Foro SEIS-paGonzalez-2012-apuntesx6
Upcoming SlideShare
Loading in...5
×
 

Foro SEIS-paGonzalez-2012-apuntesx6

on

  • 324 views

 

Statistics

Views

Total Views
324
Views on SlideShare
324
Embed Views
0

Actions

Likes
0
Downloads
3
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Foro SEIS-paGonzalez-2012-apuntesx6 Foro SEIS-paGonzalez-2012-apuntesx6 Document Transcript

  • Medidas de Seguridad para Usuarios Finales www.avpd.es Índice de la sesión • Marco de referencia Medidas de Seguridad • Análisis de riesgos en atención atenció • Niveles de seguridad sociosanitaria • Medidas de seguridad Pedro Alberto • En particular, para usuarios finales González González • Conclusiones http://www.avpd.es http://www.avpd.es Medidas de Seguridad para Usuarios Finales 2 Principios Seguridad de los Datos consagrados en la LOPD (art. 9 LOPD) • Calidad de los datos • Se adoptarán las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, • Información en la recogida Referencia Referencia – evitando su alteración o pérdida Marco de Marco de • Consentimiento del afectado – y su tratamiento o acceso no autorizado • Teniendo en cuenta: • Comunicación o cesión de los datos – el estado de la tecnología • Protección especial de determinados datos – la naturaleza de los datos almacenados – los riesgos a que estén expuestos • Seguridad de los datos • Afecta tanto al Responsable del Fichero como al • Deber de secreto Encargado del Tratamiento http://www.avpd.es Medidas de Seguridad para Usuarios Finales 3 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 4 Deber de secreto LEY 16/2003, de cohesión y calidad del (art. 10 LOPD) Sistema Nacional de Salud • El responsable del fichero y quienes • Artículo 14. Prestación de atención sociosanitaria. – 1. La atención sociosanitaria comprende el conjunto de intervengan en cualquier fase del Referencia cuidados destinados a aquellos enfermos, generalmente Marco de tratamiento de los datos de carácter crónicos, que por sus especiales características pueden beneficiarse de la actuación simultánea y sinérgica de los personal están obligados al secreto servicios sanitarios y sociales para aumentar su autonomía, paliar sus limitaciones o sufrimientos y facilitar su reinserción profesional. social. • Esta obligación subsistirá aun después – (…) 3. La continuidad del servicio será garantizada por los servicios sanitarios y sociales a través de la adecuada de finalizar sus relaciones con el titular coordinación entre las Administraciones públicas del fichero. correspondientes. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 5 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 6AVPD - Agencia Vasca de Protección de Datos 1
  • Medidas de Seguridad para Usuarios Finales www.avpd.es Ley 41/2002, Ley 41/2002, de Autonomía del Paciente de Autonomía del Paciente • Artículo 7. El derecho a la intimidad. • Artículo 14. Definición y archivo de la historia clínica. – 1. Toda persona tiene derecho a que se respete el – (…) 2. Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, carácter confidencial de los datos referentes a su informático o de otro tipo en el que consten, de manera que salud, y a que nadie pueda acceder a ellos sin previa queden garantizadas su seguridad, su correcta autorización amparada por la Ley. conservación y la recuperación de la información. – 2. Los centros sanitarios adoptarán las medidas – (…) 4. Las Comunidades Autónomas aprobarán las oportunas para garantizar los derechos a que se disposiciones necesarias para que los centros sanitarios puedan adoptar las medidas técnicas y organizativas refiere el apartado anterior, y elaborarán, cuando adecuadas para archivar y proteger las historias clínicas y proceda, las normas y los procedimientos evitar su destrucción o su pérdida accidental. protocolizados que garanticen el acceso legal a los datos de los pacientes. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 7 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 8 Ley 41/2002, Ley 41/2002, de Autonomía del Paciente de Autonomía del Paciente • Artículo 16. Usos de la historia clínica. • Artículo 17. Documentación clínica. – 1. Los centros sanitarios tienen la obligación de – 6. El personal que accede a los datos de la conservar la documentación clínica en historia clínica en el ejercicio de sus condiciones que garanticen su correcto mantenimiento y seguridad, aunque no funciones queda sujeto al deber de necesariamente en el soporte original, (…). secreto. – 6. Son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los ficheros que contienen datos de carácter personal y, en general, por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 9 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 10 Euskadi: LEY 12/2008, Euskadi: LEY 12/2008, de Servicios Sociales de Servicios Sociales • Artículo 9.– Derechos de las personas • Artículo 9.– Derechos de las personas usuarias de los servicios sociales. usuarias de los servicios sociales. – a) Derecho a acceder a los servicios sociales en condiciones de igualdad, dignidad y privacidad. – d) Derecho a dar o a denegar su consentimiento libre y específico en relación – b) Derecho a la confidencialidad, • entendiéndose por tal el derecho a que los datos de con una determinada intervención, debiendo carácter personal que obren en su expediente o en ser otorgado el consentimiento, en todo caso, cualquier documento que les concierna sean tratados con por escrito cuando la intervención implique pleno respeto de lo previsto en la LOPD, • incluyendo la debida reserva por parte de las profesionales ingreso en un servicio de alojamiento o en un y los profesionales con respecto a la información de la que centro residencial. hayan tenido conocimiento http://www.avpd.es Medidas de Seguridad para Usuarios Finales 11 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 12AVPD - Agencia Vasca de Protección de Datos 2
  • Medidas de Seguridad para Usuarios Finales www.avpd.es Euskadi: LEY 12/2008, Euskadi: LEY 12/2008, de Servicios Sociales de Servicios Sociales • Artículo 20.– Instrumentos técnicos comunes. • Artículo 90.– Infracciones graves. – 1.– Con el fin de garantizar la homogeneidad en los criterios de intervención, (…) todos los servicios – b) Incumplir el deber de confidencialidad y el sociales de base cumplimentarán el modelo de ficha deber de reserva de los datos personales, social y aplicarán el modelo de plan de atención personalizada. (…) familiares o sociales de las personas – Tanto en el diseño de estos instrumentos como en la usuarias. recogida de datos, y en su utilización y explotación, se estará a lo previsto en la normativa vigente en – c) No salvaguardar el derecho a la dignidad y materia de protección de datos de carácter personal. a la intimidad de las personas usuarias. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 13 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 14 Modelo de referencia para Seguridad ≠ Privacidad Análisis de Riesgos Análisis de Riesgos Están expuestos a… • Adjetivo (un medio) • Sustantivo (un fin) Activos tienen … – Protección de activos – Derecho • Evitar riesgo • Fundamental Amenazas Valor • Mitigar impacto • Constitucional Causan +/- … Degradación Impacto Frecuencia Ocurren con +/-… “Security by “Privacy by Design” Design” Riesgo http://www.avpd.es Medidas de Seguridad para Usuarios Finales 15 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 16 Activos más comunes Activos más comunes • Instalaciones • Intangibles – Edificios, locales, canalizaciones, redes de comunicaciones,… – Licencias, derechos,.. • Equipamientos – Reputación, imagen, … – Mobiliario, maquinaria, ordenadores personales, … – Personas de la Organización • Sistemas de Información • Servicios prestados – Servidores, sistemas de almacenamiento,… – Aplicaciones y programas de ordenador – Continuidad del negocio – Información, datos de negocio, datos personales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 17 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 18AVPD - Agencia Vasca de Protección de Datos 3
  • Medidas de Seguridad para Usuarios Finales www.avpd.es Activos en Protección de Amenazas más comunes Datos • Desastres naturales • Datos de Carácter Personal – Incendios, inundaciones, … terremotos, tsunamis… • y, como consecuencia, • Desastres industriales – Instalaciones donde se ubican, – Explosiones, derrumbes, fallo de equipos, – Equipos donde se tratan • Interrupciones de servicios – Luz, agua, teléfono, internet, … cloudComputing – Redes por donde “viajan” (XaaS) – Programas que los tratan • Errores humanos no intencionados – Soportes que los contienen – De usuarios, de administradores, de operadores, – Personas que los gestionan • Ataques intencionados – Contra personas, equipos, programas, – Posibles empleados desleales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 19 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 20 Impacto de las Amenazas Salvaguardas / contra la Información Contramedidas Análisis de Riesgos Están expuestos a… • Confidencialidad Activos tienen … – Acceso o revelación indebidos • Integridad Amenazas Valor – Modificación de los datos Causan +/- … Degradación • Disponibilidad Impacto ContraMedidas Impacto Residual – Sabotaje Frecuencia • (Autenticidad) Ocurren con +/-… Riesgo Riesgo – Suplantación de Identidad Residual http://www.avpd.es Medidas de Seguridad para Usuarios Finales 21 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 22 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 23 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 24AVPD - Agencia Vasca de Protección de Datos 4
  • Medidas de Seguridad para Usuarios Finales www.avpd.es Niveles de seguridad RD 1720/2007: Niveles de seguridad Nivel Alto: ficheros con •Datos especialmente protegidos • Medio •Fines policiales – Infracciones administrativas o penales Niveles de Seguridad •Violencia de género – Servicios de información sobre solvencia patrimonial y crédito Nivel Medio: ficheros con – Administraciones Tributarias - potestades •Infracciones administrativas o penales •Información sobre solvencia patrimonial tributarias •Administraciones Tributarias – Entidades financieras - servicios financieros •Entidades financieras – Seguridad Social, Mutuas •Seguridad Social •Elaboración de perfiles – Elaboración de perfiles Nivel Básico: Todos los ficheros http://www.avpd.es Medidas de Seguridad para Usuarios Finales 25 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 26 RD 1720/2007: Datos especialmente Niveles de seguridad protegidos (1) • Medio reforzado (+ registro de accesos) • Datos sobre Ideología, religión o creencias. – Operadoras TELECO – Nadie podrá ser obligado a declarar sobre estos Niveles de Seguridad • (datos de tráfico y localización) datos – Cuando se recabe el consentimiento, se advertirá al • Alto interesado acerca de su derecho a no prestarlo. – Datos especialmente protegidos – El consentimiento en estos casos ha de ser expreso – Fines policiales sin consentimiento de las y por escrito (también la afiliación sindical) personas afectada – Violencia de género http://www.avpd.es Medidas de Seguridad para Usuarios Finales 27 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 28 Datos especialmente Otros datos protegidos protegidos (2) • Datos sobre Origen racial, salud y vida • Datos relativos a la comisión de sexual infracciones penales o administrativas – Sólo podrán ser recabados, tratados y – Los sólo podrán ser incluidos en ficheros de cedidos cuando, por razones de interés las Administraciones públicas general, así lo disponga una ley o el afectado – en los supuestos previstos en las respectivas consienta expresamente. normas reguladoras. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 29 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 30AVPD - Agencia Vasca de Protección de Datos 5
  • Medidas de Seguridad para Usuarios Finales www.avpd.es Excepciones a la aplicación de Resumen medidas medidas de Nivel Alto nivel Básico Ficheros automatizados y no automatizados • Bastará con nivel básico en los casos: Art. 89. Funciones y obligaciones del personal – Ideología, afiliación sindical, religión, creencias, Art. 90. Registro de incidencias Niveles de Niveles de Seguridad Seguridad salud, origen racial o vida sexual, para: Art. 91. Control de acceso • transferencia dineraria a entidades de las que los afectados Art. 92. Gestión de soportes y documentos sean asociados o miembros, Sólo automatizados Sólo no automatizados • tratamiento de forma incidental o accesoria, sin guardar Art. 93. Identificación y Art. 106. Criterios de archivo relación con la finalidad autenticación - posibilitar derechos ARCO – Salud (exclusivamente grado o condición de Art. 94. Copias de respaldo y Art. 107. Dispositivos de almacenamiento discapacidad o invalidez), para: recuperación - mecanismos apertura • cumplimiento de deberes públicos Art. 108. Custodia de los soportes - en el proceso de tramitación http://www.avpd.es Medidas de Seguridad para Usuarios Finales 31 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 32 Resumen medidas Resumen medidas nivel Medio nivel Alto Ficheros automatizados y no automatizados Sólo automatizados Sólo no automatizados Arts. 95 y 109: Responsable de seguridad Art. 101. Gestión y distribución de Art. 111. Almacenamiento de la Arts. 96 y 110: Auditoria soportes información Niveles de Niveles de Seguridad Seguridad –Cifrado de datos. Evitar –Archivadores, áreas restringidas Sólo automatizados Sólo no automatizados dispositivos que no permitan el Art. 112. Copia o reproducción cifrado Art. 97. Gestión de soportes –Personal autorizado Art. 102. Copias de respaldo y Art. 98. Identificación y autenticación Art. 113. Acceso a la documentación recuperación –Mecanismo identificación accesos por Art. 99. Control de acceso físico Art. 103. Registro de accesos diferentes usuarios Art. 100. Registro de incidencias –Excepción: Responsable persona Art. 114. Traslado de documentación física y único usuario –Impedir acceso, manipulación Art. 104. Telecomunicaciones – Cifrado en redes públicas o inalámbricas http://www.avpd.es Medidas de Seguridad para Usuarios Finales 33 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 34 10 Objetivos de Control 1.- Responsable de Seguridad de medidas de seguridad 1. Organización de la Seguridad Nivel Básico Nivel Medio Nivel Alto 2. Documentación de Seguridad Debe existir uno o varios, designados por el Medidas de Seguridad 3. Funciones y obligaciones del personal responsable del fichero. Es el encargado de coordinar y controlar las 4. Identificación y autenticación de usuarios medidas de seguridad. 5. Controles y registros de accesos En ningún caso esta designación supone una 6. Accesos a través de redes / Internet exoneración de la responsabilidad que corresponde al responsable del fichero 7. Soportes y documentos con información También ha de gestionar la seguridad de los 8. Copias de respaldo y recuperación ficheros no automatizados (archivística) 9. Gestionar Incidencias de seguridad 10. Efectuar Auditorías y Controles Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 35 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 36AVPD - Agencia Vasca de Protección de Datos 6
  • Medidas de Seguridad para Usuarios Finales www.avpd.es 2.- Documento de Seguridad - Requisitos 2.- Doc. de Seguridad – (más) Nivel Básico Nivel Medio N. Alto Nivel Básico Nivel Medio N. Alto • En función de los sistemas de tratamiento u otros criterios, podrá ser: Establece y recopila, como mínimo: Además debe contener: – Único, para todos (o un grupo de) los ficheros, o – Individualizado por cada fichero, Medidas de Medidas de El Ámbito de aplicación. La Identificación del Seguridad Seguridad Las medidas, normas, procedimientos y estándares responsable de • Deberá recoger las situaciones excepcionales relativas a: de seguridad. seguridad. – Prestaciones de servicios (82.1), uso de dispositivos portátiles (86), Las funciones y obligaciones del personal. Los Controles – Medidas compensatorias, imposibilidad aplicación medidas previstas La estructura de los ficheros y la descripción de los sistemas de información. periódicos del • Recogerá las delegación de autorizaciones (art. 84) Los procedimientos de gestión y respuesta ante cumplimiento del • Incluirá los ficheros externalizados, indicándolo expresamente incidencias. documento. • Puede delegarse la llevanza del Documento de Seguridad en el Los procedimientos de realización de las copias de respaldo y recuperación de datos. Encargado de Tratamiento Las Medidas para el transporte, destrucción y • Los Encargados de Tratamiento han de incluir los ficheros que tratan reutilización de soportes. por cuenta de terceros, con referencia a las condiciones del encargo Aplicable a ficheros automatizados y manuales • Carácter Interno. Controlado y actualizado periódicamente Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 37 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 38 3.- Funciones y obligaciones 4.- Identificación y del Personal Autenticación Nivel Básico Nivel Medio Nivel Alto Nivel Básico Nivel Medio Nivel Alto Las funciones y obligaciones relacionadas con el Se identificará univoca y Existirá un límite al Medidas de Medidas de Seguridad Seguridad acceso a datos personales habrán de estar claramente personalmente a cada usuario número de intentos Procedimiento de asignación y reiterados de acceso no definidas y documentadas. gestión de contraseñas autorizado. Deben definirse las funciones de control y Periodo de caducidad para las autorizaciones delegadas contraseñas inferior a un año. Se almacenarán de forma El personal debe conocer las normas que les afecten ininteligible. El personal debe conocer las consecuencias de su incumplimiento. Aplicable a ficheros automatizados y manuales Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 39 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 40 5.a- Control y Registros de Accesos 5.b- Control y Registros de Accesos en ficheros automatizados para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Nivel Básico Nivel Medio Nivel Alto Acceso únicamente a Existirán Existirá un Registro de los datos y recursos controles de Accesos donde figurará: Acceso únicamente a los El acceso se limitará al personal Medidas de Medidas de usuario, hora, datos y recursos necesarios autorizado. Seguridad Seguridad necesarios para sus acceso fichero, tipo acceso para sus funciones. Habrá mecanismos para identificar funciones. físico a los registro accedido. Relación actualizada locales Relación actualizada de los accesos a documentos Bajo el control del de usuarios y perfiles donde se usuarios y perfiles y sus disponibles para múltiples usuarios responsable de y sus accesos encuentren accesos autorizados. Procedimiento en el Documento de seguridad. autorizados. ubicados los Mecanismos para evitar el Seguridad para registrar los accesos Se hará un informe Mecanismos para sistemas de acceso con distintos de otras personas mensual. evitar el acceso con información. derechos. Se conservará al menos distintos derechos. Concesión de derechos por durante 2 años. Concesión de personal autorizado. Excepción: derechos por personal Accede una única autorizado. persona física Aplicable a ficheros Aplicable solo a ficheros manuales Aplicable a ficheros Aplicable solo a ficheros automatizados automatizados y manuales automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 41 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 42AVPD - Agencia Vasca de Protección de Datos 7
  • Medidas de Seguridad para Usuarios Finales www.avpd.es 6.- Acceso y transmisión 7.a- Gestión de Soportes mediante Telecomunicaciones para ficheros automatizados Nivel Básico Nivel Medio Nivel Alto Nivel Básico Nivel Medio Nivel Alto Las medidas de seguridad La transmisión de datos a Inventario de soportes Habrá un “Cripto-Etiquetado” Medidas de Medidas de exigibles a los accesos través de redes de Acceso restringido. registro de Distribuir soportes Seguridad Seguridad mediante redes de telecomunicaciones Salida autorizada de entrada y cifrando los datos u Públicas soportes, incluso eMail. salida de otro mecanismo que comunicaciones, sean Inalámbricas Medidas en el traslado soportes. impida el acceso. públicas o privadas, para impedir pérdidas, … Cifrado de deberán de garantizar un nivel se realizará cifrando los Medidas para impedir la dispositivos de seguridad equivalente al datos o mediante cualquier recuperación de datos de portátiles. los accesos en modo local otro mecanismo que soportes desechados o Excepciones, al DS garantice que la información reutilizado. no sea inteligible ni Debe identificarse el tipo manipulada por terceros de datos que contienen. Aplicable solo a ficheros automatizados Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 43 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 44 7.b- Gestión de Soportes y Documentos 8.- Procedimientos de para ficheros manuales Respaldo y Recuperación Nivel Básico Nivel Medio Nivel Alto Nivel Básico Nivel Medio Nivel Alto Se aplicarán criterios de El acceso a armarios, Procedimientos de copia para respaldo y Las copias de Medidas de Medidas de archivo que permitan la archivadores, etc. estará Seguridad Seguridad recuperación, al menos semanalmente respaldo y los conservación, localización y protegido mediante puertas con Garantizar la reconstrucción de los datos al procedimientos consulta cerradura. Cuando no se Los dispositivos de acceda, permanecerán cerradas. mismo estado en que se encontraban en el de recuperación almacenamiento tendrán Soluciones alternativas, momento de la pérdida o destrucción. se conservarán mecanismos que obstaculicen motivadas en el Documento de Verificación semestral de su definición, en un lugar su apertura Seguridad funcionamiento y aplicación diferente de Cuando la documentación no se Siempre que se proceda al Pruebas con datos reales con mismo nivel donde se encuentre archivada, su traslado físico de de seguridad y con copia de seguridad encuentren los depositario deberá custodiarla documentación, deberán equipos. e impedir accesos no adoptarse medidas para impedir autorizados su acceso o manipulación Aplicable solo a ficheros automatizados Aplicable solo a ficheros manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 45 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 46 9.- Procedimiento de 10.- Controles del Documento Gestión de Incidencias de Seguridad y Auditorías Nivel Básico Nivel Medio Nivel Alto Nivel Básico Nivel Medio Nivel Alto Debe existir un Además, debe contener: Realizar controles periódicos Medidas de Medidas de Mantener actualizado el Documento de Seguridad Seguridad Seguridad Registro de Procedimientos efectuados Incidencias con: para recuperación de los Al menos una auditoría cada dos años. tipo de incidencia, datos, Cuando se realicen modificaciones sustanciales cuándo se ha persona que lo ejecuta, Puede ser interna o externa. producido, datos restaurados Debe dictaminar sobre: persona que la datos grabados manualmente. Adecuación de medidas y controles. Deficiencias identificadas notificia, Es necesaria la autorización Medidas correctoras necesarias. persona a quien se por escrito del responsable El responsable de seguridad debe: comunica del fichero para su Analizar el informe de Auditoría efectos derivados. Elevar sus conclusiones al responsable del fichero recuperación. A disposición de la APD Aplicable a ficheros Aplicable solo a ficheros automatizados Aplicable a ficheros automatizados y manuales automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 47 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 48AVPD - Agencia Vasca de Protección de Datos 8
  • Medidas de Seguridad para Usuarios Finales www.avpd.es Quién hace qué? Quién hace qué? Respons. Respons. Respons. Respons. Medidas de Seguridad Fichero Seguridad Personal Medidas de Seguridad Fichero Seguridad Personal Organización de la Seguridad Designar Participar Organización de la Seguridad Designar Organizar Decidir Elaborar Decidir Elaborar Documento de Seguridad Conocer Documento de Seguridad Conocer políticas Aplicar políticas Aplicar Medidas de Medidas de Definir Definir Seguridad Seguridad Funciones y obligaciones del personal Documentar Cumplir Funciones y obligaciones del personal Documentar Cumplir Actuar Actuar Definir pol. Definir pol. Identificación y autenticación de usuarios Cumplir Identificación y autenticación de usuarios Cumplir Implantar Implantar Implantar Implantar Controles y registros de accesos Conocer Controles y registros de accesos Conocer Gestionar Gestionar Implantar Implantar Accesos a través de la redes de comunicaciones Conocer Accesos a través de la redes de comunicaciones Conocer Gestionar Gestionar Definir pol. Definir pol. Soportes y documentos con información Cumplir Soportes y documentos con información Cumplir Gestionar Gestionar Definir pol. Definir pol. Copias de respaldo y recuperación Copias de respaldo y recuperación Supervisar Supervisar Anticipar Anticipar Incidencias de seguridad Actuar Cooperar Incidencias de seguridad Actuar Cooperar Gestionar Gestionar Encargar Encargar Efectuar Auditorías y Controles periódicos Decidir Cooperar Efectuar Auditorías y Controles periódicos Decidir Cooperar Gestionar Gestionar http://www.avpd.es Medidas de Seguridad para Usuarios Finales 49 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 50 3.- Funciones y obligaciones Obligaciones del Personal del Personal (detalles) Nivel Básico Nivel Medio Nivel Alto • Deber de secreto y confidencialidad Detalles para Las funciones y obligaciones relacionadas con el • Conocer y observar las normas y medidas Medidas de Seguridad acceso a datos personales habrán de estar claramente Usuarios definidas y documentadas. que afecten a sus funciones Deben definirse las funciones de control y • Notificación de incidentes de seguridad autorizaciones delegadas El personal debe conocer las normas que les afecten El personal debe conocer las consecuencias de su incumplimiento. Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 51 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 52 Funciones del Personal Funciones y Obligaciones (detalles) en tu Organización: • Distinguir, al menos los siguientes • ¿Hay unas funciones y obligaciones… Detalles para perfiles: – ... documentadas y por escrito? Usuarios – Los relacionados con funciones de control – … para cada perfil de usuario? – Los relacionados con gestión de S.I. – … conocidas por el personal? – Usuarios de los Sistemas de Información – … con cumplimiento controlado? – Usuarios sin acceso a datos – … con consecuencias? – Personal externo http://www.avpd.es Medidas de Seguridad para Usuarios Finales 53 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 54AVPD - Agencia Vasca de Protección de Datos 9
  • Medidas de Seguridad para Usuarios Finales www.avpd.es 4.- Identificación y Cómo se elabora una buena Autenticación contraseña Nivel Básico Nivel Medio Nivel Alto • "Una contraseña debe ser Detalles para Se identificará univoca y Existirá un límite al como un cepillo de dientes: Medidas de Seguridad personalmente a cada usuario número de intentos Usuarios Procedimiento de asignación y reiterados de acceso no – Úsalo cada día; gestión de contraseñas autorizado. – cámbialo regularmente; Periodo de caducidad para las contraseñas inferior a un año. – … y NO lo compartas con tus Se almacenarán de forma amigos." ininteligible. Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 55 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 56 Lo que nos dicen de las Lo que no nos dicen… contraseñas • Recomendaciones estándar – Longitud mínima de 6 caracteres; recomendado más de 8 • El exceso de exigencias respecto de las contraseñas hace que los usuarios busquen alternativas que, Detalles para Detalles para – Que incluya mayúsculas, minúsculas, números y signos de puntuación finalmente, hacen más débil la seguridad. Usuarios Usuarios – Cambiar la contraseña frecuentemente, sin usar un ciclo – Las contraseñas largas y complicadas que se han de cambiar a • No utilizar nunca: menudo se terminan apuntando en algún lugar no muy lejano – ninguna palabra que pueda figurar en cualquier diccionario. del teclado. – datos personales o familiares evidentes, (DNI, teléfono, fechas,…) – una única contraseña para todos los servicios, cuentas, bancos, etc. – Cuando se tienen muchas contraseñas, siempre terminan registradas en un fichero. • Precauciones: – No compartir la contraseña, ni apuntarla en un papel, ni en un – Exigir (o abusar) de caracteres especiales causa errores al fichero de texto, ni enviarla por correo electrónico, SMS, mensajería teclear y problemas en los teclados de otros países. instantánea … – Los sistemas alternativos para recordar contraseñas (pregunta – No revelar la contraseña (ingeniería social) y respuesta) son MUY débiles. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 57 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 58 Cómo mantener muchas Cómo gestionar tus contraseñas contraseñas personales • Disponer de tres contraseñas-base • “A Mano” (Fichero de texto “en oscuro”) Detalles para – La mala, la buena y la fea • Fichero plano, Libreta de direcciones Usuarios • Disponer de un pin-base suficientemente • “A Máquina” (mediante algun programa) largo – Fichero de texto cifrado • Utilizar frases de paso – Programas de gestión de contraseñas • Recordar reglas, en lugar de contraseñas • En el PC • Las contraseñas, con contraseña • En la PDA / Smartphone • En Interntet http://www.avpd.es Medidas de Seguridad para Usuarios Finales 59 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 60AVPD - Agencia Vasca de Protección de Datos 10
  • Medidas de Seguridad para Usuarios Finales www.avpd.es 7.a- Gestión de Soportes Correo electrónico para ficheros automatizados Nivel Básico Nivel Medio Nivel Alto • Política reflejada en Doc. de Seguridad Detalles para Inventario de soportes Habrá un “Cripto-Etiquetado” • El correo electrónico, como un soporte Medidas de Acceso restringido. registro de Distribuir soportes Seguridad Usuarios Salida autorizada de entrada y cifrando los datos u más soportes, incluso eMail. salida de otro mecanismo que Medidas en el traslado soportes. impida el acceso. – Canal potencialmente inseguro para impedir pérdidas, … Cifrado de Medidas para impedir la dispositivos – Impacto potencialmente muy elevado recuperación de datos de portátiles. soportes desechados o Excepciones, al DS • Recomendación: siempre cifrado reutilizado. Debe identificarse el tipo de datos que contienen. Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 61 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 62 Memorias USB y demás Equipos portátiles • Política reflejada en Doc. de Seguridad • Política reflejada en Doc. de Seguridad Detalles para Detalles para • Considerar uso restringido de puertos • Nunca dejarlo solo: Usuarios Usuarios – Equipaje de mano, y siempre a mano • El robo o extravío es un riesgo siempre – Hoteles, restaurantes, cibercafés, … presente – Conferencias, salas de reuniones, – Nunca es información “original” (única) despachos, … – Uso de encriptación (total o parcial) • Acceso, siempre con contraseña • Contenido cifrado http://www.avpd.es Medidas de Seguridad para Usuarios Finales 63 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 64 5.b- Control y Registros de Accesos Herramientas para cifrado para ficheros manuales • Uso profesional: Nivel Básico Nivel Medio Nivel Alto Detalles para Acceso únicamente a los El acceso se limitará al personal – Lo que establezca tu Organización Medidas de datos y recursos necesarios autorizado. Seguridad Usuarios para sus funciones. Habrá mecanismos para identificar • Uso personal Relación actualizada de los accesos a documentos usuarios y perfiles y sus disponibles para múltiples usuarios – Compresores con contraseña (WinZip) accesos autorizados. Procedimiento en el Documento de – Cifrado de ficheros (PGP, GPG, AxCrypt) Mecanismos para evitar el Seguridad para registrar los accesos acceso con distintos de otras personas – Cifrado de contenedores (Truecrypt) derechos. Concesión de derechos por – Otras personal autorizado. • Cifrado total de discos (SisOp.) Aplicable a ficheros Aplicable solo a ficheros manuales automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 65 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 66AVPD - Agencia Vasca de Protección de Datos 11
  • Medidas de Seguridad para Usuarios Finales www.avpd.es Buenas prácticas en la gestión 7.b- Gestión de Soportes y Documentos para ficheros manuales de documentos y ficheros manuales Buenas prácticas Nivel Básico Nivel Medio Nivel Alto • Política de “escritorio limpio” Se aplicarán criterios de El acceso a armarios, Medidas de archivo que permitan la archivadores, etc. estará Seguridad conservación, localización y protegido mediante puertas con consulta cerradura. Cuando no se Los dispositivos de acceda, permanecerán cerradas. almacenamiento tendrán Soluciones alternativas, mecanismos que obstaculicen motivadas en el Documento de su apertura Seguridad Cuando la documentación no se Siempre que se proceda al encuentre archivada, su traslado físico de depositario deberá custodiarla documentación, deberán e impedir accesos no adoptarse medidas para impedir autorizados su acceso o manipulación Aplicable solo a ficheros manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 67 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 68 Buenas prácticas en la gestión Buenas prácticas en la gestión de documentos y ficheros de documentos y ficheros manuales manuales Buenas prácticas Buenas prácticas • Destruir siempre antes de tirar • Atención a copiadoras, impresoras, faxes – No importa como… – No olvidar originales – Recoger listados – Recoger y distribuir faxes http://www.avpd.es Medidas de Seguridad para Usuarios Finales 69 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 70 Precauciones en el traslado de expedientes, historias clínicas, … Documentación disponible en: • Entre el archivo central y los lugares de tratamiento (despachos, consultas o http://www.slideshare.net/paGonzalez/ unidades hospitalarias) • Relaciones de entrega, http://www.avpd.es acuses de recibo, … • Siempre bajo control y http://www.seis.es supervisión del ordenanza o celador. http://www.flickr.com/photos/rosino/3658259716/ http://www.avpd.es Medidas de Seguridad para Usuarios Finales 71 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 72AVPD - Agencia Vasca de Protección de Datos 12