Post on 06-Jul-2015
description
@2011. Todos los derechos reservados
mayo de 2011Director de Seguridad y la Información
Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS
Roberto SorianoPresidente de ISACA Valencia
CISM, CRISC, CISM, ISO27K
Cobit-F, ITIL
2 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
Índice
1. Introducción
2. Entrando en Materia
3. A Cumplir
4. ENS
5. A Tener en cuenta
6. Conclusiones
3 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
Abreviaturas
• CSO. Chief Security Officer. Director de Seguridad.
• CIO. Chief Information Officer. Director de la Información
• CISO. Chief Information Security Officer. Director de Seguridad de la Información.
• TI / IT. Tecnologías de la Información.
• SI / IS. Sistemas de la Información.
• Finalidad: Dar a conocer las obligaciones de Seguridad de la Información a los CSO y otros posibles interesados..
Introducción
4 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
Introducción
• LOPD– Artículo 1. Objeto
La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
– Artículo 2. Ámbito de aplicación 1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posteriorde estos datos por los sectores público y privado.
5 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
Introducción
• Ley 11– Artículo 1. Objeto de la Ley.
2. Las Administraciones Públicas utilizarán las tecnologías de la información de acuerdo con lo dispuesto en la presente Ley, asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.
– Artículo 42El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
6 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
Introducción
ENSReal Decreto 3/2010
• La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medioselectrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.
7 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
Introducción
Seguridad:• Proceso integral constituido por todos los elementos técnicos,
humanos, materiales y organizativos relacionados con el sistema.
• Se prestara la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que ni la falta de organización y coordinación ni instrucciones inadecuadas sean fuentes de riesgo para la seguridad.
• Garantizar:
– Disponibilidad
– Autenticidad
– Integridad
– Confidencialidad
– Trazabilidad
Dis
po
nib
ilid
adD
isp
on
ibili
dad
Seguridad
Co
nfi
den
cial
idad
Co
nfi
den
cial
idad
Au
ten
tici
dad
Au
ten
tici
dad
Inte
gri
dad
Inte
gri
dad
Tra
zab
ilid
adT
raza
bili
dad
8 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
Entrando en Materia
• ¿Por qué debemos cumplir?
– Porque es una ley de obligado cumplimiento para las empresas
– ENS. Medidas de Seguridad para AAPP.
– Mejora el Estado de Seguridad de la Información de la organización
– Conocimiento y capacitación de los empleados.
– Importes de las sanciones para las empresas
• 900 € a 40.000 €
• 40.001 a 300.000
• 300.001 a 600.000
9 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
Entrando en Materia
Incluir en ASNET datos de persona a la que nunca se le ha realizado servicio
4.3
6.1
60.101.2114/12/2010
4.3
4.3
6.1
10
9
4.3
10
Art
Incluir en ASNET datos de persona a la que
nunca se le ha realizado servicio
60.101,2114/12/2010
Incluir en ASNET datos de persona a la que nunca se le ha realizado servicio
60.101.2114/12/2010
Envío de email sin ocultar destinatarios601.0116/12/2010
No devolver documentación al propietario6.00021/12/2010
Inclusión en ASNEF existiendo procedimiento
arbitral
60.101.2122/12/2010
Envío de email sin ocultar destinatarios601.0130/12/2010
CausaImporteResolución
Últimas Sanciones del 2010
10 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
Entrando en Materia
• Fichero:
– LOPD: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
– RD: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
• Responsable de seguridad:
– RD. persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
– ENS. Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
11 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
Entrando en Materia
• Como CSO / CISO debemos de estar preparados para la Auditoria
Doctor: “Lo siento le quedan 3 días”
Paciente: Haga de nuevo las pruebas, pero esta vez indique
que todo esta estupendamente
12 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
1. A Cumplir
13 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
1. A Cumplir
14 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
1. A Cumplir
15 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
1. A Cumplir
Funciones y Obligaciones
del Personal
16 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
1. A Cumplir
17 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
1. A Cumplir
18 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
1. A Cumplir
19 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
1. A Cumplir
User: Rarias
Permisos: Finanzas
20 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
1. A Cumplir
21 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
2. A Cumplir
22 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
2. A Cumplir
Al menos cada 2 años
23 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
3. A Cumplir
24 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
ENS• R1. Protección de las instalaciones
• R2. Gestión del personal
• R3. Análisis de otros SI conectados.
• R4. Copias de seguridad.
• R5. Actualización de sistemas.
• R6. Gestión de la seguridad por expertos y uso de productos evaluados o certificados
• R7. Garantizar la seguridad por defecto. Mínimos, Sencilla, segura.
• R8. Incidentes de seguridad registrados y atendidos.
• R9. Protección de la información almacenada y en tránsito
Au
to S
erv
icio
Pro
fesio
na
les
Esp
ecia
lizado
s
25 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
ENS
Clasificación de la Información• Dimensiones. Disponibilidad, Autenticidad, Integridad,
Confidencialidad, Trazabilidad.
• Clasificación. Confidencial, Difusión Limitada, Sin clasificar.
• Categorías. Alto (grave o catastrófico), Medio (moderado), Bajo
BBBB-bajo
MMMM-medio
MAAMBalto
TACID
Categoría Minima para Datos Personales.
MA--MMWeb
TACID
MMMMn.a.expedientes
TACID
Inspección Infracción Administrativa
MMMMBsistema de información
n.a.n.a.BBBinformación administrativa
MMMMBinformación de los contratos
TACID
Mesa de Contratación
26 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
ENS
• Informes anuales de:
– Inventariado del sistema,
• nº sistemas por clasificación, por nivel riesgo analizado, seguridad
analizada, certificados, en plan de continuidad, ...
– Indicadores del estado
• Organización. Actividades procedimentadas, sistemas en el plan de
seguridad, sistemas en control de config, sistemas en control de cambios.
• Gestión de incidentes. Horas dedicadas, reportados al CERT, reportados a
unidades de delitos, por nivel, afectan a disponibilidad, revelación de info,
por área.
• Personal. Nº asistencias a concienciación, horas dedicadas, n cursos y
horas en seguridad, en tratamiento de dp, en ssi
• Identificación y autenticación. cuentas de usuario, sistemas con pwd, con
tokens, con biometría, sin nada.
27 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
A Tener en Cuenta
28 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
A Tener en Cuenta
29 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
Resumen
• Capacitación y conocimiento
• Derechos ARCO
• Internacionalización
• Menores
• Funciones y Obligaciones
• Registro y Gestión de Incidencias
• Gestión de Soportes
• Acceso a la documentación
– Digital
– Papel
– Transporte de documentación
o soportes
• Identificación y Autenticación
• Copias de Seguridad
• Responsable / Director de
Seguridad
• Auditoría
• Telecomunicaciones
• Informes Anuales
• Continuidad de Negocio
• Destrucción de soportes y
documentación
• Formularios Web y papel
• Campañas publicitarias
• Relaciones con 3º.
• Videocámaras
30 /30@2011. Todos los derechos reservados mayo de 2011
Director de Seguridad y la Información
GRACIAS
• ¿Alguna pregunta?
• Mas información
presidente@isacavalencia.org