Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS
1. Cumplimiento Legal. Normativa que afecta a
la Empresa y como afecta al CSO o DS
Roberto Soriano
Presidente de ISACA Valencia
CISM, CRISC, CISM, ISO27K
Cobit-F, ITIL
Director de Seguridad y la Información mayo de 2011
@2011. Todos los derechos reservados
2. Índice
1. Introducción
2. Entrando en Materia
3. A Cumplir
4. ENS
5. A Tener en cuenta
6. Conclusiones
2 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
3. Introducción
Abreviaturas
• CSO. Chief Security Officer. Director de Seguridad.
• CIO. Chief Information Officer. Director de la Información
• CISO. Chief Information Security Officer. Director de Seguridad de
la Información.
• TI / IT. Tecnologías de la Información.
• SI / IS. Sistemas de la Información.
• Finalidad: Dar a conocer las obligaciones de Seguridad de la
Información a los CSO y otros posibles interesados..
3 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
4. Introducción
• LOPD
– Artículo 1. Objeto
La presente Ley Orgánica tiene por objeto garantizar y proteger,
en lo que concierne al tratamiento de los datos personales, las
libertades públicas y los derechos fundamentales de las
personas físicas, y especialmente de su honor e intimidad
personal y familiar.
– Artículo 2. Ámbito de aplicación
1. La presente Ley Orgánica será de aplicación a los datos de
carácter personal registrados en soporte físico que los haga
susceptibles de tratamiento, y a toda modalidad de uso posterior
de estos datos por los sectores público y privado.
4 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
5. Introducción
• Ley 11
– Artículo 1. Objeto de la Ley.
2. Las Administraciones Públicas utilizarán las tecnologías de la
información de acuerdo con lo dispuesto en la presente Ley,
asegurando la disponibilidad, el acceso, la integridad, la
autenticidad, la confidencialidad y la conservación de los
datos, informaciones y servicios que gestionen en el ejercicio de
sus competencias.
– Artículo 42
El Esquema Nacional de Seguridad tiene por objeto establecer
la política de seguridad en la utilización de medios electrónicos
en el ámbito de la presente Ley, y está constituido por los
principios básicos y requisitos mínimos que permitan una
protección adecuada de la información.
5 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
6. Introducción
ENS
Real Decreto 3/2010
• La finalidad del Esquema Nacional de Seguridad es crear las
condiciones necesarias para la confianza en el uso de los medios
electrónicos, a través de medidas para garantizar la seguridad de
los sistemas, los datos, las comunicaciones, y los servicios
electrónicos, que permita el ejercicio de derechos y el cumplimiento
de deberes a través de estos medios. Persigue fundamentar la
confianza en que los sistemas de información prestarán sus
servicios y custodiarán la información de acuerdo con sus
especificaciones funcionales, sin interrupciones o modificaciones
fuera de control y sin que la información pueda llegar al
conocimiento de personas no autorizadas.
6 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
7. Introducción
Seguridad:
• Proceso integral constituido por todos los elementos técnicos,
humanos, materiales y organizativos relacionados con el sistema.
• Se prestara la máxima atención a la concienciación de las personas
que intervienen en el proceso y a sus responsables jerárquicos,
para que ni la falta de organización y coordinación ni instrucciones
inadecuadas sean fuentes de riesgo para la seguridad.
• Garantizar: Seguridad
– Disponibilidad
– Autenticidad
– Integridad
Confidencialidad
Disponibilidad
Autenticidad
Trazabilidad
– Confidencialidad
Integridad
– Trazabilidad
7 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
8. Entrando en Materia
• ¿Por qué debemos cumplir?
– Porque es una ley de obligado cumplimiento para las empresas
– ENS. Medidas de Seguridad para AAPP.
– Mejora el Estado de Seguridad de la Información de la
organización
– Conocimiento y capacitación de los empleados.
– Importes de las sanciones para las empresas
• 900 € a 40.000 €
• 40.001 a 300.000
• 300.001 a 600.000
8 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
9. Entrando en Materia
Últimas Sanciones del 2010
Resolución Importe Art Causa
30/12/2010 601.01 10 Envío de email sin ocultar destinatarios
22/12/2010 60.101.21 4.3 Inclusión en ASNEF existiendo procedimiento
arbitral
21/12/2010 6.000 9 No devolver documentación al propietario
16/12/2010 601.01 10 Envío de email sin ocultar destinatarios
14/12/2010 60.101.21 4.3 Incluir en ASNET datos de persona a la que
6.1 nunca se le ha realizado servicio
14/12/2010 60.101,21 4.3 Incluir en ASNET datos de persona a la que
nunca se le ha realizado servicio
14/12/2010 60.101.21 4.3 Incluir en ASNET datos de persona a la que
6.1 nunca se le ha realizado servicio
9 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
10. Entrando en Materia
• Fichero:
– LOPD: Todo conjunto organizado de datos de carácter
personal, cualquiera que fuere la forma o modalidad de su
creación, almacenamiento, organización y acceso.
– RD: Todo conjunto organizado de datos de carácter personal,
que permita el acceso a los datos con arreglo a criterios
determinados, cualquiera que fuere la forma o modalidad de
su creación, almacenamiento, organización y acceso.
• Responsable de seguridad:
– RD. persona o personas a las que el responsable del fichero ha
asignado formalmente la función de coordinar y controlar las
medidas de seguridad aplicables.
– ENS. Determinará las decisiones para satisfacer los
requisitos de seguridad de la información y de los servicios.
10 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
11. Entrando en Materia
• Como CSO / CISO debemos de estar preparados para la Auditoria
Doctor: “Lo siento le quedan 3 días”
Paciente: Haga de nuevo las pruebas, pero esta vez indique
que todo esta estupendamente
11 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
12. 1. A Cumplir
12 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
13. 1. A Cumplir
13 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
14. 1. A Cumplir
14 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
15. 1. A Cumplir
nes
syO bligacio
F uncione l
ona
del Pers
15 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
16. 1. A Cumplir
16 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
17. 1. A Cumplir
17 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
18. 1. A Cumplir
18 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
19. 1. A Cumplir
User: Rarias
Permisos: Finanzas
19 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
20. 1. A Cumplir
20 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
21. 2. A Cumplir
21 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
22. 2. A Cumplir
Al menos cada 2 años
22 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
23. 3. A Cumplir
23 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
24. ENS
Auto Servicio • R1. Protección de las instalaciones
• R2. Gestión del personal
• R3. Análisis de otros SI conectados.
• R4. Copias de seguridad.
• R5. Actualización de sistemas.
• R6. Gestión de la seguridad por expertos y uso de productos
evaluados o certificados
Especializados
• R7. Garantizar la seguridad por defecto. Mínimos, Sencilla, segura.
Profesionales
• R8. Incidentes de seguridad registrados y atendidos.
• R9. Protección de la información almacenada y en tránsito
24 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
25. ENS
Clasificación de la Información
• Dimensiones. Disponibilidad, Autenticidad, Integridad,
Confidencialidad, Trazabilidad.
• Clasificación. Confidencial, Difusión Limitada, Sin clasificar.
• Categorías. Alto (grave o catastrófico), Medio (moderado), Bajo
Categoría Minima para Datos Personales.
D I C A T
D I C A T
alto B M A A M
Web M M -- A M
medio - M M M M
bajo - B B B B
Mesa de Contratación
Inspección Infracción Administrativa D I C A T
información de los contratos B M M M M
D I C A T
información administrativa B B B n.a. n.a.
expedientes n.a. M M M M
sistema de información B M M M M
25 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
26. ENS
• Informes anuales de:
– Inventariado del sistema,
• nº sistemas por clasificación, por nivel riesgo analizado, seguridad
analizada, certificados, en plan de continuidad, ...
– Indicadores del estado
• Organización. Actividades procedimentadas, sistemas en el plan de
seguridad, sistemas en control de config, sistemas en control de cambios.
• Gestión de incidentes. Horas dedicadas, reportados al CERT, reportados a
unidades de delitos, por nivel, afectan a disponibilidad, revelación de info,
por área.
• Personal. Nº asistencias a concienciación, horas dedicadas, n cursos y
horas en seguridad, en tratamiento de dp, en ssi
• Identificación y autenticación. cuentas de usuario, sistemas con pwd, con
tokens, con biometría, sin nada.
26 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
27. A Tener en Cuenta
27 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
28. A Tener en Cuenta
28 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
29. Resumen
• Capacitación y conocimiento • Responsable / Director de
• Derechos ARCO Seguridad
• Internacionalización • Auditoría
• Menores • Telecomunicaciones
• Funciones y Obligaciones
• Registro y Gestión de Incidencias • Informes Anuales
• Gestión de Soportes • Continuidad de Negocio
• Acceso a la documentación
– Digital • Destrucción de soportes y
– Papel documentación
– Transporte de documentación • Formularios Web y papel
o soportes • Campañas publicitarias
• Identificación y Autenticación • Relaciones con 3º.
• Copias de Seguridad • Videocámaras
29 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011
30. GRACIAS
• ¿Alguna pregunta?
• Mas información
presidente@isacavalencia.org
30 /30 Director de Seguridad y la Información
@2011. Todos los derechos reservados mayo de 2011