Global Technology Audit Guide GUIA 05: Manejar y Auditar riesgos de privacidad.
Balance • ¿Es necesario entregar datos? • ¿Seguridad de la información? – Confianza. – Cumplimiento.
GTAG – Global Technology Audit Guide
Buen control • Beneficios de un buen control sobre los datos y la privacidad: – Imagen publica y marca. – Datos valiosos de clientes y empleados. – Ventaja competitiva. – Cumplimiento.
GTAG – Global Technology Audit Guide
Significado • Privacidad Personal >> Física y psicológica. • Privacidad de espacio >> Libertad de vigilancia. • Privacidad de información >> Control sobre la recolección, uso y discreción de información personal. • Fuente: Canadian Institute Accountants (CICA), 2002
GTAG – Global Technology Audit Guide
of
Chartered
Información personal • Datos propios que permiten acciones tangibles en el mundo real: – Nombre completo. – Rut (Seguro social en USA) – Tarjetas de crédito. – Cuentas bancarias. – Registros como empleado. – Pasaporte. GTAG – Global Technology Audit Guide
Información sensible • Información no vital, pero que aporta datos relevantes de personas: – Registro de enfermedades o ficha medica. – Información religiosa. – Datos penales.
GTAG – Global Technology Audit Guide
Roles relacionados • • • • •
Sujeto de datos. Controlador de datos. Oficial de privacidad. Regulador. Proveedor de servicio.
GTAG – Global Technology Audit Guide
Peligros admin. • • • • •
Perdida de confianza de publico. Perdida de activos. Sanciones de regulador(es). Perdida de clientes. Daño en imagen publica.
GTAG – Global Technology Audit Guide
Contrib. del Auditor • Determinación de la legislación aplicable, con el consejo de Auditoria. • Evaluar controles periódicamente junto con administradores de TI y dueños de proceso. • Conducir la evaluación del riesgo o revisar la efectividad de políticas y controles. • Identificar el tipo de información, metodología y necesidad. GTAG – Global Technology Audit Guide
• Riesgo de privacidad y matriz de acción: – Pagina nº 5 de la guía.
GTAG – Global Technology Audit Guide
Modelo de madurez
M
at ur i
ty
Le
ve
l
Optimizing
Repeatable
Initial
Defined
Managed
Continual improvement of privacy policies, practices, and controls, with: • Changes systematically scrutinized for privacy impact. • Dedicated resources allocated to achieve privacy objectives. • A high level of cross-functional integration and teamwork to meet privacy objectives.
A consistently effective level of managing privacy, privacy requirements, and considerations is reflected in organization, with: • Early consideration of privacy in systems and process development. • Privacy integrated in functions and performance objectives. • Monitoring on an organizational and functional level. • Periodic risk-based reviews.
The privacy policy and organization are in place, with: • Risk assessments performed. • Priorities established and resources allocated accordingly. • Activities to coordinate and deploy effective privacy controls.
The privacy policy is defined, with: • Some senior management commitment. • General awareness and commitment. • Specific plans in high-risk areas.
Activities are ad hoc.
GTAG – Global Technology Audit Guide
Marco referencial, normativa • Se debe seleccionar el marco referencial que mas beneficie a la empresa. • Se deben respetar las regulaciones locales y/o internacionales. • Existen marcos profesionales y de negocios.
GTAG – Global Technology Audit Guide
¿Preguntas?
GTAG – Global Technology Audit Guide