Embed Size (px)
Citation preview
Índice
� Presentación� Breve resumen de la LOPD� ¿En que consiste una auditoria LOPD?� ¿Quién forma el equipo auditor?� Planificación de la auditoría.� Ejecución de la auditoría.
� Ejecución de la auditoría.� Reuniones, documentación, programa de trabajo,
cuestionarios, hitos, etc.� Implantación de medidas de seguridad.� El Documento de Seguridad. Redacción del informe de la
auditoría (qué contiene, estructura, etc.).� Caso práctico.
Presentación
� Formación� Ingeniero en informática.� MBA y PDD por el IESE.� Auditoría ISO 27001, ITIL, PMP.� Perito informático.
� ExperienciaFreelance
� Freelance� Auditor LOPD, 27001 y 20000.� Consultor de planes directores TI.� Asesor INTERIM MANAGER a diferentes empresas.� Peritajes informáticos.
� CIO� Consultor El Corte Ingles, Carrefour.� Profesor de la Universidad de Valencia.
Novedades
� Aplicación de la ley a tratamientos automatizados en soporte papel.� Este reglamento no será aplicable a los tratamientos de datos
referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
dirección postal o electrónica, teléfono y número de fax profesionales.
� No aplica a los datos relativos a empresarios individuales.� Este Reglamento no será de aplicación a los datos referidos a
personas fallecidas.� Nota: Se puede descargar una copia del reglamento desde el siguiente
enlace:� https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/RD_1720_2
007.pdf
Novedades
� Consentimiento:� Como regla general, se prohíbe pedir o tratar datos de menores de
catorce años sin el consentimiento de sus padres.
� El responsable podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembre y 12.2 de este Reglamento y deberá concederle un
13 de diciembre y 12.2 de este Reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento.
� Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
Novedades
� De alto a básico
� Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. (Afiliación Sindical)
� Se trate de ficheros o tratamientos no automatizados que
� Se trate de ficheros o tratamientos no automatizados que de forma incidental o accesoria contengan aquellos datos sin guardar relación con su finalidad. (Curriculum)
� Datos referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. (Cálculo de retenciones)
Estadística de cumplimiento
� Necesaria actualización de los ficheros inscritos, aproximadamente el 70% de los ficheros inscritos en 1994 no se han actualizado.
Motivaciones para desarrollar una auditoria LOPD
� Ley : Obligación – Desconocimiento –Despreocupación� Obligación por la Ley Orgánica 15/1999� El 100% de las empresas van a tener que legalizarse.� El 93% de las empresas españolas no se han actualizado a la
LOPD.� A medida que las empresas vayan implantando la LOPD, el
� A medida que las empresas vayan implantando la LOPD, el resto sentirá más la necesidad de adaptarse.
� Datos:� SÓLO EL 12% DE LAS FIRMAS CUMPLE LA LEY DE PROTECCIÓN DE DATOS
� LA DESCONOCIDA LEY DE PROTECCIÓN DE DATOS� DECLARACIONES DIRECTOR AEPD: CUATRO MILLONES DE EMPRESAS INCUMPLEN LA LOPD
Motivaciones para desarrollar una auditoria LOPD
� Seguridad : Sistemas Información Protegidos - Personal� La implantación mejora notablemente la seguridad informática de la
empresa.� Pequeñas modificaciones a nivel técnico pueden ayudar a adaptar a la
empresa a la LOPD sin un coste demasiado elevado.� Con los mismos recursos se actualiza la seguridad de la empresa y
los procesos necesarios para legalizarse a la LOPD.
los procesos necesarios para legalizarse a la LOPD.� La amortización del gasto en consultoría se produce de forma
múltiple.� La empresa dispone de sistemas legales que le permiten regular su
personal en lo que al uso de la tecnología se refiere.� El personal es formado con una serie de mejoras en sistemas de
trabajo con la tecnología, que vienen especificados por ley.� Datos:
� EL 90% DE EMPRESAS E INSTITUCIONES TIENEN SUS DATOS DESPROTEGIDOS
Motivaciones para desarrollar una auditoria LOPD
� Implantación : Auditoría – Consultoría – Mantenimiento� Modelos variados para la implantación del servicio según el perfil del cliente.� Toma de decisiones conjuntamente con el cliente tras la recogida de datos
de la empresa y detección de las carencias de la misma.� Servicio “llave en mano” al cliente, incluido la consultoría y el mantenimiento
del mismo.� Para las empresas con el perfil de nivel de datos con seguridad de tipo
medio y alto están obligadas por ley a realizar una auditoría bianual.
medio y alto están obligadas por ley a realizar una auditoría bianual.� La obligación de muchas empresas a realizar una auditoría cada dos años se
regula con el sistema de mantenimiento,
� Datos:� SE PREVÉE QUE LA DEMANDA DE CONSULTORÍA EN ESTE ÁMBITO GENERARÁ UN VOLUMEN DE NEGOCIO EN ESPAÑA DE 2.000 MILLONES DE EUROS, EN EL PERIODO 2008-2012
Relación ISO 27001 – LOPD
� Clausulas de la 4 a la 8 y Anexo A� Obligaciones generales o comunes.� Documento de seguridad.� Funciones y obligaciones del personal.� Registro de incidencias.� Control de acceso.� Gestión de soportes.� Identificación y autenticación.� Copias seguridad y restauración.
� Copias seguridad y restauración.� Responsable de seguridad.� Limitar intentos de acceso no autorizados.� Registros de entrada y salida de soportes.� Llevar un registro de las recuperaciones de datos efectuadas.� Control de acceso físico.� Auditoría.� Procedimiento de etiquetado y cifrado de soportes. � Telecomunicaciones. Transmisión cifrada. � Registro de acceso. � Copia de seguridad ubicación alternativa.
Motivaciones para desarrollar una auditoria LOPD
� Producto : Servicio – Paquetes – Certificado� La independencia del servicio garantiza la objetividad.� El servicio se tramita a través de un sistema de contratación.� La alianza entre servicios legales, jurídicos e informáticos garantiza una
implantación profesional.� La variedad de paquetes de servicio permite la comercialización a diferentes
niveles y tipos de cliente.� El cliente obtiene un certificado independiente que le permite venderse
� El cliente obtiene un certificado independiente que le permite venderse como empresa responsable y segura en el tratamiento de datos de terceros.
� El contacto con el cliente no termina con la implantación, ya que con la contratación del servicio se obtiene un servicio de mantenimiento y de consultoría continuos para llevar el control del documento de seguridad.
� La interacción entre clientes y sus propios clientes y proveedores permite una mayor difusión del servicio sin coste, ya que los propios clientes publicitan el servicio a través de su documentación diaria.
� El estado permite desgravar el 10% del gasto en implantación de mejoras en sistemas de información directamente en el impuesto de sociedades.
¿Quién forma el equipo auditor?
� Equipo consultor externo� No esta regulado.� Consultores especializados en LOPD� Licenciados en Derecho y Máster en Legislación de Nuevas Tecnologías� Ingenieros informáticos superiores y técnicos� Titulaciones CISA, CISM, ITIL, Lead Auditor 27001, especialistas
implantadores
implantadores� SGSI AENOR, EUROPRISE, MCAD Microsoft, etc.� Amplia experiencia en proyectos LOPD� Equipo de Ejecución de Proyectos centralizado en la sede.
� Equipo interno� Responsable de seguridad.� Propietarios de ficheros.� Equipo TI.� Todos los usuarios involucrados o no en el tratamiento de datos.
Planificación de la auditoría.
� Objetivo de una auditoria LOPD� Verificar el cumplimiento de las medidas de seguridad.� Medidas y controles a la ley.
� Verificar el nivel de seguridad notificado a la AEPD.� Verificar la existencia y adecuación a la LOPD y RDLOPD de los contratos de acceso a datos.� Verificar la existencia y adecuación a la LOPD y RDLOPD de los contratos cuyo objetivo es la
salvaguarda de la confidencialidad de los datos.
� Que buscamosIntegridad. Alteración indebida.
� Integridad. Alteración indebida.� Disponibilidad. Previene la perdida.� Confidencialidad. Accesos no autorizados.
� Frecuencia de realización� Ficheros automatizados
� A partir de nivel medio cada dos años.� Excepción: Cambios sustanciales en el SI con repercusión.
� Ficheros no automatizados. Art. 110 RDLOPD� Al menos cada dos años.� Auditoria interna y externa
Planificación de la auditoría.
� Sujetos responsables de auditoria de verificación:� Responsable del fichero.
� Personas o entes que deciden sobre la finalidad/tratamiento/contenido y uso.
� Encargado del tratamiento.Personas o entes.
� Personas o entes.
� Designado por el responsable del tratamiento.
Planificación de la auditoría.
� ¿Qué niveles están obligatoriamente afectados por una auditoria de seguridad?� Título VIII del RDLOPD, art 96 y 110
� Sistemas de información encargados de tratamiento y almacenamiento.
almacenamiento.
� Los ficheros a partir de nivel medio.
Planificación de la auditoría.
� Nivel medio, ficheros (incluido los básicos):� Relativos a infracciones administrativas o penales.
� Responsable e información tributaria.
� Responsable e información financiera.
� Responsables SSSS y mutuas de accidentes de trabajo y
� Responsables SSSS y mutuas de accidentes de trabajo y enfermedades.
� Características de personalidad. (Curriculums)
� Responsables operadores electrónicos disponibles al público, con información de localización.
� Articulo 29 de la LOPD.
Planificación de la auditoría.
� Nivel alto, ficheros (incluido los medio y básicos):� Ideología, afiliación sindical, religión, creencias, salud, origen
racial y vida sexual.
� Recabar datos policiales sin consentimiento.
� Datos de violencia de género.
Datos de violencia de género.
Planificación de la auditoría.
� Auditoría interna
� Auditoría externa� Contrato de servicios y acceso a datos.
� Formularios\Contrato presentación servicios.doc
Contenido de la auditoría.
� ¿Qué contiene?� Dictamen sobre la adecuación de las medidas y controles a la
LOPD.
� Dictamen sobre la adecuación de las medidas y controles a la RDLOPD.
Identificación de deficiencias.
� Identificación de deficiencias.
� Propuesta medidas correctoras.
� Medidas complementarias necesarias.
� Descripción de evidencias que se basan los dictámenes alcanzados y recomendaciones propuestas.
Objetivos
� Alinear con el RDLOPD y LOPD
� Legitimar:� Información en la recogida de datos.
� Consentimiento del afectado.
� Deber del secreto.
� Deber del secreto.
� Calidad de los datos.
� Derechos de los ciudadanos. Acceso, rectificación, cancelación y oposición.
� Inscripción de los ficheros.
� Medidas de seguridad. Organizativas y técnicas.
� Clasificación de niveles de seguridad.
Fases de la auditoria
� Fase 1. Compromiso y apoyo de dirección.� Fase 2. Identificar las fases.� Fase 3. Identificar interlocutores.� Fase 4. Elaborar calendario de actuaciones.� Fase 5. Recogida de información.� Fase 6. Entrevistas.
Fase 6. Entrevistas.� Fase 7. Solicitud de docs.� Fase 8 Revisión de medidas y controles de seguridad.� Fase 9. Análisis de información.� Fase 10. Aclaraciones.� Fase 11. Informe provisional.� Fase 12. Estudio y opiniones sobre informe provisional.� Fase 13. Informes definitivo.
Fases de la auditoria
� Fase 1. Compromiso y apoyo de dirección.� Comprensión esfuerzo y apoyo staff.
� Recursos económicos y humanos.
� Exposición de dirección a partes implicadas.
� Creación de equipo interno líder.
� Creación de equipo interno líder.
� Final. Análisis del resultado de la auditoría y verificación de cumplimiento por parte del responsable de seguridad (Título VIII del RDLOPD)
Fases de la auditoria
� Fase 2. Identificar las fases.� Crtiterio a nuestro juicio. (ISO 27001 si,…)
� Seguir metodología común a otras.
� A tercero, tras la firma de prestación de servicios:� Identificar interlocutores.
Identificar interlocutores.
� Elaborar calendario de actuaciones.
� Recoger información.
� Análisis de esa información.
� Aclaraciones.
� Informe provisional.
� Estudio.
� Informe definitivo.
Fases de la auditoria
� Fase 3. Identificar interlocutores.� Comité o equipo de trabajo
� Comunicación fluida con auditor.� Asegurar colaboración y facilidades para el auditor� Encargados de la comunicación.� Seguros:
� Seguros:� Responsable de seguridad.� Responsable del fichero.
� Designar interlocutores.� Capacidades y habilidades necesarias.� Todas las personas que el auditor entrevistara.
� Personal por parte del auditor no becario.� Definir canales.
Fases de la auditoria
� Fase 4. Elaborar calendario de actuaciones.� Fecha inicial de trabajos.
� Reuniones.
� Entrevistas.
� Fecha entrega del informe provisional.
� Fecha entrega del informe provisional.
� Fecha entrega del informe definitivo.
� Sin prejuicio de bajas, ausencias, vacaciones…
� Entregar a la entidad auditada.
Fases de la auditoria
� Fase 5. Recogida de información.� Periodo de recogida desde inicio hasta provisional.� Periodo de devolución desde provisional hasta definitivo.� Preveer tiempos de entrega
� Entrega supeditada a aprobaciones, documentación alojada fuera de las oficinas,…� Tener en cuenta los canales que se van a utilizar.
� Tipos de documentos solicitados:� Datos de registro en la RGPD.
� Datos de registro en la RGPD.� Petición previa al inicio de las entrevistas, por ejemplo, actividad…� Normas de seguridad que el responsable del fichero o de tratamiento subscriben y
deben de cumplir.� Solicitud aleatoria sujeto al devenir de la auditoria. Comprobar veracidad de
ciertos hechos.� Entrega voluntaria en entrevistas.� Documentación aportada por terceros. Contratos de acceso…� Tanto a usuarios de procesos automatizados como no.� Llevar un inventario de la documentación.
Fases de la auditoria
� Fase 6. Entrevistas (I).� Responsables de seguridad, administradores de SI, usuarios con acceso
(Prevención de riesgos externalizado, departamento medico,…)� Evitar el efecto sorpresa. (con excepción de compañero)� Asegurar la visita y la comparecencia de todos los convocados.� Informar de la documentación relevante para la entrevista.
Anotar:
� Anotar:� Nombre y apellidos.� Departamento y cargo.� Fecha de alta en la empresa.� Funciones.� Día y hora de la entrevista.� Lugar.� Preguntas y contestaciones.� Enumerar documentación aportada por entrevistado
Fases de la auditoria
� Fase 6. Entrevistas (II).� Articulo 56 de la LOPD
� Informar a los entrevistados a los que se solicite datos personales:� Existencia de fichero o tratamiento de datos de carácter personal, finalidad
y destino de la información.� Obligatoriedad de la respuesta.
Consecuencias de la negatividad.
� Consecuencias de la negatividad.� Derechos de acceso, rectificación, cancelación,…� Identidad del responsable del tratamiento o en su caso el representante.
� Formularios\Modelo acta reunion.doc� Formularios\Modelo cuestionario Responsable
seguridad.doc� Formularios\Modelo cuestionario Usuario.doc
Fases de la auditoria
� Fase 7. Solicitud de docs. (I)� Fotocopia del objeto social de la organización.� Documento con descripción de las actividades de la empresa.� Fotocopia estatutos política de asignación de responsables de seguridad y ficheros.� Documento con descripción de los centros de trabajo.� Organigrama.� Documentos de inscripción en la AEPD.� Copia de los contratos con terceros y subcontratistas, encargados del tratamiento.
� Copia de los contratos con terceros y subcontratistas, encargados del tratamiento.� Revisar su adecuación. Objetivo, subcontratación, medidas de seguridad, modalidad de acceso a
datos, duración del contrato, destrucción, al finalizar …
� Clausula de confidencialidad firmada por trabajadores y aceptación de uso, consecuencias de no cumplimiento…
� Copia de políticas de uso de los SI por parte de los usuarios.� Entrega de normativas:
� Acceso a instalaciones.� Acceso y uso de la red.� Acceso y uso de aplicaciones y programas de ordenador.� Acceso y uso del email e internet.� Almacenamiento, copias, traslado de información,…
Fases de la auditoria
� Fase 7. Solicitud de docs. (II)� Políticas de seguridad especificas del responsable de seguridad y de SI.� Copia del documento de seguridad con todos los anexos.
� Único o por fichero. Con o sin todos los anexos.� Contenido común:
� Relación de contratos con terceros.� Delegación de autorizaciones del responsable del fichero o tratamiento a un tercero.� Modelos de autorizaciones. (almacenar datos en dispositivos portátiles, acceder a soportes, salida de soportes, acceso a
lugares,)� Relación actualizada de usuarios o perfiles con acceso.
Relación actualizada de usuarios o perfiles con acceso.� Tipos de autorizaciones.
� Normativas de seguridad para usuarios y responsables seguridad/TI.� Acuerdos de confidencialidad.� Documento de nombramiento del responsable de seguridad.� Estructura de los ficheros con carácter LOPD y su tratamiento.� Procedimiento de notificación de incidencias.� Inventario y libros de registro de entrada/salida de soportes y/o documentos.� Procedimientos de copias y recuperación.� Informe mensual de revisiones y problemas detectados en acceso a datos especialmente protegidos.� Histórico de pruebas con datos reales.� Legislación aplicada
� Anterior auditoria y conclusiones.
Fases de la auditoria
� Fase 7. Solicitud de docs. (III)
Lugar/fecha Nombre y apellidos
Departamento y cargo
Título del documento
Original/Copia Breve referencia del contenido
Fases de la auditoria
� Fase 8 Revisión de medidas y controles de seguridad.� Cuestionarios
� Responsable de seguridad y SI� Usuarios. Cumplimiento de los controles y medidas diseñados por el
anterior.
� GeneralNotificación de ficheros y tratamientos.
� Notificación de ficheros y tratamientos.� Alcance y aplicación de los niveles de seguridad.� Relaciones con el encargado del tratamiento.� Confidencialidad de la información.� Delegación de autorizaciones.� Acceso a datos mediante redes de telecomunicaciones.� Trabajo fuera de los centros establecidos.� Ficheros temporales o copias.
Fases de la auditoria
� Fase 8 Revisión de medidas y controles de seguridad (I).� Ficheros y tratamientos automatizados y no automatizados.
� Nivel básico� Obligaciones generales o comunes.
� Documento de seguridad.
� Funciones y obligaciones del personal.
� Funciones y obligaciones del personal.
� Registro de incidencias.
� Control de acceso.
� Gestión de soportes.
� Identificación y autenticación.
� Copias seguridad y restauración. (Aut.)
� Criterios de archivo (No Aut.)
� Dispositivos de almacenamiento (No Aut.)
Fases de la auditoria
� Fase 8 Revisión de medidas y controles de seguridad (II).� Ficheros y tratamientos automatizados y no automatizados.
� Nivel medio� Responsable de seguridad.� Limitar intentos de acceso no autorizados.� Registros de entrada y salida de soportes.� Llevar un registro de las recuperaciones de datos efectuadas.� Control de acceso físico.
� Control de acceso físico.� Auditoría.
� Nivel alto� Procedimiento de etiquetado y cifrado de soportes. (Aut.)� Telecomunicaciones. Transmisión cifrada. (Aut.)� Registro de acceso. (Aut.)� Copia de seguridad ubicación alternativa. (Aut.)� Almacenamiento de la información. (No Aut.)� Copia o reproducción. (No Aut.)� Acceso a la documentación. (No Aut.)� Traslado de documentación. (No Aut.)
Fases de la auditoria
� Fase 9. Análisis de información.� Tarea muy laboriosa.� Cruzar y cotejar toda la información.
� Labor minuciosa, datos contradictorios que pueden llevar al careo.
� Contrastar con los documentos LOPD y RDLOPD.� Análisis por niveles de seguridad. Down-Top.
� Análisis por niveles de seguridad. Down-Top.� Recomendaciones
� Organizar las ideas clave.� Identificar deficiencias de seguridad.� Redactar síntesis de valoraciones realizadas.� Citar fuentes de información.� Términos claros y precisos.� Anotar y aclarar todas las dudas.
Fases de la auditoria
� Fase 10. Aclaraciones.� Al comité.
� Si es de un tercero, o distintos interlocutores.
� Directamente con el interlocutor que me generó la duda.� Ejemplo papel confidencial en papeleras (puntual o continuo?).
Fases de la auditoria
� Fase 11. Informe provisional.� No existen dudas.
� Se revisara por el comité interno.� Puede o no llevar las propuestas de medidas y solo detallas
datos, hechos, informaciones y observaciones.
Fases de la auditoria
� Fase 12. Estudio y opiniones sobre informe provisional.
� Fase 13. Informes definitivo.� Incluir salvedades, propuestas de medidas y conclusiones.
� Formularios\Modelo informe auditoria.doc
Informe de conclusiones del responsable
� Realizado por el responsable de seguridad.
� Formularios\Modelo revision informe auditoria.doc
Implantación de medidas de seguridad.
� Revisión de la aplicación de las medidas adoptadas.� Formularios\Modelo adopción de la revision informe auditoria.doc
Ejemplo de auditoria
� Importante empresa multinacional.
� Informe_protección_de_datos.DOC
Gracias
� Email: [email protected]
� Web: http://www.vilanovaproyectos.com
� Blog: http://luisvilanova.wordpress.com
� Tel. Oficina: 963 31 22 63
Tel. Móvil: 606 95 45 93
� Tel. Móvil: 606 95 45 93
