seguridad de la información · 4.LOPD aplicado a apps Medidas de seguridad en proceso de...

seguridad de la información

Cuestiones legales para informáticos

LOGROÑO, 8 DE JULIO 2014

Cuestiones legales para informáticos:


Las TIC en la empresa:

¿mejora?

¿mas costes?

Retorno beneficio


LAS TIC´S EN LA EMPRESA APORTAN…….

1.‐ PERMITEN REDUCIR TIEMPOS………..COSTES

2.‐ PERMITEN LA MEJORA EN CALIDAD DE SERVICIOS Y PRODUCTOS

3.‐ POSIBILITAN LA AMPLIACIÓN DEL NEGOCIO CON MAYOR RAPIDEZ

RETO PARA ÁREA INFORMATICA:

SABER ADAPTAR LA TECNOLOGÍA A LAS NECESIDADES ESPECIFICAS DE CADA NEGOCIO (O LINEA DE NEGOCIO)


LABOR DEL INFORMÁTICO:

“CONFECCIÓN DE TRAJE TECNOLOGICO A MEDIDA”

1.‐ ACOMPAÑANTES EN EL VIAJE, NO COMO VENDEDORES DE TECNOLOGÍA

2.‐ ORIENTAR HACIA DONDE HAY QUE IR

3.‐ DIAGNOSTICO TIENE QUE NACER DEL AMBITO DEL NEGOCIO E INTEGRADO ESTRATEGIA EMPRESARIAL.


NO PODEMOS PASAR DE 0 A 100

HAY QUE CREAR CULTURA Y HERRAMIENTAS

1.‐ CULTURA HACIA LAS TIC´S PARA MEJORAR RESULTADOS.

2.‐SOLUCIONES MENOR COSTE Y QUE RESPONDAN A NECESIDADES CONCRETAS

3.‐ TRABAJO CONTINUO

4.‐ TENDENCIAS

Cuestiones legales para informáticos:Estas son alguna de las predicciones de Gartner:

• En 2016, tres fabricantes de automóviles han anunciado planes específicos para los próximos lanzamientos de automóviles que ofrecen desarrollo de tecnologías para vehículos autónomos.

• Más del 50% de los organismos gubernamentales que ofrecerá sus servicios en la nube en 2015 verán como éstos irán reduciéndose hasta 2017.

• La era de la nube personal. Esta periodo supondrá un punto de inflexión en que se pasará de los dispositivos a los servicios.

• El llamado Software‐Defined anything (SDx) es un término que abarca una tendencia de mercado en la que el software, sus estándares y la automatización, marca todo.(OpenStack, OpenFlow, The Open Compute Project y Open Rack.)

• Para 2016, al menos el 25% de los fabricantes adoptará la impresión 3D.

http://www.gartner.com/technology/research/predicts/


VAMOS A VER ALGUN DATO:


CUESTIONES LEGALES


1. Ética del informático y buenas practicas

2. Protección de datos de carácter personal

3. Propiedad intelectual

4. La Informática en la compañía

5. La prestación de servicios Informáticos


Ética del informático y buenas practicas:

1.Cuestiones generales

2.Buenas prácticas en ámbito tecnológico

3.Códigos deontológicos


DEFINICIÓN Y DIMENSION SOCIAL

La informática es la disciplina que estudia el tratamiento automático de la información utilizando dispositivos electrónicos y sistemas computacionales.

En términos generales la Ética Informática es la disciplina que analiza problemas éticos que son creados por la tecnología de los ordenadores o también los que son transformados o agravados por la misma.


OBJETIVOS DE LA ÉTICA INFORMÁTICA

Su objetivo es aportar guías de actuación cuando no hay reglamentación o cuando la existente es obsoleta. Algunos ejemplos son:

. Descubrir y articular dilemas éticos claves en informática.

. Determinar en qué medida son agravados, transformados o creados por la tecnología informática.

. Analizar y proponer un marco conceptual adecuado y formular principios de actuación para determinar qué hacer en las nuevas actividades ocasionadas por la informática en las que no se perciben con claridad líneas de actuación.

. Utilizar la teoría ética para clarificar los dilemas éticos y detectar errores en el razonamiento ético.

. Proponer un marco conceptual adecuado para entender los dilemas éticos que origina la informática y además establecer una guía cuando no existe reglamentación de dar uso a Internet.



BUENAS PRÁCTICAS:

1.‐ SECRETO PROFESIONAL. CONFIDENCIALIDAD

2.‐ RESPONSABILIDAD PROFESIONAL DEL INFORMATICO

3.‐ LEALTAD DEL INFORMATICO A SU EMPRESA Y AL PÚBLIC

4.‐ DIGNIDAD, HONESTIDAD, HONRADEZ

5.‐ PREPARACIÓN ACADÉMICA Y FORMACIÓN CONTINUADA

6.‐ EVITAR INTROMISIONES DE INTIMIDAD


BUENAS PRÁCTICAS:

7.‐ USO DE MEDIOS QUE SEAN JUSTOS Y HONESTOS

8.‐ DEBER DE COLABORACIÓN EN EL DESARROLLO Y PROMOCIÓN DE LA INFORMATICA

9.‐ DEBER DE RESPETAR LA PROPIEDAD INTELECTUAL, DERECHOS DE AUOR,….

10.‐ DILIGENCIA EN ACTUACIONES: DOCUMENTACIÓN DE ACTIVIDADES Y PROCESOS.


CÓDIGOS DEONTOLÓGICOS:


Ámbito protección datos personales:Cuestiones previas

1.Normativa

2.Articulo 12 LOPD: contrato encargado tratamiento

3.Manual de usos de medios tecnológicos

4.LOPD aplicado a appsMedidas de seguridad en proceso de desarrollo


La importancia de la información

El 93% de las empresas que pierden datos acaban cerrando antes de 5 años


• La protección de datos es un derecho fundamental de las personas como máxima expresión de su derecho a la intimidad.

• Obligado cumplimiento desde 1999.

• Son responsables las empresas, AA.PP y profesionales que traten datos de carácter personal.

• Reconoce a cada persona la propiedad de sus datos.

• Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.


Niveles de SeguridadLOPD

¿Cuánto de importante es la información para tí?

Cuestiones legales para informáticos:Niveles de Seguridad

Tatuaje

Nombre y Apellidos

Nivel de endeudamiento

AlérgicoNumero de cuenta bancaria

Inscripción al club del lectura

Multa de tráfico

Ateo

Renta

Hoja de bautismo

Me gusta pasear

Dirección postal

Fotografía

Libro de Familia

Afiliación a CCOO

Caucásico

Budista


Directiva 95/46/CE.

LORTAD 5/ 1992 y RD 994/1999

Ley 15/1999 sobre Protección de Datos de Carácter Personal (LOPD). Obligatorio 1999.

NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS.

RD 1720/2007 de Desarrollo de la LOPD.


ENCARGADO DEL TRATAMIENTO:

La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. (ART. 3 g LOPD)

Esta relación deberá estar regulada por un CONTRATO:

‐ Que acredite su celebración y contenido POR ESCRITO‐ Tratamiento de datos personales de acuerdo a las indicaciones del responsable‐ No debe comunicar, ceder, conservar….


ACLARACIONES Y DUDAS COMUNES:

‐ NO es necesario firma de este contrato en una relación laboral

‐ No es necesario la inscripción en la Agencia de Protección de Datos como responsable de ficheros o tratamiento

‐Secreto profesional

‐ Deber de guardarlos

‐Aún finalizada la relación laboral/comercial


PARTES ESENCIALES DEL CONTRATO:

1.‐ Objeto: Regular las condiciones para tratar datos de carácter personal

2.‐ Obligaciones del encargado del tratamiento‐ Tratar datos personales conforme a instrucciones del responsable‐ Garantizar confidencialidad‐ Adoptar medidas de índole técnica y organizativas de seguridad

3.‐ Duración y devolución‐ Las partes fijarán una duración‐ Atención con la devolución o en su caso destrucción/bloqueo uso datos


Manual de usos de medios tecnológicosAPARTADOS:

1.‐ ALCANCE DEL DOCUMENTO

2.‐ DEFINICIONES: Dato persona, recurso informático, incidencia,

3.‐ CLASIFICACIÓN DE LA INFORMACIÓN

4.‐ NORMAS SISTEMAS DE INFORMACIÓN

5.‐ NORMAS DE USO: DISPOSITIVOS, INTERNET, CORREO,….

6.‐ BUENAS PRÁCTICAS

7.‐ GEOLOCALIZACIÓN


LOPD EN APPS


PRINCIPIO DE CALIDAD DE LOS DATOS

Identificación y autenticación Usuarios de la aplicaciónControl de accesoRegistros de accesosTelecomunicaciones

Asegurar que los datos son reales‐Control datos de entrada y salida ‐Control de procesamiento interno ‐Integridad de los mensajes


PRINCIPIO DE ACCESO

CONTROL DE ACCESOS AL CÓDIGO FUENTE


TERCEROS INVOLUCRADOS EN EL DESARROLLO

Las medidas de seguridad serán de aplicación para aquellos proveedores de servicios o usuarios externos a la organización.

Subcontratación


COPIAS DE SEGURIDAD

Copias de seguridad, antes de:‐La implantación y/o modificación de aplicaciones‐La implantación y/o modificación de sistemas‐Pruebas con datos reales*


SOPORTES DE ALMACENAMIENTO

• CD, DVD, USB, etc.• Copias• Intercambio de información• Medidas de seguridad


FICHEROS TEMPORALES

1. Aquellos ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares deberán cumplir el nivel de seguridad que corresponda.

2. Todo fichero temporal o copia de trabajo asícreado será borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación


CONTROL DE CAMBIOS Y SEGREGACIÓN DE TAREAS

Política para el control de cambios:‐Documentar Cambios‐Control de versiones‐Aprobación y puesta en producción


Ámbito propiedad intelectual:

1.Normativa y análisis

2.Contratos tipo: Escrow. Características y diferencias


Normativa

Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia

https://www.boe.es/buscar/act.php?id=BOE‐A‐1996‐8930


Artículos:

TÍTULO VII. PROGRAMAS DE ORDENADOR

Artículo 95. Régimen jurídicoEl derecho de autor sobre los programas de ordenador se regirá por los preceptos del presente Título y, en lo que no esté específicamente previsto en el mismo, por las disposiciones que resulten aplicables de la presente Ley.

Artículo 96. Objeto“…se entenderá por programa de ordenador toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión y fijación.”


Artículos:


Artículo 97. Titularidad de los derechos‐Personas o grupos de personas, o la persona jurídica‐Obra colectiva: la persona natural o jurídica que edite y divulgue

Cuando un trabajador asalariado cree un programa de ordenador, en el ejercicio de las funciones que le han sido confiadas o siguiendo las instrucciones de su empresario, la titularidad de los derechos de explotación correspondientes al programa de ordenador así creado, tanto el programa fuente como el programa objeto, corresponderán, exclusivamente, al empresario, salvo pacto en contrario.


Artículos:


Artículo 98. Duración de la protección‐Persona natural‐Persona jurídica: 70 años a contar desde 1 enero año siguiente divulgación licita

Articulo 99. Contenidos de derechos de explotación


Artículos:

Artículo 101. Protección Registral

Los derechos sobre los programas de ordenador, así como sobre sus sucesivas versiones y los programas derivados, podrán ser objeto de inscripción en el Registro de la Propiedad Intelectual.Reglamentariamente se determinarán aquellos elementos de los programas registrados que serán susceptibles de consulta pública.


CONTRATO DE ESCROW

El contrato de escrow o depósito de código fuente es aquel en virtud del cual, la empresa desarrolladora (depositante), entrega una copia del código fuente del programa licenciado a un tercero (depositario ó escrow agent), que usualmente es un notario público, quien se compromete fielmente a cuidarlo y seguir las reglas del depósito que determinarán la restitución del mismo a su propietario o la entrega al cliente que contrata la licencia según pacten las partes.


CONTRATO DE ESCROW

IMPORTANCIA: TENGAMOS PROBLEMAS

Cuando una empresa adquiría una licencia de uso de software y la empresa desarrolladora simplemente desaparecía (caso que se vuelve cada día más común). En la práctica lo que se hace es que la empresa desarrolladora del software y la licenciataria pactan un contrato escrow o dentro del contrato de cesión de uso de software, una cláusula por la que la primera se comprometerá a depositar, ante un tercero, el código fuente del programa en cuestión.


CONTRATO DE ESCROW

DIFERENCIAS CON CONTRATO DE DEPÓSITO COMÚN:

Depósito común: se busca proteger al depositante

Escrow se busca proteger a un tercero al que se le restituirá la cosa “en caso de una quiebra”…

Actualizaciones periódicas

seguridad de la información

seguridad de la información · 4.LOPD aplicado a apps Medidas de seguridad en proceso de...

Documents

Transcript of seguridad de la información · 4.LOPD aplicado a apps Medidas de seguridad en proceso de...