Universidad Internacional de la Rioja Máster Universitario en Seguridad Informática Aspectos legales y regulatorios Acti
Views 205 Downloads 218 File size 400KB
Universidad Internacional de la Rioja Máster Universitario en Seguridad Informática Aspectos legales y regulatorios Actividad No. 1: Elaboración de una evaluación de impacto de datos personales (EIPD) Estudiante: Javier Leonardo Díaz García
Contenido 1.
ACTIVIDAD PROPUESTA .................................................................................................................... 2
2.
DESARROLLO................................................................................................................................... 2 2.1.
Ciclo de vida de los datos: ........................................................................................................ 2
2.1.1.
Recolección de datos:.......................................................................................................... 2
2.1.2.
Uso de datos en cada proceso: ............................................................................................. 3
2.2.
Gestión del riesgo de los datos personales ................................................................................. 4
2.2.1.
Información de datos personales .......................................................................................... 4
2.2.2.
Identificación de activos de información ................................................................................ 4
2.2.3.
Gestión del riesgo ............................................................................................................... 5
2.2.4.
Evaluación de Impacto de Protección de Datos....................................................................... 6
1.
ACTIVIDAD PROPUESTA
El trabajo consiste en la elaboración de una EIPD. Para ello tendrás que tener en cuenta las siguientes cuestiones: -
Debes partir del siguiente supuesto de hecho: una clínica dental situada en España utiliza determinado software de gestión de pacientes instalado en modo local. La empresa SW System S.L es la proveedora del mismo, a la vez la encargada de efectuar su mantenimiento.
-
El propietario de la clínica ha decidido cambiar dicho software por el de la empresa No problem S. L. que además se entrega en modo software como Servicio (SaaS), proporcionando ella misma el alojamiento cloud para los datos siendo la sede física del alojamiento de estos un CPD que se encuentra en España. La denominación social No problema S.L. está registrada también en España.
-
El resto de los datos que se requieran pueden ser ficticios e inventados porque lo relevante es el aprendizaje de la mecánica o proceso de elaboración.
Debe emitirse un informe de evaluación de impacto. 2.
DESARROLLO
Según la metodología relacionada en el material de ayuda, es necesario verificar primero el contexto de la organización y sus necesidades. Debido a lo anterior, se asumirá que la clínica dental tiene definidos los siguientes procesos:
Procesos Estratégicos • Planeación estratégica (PE) Procesos Misionales • Gestión Comercial (GC) • Odontología (OD) Procesos de apoyo • Talento Humano (TH) • Compras (CI) • Contabilidad y tesorería (CT) • Administrativo (AD) 2.1. Ciclo de vida de los datos: 2.1.1.
Recolección de datos: Herramientas de recolección de datos personales:
La recolección de datos personales en la clínica dental se realiza a través de dos formularios que los pacientes tienen que llenar con su información personal:
-
Formulario de vinculación de pacientes, que se diligencia una vez el paciente haya aceptado las condiciones comerciales y de tratamiento. Formulario de contacto en página Web, en el que los pacientes solicitan información a la clínica y facilitan sus datos de contacto Procesos implicados en la recolección:
Los siguientes son los procesos que están implicados en la recolección de datos personales: -
Gestión comercial Administrativo
Tipos de datos recolectados:
Se recopilan los siguientes datos de los pacientes: -
Nombres y apellidos No. de identificación Dirección de residencia Número telefónico de contacto (fijo o móvil) Estado Cartera y/o pagos Fotografía Historia clínica del paciente (Considerados como datos delicados)
Nota: Se debe tener en cuenta que los pacientes pueden ser niños menores de 13 años, debido a la actividad comercial de la organización. 2.1.2.
Uso de datos en cada proceso:
A continuación, se describirá que uso se da a los datos personales de los pacientes en cada proceso:
Gestión comercial
-
Contactar con los pacientes para conocer los resultados y el nivel de conformidad con los procedimientos realizados, además de ofrecer productos o servicios adicionales.
Odontología
-
Llevar la trazabilidad de los tratamientos, productos o servicios específicos realizados a cada uno de los pacientes (Historias Clínicas)
Administrativo
-
Este proceso ingresa los datos al sistema desde el formulario de vinculación y es el que lleva la trazabilidad, además del control de los aspectos administrativos relacionados con los pacientes.
Contabilidad y tesorería
-
Verificación de estado de pagos de los pacientes
2.2. Gestión del riesgo de los datos personales 2.2.1.
Información de datos personales
Para la actividad se definió que la información de los pacientes es a la que se debe aplicar el tratamiento y realizar la gestión de riesgos informáticos. Esta información se encuentra principalmente en tres archivos: ID BD_001 BD_002 BD_003 BD_004
Nombre Base de datos clínica digital de pacientes Base de datos financiera digital de pacientes Carpetas con formularios de vinculación Base de datos formulario página web
Ubicación Servidor Local Servidor Local Archivador Confidencial Servidor Local
Tipo Digital Digital Física Digital
Específicamente en el eje006Dplo de la actividad, se va a contratar un servicio SaaS, por ende, se debe contemplar de una vez la información que este va a tratar. ID BD_005 BD_006
Nombre Base de datos clínica digital de pacientes Nube Base de datos financiera digital de pacientes Nube
Ubicación
Tipo
Servidor Web (Proveedor)
Digital
Servidor Web (Proveedor)
Digital
Los plazos de conservación de estas bases de datos, serán de 4 años a partir de su recolección. 2.2.2.
Identificación de activos de información
En este punto, se debe definir los siguientes aspectos: -
¿Dónde se encuentra almacenada la información? ¿Qué sistemas intervienen en el uso, procesamiento y almacenamiento de esta información? ¿El personal que accede y utiliza esta información se encuentra debidamente informado y capacitado para tener en cuenta los aspectos de seguridad necesarios? ¿Qué riesgos corre esta información en términos de confidencialidad, accesibilidad e integridad? ¿Cuál o cuales son las medidas de seguridad definidas para los archivos, sistemas y personal que tienen relación con los activos de información?
Una vez definidos, podemos organizar la información en una tabla de gestión de activos de informáticos, que para este caso se centrará únicamente en los datos personales de los pacientes: ID
Nombre
Descripción Servidor local en donde se encuentra instalada la aplicación de gestión de pacientes.
Responsable
Tipo
Critico
001
Servidor 01
En este servidor también se encuentra la página web, por ende, acá se almacenan los datos de contacto de personas que han diligenciado el formulario Web.
SW System S.L
Físico-Local
Sí
002
Carpetas FV
003
Servidor “Nube”
004
Equipos de acceso a servidores
2.2.3.
Carpetas que contienen todos los formatos de vinculación de los pacientes con su información. Servidor del nuevo proveedor que mediante su aplicación SaaS, realizará el procesamiento, análisis y almacenamiento de la información Mediante estos equipos, el personal de los diferentes procesos accede a la información almacenada, para su posterior uso, dependiendo de las funciones y tareas asignadas.
Asistente Admin
Físico-Papel
No
No problem S. L.
Físico-Nube
Si
Personal designado por la clínica
Físico - Local
No
Gestión del riesgo
En esta etapa, verificaremos los diferentes riesgos a los que está expuesta la información de los pacientes en cada uno de los activos identificados y además las diferentes medidas que se encuentran implementados en la organización para mitigarlos total o parcialmente: ID
Riesgo Robo o modificación de la información por parte del personal de soporte.
001 Acceso a información por parte del personal no autorizado
002
003
004
Pérdida de información por daño o robo del equipo Pérdida o daño de información debida a daños físicos Acceso a información por parte del personal no autorizado Robo o modificación de la información por parte del personal de soporte. Acceso a información por parte del personal no autorizado Pérdida de información por daño o robo del equipo Acceso, robo o modificación por parte de personal no autorizado
Tratamiento -Cláusulas específicas de encargado de tratamiento de datos con el proveedor -Revisión periódica del soporte y mantenimiento realizado al servidor. -Procedimiento de selección y evaluación de proveedores para garantizar que sea idóneos -Gestión de usuarios con permisos específicos a la información de los pacientes. -Cláusulas de confidencialidad con los empleados, según el tipo de información que requieran utilizar
Aspecto afectado
Confidencialidad Integridad
Confidencialidad
-Procedimientos periódicos de BackUp
Accesibilidad
-Puerta contra incendio de armario -Digitalización de archivos cada 2 meses, guardado en servidor Local
Accesibilidad
-Medidas físicas para evitar intrusión de personal no autorizado a la información
Confidencialidad Integridad
-Procedimiento de selección y evaluación de proveedores que garantiza la correcta identificación de necesidades y cumplimiento de requerimientos de idoneidad de los di referentes proveedores. En este caso el del aplicativo tipo SaaS. -Clausulas de responsabilidad y asignación como encargado del tratamiento de datos (No en su totalidad)
Confidencialidad Integridad Accesibilidad
-Capacitación para concientización del personal con respecto a la seguridad de la información. -Políticas de gestión de usuarios y contraseñas seguras. -Política de cierre de sesión periódico para evitar accesos no autorizados.
Confidencialidad Integridad
2.2.4.
Evaluación de Impacto de Protección de Datos
Una vez que la metodología de gestión del riesgo está definida y el flujo de información, se ingresa la información a la aplicación Sandas GRC, con el fin de obtener la Evaluación de Impacto de Protección de Datos, el cual se encuentra como anexo a la actividad.