SI NO HA REGISTRADO AUN SUS BASES DE DATOS ANTE LA SIC O SI NO SABE QUE ESTÁ OBLIGADO A REALIZAR UN REGISTRO DE BASES DE DATOS ANTE LA SIC, ESTA INFORMACIÓN ES PARA USTED, EVITE MULTAS Y SANCIONES, HAY PLAZO MÁXIMO HASTA EL 30 DE JUNIO DEL PRESENTE AÑO, PARA TODAS LAS EMPRESAS QUE ESTEN REGISTRADAS EN CAMARA Y COMERCIO.

March 6, 2017

 

Desde hace varios meses está la paranoia sobre la protección de datos personales y el registro nacional de bases de datos ante la sic (SUPER INTENDENCIA DE INDUSTRIA Y COMERCIO), que de hecho es una circular de obligatorio cumplimiento para todas las empresas registradas en cámara y comercio del país, incluidas personas naturales y entidades públicas que manejen información personal.

 

Pero antes de eso vamos por pasos:

 

1.Soy una empresa y necesito saber qué debo hacer para dar cumplimiento a la circular.

Antes que nada, es importante tener presente varios términos para poder interpretar la circular 1581 de 2012 y realizar un registro adecuado de las bases de datos ante la sic.

  • Que es la ley de protección de datos personales:

La Ley de Protección de Datos Personales reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por entidades de naturaleza pública o privada.

 

  • Que son datos personales:

Cuando hablamos de datos personales nos referimos a toda aquella información asociada a una persona y que permite su identificación. Por ejemplo, su documento de identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral, o profesional. Existe también información más sensible como su estado de salud, sus características físicas, ideología política, vida sexual, entre otros aspectos.

 

  • Que es una base de datos:base de datos es una colección de información organizada, que puede ser digital o física, ejemplos: tablas de Excel, agenda o hojas de vida impresas, etc.

 

  • Que es un riesgo:

Generalmente el riesgo se plantea solamente como amenaza, determinando el grado de exposición a la ocurrencia de una pérdida (por ejemplo, el riesgo de perder datos debido a una fuga de información, hacking, etc.).

 

  • Que es una vulnerabilidad:

son ciertas condiciones inherentes a los activos de información o presentes en su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables. Ejemplos (Contraseñas débiles para acceder a repositorios de archivos, drive, cloud, etc. Una mala configuración de los servidores, que permita materializar una fuga de información, una mala gestión en el almacenamiento de facturas, hojas de vidas, etc.)

 

  • Que es un análisis de vulnerabilidades:

Es un proceso mediante el cual la organización determina el nivel de exposición y la predisposición a la pérdida de un elemento o grupo de elementos ante una amenaza especifica, en términos de seguridad de la información, se habla sobre el nivel de exposición que podría afectar la confidencialidad, disponibilidad o integridad de la información.

 

  • Que es un Backup:

Backup o copias de seguridad es el procedimiento utilizado para hacer copias de información. Estas copias de seguridad se deben realizar sobre los datos más importantes con el propósito que estén disponibles en caso de fallas de nuestros sistemas.

 

  • Que es gestión de incidentes:

el adecuado manejo para dar tratamiento a la prevención y materialización de incidentes; Se define un incidente, como Cualquier evento que no forma parte del desarrollo habitual del servicio y que causa, o puede causar una interrupción del mismo o una reducción de la calidad de dicho servicio.

El ciclo normal de la gestión de incidentes:

  • Detección y registro del incidente

  • Clasificación y soporte inicial

  • Investigación y diagnóstico

  • Escalamiento

  • Solución y restablecimiento del servicio

  • Cierre del incidente

  • Monitorización, seguimiento y comunicación del incidente

 

  • Que es un modelo de gestión de seguridad de la información:

Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información.

 

Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

 

Se mencionan y definen los conceptos anteriormente enumerados, ya que la función principal de realizar el registro de bases de datos ante la sic no es solo diligenciar un formulario en una página web, como muchos empresarios creen, ni mucho menos una excusa más del gobierno para sacarnos dinero con multas por no realizar el registro.

 

Es una oportunidad para mejorar procesos internos y de identificar posibles falencias, riesgos o vulnerabilidades que nuestras organizaciones poseen y que al momento no los hemos detectado o documentado.

 

Por ejemplo, sabe realmente cuanto valor para su organización tiene esa base de datos que contiene sus clientes o proveedores, suponga por un momento que dicha base de datos cae en manos de su competencia o peor aún, si es borrada intencionalmente o accidentalmente.

 

Qué pasaría si uno de sus colaboradores, extrae información de sus clientes y monta competencia ¿le afectaría verdad?

Otro ejemplo claro que seguramente como usuario lo ha vivido, pero como empresario no lo ha querido ver o no sabía que está sucediendo, ¿lo llaman cada rato a su oficina o teléfono celular a ofrecerle productos y servicios, y siempre se pregunta de dónde sacaron sus datos? .

 

Justamente por estos interrogantes es que SIC a través de la circular 1581 de 2012 dio plazo máximo para que las empresas realicen el registro de sus bases de datos hasta el 30 de junio del presente año.

 

  1. ¿EN QUE CONSISTE EL REGISTRO NACIONAL DE BASES DE DATOS?

Todas las empresas del país, deben responder a conciencia una seria de preguntas ante la sic, sobre el manejo que se les está dando a sus bases de datos, con el fin de promover la cultura de la seguridad de la información para velar por la confidencialidad, integridad y la seguridad de los datos personales.

Algunas preguntas que deberán responder las empresas:

¿Tiene un documento de seguridad de la información personal o general aprobado?

 

¿Tiene implementadas herramientas de gestión de riesgo en el tratamiento de datos personales?

 

¿Cuenta con una política implementada para el correcto tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato recolección, circulación, y disposición final?

 

¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguridad de la información personal?

 

¿Tiene una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados?

 

¿Con que fin recopila información en sus bases de datos?

 

¿Cuenta con autorización expresa de las personas que reposan en dichas bases de datos?

 

Nunca se pedirá a las empresas subir los contenidos de las bases de datos, solo enumerarlas y describir para que fin fueron creadas y procesadas.

 

 

3-¿QUÉ PASA SI LAS RESPUESTAS A TODAS LAS PREGUNTAS DE LA SIC EN EL REGISTRO NACIONAL  DE BASES DE DATOS SON NEGATIVAS?

 

Seguramente será como la mayoría de empresas del país, es allí donde debe evaluar realizar un análisis del estado actual de su organización respecto a protección de datos y seguridad de la información, con el fin de implementar políticas y procedimientos, para hacer de su organización un lugar más seguro.

 

 

4- ¿QUE PASA SI NO HAGO EL REGISTRO NACIONAL DE BASES DE DATOS?

 

Es importante tener en cuenta que el artículo 23 de la Ley 1581 de 2012 indica que la Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

  • Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

 

  • Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.

 

  • Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.

 

  • Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.

 

 

5- ¿DEBO HACER EL REGISTRO SI YO O MI EMPRESA  NO MANEJA BASES DE DATOS?

 

En este caso y para estar seguro, le recomendamos revisar si en su empresa se recolecta, almacena, usa o circula datos personales, bien sea en archivos físicos o electrónicos. En especial, analice si tiene datos de empleados, clientes, proveedores o de posibles empleados, clientes o proveedores. Si es así, sí tiene bases de datos con información personal y, por esta razón, debe inscribirlas en el RNBD.

 

Por lo general toda empresa por pequeña que sea posee tres bases de datos: clientes, proveedores y nómina.

 

 

6- ¿HAGO EL REGISTRO Y DESPUÉS QUE?

 

Una vez realizado el registro de bases de datos ante la sic, el siguiente paso es generar la cultura de seguridad de la información al interior de la organización y potenciar o corregir esos puntos en los cuales respondió NO en el registro, creando políticas o procedimientos para hacer de su organización un lugar mas seguro y velar por la confidencialidad, integridad y disponibilidad de la información.

 

7- ¿NO eh realizado el registro nacional de bases de datos?

 

SI Aún no ha realizado aun el registro nacional de bases de datos ante la sic, no se preocupe HACK&SECURE SAS puedo brindarle toda la información necesaria y ayudarle en el proceso.

 

Si está interesado en una charla gratuita de dos horas en seguridad de la información y protección de datos personales para su empresa, regístrate en el siguiente formulario:

 

FORMULARIO CHARLA GRATUITA EN MI EMPRESA AQUI

 

 

 

 

 

Share on Facebook
Share on Twitter
Please reload

Please reload

Otras Noticias 

  • Black Facebook Icon
  • Black LinkedIn Icon

© Hack&Secure s.a.s