Responsabilidad Penal Empresa. Gobierno Corporativo. Riesgos de la información
-
Upload
tus-consultores-legales -
Category
Business
-
view
518 -
download
2
description
Transcript of Responsabilidad Penal Empresa. Gobierno Corporativo. Riesgos de la información
www.tusconsultoreslegales.com
Imaginemos que una empresa, tiene los siguientes objetivos:
1- Gestionar, finalizar y lanzar el desarrollo de un nuevo producto
2- Asegurarse de que la información del desarrollo permanezca confidencial valorando previamente los riesgos
3- Asegurar las prácticas de buen gobierno, detectando qué políticas son necesarias para garantizar la información
4- Decidir qué sistemas de información son los adecuados en función de las necesidades propias del producto/negocio
5- Valorar las acciones a realizar a través de los medios de comunicación externos de la empresa
1. GOBIERNO CORPORATIVO. OBJETIVOS DE EMRPESA Y PLANIFICACIÓN LEGAL
www.tusconsultoreslegales.com
Siguiendo con el ejemplo, una vez conocidos los objetivos de negocio unidos a la perspectiva legal:
1- Detectar los activos intangibles que aumentarán el valor del negocio/producto
2- Valorar las implicaciones de la subcontratación del desarrollo del proyecto si procede
3- Detectar los puntos sensibles de fuga de información, (el personal interno, soportes y medios de comunicación, tanto internos como externos)
4- Valorar políticas tales como el uso del correo electrónico, redes sociales, accesos remotos, usos de dispositivos móviles y portátiles, por dónde circula la información y dónde es almacenada, valorar soluciones de biometría si la información es muy sensible, si conviene disponer de certificados de firma electrónica para preservar la información comprometida (utilizando soluciones de cifrado)
Es decir, cómo se gestionan los soportes y cómo se transporta la información
2. PLANIFICACIÓN LEGAL E IMPLEMENTACIÓN TÉCNICA
www.tusconsultoreslegales.com
Una vez decidido cuál es la mejor alternativa en la gestión de soportes y en la valoración del transportede la información:
1- Especificar las fases de desarrollo e implementación, en función de los objetivos y del presupuesto necesario a invertir en cada fase de desarrollo para minimizar los riesgos
2- De las medidas técnicas que se ha decidido implementar para minimizar los riesgos, detectar con el EVA (Economic Value Added) si se asegura el valor de los activos (valoración precisa de los activos tangibles e intangibles) con el fin de optimizar la gestión de los riesgos y crear valor.
3. IMPLEMENTACIÓN TÉCNICA Y OBJETIVOS DE EMPRESA
www.tusconsultoreslegales.com
1- Selección de indicadores económicos adecuados a la Unidad de Negocio
2- Unidad Organizativa a la que hace referencia
3- Perspectivas de la Organización
• Perspectiva financiera
• Perspectiva del cliente
• Perspectiva de los procesos internos
• Perspectiva de los empleados o colaboradores
4- Generación del Cuadro de Mando Integral considerando las perspectivas de la Organización
5- Controles trimestrales a Nivel Internacional y Actualizado
4. EVA (ECONOMIC VALUE ADDED) Y PLANIFICACIÓN DE FASES: DESARROLLO TÉCNICO
www.tusconsultoreslegales.com
Pero qué riesgos conviene tener en cuenta, en éste tipo de situaciones:
1- Analizar y evaluar las medidas de seguridad físicas y lógicas no implementadas y/o no vigentes (riesgo de fuga de bases de datos o información no debidamente protegidas, información de proyecto filtrada)
2- Soportes no convenientemente protegidos (la fuga de información en soportes es la más común)
3- No detección de suplantación de identidad (otra persona distinta a la empleada, emite comentarios negativos sobre la empresa en redes sociales o realiza conductas delictivas)
5. IDENTIFICACIÓN DE RIESGOS: EVITAR RESPONSABILIDADES PENALES (1/2)
www.tusconsultoreslegales.com
4- Canales de comunicación no cifrados ( modificación y escucha de la información confidencial cuando es transportada)
5- Disponibilidad de medidas de autocontrol del acceso a la información (si procede) del propio usuario por el propio usuario (permitir detectar accesos a la información confidencial, personal y privada, no autorizadas).
6- Riesgo por sustracción de soportes, de equipos portátiles o dispositivos móviles. La información únicamente debe estar disponible por el propio usuario o por las autoridades de control y los cuerpos de seguridad del Estado.
5. IDENTIFICACIÓN DE RIESGOS: EVITAR RESPONSABILIDADES PENALES (2/2)
www.tusconsultoreslegales.com
En cuanto a los riesgos internos:
1- No haber valorado la importancia de un entorno de confianza
2- No haber generado acuerdos de confidencialidad y políticas internas de empresa
3- No haber implementado medidas técnicas que permitan detectar evidencias en posibles infracciones o comisión de delitos
4- No haber implementado medidas técnicas de control que aseguren el entorno de confianza
5- No haber implementado una política global de seguridad integral
6- No mantener un seguimiento de las pautas del data protection officer o figura afín (consultor externo) en protección de datos personales, en pautas legales, políticas de prevención, gestión de información en medios de comunicación etc…
6. RIESGOS INTERNOS
www.tusconsultoreslegales.com
En cuanto a los riesgos externos: 1- No haber revisado cuidadosamente un contrato de subcontratación de servicios
2- No tener un control de la información comunicada
3- Haber facilitado información sensible o confidencial a personas que no tengan firmado un contrato de confidencialidad
4- No haber cancelado los accesos a una persona despedida
5- No haber previsto el acuerdo de nivel de servicio de un tercero y sus medidas de seguridad
6- No haber generado o custodiado las copias de seguridad de información sensible por si el servicio por parte de terceros, no se encuentra disponible
7. RIESGOS EXTERNOS
www.tusconsultoreslegales.com
1- Buscar la eficiencia de la disponibilidad de la información en los siguientes ámbitos:
Ámbitos geográficos y medioambientales
Ámbitos de custodia y calidad de los datos custodiados
Ámbitos de transporte
2- Planificar la utilidad de las herramientas en sus diferentes grados de implementación
8. OPTIMIZACIÓN DE LAS HERRAMIENTAS TÉCNICAS
www.tusconsultoreslegales.com
Como conclusiones, podemos determinar lo siguiente:
1- Valorar los activos (tangibles e intangibles) para desarrollar el negocio/producto
2- No puede planificarse un proyecto de desarrollo de negocio/producto, con información confidencial o sensible, sin haber realizado un análisis de riesgos
3- La autenticidad, la confidencialidad, la integridad, la disponibilidad, el no repudio y la auditoría de la información deben garantizarse en todo el ciclo de vida de la información
9. CONCLUSIONES
UNA PLANIFICACIÓN EN LA IMPLEMENTACIÓN DE HERRAMIENTAS TÉCNICAS, NO PUEDE LLEVARSE A CABO, SIN LA VALORACIÓN LEGAL PREVIA Y LA VALORACIÓN LEGAL DEBE TENER EN CUENTA, LOS OBJETIVOS DE NEGOCIO CON EL FIN DE CREAR VALOR
www.tusconsultoreslegales.com
Gracias por su interés
Para comprar documentos:www.tusconsultoreslegales.com/documentos
www.tusconsultoreslegales.com
Para contratar al experto, por favor contactar con: