Foro SEIS-pagonzalez-2012-apuntesx2

Medidas de Seguridad Medidas de Seguridad en atencien atencióón n

sociosanitariasociosanitaria

Pedro Alberto González Gonzálezhttp://www.avpd.es

http://www.avpd.es Medidas de Seguridad para Usuarios Finales 2

Índice de la sesión

• Marco de referencia

• Análisis de riesgos

• Niveles de seguridad

• Medidas de seguridad

• En particular, para usuarios finales

• Conclusiones


Principios consagrados en la LOPD• Calidad de los datos

• Información en la recogida

• Consentimiento del afectado

• Comunicación o cesión de los datos

• Protección especial de determinados datos

• Seguridad de los datos

• Deber de secreto

Ma

rc

o d

e

Re

fe

re

nc

ia


Seguridad de los Datos (art. 9 LOPD)

• Se adoptarán las medidas técnicas y organizativasnecesarias para garantizar la seguridad de los datos,– evitando su alteración o pérdida– y su tratamiento o acceso no autorizado

• Teniendo en cuenta:– el estado de la tecnología– la naturaleza de los datos almacenados– los riesgos a que estén expuestos

• Afecta tanto al Responsable del Fichero como al Encargado del Tratamiento

Ma

rc

o d

e

Re

fe

re

nc

ia


Deber de secreto (art. 10 LOPD)

• El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional.

• Esta obligación subsistirá aun despuésde finalizar sus relaciones con el titular del fichero.

Ma

rc

o d

e

Re

fe

re

nc

ia


LEY 16/2003, de cohesión y calidad del Sistema Nacional de Salud

• Artículo 14. Prestación de atención sociosanitaria.– 1. La atención sociosanitaria comprende el conjunto de

cuidados destinados a aquellos enfermos, generalmente crónicos, que por sus especiales características pueden beneficiarse de la actuación simultánea y sinérgica de los servicios sanitarios y sociales para aumentar su autonomía, paliar sus limitaciones o sufrimientos y facilitar su reinserción social.

– (…) 3. La continuidad del servicio será garantizada por los servicios sanitarios y sociales a través de la adecuada coordinación entre las Administraciones públicas correspondientes.


Ley 41/2002,de Autonomía del Paciente

• Artículo 7. El derecho a la intimidad.– 1. Toda persona tiene derecho a que se respete el

carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley.

– 2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.


Ley 41/2002, de Autonomía del Paciente

• Artículo 14. Definición y archivo de la historia clínica.– (…) 2. Cada centro archivará las historias clínicas de sus

pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información.

– (…) 4. Las Comunidades Autónomas aprobarán las disposiciones necesarias para que los centros sanitarios puedan adoptar las medidas técnicas y organizativas adecuadas para archivar y proteger las historias clínicas y evitar su destrucción o su pérdida accidental.



• Artículo 16. Usos de la historia clínica.– 6. El personal que accede a los datos de la

historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto.



• Artículo 17. Documentación clínica.– 1. Los centros sanitarios tienen la obligación de

conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, (…).

– 6. Son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los ficheros que contienen datos de carácter personal y, en general, por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.


Euskadi: LEY 12/2008, de Servicios Sociales

• Artículo 9.– Derechos de las personas usuarias de los servicios sociales.– a) Derecho a acceder a los servicios sociales en

condiciones de igualdad, dignidad y privacidad.– b) Derecho a la confidencialidad,

• entendiéndose por tal el derecho a que los datos de carácter personal que obren en su expediente o en cualquier documento que les concierna sean tratados con pleno respeto de lo previsto en la LOPD,

• incluyendo la debida reserva por parte de las profesionales y los profesionales con respecto a la información de la que hayan tenido conocimiento



• Artículo 9.– Derechos de las personas usuarias de los servicios sociales.– d) Derecho a dar o a denegar su

consentimiento libre y específico en relación con una determinada intervención, debiendo ser otorgado el consentimiento, en todo caso, por escrito cuando la intervención implique ingreso en un servicio de alojamiento o en un centro residencial.



• Artículo 20.– Instrumentos técnicos comunes.– 1.– Con el fin de garantizar la homogeneidad en los

criterios de intervención, (…) todos los servicios sociales de base cumplimentarán el modelo de ficha social y aplicarán el modelo de plan de atención personalizada. (…)

– Tanto en el diseño de estos instrumentos como en la recogida de datos, y en su utilización y explotación, se estará a lo previsto en la normativa vigente en materia de protección de datos de carácter personal.



• Artículo 90.– Infracciones graves.– b) Incumplir el deber de confidencialidad y el

deber de reserva de los datos personales, familiares o sociales de las personas usuarias.

– c) No salvaguardar el derecho a la dignidad y a la intimidad de las personas usuarias.


Seguridad ≠ Privacidad

• Adjetivo (un medio)– Protección de activos

• Evitar riesgo

• Mitigar impacto

• Sustantivo (un fin)– Derecho

• Fundamental

• Constitucional

“Security by Design”

“Privacy by Design”


Modelo de referencia para Análisis de Riesgos

Activos

AmenazasValor

Impacto

Riesgo

Degradación

Frecuencia

Están expuestos a…

Causan +/- …

Ocurren con +/-…

tienen …

An

ál

isis

de

Rie

sg

os


Activos más comunes

• Instalaciones– Edificios, locales, canalizaciones, redes de

comunicaciones,…

• Equipamientos– Mobiliario, maquinaria, ordenadores personales, …

• Sistemas de Información– Servidores, sistemas de almacenamiento,…– Aplicaciones y programas de ordenador– Información, datos de negocio, datos personales


Activos más comunes

• Intangibles– Licencias, derechos,..

– Reputación, imagen, …

– Personas de la Organización

• Servicios prestados– Continuidad del negocio


Activos en Protección de Datos

• Datos de Carácter Personal• y, como consecuencia,

– Instalaciones donde se ubican,– Equipos donde se tratan– Redes por donde “viajan”– Programas que los tratan– Soportes que los contienen– Personas que los gestionan


Amenazas más comunes

• Desastres naturales– Incendios, inundaciones, … terremotos, tsunamis…

• Desastres industriales– Explosiones, derrumbes, fallo de equipos,

• Interrupciones de servicios– Luz, agua, teléfono, internet, … cloudComputing

(XaaS)• Errores humanos no intencionados

– De usuarios, de administradores, de operadores, • Ataques intencionados

– Contra personas, equipos, programas,– Posibles empleados desleales


Impacto de las Amenazas contra la Información

• Confidencialidad– Acceso o revelación indebidos

• Integridad– Modificación de los datos

• Disponibilidad– Sabotaje

• (Autenticidad)– Suplantación de Identidad


Salvaguardas / Contramedidas

Activos

AmenazasValor

Impacto

Riesgo

Degradación

Frecuencia

Están expuestos a…

Causan +/- …

Ocurren con +/-…

tienen …

An

ál

isis

de

Rie

sg

os

ContraMedidas

RiesgoResidual

ImpactoResidual


Nivel Básico: Todos los ficheros

Nivel Medio: ficheros con•Infracciones administrativas o penales•Información sobre solvencia patrimonial•Administraciones Tributarias•Entidades financieras•Seguridad Social•Elaboración de perfiles

Nivel Alto: ficheros con•Datos especialmente protegidos•Fines policiales •Violencia de género

Niveles de seguridad


RD 1720/2007: Niveles de seguridad

• Medio– Infracciones administrativas o penales

– Servicios de información sobre solvencia patrimonial y crédito

– Administraciones Tributarias - potestades tributarias

– Entidades financieras - servicios financieros

– Seguridad Social, Mutuas

– Elaboración de perfiles

Niv

el

es

de

S

eg

ur

ida

d


RD 1720/2007: Niveles de seguridad

• Medio reforzado (+ registro de accesos)– Operadoras TELECO

• (datos de tráfico y localización)

• Alto– Datos especialmente protegidos– Fines policiales sin consentimiento de las

personas afectada– Violencia de género

Niv

el

es

de

S

eg

ur

ida

d


Datos especialmente protegidos (1)

• Datos sobre Ideología, religión o creencias.– Nadie podrá ser obligado a declarar sobre estos

datos

– Cuando se recabe el consentimiento, se advertirá al interesado acerca de su derecho a no prestarlo.

– El consentimiento en estos casos ha de ser expreso y por escrito (también la afiliación sindical)


Datos especialmente protegidos (2)

• Datos sobre Origen racial, salud y vida sexual– Sólo podrán ser recabados, tratados y

cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.


Otros datos protegidos

• Datos relativos a la comisión de infracciones penales o administrativas– Los sólo podrán ser incluidos en ficheros de

las Administraciones públicas

– en los supuestos previstos en las respectivas normas reguladoras.


Excepciones a la aplicación de medidas de Nivel Alto

• Bastará con nivel básico en los casos:– Ideología, afiliación sindical, religión, creencias,

salud, origen racial o vida sexual, para:• transferencia dineraria a entidades de las que los afectados

sean asociados o miembros,

• tratamiento de forma incidental o accesoria, sin guardar relación con la finalidad

– Salud (exclusivamente grado o condición de discapacidad o invalidez), para:

• cumplimiento de deberes públicos

Niv

el

es

de

S

eg

ur

ida

d


Resumen medidas nivel Básico

Art. 89. Funciones y obligaciones del personalArt. 90. Registro de incidenciasArt. 91. Control de accesoArt. 92. Gestión de soportes y documentos

Ficheros automatizados y no automatizados

Art. 106. Criterios de archivo

- posibilitar derechos ARCO

Art. 107. Dispositivos de almacenamiento

- mecanismos apertura

Art. 108. Custodia de los soportes

- en el proceso de tramitación

Art. 93. Identificación y autenticación

Art. 94. Copias de respaldo y recuperación

Sólo no automatizadosSólo automatizados

Niv

el

es

de

S

eg

ur

ida

d


Resumen medidas nivel Medio

Arts. 95 y 109: Responsable de seguridadArts. 96 y 110: Auditoria

Ficheros automatizados y no automatizados

Art. 97. Gestión de soportes

Art. 98. Identificación y autenticación

Art. 99. Control de acceso físico

Art. 100. Registro de incidencias


Niv

el

es

de

S

eg

ur

ida

d


Resumen medidas nivel Alto

Art. 111. Almacenamiento de la información

–Archivadores, áreas restringidas

Art. 112. Copia o reproducción–Personal autorizado

Art. 113. Acceso a la documentación–Mecanismo identificación accesos por diferentes usuarios

Art. 114. Traslado de documentación–Impedir acceso, manipulación

Art. 101. Gestión y distribución de soportes

–Cifrado de datos. Evitar dispositivos que no permitan el cifrado

Art. 102. Copias de respaldo y recuperación

Art. 103. Registro de accesos–Excepción: Responsable persona física y único usuario

Art. 104. Telecomunicaciones– Cifrado en redes públicas o inalámbricas


Niv

el

es

de

S

eg

ur

ida

d


10 Objetivos de Control de medidas de seguridad

1. Organización de la Seguridad2. Documentación de Seguridad3. Funciones y obligaciones del personal4. Identificación y autenticación de usuarios5. Controles y registros de accesos6. Accesos a través de redes / Internet7. Soportes y documentos con información8. Copias de respaldo y recuperación9. Gestionar Incidencias de seguridad10. Efectuar Auditorías y Controles


1.- Responsable de Seguridad

Aplicable a ficheros automatizados y manuales

Nivel AltoNivel MedioNivel Básico

Debe existir uno o varios, designados por el responsable del fichero.Es el encargado de coordinar y controlar las medidas de seguridad.En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del ficheroTambién ha de gestionar la seguridad de los ficheros no automatizados (archivística)

Me

did

as

de

S

eg

ur

ida

d


2.- Documento de Seguridad -Requisitos


N. AltoNivel MedioNivel Básico

Además debe contener:La Identificación del responsable de seguridad.Los Controles periódicos del cumplimiento del documento.

Establece y recopila, como mínimo:El Ámbito de aplicación.Las medidas, normas, procedimientos y estándares de seguridad.Las funciones y obligaciones del personal.La estructura de los ficheros y la descripción de los sistemas de información.Los procedimientos de gestión y respuesta ante incidencias.Los procedimientos de realización de las copias de respaldo y recuperación de datos. Las Medidas para el transporte, destrucción y reutilización de soportes.

Me

did

as

de

S

eg

ur

ida

d


2.- Doc. de Seguridad – (más)


N. AltoNivel MedioNivel Básico

• En función de los sistemas de tratamiento u otros criterios, podrá ser:– Único, para todos (o un grupo de) los ficheros, o

– Individualizado por cada fichero,

• Deberá recoger las situaciones excepcionales relativas a: – Prestaciones de servicios (82.1), uso de dispositivos portátiles (86),

– Medidas compensatorias, imposibilidad aplicación medidas previstas

• Recogerá las delegación de autorizaciones (art. 84)

• Incluirá los ficheros externalizados, indicándolo expresamente

• Puede delegarse la llevanza del Documento de Seguridad en el Encargado de Tratamiento

• Los Encargados de Tratamiento han de incluir los ficheros que tratan por cuenta de terceros, con referencia a las condiciones del encargo

• Carácter Interno. Controlado y actualizado periódicamente

Me

did

as

de

S

eg

ur

ida

d


3.- Funciones y obligaciones del Personal



Las funciones y obligaciones relacionadas con el acceso a datos personales habrán de estar claramente definidas y documentadas.

Deben definirse las funciones de control y autorizaciones delegadas

El personal debe conocer las normas que les afecten

El personal debe conocer las consecuencias de su incumplimiento.

Me

did

as

de

S

eg

ur

ida

d


4.- Identificación y Autenticación

Aplicable solo a ficheros automatizados


Existirá un límite al número de intentosreiterados de acceso no autorizado.

Se identificará univoca y personalmente a cada usuarioProcedimiento de asignación y gestión de contraseñasPeriodo de caducidad para las contraseñas inferior a un año.Se almacenarán de forma ininteligible. M

ed

ida

s d

e

Se

gu

rid

ad


5.a- Control y Registros de Accesos en ficheros automatizados

Aplicable solo a ficheros automatizadosAplicable a ficheros automatizados y manuales


Existirá un Registro de Accesos donde figurará:

usuario, hora,fichero, tipo accesoregistro accedido.

Bajo el control del responsable de seguridad.Se hará un informe mensual.Se conservará al menos durante 2 años. Excepción:

Accede una única persona física

Existirán controles de acceso físico a los localesdonde se encuentren ubicados los sistemas de información.

Acceso únicamente a los datos y recursos necesarios para sus funciones.Relación actualizada de usuarios y perfilesy sus accesos autorizados.Mecanismos para evitar el acceso con distintos derechos.Concesión de derechos por personal autorizado.

Me

did

as

de

S

eg

ur

ida

d


5.b- Control y Registros de Accesos para ficheros manuales

Aplicable solo a ficheros manualesAplicable a ficheros automatizados y manuales


El acceso se limitará al personal autorizado.Habrá mecanismos para identificar los accesos a documentos disponibles para múltiples usuariosProcedimiento en el Documento de Seguridad para registrar los accesos de otras personas

Acceso únicamente a los datos y recursos necesarios para sus funciones.Relación actualizada de usuarios y perfiles y sus accesos autorizados.Mecanismos para evitar el acceso con distintos derechos.Concesión de derechos por personal autorizado.

Me

did

as

de

S

eg

ur

ida

d


6.- Acceso y transmisión mediante Telecomunicaciones



La transmisión de datos a través de redes de telecomunicaciones

PúblicasInalámbricas

se realizará cifrando los datos o mediante cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros

Las medidas de seguridad exigibles a los accesos mediante redes de comunicaciones, sean públicas o privadas, deberán de garantizar un nivel de seguridad equivalente al los accesos en modo localM

ed

ida

s d

e

Se

gu

rid

ad


7.a- Gestión de Soportespara ficheros automatizados



“Cripto-Etiquetado”Distribuir soportes cifrando los datos u otro mecanismo que impida el acceso.Cifrado de dispositivos portátiles.Excepciones, al DS

Habrá un registro de entrada y salida de soportes.

Inventario de soportesAcceso restringido.Salida autorizada de soportes, incluso eMail. Medidas en el traslado para impedir pérdidas, …Medidas para impedir la recuperación de datos de soportes desechados o reutilizado.Debe identificarse el tipo de datos que contienen.

Me

did

as

de

S

eg

ur

ida

d


7.b- Gestión de Soportes y Documentospara ficheros manuales

Aplicable solo a ficheros manuales


El acceso a armarios, archivadores, etc. estaráprotegido mediante puertas con cerradura. Cuando no se acceda, permanecerán cerradas.Soluciones alternativas, motivadas en el Documento de SeguridadSiempre que se proceda al traslado físico de documentación, deberán adoptarse medidas para impedir su acceso o manipulación

Se aplicarán criterios de archivo que permitan la conservación, localización y consultaLos dispositivos de almacenamiento tendrán mecanismos que obstaculicen su aperturaCuando la documentación no se encuentre archivada, su depositario deberá custodiarlae impedir accesos no autorizados

Me

did

as

de

S

eg

ur

ida

d


8.- Procedimientos de Respaldo y Recuperación



Las copias de respaldo y los procedimientos de recuperación se conservarán en un lugar diferente de donde se encuentren los equipos.

Procedimientos de copia para respaldo y recuperación, al menos semanalmenteGarantizar la reconstrucción de los datos al mismo estado en que se encontraban en el momento de la pérdida o destrucción.Verificación semestral de su definición, funcionamiento y aplicaciónPruebas con datos reales con mismo nivel de seguridad y con copia de seguridad

Me

did

as

de

S

eg

ur

ida

d


9.- Procedimiento de Gestión de Incidencias

Aplicable solo a ficheros automatizados Aplicable a ficheros automatizados y manuales


Además, debe contener:Procedimientos efectuados para recuperación de los datos,persona que lo ejecuta,datos restaurados datos grabados manualmente.

Es necesaria la autorización por escrito del responsable del fichero para su recuperación.

Debe existir un Registro de Incidencias con:

tipo de incidencia,cuándo se ha producido,persona que la notificia,persona a quien se comunicaefectos derivados.

Me

did

as

de

S

eg

ur

ida

d


10.- Controles del Documento de Seguridad y Auditorías

Al menos una auditoría cada dos años.Cuando se realicen modificaciones sustancialesPuede ser interna o externa.Debe dictaminar sobre:

Adecuación de medidas y controles.Deficiencias identificadasMedidas correctoras necesarias.

El responsable de seguridad debe:Analizar el informe de AuditoríaElevar sus conclusiones al responsable del fichero

A disposición de la APDAplicable a ficheros automatizados y manuales


Realizar controles periódicosMantener actualizado el Documento de Seguridad

Me

did

as

de

S

eg

ur

ida

d


Quién hace qué?

CooperarEncargarGestionar

DecidirEfectuar Auditorías y Controles periódicos

CooperarAnticiparGestionar

ActuarIncidencias de seguridad

Definir pol.Supervisar

Copias de respaldo y recuperación

CumplirDefinir pol.Gestionar

Soportes y documentos con información

ConocerImplantarGestionar

Accesos a través de la redes de comunicaciones


Controles y registros de accesos

CumplirDefinir pol.Implantar

Identificación y autenticación de usuarios

CumplirDocumentarDefinirActuar

Funciones y obligaciones del personal

ConocerElaborar Aplicar

Decidir políticas

Documento de Seguridad

ParticiparDesignarOrganización de la Seguridad

PersonalRespons. Seguridad

Respons. FicheroMedidas de Seguridad

Me

did

as

de

S

eg

ur

ida

d


Quién hace qué?

CooperarEncargarGestionar

DecidirEfectuar Auditorías y Controles periódicos

CooperarAnticiparGestionar

ActuarIncidencias de seguridad

Definir pol.Supervisar

Copias de respaldo y recuperación

CumplirDefinir pol.Gestionar

Soportes y documentos con información


Accesos a través de la redes de comunicaciones


Controles y registros de accesos

CumplirDefinir pol.Implantar

Identificación y autenticación de usuarios

CumplirDocumentarDefinirActuar

Funciones y obligaciones del personal

ConocerElaborar Aplicar

Decidir políticas

Documento de Seguridad

OrganizarDesignarOrganización de la Seguridad

PersonalRespons. Seguridad

Respons. FicheroMedidas de Seguridad

Me

did

as

de

S

eg

ur

ida

d


3.- Funciones y obligaciones del Personal



Las funciones y obligaciones relacionadas con el acceso a datos personales habrán de estar claramente definidas y documentadas.

Deben definirse las funciones de control y autorizaciones delegadas

El personal debe conocer las normas que les afecten

El personal debe conocer las consecuencias de su incumplimiento.

Me

did

as

de

S

eg

ur

ida

d


Obligaciones del Personal (detalles)

• Deber de secreto y confidencialidad

• Conocer y observar las normas y medidas que afecten a sus funciones

• Notificación de incidentes de seguridad

De

ta

ll

es

pa

ra

U

su

ar

ios


Funciones del Personal (detalles)

• Distinguir, al menos los siguientes perfiles:– Los relacionados con funciones de control

– Los relacionados con gestión de S.I.

– Usuarios de los Sistemas de Información

– Usuarios sin acceso a datos

– Personal externoDe

ta

ll

es

pa

ra

U

su

ar

ios


Funciones y Obligaciones en tu Organización:

• ¿Hay unas funciones y obligaciones…– ... documentadas y por escrito?

– … para cada perfil de usuario?

– … conocidas por el personal?

– … con cumplimiento controlado?

– … con consecuencias?


4.- Identificación y Autenticación



Existirá un límite al número de intentosreiterados de acceso no autorizado.

Se identificará univoca y personalmente a cada usuarioProcedimiento de asignación y gestión de contraseñasPeriodo de caducidad para las contraseñas inferior a un año.Se almacenarán de forma ininteligible. M

ed

ida

s d

e

Se

gu

rid

ad


Cómo se elabora una buena contraseña

• "Una contraseña debe ser como un cepillo de dientes: – Úsalo cada día;

– cámbialo regularmente;

– … y NO lo compartas con tus amigos."

De

ta

ll

es

pa

ra

U

su

ar

ios


Lo que nos dicen de las contraseñas

• Recomendaciones estándar– Longitud mínima de 6 caracteres; recomendado más de 8– Que incluya mayúsculas, minúsculas, números y signos de

puntuación– Cambiar la contraseña frecuentemente, sin usar un ciclo

• No utilizar nunca:– ninguna palabra que pueda figurar en cualquier diccionario.– datos personales o familiares evidentes, (DNI, teléfono, fechas,…)– una única contraseña para todos los servicios, cuentas, bancos, etc.

• Precauciones:– No compartir la contraseña, ni apuntarla en un papel, ni en un

fichero de texto, ni enviarla por correo electrónico, SMS, mensajería instantánea …

– No revelar la contraseña (ingeniería social)

De

ta

ll

es

pa

ra

U

su

ar

ios


Lo que no nos dicen…

• El exceso de exigencias respecto de las contraseñas hace que los usuarios busquen alternativas que, finalmente, hacen más débil la seguridad.– Las contraseñas largas y complicadas que se han de cambiar a

menudo se terminan apuntando en algún lugar no muy lejano del teclado.

– Cuando se tienen muchas contraseñas, siempre terminan registradas en un fichero.

– Exigir (o abusar) de caracteres especiales causa errores al teclear y problemas en los teclados de otros países.

– Los sistemas alternativos para recordar contraseñas (pregunta y respuesta) son MUY débiles.

De

ta

ll

es

pa

ra

U

su

ar

ios


Cómo mantener muchas contraseñas

• Disponer de tres contraseñas-base– La mala, la buena y la fea

• Disponer de un pin-base suficientemente largo

• Utilizar frases de paso• Recordar reglas, en lugar de contraseñas• Las contraseñas, con contraseñaD

et

al

le

s p

ar

a

Us

ua

rio

s


Cómo gestionar tus contraseñas personales

• “A Mano” (Fichero de texto “en oscuro”)• Fichero plano, Libreta de direcciones

• “A Máquina” (mediante algun programa)– Fichero de texto cifrado

– Programas de gestión de contraseñas• En el PC

• En la PDA / Smartphone

• En Interntet


Correo electrónico

• Política reflejada en Doc. de Seguridad

• El correo electrónico, como un soporte más– Canal potencialmente inseguro

– Impacto potencialmente muy elevado

• Recomendación: siempre cifradoDe

ta

ll

es

pa

ra

U

su

ar

ios


7.a- Gestión de Soportespara ficheros automatizados



“Cripto-Etiquetado”Distribuir soportes cifrando los datos u otro mecanismo que impida el acceso.Cifrado de dispositivos portátiles.Excepciones, al DS

Habrá un registro de entrada y salida de soportes.

Inventario de soportesAcceso restringido.Salida autorizada de soportes, incluso eMail. Medidas en el traslado para impedir pérdidas, …Medidas para impedir la recuperación de datos de soportes desechados o reutilizado.Debe identificarse el tipo de datos que contienen.

Me

did

as

de

S

eg

ur

ida

d


Memorias USB y demás

• Política reflejada en Doc. de Seguridad

• Considerar uso restringido de puertos

• El robo o extravío es un riesgo siempre presente– Nunca es información “original” (única)

– Uso de encriptación (total o parcial)De

ta

ll

es

pa

ra

U

su

ar

ios


Equipos portátiles

• Política reflejada en Doc. de Seguridad• Nunca dejarlo solo:

– Equipaje de mano, y siempre a mano– Hoteles, restaurantes, cibercafés, …– Conferencias, salas de reuniones,

despachos, …

• Acceso, siempre con contraseña• Contenido cifrado

De

ta

ll

es

pa

ra

U

su

ar

ios


Herramientas para cifrado

• Uso profesional:– Lo que establezca tu Organización

• Uso personal– Compresores con contraseña (WinZip)– Cifrado de ficheros (PGP, GPG, AxCrypt)– Cifrado de contenedores (Truecrypt)– Otras

• Cifrado total de discos (SisOp.)

De

ta

ll

es

pa

ra

U

su

ar

ios


5.b- Control y Registros de Accesos para ficheros manuales

Aplicable solo a ficheros manualesAplicable a ficheros automatizados y manuales


El acceso se limitará al personal autorizado.Habrá mecanismos para identificar los accesos a documentos disponibles para múltiples usuariosProcedimiento en el Documento de Seguridad para registrar los accesos de otras personas

Acceso únicamente a los datos y recursos necesarios para sus funciones.Relación actualizada de usuarios y perfiles y sus accesos autorizados.Mecanismos para evitar el acceso con distintos derechos.Concesión de derechos por personal autorizado.

Me

did

as

de

S

eg

ur

ida

d


7.b- Gestión de Soportes y Documentospara ficheros manuales

Aplicable solo a ficheros manuales


El acceso a armarios, archivadores, etc. estaráprotegido mediante puertas con cerradura. Cuando no se acceda, permanecerán cerradas.Soluciones alternativas, motivadas en el Documento de SeguridadSiempre que se proceda al traslado físico de documentación, deberán adoptarse medidas para impedir su acceso o manipulación

Se aplicarán criterios de archivo que permitan la conservación, localización y consultaLos dispositivos de almacenamiento tendrán mecanismos que obstaculicen su aperturaCuando la documentación no se encuentre archivada, su depositario deberá custodiarlae impedir accesos no autorizados

Me

did

as

de

S

eg

ur

ida

d


Buenas prácticas en la gestión de documentos y ficheros

manuales• Política de “escritorio limpio”

Bu

en

as

pr

ác

tic

as



manuales• Destruir siempre antes de tirar

– No importa como…

Bu

en

as

pr

ác

tic

as



manuales• Atención a copiadoras, impresoras, faxes

– No olvidar originales

– Recoger listados

– Recoger y distribuir faxes

Bu

en

as

pr

ác

tic

as


Precauciones en el traslado de expedientes, historias clínicas,

…• Entre el archivo central y los

lugares de tratamiento (despachos, consultas o unidades hospitalarias)

• Relaciones de entrega, acuses de recibo, …

• Siempre bajo control y supervisión del ordenanza o celador.


http://www.flickr.com/photos/rosino/3658259716/

Documentación disponible en:

http://www.slideshare.net/paGonzalez/

http://www.avpd.es

http://www.seis.es

Foro SEIS-pagonzalez-2012-apuntesx2

Technology

Transcript of Foro SEIS-pagonzalez-2012-apuntesx2