EXPOSICION GTA G5

Vista previa del material en texto

Gerente y Auditoría
Riesgos de privacidad
PROFESOR	: Ing. CARLOS GONZALEZ ASPAJO.
MATERIA: AUDITORIA INFORMATICA
INTRODUCCIÓN
01
PRINCIPIOS Y MARCOS DE PRIVACIDAD
02
PRIVACIDAD Y NEGOCIOS
03
PRIVACIDAD DE AUDITORÍA
04
RESUMEN
Uno de los muchos problemas de gestión de riesgos desafiantes y formidables que enfrentan las organizaciones hoy en día es proteger la privacidad de la información personal de los clientes y empleados. Como consumidores, nos preocupa cómo las empresas y organizaciones usan y protegen esta información.
Como dueños o gerentes de negocios, queremos satisfacer las necesidades y expectativas de nuestros clientes y empleados, cumplir cualquier promesa que les hayamos hecho en forma de políticas y avisos de privacidad, y cumplir con las leyes y regulaciones de seguridad y privacidad de datos aplicables. Cuando se gestiona mal, la confianza y la confianza se erosionan rápidamente. La privacidad es un problema mundial.
Muchos países han adoptado leyes de privacidad a nivel nacional que rigen el uso de información personal, así como la exportación de esta información a través de las fronteras. La reciente legislación de privacidad del sector industrial de los Estados Unidos incluye la Ley Gramm-Leach Bliley para la industria financiera y la Ley de Portabilidad y Responsabilidad de Seguros Médicos para la industria del cuidado de la salud. Los titulares de los artículos han demostrado que la privacidad y la protección de la información personal no es absoluta.
El buen gobierno implica identificar riesgos significativos para la organización, como un posible uso indebido, fuga o pérdida de información personal, y garantizar que se implementen los controles adecuados para mitigar estos riesgos.
Para las empresas, los beneficios de buenos controles de privacidad incluyen:
Proteger la imagen pública y la marca de la organización.
Proteger los datos valiosos de los clientes y empleados de la organización.
Lograr una ventaja competitiva en el mercado.
Cumplir con las leyes y regulaciones de privacidad aplicables.
Mejorar la credibilidad y promover la confianza y la buena voluntad.
Para las organizaciones del sector público y sin fines de lucro, los beneficios de buenos controles de privacidad incluyen:
Mantener la confianza con ciudadanos y no ciudadanos.
Mantener relaciones con donantes de organizaciones sin fines de lucro respetando la privacidad de sus actividades.
La mayoría de las organizaciones reconocen la necesidad de implementar buenas prácticas de privacidad. Además, la rendición de cuentas y la responsabilidad de mantener un programa de privacidad no siempre se asignan claramente y, a menudo, se distribuyen en toda la organización. Esto puede generar inconsistencia e incertidumbre cuando se trata de garantizar que se implementen buenas prácticas de privacidad y que funcionen de manera efectiva. 
Privacidad personal – Privacidad física y psicológica.
Privacidad del espacio – Libre de vigilancia.
Privacidad de la comunicación: libertad de vigilancia e intercepción.
Privacidad de la información: control sobre la recopilación, el uso y la divulgación de información personal por parte de terceros.
Fuente: Instituto Canadiense de Colegiados
Contadores (CICA), 2002
 
¿Qué es la privacidad?
La privacidad puede tener varios significados y, a menudo, se analiza en muchos contextos. La privacidad se ha considerado durante mucho tiempo como un derecho humano básico en la mayoría de las sociedades. Puede significar estar libre de la atención no deseada de otros o estar libre de observación o vigilancia. En su forma más simple, la privacidad se ha definido como «el derecho a que lo dejen en paz» . Las definiciones de privacidad en el entorno empresarial varían ampliamente según el país, la cultura, el entorno político y el marco legal. En muchos países, la privacidad está íntimamente ligada a la protección de datos.
En el contexto comercial actual, la privacidad a menudo se refiere a la privacidad de la información personal sobre un individuo y la capacidad del individuo para:
Saber cómo se maneja su información personal.
Controlar la información recopilada.
Controlar para qué se utiliza la información.
Controlar quién tiene acceso a la información.
Modificar, cambiar y eliminar la información. 
La privacidad de la información, que combina la privacidad de las comunicaciones y los datos, generalmente se puede describir mediante los derechos y obligaciones de las personas y las organizaciones con respecto a la recopilación, el uso, la retención y la divulgación de información personal sobre una persona identificable que incluye cualquier información fáctica o subjetiva, registrada o no, en cualquier forma. En otras palabras, la privacidad de la información se puede mantener asegurando un tratamiento y protección adecuados de la información personal.
Información personal
BUY
SELL
La información personal son datos que se pueden vincular o utilizar para identificar a una persona, ya sea directa o indirectamente. Algunos ejemplos de información personal son:
• Nombre.
• Domicilio o dirección de correo electrónico.
• Identificadores como Seguridad Social, seguros sociales, pasaporte o números de cuenta.
• Características físicas.
• Registros de crédito.
• Historial de compras del consumidor.
• Archivos de empleados. 
Información sensible
BUY
SELL
Parte de la información personal se considera información confidencial. Los ejemplos de información personal confidencial incluyen:
• Registros médicos.
• Información financiera.
• Origen racial o étnico.
• Opiniones políticas.
• Creencias religiosas o filosóficas.
• Afiliación sindical.
• Información relacionada con delitos o condenas penales.
La información anónima sobre personas no se puede asociar con individuos específicos. Tal información se denomina información no personal. Esto incluye información personal estadística o resumida para la cual se desconoce la identidad del individuo o se ha eliminado el vínculo con el individuo. Cuando la identidad de una persona no puede determinarse a partir de la información que queda, se considera "desidentificada" o "anonimizada". . 
Información Anonimizada
•Titular de los datos–Persona física cuyos datos personales se controlan.
•Control de datos – Organismo o entidad que controla los datos personales.
•oficial de privacidad–La función de contacto y supervisión de la privacidad de una organización.
•comisionado de privacidad–La autoridad de supervisión gubernamental, generalmente a nivel federal o estatal.
•Proveedores de servicio–En circunstancias en las que terceros estén 
Los Roles de Privacidad
La protección de la privacidad puede considerarse un proceso de establecimiento de un equilibrio adecuado entre la privacidad y múltiples intereses en competencia. Para minimizar la intrusión, maximizar la equidad y crear expectativas de privacidad legítimas y exigibles, en las últimas décadas ha evolucionado un conjunto de principios que rigen el procesamiento de la información personal de un individuo y un modelo de los roles de privacidad involucrados «Los roles de privacidad». 
Protección de la privacidad
Involucrados en el procesamiento de datos la forma en que una organización administra la información personal sobre clientes y empleados que recopila, usa, distribuye, almacena y protege es el núcleo del problema de privacidad para las empresas. Incidentes recientes de robo de identidad, mala gestión de la información personal y violación de los principios de privacidad han aumentado la presión regulatoria y de los consumidores sobre las organizaciones para desarrollar controles apropiados en relación con la privacidad, la gestión de datos y la seguridad de la información. Los controles adecuados pueden minimizar o evitar los riesgos para todas las partes involucradas.
Gestión de riesgos de privacidad
La privacidad es un problema de gestión de riesgos para las empresas y las organizaciones sin finesde lucro. Las encuestas continúan mostrando que los consumidores están preocupados por cómo las empresas usan su información personal.
Controles de privacidad
SELL
BUY
Proporcionar un gobierno y una supervisión adecuados por parte de los directores y la gerencia es un control esencial para abordar los riesgos de privacidad que enfrenta la organización. Además, la organización debe evaluar el cumplimiento de la privacidad y las prácticas y debilidades del manejo de datos y compararlas con las políticas internas, las leyes y los reglamentos y las mejores prácticas.
•	Gobernanza de la privacidad y responsabilidad.
•	Una declaración de privacidad.
•	Políticas y procedimientos escritos.
•	Controles y procesos.
•	Funciones y responsabilidades.
•	Capacitación y educación de los empleados.
•	Seguimiento y auditoría.
•	Prácticas de seguridad de la información.
•	Planes de respuesta a incidentes.
•	Leyes y reglamentos de privacidad.
•	Planes de respuesta a problemas detectados y 
•	acciones correctivas.
Es fundamental que la organización implemente un programa de privacidad efectivo que incluya:
Controles de privacidad
SELL
BUY
Los auditores internos pueden contribuir al buen gobierno y la rendición de cuentas al ayudar a una organización a cumplir sus objetivos de privacidad. Las actividades específicas que los auditores internos podrían realizar en esta área incluyen:
•Trabajar con un asesor legal para determinar qué leyes y reglamentos de privacidad serían aplicables a la organización.
•Trabajar con la administración de tecnología de la información y los propietarios de procesos comerciales para evaluar si los controles de seguridad de la información y protección de datos están implementados y se revisan periódicamente.
•Realización de evaluaciones de riesgos de privacidad o revisión de la eficacia de las políticas, prácticas y controles de privacidad en toda la organización.
•Identificar los tipos de información personal recopilada, la metodología de recopilación utilizada y si el uso de la información por parte de la organización es de acuerdo con su uso previsto. 
MATRIZ DE RIESGOS Y ACCIONES DE PRIVACIDAD
GRACIAS