Master en Ciberseguridad

Marco Normativo, Cumplimiento y Privacidad

Cumplimiento
Antes de empezar …

Conozcámonos …
 Reseña Personal

• Elena Mora González es la directora de privacidad y protección del dato en MAPFRE a nivel
corporativo en el GRUPO MAPFRE.
• Dedicada desde hace más de 22 años a la seguridad, la gestión de riesgos y la privacidad.
• Licenciada en ciencias matemáticas, master en dirección de entidades aseguradoras, acreditada
como directora de seguridad privada por el Ministerio del Interior y posee diversas certificaciones
profesionales entre las que se encuentran la de Delegado de Protección de Datos (certificado de
CERPER de conformidad con el esquema de certificación de delegado de protección de datos de la
Agencia Española de Protección de Datos), el CDPP (Certified Data Privacy Professional), CISA
(Certified Information Systems Auditor), CISM (Certified Information Security Manager), CRISC
Certified in Risk and Information Systems Control ) así como la de Experto Delegado de Proteccion
de Datos por AENOR.
• Entre sus responsabilidades en MAPFRE se encuentran la dirección de la Oficina Corporativa de
Privacidad y Protección de datos, la dirección y coordinación de las áreas de Privacidad y Protección
de Datos de las distintas entidades del GRUPO, y el liderazgo de proyectos de Adecuación a las
distintas normativas en la materia como el RGPD en la UE o la Ley General de Protección de Datos
(LGPD) en Brasil.
• Además, es profesora del ISMS Forum, del Instituto de Empresa así como de otras organizaciones,
en cursos y masters relacionados con la privacidad y la protección de datos.
• Ponente en diversos foros o eventos y participante en distintos grupos de trabajos relacionados con
la privacidad y la protección de datos.
 Vuestro turno …

• Presentación

• Por qué el master de

ciberseguridad.

• Qué esperáis de las

próximas sesiones
 Mi objetivo para estas sesiones …

Que conozcáis el porqué de las distintas normativas.

Que interioricéis los riesgos asociados a un incumplimiento

y las consecuencias que pueden tener asociadas.

Que aprendáis la importancia de los programas de

cumplimiento y cómo llevarlo a cabo.

Que sepáis en detalle cómo implantar las normativas de

privacidad en una organización.
CUMPLIMIENTO
 Índice

1. Origen de las normativas

2. Riesgos de no cumplir
3. Programas de cumplimiento
 Índice

1. Origen de las normativas

2. Riesgos de no cumplir
3. Programas de cumplimiento
 Origen de las normativas

¿Por qué surgen las distintas

normativas?

¿Por qué se han incrementado las

asociadas a la ciberseguridad?
 Origen de las normativas

• Sociedad
• Ordenar la conducta
• Facilitar la convivencia
• Favorece desarrollo social
 Origen de las normativas

• Sujetas a la evolución
• Nuevas realidades sociales
• Nuevos riesgos
• Nuevas necesidades
• Nuevas preocupaciones
 Origen de las normativas

Y en Seguridad …

• Mayor dependencia
de sistemas Normativas específicas de
seguridad
• Mayores riesgos
• Mas globales
• Mayores capacidades
Normativas con requisitos
tecnológicas específicos de seguridad
• Mayor interconexión
• …
Origen de las normativas

Cada vez hay que “lidiar”

con más normativas
 Índice

1. Origen de las normativas

2. Riesgos de no cumplir
3. Programas de cumplimiento
 Riesgos de no cumplir

• SANCIONES

• RESPONSABILIDAD CIVIL

• RESPONSABILIDAD PENAL

• CIERRE DEL NEGOCIO

• FUGAS DE INFORMACION

• PROBLEMAS DE SEGURIDAD

• PERO ADEMAS …

Fuente: https://enforcementtracker.com/?insights
 Riesgos de no cumplir

• IMAGEN / DAÑO REPUTACIONAL

GETTI IMAGES
 Índice

1. Origen de las normativas

2. Riesgos de no cumplir
3. Programas de cumplimiento
 Programas de cumplimiento - Introducción

Recordemos ...

Cada vez hay que “lidiar”

con más normativas
 Programas de cumplimiento - Introducción

“No basta que la mujer del Cesar sea

honesta; también tiene que parecerlo”
 Programas de cumplimiento

Define estándares y guías

Marco de Control Interno para el tratamiento de los
datos

Impone obligaciones a la
compañía y a los Facilita el cumplimiento
empleados para asegurar normativo a nivel interno
un tratamiento lícito

Cobra especial relevancia con el Reglamento Europeo

donde se incluye el concepto de ACCOUNTABILITY
 Programas de cumplimiento - Ventajas

Facilita el conocimiento y cumplimiento de las regulaciones de protección datos evitando

sanciones, fuga de datos, pérdida de imagen, etc…

Facilita la adaptación a los cambios regulatorios en protección de datos entendiendo los

requisitos implicados en nuevas regulaciones

Facilita la adopción de Códigos de Conducta y la obtención de certificaciones que pueden

ayudar a demostrar el cumplimiento ante la autoridad de control competente

Ayuda a establecer una cultura de privacidad y seguridad dentro de la compañía -

concienciación de los usuarios y guías de buenas prácticas.

Permite tener siempre identificados los riesgos asociados a los tratamientos de datos que se
lleven a cabo dentro de una compañía..
 Programas de cumplimiento – Pre Diseño

¿Antes de comenzar con el diseño

del Programa de Cumplimiento, hay
algún aspecto de la Organización
que haya que tener en
consideración?
 Programas de cumplimiento – Pre Diseño

• Puede haber tantos Programas de Cumplimiento como

Organizaciones.
• Aspectos que impactan/condicionan en los Programas:
• Compromiso de la Alta Dirección
• Alcance que se quiere cubrir
• Recursos disponibles
• Nivel de exigencia asociado
• Madurez de la Función
• …
 Programas de cumplimiento – Pre Diseño

• Otros aspectos a tener en consideración:

– Tipo de Organización empresarial
– Dispersión geográfica
– Dispersión de responsabilidades
– Existencia o no de Marco Común
– Necesidad de relaciones interdepartamentales
– Líder del programa
 Programas de cumplimiento – Pre Diseño

¿Cómo se puede conseguir la

implantación?
 Programas de cumplimiento – Pre Diseño

Importante definir Política de Seguridad y Privacidad

Declaración de alto nivel de objetivos, directrices y compromiso de la Dirección

para acometer la gestión de la Seguridad de la Información o la Privacidad y
Protección de Datos

• Declaración formal, breve y de alto nivel.

• Debe proporcionar dirección y apoyo a la gestión de seguridad de la

información y privacidad y protección de datos.

• Describe las consecuencias de no cumplir con ella, los medios de gestión de

excepciones y la manera en la que se comprobará y se medirá el
cumplimiento de la política.
 Programas de cumplimiento – Pre Diseño

Política de Seguridad y Privacidad

• La Política debería estar soportada por políticas temáticas específicas u

objetivos de seguridad y privacidad.

• Regula el uso de la Información y de los sistemas que lo tratan con el fin de

mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma.

• Sirve como herramienta de concienciación del personal.

• Sirve para cumplir leyes y regulaciones y contratos

 Programas de cumplimiento - Diseño

El programa se compone:

• Identificación del Marco o Marcos de Referencia a tener

en consideración.

• Identificación de los
objetivos de control y
controles asociados a los
marcos de referencia
identificados.
 Programas de cumplimiento - Diseño

• Identificación de la importancia / criticidad de cada uno

de los requisitos.

• Evaluación del nivel de control o nivel de cumplimiento.

• Identificación de riesgos en los que incurre la compañía

respecto de los datos y tratamientos identificados.

• Establecimiento de políticas y guías de uso para alinear

los procesos y tratamientos de los datos con las
regulaciones existentes.
 Programas de cumplimiento - Diseño

• Establecimiento de planes de adecuación o proyectos

específicos en caso de necesidad.

• Establecimiento de roles y responsabilidades.

• Mejora continua de los procedimientos

 Programas de cumplimiento - Diseño

Conocer la situación
actual

Implantación de los Conocer la estrategia

proyectos de la organización

Aprobación por la Definir proyectos e

dirección iniciativas

Clasificación y
priorización
 Programas de cumplimiento - Diseño

¿Por qué es importante la

asignación de roles y
responsabilidades?

¿Cómo se pueden “asignar”?

 Programas de cumplimiento - Diseño

• La alta dirección debe asegurarse que los roles y

responsabilidades en materia de Seguridad y Privacidad estén bien
asignados y comunicados.

• Necesario para garantizar el cumplimiento de lo establecido en la

política, el seguimiento del nivel de cumplimiento, el reporte a la
alta dirección, …

• De nada sirve definir objetivos, tareas si

no se identifica responsables.

¡¡Cuidado con la falsa percepción de

seguridad / control, ….!!
 Programas de cumplimiento - Diseño

• Importante identificar: Política de Seguridad

‒ Áreas implicadas Organización de Seguridad

Clasificación y control de activos

‒ ¿Quién tiene que hacer

Seguridad Seguridad Gestión de Gestión de Adq. Desa.
Y Mto
qué?
del environmental
física y operacio- comuni- Cifrado
personal ambiental nes caciones Sistemas

‒ ¿Quién es el responsable Control de acceso Suministrad

ores
Gestión Incidentes

de hacer qué? Continuidad de Negocio

Cumplimiento

• Ejemplo – para cada dominio (ISO 27002:2013) se debe establecer

quién es el responsable de qué.
 Programas de cumplimiento - Diseño

MATRIZ RACI

• R “Responsible”: es quien ejecuta una tarea. Su función es “HACER”.

• A ”Accountable": es quien vela porque la tarea se cumpla, aún sin tener que
ejecutarla en persona. Su función es “HACER HACER”.
• C "Consulted): indica que una persona o área debe ser consultada respecto
de la realización de una tarea.
• I "Informed): indica que una persona o área debe ser informada respecto de
la realización de una tarea.

Muy útil en determinadas tareas en el que son múltiples los implicados y no

queda claro cuál es la responsabilidad de cada uno.
 Programas de cumplimiento - Diseño
MATRIZ RACI – Proceso elaboración

• Identificar las actividades de algún proceso (y colocarlas como filas de la

matriz).
• Identificar / definir los principales roles funcionales (y colocarlos como
columnas de la matriz).
• Asignar los códigos “RACI” a cada tarea
 Programas de cumplimiento - Diseño

• Identificar ambigüedades o problemas (solapamientos, vacíos, dudas, etc.)

y trabajar para solucionarlos.
• Distribuir la matriz e incorporar el feedback.
• Comunicarla de modo efectivo a todos los involucrados en el proceso.
• Revisarla periódicamente y actualizarla en caso de necesidad

Un mismo rol puede ser compartido por más de una persona o viceversa, sobre
todo en organizaciones pequeñas.
 Programas de cumplimiento – Post Diseño

Una vez definido el Programa de

Cumplimiento de Protección de
Datos y Seguridad, ¿está todo
hecho?
 Programas de cumplimiento – Post Diseño

EVALUACIÓN:

Verificar que se cumplen los requisitos presentes

en los Marcos de Referencia (ISO 27001, LOPD,
RDLOPD, RGPD,..)

Verificar que los controles funcionan como se

diseñaron
Objetivos de la
evaluación
Concluir que el riesgo se encuentra mitigado

Mejora continua de los Controles y del nivel de

cumplimiento
 Programas de cumplimiento – Post Diseño

La evaluación del nivel de cumplimiento engloba varias fases:

Ejecución y
Diseño de las Interpretación
documentación
pruebas de las pruebas
de las pruebas

• Fase 1:
– Todas las actividades previas a la evaluación del nivel de cumplimiento.
• Fase 2:
– Documentar, al menos, descripción y alcance de la prueba, detalle del trabajo
realizado y conclusión.
• Fase 3:
– Concluir si el riesgo está o no mitigado, aportando conclusiones a nivel de control
y riesgo
 Programas de cumplimiento – Post Diseño
Planificar el Cumplimiento

Adaptar el Programa A PDCA D Implementar Políticas,

Procedimientos,
Controles ….

Identificar Mejoras Evaluar Controles,

requisitos, ….
C
Analizar y revisar

CICLO DE DEMING
Programas de cumplimiento – Post Diseño
 CONCLUSIONES – PROGRAMAS DE CUMPLIMIENTO

• Importancia mayor de los programas de cumplimiento de Privacidad y

Seguridad.
• No existe un único programa ni un programa ideal – “perfecto”. Depende de
múltiples factores y realidades.
• Implicación de la Dirección vital para la consecución de un nivel de
cumplimiento óptimo.
• Necesario tener claro el objetivo a conseguir (en todos los ámbitos)
• No sirve de nada si no están definidos los roles y responsabilidades de TODOS
• Una vez definido el Programa debe verificarse y revisarse periódicamente.
• La existencia de un programa de Cumplimiento no es sinónimo de garantía de
cumplimiento.