Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS

@2011. Todos los derechos reservados

mayo de 2011Director de Seguridad y la Información

Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS

Roberto SorianoPresidente de ISACA Valencia

CISM, CRISC, CISM, ISO27K

Cobit-F, ITIL

2 /30@2011. Todos los derechos reservados mayo de 2011

Director de Seguridad y la Información

Índice

1. Introducción

2. Entrando en Materia

3. A Cumplir

4. ENS

5. A Tener en cuenta

6. Conclusiones



Abreviaturas

• CSO. Chief Security Officer. Director de Seguridad.

• CIO. Chief Information Officer. Director de la Información

• CISO. Chief Information Security Officer. Director de Seguridad de la Información.

• TI / IT. Tecnologías de la Información.

• SI / IS. Sistemas de la Información.

• Finalidad: Dar a conocer las obligaciones de Seguridad de la Información a los CSO y otros posibles interesados..

Introducción



Introducción

• LOPD– Artículo 1. Objeto

La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

– Artículo 2. Ámbito de aplicación 1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posteriorde estos datos por los sectores público y privado.



Introducción

• Ley 11– Artículo 1. Objeto de la Ley.

2. Las Administraciones Públicas utilizarán las tecnologías de la información de acuerdo con lo dispuesto en la presente Ley, asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.

– Artículo 42El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.



Introducción

ENSReal Decreto 3/2010

• La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medioselectrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.



Introducción

Seguridad:• Proceso integral constituido por todos los elementos técnicos,

humanos, materiales y organizativos relacionados con el sistema.

• Se prestara la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que ni la falta de organización y coordinación ni instrucciones inadecuadas sean fuentes de riesgo para la seguridad.

• Garantizar:

– Disponibilidad

– Autenticidad

– Integridad

– Confidencialidad

– Trazabilidad

Dis

po

nib

ilid

adD

isp

on

ibili

dad

Seguridad

Co

nfi

den

cial

idad

Co

nfi

den

cial

idad

Au

ten

tici

dad

Au

ten

tici

dad

Inte

gri

dad

Inte

gri

dad

Tra

zab

ilid

adT

raza

bili

dad



Entrando en Materia

• ¿Por qué debemos cumplir?

– Porque es una ley de obligado cumplimiento para las empresas

– ENS. Medidas de Seguridad para AAPP.

– Mejora el Estado de Seguridad de la Información de la organización

– Conocimiento y capacitación de los empleados.

– Importes de las sanciones para las empresas

• 900 € a 40.000 €

• 40.001 a 300.000

• 300.001 a 600.000



Entrando en Materia

Incluir en ASNET datos de persona a la que nunca se le ha realizado servicio

4.3

6.1

60.101.2114/12/2010

4.3

4.3

6.1

10

9

4.3

10

Art

Incluir en ASNET datos de persona a la que

nunca se le ha realizado servicio

60.101,2114/12/2010

Incluir en ASNET datos de persona a la que nunca se le ha realizado servicio

60.101.2114/12/2010

Envío de email sin ocultar destinatarios601.0116/12/2010

No devolver documentación al propietario6.00021/12/2010

Inclusión en ASNEF existiendo procedimiento

arbitral

60.101.2122/12/2010

Envío de email sin ocultar destinatarios601.0130/12/2010

CausaImporteResolución

Últimas Sanciones del 2010



Entrando en Materia

• Fichero:

– LOPD: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

– RD: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

• Responsable de seguridad:

– RD. persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

– ENS. Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.



Entrando en Materia

• Como CSO / CISO debemos de estar preparados para la Auditoria

Doctor: “Lo siento le quedan 3 días”

Paciente: Haga de nuevo las pruebas, pero esta vez indique

que todo esta estupendamente



1. A Cumplir



1. A Cumplir

Funciones y Obligaciones

del Personal



1. A Cumplir



1. A Cumplir

User: Rarias

Permisos: Finanzas



1. A Cumplir



2. A Cumplir



2. A Cumplir

Al menos cada 2 años



3. A Cumplir



ENS• R1. Protección de las instalaciones

• R2. Gestión del personal

• R3. Análisis de otros SI conectados.

• R4. Copias de seguridad.

• R5. Actualización de sistemas.

• R6. Gestión de la seguridad por expertos y uso de productos evaluados o certificados

• R7. Garantizar la seguridad por defecto. Mínimos, Sencilla, segura.

• R8. Incidentes de seguridad registrados y atendidos.

• R9. Protección de la información almacenada y en tránsito

Au

to S

erv

icio

Pro

fesio

na

les

Esp

ecia

lizado

s



ENS

Clasificación de la Información• Dimensiones. Disponibilidad, Autenticidad, Integridad,

Confidencialidad, Trazabilidad.

• Clasificación. Confidencial, Difusión Limitada, Sin clasificar.

• Categorías. Alto (grave o catastrófico), Medio (moderado), Bajo

BBBB-bajo

MMMM-medio

MAAMBalto

TACID

Categoría Minima para Datos Personales.

MA--MMWeb

TACID

MMMMn.a.expedientes

TACID

Inspección Infracción Administrativa

MMMMBsistema de información

n.a.n.a.BBBinformación administrativa

MMMMBinformación de los contratos

TACID

Mesa de Contratación



ENS

• Informes anuales de:

– Inventariado del sistema,

• nº sistemas por clasificación, por nivel riesgo analizado, seguridad

analizada, certificados, en plan de continuidad, ...

– Indicadores del estado

• Organización. Actividades procedimentadas, sistemas en el plan de

seguridad, sistemas en control de config, sistemas en control de cambios.

• Gestión de incidentes. Horas dedicadas, reportados al CERT, reportados a

unidades de delitos, por nivel, afectan a disponibilidad, revelación de info,

por área.

• Personal. Nº asistencias a concienciación, horas dedicadas, n cursos y

horas en seguridad, en tratamiento de dp, en ssi

• Identificación y autenticación. cuentas de usuario, sistemas con pwd, con

tokens, con biometría, sin nada.



A Tener en Cuenta



Resumen

• Capacitación y conocimiento

• Derechos ARCO

• Internacionalización

• Menores

• Funciones y Obligaciones

• Registro y Gestión de Incidencias

• Gestión de Soportes

• Acceso a la documentación

– Digital

– Papel

– Transporte de documentación

o soportes

• Identificación y Autenticación

• Copias de Seguridad

• Responsable / Director de

Seguridad

• Auditoría

• Telecomunicaciones

• Informes Anuales

• Continuidad de Negocio

• Destrucción de soportes y

documentación

• Formularios Web y papel

• Campañas publicitarias

• Relaciones con 3º.

• Videocámaras



GRACIAS

• ¿Alguna pregunta?

• Mas información

[email protected]

Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS

Technology

Transcript of Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS