Global Technology Audit

Guide
GUIA 05:
Manejar y Auditar riesgos de
privacidad.
 Balance
• ¿Es necesario entregar datos?
• ¿Seguridad de la información?
– Confianza.
– Cumplimiento.

GTAG – Global Technology Audit Guide

 Buen control
• Beneficios de un buen control sobre los
datos y la privacidad:
– Imagen publica y marca.
– Datos valiosos de clientes y empleados.
– Ventaja competitiva.
– Cumplimiento.

GTAG – Global Technology Audit Guide

 Significado
• Privacidad Personal >> Física y psicológica.
• Privacidad de espacio >> Libertad de vigilancia.
• Privacidad de información >> Control sobre la
recolección, uso y discreción de información
personal.

• Fuente: Canadian Institute of Chartered

Accountants (CICA), 2002

GTAG – Global Technology Audit Guide

 Información personal
• Datos propios que permiten acciones
tangibles en el mundo real:
– Nombre completo.
– Rut (Seguro social en USA)
– Tarjetas de crédito.
– Cuentas bancarias.
– Registros como empleado.
– Pasaporte.

GTAG – Global Technology Audit Guide

 Información sensible
• Información no vital, pero que aporta
datos relevantes de personas:
– Registro de enfermedades o ficha medica.
– Información religiosa.
– Datos penales.

GTAG – Global Technology Audit Guide

 Roles relacionados
• Sujeto de datos.
• Controlador de datos.
• Oficial de privacidad.
• Regulador.
• Proveedor de servicio.

GTAG – Global Technology Audit Guide

 Peligros admin.
• Perdida de confianza de publico.
• Perdida de activos.
• Sanciones de regulador(es).
• Perdida de clientes.
• Daño en imagen publica.

GTAG – Global Technology Audit Guide

 Contrib. del Auditor
• Determinación de la legislación aplicable,
con el consejo de Auditoria.
• Evaluar controles periódicamente junto
con administradores de TI y dueños de
proceso.
• Conducir la evaluación del riesgo o revisar
la efectividad de políticas y controles.
• Identificar el tipo de información,
metodología y necesidad.

GTAG – Global Technology Audit Guide

 • Riesgo de privacidad y matriz de acción:
– Pagina nº 5 de la guía.

GTAG – Global Technology Audit Guide

 Modelo de madurez
Optimizing
Continual improvement of privacy policies, practices, and controls, with:
• Changes systematically scrutinized for privacy impact.
• Dedicated resources allocated to achieve privacy objectives.
• A high level of cross-functional integration and teamwork to meet
Managed privacy objectives.
l

A consistently effective level of managing privacy, privacy requirements,

ve

and considerations is reflected in organization, with:

Le

• Early consideration of privacy in systems and process development.

ty

• Privacy integrated in functions and performance objectives.

i

• Monitoring on an organizational and functional level.

ur
at

• Periodic risk-based reviews.

Defined
M

The privacy policy and organization are in place, with:

• Risk assessments performed.
• Priorities established and resources allocated accordingly.
• Activities to coordinate and deploy effective privacy controls.
Repeatable
The privacy policy is defined, with:
• Some senior management commitment.
• General awareness and commitment.
Initial • Specific plans in high-risk areas.
Activities are ad hoc.

GTAG – Global Technology Audit Guide

 Marco referencial, normativa
• Se debe seleccionar el marco referencial
que mas beneficie a la empresa.
• Se deben respetar las regulaciones
locales y/o internacionales.
• Existen marcos profesionales y de
negocios.

GTAG – Global Technology Audit Guide

 ¿Preguntas?

GTAG – Global Technology Audit Guide