Auditoría Informática

Auditoría InformáticaAuditoría Informática

Reglamento de Medidas de Seguridad

Salir Continuar

ÍndiceÍndice

1. Introducción

2. Niveles de Seguridad

3. Documento de Seguridad

4. El Responsable de Seguridad

5. Sanciones

Salir

IntroducciónIntroducción

• Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir:– Los ficheros automatizados– Los centros de tratamientos locales– Equipos– Sistemas– Programas– Personas que intervienen en el proceso


• Antecedentes Internacionales:– La Declaración Universal de los Derechos

Humanos adoptada y proclamada por la ONU el 10 de diciembre de 1948.

– El Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales de 4 de noviembre de 1950.

– La Resolución 721/80. Informática y protección de los derechos del hombre.

– La Recomendación 890/80. Protección de datos de carácter personal.


• Antecedentes en España:– En la Constitución Española:

Artículo 18. Derecho al honor, a la intimidad y a la propia imagen

1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

2. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.


• Principios reguladores de la protección de datos:

1. Solo podrán recogerse aquellos datos de carácter personal que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

2. Dichos datos no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

3. Los datos deben ser exactos y el responsable del fichero deberá actualizarlos de oficio en caso de ser inexactos.

4. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.


• Derechos de los particulares:– Derecho a la información: consentimiento del

afectado.– Derecho de acceso: Derecho a obtener

información de los datos de carácter personal sometido a tratamiento.

– Derecho de rectificación.– Derecho de cancelación.– Deber de secreto.

ÍndiceÍndice

1. Introducción 2. Niveles de Seguridad

3. Documento de Seguridad


5. Sanciones

Salir

Niveles de SeguridadNiveles de Seguridad

• Los niveles de seguridad son los siguientes:

1.Nivel Básico

2.Nivel Medio

3.Nivel Alto


Existen Medidas de Seguridad a tomar según la clasificación de nivel de seguridad anterior:

• Medidas de Seguridad de nivel básico:– Sistema de Registro de incidencias.– Relación actualizada usuarios/recursos

autorizados (art. 11.1 y art. 12.3 RMS).– Existencia de mecanismos de identificación y

autenticación de los accesos autorizados (art. 11 RMS).


– Restricción solo a los datos necesarios para cumplir cada función (art. 12 RMS).

– Gestión de soportes informáticos con datos de carácter personal (art. 12.1 RMS).

• Inventariados.• Con acceso restringido.

– Copias de seguridad semanalmente.


• Medidas de seguridad de nivel medio, además de lo estipulado para el nivel bajo:– Designación de uno o varios responsables de

seguridad (art. 16 RMS).– Auditoría al menos una vez cada dos años.– Mecanismos para identificación inequívoca y

personalizada de los usuarios (art. 18 RMS).– Limitación de los intentos de acceso no

autorizados (art. 18.2 RMS).– Medidas de control de acceso físico a los locales

(art. 19 RMS).


– Establecimiento de un registro de entradas y salidas de soportes informáticos (art. 20 y 21 RMS).

– Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual (art. 20.3 y 4 RMS).

– Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS).


• Medidas de seguridad de nivel alto, además de lo indicado para el nivel medio:– Los soportes para distribución deberán tener la

información cifrada (art. 23 RMS).– Registro de accesos autorizados y denegados

(art. 24 RMS).– Guardar estos registros durante 2 años.– Copias de seguridad guardadas en sitios

diferentes (art. 25 RMS).– Transmisiones cifradas (art. 26 RMS).


• Otras medidas de seguridad exigibles a todos los ficheros:– Los accesos por red están sujetos a las mismas medidas

de seguridad exigibles del nivel de seguridad en modo local (art. 5 RMS).

– El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero.

– Los ficheros temporales se borrarán una vez usados, también se les aplicará el nivel de seguridad pertinente.

– El responsable del fichero elaborará el documento de seguridad (art. 8.1 RMS).

– Las pruebas con datos reales seguirán las medidas de seguridad pertinentes (art. 22 RMS).

ÍndiceÍndice

1. Introducción 2. Niveles de Seguridad 3. Documento de Seguridad


5. Sanciones

Salir

Documento de SeguridadDocumento de Seguridad

• Introducción:– En el Reglamento no se indica la forma sino el

contenido.– Está destinado al personal con acceso a los

datos automatizados.– Redactado por el responsable del fichero.– Es un documento dinámico.


• Contenido del documento:– Ámbito de aplicación del documento, con especificación

detallada de los recursos protegidos.– Medidas, normas, procedimientos, reglas y estándares

encaminados a garantizar el nivel de seguridad exigido en el Reglamento.

– Funciones y obligaciones del personal.– Estructura de los ficheros con datos de carácter personal

y descripción de los sistemas de información que los tratan.

– Procedimiento de notificación, gestión y respuesta ante las incidencias.


• Contenido del documento:– Procedimientos de realización de copias de seguridad y

recuperación de datos.– Identificación del personal autorizado para conceder,

alterar o anular el acceso a los datos (art. 12.4 RMS).– Identificación del responsable o responsables de

seguridad (art. 15 RMS).– Procedimiento de eliminación de datos cuando un

soporte vaya a ser desechado o reutilizado (art. 15 RMS).

– Identificación del personal con acceso a los locales donde se encuentran los sistemas de información (art. 19 RMS).


• Medidas de índole técnica y organizativa:– Las medidas de seguridad deben responder

según el art. 17 de la Directiva 95/46/CE• A los conocimientos técnicos existentes• Al coste de su aplicación• A los riesgos que presente el tratamiento de los datos• A la naturaleza de estos

– En la transposición de la Directiva de la LOPD se omite la referencia al coste de la adopción.


• Medidas de índole técnica y organizativa:

Medidas técnicas Medidas organizativas•Garantía de que los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local (art. 5)

•La ejecución del tratamiento de datos de carácter personal fuera de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero, y en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado (art. 6)

•Los ficheros temporales deberán cumplir el nivel de seguridad que le corresponda con arreglo a los criterios establecidos en el RMS (art. 7)

•Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación (art. 7)



Medidas técnicas Medidas organizativas•Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

•Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma inteligible (encriptadas) (art. 11 y 18 NM)

•El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieren derivado de la misma (art. 10).

•En el registro de incidencias se consignarán los procedimientos de recuperación de datos (art. 21 NM)



Medidas técnicas Medidas organizativas•Gestión de soportes: identificación de la información que contienen.•La salida de soportes informáticos fuera del lugar del tratamiento requerirá autorización del responsable del fichero (art. 13)•Registro de entrada-salida de soportes (art. 20 NM).•Borrado de datos en los soportes desechados o reutilizados (art. 20 NM).•Medidas para evitar la recuperación indebida de los datos contenidos en soportes fuera de los locales de tratamiento (art. 20 NM)



Medidas técnicas Medidas organizativas•Establecimiento del procedimiento de copias de seguridad (art. 14)

•Identificación del responsable de seguridad y calendario de auditorías en el documento de seguridad (art. 15 NM)

•Responsable de seguridad (art. 16 NM)•Auditorías (art. 17 NM)

•Control de acceso físico (art. 19 NM)


• Medidas de índole técnica y organizativa:– Funciones y obligaciones del personal:

• Funciones de los usuarios:– root– Administrador– Usuarios– . . .

• Procedimiento de acceso.

ÍndiceÍndice

1. Introducción 2. Niveles de Seguridad 3. Documento de Seguridad 4. El Responsable de Seguridad

5. Sanciones

Salir

El Responsable de SeguridadEl Responsable de Seguridad

• Nivel Medio y Alto:– Coordinar y controlar las medidas definidas en el

documento de seguridad:• Analizar los informes de auditoría• Control de los mecanismos de acceso del art. 24• Informes de los registros

– No tiene las responsabilidades del responsable del fichero.

ÍndiceÍndice

1. Introducción 2. Niveles de Seguridad 3. Documento de Seguridad 4. El Responsable de Seguridad 5. Sanciones

Salir

SancionesSanciones

• Responsabilidades:– Art. 9.2 ”El responsable del fichero adoptará las medidas

necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento”.

– Art. 16 “El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento”.

SancionesSanciones

• Sanciones aplicables:– Sanciones en la LOPD

• Leves: de 601,01 a 60.101,21 €• Graves: de 60.101,21 a 300.506,05 €• Muy graves: de 300.506,05 a 601.012,10 €• La cuantía de las sanciones se graduará atendiendo a la

naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados , a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de anti juridicidad y de culpabilidad presentes en la concreta actuación infractora.

Auditoría InformáticaAuditoría Informática

Gracias por su atención

Documents

Auditoría Informática