Cuando
visitó a las organizaciones es normal que las personas me digan que ya tienen
TODO o no tienen NADA en materia de privacidad.
Diría
mi abuelo, ni tanto que queme al Santo, ni tanto que no lo alumbre.
¿Cómo
saber en donde estoy en el tema de privacidad?
Anexo
10 grupos de preguntas para medir en donde se encuentra tu empresa en materia
de protección de datos personales.
1. ¿Quién es tu Chief Privacy
Officer (CPO) y quién es tu Chief Information Security Officer (CISO)?
a. Todo en la compañía los conocen?
2. ¿Quién es el ejecutivo que
lidera la seguridad y privacidad de la información?
a. ¿Es una posición formal o
informal?
b. ¿Existe un comité de seguridad y/o privacidad?
c. ¿Esta la seguridad representada en la mesa directiva?
d. ¿Se tiene el entendimiento de la
mesa directiva de la importancia de la privacidad?
e. ¿Conoce la mesa directiva las
posibles multas y penas?
f.
¿Esta incorporada la privacidad en la estrategia de ventas?
3. ¿Se tiene un inventario de datos personales y
clasificación de los mismo (Que datos, Donde estan y Quien tiene acceso a
ellos)
4. ¿Quién es más probable que
quiera acceder a los sistemas de tu empresa?
a. ¿Qué nivel de sofisticación,
alcance geográfico y los motivos (por ejemplo económica / malversación, robo de
identidad, robo de secretos comerciales) pueden tener estos enemigos?
5. ¿Tu empresa tiene un plan de
respuesta a incidentes?
a. ¿Tu empresa ha identificado a
los miembros clave internos y externos (IT, legal, relaciones públicas,
marketing, etc.) que deberían involucrarse en el caso de una vulneración a la
seguridad?
b. ¿Tu empresa tiene un plan para
comunicarse con las autoridades policiales?
6. ¿Está su empresa un entorno
BYOD?
a. ¿Cuál es la política sobre BYOD?
7. ¿Tu empresa tiene una visión
clara de los flujos de datos?
a. ¿Qué flujos de datos tienen
interacción con terceros o contratistas?
b. ¿Cómo confirmas la integridad de
los contratistas?
c. ¿Cómo te aseguras que las
soluciones de terceros, incluido el software, están libres de problemas e
incluyen la indemnización por posibles defectos?
8. ¿Tu empresa ha evaluado la
amenaza interna?
a. ¿Tiene tu empresa monitoreo de
las redes internas para el acceso o el uso compartido de archivos?
9. ¿Tiene tu empresa una
administración activa tanto la seguridad física y cibernética?
a. ¿Cómo y cada cuanto se revisa?
10. ¿Se tiene documentada la forma
en que se interactúa con los proveedores, clientes y socios?
a. ¿Hasta qué punto tiene tu
compañía ofrecer productos o servicios que, si se ve comprometida o mal usada
la información, afectarían a la empresa?
b. ¿Cada cuanto se está entrenando
a su personal con un programa continuo?
No comments:
Post a Comment