impacto en la seguridad y los programas de proteccion de datos agustin moreno

Copyright © 2017 Forcepoint. All rights reserved. | 1

GDPRIMPACTO EN LA SEGURIDAD Y LOSPROGRAMAS DE PROTECCION DE DATOS

Agosto 2017

Agustin Moreno, Regional SE, Peru-Ecuador-Bolivia

Forcepoint

[email protected]


AGENDA• Quien es FORCEPOINT?

• Ley Protección Datos Personales - Perú

• GDPR : General Data Protection Regulation – UE

• FORCEPOINT: Que aporta a los requerimiento de GDPR

• Recomendaciones

• Sección de dudas


Líder Comercialcon

Seguridad de contenido & DLPNube / On-Premise / Híbrido

Pionero en defensa cibernéticacon

Recursos financierosProfundo entendimiento de detección de amenazas

SUREVIEW

Innovador en redescon

Prevención y evasión avanzada

Seguridad PERIMETRAL

UNA NUEVA VISIÓN DE LA SEGURIDAD


Donde los datos críticos y la PropiedadIntelectual es más valiosa – y Vulnerable

PROTECTING THE HUMAN POINT


Ley Protección Datos Personales - Perú

1. Ley Nro. 29733. Decreto Supremo Nro. 003-2013-JUS.2. Desarrollo en detalle de un Derecho fundamental: Todos los

datos que entregamos no sean usados de manera que nosperjudiquen.

3. Empresas públicas, privadas y estatales.4. Entidades deben otorgar medidas de seguridad para que esto

no ocurra.5. Modelo Europeo.6. Autoridad Nacional Protección de Datos Personales (ADPD).*Bajo jurisdicción del Ministerio de Justicia.*Difusión, Supervisión, Recepción de Denuncias (por teléfono, porcorreo, por escrito) por Oficio o por Tutela, Sanciones.Multas: Leves, Graves y Muy Graves0.5 - 100 UIT (1 UIT= S/.4,050)


8/14/2017 9

VS


GENERAL DATA PROTECTION REGULATION -GDRP-Reglamento General de Protección de Datos (RGPD)

1. Origen: Parlamento europeo, Consejo de la Unión europea yComision europea, buscan fortalecer y unificar la normatividad

applicable a sus miebros y a quienes se involucren con ellos.2. Exigibilidad: 25 de mayo de 2018 (2 años despues de la publicación -26 de mayo de 2016-)

3. Sustituye: la Directiva de Protección de Datos 95/46/EC (Data Protection Directive

95/46/EC)

4. Finalidad: “amplía(r) el ámbito de aplicación de la legislación de protección de

datos de la UE a todas las empresas extranjeras que procesan datos de residentesde la UE (…) facilitando así que las empresas no europeas cumplan estas normas;Sin embargo, esto se produce a costa de un estricto régimen de cumplimiento de laprotección de datos con severas sanciones de hasta el 4% del volumen de negociosmundial”


GENERAL DATA PROTECTION REGULATION -GDRP-Reglamento General de Protección de Datos (RGPD)

1. Origen: Parlamento europeo, Consejo de la Unión europea y Comision europea, buscan fortalecer y unificar la normatividad applicable a sus miebros y a quienes se involucren con ellos.2. Exigibilidad: 25 de mayo de 2018 (2 años despues de la publicación -26 de mayo de 2016-)3. Sustituye: la Directiva de Protección de Datos 95/46/EC (Data Protection Directive 95/46/EC)4. Finalidad: “amplía(r)el ámbito de aplicación de la legislación de protección de datos de la UE a todas las empresas extranjeras que procesan datos de residentes de la UE (…) facilitando así que las empresas no europeas cumplan estas normas; Sin embargo, esto se produce a costa de un estricto régimen de cumplimiento de la protección de datos con severas sanciones de hasta el 4%del volumen de negocios mundial”

5. Alcance:1. El reglamento aplica al responsable de los datos.2. El Reglamento también se aplica a las organizaciones con sede fuera de la Unión Europea si recogen o

procesan datos personales de residentes en la UE.

3. Según la Comisión Europea, "datos personales son cualquier información relativa a un individuo, ya sea

que se relacione con su vida privada, profesional o pública. Puede ser cualquier cosa de un nombre, unadirección de casa, una foto, una dirección de correo electrónico, un detalles financieros, publicaciones en

sitios de redes sociales, información médica o dirección IP de un computador".

4. El reglamento no aplica al tratamiento de datos personales para actividades de seguridad nacional o

aplicación de la ley.

6. Que es tratamiento de datos:1. ES: "cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida,

grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión,

así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y

transferencias".

2. PE: “Cuando realizo alguna operación o procedimiento técnico automatizado o no, que permite recopilar,registrar, organizar, conservar, elaborar, extraer, consultar, utilizar, bloquear, suprimir comunicar o cualquier

otra forma de procesamiento que facilite el acceso a la recolección o la interconexión de datos personales.”


PORQUE ES IMPORTANTE1. Aplica a todos, comunitarios o no, que hagan tratamiento de

datos de residentes de la EU.

2. El costo de cumplir la regulación es elevado.

3. El costo de no cumplir es aun más elevado. (4% de los ingresos anuales o€20 milliones)

4. Aplicación inmediata, sin necesidad de desarrollo de cadapaís.

5. Las sanciones serán “efectivas, proporcionales y disuasivas”


Donde está en su preperación para GDPR y/u otrasleyes de cumplimiento de protección de datos?

PREGUNTA ABIERTA

a) Aun no hay esfuerzo

b) Etapas iniciales

c) Etapas adelantadas

d) Completo!


CUALES SON LOS REQUISITOS

1. Las organizaciones deben ser capaces de demostrarcumplimiento.

2. Debe existir una base jurídica para el tratamiento de losdatos personales.

3. Las organizaciones deben mantener registros precisossobre las actividades de procesamiento de datos.

4. La obtención del consentimiento de los titulares, es másestricto de lo que era antes.

5. Las organizaciones deben mantener un "Oficial deProtección de Datos"


PORQUE ES IMPORTANTE

� La mayoría de lasorganizaciones no hanasignado presupuestopara lograr elcumplimiento de GDPR.

� Sólo el 29% de lasorganizaciones creenque sus enfoquesorganizativos ytécnicos para laprotección de datoshoy en día son"maduros" o "muymaduros"


TECNOLOGIAS NECESARIAS PARA EL CUMPLIMIENTO DEL GDPR• Soluciones para gestionar los procesos de

recogida, almacenamiento y tratamiento dedatos personales sobre los residentes de laUE.

• Soluciones para descubrir, catalogar yclasificar datos.

• Protección contra pérdida de datos (DLP).• Encriptación.• Email.• Identificación y bloqueo de la fuga de datos.• Portabilidad de datos.• Gestión de dispositivos móviles.• Seguridad Perimetral.• Anti-malware.• Prueba de seguridad de aplicaciones.• Gestión de identidades y accesos.

Copyright © 2017 Forcepoint. All rights reserved.Copyright © 2017 Forcepoint. All rights reserved. | 18

Forcepoint:Que aporta a los requerimientos de GDPR?


MAPEO, ADMINISTRACION&

CONTROL DE FLUJO DEDATOS PERSONALES

PREPARE LA RESPUESTA

A TIEMPO

INVENTARIODE

DATOS PERSONALES

QUE APORTA FORCEPOINT

Módulos DLP: Gateway, EndpointWeb & Email Security

DLP: Discover,Cloud, Endpoint

Consolas de administracióny Dashboards

72


POLITICAS PREDEFINDAS OPTIMIZANDO TIEMPO DE DESPLIGUE

https://www.websense.com/content/support/library/data/v83/policy_classifier/data%20usage%20policies.aspx

Politicas de IPI (PII)


ADMINISTRACION DE FLUJO DE DATOS

FuenteDestino

Forense

AcciónCanal

Flujo de trabajo - DPO

Remediación - Cifrado/Seudóniminazación

Escalamiento- Incidentes


EJEMPLOS DE REPORTES: INVESTIGACION DE BRECHA DE DATOS

Identificación de Usuarios de

Alto Riesgo Contextual al

Negocio

Identificación de datos en alto

riesgo las útimas 24 hrs

Incident Risk Ranking basado en machine

learning y Análitica de Seguridad en incidentes

agrupados por casos


CALIFICACION DE USUARIOS & INVESTIGACION CON FORCEPOINT INSIDER THREAT


1. Si “medio” tiene relación con información de la EU, TIENEque cumplir con la GDPR.

2. Sociedades extranjeras, tienen que adecuarse lo máspronto posible.

3. La tecnología es el medio idóneo para cumplir con lanormatividad y mitigar los riesgos técnicos y jurídicos.

4. Busque ayuda si es necesaria.

SUGERENCIAS

Copyright © 2017 Forcepoint. All rights reserved. | 25Copyright © 2017 Forcepoint. All rights reserved. | 25

Gracias

Agosto 2017

Agustín Moreno, Regional SE, Perú-Ecuador-Bolivia

Forcepoint

[email protected]

impacto en la seguridad y los programas de proteccion de datos agustin moreno

Technology