SlideShare a Scribd company logo

Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS

Roberto Soriano Domenech
Roberto Soriano Domenech

Jornada de AVADISE

Technology
1 of 30
Download to read offline
Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS Roberto Soriano Presidente de ISACA Valencia CISM, CRISC, CISM, ISO27K Cobit-F, ITIL Director de Seguridad y la Información mayo de 2011 @2011. Todos los derechos reservados
Índice 1. Introducción 2. Entrando en Materia 3. A Cumplir 4. ENS 5. A Tener en cuenta 6. Conclusiones 2 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
Introducción Abreviaturas • CSO. Chief Security Officer. Director de Seguridad. • CIO. Chief Information Officer. Director de la Información • CISO. Chief Information Security Officer. Director de Seguridad de la Información. • TI / IT. Tecnologías de la Información. • SI / IS. Sistemas de la Información. • Finalidad: Dar a conocer las obligaciones de Seguridad de la Información a los CSO y otros posibles interesados.. 3 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
Introducción • LOPD – Artículo 1. Objeto La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. – Artículo 2. Ámbito de aplicación 1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. 4 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
Introducción • Ley 11 – Artículo 1. Objeto de la Ley. 2. Las Administraciones Públicas utilizarán las tecnologías de la información de acuerdo con lo dispuesto en la presente Ley, asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias. – Artículo 42 El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. 5 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
Introducción ENS Real Decreto 3/2010 • La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas. 6 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
Introducción Seguridad: • Proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema. • Se prestara la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que ni la falta de organización y coordinación ni instrucciones inadecuadas sean fuentes de riesgo para la seguridad. • Garantizar: Seguridad – Disponibilidad – Autenticidad – Integridad Confidencialidad Disponibilidad Autenticidad Trazabilidad – Confidencialidad Integridad – Trazabilidad 7 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
Entrando en Materia • ¿Por qué debemos cumplir? – Porque es una ley de obligado cumplimiento para las empresas – ENS. Medidas de Seguridad para AAPP. – Mejora el Estado de Seguridad de la Información de la organización – Conocimiento y capacitación de los empleados. – Importes de las sanciones para las empresas • 900 € a 40.000 € • 40.001 a 300.000 • 300.001 a 600.000 8 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
Entrando en Materia Últimas Sanciones del 2010 Resolución Importe Art Causa 30/12/2010 601.01 10 Envío de email sin ocultar destinatarios 22/12/2010 60.101.21 4.3 Inclusión en ASNEF existiendo procedimiento arbitral 21/12/2010 6.000 9 No devolver documentación al propietario 16/12/2010 601.01 10 Envío de email sin ocultar destinatarios 14/12/2010 60.101.21 4.3 Incluir en ASNET datos de persona a la que 6.1 nunca se le ha realizado servicio 14/12/2010 60.101,21 4.3 Incluir en ASNET datos de persona a la que nunca se le ha realizado servicio 14/12/2010 60.101.21 4.3 Incluir en ASNET datos de persona a la que 6.1 nunca se le ha realizado servicio 9 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
Entrando en Materia • Fichero: – LOPD: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. – RD: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. • Responsable de seguridad: – RD. persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. – ENS. Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. 10 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
Entrando en Materia • Como CSO / CISO debemos de estar preparados para la Auditoria Doctor: “Lo siento le quedan 3 días” Paciente: Haga de nuevo las pruebas, pero esta vez indique que todo esta estupendamente 11 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
1. A Cumplir 12 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
1. A Cumplir 13 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
1. A Cumplir 14 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
1. A Cumplir nes syO bligacio F uncione l ona del Pers 15 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
1. A Cumplir 16 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
1. A Cumplir 17 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
1. A Cumplir 18 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
1. A Cumplir User: Rarias Permisos: Finanzas 19 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
1. A Cumplir 20 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
2. A Cumplir 21 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
2. A Cumplir Al menos cada 2 años 22 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
3. A Cumplir 23 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
ENS Auto Servicio • R1. Protección de las instalaciones • R2. Gestión del personal • R3. Análisis de otros SI conectados. • R4. Copias de seguridad. • R5. Actualización de sistemas. • R6. Gestión de la seguridad por expertos y uso de productos evaluados o certificados Especializados • R7. Garantizar la seguridad por defecto. Mínimos, Sencilla, segura. Profesionales • R8. Incidentes de seguridad registrados y atendidos. • R9. Protección de la información almacenada y en tránsito 24 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
ENS Clasificación de la Información • Dimensiones. Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad. • Clasificación. Confidencial, Difusión Limitada, Sin clasificar. • Categorías. Alto (grave o catastrófico), Medio (moderado), Bajo Categoría Minima para Datos Personales. D I C A T D I C A T alto B M A A M Web M M -- A M medio - M M M M bajo - B B B B Mesa de Contratación Inspección Infracción Administrativa D I C A T información de los contratos B M M M M D I C A T información administrativa B B B n.a. n.a. expedientes n.a. M M M M sistema de información B M M M M 25 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
ENS • Informes anuales de: – Inventariado del sistema, • nº sistemas por clasificación, por nivel riesgo analizado, seguridad analizada, certificados, en plan de continuidad, ... – Indicadores del estado • Organización. Actividades procedimentadas, sistemas en el plan de seguridad, sistemas en control de config, sistemas en control de cambios. • Gestión de incidentes. Horas dedicadas, reportados al CERT, reportados a unidades de delitos, por nivel, afectan a disponibilidad, revelación de info, por área. • Personal. Nº asistencias a concienciación, horas dedicadas, n cursos y horas en seguridad, en tratamiento de dp, en ssi • Identificación y autenticación. cuentas de usuario, sistemas con pwd, con tokens, con biometría, sin nada. 26 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
A Tener en Cuenta 27 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
A Tener en Cuenta 28 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
Resumen • Capacitación y conocimiento • Responsable / Director de • Derechos ARCO Seguridad • Internacionalización • Auditoría • Menores • Telecomunicaciones • Funciones y Obligaciones • Registro y Gestión de Incidencias • Informes Anuales • Gestión de Soportes • Continuidad de Negocio • Acceso a la documentación – Digital • Destrucción de soportes y – Papel documentación – Transporte de documentación • Formularios Web y papel o soportes • Campañas publicitarias • Identificación y Autenticación • Relaciones con 3º. • Copias de Seguridad • Videocámaras 29 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
GRACIAS • ¿Alguna pregunta? • Mas información presidente@isacavalencia.org 30 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011

Recommended

Seguridad de la información
Seguridad de la información Seguridad de la información
Seguridad de la información ANDREAESTEFANIAERAZO
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la InformaciónGerson David
 
Seguridad informatica luissmendoza
Seguridad informatica luissmendozaSeguridad informatica luissmendoza
Seguridad informatica luissmendozaLuis Mendoza
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionmelendezmangones
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012Miguel A. Amutio
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba beaBeatriz Rangel Ruiz
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaDaniel Adames Cifuentes
 
Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Marco Antonio
 

Recommended

Seguridad de la información
Seguridad de la información Seguridad de la información
Seguridad de la información ANDREAESTEFANIAERAZO
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la InformaciónGerson David
 
Seguridad informatica luissmendoza
Seguridad informatica luissmendozaSeguridad informatica luissmendoza
Seguridad informatica luissmendozaLuis Mendoza
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionmelendezmangones
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012Miguel A. Amutio
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba beaBeatriz Rangel Ruiz
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaDaniel Adames Cifuentes
 
Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Marco Antonio
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 
Seguridad foncodes
Seguridad foncodesSeguridad foncodes
Seguridad foncodesjuancarlosreategui
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticagrupo5proyectoiv
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPedro Cobarrubias
 
Seguridad de informatica
Seguridad de informaticaSeguridad de informatica
Seguridad de informaticachepingos
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacionIvonne Soledad Gonzales
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Seguridad informaticafinal
Seguridad informaticafinalSeguridad informaticafinal
Seguridad informaticafinalNery Benjamín Fernández Asencios
 
7. confidencialidad y seguridad de la informacion
7. confidencialidad y seguridad de la informacion7. confidencialidad y seguridad de la informacion
7. confidencialidad y seguridad de la informacionBalbino Rodriguez
 
Seguridad de informacion
Seguridad de informacionSeguridad de informacion
Seguridad de informacionchunchi2486
 
Tecnología
TecnologíaTecnología
TecnologíaRositaruiz
 
PRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBTPRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBTYulianaCruzSoto
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
Itil seguridad
Itil seguridadItil seguridad
Itil seguridadGRUPO1002
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaKevin Chavez
 
Ivonne oropeza
Ivonne oropezaIvonne oropeza
Ivonne oropezaoropezaivonne
 
Seguridad informatica auditoria
Seguridad informatica auditoriaSeguridad informatica auditoria
Seguridad informatica auditoriaDiego Llanes
 
Seguridad informatica 2.0
Seguridad informatica 2.0Seguridad informatica 2.0
Seguridad informatica 2.0Victor GS
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaDAVIDMOGROVEJO
 
Auditoriade Intrusion Rsd Ccrb2007
Auditoriade Intrusion Rsd Ccrb2007Auditoriade Intrusion Rsd Ccrb2007
Auditoriade Intrusion Rsd Ccrb2007Roberto Soriano Domenech
 
An Automated Recovery Plan Auditors Will Love
An Automated Recovery Plan Auditors Will LoveAn Automated Recovery Plan Auditors Will Love
An Automated Recovery Plan Auditors Will LoveAnne Gaslin
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 

More Related Content

What's hot

Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticagrupo5proyectoiv
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPedro Cobarrubias
 
Seguridad de informatica
Seguridad de informaticaSeguridad de informatica
Seguridad de informaticachepingos
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
7. confidencialidad y seguridad de la informacion
7. confidencialidad y seguridad de la informacion7. confidencialidad y seguridad de la informacion
7. confidencialidad y seguridad de la informacionBalbino Rodriguez
 
Seguridad de informacion
Seguridad de informacionSeguridad de informacion
Seguridad de informacionchunchi2486
 
PRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBTPRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBTYulianaCruzSoto
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
Itil seguridad
Itil seguridadItil seguridad
Itil seguridadGRUPO1002
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaKevin Chavez
 
Seguridad informatica auditoria
Seguridad informatica auditoriaSeguridad informatica auditoria
Seguridad informatica auditoriaDiego Llanes
 
Seguridad informatica 2.0
Seguridad informatica 2.0Seguridad informatica 2.0
Seguridad informatica 2.0Victor GS
 

What's hot (19)

Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
 
Seguridad foncodes
Seguridad foncodesSeguridad foncodes
Seguridad foncodes
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad Informatica
 
Seguridad de informatica
Seguridad de informaticaSeguridad de informatica
Seguridad de informatica
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Seguridad informaticafinal
Seguridad informaticafinalSeguridad informaticafinal
Seguridad informaticafinal
 
7. confidencialidad y seguridad de la informacion
7. confidencialidad y seguridad de la informacion7. confidencialidad y seguridad de la informacion
7. confidencialidad y seguridad de la informacion
 
Seguridad de informacion
Seguridad de informacionSeguridad de informacion
Seguridad de informacion
 
Tecnología
TecnologíaTecnología
Tecnología
 
PRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBTPRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBT
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
 
Itil seguridad
Itil seguridadItil seguridad
Itil seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Ivonne oropeza
Ivonne oropezaIvonne oropeza
Ivonne oropeza
 
Seguridad informatica auditoria
Seguridad informatica auditoriaSeguridad informatica auditoria
Seguridad informatica auditoria
 
Seguridad informatica 2.0
Seguridad informatica 2.0Seguridad informatica 2.0
Seguridad informatica 2.0
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 

Viewers also liked

An Automated Recovery Plan Auditors Will Love
An Automated Recovery Plan Auditors Will LoveAn Automated Recovery Plan Auditors Will Love
An Automated Recovery Plan Auditors Will LoveAnne Gaslin
 
Gestión de la Seguridad de la Información en la era Digital
Gestión de la Seguridad de la Información en la era DigitalGestión de la Seguridad de la Información en la era Digital
Gestión de la Seguridad de la Información en la era DigitalHelpSystems
 
Impacto de la tecnología de la información y la comunicación en los roles doc...
Impacto de la tecnología de la información y la comunicación en los roles doc...Impacto de la tecnología de la información y la comunicación en los roles doc...
Impacto de la tecnología de la información y la comunicación en los roles doc...RUBELYS PALACIOS
 
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Kevin Rosales
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 
Estudio tecnico "Elaboracion de proyectos"
Estudio tecnico "Elaboracion de proyectos"Estudio tecnico "Elaboracion de proyectos"
Estudio tecnico "Elaboracion de proyectos"guestd3aea1aa
 
Gestión de Proyectos con Microsoft Project
Gestión de Proyectos con Microsoft ProjectGestión de Proyectos con Microsoft Project
Gestión de Proyectos con Microsoft ProjectRoberto Soriano Domenech
 

Viewers also liked (16)

Auditoriade Intrusion Rsd Ccrb2007
Auditoriade Intrusion Rsd Ccrb2007Auditoriade Intrusion Rsd Ccrb2007
Auditoriade Intrusion Rsd Ccrb2007
 
An Automated Recovery Plan Auditors Will Love
An Automated Recovery Plan Auditors Will LoveAn Automated Recovery Plan Auditors Will Love
An Automated Recovery Plan Auditors Will Love
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Gestión de la Seguridad de la Información en la era Digital
Gestión de la Seguridad de la Información en la era DigitalGestión de la Seguridad de la Información en la era Digital
Gestión de la Seguridad de la Información en la era Digital
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 
Mini diccionario de cargos ejecutivos
Mini diccionario de cargos ejecutivosMini diccionario de cargos ejecutivos
Mini diccionario de cargos ejecutivos
 
Impacto de la tecnología de la información y la comunicación en los roles doc...
Impacto de la tecnología de la información y la comunicación en los roles doc...Impacto de la tecnología de la información y la comunicación en los roles doc...
Impacto de la tecnología de la información y la comunicación en los roles doc...
 
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
 
Estudio tecnico "Elaboracion de proyectos"
Estudio tecnico "Elaboracion de proyectos"Estudio tecnico "Elaboracion de proyectos"
Estudio tecnico "Elaboracion de proyectos"
 
Requisitos legales para crear empresa
Requisitos legales para crear empresa Requisitos legales para crear empresa
Requisitos legales para crear empresa
 
Gestión de Proyectos con Microsoft Project
Gestión de Proyectos con Microsoft ProjectGestión de Proyectos con Microsoft Project
Gestión de Proyectos con Microsoft Project
 

Similar to Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS

ley de proteccion de datos
ley de proteccion de datosley de proteccion de datos
ley de proteccion de datosBANCORPPROCASH
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasJuan Carlos Carrillo
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba beayeniferbaez
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Preguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad InformaticaPreguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad InformaticaPedro Cobarrubias
 
seguridad informática
seguridad informática seguridad informática
seguridad informática Daavid-Hurtado
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectualplluncor
 
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdfMAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdfCarlosRamos605522
 
Seguridad de la información v1.4
Seguridad de la información v1.4Seguridad de la información v1.4
Seguridad de la información v1.4Gabriel Muñoz
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadMiguel A. Amutio
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Miguel A. Amutio
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010Miguel A. Amutio
 

Similar to Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS (20)

ley de proteccion de datos
ley de proteccion de datosley de proteccion de datos
ley de proteccion de datos
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina Ornelas
 
S7-SCPC.pptx
S7-SCPC.pptxS7-SCPC.pptx
S7-SCPC.pptx
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Seguridadinformatica 100211205500-phpapp02
Seguridadinformatica 100211205500-phpapp02Seguridadinformatica 100211205500-phpapp02
Seguridadinformatica 100211205500-phpapp02
 
información Segura
información Segurainformación Segura
información Segura
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Preguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad InformaticaPreguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad Informatica
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectual
 
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdfMAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
 
Seguridad de la información v1.4
Seguridad de la información v1.4Seguridad de la información v1.4
Seguridad de la información v1.4
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 

Recently uploaded

David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDAVIDROBERTOGALLEGOS
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Marketing BRANDING
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
La tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadLa tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadEduardoSantiagoSegov
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadob7fwtwtfxf
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 

Recently uploaded (20)

David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptx
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
La tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadLa tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedad
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armado
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 

Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS

  • 1. Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS Roberto Soriano Presidente de ISACA Valencia CISM, CRISC, CISM, ISO27K Cobit-F, ITIL Director de Seguridad y la Información mayo de 2011 @2011. Todos los derechos reservados
  • 2. Índice 1. Introducción 2. Entrando en Materia 3. A Cumplir 4. ENS 5. A Tener en cuenta 6. Conclusiones 2 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 3. Introducción Abreviaturas • CSO. Chief Security Officer. Director de Seguridad. • CIO. Chief Information Officer. Director de la Información • CISO. Chief Information Security Officer. Director de Seguridad de la Información. • TI / IT. Tecnologías de la Información. • SI / IS. Sistemas de la Información. • Finalidad: Dar a conocer las obligaciones de Seguridad de la Información a los CSO y otros posibles interesados.. 3 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 4. Introducción • LOPD – Artículo 1. Objeto La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. – Artículo 2. Ámbito de aplicación 1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. 4 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 5. Introducción • Ley 11 – Artículo 1. Objeto de la Ley. 2. Las Administraciones Públicas utilizarán las tecnologías de la información de acuerdo con lo dispuesto en la presente Ley, asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias. – Artículo 42 El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. 5 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 6. Introducción ENS Real Decreto 3/2010 • La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas. 6 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 7. Introducción Seguridad: • Proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema. • Se prestara la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que ni la falta de organización y coordinación ni instrucciones inadecuadas sean fuentes de riesgo para la seguridad. • Garantizar: Seguridad – Disponibilidad – Autenticidad – Integridad Confidencialidad Disponibilidad Autenticidad Trazabilidad – Confidencialidad Integridad – Trazabilidad 7 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 8. Entrando en Materia • ¿Por qué debemos cumplir? – Porque es una ley de obligado cumplimiento para las empresas – ENS. Medidas de Seguridad para AAPP. – Mejora el Estado de Seguridad de la Información de la organización – Conocimiento y capacitación de los empleados. – Importes de las sanciones para las empresas • 900 € a 40.000 € • 40.001 a 300.000 • 300.001 a 600.000 8 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 9. Entrando en Materia Últimas Sanciones del 2010 Resolución Importe Art Causa 30/12/2010 601.01 10 Envío de email sin ocultar destinatarios 22/12/2010 60.101.21 4.3 Inclusión en ASNEF existiendo procedimiento arbitral 21/12/2010 6.000 9 No devolver documentación al propietario 16/12/2010 601.01 10 Envío de email sin ocultar destinatarios 14/12/2010 60.101.21 4.3 Incluir en ASNET datos de persona a la que 6.1 nunca se le ha realizado servicio 14/12/2010 60.101,21 4.3 Incluir en ASNET datos de persona a la que nunca se le ha realizado servicio 14/12/2010 60.101.21 4.3 Incluir en ASNET datos de persona a la que 6.1 nunca se le ha realizado servicio 9 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 10. Entrando en Materia • Fichero: – LOPD: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. – RD: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. • Responsable de seguridad: – RD. persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. – ENS. Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. 10 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 11. Entrando en Materia • Como CSO / CISO debemos de estar preparados para la Auditoria Doctor: “Lo siento le quedan 3 días” Paciente: Haga de nuevo las pruebas, pero esta vez indique que todo esta estupendamente 11 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 12. 1. A Cumplir 12 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 13. 1. A Cumplir 13 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 14. 1. A Cumplir 14 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 15. 1. A Cumplir nes syO bligacio F uncione l ona del Pers 15 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 16. 1. A Cumplir 16 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 17. 1. A Cumplir 17 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 18. 1. A Cumplir 18 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 19. 1. A Cumplir User: Rarias Permisos: Finanzas 19 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 20. 1. A Cumplir 20 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 21. 2. A Cumplir 21 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 22. 2. A Cumplir Al menos cada 2 años 22 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 23. 3. A Cumplir 23 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 24. ENS Auto Servicio • R1. Protección de las instalaciones • R2. Gestión del personal • R3. Análisis de otros SI conectados. • R4. Copias de seguridad. • R5. Actualización de sistemas. • R6. Gestión de la seguridad por expertos y uso de productos evaluados o certificados Especializados • R7. Garantizar la seguridad por defecto. Mínimos, Sencilla, segura. Profesionales • R8. Incidentes de seguridad registrados y atendidos. • R9. Protección de la información almacenada y en tránsito 24 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 25. ENS Clasificación de la Información • Dimensiones. Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad. • Clasificación. Confidencial, Difusión Limitada, Sin clasificar. • Categorías. Alto (grave o catastrófico), Medio (moderado), Bajo Categoría Minima para Datos Personales. D I C A T D I C A T alto B M A A M Web M M -- A M medio - M M M M bajo - B B B B Mesa de Contratación Inspección Infracción Administrativa D I C A T información de los contratos B M M M M D I C A T información administrativa B B B n.a. n.a. expedientes n.a. M M M M sistema de información B M M M M 25 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 26. ENS • Informes anuales de: – Inventariado del sistema, • nº sistemas por clasificación, por nivel riesgo analizado, seguridad analizada, certificados, en plan de continuidad, ... – Indicadores del estado • Organización. Actividades procedimentadas, sistemas en el plan de seguridad, sistemas en control de config, sistemas en control de cambios. • Gestión de incidentes. Horas dedicadas, reportados al CERT, reportados a unidades de delitos, por nivel, afectan a disponibilidad, revelación de info, por área. • Personal. Nº asistencias a concienciación, horas dedicadas, n cursos y horas en seguridad, en tratamiento de dp, en ssi • Identificación y autenticación. cuentas de usuario, sistemas con pwd, con tokens, con biometría, sin nada. 26 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 27. A Tener en Cuenta 27 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 28. A Tener en Cuenta 28 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 29. Resumen • Capacitación y conocimiento • Responsable / Director de • Derechos ARCO Seguridad • Internacionalización • Auditoría • Menores • Telecomunicaciones • Funciones y Obligaciones • Registro y Gestión de Incidencias • Informes Anuales • Gestión de Soportes • Continuidad de Negocio • Acceso a la documentación – Digital • Destrucción de soportes y – Papel documentación – Transporte de documentación • Formularios Web y papel o soportes • Campañas publicitarias • Identificación y Autenticación • Relaciones con 3º. • Copias de Seguridad • Videocámaras 29 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011
  • 30. GRACIAS • ¿Alguna pregunta? • Mas información presidente@isacavalencia.org 30 /30 Director de Seguridad y la Información @2011. Todos los derechos reservados mayo de 2011