Presentacion clickalba bilib 18092012

www.apclm.com www.clickalba.com

D. Luis García Ruiz

Director Gerente de Clickalba Protección Datos

Presidente de la Asociación Profesional de Privacidad de Castilla la Mancha (APCLM)

PRESENTACIÓN

967 119 812 [email protected] www.clickalba.com

1. ¿Quiénes somos?

2. Protección de Datos de Carácter Personal (LOPD)

3. Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE)

4. ISO 27001. Sistema de Gestión de Seguridad de la Información.

5. ISO 20000. Sistema de Gestión de Servicios TIC.

6. BS25999. Sistema de Gestión Continuidad de Negocio SGCN

7. ENS (Esquema Nacional de Seguridad)

8. Propiedad Industrial e Intelectual.

Clickalba Protección Datos


¿Quiénes somos?

Clickalba se dedica a aportar seguridad a sus clientes en su activo más importante,

sus datos e información.



Protección de Datos de Carácter Personal (LOPD)

Consultoría.

Mantenimiento.

Outsourcing.

Servicios Adicionales.

Formación.

Auditorias.



Ley de Servicios de la Sociedad de la Información y de

Comercio Electrónico (LSSICE)

Adecuación de páginas web a la legislación vigente.

Auditoria Web.

Contratación electrónica.

Procedimiento de venta on-line.

Firma electrónica.

Condiciones de uso de páginas Web.

Marketing on-line.

Avisos legales.

Políticas de privacidad.



Propiedad Industrial e Intelectual.

Registro de marcas, patentes y nombres comerciales.

Licencias de uso y contratos de desarrollo de tecnología y software.

Protección de los derechos propiedad intelectual y contrato de confidencialidad.

Controversias y recuperación de nombres de dominio.

APCLM

www.apclm.com

¿Quiénes somos?

APCLM es la Asociación Profesional de Privacidad de Castilla la Mancha,

cuya principal función es dar respuesta al vacío existente para los

Profesionales de la Privacidad y Protección de Datos, los Ciudadanos, las

Pymes y la Administración en la región.

La asociación es sin ánimo de lucro, con personalidad jurídica propia y plena

capacidad de obrar para el cumplimiento de sus fines de interés general de

carácter cívico, de cooperación para el desarrollo, conocimiento y cultura de la

Privacidad, donde los profesionales y entidades públicas y privadas, con o sin

ánimo de lucro, generen y compartan iniciativas y experiencias.

APCLM

www.apclm.com

Objetivos

-Impulsar el conocimiento de la Privacidad y Protección de Datos de Carácter

Personal donde empresas, administraciones públicas, universidades y centros

de investigación, profesionales, asociaciones y medios de comunicación

puedan poner en común sus experiencias y ofrecer un canal seguro,

profesional y fiable.

-Promover encuentros profesionales y fomentar la comunicación, según las

necesidades de información, formación y perfeccionamiento de los asociados

y todas aquellas iniciativas que faciliten el cumplimiento de la Protección de

Datos.

- Establecer canales de comunicación y colaboración con las autoridades

independientes de protección de datos o cualquier otra relacionada con la

materia, sea cual sea su ámbito territorial.



SEGURIDAD INFORMACIÓN Y PROTECCIÓN DE DATOS

¿Riesgos?

¡NUNCA PASA NADA!



AMENAZAS

Password cracking

Man in the middle

Denegación de servicio

Escalamiento de privilegios

Hacking de Centrales Telefónicas

Keylogging Port scanning

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentes

Últimos parches no instalados

Violación de la privacidad de los empleados

Destrucción de equipamiento



Captura de PC desde el exterior Violación de contraseñas

Interrupción de los servicios

Virus Mails anónimos con agresiones

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks, palms

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones voz y wireless

Programas “bomba, troyanos”

Acceso indebido a documentos impresos

Agujeros de seguridad de redes conectadas Falsificación de información

para terceros

Indisponibilidad de información clave

Spamming

Ingeniería social



VULNERABILIDADES COMUNES

- Inadecuado compromiso de la dirección.

- Personal inadecuadamente formado y concienciado.

- Inadecuada asignación de responsabilidades.

- Ausencia de políticas/ procedimientos.

- Ausencia de controles (físicos/lógicos/correctivos…)

- Ausencia de reportes de incidentes y vulnerabilidades. - Inadecuado seguimiento y monitoreo de los controles.



SEGURIDAD DE LA INFORMACION

La seguridad de la información se caracteriza como la preservación

de:

su confidencialidad, asegurando que sólo quienes estén

autorizados pueden acceder a la información;

su integridad, asegurando que la información y sus métodos de

proceso son exactos y completos.

su disponibilidad, asegurando que los usuarios autorizados

tienen acceso a la información y a sus activos asociados cuando

lo requieran.



LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD)

El artículo 18.4 de la Constitución Española establece que “la Ley limitará el uso de

la informática para garantizar el honor y la intimidad personal y familiar de los

ciudadanos y el pleno ejercicio de sus derechos”. Se consagra, según ha

interpretado el Tribunal Constitucional, el derecho fundamental a la protección

de datos, cuya regulación vigente la estableció la Ley Orgánica 15/1999, de

Protección de Datos de Carácter Personal (en adelante LOPD), la cual

ha sido objeto de desarrollo reglamentario por el R.D. 1720/2007, de 21 de

diciembre.



ALCANCE. LOPD - SGSI



LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD)




Obligatoria para todas las empresas y autónomos,

independiente de su tamaño o actividad.

La LOPD obliga a adoptar las medidas de índole técnica y

organizativas necesarias que garanticen la seguridad de los

datos personales y eviten su alteración, pérdida o acceso no

autorizado.

El cumplimiento de la LOPD nos permitirá evitar las

elevadísimas sanciones, pero es muy importante no olvidar que

al cumplir la ley, mejoramos la seguridad de nuestra

información, la productividad de nuestros empleados, y la

imagen fiel frente a terceros, respetando la privacidad y el derecho a la intimidad.




No tiene sentido abordar el cumplimiento de la LOPD si al mismo tiempo no se

abordan medidas de seguridad de la información, ya que la propia ley lo obliga.



¿Por qué cumplir con la normativa?



DATOS DE CARÁCTER PERSONAL

De acuerdo con la Ley, son datos de carácter personal cualquier información

concerniente a personas físicas identificadas o identificables, es decir, toda

información que aporte datos sobre una persona física concreta o bien que a través

de dicha información se pueda llegar a identificar. Los datos de carácter personal se

dividen en grupos:

• Datos especialmente protegidos

• Datos de carácter identificativo

• Datos de características personales

• Datos de circunstancias sociales

• Datos académicos y profesionales

• Datos de detalles de empleo

• Datos de información comercial

• Datos económico-financieros y de seguros

• Datos de transacciones



ASPECTOS LEGALES

• Cumplimiento del deber de información.

• Necesidad de recabar el consentimiento de los titulares de los mimos para

proceder a su tratamiento y las excepciones que pudieran concurrir y el grado de

cumplimiento de los derechos de acceso, cancelación y rectificación.

• Especial atención a la existencia de prestación de servicios y cesiones o

comunicaciones de datos de carácter personal y cómo deberán ser articuladas.



ASPECTOS ORGANIZATIVOS

• Nombramiento del responsable del fichero y del responsable de seguridad.

• Establecimiento de protocolos para el ejercicio de derechos de acceso.

• Cancelación y rectificación.

• Copias de seguridad.

• Autorizaciones de accesos.

• Gestión de soportes.

• Formación.



ASPECTOS TÉCNICOS

• Los requisitos de identificación y autentificación de usuarios.

• El control de privilegios y acceso a los datos.

• La gestión de soportes que almacenen datos de carácter personal.

• El establecimiento de procedimientos de seguridad.

• La asignación y distribución de contraseñas.

• La gestión de incidentes de seguridad.

• La realización de copias de respaldo.



OBLIGACIONES.

-Obligatoriedad de Declaración de fichero(s) de datos a la Agencia Española de

Protección de Datos: Las empresas y profesionales deben registrar sus bases de

datos en la Agencia, de manera que ésta tenga conocimiento sobre todos ellos. (Eso

no implica facilitar ningún dato, solo decir que existe una empresa o profesional con

ficheros que tienen datos). Este trámite, de obligado cumplimiento, consiste en la

declaración del fichero en su nombre ante la Agencia Española de Protección de

Datos.

- Adaptación e Implantación las medidas de seguridad y Elaboración de

Cláusulas y contratos LOPD: Disponer de cláusulas informativas en el e-

mail, facturas, fax, página web, etc... así como firmar determinados contratos

con la gestoría, servicios informáticos, empresa de servicios de limpieza, de

destrucción de documentación (en su caso) etc...



OBLIGACIONES.

- Disponer de un documento de seguridad actualizado con la descripción de las

medidas que se adoptan para mantener los datos de forma segura. Existen

distintos tipos de Documento, según el nivel de seguridad aplicable a los ficheros:

Nivel Básico: Para todos los ficheros (éste será el supuesto normal para la

mayoría de clientes directos).

Por ejemplo una empresa de fabricación de materiales de cualquier clase).

Nivel Medio: Para ficheros que contengan datos que permitan obtener una

evaluación de la personalidad del individuo.

(Un ejemplo típico será el de una Asesoría laboral o fiscal).

Nivel Alto: Para ficheros que contengan datos de ideología, religión, creencias,

origen racial, salud o vida sexual.

(Por ejemplo una clínica privada o un gabinete psicológico...)



OBLIGACIONES SEGÚN FICHERO Y NIVEL.



LSSI-CE

La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de

Comercio Electrónico (LSSICE) se aplica a las actividades de comercio electrónico y

todos aquellos servicios que representen una actividad económica para la empresa,

ofrecida a través de su web. Se establecen diversos ámbitos de actuación:

1. Deber de información exigido en la web de las empresas.

2. Obligaciones en la contratación o compra de productos y servicios.

3. Exigencias legales cuando la empresa realiza acciones de publicidad por vía

electrónica.

4. Responsabilidades de las empresas cuando son operadores o prestadores de

servicios.

5. Requisitos de seguridad en los sistemas de comercio electrónico.



INFRACCIONES Y SANCIONES



HERRAMIENTAS DE AYUDA

COMERCIALES

SOFTWARE LIBRE



CONCLUSIONES



¿ALGUNA PREGUNTA?

Presentacion clickalba bilib 18092012

Documents

Transcript of Presentacion clickalba bilib 18092012