Your SlideShare is downloading. ×
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Foro SEIS-pagonzalez-2012-apuntesx2
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Foro SEIS-pagonzalez-2012-apuntesx2

151

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
151
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Medidas de Seguridad en atención sociosanitaria Pedro Alberto González González http://www.avpd.es Índice de la sesión• Marco de referencia• Análisis de riesgos• Niveles de seguridad• Medidas de seguridad• En particular, para usuarios finales• Conclusioneshttp://www.avpd.es Medidas de Seguridad para Usuarios Finales 2
  • 2. Principios consagrados en la LOPD • Calidad de los datos • Información en la recogidaReferencia Marco de • Consentimiento del afectado • Comunicación o cesión de los datos • Protección especial de determinados datos • Seguridad de los datos • Deber de secreto http://www.avpd.es Medidas de Seguridad para Usuarios Finales 3 Seguridad de los Datos (art. 9 LOPD) • Se adoptarán las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos,Referencia – evitando su alteración o pérdida Marco de – y su tratamiento o acceso no autorizado • Teniendo en cuenta: – el estado de la tecnología – la naturaleza de los datos almacenados – los riesgos a que estén expuestos • Afecta tanto al Responsable del Fichero como al Encargado del Tratamiento http://www.avpd.es Medidas de Seguridad para Usuarios Finales 4
  • 3. Deber de secreto (art. 10 LOPD) • El responsable del fichero y quienes intervengan en cualquier fase delReferencia Marco de tratamiento de los datos de carácter personal están obligados al secreto profesional. • Esta obligación subsistirá aun después de finalizar sus relaciones con el titular del fichero. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 5 LEY 16/2003, de cohesión y calidad del Sistema Nacional de Salud • Artículo 14. Prestación de atención sociosanitaria. – 1. La atención sociosanitaria comprende el conjunto de cuidados destinados a aquellos enfermos, generalmente crónicos, que por sus especiales características pueden beneficiarse de la actuación simultánea y sinérgica de los servicios sanitarios y sociales para aumentar su autonomía, paliar sus limitaciones o sufrimientos y facilitar su reinserción social. – (…) 3. La continuidad del servicio será garantizada por los servicios sanitarios y sociales a través de la adecuada coordinación entre las Administraciones públicas correspondientes. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 6
  • 4. Ley 41/2002, de Autonomía del Paciente• Artículo 7. El derecho a la intimidad. – 1. Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley. – 2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.http://www.avpd.es Medidas de Seguridad para Usuarios Finales 7 Ley 41/2002, de Autonomía del Paciente• Artículo 14. Definición y archivo de la historia clínica. – (…) 2. Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información. – (…) 4. Las Comunidades Autónomas aprobarán las disposiciones necesarias para que los centros sanitarios puedan adoptar las medidas técnicas y organizativas adecuadas para archivar y proteger las historias clínicas y evitar su destrucción o su pérdida accidental.http://www.avpd.es Medidas de Seguridad para Usuarios Finales 8
  • 5. Ley 41/2002, de Autonomía del Paciente• Artículo 16. Usos de la historia clínica. – 6. El personal que accede a los datos de la historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto.http://www.avpd.es Medidas de Seguridad para Usuarios Finales 9 Ley 41/2002, de Autonomía del Paciente• Artículo 17. Documentación clínica. – 1. Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, (…). – 6. Son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los ficheros que contienen datos de carácter personal y, en general, por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.http://www.avpd.es Medidas de Seguridad para Usuarios Finales 10
  • 6. Euskadi: LEY 12/2008, de Servicios Sociales• Artículo 9.– Derechos de las personas usuarias de los servicios sociales. – a) Derecho a acceder a los servicios sociales en condiciones de igualdad, dignidad y privacidad. – b) Derecho a la confidencialidad, • entendiéndose por tal el derecho a que los datos de carácter personal que obren en su expediente o en cualquier documento que les concierna sean tratados con pleno respeto de lo previsto en la LOPD, • incluyendo la debida reserva por parte de las profesionales y los profesionales con respecto a la información de la que hayan tenido conocimientohttp://www.avpd.es Medidas de Seguridad para Usuarios Finales 11 Euskadi: LEY 12/2008, de Servicios Sociales• Artículo 9.– Derechos de las personas usuarias de los servicios sociales. – d) Derecho a dar o a denegar su consentimiento libre y específico en relación con una determinada intervención, debiendo ser otorgado el consentimiento, en todo caso, por escrito cuando la intervención implique ingreso en un servicio de alojamiento o en un centro residencial.http://www.avpd.es Medidas de Seguridad para Usuarios Finales 12
  • 7. Euskadi: LEY 12/2008, de Servicios Sociales• Artículo 20.– Instrumentos técnicos comunes. – 1.– Con el fin de garantizar la homogeneidad en los criterios de intervención, (…) todos los servicios sociales de base cumplimentarán el modelo de ficha social y aplicarán el modelo de plan de atención personalizada. (…) – Tanto en el diseño de estos instrumentos como en la recogida de datos, y en su utilización y explotación, se estará a lo previsto en la normativa vigente en materia de protección de datos de carácter personal.http://www.avpd.es Medidas de Seguridad para Usuarios Finales 13 Euskadi: LEY 12/2008, de Servicios Sociales• Artículo 90.– Infracciones graves. – b) Incumplir el deber de confidencialidad y el deber de reserva de los datos personales, familiares o sociales de las personas usuarias. – c) No salvaguardar el derecho a la dignidad y a la intimidad de las personas usuarias.http://www.avpd.es Medidas de Seguridad para Usuarios Finales 14
  • 8. Seguridad ≠ Privacidad • Adjetivo (un medio) • Sustantivo (un fin) – Protección de activos – Derecho • Evitar riesgo • Fundamental • Mitigar impacto • Constitucional “Security by “Privacy by Design” Design” http://www.avpd.es Medidas de Seguridad para Usuarios Finales 15 Modelo de referencia para Análisis de RiesgosAnálisis de Riesgos Están expuestos a… Activos tienen … Amenazas Valor Causan +/- … Degradación Impacto Frecuencia Ocurren con +/-… Riesgo http://www.avpd.es Medidas de Seguridad para Usuarios Finales 16
  • 9. Activos más comunes• Instalaciones – Edificios, locales, canalizaciones, redes de comunicaciones,…• Equipamientos – Mobiliario, maquinaria, ordenadores personales, …• Sistemas de Información – Servidores, sistemas de almacenamiento,… – Aplicaciones y programas de ordenador – Información, datos de negocio, datos personaleshttp://www.avpd.es Medidas de Seguridad para Usuarios Finales 17 Activos más comunes• Intangibles – Licencias, derechos,.. – Reputación, imagen, … – Personas de la Organización• Servicios prestados – Continuidad del negociohttp://www.avpd.es Medidas de Seguridad para Usuarios Finales 18
  • 10. Activos en Protección de Datos • Datos de Carácter Personal • y, como consecuencia, – Instalaciones donde se ubican, – Equipos donde se tratan – Redes por donde “viajan” – Programas que los tratan – Soportes que los contienen – Personas que los gestionan http://www.avpd.es Medidas de Seguridad para Usuarios Finales 19 Amenazas más comunes• Desastres naturales – Incendios, inundaciones, … terremotos, tsunamis…• Desastres industriales – Explosiones, derrumbes, fallo de equipos,• Interrupciones de servicios – Luz, agua, teléfono, internet, … cloudComputing (XaaS)• Errores humanos no intencionados – De usuarios, de administradores, de operadores,• Ataques intencionados – Contra personas, equipos, programas, – Posibles empleados desleales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 20
  • 11. Impacto de las Amenazas contra la Información • Confidencialidad – Acceso o revelación indebidos • Integridad – Modificación de los datos • Disponibilidad – Sabotaje • (Autenticidad) – Suplantación de Identidad http://www.avpd.es Medidas de Seguridad para Usuarios Finales 21 Salvaguardas / ContramedidasAnálisis de Riesgos Están expuestos a… Activos tienen … Amenazas Valor Causan +/- … Degradación Impacto ContraMedidas Impacto Residual Frecuencia Ocurren con +/-… Riesgo Riesgo Residual http://www.avpd.es Medidas de Seguridad para Usuarios Finales 22
  • 12. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 23http://www.avpd.es Medidas de Seguridad para Usuarios Finales 24
  • 13. Niveles de seguridad Nivel Alto: ficheros con •Datos especialmente protegidos •Fines policiales •Violencia de género Nivel Medio: ficheros con •Infracciones administrativas o penales •Información sobre solvencia patrimonial •Administraciones Tributarias •Entidades financieras •Seguridad Social •Elaboración de perfiles Nivel Básico: Todos los ficheros http://www.avpd.es Medidas de Seguridad para Usuarios Finales 25 RD 1720/2007: Niveles de seguridad • Medio – Infracciones administrativas o penalesNiveles deSeguridad – Servicios de información sobre solvencia patrimonial y crédito – Administraciones Tributarias - potestades tributarias – Entidades financieras - servicios financieros – Seguridad Social, Mutuas – Elaboración de perfiles http://www.avpd.es Medidas de Seguridad para Usuarios Finales 26
  • 14. RD 1720/2007: Niveles de seguridad • Medio reforzado (+ registro de accesos) – Operadoras TELECONiveles deSeguridad • (datos de tráfico y localización) • Alto – Datos especialmente protegidos – Fines policiales sin consentimiento de las personas afectada – Violencia de género http://www.avpd.es Medidas de Seguridad para Usuarios Finales 27 Datos especialmente protegidos (1) • Datos sobre Ideología, religión o creencias. – Nadie podrá ser obligado a declarar sobre estos datos – Cuando se recabe el consentimiento, se advertirá al interesado acerca de su derecho a no prestarlo. – El consentimiento en estos casos ha de ser expreso y por escrito (también la afiliación sindical) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 28
  • 15. Datos especialmente protegidos (2)• Datos sobre Origen racial, salud y vida sexual – Sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.http://www.avpd.es Medidas de Seguridad para Usuarios Finales 29 Otros datos protegidos• Datos relativos a la comisión de infracciones penales o administrativas – Los sólo podrán ser incluidos en ficheros de las Administraciones públicas – en los supuestos previstos en las respectivas normas reguladoras.http://www.avpd.es Medidas de Seguridad para Usuarios Finales 30
  • 16. Excepciones a la aplicación de medidas de Nivel Alto • Bastará con nivel básico en los casos: – Ideología, afiliación sindical, religión, creencias,Niveles deSeguridad salud, origen racial o vida sexual, para: • transferencia dineraria a entidades de las que los afectados sean asociados o miembros, • tratamiento de forma incidental o accesoria, sin guardar relación con la finalidad – Salud (exclusivamente grado o condición de discapacidad o invalidez), para: • cumplimiento de deberes públicos http://www.avpd.es Medidas de Seguridad para Usuarios Finales 31 Resumen medidas nivel Básico Ficheros automatizados y no automatizados Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidenciasNiveles deSeguridad Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos Sólo automatizados Sólo no automatizados Art. 93. Identificación y Art. 106. Criterios de archivo autenticación - posibilitar derechos ARCO Art. 94. Copias de respaldo y Art. 107. Dispositivos de almacenamiento recuperación - mecanismos apertura Art. 108. Custodia de los soportes - en el proceso de tramitación http://www.avpd.es Medidas de Seguridad para Usuarios Finales 32
  • 17. Resumen medidas nivel Medio Ficheros automatizados y no automatizados Arts. 95 y 109: Responsable de seguridad Arts. 96 y 110: AuditoriaNiveles deSeguridad Sólo automatizados Sólo no automatizados Art. 97. Gestión de soportes Art. 98. Identificación y autenticación Art. 99. Control de acceso físico Art. 100. Registro de incidencias http://www.avpd.es Medidas de Seguridad para Usuarios Finales 33 Resumen medidas nivel Alto Sólo automatizados Sólo no automatizados Art. 101. Gestión y distribución de Art. 111. Almacenamiento de la soportes informaciónNiveles deSeguridad –Cifrado de datos. Evitar –Archivadores, áreas restringidas dispositivos que no permitan el Art. 112. Copia o reproducción cifrado –Personal autorizado Art. 102. Copias de respaldo y Art. 113. Acceso a la documentación recuperación –Mecanismo identificación accesos por Art. 103. Registro de accesos diferentes usuarios –Excepción: Responsable persona Art. 114. Traslado de documentación física y único usuario –Impedir acceso, manipulación Art. 104. Telecomunicaciones – Cifrado en redes públicas o inalámbricas http://www.avpd.es Medidas de Seguridad para Usuarios Finales 34
  • 18. 10 Objetivos de Control de medidas de seguridad 1. Organización de la Seguridad 2. Documentación de Seguridad 3. Funciones y obligaciones del personal 4. Identificación y autenticación de usuarios 5. Controles y registros de accesos 6. Accesos a través de redes / Internet 7. Soportes y documentos con información 8. Copias de respaldo y recuperación 9. Gestionar Incidencias de seguridad 10. Efectuar Auditorías y Controles http://www.avpd.es Medidas de Seguridad para Usuarios Finales 35 1.- Responsable de Seguridad Nivel Básico Nivel Medio Nivel Alto Debe existir uno o varios, designados por elMedidas deSeguridad responsable del fichero. Es el encargado de coordinar y controlar las medidas de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero También ha de gestionar la seguridad de los ficheros no automatizados (archivística) Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 36
  • 19. 2.- Documento de Seguridad - Requisitos Nivel Básico Nivel Medio N. Alto Establece y recopila, como mínimo: Además debe contener:Medidas de El Ámbito de aplicación. La Identificación delSeguridad Las medidas, normas, procedimientos y estándares responsable de de seguridad. seguridad. Las funciones y obligaciones del personal. Los Controles La estructura de los ficheros y la descripción de los sistemas de información. periódicos del Los procedimientos de gestión y respuesta ante cumplimiento del incidencias. documento. Los procedimientos de realización de las copias de respaldo y recuperación de datos. Las Medidas para el transporte, destrucción y reutilización de soportes. Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 37 2.- Doc. de Seguridad – (más) Nivel Básico Nivel Medio N. Alto • En función de los sistemas de tratamiento u otros criterios, podrá ser: – Único, para todos (o un grupo de) los ficheros, o – Individualizado por cada fichero,Medidas deSeguridad • Deberá recoger las situaciones excepcionales relativas a: – Prestaciones de servicios (82.1), uso de dispositivos portátiles (86), – Medidas compensatorias, imposibilidad aplicación medidas previstas • Recogerá las delegación de autorizaciones (art. 84) • Incluirá los ficheros externalizados, indicándolo expresamente • Puede delegarse la llevanza del Documento de Seguridad en el Encargado de Tratamiento • Los Encargados de Tratamiento han de incluir los ficheros que tratan por cuenta de terceros, con referencia a las condiciones del encargo • Carácter Interno. Controlado y actualizado periódicamente Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 38
  • 20. 3.- Funciones y obligaciones del Personal Nivel Básico Nivel Medio Nivel Alto Las funciones y obligaciones relacionadas con elMedidas deSeguridad acceso a datos personales habrán de estar claramente definidas y documentadas. Deben definirse las funciones de control y autorizaciones delegadas El personal debe conocer las normas que les afecten El personal debe conocer las consecuencias de su incumplimiento. Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 39 4.- Identificación y Autenticación Nivel Básico Nivel Medio Nivel Alto Se identificará univoca y Existirá un límite alMedidas deSeguridad personalmente a cada usuario número de intentos Procedimiento de asignación y reiterados de acceso no gestión de contraseñas autorizado. Periodo de caducidad para las contraseñas inferior a un año. Se almacenarán de forma ininteligible. Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 40
  • 21. 5.a- Control y Registros de Accesos en ficheros automatizados Nivel Básico Nivel Medio Nivel Alto Acceso únicamente a Existirán Existirá un Registro de los datos y recursos controles de Accesos donde figurará:Medidas de usuario, hora,Seguridad necesarios para sus acceso fichero, tipo acceso funciones. físico a los registro accedido. Relación actualizada locales Bajo el control del de usuarios y perfiles donde se responsable de y sus accesos encuentren seguridad. autorizados. ubicados los Se hará un informe Mecanismos para sistemas de mensual. evitar el acceso con información. Se conservará al menos distintos derechos. durante 2 años. Concesión de Excepción: derechos por personal Accede una única autorizado. persona física Aplicable a ficheros Aplicable solo a ficheros automatizados automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 41 5.b- Control y Registros de Accesos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Acceso únicamente a los El acceso se limitará al personalMedidas de datos y recursos necesarios autorizado.Seguridad para sus funciones. Habrá mecanismos para identificar Relación actualizada de los accesos a documentos usuarios y perfiles y sus disponibles para múltiples usuarios accesos autorizados. Procedimiento en el Documento de Mecanismos para evitar el Seguridad para registrar los accesos acceso con distintos de otras personas derechos. Concesión de derechos por personal autorizado. Aplicable a ficheros Aplicable solo a ficheros manuales automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 42
  • 22. 6.- Acceso y transmisión mediante Telecomunicaciones Nivel Básico Nivel Medio Nivel Alto Las medidas de seguridad La transmisión de datos aMedidas de exigibles a los accesos través de redes deSeguridad mediante redes de telecomunicaciones comunicaciones, sean Públicas públicas o privadas, Inalámbricas deberán de garantizar un nivel se realizará cifrando los de seguridad equivalente al datos o mediante cualquier los accesos en modo local otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 43 7.a- Gestión de Soportes para ficheros automatizados Nivel Básico Nivel Medio Nivel Alto Inventario de soportes Habrá un “Cripto-Etiquetado”Medidas de Acceso restringido. registro de Distribuir soportesSeguridad Salida autorizada de entrada y cifrando los datos u soportes, incluso eMail. salida de otro mecanismo que Medidas en el traslado soportes. impida el acceso. para impedir pérdidas, … Cifrado de Medidas para impedir la dispositivos recuperación de datos de portátiles. soportes desechados o Excepciones, al DS reutilizado. Debe identificarse el tipo de datos que contienen. Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 44
  • 23. 7.b- Gestión de Soportes y Documentos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Se aplicarán criterios de El acceso a armarios,Medidas de archivo que permitan la archivadores, etc. estaráSeguridad conservación, localización y protegido mediante puertas con consulta cerradura. Cuando no se Los dispositivos de acceda, permanecerán cerradas. almacenamiento tendrán Soluciones alternativas, mecanismos que obstaculicen motivadas en el Documento de su apertura Seguridad Cuando la documentación no se Siempre que se proceda al encuentre archivada, su traslado físico de depositario deberá custodiarla documentación, deberán e impedir accesos no adoptarse medidas para impedir autorizados su acceso o manipulación Aplicable solo a ficheros manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 45 8.- Procedimientos de Respaldo y Recuperación Nivel Básico Nivel Medio Nivel Alto Procedimientos de copia para respaldo y Las copias deMedidas deSeguridad recuperación, al menos semanalmente respaldo y los Garantizar la reconstrucción de los datos al procedimientos mismo estado en que se encontraban en el de recuperación momento de la pérdida o destrucción. se conservarán Verificación semestral de su definición, en un lugar funcionamiento y aplicación diferente de Pruebas con datos reales con mismo nivel donde se de seguridad y con copia de seguridad encuentren los equipos. Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 46
  • 24. 9.- Procedimiento de Gestión de Incidencias Nivel Básico Nivel Medio Nivel Alto Debe existir un Además, debe contener:Medidas deSeguridad Registro de Procedimientos efectuados Incidencias con: para recuperación de los tipo de incidencia, datos, cuándo se ha persona que lo ejecuta, producido, datos restaurados persona que la datos grabados manualmente. notificia, Es necesaria la autorización persona a quien se por escrito del responsable comunica del fichero para su efectos derivados. recuperación. Aplicable a ficheros Aplicable solo a ficheros automatizados automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 47 10.- Controles del Documento de Seguridad y Auditorías Nivel Básico Nivel Medio Nivel Alto Realizar controles periódicosMedidas de Mantener actualizado el Documento de SeguridadSeguridad Al menos una auditoría cada dos años. Cuando se realicen modificaciones sustanciales Puede ser interna o externa. Debe dictaminar sobre: Adecuación de medidas y controles. Deficiencias identificadas Medidas correctoras necesarias. El responsable de seguridad debe: Analizar el informe de Auditoría Elevar sus conclusiones al responsable del fichero A disposición de la APD Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 48
  • 25. Quién hace qué? Respons. Respons. Medidas de Seguridad Fichero Seguridad Personal Organización de la Seguridad Designar Participar Decidir Elaborar Documento de Seguridad Conocer políticas AplicarMedidas de DefinirSeguridad Funciones y obligaciones del personal Documentar Cumplir Actuar Definir pol. Identificación y autenticación de usuarios Cumplir Implantar Implantar Controles y registros de accesos Conocer Gestionar Implantar Accesos a través de la redes de comunicaciones Conocer Gestionar Definir pol. Soportes y documentos con información Cumplir Gestionar Definir pol. Copias de respaldo y recuperación Supervisar Anticipar Incidencias de seguridad Actuar Cooperar Gestionar Encargar Efectuar Auditorías y Controles periódicos Decidir Cooperar Gestionar http://www.avpd.es Medidas de Seguridad para Usuarios Finales 49 Quién hace qué? Respons. Respons. Medidas de Seguridad Fichero Seguridad Personal Organización de la Seguridad Designar Organizar Decidir Elaborar Documento de Seguridad Conocer políticas AplicarMedidas de DefinirSeguridad Funciones y obligaciones del personal Documentar Cumplir Actuar Definir pol. Identificación y autenticación de usuarios Cumplir Implantar Implantar Controles y registros de accesos Conocer Gestionar Implantar Accesos a través de la redes de comunicaciones Conocer Gestionar Definir pol. Soportes y documentos con información Cumplir Gestionar Definir pol. Copias de respaldo y recuperación Supervisar Anticipar Incidencias de seguridad Actuar Cooperar Gestionar Encargar Efectuar Auditorías y Controles periódicos Decidir Cooperar Gestionar http://www.avpd.es Medidas de Seguridad para Usuarios Finales 50
  • 26. 3.- Funciones y obligaciones del Personal Nivel Básico Nivel Medio Nivel Alto Las funciones y obligaciones relacionadas con elMedidas deSeguridad acceso a datos personales habrán de estar claramente definidas y documentadas. Deben definirse las funciones de control y autorizaciones delegadas El personal debe conocer las normas que les afecten El personal debe conocer las consecuencias de su incumplimiento. Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 51 Obligaciones del Personal (detalles) • Deber de secreto y confidencialidadDetalles para • Conocer y observar las normas y medidas Usuarios que afecten a sus funciones • Notificación de incidentes de seguridad http://www.avpd.es Medidas de Seguridad para Usuarios Finales 52
  • 27. Funciones del Personal (detalles) • Distinguir, al menos los siguientesDetalles para perfiles: Usuarios – Los relacionados con funciones de control – Los relacionados con gestión de S.I. – Usuarios de los Sistemas de Información – Usuarios sin acceso a datos – Personal externo http://www.avpd.es Medidas de Seguridad para Usuarios Finales 53 Funciones y Obligaciones en tu Organización: • ¿Hay unas funciones y obligaciones… – ... documentadas y por escrito? – … para cada perfil de usuario? – … conocidas por el personal? – … con cumplimiento controlado? – … con consecuencias? http://www.avpd.es Medidas de Seguridad para Usuarios Finales 54
  • 28. 4.- Identificación y Autenticación Nivel Básico Nivel Medio Nivel Alto Se identificará univoca y Existirá un límite alMedidas deSeguridad personalmente a cada usuario número de intentos Procedimiento de asignación y reiterados de acceso no gestión de contraseñas autorizado. Periodo de caducidad para las contraseñas inferior a un año. Se almacenarán de forma ininteligible. Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 55 Cómo se elabora una buena contraseña • "Una contraseña debe serDetalles para como un cepillo de dientes: Usuarios – Úsalo cada día; – cámbialo regularmente; – … y NO lo compartas con tus amigos." http://www.avpd.es Medidas de Seguridad para Usuarios Finales 56
  • 29. Lo que nos dicen de las contraseñas • Recomendaciones estándar – Longitud mínima de 6 caracteres; recomendado más de 8Detalles para – Que incluya mayúsculas, minúsculas, números y signos de puntuación Usuarios – Cambiar la contraseña frecuentemente, sin usar un ciclo • No utilizar nunca: – ninguna palabra que pueda figurar en cualquier diccionario. – datos personales o familiares evidentes, (DNI, teléfono, fechas,…) – una única contraseña para todos los servicios, cuentas, bancos, etc. • Precauciones: – No compartir la contraseña, ni apuntarla en un papel, ni en un fichero de texto, ni enviarla por correo electrónico, SMS, mensajería instantánea … – No revelar la contraseña (ingeniería social) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 57 Lo que no nos dicen… • El exceso de exigencias respecto de las contraseñasDetalles para hace que los usuarios busquen alternativas que, finalmente, hacen más débil la seguridad. Usuarios – Las contraseñas largas y complicadas que se han de cambiar a menudo se terminan apuntando en algún lugar no muy lejano del teclado. – Cuando se tienen muchas contraseñas, siempre terminan registradas en un fichero. – Exigir (o abusar) de caracteres especiales causa errores al teclear y problemas en los teclados de otros países. – Los sistemas alternativos para recordar contraseñas (pregunta y respuesta) son MUY débiles. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 58
  • 30. Cómo mantener muchas contraseñas • Disponer de tres contraseñas-baseDetalles para – La mala, la buena y la fea Usuarios • Disponer de un pin-base suficientemente largo • Utilizar frases de paso • Recordar reglas, en lugar de contraseñas • Las contraseñas, con contraseña http://www.avpd.es Medidas de Seguridad para Usuarios Finales 59 Cómo gestionar tus contraseñas personales • “A Mano” (Fichero de texto “en oscuro”) • Fichero plano, Libreta de direcciones • “A Máquina” (mediante algun programa) – Fichero de texto cifrado – Programas de gestión de contraseñas • En el PC • En la PDA / Smartphone • En Interntet http://www.avpd.es Medidas de Seguridad para Usuarios Finales 60
  • 31. Correo electrónico • Política reflejada en Doc. de SeguridadDetalles para • El correo electrónico, como un soporte Usuarios más – Canal potencialmente inseguro – Impacto potencialmente muy elevado • Recomendación: siempre cifrado http://www.avpd.es Medidas de Seguridad para Usuarios Finales 61 7.a- Gestión de Soportes para ficheros automatizados Nivel Básico Nivel Medio Nivel Alto Inventario de soportes Habrá un “Cripto-Etiquetado”Medidas de Acceso restringido. registro de Distribuir soportesSeguridad Salida autorizada de entrada y cifrando los datos u soportes, incluso eMail. salida de otro mecanismo que Medidas en el traslado soportes. impida el acceso. para impedir pérdidas, … Cifrado de Medidas para impedir la dispositivos recuperación de datos de portátiles. soportes desechados o Excepciones, al DS reutilizado. Debe identificarse el tipo de datos que contienen. Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 62
  • 32. Memorias USB y demás • Política reflejada en Doc. de SeguridadDetalles para • Considerar uso restringido de puertos Usuarios • El robo o extravío es un riesgo siempre presente – Nunca es información “original” (única) – Uso de encriptación (total o parcial) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 63 Equipos portátiles • Política reflejada en Doc. de SeguridadDetalles para • Nunca dejarlo solo: Usuarios – Equipaje de mano, y siempre a mano – Hoteles, restaurantes, cibercafés, … – Conferencias, salas de reuniones, despachos, … • Acceso, siempre con contraseña • Contenido cifrado http://www.avpd.es Medidas de Seguridad para Usuarios Finales 64
  • 33. Herramientas para cifrado • Uso profesional:Detalles para – Lo que establezca tu Organización Usuarios • Uso personal – Compresores con contraseña (WinZip) – Cifrado de ficheros (PGP, GPG, AxCrypt) – Cifrado de contenedores (Truecrypt) – Otras • Cifrado total de discos (SisOp.) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 65 5.b- Control y Registros de Accesos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Acceso únicamente a los El acceso se limitará al personalMedidas de datos y recursos necesarios autorizado.Seguridad para sus funciones. Habrá mecanismos para identificar Relación actualizada de los accesos a documentos usuarios y perfiles y sus disponibles para múltiples usuarios accesos autorizados. Procedimiento en el Documento de Mecanismos para evitar el Seguridad para registrar los accesos acceso con distintos de otras personas derechos. Concesión de derechos por personal autorizado. Aplicable a ficheros Aplicable solo a ficheros manuales automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 66
  • 34. 7.b- Gestión de Soportes y Documentos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Se aplicarán criterios de El acceso a armarios,Medidas de archivo que permitan la archivadores, etc. estaráSeguridad conservación, localización y protegido mediante puertas con consulta cerradura. Cuando no se Los dispositivos de acceda, permanecerán cerradas. almacenamiento tendrán Soluciones alternativas, mecanismos que obstaculicen motivadas en el Documento de su apertura Seguridad Cuando la documentación no se Siempre que se proceda al encuentre archivada, su traslado físico de depositario deberá custodiarla documentación, deberán e impedir accesos no adoptarse medidas para impedir autorizados su acceso o manipulación Aplicable solo a ficheros manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 67 Buenas prácticas en la gestión de documentos y ficheros manuales Buenas prácticas • Política de “escritorio limpio” http://www.avpd.es Medidas de Seguridad para Usuarios Finales 68
  • 35. Buenas prácticas en la gestión de documentos y ficheros manualesBuenas prácticas • Destruir siempre antes de tirar – No importa como… http://www.avpd.es Medidas de Seguridad para Usuarios Finales 69 Buenas prácticas en la gestión de documentos y ficheros manualesBuenas prácticas • Atención a copiadoras, impresoras, faxes – No olvidar originales – Recoger listados – Recoger y distribuir faxes http://www.avpd.es Medidas de Seguridad para Usuarios Finales 70
  • 36. Precauciones en el traslado deexpedientes, historias clínicas, … • Entre el archivo central y los lugares de tratamiento (despachos, consultas o unidades hospitalarias) • Relaciones de entrega, acuses de recibo, … • Siempre bajo control y supervisión del ordenanza o celador. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 71 Documentación disponible en: http://www.slideshare.net/paGonzalez/ http://www.avpd.es http://www.seis.es http://www.flickr.com/photos/rosino/3658259716/ http://www.avpd.es Medidas de Seguridad para Usuarios Finales 72

×