34 Revisión: Evaluación de las causas que ocasionaron el incidente de seguridad y el éxito de su gestión para valorar la efectividad de los controles y acciones implementadas. Documentar las lecciones aprendidas para tenerlas presentes en futuras ocasiones. 18.1. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE INCIDENTES El procedimiento de notificación, gestión y respuesta ante incidentes es el siguiente: • Cuando una persona tenga conocimiento de un incidente (pérdida, hurto y/o acceso no autorizado) que afecte o pueda afectar la confidencialidad, disponibilidad e integridad de la información protegida de la Cooperativa o alguno de los encargados deberá comunicarlo, de manera inmediata, al Oficial de Protección de Datos, describiendo detalladamente el tipo de incidente producido, e indicando las personas que hayan podido tener relación con el incidente, la fecha y hora en que se ha producido, la persona que lo notifica, a quien se le comunica y los efectos que ha producido. • Una vez comunicado el incidente ha de solicitar al Oficial de Protección de Datos un acuse de recibo en el que conste la notificación del incidente con todos los requisitos enumerados anteriormente. • La COOPERATIVA NACIONAL DE DROGUISTAS DETALLISTAS - COOPIDROGAS, crea un registro de incidentes que debe contener: el tipo de incidente (fraude Interno o externo, daños a activos físicos, fallas tecnológicas, ejecución y administración de procesos), fecha y hora de la misma, persona que lo notifica, persona a la que se le comunica, efectos del incidente y medidas correctivas cuando corresponda. Este registro es gestionado por el Oficial de Protección de Datos. • Asimismo, debe implementar los procedimientos para la recuperación de los datos cuando aplica, indicando quien ejecuta el proceso, los datos restaurados y, en su caso, los datos que han requerido ser grabados manualmente en el proceso de recuperación. • Adicional, el Oficial de Protección de Datos debe informar a la Superintendencia de Industria y Comercio, mediante el RNBD dentro de los 15 días hábiles siguientes de haber sido detectado. • Finalmente, la COOPERATIVA NACIONAL DE DROGUISTAS DETALLISTAS - COOPIDROGAS notificará del incidente a los Titulares, cuando se identifique que puedan verse afectados de manera significativa. 19. ADMINISTRACIÓN DE RIESGOS ASOCIADOS AL TRATAMIENTO DE LOS DATOS La COOPERATIVA NACIONAL DE DROGUISTAS DETALLISTAS – COOPIDROGAS ha identificado riesgos relacionados con el tratamiento de los datos personales y establecidos controles con el fin de mitigar sus causas, mediante la implementación de una Metodología del Sistema Integra de Administración de Riesgos - SIAR. Por ello, establecerá un sistema de gestión de riesgos junto con las herramientas, indicadores y recursos necesarios para su administración, cuando la estructura organizacional, los procesos y procedimientos internos, la cantidad de base datos y tipos de datos personales tratados por la organización se consideren que están expuestos a hechos o situaciones frecuentes o de alto impacto que incidan en la debida prestación del servicio o atenten contra la información de los Titulares. El sistema de gestión de riesgos determinará las fuentes tales como: tecnología, recurso humano, infraestructura y procesos que requieren protección, sus vulnerabilidades y las amenazas, con el fin de valorar su nivel de riesgo. Por lo que, para garantizar la protección de datos personales se tendrá
RkJQdWJsaXNoZXIy MTE2ODQ5Nw==