40
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 41 de 68 Por ejemplo, solicitar la baja de contenido al administrador de una página web, así como pedir la eliminación de resultados de un motor de búsqueda, a fin de minimizar el daño a los titulares. De esta manera, es posible observar que las vulneraciones de seguridad son incidentes de seguridad que involucran datos personales, las cuales podrían resultar en revelaciones de información, como se muestra en la figura siguiente:
Incidentes de seguridad que comprometen datos personales
Incidente de Seguridad
Datos Personales
Que involucra
Vulneración de Seguridad
Es una
Medios Masivos
y expuesta en
Revelación
es una
9.4 TIPOS DE INCIDENTES DE SEGURIDAD Desde el punto de vista de seguridad pueden existir incidentes cuando se materialice un riesgo, en el evento que falle las medidas preventivas descritas en el numeral 9.1. A continuación se detallan aquellas que tienen que ver más con el usuario final, que con incidentes propios de tecnología. 9.4.1 Incidentes relacionados con el servicio del correo electrónico En relación con el correo electrónico vamos a distinguir tres casos, SPAM, Phishing y correos Electrónicos con datos adjuntos o urls que contengan malware, cuando se reciba un correo electrónico el usuario debe plantearse las siguientes preguntas: 1. ¿Conozco al remitente? Si no se conoce al remitente debe descartar el correo electrónico 2. ¿Esperaba el correo? Si es de un remitente conocido pero no esperaba dicho correo, tenga precaución de lo que en el correo se pida y mucho menos descargue cualquier adjunto que pudiera ir en el correo, pueden haber suplantado la identidad del remitente conocido y estar realizando un ataque en su nombre. 3. ¿Reconozco el archivo adjunto? Extensiones en archivos sospechosas exe, zip, rar, también extensiones combinadas txt.exe etc, aunque haya contestado a los numerales 1 y 2 afirmativamente elimine el archivo. 4. ¿Qué hacer si en el contenido del correo electrónico me envía una url? Por ningún motivo se debe dar click en url en el contenido del correo electrónico. En caso de duda; analizar el contenido con el Analista de TI, para determinar si es un acceso confiable al que enruta la url. 41
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 42 de 68 Para ahondar en este tema también puede consultar el Anexo 5 al final de este documento. 9.5 Etapas del plan de respuesta a incidentes de seguridad A continuación, se desarrollan las seis etapas mínimas para generar y documentar un plan de respuesta a incidentes. El plan de respuesta a incidentes se enfoca en la mejora continua, a través de estándares internacionales en la materia y de innovaciones tecnológicas.
9.5.1 Preparación 9.5.1.1 Consideraciones generales El objetivo de esta etapa es desarrollar y mantener políticas, controles de seguridad y otros mecanismos que permitan actuar ante los incidentes de seguridad planteados anteriormente. “El plan de respuesta a incidentes requiere de medidas de seguridad previamente implementadas” En el mejor escenario, se recomienda el desarrollo de un Sistema de Gestión de Seguridad de Datos Personales, a fin de identificar los activos en los sistemas de tratamiento, así como los riesgos y medidas de seguridad existentes. Sin embargo, si no se cuenta con un sistema de gestión u otro proceso para la mejora continua de las medidas de seguridad, al menos se tienen que identificar los siguientes elementos que servirán como base del plan de respuesta, en caso de que se presente un incidente de seguridad, a saber: 1. Los activos que son relevantes para la organización. 2. Las medidas de seguridad que tienen los activos. 3. Las alertas de seguridad, asociadas con dichas medidas o controles. 4. Los propósitos de las medidas de seguridad para mitigar un incidente. Por ejemplo, para una organización que tiene bases de datos en computadoras conectadas a Internet, una lista sencilla con los elementos mencionados anteriormente podría verse así:
42
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 43 de 68
Inventario de preparación Propósito de la medida de seguridad ante un Incidente No aplica. El respaldo Se puede usar la copia de Copia mensual de por sí mismo no la base de datos en caso de la base de datos proporciona alertas. robo, pérdida o extravío de en un medio de la base de datos principal. Base de almacenamiento externo datos automatizada de los Alerta si el archivo se El antivirus notifica al titulares encuentra infectado o usuario de la falla en el dañado. archivo. Antivirus El antivirus puede intentar reparar el archivo dañado. Medida de Seguridad
Activo
Equipo cómputo
Alerta de Seguridad
Bloqueo contraseña
con Alerta si se han Bloquea el equipo en caso sobrepasado el número de que se sobrepasen los de intentos de acceso. intentos de acceso.
Guardia seguridad
de Alerta si el equipo de Iniciar la investigación cómputo ha sido respecto al activo sustraído sin desaparecido. autorización.
de
Tabla 3. Inventario de preparación ante incidentes. La tabla desarrollada anteriormente permite conocer: a) La relación que existe entre los activos, sus medidas de seguridad, las alertas que se proporcionan a través de dichas medidas, y su propósito, a fin de mitigar un incidente de seguridad. b) Los activos desprotegidos o carentes de medidas de seguridad para mitigar un incidente. La fase de preparación consiste en identificar e implantar medidas de seguridad, mientras no se presente un incidente, por ello se recomienda la implementación de un sistema de gestión que permita la mejora continua de la seguridad en una organización. 9.5.1.2 Respaldos o copias de seguridad La creación de respaldos o copias de seguridad es una medida particularmente importante, ya que permite a las organizaciones recuperar la información dañada, robada o destruida, así como recobrar la operación normal de sus sistemas de tratamiento, en otras palabras, se lleva a cabo lo siguiente: 43
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 44 de 68
• La recuperación de archivos o documentos. • La restauración completa de sistemas de tratamiento. Consultar GTI-PD01-IT01_InstructivoParalaCreaciondeCopiasdeSeguridad.docx, el cual expone las copias de seguridad que realiza DESTINAR FMI 9.5.1.3 Elementos para la respuesta a incidentes La gestión de incidentes se deberá asignar al comité de Datos Personales que deberá contar con políticas específicas, acceso a los activos y herramientas para el monitoreo y atención de las alertas de seguridad. En el numeral 3.1 se encuentra la lista de contactos a los cuales se debe acudir para abordar la atención de un incidente de seguridad. De manera general, algunos de los controles que se deben establecer para la gestión de incidentes son: Políticas: que respalden la creación y el funcionamiento del equipo de respuesta a incidentes. Elaboración del plan o estrategia: dependiendo de los mecanismos para detectar alertas de seguridad, se debe establecer una cadena de atención, revisión y aprobación de la mitigación de posibles incidentes de seguridad. Comunicación: Durante cualquier etapa de la atención de un incidente, se debe mantener comunicación entre los miembros del equipo de respuesta, y otras partes interesadas como la alta gerencia o autoridades. Documentación: Se deberá establecer un proceso y los formatos necesarios para documentar cada descubrimiento o acción realizada en atención a un incidente de seguridad. Es importante que esta documentación considere un almacenamiento ordenado y sistemático, que responda al qué, cómo, cuándo, dónde, y porqué de los incidentes de seguridad atendidos. Para mayor referencia, en el Anexo 1 de este documento se encuentran los formatos para la respuesta a un incidente. Control de acceso: El equipo de respuesta a incidentes debe de contar con las credenciales necesarias para tener acceso a cualquier activo involucrado en un incidente de seguridad. Es importante mencionar que, dependiendo del tipo de activo, el nivel de acceso deberá estar restringido al grado de conocimiento técnico para extraer información sobre el incidente. Por ejemplo, el administrador de redes debería ser la persona designada para apoyar con las alertas de seguridad en un equipo de cómputo, mientras que la asistente administrativa debería ser la encargado de documentar la falta de un expediente físico. Herramientas: Es altamente recomendable tener hardware y software destinados a atender una alerta de seguridad, y comenzar la mitigación en caso de confirmar un incidente. Dependiendo de los activos del responsable, y de las medidas de seguridad existentes, estas herramientas pueden incluir de manera enunciativa, más no limitativa, los siguientes elementos: antivirus portátiles, discos duros y memorias USB, software para analizar tráfico de red, así como, desarmadores y pinzas. Entrenamiento: Las organizaciones con equipos de respuesta a incidentes deben optar por proporcionar a su personal el debido entrenamiento, ya que conforme los sistemas de tratamiento se vuelven más complejos, éstos contienen más información y es común detectar un incremento en la ocurrencia de alertas de seguridad. 44
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 45 de 68 9.5.2 Identificación En esta etapa se detectan las alertas de seguridad y se determina si éstas son incidentes. Un solo evento no siempre es un indicador de un incidente, por ello se tienen que revisar si hay otras notificaciones o alertas, o bien el equipo de respuesta a incidentes debe buscar otros indicadores que den muestra de que los activos han sido afectados. Entre más información se pueda recabar, existirá mayor certeza respecto a la naturaleza del incidente. Existen alertas de seguridad cuya naturaleza refleja un incidente de manera evidente, y por lo tanto no requieren una investigación intensiva para pasar a la fase de contención. Por ejemplo, un evento en el que un empleado que de manera accidental derrama el café sobre documentos o equipo de cómputo, se puede catalogar de manera inmediata como un incidente. Sin embargo, una vez que se identifica un incidente, siempre es necesario buscar alertas adicionales a la que detonó la identificación, para determinar su alcance total. Por ejemplo, derivado de una auditoría se tiene conocimiento que se han extraviado los formatos de afiliación de algunos afiliados, esto ya es un evento que se puede catalogar como incidente, sin embargo, se tendría que realizar una revisión en el archivo a fin de identificar si otros expedientes han sido sustraídos. Se debe utilizar el formato de identificación de incidentes GTI-PD04F01_IdentificaciondeIncidentes para documentar una o más alertas que se consideren relevantes o que se relacionen con un incidente de seguridad. Se recomienda que al menos dos personas estén involucradas en la identificación de un incidente, una para evaluar el incidente e identificar activos que pudieran ser afectados, y otra dedicada a documentar y recabar evidencia. 9.5.3 Contención Cuando una alerta permite distinguir un incidente de seguridad, se procede a la fase de contención, a fin de limitar el alcance o impacto del incidente identificado. Durante la contención se tienen que aislar los activos afectados. Por ejemplo, si se trata de medios de almacenamiento físico, se aísla el entorno donde ocurrió el incidente como el archivero u oficina. O bien, si se trata de un medio de almacenamiento electrónico, se separan los equipos de cómputo afectados de la red, para evitar, por ejemplo, la propagación de una infección de software malicioso. Se deben utilizar los formatos de investigación y contención de incidentes (GTI-PD04F01_IdentificaciondeIncidentes.xlsx y GTI-PD04-F02_InvestigaciondeIncidentes) como referencia para el aislamiento de los activos, y posteriormente para la creación de los respaldos (de ser necesaria), y su puesta en operación, a fin de volver a un estado funcional en los sistemas de tratamiento en la organización. El aislamiento de sistemas y la puesta en operación de respaldos son acciones a corto plazo para reducir los efectos de un incidente. Para proseguir a la contención del incidente a largo plazo se deben identificar las vulnerabilidades explotadas en los activos, así como las medidas de seguridad que pudieron hacer falta, para su posterior implementación. 45
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 46 de 68
9.5.4 Mitigación (Erradicación) En esta etapa se realiza el tratamiento profundo del incidente de seguridad para minimizar la posibilidad de que éste se vuelva a repetir. La etapa de mitigación considera la creación de un plan de implementación de medidas de seguridad, por ejemplo, para reforzar la seguridad de los medios de almacenamiento físico, se deben mejorar las políticas y los controles de acceso físico, por ejemplo, mejores cerraduras. Para los medios de almacenamiento electrónico, la mitigación incluye actualizaciones de hardware y software, así como revisiones con herramientas automatizadas sobre los respaldos que se pusieron en operación. Cuando se cuenta con equipos de respuesta a incidentes avanzados, propios o subcontratados, se inicia el proceso de recolección de evidencia para el análisis forense digital. Es decir, de los activos en medios de almacenamiento electrónicos que se aislaron en la etapa de contención, se realizan imágenes forenses o copias exactas bit a bit, que se analizan en laboratorios (privados o de una autoridad de impartición de justicia según corresponda el caso que se investigue), con herramientas especiales de hardware y software, a fin de obtener más información del incidente. El formato de mitigación (GTI-PD04-F03_MitigaciondeIncidentes) permite registrar los controles y medidas de seguridad a implementar. Asimismo, se considera el formato de cadena de custodia, para continuar con la investigación del incidente que se inició en la fase de contención, a fin de arrojar nueva información para la erradicación y para generar evidencia en caso de continuar con un proceso legal, incluso para la creación de documentos de investigación para aquellos interesados en el tema. 9.5.5 Recuperación
En esta etapa se da seguimiento a las medidas implementadas en la mitigación, y los activos que fueron afectados se reintegran a los sistemas de tratamiento, ahora que se encuentran funcionales o que ya cuentan con medidas de seguridad que los soporten. No todos los activos afectados pueden volver a la operación normal, en este caso se debe documentar el o los activos que entran en sustitución, y el proceso de eliminación de los activos que ya no serán utilizados. Esta fase también contempla el monitoreo de los sistemas de tratamiento a fin de identificar si las nuevas medidas de seguridad no causan algún malfuncionamiento en el sistema, o si éstas funcionan adecuadamente. Dependiendo del tamaño o madurez de la organización, el monitoreo podría ser temporal, o permanente a través del uso de herramientas automatizadas. Se recomienda hacer una simulación del incidente que llevó a la implementación de las medidas de seguridad, para corroborar que dichos controles pueden evitar que un incidente similar se vuelva a repetir. En caso de falla hay que corregir la implementación. En el formato GTI-PD04-F04_RecuperaciondeIncidentes se debe documentar la recuperación del incidente para registrar si los activos afectados por un incidente regresaron o no a la operación de rutina y si se mitigaron los riesgos que causaron el incidente. 46
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 47 de 68 9.5.6 Mejora continua (Aprendizaje)
El propósito de esta fase es completar la documentación de lo que se hizo respecto al incidente, y comunicar a las partes interesadas el estado de la seguridad de los activos después del incidente. Se debe generar un archivo histórico o bitácora que permita a los encargados de la respuesta a incidentes contar con una base de conocimiento, que pueda ser utilizada para entrenar a los usuarios, o a nuevos integrantes del equipo de respuesta a incidentes. Se recomienda que el reporte final sobre un incidente que se ha erradicado no sobrepase las dos semanas para su elaboración, a fin de no perder detalles importantes sobre lo aprendido. En el Anexo I, se incluye un formato de mejora continua como referencia de la estructura del reporte final, así como formatos de comunicación para distribuir el reporte. Si bien, la documentación generada puede utilizarse con fines de entrenamiento general, el reporte completo o la bitácora de incidentes (GTI-PD01-F05-BitacoradeSoporteTecnico YRecursosCompartidos Hoja de incidentes) no debería estar a disposición de cualquier usuario, por ello es importante contar con formatos donde se registre a quién se comunica o comparte el aprendizaje de un incidente de seguridad. Una vez cerrado el incidente, el equipo de respuesta debe regresar a la etapa de preparación, a fin de continuar con la implementación de medidas de seguridad que permitan mejorar la atención y detección de alertas, así como la respuesta cuando se presenten nuevos incidentes de seguridad.
10. GESTION DE LOS ENCARGADOS DEL TRATAMIENTO EN LAS TRANSMICIONES INTERNACIONALES DE DATOS PERSONALES DESTINAR FMI cuenta con una relación comercial con CDMON, este último es el proveedor de hosting, este servicio es utilizado por DESTINAR FMI, para la publicación de la página web, que incluye la zona transaccional, que le permite a los afiliados consultar su información financiera, este proveedor que geográficamente está ubicado en España, tiene certificación de Calidad ISO 9001 y de Seguridad ISO 27001 y tiene la adecuación e implantación al REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, en el anexo 5 se puede ver la certificación de dicha implementación. Se elevó consulta a través del correo electrónico de soporte técnico indagando sobre el procedimiento a seguir en caso de vulneración de los datos alojados en la base de datos de Mysql y la Política de Manejo de incidentes a lo cual el proveedor contesto:
“En cuanto a los procedimientos de cualquier vulneración, transmisión y actuación frente a incidencias, tanto si la causa radica entorno a vulnerabilidad del propio contenido alojado por el cliente como por una vulneración de nuestras medidas de seguridad, cada caso se trata de manera individual y en el segundo caso nuestros protocolos internos no están publicados en nuestra web, con lo que no puedo facilitárselos por este motivo y a causa de que no existe una guía de actuación férrea precisamente por el amplio abanico de casuísticas que podrían darse. “ 47
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 48 de 68 En conclusión cualquier vulnerabilidad detectada, se reportara a través del correo electrónico de soporte técnico del CDMON, y este inicia su proceso de soporte técnico, por las certificaciones obtenidas por el proveedor, DESTINAR FMI, puede garantizar la debida diligencia en la contención oportuna de cualquier materialización de algún riesgo con relación a los datos alojados en el hosting. Se puede consultar La política de privacidad de datos personales del proveedor en (urls revisadas el 21/02/2019): https://www.cdmon.com/es/contratos/aviso-legal-y-politica-de-privacidad-de-datos-20180525 y el compendio de los aspectos legales y condiciones en: https://www.cdmon.com/es/avisos-legales
11. COMUNICACIÓN EXTERNA DESTINAR FMI enviara un comunicado por correo electrónico o por material impreso en las campañas comerciales Con el objetivo de dar a conocer a los Titulares que tienen derechos a acceder a sus datos personales, actualizarlos, corregirlos y eliminarlos y revocar la autorización que hayan otorgado, cuando no exista un deber legal o contractual de permanecer en la base de datos, e informarles acerca de los mecanismos que han puesto a su disposición para ejercer esos derechos. Este comunicado se debe enviar por lo menos una vez al año a los afiliados, proveedores activos. 12. PLAN DE SUPERVISIÓN Y REVISIÓN DE LA IMPLANTACIÓN
El comité de datos personales puede trabajar conjuntamente con la auditoria interna, para supervisar y garantizar las medidas de control definidas durante la EIPD se implantan adecuadamente antes de llevar a cabo las actividades de tratamiento de datos de carácter personal por parte del responsable del tratamiento. La Auditoria definirá el punto de independencia frente a su plan de auditoria. CRONOGRAMA DE ACTIVIDADES TAREA
FECHA
Revisar las últimas amenazas y riesgos al tratamiento de datos personales detectados en DESTINAR FMI. Revisar los controles del programa para verificar si están teniendo en cuenta las nuevas amenazas Revisar las quejas más recientes, los hallazgos de las auditorias, o las orientaciones de la autoridad de protección de datos si están implementadas. 48
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 49 de 68 Revisar los nuevos servicios ofertados y evaluar los datos recolectados el uso y la divulgación de la información personal Revisar que se encuentre actualizado el manual de tratamiento de datos personales. Revisar el cumplimiento de las políticas y procedimientos en materia de datos personales Revisar el cumplimiento de la programación de las capacitaciones propuestas Revisar la actualización del inventario de Base de datos que contengan información personal Revisar el inventario de Avisos de privacidad de los Tratamientos de datos personales Revisar el protocolo de respuesta en el manejo de violaciones e incidentes de seguridad Revisar la documentación de lecciones aprendidas de revisiones a incidentes. Revisar el inventario y los requisitos establecidos en los contratos suscritos con proveedores y contratistas Revisar el comunicado y el envió de las comunicaciones externas donde se explican las política de tratamiento de datos Revisar el envió y los reportes enviados a la Gerencia General y a la Junta Directiva.
13. PLAN DE ACCION Una vez se ha realizado la evaluación de riesgos sobre el tratamiento afectado por la EIPD, la siguiente tabla detalla el conjunto de medidas mitigantes adicionales que DESTINAR FMI ha planeado implantar para reducir dichos riesgos a niveles más bajos. Las medidas de mitigación se establecen principalmente por 4 posibles causas: a) Necesidad de reducir el riesgo residual asociado a alguna de las amenazas identificadas a niveles aceptables, por ser considerados actualmente “Altos” o “Muy altos”. b) Criterio del responsable del tratamiento, como parte de los procesos de mejora continua o por considerarlo oportuno. c) Necesidad de adoptar medidas mitigantes adicionales como fruto de cambios previstos en el ciclo de vida del tratamiento. d) Aplicación de medidas adicionales como buenas prácticas que contribuyan a mejorar el nivel de protección general de los datos de carácter personal. Referencia Amenaza/Riesgo Fuga de información
Descripción de la medida de control Implantación
Responsable Fecha Estado de la prevista Actual implantación de ANALISTA TI 30/01/2019 PARCIAL 49
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 50 de 68 Referencia Amenaza/Riesgo
Descripción de la medida de control
(derivada de la Perdidas de Dispositivos Móviles y/o equipos portátiles)
contraseña nivel de BIOS para los equipos portátiles y dispositivos móviles.
Ataque para la suplantación de identidad (C,A,I) Acceso no autorizado por parte de terceros a datos de cualquier interesado (violación de la confidencialidad)
Alteración y/o borrado accidental de la información (I)
Solicitud a los afiliados de documento de identificación para los trámites solicitados.
Responsable de la implantación
Fecha prevista
DIRECTORA COMERCIAL
Estado Actual
AUSENTE 30/01/2019
Preguntas de seguridad para establecer la plena identidad en trámites telefónicos. PQRs solo de correos registrados por los afiliados en Fondago. ACTUALIZAR LOS PROCEDIMIENTOS COMERCIALES Implementar copias seguridad diarias.
de ANALISTA TI
30/01/2019 PRESENTE
13.1.1 MEJORAMIENTO DE MEDIDAS TÉCNICAS
a) Cuando el mismo computador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador. b) Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo. c) Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá al menos 8 caracteres, mezcla de números y letras. 50
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 51 de 68 d) Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca). e) Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario. 13.1.1.1 DEBER DE SALVAGUARDA A continuación se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales: a) ACTUALIZACIÓN DE ORDENADORES Y DISPOSITIVOS: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible. b) MALWARE: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica. c) CORTAFUEGOS O FIREWALL: Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales. d) CIFRADO DE DATOS: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información. e) COPIA DE SEGURIDAD: Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información. Las medidas de seguridad serán revisadas de forma periódica, la revisión podrá realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual. Considere que cualquier incidente de seguridad informática que le haya ocurrido a cualquier conocido le puede ocurrir a usted, y prevéngase contra el mismo.
51
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 52 de 68 13.1.1.2 CAPTACIÓN DE IMÁGENES CON CÁMARAS CUYA FINALIDAD ES LA SEGURIDAD (VIDEOVIGILANCIA)
Aunque DESTINAR FMI, no cuenta con sistemas de videovigilancia propios, se hace necesario asegurar con la administración donde funcionan las oficinas de DESTINAR, lo siguiente: a) UBICACIÓN DE LAS CÁMARAS: Se evitará la captación de imágenes en zonas destinadas al descanso de los trabajadores. b) UBICACIÓN DE MONITORES: Los monitores donde se visualicen las imágenes de las cámaras se ubicarán en un espacio de acceso restringido de forma que no sean accesibles a terceros. c) CONSERVACIÓN DE IMÁGENES: Las imágenes se almacenarán durante el plazo máximo de un mes, con excepción de las imágenes que sean aportadas a los tribunales y las fuerzas y cuerpos de seguridad. d) DEBER DE INFORMACIÓN: Se informará acerca de la existencia de las cámaras y grabación de imágenes mediante un distintivo informativo donde mediante un pictograma y un texto se detalle el responsable ante el cual los interesados podrán ejercer su derecho de acceso. En el propio pictograma se podrá incluir el texto informativo. En la página web de la Agencia disponen de modelos, tanto del pictograma como del texto. e) CONTROL LABORAL: Cuando las cámaras vayan a ser utilizadas con la finalidad de control laboral, se informará al trabajador o a sus representantes acerca de las medidas de control establecidas por la Gerencia con indicación expresa de la finalidad de control laboral de las imágenes captadas por las cámaras. f) DERECHO DE ACCESO A LAS IMÁGENES: Para dar cumplimiento al derecho de acceso de los interesados, el empleado se ceñirá a las políticas que en esta materia disponga la administración del edificio. No se facilitará al interesado acceso directo a las imágenes de las cámaras en las que se muestren imágenes de terceros. En caso de no ser posible la visualización de las imágenes por el interesado sin mostrar imágenes de terceros, se facilitará un documento al interesado en el que se confirme o niegue la existencia de imágenes del interesado.
14. REPORTE DE NOVEDADES ANTE LA SIC Cuando se presente reclamos por los titulares y/o se produzcan violaciones (incidentes) de seguridad de datos de carácter personal, como por ejemplo, el robo o acceso indebido a los datos personales se notificará a la Superintendencia de Industria y Comercio. La notificación se realizará por medios electrónicos a través de la página web de la SIC cuya dirección es: https://www.sic.gov. Documentar las violaciones de seguridad, incluyendo toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos 52
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 53 de 68 personales según el instructivo registro de base de datos ante la SIC numeral XX y el procedimiento de gestión de incidentes de seguridad de la información personal 14.1 TAREAS PARA EL REPORTE DE NOVEDADES
Teniendo en cuenta la circular externa No. 003 de 01 de Agosto de 2018 en su numeral 2.3 Actualización de la información contenida en el Registro Nacional de Base de Datos RNBD, DESTINAR FMI Debe: a) Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de las base de datos, (DESTINAR FMI inscribió ocho (8) Base de Datos), cuando se realicen cambios sustanciales en la información registrada. b) Anualmente a partir de 2020 y entre el 2 de enero y el 31 de marzo
Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la trasferencia y transmisión internacional de datos personales.
c) El primer reporte de reclamos presentados por los Titulares (Capitulo 2 numeral 2.1 literal f) se deberá realizar en el segundo semestre de 2019 con la información que corresponda al primer semestre (enero-junio) de 2019. Luego dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, los Responsables del Tratamiento deben actualizar la información de los reclamos presentados por los Titulares. d) Los reportes de incidentes de seguridad se deben reportar 15 días después de haber detectado la violación a los códigos de seguridad y se haga la notificación a la persona encargada de atenderlos.
Nota: Si a la fecha de los reportes de reclamos y de incidentes de seguridad no se han presentado, se debe hacer la notificación ante el RNBD como anónimos. (Respuesta dada en chat por Claudia León de la SIC el 19 de diciembre de 2018). En el primer reporte se debe generar ampliación del reporte como anónimo con la toma de pantallazos de lo que la plataforma solicita.
15. SANCIONES DE LA SIC El decreto 1377 de 2013 señala: La verificación por parte de la Superintendencia de Industria y Comercio de la existencia de medidas y políticas específicas para el manejo adecuado de los 53
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 54 de 68 datos personales que administra un Responsable será tenida en cuenta al momento de evaluar la imposición de sanciones por violación a los deberes y obligaciones establecidos en la ley y en el presente decreto. Por lo tanto DESTINAR FMI debe cumplir a cabalidad la ley de protección de datos personales para no incurrir en sanciones y/o multas, cuyo valor será estimado por la SIC, según el dictamen de la verificación de la implementación de la política de protección de datos. 16. INFORME Y CONCLUSIONES
a) El presente documento logra identificar los tratamientos de los cuales DESTINAR FMI es responsable. b) Se determina las directrices para que los interesados pueden ejercer los derechos como titulares de sus datos personales. c) El análisis preliminar arrojo que DESTINAR FMI maneja un escaso nivel de riesgos porque no maneja DATOS SENSIBLES de sus interesados. Sin embargo para mejorar y concientizar el manejo del tratamiento de datos, se decide adelantar EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS (EIPD). d) Se efectuó la gestión de riesgos, donde se identificaron amenazas, se evaluaron los riesgos y se plantearon medidas de seguridad para tener un bajo riesgo residual. e) La EIPD avala que DESTINAR FMI, puede llevar a cabo el tratamiento de datos porque los riesgos no tienen una valoración elevada. f)
La EIPD solo se debe volver a realizar siempre y cuando exista una variación relevante en el contexto de las actividades de tratamiento que pueda suponer un incremento del riesgo asociado al mismo.
54
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 55 de 68 ANEXO 1. CLASIFICACION DE DATOS PERSONALES CLASIFICACION DE DATOS PERSONALES Confidencial
TIPO DE DATOS PERSONALES => Se cuenta con Datos menores de 18 años
Privado
Semiprivado
*
Aplica
Sensible Publico
X
IDENTIFICACION Nombres y Apellidos Tipo Identificación Número de identificación fecha y lugar de expedición Estado Civil Profesión u oficio Cargo Fecha y lugar de nacimiento Sexo
X X X X X X X X X
IDENTIFICACION ESPECIFICOS Firma Nacionalidad Datos Familia (Beneficiarios) Firma Electrónica Registro Civil de Defunción
X X X X X
DATOS DE UBICACIÓN Dirección Teléfono, Celular Correo electrónico (*) Si se autoriza la publicación de los datos en un directorio, y si le es informado en la finalidad el dato es público? DATOS BIOMETRICOS Huella ADN Iris Geometría facial o corporal fotografías videos formula dactiloscopia
SI NO SI NO SI
SI SI SI
X X X
X X X X X X X 55
SI SI SI NO NO SI SI SI SI
SI NO NO NO NO NO NO
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 56 de 68 CLASIFICACION DE DATOS PERSONALES Confidencial
TIPO DE DATOS PERSONALES =>
Privado
Semiprivado
*
Aplica
Sensible Publico
voz
X
SI
DESCRIPCION MORFOLOGICA Color de piel Color de iris Color y tipo de cabello Señales particulares Estatura Peso Complexión
X X X X X X X
NO NO NO NO NO NO NO
DATOS SENSIBLES Examen de laboratorio
X
Imágenes y/o estudios diagnosticas
X
NO NO
Endoscopias
X
Patologías
X
Estudios médicos generales y especializados
X
Resultados psicológicos o psiquiátricos
X
Medicamentos
X
Tratamiento médico o terapéutico
X
Pertenencia a Sindicatos
X
NO NO SI NO NO NO NO NO
Organizaciones Sociales de derechos humanos, religiosas y políticas
X NO
Datos de preferencia, identidad y orientación sexual
X
Origen étnico-racial
X
56
NO
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 57 de 68 CLASIFICACION DE DATOS PERSONALES Confidencial
Privado TIPO DE DATOS PERSONALES => Población en condición vulnerable. Ej: personas de la tercera edad o menores de 18 años en condición de pobreza, personas con limitaciones sicomotoras, auditivas y visuales en condiciones de pobreza, personas víctimas de la violencia, personas en situación de desplazamiento forzado por violencia, madres gestantes o lactantes o cabeza de familia en situación de vulnerabilidad, menores en condición de abandono o protección, etc. Datos sobre personas en situación de discapacidad
Semiprivado
*
Aplica
Sensible Publico
NO
X NO X
DATOS DE CONTENIDO SOCIOECONÓMICO SI
Datos financieros, crediticios y/o derechos de carácter económico de las personas
X NO
Datos socioeconómicos como estrato, propiedad de la vivienda, etc.
X
X SI
Datos socioeconómicos propiedad de la vivienda, etc. Datos de información tributaria de la persona
X
X
Datos patrimoniales de la persona. Ej: bienes muebles e inmuebles, ingresos, egresos, inversiones, etc.
X
X
SI NO
NO
Datos relacionados con la actividad económica de la persona
X
X NO
Datos relacionados con la historia laboral de la persona, experiencia laboral, cargo, fechas de ingreso y retiro, anotaciones, llamados de atención, etc.
X
X NO
Datos relacionados con el nivel educativo, capacitación y/o historial académico de la persona, etc.
X
X SI
Datos generales relacionados con afiliación y aportes al Sistema Integral de Seguridad Social. Ej: EPS, IPS, ARL, fechas de ingreso/retiro EPS, AFP, etc.
X 57
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 58 de 68 CLASIFICACION DE DATOS PERSONALES Confidencial
Privado TIPO DE DATOS PERSONALES => OTROS DATOS Datos personales de acceso a sistemas de información. Ej.: usuarios, IP, claves, perfiles, etc. X Datos sobre gustos y/o intereses particulares. Ej: deportivos, ocio, gastronómicos, turismo, moda, etc.
*
Semiprivado
*
Aplica
Sensible Publico
SI
NO X NO
Datos de antecedentes judiciales y/o disciplinarios de las personas.
X
X
Aplica. La intención de esta columna es identificar cuales datos son recolectados por DESTINAR FMI. Los datos que no se recolectan se mantienen en la tabla con fines didácticos.
CLASIFICACION DE DATOS PERSONALES DATOS DE CONTENIDO SOCIOECONÓMICO EN FONDAGO
Privado
Semiprivado X X X X X X X X X X X X X X X X X X X
Legal Adicional Extra Adic Cia Fondo Pers Consolida Utilidad Total Valor x Consolidar Valor Pignorado Cartera vencida Total Cartera Aporte Congelado Disp Cartera Utilidades x Aplicar Disp Retiro Parcial Disp Retiro Total (Voluntario) Disp Retiro Total Total Aportes
58
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 59 de 68
59
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 60 de 68
ANEXO 2. LISTA DE DATOS TRATADOS Identificación Proceso PROCESO GESTION COMERCIAL DATOS
Descripción (Solo si se debe ampliar el concepto de la primera columna)
PERSONALES Cedula Nombres y Apellidos Fecha Nacimiento Dirección Ciudad Departamento Sexo Teléfono Teléfono móvil E-mail personal/laboral LABORALES Nombre Empresa Cargo Actual Fecha ingreso Empresa Salario Mensual Aporte legal voluntario Aporte adicional voluntario BENEFICIARIOS Nombre Parentesco Teléfono Porcentaje
Código
Captura de Datos de Afiliación
Número que debe sumar el 100% entre los beneficiarios registrados.
Firma Afiliado FINANCIEROS Numero Cuenta Bancaria Tipo de Cuenta Entidad Financiera
60
Critico Necesario
Prescindible
☒ ☒ ☒ ☒ ☒ ☒ ☒ ☒ ☒ ☒ ☐ ☒ ☒ ☒ ☐ ☒ ☒ ☒ ☒ ☒ ☐
☐ ☐ ☐ ☐ ☐ ☐ ☐ ☐ ☐ ☐ ☐ ☐ ☐ ☐ ☒ ☐ ☐ ☐ ☐ ☐ ☒
☒
☐
☒
☐
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 61 de 68 ANEXO 3. ANÁLISIS DE LA NECESIDAD DE LA REALIZACIÓN DE UNA EIPD Indicar la siguiente información general sobre el tratamiento: SI/NO
Tipología de Datos ¿Se van a tratar (1) datos personales (2)? (SI/NO) (1) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción (2) «datos personales»: toda información sobre una persona física identificada o identificable («el afiliado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona Continuar sólo en caso de contestar afirmativamente a la pregunta anterior: Finalidades del tratamiento
DETALLE
SI
SI
SI/NO
Marque SI/NO (donde aplique) en función de si el tratamiento responde a las siguientes posibles finalidades: ¿La recogida de los datos tiene como finalidad el tratamiento a gran escala (3)? Por favor, detalle los puntos indicados a continuación para poder analizar si se trata de un tratamiento a gran escala: El número de afiliados, proveedores, empleados y/o ☒de 0 a 10.000 empresas patrocinadoras afectados (es decir, cuantos ☐de 10.001 a 100.000 interesados van a ser objeto de este tratamiento) ☐+ de 100.001 Las categorías de datos tratados. (Datos especialmente ☐1 ☐2 ☐3 ☒4 protegidos, Datos de carácter identificativo, ☐5 ☐6 ☐7 ☐8 Características personales, Circunstancias sociales, ☐9 Datos académicos y profesionales, Detalles del empleo, Información comercial, Datos económicos, financieros y de Seguro, Transacciones de bienes y servicios). Indicar cuántas de estas categorías aplicarían. La duración del tratamiento (instantáneo (I), días (D), ☐instantáneo años (A), meses (M),...) ☐días ☐meses ☒años La extensión geográfica del tratamiento (Tratamiento a ☐regional nivel regional (R), nacional (N) o internacional (I)) ☒nacional ☐internacional 61
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 62 de 68 ¿La recogida de los datos tiene como finalidad la monitorización o evaluación sistemática y exhaustiva de aspectos personales? (tratamiento para monitorizar, observar y/o controlar a los interesados, a través del cual, se pueden determinar NO hábitos, comportamientos, preferencias, gustos, intereses, etc. de personas identificadas o identificables?) Por ejemplo, uso de registro de actividad sobre clientes para detectar patrones de usuarios susceptibles de contratar un producto, perfiles comerciales, scoring, etc. ¿La recogida de los datos tiene como finalidad el tratamiento de datos especialmente protegidos (4)? (4) Datos identificativos de personas identificadas o identificables asociadas a: Ideología u opiniones políticas Afiliación sindical Religión u opiniones religiosas Creencias o creencias filosóficas Origen étnico o racial Datos relativos a salud NO Vida sexual u orientación sexual Datos de violencia de género y malos tratos Datos biométricos Datos genéticos que proporcionan una información única sobre la fisiología o la salud del identificado obtenidas del análisis de una muestra biológica Datos solicitados para fines policiales sin consentimiento de las personas afectadas Datos relativos a condenas y delitos penales ¿El tratamiento involucra contacto con los afiliados de manera que, dicho contacto, pueda resultar intrusivo (5) o se prevé el uso de tecnologías que se pueden percibir como especialmente intrusivas en la privacidad (6)? (5) A modo de ejemplo, las llamadas telefónicas podrían considerarse intrusivas NO (6) A modo de ejemplo, la vigilancia electrónica, la minería de datos, la biometría, las técnicas genéticas, la geolocalización, Big Data o la utilización de etiquetas de radiofrecuencia o RFID10 (especialmente, si forman parte de la llamada internet de NO las cosas) o cualesquiera otras que puedan desarrollarse en el futuro" ¿La finalidad del tratamiento implica el uso específico de datos de personas con discapacidad o cualquier otro colectivo en situación de especial vulnerabilidad (p.e.: NO menores de 14 años, ancianos, personas con riesgo de exclusión social, empleados, …)? ¿Se van a tratar datos personales para elaborar perfiles, categorizar/segmentar, hacer ratings/scoring o para la toma de decisiones (7)? (7) A modo de ejemplo, la segmentación de clientes en base a sus datos personales SI con el objetivo de realizar comunicaciones comerciales ¿El tratamiento de los datos implica una toma de decisiones automatizada sin que haya ninguna persona que intervenga en la decisión o valore los resultados (8)? (8) A modo de ejemplo, autorizar o denegar un tipo de producto a un cliente NO mediante un algoritmo automatizado sin que ningún gestor valore el resultado para confirmar las decisiones ¿Se enriquece la información de los interesados mediante la recogida de nuevas NO categorías de datos o se usen las existentes con nuevas finalidades que antes no 62
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 63 de 68 se contemplaban, en particular, si estas finalidades son más intrusivas o inesperadas para los afectados (9), o incluso pueda llegar a bloquear el disfrute de algún servicio? ¿El tratamiento implica que un elevado número de personas (más allá de las necesarias para llevar a cabo el mismo) tenga acceso a los datos personales tratados? Por ejemplo, un departamento que no participe en el tratamiento. ¿Se van a tratar datos relativos a la observación de zonas de acceso público ? (por favor, tenga en cuenta que las zonas de acceso público únicamente estarán situadas en la vía pública, excluyendo los lugares de trabajo (p.e.: oficinas comerciales)) Para llevar a cabo este tratamiento, ¿se combinan conjuntos de datos utilizados por otros responsables de tratamiento cuya finalidad diste en exceso de las expectativas del interesado (10)? (10) A modo de ejemplo, utilizar el resultado de un tratamiento de análisis de datos de un cliente para realizarle ofertas comerciales en base a dichos resultados ¿Se utilizan datos de carácter personal no disociados o no anonimizados de forma irreversible con fines estadísticos, históricos o de investigación científica?
NO NO
NO
NO
Finalidades del tratamiento DETALLE SI/NO Marque SI/NO en función de si dichas tecnologías se usan para soportar las finalidades del tratamiento: ¿Se prevé el uso de tecnologías que se pueden percibir como inmaduras, de reciente creación o salida al mercado, cuyo alcance no puede ser previsto por el NO interesado de forma clara o razonable e implique elevado riesgo para el acceso no autorizado (11)? (11) A modo de ejemplo, la combinación de tecnologías ya existentes, como el uso de dispositivos inteligentes de nueva creación y reconocimiento facial para aumentar la seguridad del acceso físico a las instalaciones, se considera una tecnología inmadura Cesiones de datos y transferencias internacionales de DETALLE SI/NO datos Marque SI/NO: ¿Se realizan cesiones de datos a otras entidades, ya sean del mismo grupo o NO proveedores externos al mismo? (en caso afirmativo detallar cuáles) ¿Se realizan transferencias internacionales de datos a países fuera de Colombia y NO que no cuenten con medidas de protección de datos de carácter personal similares a las establecidas por la SIC? (en caso afirmativo detallar cuáles) Percepción de la existencia un riesgo elevado por SI/NO JUSTIFICACIÓN parte del responsable de la actividad de tratamiento
Marque SI/NO: ¿Es este tratamiento similar a otro para el que haya sido necesario realizar NO un EIPD (13)? (13) En caso afirmativo, se pueden utilizar las conclusiones del EIPD ya NO realizado para dicho tratamiento 63
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 64 de 68
¿Este tratamiento puede conllevar una pérdida o alteración de la NO información? ¿Se utilizada documentación en papel para tratar datos personales?, en tal caso, indicar las medidas aplicadas: Se guarda bajo llave Se destruye de forma confidencial Se guarda con un registro de accesos Otros Terceros que intervengan en el tratamiento JUSTIFICACIÓN ¿Interviene algún proveedor en el proceso?, en caso afirmativo, indicar su denominación social: Sistemas utilizados en el tratamiento Por favor, en la medida de lo posible, identifique los sistemas que intervienen en el tratamiento: ☒ Fondago ☒ Archivos de usuario ☒ Archivo Físico
64
NO NO SI
SI/NO NO
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 65 de 68 ANEXO 4. INTERVINIENTES INVOLUCRADOS
INTERESADO OPERACIONES TRATAMIENTO
AFILIADO Intervinientes
Recogida
Área Comercial
Registro
Adaptación o modificación
Asesor de Ahorro Analista de TI Asesor de Ahorro(Base de datos) Asistente Administrativa (Archivo Físico) Asesor de Ahorro(Base de datos) Asistente Administrativa (Archivo Físico) Asesor de Ahorro
Extracción
No permitida
Consulta
Todas las Áreas
Utilización Comunicación por transmisión, difusión o cualquiera otro medio disponible
Todas las Áreas Analista de TI (Copias de seguridad y hosting proveedor CDMON). No se cede información a terceros.
Comparación o combinación
Gerencia Área comercial
Restricción o bloqueo
Asesor de Ahorro
Supresión
Asesor de Ahorro. Para eliminación de datos obsoletos. No eliminación total de registros en Base de datos. Bloqueo por petición del afiliado haciendo uso del derecho a sus datos personales. No autorizado
Organización Almacenamiento
Destrucción
INTERESADO OPERACIONES TRATAMIENTO
Recogida Registro Organización
EMPRESAS PATROCINADORAS INTERVINIENTES Área Comercial Asistente Administrativa (Archivo Físico) Área Comercial. Asistente Administrativa (Archivo Físico) Área Comercial. (Archivos de usuario) Asistente Administrativa (Archivo Físico) 65
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 66 de 68 Almacenamiento Adaptación o modificación
Área Comercial. (Archivos de usuario) Asistente Administrativa (Archivo Físico y Digital) No permitida
Extracción
No permitida
Consulta
Contador Revisoría Fiscal Director Comercial Contador Revisoría Fiscal Director Comercial No se cede información a terceros.
Utilización Comunicación por transmisión, difusión o cualquiera otro medio disponible Comparación o combinación
Área comercial
Restricción o bloqueo
Área comercial
Supresión Destrucción
Según la política de retención documental. Contador Asistente Administrativa Según política de archivo y tabla de retención documental.
INTERESADO OPERACIONES TRATAMIENTO
PROVEEDOR Intervinientes
Recogida
Área Comercial
Registro
Asistente administrativa
Organización
Asistente administrativa (Base de datos y Físico)
Almacenamiento
Asistente administrativa (Base de datos y Físico)
Adaptación o modificación
Asistente administrativa (Base de datos y Físico)
Extracción
No permitida
Consulta
Contador Tesorería Revisoría Fiscal Asistente Administrativa Contador Revisoría Fiscal Tesorería No se cede información a terceros. Excepto por obligaciones de ley 66
Utilización Comunicación por transmisión, difusión o
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 67 de 68 cualquiera otro medio disponible Comparación o combinación
Contador Revisoría Fiscal
Restricción o bloqueo
No permitida
Supresión Destrucción
Según política de archivo y tabla de retención documental. Contador Asistente Administrativa Según política de archivo y tabla de retención documental.
INTERESADO OPERACIONES TRATAMIENTO
EMPLEADOS Y CANDIDATOS Intervinientes
Recogida
Contador
Registro
Asistente administrativa
Organización
Asistente administrativa (Base de datos y archivo físico)
Almacenamiento
Asistente administrativa (Base de datos y archivo físico)
Adaptación o modificación
Asistente administrativa (Base de datos y archivo físico)
Extracción
No permitida
Consulta
Contador Revisoría Fiscal Asistente Administrativa Gerencia Contador Revisoría Fiscal No se cede información a terceros. Excepto por obligaciones de ley
Utilización Comunicación por transmisión, difusión o cualquiera otro medio disponible Comparación o combinación
Contador Revisoría Fiscal
Restricción o bloqueo
No permitida
Supresión
Contador Asistente Administrativa Según política de archivo y tabla de retención documental. Contador Asistente Administrativa Según política de archivo y tabla de retención documental.
Destrucción
67
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 68 de 68
ANEXO 5. CARTA DE GARANTIA Y AVAL AL PROVEEDOR CDMON
68
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 69 de 68
ANEXO 6. RECOMENDACIONES A LOS USUARIOS CONTRA EL SOFTWARE MALICIOSO Derivado de acontecimientos en materia de seguridad de la información como son las infecciones a nivel mundial a través de las variedades de ransomware WannaCry y Petya, se estima pertinente emitir las siguientes recomendaciones para que los usuarios, puedan tomar medidas para su propia protección, a fin de coadyuvar en la minimización del impacto global de los ataques basados en software malicioso. Los ataques informáticos basados en software malicioso son desarrollados por múltiples partes interesadas, las cuales pueden tener distintos objetivos, como crear redes automatizadas para atacar servicios, extraer o secuestrar información, afectar infraestructura crítica, robar datos de tarjetas de crédito, ganar control de cámaras para obtener imágenes comprometedoras, espiar comunicaciones, entre otras actividades ilícitas. Por ello, es importante que la ciudadanía en general adopte una cultura de la ciberseguridad y tome medidas de protección contra el malware, tales como: • Ser cauteloso con los mensajes de desconocidos. Se debe evitar descargar archivos o dar clic en enlaces, imágenes o contenido proveniente de fuentes desconocidas, sin importar el servicio de mensajería utilizado, por ejemplo, SMS, WhatsApp o bien correo electrónico. Incluso se debe ser cuidadoso cuando un contacto conocido envía información no solicitada, utilizando mensajes de alarma o provocativos. • Verificar en lugar de confiar. Cuando lleguen mensajes relacionados con entidades de gobierno, por ejemplo, la renovación de la visa, el pago de impuestos, o ser apercibido por la policía. O bien, se reciben comunicaciones provenientes aparentemente de servicios, como telefonía o tarjetas de crédito, se recomienda contactar directamente a la entidad o visitar su sitio web y nunca dar clic a la liga que se proporciona en el mensaje. • Mantener actualizados los dispositivos y utilizar software antivirus. Todos los dispositivos y equipos de cómputo tienen que estar actualizados, tanto en sus Sistemas Operativos como en sus programas y aplicaciones, esto a fin de disminuir el tiempo de exposición en caso de que exista alguna vulnerabilidad no mitigada por el fabricante. En este sentido, también es importante evitar el uso de software pirata, debido a que este podría no recibir las actualizaciones necesarias para protegerse de malware, o incluso ya estar infectado desde su origen. • Realizar respaldos de la información. Se deben hacer copias de la información crítica de manera periódica. Además, los respaldos deben realizarse ordenadamente y por versiones, es decir no se recomienda sobrescribir la información en cada nuevo respaldo, sino tener al menos las dos últimas versiones de la copia. De manera que, si se tuviera que recuperar información de un dispositivo debido a malware, y también el último respaldo estuviera infectado, se pueda recurrir a la penúltima versión. De manera particular, para que los funcionarios protejan su información personal contra el acceso de terceros malintencionados, se pueden tomar medidas como: 69
PROCESO GESTION DE TECNOLOGIA Código: GTI-M01 Versión: 1.0 MANUAL PARA LA PROTECCIÓN DE Fecha: 15/09/2018 DATOS PERSONALES Página: 70 de 68 • Usar contraseñas seguras. Se deben utilizar contraseñas largas y cambiarlas periódicamente, ya que los atacantes utilizan herramientas para buscar y probar contraseñas inseguras en los sistemas y dispositivos. • Usar un administrador de contraseñas. Se puede hacer uso de herramientas de software para administrar contraseñas, y así gestionarlas para cada servicio, programa o aplicación que utilice el usuario. • Activar la autenticación en dos pasos. Revisar si un servicio o aplicación tiene algún método para accederlo además de la contraseña, por ejemplo, con un token o un número de confirmación recibido vía celular. • Utilizar dispositivos diferentes. Se recomienda tener equipos de cómputo distintos para cada entorno del usuario, por ejemplo, un celular para el trabajo y otro para asuntos personales, de manera que en caso de que alguno quede afectado, no exponer toda la información a un atacante. • Utilizar conexiones https para navegar por Internet. Cuando se navega por un sitio de Internet, las páginas con el prefijo “https” con un candado en verde, protegen la comunicación de punto a punto, es decir un tercero que intercepte la comunicación no podrá ver su contenido. • Ser cauto con las conexiones WiFi. Las redes inalámbricas representan un riesgo en virtud de que un atacante puede interceptar las comunicaciones de estas redes, o también crear puntos de acceso falso para que un usuario descuidado se conecte a ellas. Por ello, sólo se deben utilizar puntos de acceso a Internet conocidos y de confianza. • Usar servicios de comunicaciones cifradas. Para comunicaciones de alta importancia no se recomienda utilizar cualquier servicio de mensajería, ya que un tercero podría interceptar la comunicación y acceder a su contenido. Se recomienda utilizar aplicaciones que cifren las llamadas y mensajes entre dos usuarios, que para poder comunicarse han tenido que verificar sus claves del servicio por otros medios de contacto, de modo que un tercero que intercepte la comunicación no puede acceder al contenido. • Cifrar el almacenamiento de los equipos de cómputo. Las últimas versiones de Windows, Mac OS, iOS y Android tienen funciones para cifrar el almacenamiento local, las cuales se deben activar a fin de no comprometer la información de un equipo de cómputo o dispositivo, en caso de robo, pérdida o extravío.
70