El Document De Seguretat
description
Transcript of El Document De Seguretat
El Document de SeguretatEl Document de Seguretat
Joan BarcelóJoan Barceló
CISA, CISMCISA, CISM
Marc LegalMarc Legal
Directiva Europea 95/46/CE.Directiva Europea 95/46/CE. LEY ORGANICA 5/92 de 29 de Octubre de LEY ORGANICA 5/92 de 29 de Octubre de
Regulación del Tratamiento Automatizado de Regulación del Tratamiento Automatizado de DatosDatos..
REAL DECRETO 994/99, de 11de Junio, en el que REAL DECRETO 994/99, de 11de Junio, en el que se aprueba el Reglamento de medidas de se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que seguridad de los ficheros automatizados que contengan datos de carácter personal.contengan datos de carácter personal.
LEY ORGANICA 15/99 de 13 de Desembre de LEY ORGANICA 15/99 de 13 de Desembre de Protección de Datos de Carácter PersonalProtección de Datos de Carácter Personal
Nou Reglament de la Llei 15/99 ?.Nou Reglament de la Llei 15/99 ?.
Reglament 994/99Reglament 994/99
Tres nivells de seguretat.Tres nivells de seguretat. Figura del Responsable de Seguretat.Figura del Responsable de Seguretat. Terminis per estar adaptats al Terminis per estar adaptats al
reglament ja ultrapassats.reglament ja ultrapassats. Obligació de crear un Document de Obligació de crear un Document de
Seguretat.Seguretat.
Definició D.S.Definició D.S.
És un document elaborat pel És un document elaborat pel Responsable del Fitxer, on es dicten i Responsable del Fitxer, on es dicten i implanten les mesures de seguretat implanten les mesures de seguretat que s’han d’aplicar sobre les dades de que s’han d’aplicar sobre les dades de caràcter personal i els sistemes caràcter personal i els sistemes d’informació que els tractend’informació que els tracten
Definicions del ReglamentDefinicions del Reglament
Sistema de información: Sistema de información: Conjunto de ficheros automatizados, Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.almacenamiento y tratamiento de datos de carácter personal.
UsuarioUsuario: Sujeto o proceso autorizado para acceder a datos o : Sujeto o proceso autorizado para acceder a datos o recursos.recursos.
RecursoRecurso: Cualquier parte componente de un sistema de : Cualquier parte componente de un sistema de información.información.
Accesos autorizados: Accesos autorizados: Autorizaciones concedidas a un usuario Autorizaciones concedidas a un usuario para la utilización de los diversos recursos.para la utilización de los diversos recursos.
IdentificaciónIdentificación: Procedimiento de reconocimiento de la identidad : Procedimiento de reconocimiento de la identidad de un usuario.de un usuario.
AutenticaciónAutenticación: Procedimiento de comprobación de la identidad : Procedimiento de comprobación de la identidad de un usuario.de un usuario.
Control del accesoControl del acceso: Mecanismo que en función a la identificación : Mecanismo que en función a la identificación ya autenticada permite acceder a datos o recursos.ya autenticada permite acceder a datos o recursos.
Definicions del ReglamentDefinicions del Reglament
ContraseñaContraseña: Información confidencial, frecuentemente : Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario.usada en la autenticación de un usuario.
IncidenciaIncidencia: Cualquier anomalía que afecte o pudiera : Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.afectar a la seguridad de los datos.
SoporteSoporte: Objeto físico susceptible de ser tratado en un : Objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o sistema de información y sobre el cual se pueden grabar o recuperar datos.recuperar datos.
Responsable de seguridadResponsable de seguridad: Persona o personas a las que : Persona o personas a las que el responsable del fichero ha asignado formalmente la el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad función de coordinar y controlar las medidas de seguridad aplicables.aplicables.
Copia de respaldo: Copia de respaldo: Copia de los datos de un fichero Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperaciónautomatizado en un soporte que posibilite su recuperación..
Cobertura del Document de Cobertura del Document de SeguretatSeguretat
Afecta als fitxers automatitzats, amb Afecta als fitxers automatitzats, amb dades de caràcter personaldades de caràcter personal
Als centres que els tracten (CPD)Als centres que els tracten (CPD) Locals (sucursals)Locals (sucursals) Equips i sistemes d’informacióEquips i sistemes d’informació ProgramesProgrames PersonalPersonal
FinalitatFinalitat
Garantir la seguretat de les dades de Garantir la seguretat de les dades de caràcter personalcaràcter personal
Evitar la alteració, pèrdua, Evitar la alteració, pèrdua, tractament indegut o accés no tractament indegut o accés no autoritzatautoritzat
Complir amb l’indicat al RD 994/99Complir amb l’indicat al RD 994/99
Principals ObjectiusPrincipals Objectius
ConfidencialitatConfidencialitatObligació de mantenir secret sobre les Obligació de mantenir secret sobre les dades.dades.
IntegritatIntegritatLes dades han d’estar actualitzades d’ofici i Les dades han d’estar actualitzades d’ofici i ser exactesser exactes
DisponibilitatDisponibilitatHan d’estar disponibles per si algun client Han d’estar disponibles per si algun client vol exercir el dret d’accés, modificació o vol exercir el dret d’accés, modificació o cancel·lació de dades. Política de còpies de cancel·lació de dades. Política de còpies de seguretat i contingència.seguretat i contingència.
Per que cal el Document de Per que cal el Document de Seguretat?Seguretat?
L’article 9 de la LORTAD (5/99) obliga L’article 9 de la LORTAD (5/99) obliga a adoptar unes mesures de seguretat a adoptar unes mesures de seguretat
Real Decret 994/99 desenvolupa el Real Decret 994/99 desenvolupa el seu contingutseu contingut
És el primer que demanaran els És el primer que demanaran els auditors (propis o “visita” de la auditors (propis o “visita” de la AEPD)AEPD)
Imprescindible per les empreses que Imprescindible per les empreses que presten serveis a altres empresespresten serveis a altres empreses
Com afrontar la elaboració del Com afrontar la elaboració del DSDS
... Tot i que ja hauria d’estar ... Tot i que ja hauria d’estar implantant implantant
Recollint tota la documentació escrita Recollint tota la documentació escrita dels procedimentsdels procediments
Documentant el que s'està fentDocumentant el que s'està fent Pensant en que es un document viuPensant en que es un document viu Concepte de tronc principal i annexesConcepte de tronc principal i annexes
Actitud davant la confecció del Actitud davant la confecció del DSDS
Ha de ser real tot el que es posa al DSHa de ser real tot el que es posa al DS Es pot tornar en contra nostre si fem Es pot tornar en contra nostre si fem
un tractat acadèmicun tractat acadèmic
Recordeu ..Recordeu ..És el primer que demanaran els auditors És el primer que demanaran els auditors (propis o si rebem una “visita” de la (propis o si rebem una “visita” de la AEPD)AEPD)
Punts a favor i en contraPunts a favor i en contra
Ajuda a recopilar les mesures de seguretat Ajuda a recopilar les mesures de seguretat disperses o indocumentadesdisperses o indocumentades
Ha d’estar aprovat per la DireccióHa d’estar aprovat per la Direcció Ajuda a fixar o adreçar les polítiques Ajuda a fixar o adreçar les polítiques
generals de l’empresagenerals de l’empresa Obliga a dedicar recursos a la seguretatObliga a dedicar recursos a la seguretat
Costa temps i diners ... que no sempre es Costa temps i diners ... que no sempre es tenen per seguretattenen per seguretat
Recolzament de DireccióRecolzament de Direcció
Imprescindible ‘vendre’ la necessitat Imprescindible ‘vendre’ la necessitat a Direcció. a Direcció.
Sensibilitzar a l’alta direcció i els Sensibilitzar a l’alta direcció i els comandaments immediats.comandaments immediats.
Incorporar la política de seguretat Incorporar la política de seguretat com a bé afegit de l’empresa.com a bé afegit de l’empresa.
Importància de la imatge.Importància de la imatge.
És d’obligat acompliment per totes És d’obligat acompliment per totes les persones que tinguin accés a les les persones que tinguin accés a les dades de caràcter personaldades de caràcter personal
Ha d'ésser aprovat per DireccióHa d'ésser aprovat per Direcció Pla de manteniment del documentPla de manteniment del document Pla d’auditoriesPla d’auditories
Característiques del DSCaracterístiques del DS
Nivells de seguretatNivells de seguretat BaixBaix
Tots els fitxers amb dades de caràcter personal han Tots els fitxers amb dades de caràcter personal han d’adoptar les mesures d’aquest nivelld’adoptar les mesures d’aquest nivell
MigMig Fitxers amb dades relatives a infraccions administratives Fitxers amb dades relatives a infraccions administratives
o penals, Hisenda pública, serveis financers i els afectats o penals, Hisenda pública, serveis financers i els afectats per l’article 28 de la llei Orgànica 5/92 (Rai, ASNEF, ...)per l’article 28 de la llei Orgànica 5/92 (Rai, ASNEF, ...)
Quan el conjunt de dades permeti obtenir un perfil de la Quan el conjunt de dades permeti obtenir un perfil de la personalitat d’un individupersonalitat d’un individu
AltAlt Fitxers amb dades sobre ideologia, religió, creences, Fitxers amb dades sobre ideologia, religió, creences,
origen racial, salut o vida sexualorigen racial, salut o vida sexual
Nivell BaixNivell Baix Tipus de dadesTipus de dades
Nom i cognoms, adreça postal, electrònica, IP, telèfon …Nom i cognoms, adreça postal, electrònica, IP, telèfon …
Mesures de seguretatMesures de seguretat Creació d’un Document de seguretatCreació d’un Document de seguretat Àmbit d’aplicacióÀmbit d’aplicació Mesures, normes i procedimentsMesures, normes i procediments Funcions i obligacions del personal, relació d’usuaris Funcions i obligacions del personal, relació d’usuaris
autoritzatsautoritzats Estructura dels fitxers i descripció dels sitemes que els tractenEstructura dels fitxers i descripció dels sitemes que els tracten Procediment de notificació, gestió i resposta sobre incidènciesProcediment de notificació, gestió i resposta sobre incidències Procediments de còpies de seguretatProcediments de còpies de seguretat Pla de manteniment del DSPla de manteniment del DS Identificació, autenticació i control d’accésIdentificació, autenticació i control d’accés
Nivell MigNivell Mig Tipus de dadesTipus de dades
Informació de serveis financers o quan el conjunt de dades Informació de serveis financers o quan el conjunt de dades permeti obtenir un perfil de personalitat.permeti obtenir un perfil de personalitat.
Infraccions administratives o penals, hisenda, RAI, ASNEF...Infraccions administratives o penals, hisenda, RAI, ASNEF...
Mesures de seguretatMesures de seguretat Mesures de nivell baixMesures de nivell baix Designació d’un o més Responsables de SeguretatDesignació d’un o més Responsables de Seguretat Pla d’auditoria bianualPla d’auditoria bianual Identificació i autenticació forta, amb control d’intentsIdentificació i autenticació forta, amb control d’intents Control d’accés físicControl d’accés físic Gestió de suportsGestió de suports Registre incidènciesRegistre incidències Proves amb dades realsProves amb dades reals
Nivell AltNivell Alt Tipus de dadesTipus de dades
Ideologia, religió, creences, origen racial, salut i vida Ideologia, religió, creences, origen racial, salut i vida sexualsexual
Dades amb finalitats policíaquesDades amb finalitats policíaques
Mesures de seguretatMesures de seguretat Mesures de nivell baix i migMesures de nivell baix i mig Distribució de suportsDistribució de suports Registre accessosRegistre accessos Còpies de seguretat i de recuperacióCòpies de seguretat i de recuperació TelecomunicacionsTelecomunicacions
Àrees de Document de Àrees de Document de SeguretatSeguretat
Àrea / Nivell Baix Mig Alt
Propòsit general
Document de Seguretat
Control d’accessos
Identificació i Autenticació
Registre d’incidències
Gestió de suports
Còpies de seguretat i de recuperació.
Proves amb dades reals
Responsable de seguretat
Auditoria
Telecomunicacions
Articles per àreesArticles per àreesÀrea / Nivell Baix Mig Alt
Propòsit general 5,6,7,9
Document de Seguretat 8 15
Control d’accessos 12 19 24
Identificació i Autenticació 11 18
Registre d’incidències 10 21
Gestió de suports 13 20 23
Còpies de seguretat i de recuperació.
14 25
Proves amb dades reals 22
Responsable de seguretat 16 2828
Auditoria 17
Telecomunicacions 26
Mesures tècniquesMesures tècniques
Protecció d’actius.Protecció d’actius. Còpies de seguretat.Còpies de seguretat. Control d’accés lògic i físic.Control d’accés lògic i físic. Control d’entrada i sortida de suports Control d’entrada i sortida de suports
magnètics.magnètics. Seguretat física.Seguretat física.
Mesures organitzativesMesures organitzatives
Definició de:Definició de: Polítiques.Polítiques. Normes.Normes. Procediments.Procediments. Llocs de treball.Llocs de treball.
Normativa de seguretat.Normativa de seguretat. Política de còpies de seguretat.Política de còpies de seguretat. Política de contrasenyes.Política de contrasenyes. Difusió del Document de Seguretat.Difusió del Document de Seguretat.
SancionsSancions
Lleus : multes de 601,01 a 60.101,21 €.Lleus : multes de 601,01 a 60.101,21 €. No rectificar d’ofici o a requeriment de qui No rectificar d’ofici o a requeriment de qui
estigui habilitat a la rectificació, les dades estigui habilitat a la rectificació, les dades incorrectes.(RAI, ASNEF o accés de clients a la incorrectes.(RAI, ASNEF o accés de clients a la rectificació de dadesrectificació de dades
No acomplir les instruccions dictades pel No acomplir les instruccions dictades pel director de la A.P.D.director de la A.P.D.
Qualsevol altre que afecti a qüestions formals Qualsevol altre que afecti a qüestions formals o documentals i que no constitueixin infracció o documentals i que no constitueixin infracció greu o molt greu.greu o molt greu.
SancionsSancions
Greus, multes de 60.101,21 a 300.506,05 €.Greus, multes de 60.101,21 a 300.506,05 €. Recollir dades personals amb finalitat diferent a Recollir dades personals amb finalitat diferent a
l’objecte de l’empresal’objecte de l’empresa No informar a l’interessat de la recollida de No informar a l’interessat de la recollida de
dades o no facilitar la informació de l’article 5dades o no facilitar la informació de l’article 5 Posar impediments al dret d'accés, rectificació o Posar impediments al dret d'accés, rectificació o
cancel·lació de dadescancel·lació de dades Vulnerar l’obligatorietat de guardar secretesVulnerar l’obligatorietat de guardar secretes No mantenir els dispositius de seguretats No mantenir els dispositius de seguretats
establerts.establerts.
SancionsSancions
Molt Greus, multes de 300.506,05 a Molt Greus, multes de 300.506,05 a 601.012 €601.012 €
Recollir dades de forma fraudulentaRecollir dades de forma fraudulenta Cedir dades personals, fora dels casos en que Cedir dades personals, fora dels casos en que
estigui permèsestigui permès
ConclusionsConclusions
Es pot viure amb el Reglament i la Llei.Es pot viure amb el Reglament i la Llei. Val molts diners adequar-se i Val molts diners adequar-se i
mantenir-se.mantenir-se. Limita les accions a fer amb les dades Limita les accions a fer amb les dades
dels clients.dels clients. Obliga a modificar hàbits i a ser molt Obliga a modificar hàbits i a ser molt
acurat en la recollida el i el tractament acurat en la recollida el i el tractament de les dades.de les dades.
He après ...He après ...
Cal tenir molta paciència.Cal tenir molta paciència. És difícil vendre la seguretat, però no És difícil vendre la seguretat, però no
impossible.impossible. Cal mantenir relació amb moltes Cal mantenir relació amb moltes
seccions o departaments.seccions o departaments. S’han de dictar Normes que es S’han de dictar Normes que es
puguin dur a terme.puguin dur a terme.
Definició d’un pla estratègic Definició d’un pla estratègic d’implantaciód’implantació
Diagnòstic de seguretat i anàlisi de riscos
Auditoria interna permanent de control
Pla d’accions correctives
Grau d’adaptació al reglament
Plans de continuïtat del negoci
Auditoria Bianual
Auditoria LOPD externa
Webs d’interès Webs d’interès
http://www.agpd.es http://www.apdcat.nethttp://www.apdcat.net http://www.congreso.es/http://www.congreso.es/ http://www.elderecho.com/elderecho/http://www.elderecho.com/elderecho/
index.htmindex.htm http://www.senado.es/http://www.senado.es/ http://www.kriptopolis.com/docs/lopd.htmlhttp://www.kriptopolis.com/docs/lopd.html http://www.portaley.com/http://www.portaley.com/ http://www.meetel.com/protecciondatos.htmhttp://www.meetel.com/protecciondatos.htm http://webopedia.internet.com/http://webopedia.internet.com/
Cal tenir present...
Mercès per la seva atencióMercès per la seva atenció
Joan BarcelóJoan Barceló[email protected]@cmail.cat