Javier L Diaz - Actividad N1

Universidad Internacional de la Rioja Máster Universitario en Seguridad Informática Aspectos legales y regulatorios Acti

Views 205 Downloads 218 File size 400KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Javier L Diaz - Actividad N2 - Firmado
Javier L Diaz - Actividad N2 - Firmado

172 52 396KB Read more

Actividad 2 - Javier Diaz
Actividad 2 - Javier Diaz

113 6 181KB Read more

Actividad1- Javier Diaz
Actividad1- Javier Diaz

53 1 652KB Read more

Actividad N1
Actividad N1

3 0 44KB Read more

ACTIVIDAD N1
ACTIVIDAD N1

16 2 390KB Read more

Actividad de Aplicacion N1
Actividad de Aplicacion N1

44 1 499KB Read more

Actividad Formativa n1
Actividad Formativa n1

13 0 70KB Read more

ACTIVIDAD COLABORATIVA N1.pdf
ACTIVIDAD COLABORATIVA N1.pdf

30 0 15MB Read more

Actividad Virtual Diaz
Actividad Virtual Diaz

53 2 283KB Read more

Actividad 2_u6_Anova_Leidy Diaz
Actividad 2_u6_Anova_Leidy Diaz

3 0 1MB Read more

Citation preview

Universidad Internacional de la Rioja Máster Universitario en Seguridad Informática Aspectos legales y regulatorios Actividad No. 1: Elaboración de una evaluación de impacto de datos personales (EIPD) Estudiante: Javier Leonardo Díaz García

Contenido 1.

ACTIVIDAD PROPUESTA .................................................................................................................... 2

2.

DESARROLLO................................................................................................................................... 2 2.1.

Ciclo de vida de los datos: ........................................................................................................ 2

2.1.1.

Recolección de datos:.......................................................................................................... 2

2.1.2.

Uso de datos en cada proceso: ............................................................................................. 3

2.2.

Gestión del riesgo de los datos personales ................................................................................. 4

2.2.1.

Información de datos personales .......................................................................................... 4

2.2.2.

Identificación de activos de información ................................................................................ 4

2.2.3.

Gestión del riesgo ............................................................................................................... 5

2.2.4.

Evaluación de Impacto de Protección de Datos....................................................................... 6

1.

ACTIVIDAD PROPUESTA

El trabajo consiste en la elaboración de una EIPD. Para ello tendrás que tener en cuenta las siguientes cuestiones: -

Debes partir del siguiente supuesto de hecho: una clínica dental situada en España utiliza determinado software de gestión de pacientes instalado en modo local. La empresa SW System S.L es la proveedora del mismo, a la vez la encargada de efectuar su mantenimiento.

-

El propietario de la clínica ha decidido cambiar dicho software por el de la empresa No problem S. L. que además se entrega en modo software como Servicio (SaaS), proporcionando ella misma el alojamiento cloud para los datos siendo la sede física del alojamiento de estos un CPD que se encuentra en España. La denominación social No problema S.L. está registrada también en España.

-

El resto de los datos que se requieran pueden ser ficticios e inventados porque lo relevante es el aprendizaje de la mecánica o proceso de elaboración.

Debe emitirse un informe de evaluación de impacto. 2.

DESARROLLO

Según la metodología relacionada en el material de ayuda, es necesario verificar primero el contexto de la organización y sus necesidades. Debido a lo anterior, se asumirá que la clínica dental tiene definidos los siguientes procesos:

Procesos Estratégicos • Planeación estratégica (PE) Procesos Misionales • Gestión Comercial (GC) • Odontología (OD) Procesos de apoyo • Talento Humano (TH) • Compras (CI) • Contabilidad y tesorería (CT) • Administrativo (AD) 2.1. Ciclo de vida de los datos: 2.1.1. 

Recolección de datos: Herramientas de recolección de datos personales:

La recolección de datos personales en la clínica dental se realiza a través de dos formularios que los pacientes tienen que llenar con su información personal:

-



Formulario de vinculación de pacientes, que se diligencia una vez el paciente haya aceptado las condiciones comerciales y de tratamiento. Formulario de contacto en página Web, en el que los pacientes solicitan información a la clínica y facilitan sus datos de contacto Procesos implicados en la recolección:

Los siguientes son los procesos que están implicados en la recolección de datos personales: -

Gestión comercial Administrativo



Tipos de datos recolectados:

Se recopilan los siguientes datos de los pacientes: -

Nombres y apellidos No. de identificación Dirección de residencia Número telefónico de contacto (fijo o móvil) Estado Cartera y/o pagos Fotografía Historia clínica del paciente (Considerados como datos delicados)

Nota: Se debe tener en cuenta que los pacientes pueden ser niños menores de 13 años, debido a la actividad comercial de la organización. 2.1.2.

Uso de datos en cada proceso:

A continuación, se describirá que uso se da a los datos personales de los pacientes en cada proceso: 

Gestión comercial

-

Contactar con los pacientes para conocer los resultados y el nivel de conformidad con los procedimientos realizados, además de ofrecer productos o servicios adicionales.



Odontología

-

Llevar la trazabilidad de los tratamientos, productos o servicios específicos realizados a cada uno de los pacientes (Historias Clínicas)



Administrativo

-

Este proceso ingresa los datos al sistema desde el formulario de vinculación y es el que lleva la trazabilidad, además del control de los aspectos administrativos relacionados con los pacientes.



Contabilidad y tesorería

-

Verificación de estado de pagos de los pacientes

2.2. Gestión del riesgo de los datos personales 2.2.1.

Información de datos personales

Para la actividad se definió que la información de los pacientes es a la que se debe aplicar el tratamiento y realizar la gestión de riesgos informáticos. Esta información se encuentra principalmente en tres archivos: ID BD_001 BD_002 BD_003 BD_004

Nombre Base de datos clínica digital de pacientes Base de datos financiera digital de pacientes Carpetas con formularios de vinculación Base de datos formulario página web

Ubicación Servidor Local Servidor Local Archivador Confidencial Servidor Local

Tipo Digital Digital Física Digital

Específicamente en el eje006Dplo de la actividad, se va a contratar un servicio SaaS, por ende, se debe contemplar de una vez la información que este va a tratar. ID BD_005 BD_006

Nombre Base de datos clínica digital de pacientes Nube Base de datos financiera digital de pacientes Nube

Ubicación

Tipo

Servidor Web (Proveedor)

Digital

Servidor Web (Proveedor)

Digital

Los plazos de conservación de estas bases de datos, serán de 4 años a partir de su recolección. 2.2.2.

Identificación de activos de información

En este punto, se debe definir los siguientes aspectos: -

¿Dónde se encuentra almacenada la información? ¿Qué sistemas intervienen en el uso, procesamiento y almacenamiento de esta información? ¿El personal que accede y utiliza esta información se encuentra debidamente informado y capacitado para tener en cuenta los aspectos de seguridad necesarios? ¿Qué riesgos corre esta información en términos de confidencialidad, accesibilidad e integridad? ¿Cuál o cuales son las medidas de seguridad definidas para los archivos, sistemas y personal que tienen relación con los activos de información?

Una vez definidos, podemos organizar la información en una tabla de gestión de activos de informáticos, que para este caso se centrará únicamente en los datos personales de los pacientes: ID

Nombre

Descripción Servidor local en donde se encuentra instalada la aplicación de gestión de pacientes.

Responsable

Tipo

Critico

001

Servidor 01

En este servidor también se encuentra la página web, por ende, acá se almacenan los datos de contacto de personas que han diligenciado el formulario Web.

SW System S.L

Físico-Local



002

Carpetas FV

003

Servidor “Nube”

004

Equipos de acceso a servidores

2.2.3.

Carpetas que contienen todos los formatos de vinculación de los pacientes con su información. Servidor del nuevo proveedor que mediante su aplicación SaaS, realizará el procesamiento, análisis y almacenamiento de la información Mediante estos equipos, el personal de los diferentes procesos accede a la información almacenada, para su posterior uso, dependiendo de las funciones y tareas asignadas.

Asistente Admin

Físico-Papel

No

No problem S. L.

Físico-Nube

Si

Personal designado por la clínica

Físico - Local

No

Gestión del riesgo

En esta etapa, verificaremos los diferentes riesgos a los que está expuesta la información de los pacientes en cada uno de los activos identificados y además las diferentes medidas que se encuentran implementados en la organización para mitigarlos total o parcialmente: ID

Riesgo Robo o modificación de la información por parte del personal de soporte.

001 Acceso a información por parte del personal no autorizado

002

003

004

Pérdida de información por daño o robo del equipo Pérdida o daño de información debida a daños físicos Acceso a información por parte del personal no autorizado Robo o modificación de la información por parte del personal de soporte. Acceso a información por parte del personal no autorizado Pérdida de información por daño o robo del equipo Acceso, robo o modificación por parte de personal no autorizado

Tratamiento -Cláusulas específicas de encargado de tratamiento de datos con el proveedor -Revisión periódica del soporte y mantenimiento realizado al servidor. -Procedimiento de selección y evaluación de proveedores para garantizar que sea idóneos -Gestión de usuarios con permisos específicos a la información de los pacientes. -Cláusulas de confidencialidad con los empleados, según el tipo de información que requieran utilizar

Aspecto afectado

Confidencialidad Integridad

Confidencialidad

-Procedimientos periódicos de BackUp

Accesibilidad

-Puerta contra incendio de armario -Digitalización de archivos cada 2 meses, guardado en servidor Local

Accesibilidad

-Medidas físicas para evitar intrusión de personal no autorizado a la información

Confidencialidad Integridad

-Procedimiento de selección y evaluación de proveedores que garantiza la correcta identificación de necesidades y cumplimiento de requerimientos de idoneidad de los di referentes proveedores. En este caso el del aplicativo tipo SaaS. -Clausulas de responsabilidad y asignación como encargado del tratamiento de datos (No en su totalidad)

Confidencialidad Integridad Accesibilidad

-Capacitación para concientización del personal con respecto a la seguridad de la información. -Políticas de gestión de usuarios y contraseñas seguras. -Política de cierre de sesión periódico para evitar accesos no autorizados.

Confidencialidad Integridad

2.2.4.

Evaluación de Impacto de Protección de Datos

Una vez que la metodología de gestión del riesgo está definida y el flujo de información, se ingresa la información a la aplicación Sandas GRC, con el fin de obtener la Evaluación de Impacto de Protección de Datos, el cual se encuentra como anexo a la actividad.