Gtag 05 Global Technology Audit Guide

Global Technology Audit Guide GUIA 05: Manejar y Auditar riesgos de privacidad.

Balance • ¿Es necesario entregar datos? • ¿Seguridad de la información? – Confianza. – Cumplimiento.

GTAG – Global Technology Audit Guide

Buen control • Beneficios de un buen control sobre los datos y la privacidad: – Imagen publica y marca. – Datos valiosos de clientes y empleados. – Ventaja competitiva. – Cumplimiento.

GTAG – Global Technology Audit Guide

Significado • Privacidad Personal >> Física y psicológica. • Privacidad de espacio >> Libertad de vigilancia. • Privacidad de información >> Control sobre la recolección, uso y discreción de información personal. • Fuente: Canadian Institute Accountants (CICA), 2002

GTAG – Global Technology Audit Guide

of

Chartered

Información personal • Datos propios que permiten acciones tangibles en el mundo real: – Nombre completo. – Rut (Seguro social en USA) – Tarjetas de crédito. – Cuentas bancarias. – Registros como empleado. – Pasaporte. GTAG – Global Technology Audit Guide

Información sensible • Información no vital, pero que aporta datos relevantes de personas: – Registro de enfermedades o ficha medica. – Información religiosa. – Datos penales.

GTAG – Global Technology Audit Guide

Roles relacionados • • • • •

Sujeto de datos. Controlador de datos. Oficial de privacidad. Regulador. Proveedor de servicio.

GTAG – Global Technology Audit Guide

Peligros admin. • • • • •

Perdida de confianza de publico. Perdida de activos. Sanciones de regulador(es). Perdida de clientes. Daño en imagen publica.

GTAG – Global Technology Audit Guide

Contrib. del Auditor • Determinación de la legislación aplicable, con el consejo de Auditoria. • Evaluar controles periódicamente junto con administradores de TI y dueños de proceso. • Conducir la evaluación del riesgo o revisar la efectividad de políticas y controles. • Identificar el tipo de información, metodología y necesidad. GTAG – Global Technology Audit Guide

• Riesgo de privacidad y matriz de acción: – Pagina nº 5 de la guía.

GTAG – Global Technology Audit Guide

Modelo de madurez

M

at ur i

ty

Le

ve

l

Optimizing

Repeatable

Initial

Defined

Managed

Continual improvement of privacy policies, practices, and controls, with: • Changes systematically scrutinized for privacy impact. • Dedicated resources allocated to achieve privacy objectives. • A high level of cross-functional integration and teamwork to meet privacy objectives.

A consistently effective level of managing privacy, privacy requirements, and considerations is reflected in organization, with: • Early consideration of privacy in systems and process development. • Privacy integrated in functions and performance objectives. • Monitoring on an organizational and functional level. • Periodic risk-based reviews.

The privacy policy and organization are in place, with: • Risk assessments performed. • Priorities established and resources allocated accordingly. • Activities to coordinate and deploy effective privacy controls.

The privacy policy is defined, with: • Some senior management commitment. • General awareness and commitment. • Specific plans in high-risk areas.

Activities are ad hoc.

GTAG – Global Technology Audit Guide

Marco referencial, normativa • Se debe seleccionar el marco referencial que mas beneficie a la empresa. • Se deben respetar las regulaciones locales y/o internacionales. • Existen marcos profesionales y de negocios.

GTAG – Global Technology Audit Guide

¿Preguntas?

GTAG – Global Technology Audit Guide