LOPD

Juan Luis García RamblaMVP Windows Security

jlrambla@informatica64.com

Introducción.

LOPD y el Reglamento.

¿Quién está supeditado a la ley?

Las medidas de seguridad por niveles.

Los Datos de Carácter Personal en entornos Windows.

Escenarios de aplicación de la ley.

Agenda

Introducción

Son una serie de obligaciones legales a personas físicas y jurídicas con ficheros de carácter personal.

Determina la obligatoriedad de las empresas a garantizar la protección de dichos datos.

Determina además las funcionalidades de control para el cumplimiento de la misma.

¿Qué es la LOPD?

La LEY ORGÁNICA 15/1999, de Protección de Datos de Carácter Personal (LOPD) con fecha del 13 de Diciembre de 1999, marca la entrada en vigor de esta normativa.

REAL DECRETO 195/2000, 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, del 11 de junio de 1999.

LOPD

El reglamento establece una serie de mecanismos y procedimientos para la aplicación de la normativa con respecto a los datos de Carácter Personal.

Entre otras cuestiones recoge:Derechos protegidos.Ámbitos de aplicación.Niveles de seguridad.Medidas de seguridad aplicables a ficheros automatizados.Medidas de seguridad aplicables a ficheros no automatizados.Procedimiento AGPD

Reglamento de Seguridad

Hasta este año, el reglamento en vigor existente, databa de fecha 11 de Junio de 1999 y como Real Decreto 994/1999, establecía el desarrollo de las medidas de seguridad aplicables a la LORTAD.

El nuevo reglamento de Seguridad fue aprobado en congreso de Ministros el 21 de Diciembre de 2007, estableciendo la entrada en vigor 3 meses después de la publicación en el BOE.

Esta publicación se ha efectuado con fecha de 19 de Enero de 2008, en el BOE 17/2008, con lo que la entrada en vigor será efectiva el 19 de Abril.

El nuevo reglamento de seguridad

Los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del presente real decreto deberán tener implantadas, desde el momento de su creación, la totalidad de las medidas de seguridad reguladas en el mismo.

En el plazo de un año desde la entrada en vigor del presente real decreto deberán notificarse a la Agencia Española de Protección de Datos las modificaciones que resulten necesarias en los códigos tipo inscritos en el Registro General de Protección de Datos para adaptar su contenido a lo dispuesto en el título VII del mismo.

Plazos de entrada en vigor (I)

En el plazo de un año desde su entrada en vigor, deberán implantarse las medidas de seguridad de nivel medio exigibles a los siguientes ficheros:

1.º Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.

2.º Aquéllos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

3.º Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artículo 4.4 del Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio.

Plazos de entrada en vigor (II)

En el plazo de un año desde su entrada en vigor deberán implantarse las medidas de seguridad de nivel medio y en el de dieciocho meses desde aquella fecha, las de nivel alto exigibles a los siguientes ficheros:

1.º Aquéllos que contengan datos derivados de actos de violencia de género.

2.º Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

Plazos de entrada en vigor (III)

Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente real decreto:

a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor.

b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor.

c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor.

Plazos de entrada en vigor (IV)

¿Quién está supeditado a la Ley?

La propia definición que en el Artículo 5 del Reglamento, establece que es un Dato de Carácter Personal:

f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

¿Qué es un dato de carácter personal?

El régimen de protección de los datos de carácter personal que se establece en la Ley Orgánica no será de aplicación:

a. A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

b. A los ficheros sometidos a la normativa sobre protección de materias clasificadas.

c. A los ficheros establecidos para la investigación del terrorismo y de formas graves dedelincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

¿Qué está eximido de la LOPD?

La medidas de seguridad por niveles

La LOPD contempla la aplicación de medidas en función del contenido de los ficheros.

La LOPD diferencia 3 niveles de seguridad:Básico.Medio.Alto

Las diferentes medidas de seguridad vienen definidas por el tipo de datos en el fichero.

Niveles de seguridad

Todos los ficheros o tratamientos automatizados de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

Nivel Básico

Los relativos a la comisión de infracciones administrativas o penales.

Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.

Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias.

Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias en materia de recaudación.

Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Nivel Medio

Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

Aquéllos que contengan datos derivados de actos de violencia de género.

Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

Nivel Alto

Régimen de funciones y obligaciones del personal.

Registro de incidencias.

Control de acceso.

Gestión de soportes.

Identificación y autentificación.

Copias de respaldo y recuperación .

Medidas de nivel básico

Medidas de seguridad de nivel básico

Responsable de Seguridad

Auditoría

Gestión de soportes y documentos

Identificación y autenticación

Control de acceso físico

Registro de incidencias

Medidas de nivel medio

Medidas de seguridad de nivel básico y medio

Gestión y distribución de soportes

Copias de respaldo y restauración

Registro de accesos

Telecomunicaciones

Medidas de nivel alto

Los datos de Carácter Personal en Entornos Windows

La aplicación de las medidas de seguridad vendrán determinadas por las operaciones presentas en el sistema o servicios involucrados.

Describiremos algunos de los mecanismos de seguridad definidos en el Reglamento de Seguridad y la aplicación en los Sistemas Operativos.

Aplicación en Sistemas Operativos

Artículo 89. Funciones y obligaciones del personal.2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

A través de las directivas de Seguridad Local pueden determinarse un texto y un título con objeto de hacerle constar la existencia de una Norma de seguridad y la ruta para poder acceder a ella.

Configuración de seguridad – Directivas locales – Opciones de seguridad.

Régimen de funciones y obligaciones del personal (Nivel Básico)

Artículo 91. Control de acceso. 1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. 3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero. 5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

La aplicación de estos mecanismos pueden establecerse mediante la adopción de Listas de Control de Acceso (ACL) a través del sistema de ficheros NTFS.

Para cada objeto el descriptor incluye una lista de control de acceso discrecional (Discretionary Access Control List o DACL) que se crea por la unión de las distintas entradas de control de acceso (Access Control Entries o ACE).

Control de acceso (Nivel Básico)

Artículo 92. Gestión de soportes y documentos.3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

Aunque no se exija explícitamente sistemas de cifrado, mecanismos como la aplicación de EFS o el uso de Bitlocker (en sistemas Windows Vista o Windows Server 2008), garantizan la confidencialidad de los datos, en caso de que estos salgan fuera de los locales donde se almacenan habitualmente.

Gestión de soportes y documentos

Artículo 93. Identificación y autenticación. 1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. 2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

La autenticación viene definida por los mecanismos de validación Local o de Dominio.Los Hashes de las contraseñas almacenados garantizan la confidencialidad.Mediante directivas puede establecerse los mecanismos para los cambios de las contraseñas.

Identificación y autenticación (Nivel Básico)

Artículo 98. Identificación y autenticación. El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

Mediante directivas pueden adoptarse mecanismos para establecer los bloqueos de cuenta como metodología.

Identificación y autenticación (Nivel Medio)

Artículo 101. Gestión y distribución de soportes. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Mecanismos como la aplicación de EFS o el uso de Bitlocker (en sistemas Windows Vista o Windows Server 2008), garantizan la confidencialidad de los datos, en caso de que estos salgan fuera de los locales donde se almacenan habitualmente.

Gestión y distribución de soportes (Nivel Alto)

Artículo 103. Registro de accesos. 1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. 3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos. 4. El período mínimo de conservación de los datos registrados será de dos años.

El registro de incidencias queda establecido a través de las auditorías de seguridad.

Registro de accesos (Nivel Alto)

Queda definida mediante las directivas de acceso a objetos.

La definición se establece mediante SACL para cada objeto correspondiente.

Dicho control quedará igualmente determinada para los objetos del Directorio Activo.

Auditoría de Ficheros y carpetas (Nivel Alto)

Una de las necesidades consiste en salvaguardar los registros.

Estos pueden quedar establecidos en el caso de la consolidación de los Logs.

En el resto de escenarios la protección quedará determinada mediante el fichero correspondiente a los Eventos de seguridad almacenados en la ruta por defecto:

C:\windows\system32\config

La determinación de la cantidad de datos almacenados viene determinado por el tamaño definido por el fichero.

En caso de necesidad podríamos evitar continuar almacenando datos que sobrescribieran a otros mediante directivas de opciones de seguridad.

Protección de los registros (Nivel Alto)

Artículo 104. Telecomunicaciones. Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Mecanismos de protección como IPSEC, VPN o la adopción de la solución PEAP en redes Wifi pueden garantizar una correcta aplicación de estos mecanismos de seguridad.

Telecomunicaciones (Nivel Alto)

DemoEscenario Legal

¿DÓNDE NOS PUEDES ENCONTRAR?En el Boletín Técnico Technews: Si deseas recibir el boletín técnico quincenal para estar informado de lo que sucede en el mundo tecnológico

http://www.informatica64.com/boletines.html

En nuestro 10º Aniversario: Informática 64 cumple 10 años y queremos celebrarlo contigo invitándote el día 1 de Octubre al CFO de Getafe donde podrás asistir al evento “Informática 64 Décimo Aniversario & Microsoft HOL Quinto Aniversario” o alguno de los 5 HOLs gratuitos que se impartirán.

http://www.informatica64.com/10aniversario/

En el Blog Windows Técnico: dedicado a la plataforma Windows en el que podrás informarte de las novedades y mejoras en sistemas operativos Microsoft.

http://www.windowstecnico.com/

En nuestra Página Web: Lo mejor para estar al día de las actividades de Informática 64. Y desde donde podréis acceder a todos nuestros servicios y actividades.

http://www.informatica64.com

SIMO (22, 23 y 24 de Septiembre)

Microsoft TechNet: Tour de la innovación, Lanzamiento Windows 7, Windows Server 2008 R2, Exchange server 2010. Miércoles, 23 de septiembre de 2009 10:00 (Hora de recepción: 9:30)- 17:00 : http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032421471&EventCategory=1&culture=es-ES&CountryCode=ES

Durante los tres días se realizarán HOLs Guiados y Auto guiadoshttp://technet.microsoft.com/es-es/hol_simo09.aspx

Azlan D-LINK Academy:

5 De Octubre en Madrid, 19 de Octubre en Vigo y 2 de Noviembre en Barcelona. Mas información en: http://www.informatica64.com/cursoseguridadprofesionales.html

V Edición de la Formación Técnica en Seguridad y Auditoría Informática (FTSAI).

(Formación modular de alto nivel técnico, a partir del 9 de Octubre al 28 de Mayo)Mas información en: http://www.informatica64.com/cursoseguridadprofesionales.html

Microsoft TechNet Hands on Lab (HOLs)

En Madrid y Vizcaya (del 28 de Septiembre al 30 de Octubre)Mas información en: http://www.microsoft.com/spain/seminarios/hol.mspx

PROXIMOS EVENTOS