NYMITY GLOBAL    |    LOGIN CLIENTES   Login    |    CONTACTO    |    PRUEBA GRATUITA

CATEGORÍA DE GESTIÓN DE DATOS

11. Mantenga un programa de gestión de incidentes y vulneraciones de datos

Mantenga un programa efectivo de gestión de incidentes y vulneraciones de datos personales

CATEGORÍA DE GESTIÓN DE DATOS:

11. Mantenga un programa de gestión de incidentes y vulneraciones de datos

Mantenga un programa efectivo de gestión de incidentes y vulneraciones de datos personales

Este proceso de gestión de datos es parte del Marco Nymity de Gobernanza en Privacidad y Protección de Datos. Haga clic en una de las Actividades de Gestión de Información que se encuentran en la parte de abajo y encuentre más información sobre el alcance, los recursos disponibles y otros detalles.

Mantenga un plan de respuesta a incidentes de datos personales

La organización crea y mantiene un plan de respuesta a incidentes/brechas que proporcione una metodología coherente, sistemática y dinámica de manejar incidentes de datos personales e incidentes de seguridad que afecten los datos personales de una manera consistente. Fuera del alcance de esta actividad están las notificaciones que serían proporcionadas a los individuos afectados, a las autoridades de protección de datos o a otros terceros en caso de un incidente de seguridad.

Mantenga un protocolo de notificación (a los titulares afectados) y de reportes (a las autoridades de protección de datos, centrales de riesgo, policía, etc.) sobre incidentes

La organización crea y mantiene notificaciones sobre los incidentes y un protocolo de reportes que ofrece un plan para proporcionar notificaciones dentro de los plazos sobre los incidentes a los individuos afectados, agencias gubernamentales, autoridades de protección de datos y otros terceros externos. El plan asegura que las notificaciones y los reportes están alineados con los requisitos legales y las mejores prácticas. Fuera del alcance de esta actividad están otras actividades en las que una organización debe involucrarse para remediar un incidente.

Mantenga un registro para rastrear incidentes

Esta actividad de gestión de información abarca los pasos para garantizar que los protocolos que se han establecido para tener en cuenta las infracciones de protección de datos son eficaces y que el personal involucrado está en capacidad de implementar el protocolo. Un protocolo de incidentes de seguridad  implica típicamente involucrar un gran número de departamentos de una organización, incluyendo inclusive a la oficina del CEO. Debido a la amplitud de la implicación, lo más apropiado es llevar a cabo un ejercicio organizado alrededor de una reunión de trabajo de las partes interesadas. Los ejercicios funcionales y otro tipo de pruebas están fuera de alcance para esta actividad de gestión de información.

Monitoree y reporte las mediciones de incidentes de datos personales (ej. naturaleza del incidente, riesgo, razón de fondo)

La organización registra, documenta y reporta resultados de medición sobre incidentes de protección de datos actuales y supuestos o brechas con el fin de:

  • Determinar el cumplimiento de los requisitos legales;
  • Medir la eficacia de las políticas y procedimientos de respuesta a los incidentes en términos tanto de costos como de horas involucradas;
  • Mantener a la junta directiva y la Gerencia informados sobre cómo se están manejando los incidentes y cualquier nuevo riesgo de ciberseguridad que necesite recursos para atenuarse.

Lleve a cabo pruebas periódicas del plan de respuesta a incidentes

Esta actividad de gestión de información abarca los pasos para garantizar que los protocolos que se han establecido para tener en cuenta las infracciones de protección de datos son eficaces y que el personal involucrado está en capacidad de implementar el protocolo. Un protocolo de incidentes de seguirdad implica típicamente involucrar un gran número de departamentos de una organización, incluyendo inclusive a la oficina del CEO. Debido a la amplitud de la implicación, lo más apropiado es llevar a cabo un ejercicio organizado alrededor de una reunión de trabajo de las partes interesadas. Los ejercicios funcionales y otro tipo de pruebas están fuera de alcance para esta actividad de gestión de información.

Involucre a un proveedor de respuesta de incidentes

Antes de experimentar un incidente de seguridad, la organización contrata proveedores de respuesta de remediación a incidentes buscando servicios que pueden ser necesarios para responder a estos casos, incluyendo el ofrecimiento de:

  • Un call center;
  • Notificaciones;
  • Servicios de relaciones públicas;
  • Monitoreo de historiales de crédito; o
  • Servicios de respuesta por robo de identidad.
Fuera del alcance de esta actividad de gestión de información está la contratación de un equipo de investigación forense o la compra de un seguro contra incidentes de protección de datos.

Involucre a un equipo de investigación forense

Antes de experimentar un incidente, la organización implementa sistemas de investigación forense internos o contrata a un equipo de investigación forense para:

  • Determinar la naturaleza y extensión del incidente;
  • Prevenir pérdida de datos en el futuro; y
  • Conservar la evidencia respecto del incidente de tal forma que pueda ser presentada como prueba en los tribunales.

Obtenga un seguro con cobertura de incidentes de datos personales

Antes de un incidente, la organización adquiere un seguro contra incidentes de seguridad que cubra los costos asociados con dichos incidentes, tales como las notificaciones de envío y la supervisión del crédito u otros servicios al cliente relacionados con los individuos afectados. El seguro puede también indemnizar a la organización frente a demandas que se presenten como resultado del incidente.

Marco Nymity de Gobernanza en Privacidad y Protección de Datos

130+ Actividades de Gestión de Información, estructuradas en Categorías de Gestión de Datos

El Marco es un listado completo de más de 130 actividades de gestión de información, neutral en materia de jurisdicciones y de categorías de industria, agrupadas en 13 Categorías de Gestión de Datos. El Marco forma la base para estructurar un programa integral de protección de datos personales en cualquier organización al ser neutral en términos de jurisdicción e industria.

Haga clic aquí para descargar la lista completa de Actividades de Gestión de la Información o para obtener más información del Marco Nymity de Gobernanza en Privacidad y Protección de Datos.

© 2002-2017 Nymity Inc. All Rights Reserved.