Post on 20-Jun-2015
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 1
Medidas de Seguridad Medidas de Seguridad en atencien atencióón n
sociosanitariasociosanitaria
Pedro Alberto González Gonzálezhttp://www.avpd.es
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 2
Índice de la sesión
• Marco de referencia• Análisis de riesgos• Niveles de seguridad• Medidas de seguridad• En particular, para usuarios finales• Conclusiones
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 3
Principios consagrados en la LOPD• Calidad de los datos• Información en la recogida• Consentimiento del afectado• Comunicación o cesión de los datos• Protección especial de determinados datos• Seguridad de los datos• Deber de secreto
Ma
rc
o d
e
Re
fe
re
nc
ia
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 4
Seguridad de los Datos (art. 9 LOPD)
• Se adoptarán las medidas técnicas y organizativasnecesarias para garantizar la seguridad de los datos,– evitando su alteración o pérdida– y su tratamiento o acceso no autorizado
• Teniendo en cuenta:– el estado de la tecnología– la naturaleza de los datos almacenados– los riesgos a que estén expuestos
• Afecta tanto al Responsable del Fichero como al Encargado del Tratamiento
Ma
rc
o d
e
Re
fe
re
nc
ia
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 5
Deber de secreto (art. 10 LOPD)
• El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional.
• Esta obligación subsistirá aun despuésde finalizar sus relaciones con el titular del fichero.
Ma
rc
o d
e
Re
fe
re
nc
ia
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 6
LEY 16/2003, de cohesión y calidad del Sistema Nacional de Salud
• Artículo 14. Prestación de atención sociosanitaria.– 1. La atención sociosanitaria comprende el conjunto de
cuidados destinados a aquellos enfermos, generalmente crónicos, que por sus especiales características pueden beneficiarse de la actuación simultánea y sinérgica de los servicios sanitarios y sociales para aumentar su autonomía, paliar sus limitaciones o sufrimientos y facilitar su reinserción social.
– (…) 3. La continuidad del servicio será garantizada por los servicios sanitarios y sociales a través de la adecuada coordinación entre las Administraciones públicas correspondientes.
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 2
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 7
Ley 41/2002,de Autonomía del Paciente
• Artículo 7. El derecho a la intimidad.– 1. Toda persona tiene derecho a que se respete el
carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley.
– 2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 8
Ley 41/2002, de Autonomía del Paciente
• Artículo 14. Definición y archivo de la historia clínica.– (…) 2. Cada centro archivará las historias clínicas de sus
pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información.
– (…) 4. Las Comunidades Autónomas aprobarán las disposiciones necesarias para que los centros sanitarios puedan adoptar las medidas técnicas y organizativas adecuadas para archivar y proteger las historias clínicas y evitar su destrucción o su pérdida accidental.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 9
Ley 41/2002, de Autonomía del Paciente
• Artículo 16. Usos de la historia clínica.– 6. El personal que accede a los datos de la
historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 10
Ley 41/2002, de Autonomía del Paciente
• Artículo 17. Documentación clínica.– 1. Los centros sanitarios tienen la obligación de
conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, (…).
– 6. Son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los ficheros que contienen datos de carácter personal y, en general, por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 11
Euskadi: LEY 12/2008, de Servicios Sociales
• Artículo 9.– Derechos de las personas usuarias de los servicios sociales.– a) Derecho a acceder a los servicios sociales en
condiciones de igualdad, dignidad y privacidad.– b) Derecho a la confidencialidad,
• entendiéndose por tal el derecho a que los datos de carácter personal que obren en su expediente o en cualquier documento que les concierna sean tratados con pleno respeto de lo previsto en la LOPD,
• incluyendo la debida reserva por parte de las profesionales y los profesionales con respecto a la información de la que hayan tenido conocimiento
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 12
Euskadi: LEY 12/2008, de Servicios Sociales
• Artículo 9.– Derechos de las personas usuarias de los servicios sociales.– d) Derecho a dar o a denegar su
consentimiento libre y específico en relación con una determinada intervención, debiendo ser otorgado el consentimiento, en todo caso, por escrito cuando la intervención implique ingreso en un servicio de alojamiento o en un centro residencial.
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 3
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 13
Euskadi: LEY 12/2008, de Servicios Sociales
• Artículo 20.– Instrumentos técnicos comunes.– 1.– Con el fin de garantizar la homogeneidad en los
criterios de intervención, (…) todos los servicios sociales de base cumplimentarán el modelo de ficha social y aplicarán el modelo de plan de atención personalizada. (…)
– Tanto en el diseño de estos instrumentos como en la recogida de datos, y en su utilización y explotación, se estará a lo previsto en la normativa vigente en materia de protección de datos de carácter personal.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 14
Euskadi: LEY 12/2008, de Servicios Sociales
• Artículo 90.– Infracciones graves.– b) Incumplir el deber de confidencialidad y el
deber de reserva de los datos personales, familiares o sociales de las personas usuarias.
– c) No salvaguardar el derecho a la dignidad y a la intimidad de las personas usuarias.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 15
Seguridad ≠ Privacidad
• Adjetivo (un medio)– Protección de activos
• Evitar riesgo• Mitigar impacto
• Sustantivo (un fin)– Derecho
• Fundamental• Constitucional
“Security by Design”
“Privacy by Design”
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 16
Modelo de referencia para Análisis de Riesgos
Activos
Amenazas Valor
Impacto
Riesgo
Degradación
Frecuencia
Están expuestos a…
Causan +/- …
Ocurren con +/-…
tienen …
An
ál
isis
de
Rie
sg
os
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 17
Activos más comunes
• Instalaciones– Edificios, locales, canalizaciones, redes de
comunicaciones,…• Equipamientos
– Mobiliario, maquinaria, ordenadores personales, …• Sistemas de Información
– Servidores, sistemas de almacenamiento,…– Aplicaciones y programas de ordenador– Información, datos de negocio, datos personales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 18
Activos más comunes
• Intangibles– Licencias, derechos,..– Reputación, imagen, …– Personas de la Organización
• Servicios prestados– Continuidad del negocio
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 4
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 19
Activos en Protección de Datos
• Datos de Carácter Personal• y, como consecuencia,
– Instalaciones donde se ubican,– Equipos donde se tratan– Redes por donde “viajan”– Programas que los tratan– Soportes que los contienen– Personas que los gestionan
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 20
Amenazas más comunes• Desastres naturales
– Incendios, inundaciones, … terremotos, tsunamis…• Desastres industriales
– Explosiones, derrumbes, fallo de equipos, • Interrupciones de servicios
– Luz, agua, teléfono, internet, … cloudComputing(XaaS)
• Errores humanos no intencionados– De usuarios, de administradores, de operadores,
• Ataques intencionados– Contra personas, equipos, programas,– Posibles empleados desleales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 21
Impacto de las Amenazas contra la Información
• Confidencialidad– Acceso o revelación indebidos
• Integridad– Modificación de los datos
• Disponibilidad– Sabotaje
• (Autenticidad)– Suplantación de Identidad
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 22
Salvaguardas / Contramedidas
Activos
Amenazas Valor
Impacto
Riesgo
Degradación
Frecuencia
Están expuestos a…
Causan +/- …
Ocurren con +/-…
tienen …
An
ál
isis
de
Rie
sg
os
ContraMedidas
RiesgoResidual
ImpactoResidual
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 23 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 24
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 5
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 25Nivel Básico: Todos los ficheros
Nivel Medio: ficheros con•Infracciones administrativas o penales•Información sobre solvencia patrimonial•Administraciones Tributarias•Entidades financieras•Seguridad Social•Elaboración de perfiles
Nivel Alto: ficheros con•Datos especialmente protegidos•Fines policiales •Violencia de género
Niveles de seguridad
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 26
RD 1720/2007: Niveles de seguridad
• Medio– Infracciones administrativas o penales– Servicios de información sobre solvencia
patrimonial y crédito– Administraciones Tributarias - potestades
tributarias– Entidades financieras - servicios financieros– Seguridad Social, Mutuas – Elaboración de perfiles
Niv
el
es
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 27
RD 1720/2007: Niveles de seguridad
• Medio reforzado (+ registro de accesos)– Operadoras TELECO
• (datos de tráfico y localización)
• Alto– Datos especialmente protegidos– Fines policiales sin consentimiento de las
personas afectada– Violencia de género
Niv
el
es
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 28
Datos especialmente protegidos (1)
• Datos sobre Ideología, religión o creencias.– Nadie podrá ser obligado a declarar sobre estos
datos– Cuando se recabe el consentimiento, se advertirá al
interesado acerca de su derecho a no prestarlo.– El consentimiento en estos casos ha de ser expreso
y por escrito (también la afiliación sindical)
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 29
Datos especialmente protegidos (2)
• Datos sobre Origen racial, salud y vida sexual– Sólo podrán ser recabados, tratados y
cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 30
Otros datos protegidos
• Datos relativos a la comisión de infracciones penales o administrativas– Los sólo podrán ser incluidos en ficheros de
las Administraciones públicas– en los supuestos previstos en las respectivas
normas reguladoras.
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 6
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 31
Excepciones a la aplicación de medidas de Nivel Alto
• Bastará con nivel básico en los casos:– Ideología, afiliación sindical, religión, creencias,
salud, origen racial o vida sexual, para:• transferencia dineraria a entidades de las que los afectados
sean asociados o miembros,• tratamiento de forma incidental o accesoria, sin guardar
relación con la finalidad
– Salud (exclusivamente grado o condición de discapacidad o invalidez), para:
• cumplimiento de deberes públicos
Niv
el
es
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 32
Resumen medidas nivel Básico
Art. 89. Funciones y obligaciones del personalArt. 90. Registro de incidenciasArt. 91. Control de accesoArt. 92. Gestión de soportes y documentos
Ficheros automatizados y no automatizados
Art. 106. Criterios de archivo- posibilitar derechos ARCO
Art. 107. Dispositivos de almacenamiento- mecanismos apertura
Art. 108. Custodia de los soportes- en el proceso de tramitación
Art. 93. Identificación y autenticación
Art. 94. Copias de respaldo y recuperación
Sólo no automatizadosSólo automatizados
Niv
el
es
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 33
Resumen medidas nivel Medio
Arts. 95 y 109: Responsable de seguridadArts. 96 y 110: Auditoria
Ficheros automatizados y no automatizados
Art. 97. Gestión de soportesArt. 98. Identificación y autenticaciónArt. 99. Control de acceso físicoArt. 100. Registro de incidencias
Sólo no automatizadosSólo automatizados
Niv
el
es
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 34
Resumen medidas nivel Alto
Art. 111. Almacenamiento de la información
–Archivadores, áreas restringidasArt. 112. Copia o reproducción
–Personal autorizadoArt. 113. Acceso a la documentación
–Mecanismo identificación accesos por diferentes usuarios
Art. 114. Traslado de documentación–Impedir acceso, manipulación
Art. 101. Gestión y distribución de soportes
–Cifrado de datos. Evitar dispositivos que no permitan el cifrado
Art. 102. Copias de respaldo y recuperaciónArt. 103. Registro de accesos
–Excepción: Responsable persona física y único usuario
Art. 104. Telecomunicaciones– Cifrado en redes públicas o inalámbricas
Sólo no automatizadosSólo automatizados
Niv
el
es
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 35
10 Objetivos de Control de medidas de seguridad
1. Organización de la Seguridad2. Documentación de Seguridad3. Funciones y obligaciones del personal4. Identificación y autenticación de usuarios5. Controles y registros de accesos6. Accesos a través de redes / Internet7. Soportes y documentos con información8. Copias de respaldo y recuperación9. Gestionar Incidencias de seguridad10. Efectuar Auditorías y Controles
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 36
1.- Responsable de Seguridad
Aplicable a ficheros automatizados y manuales
Nivel AltoNivel MedioNivel BásicoDebe existir uno o varios, designados por el responsable del fichero.Es el encargado de coordinar y controlar las medidas de seguridad.En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del ficheroTambién ha de gestionar la seguridad de los ficheros no automatizados (archivística)
Me
did
as
de
S
eg
ur
ida
d
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 7
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 37
2.- Documento de Seguridad -Requisitos
Aplicable a ficheros automatizados y manuales
N. AltoNivel MedioNivel BásicoAdemás debe contener:
La Identificación del responsable de seguridad.Los Controles periódicos del cumplimiento del documento.
Establece y recopila, como mínimo:El Ámbito de aplicación.Las medidas, normas, procedimientos y estándares de seguridad.Las funciones y obligaciones del personal.La estructura de los ficheros y la descripción de los sistemas de información.Los procedimientos de gestión y respuesta ante incidencias.Los procedimientos de realización de las copias de respaldo y recuperación de datos. Las Medidas para el transporte, destrucción y reutilización de soportes.
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 38
2.- Doc. de Seguridad – (más)
Aplicable a ficheros automatizados y manuales
N. AltoNivel MedioNivel Básico• En función de los sistemas de tratamiento u otros criterios, podrá ser:
– Único, para todos (o un grupo de) los ficheros, o – Individualizado por cada fichero,
• Deberá recoger las situaciones excepcionales relativas a: – Prestaciones de servicios (82.1), uso de dispositivos portátiles (86), – Medidas compensatorias, imposibilidad aplicación medidas previstas
• Recogerá las delegación de autorizaciones (art. 84)• Incluirá los ficheros externalizados, indicándolo expresamente• Puede delegarse la llevanza del Documento de Seguridad en el
Encargado de Tratamiento• Los Encargados de Tratamiento han de incluir los ficheros que tratan
por cuenta de terceros, con referencia a las condiciones del encargo• Carácter Interno. Controlado y actualizado periódicamente
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 39
3.- Funciones y obligaciones del Personal
Aplicable a ficheros automatizados y manuales
Nivel AltoNivel MedioNivel Básico
Las funciones y obligaciones relacionadas con el acceso a datos personales habrán de estar claramente definidas y documentadas.Deben definirse las funciones de control y autorizaciones delegadasEl personal debe conocer las normas que les afectenEl personal debe conocer las consecuencias de su incumplimiento.
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 40
4.- Identificación y Autenticación
Aplicable solo a ficheros automatizados
Nivel AltoNivel MedioNivel BásicoExistirá un límite al número de intentosreiterados de acceso no autorizado.
Se identificará univoca y personalmente a cada usuarioProcedimiento de asignación y gestión de contraseñasPeriodo de caducidad para las contraseñas inferior a un año.Se almacenarán de forma ininteligible. M
ed
ida
s d
e
Se
gu
rid
ad
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 41
5.a- Control y Registros de Accesos en ficheros automatizados
Aplicable solo a ficheros automatizadosAplicable a ficheros automatizados y manuales
Nivel AltoNivel MedioNivel BásicoExistirá un Registro de Accesos donde figurará:
usuario, hora,fichero, tipo accesoregistro accedido.
Bajo el control del responsable de seguridad.Se hará un informe mensual.Se conservará al menos durante 2 años. Excepción:
Accede una única persona física
Existirán controles de acceso físico a los localesdonde se encuentren ubicados los sistemas de información.
Acceso únicamente a los datos y recursos necesarios para sus funciones.Relación actualizada de usuarios y perfilesy sus accesos autorizados.Mecanismos para evitar el acceso con distintos derechos.Concesión de derechos por personal autorizado.
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 42
5.b- Control y Registros de Accesos para ficheros manuales
Aplicable solo a ficheros manualesAplicable a ficheros automatizados y manuales
Nivel AltoNivel MedioNivel BásicoEl acceso se limitará al personal autorizado.Habrá mecanismos para identificar los accesos a documentos disponibles para múltiples usuariosProcedimiento en el Documento de Seguridad para registrar los accesos de otras personas
Acceso únicamente a los datos y recursos necesarios para sus funciones.Relación actualizada de usuarios y perfiles y sus accesos autorizados.Mecanismos para evitar el acceso con distintos derechos.Concesión de derechos por personal autorizado.
Me
did
as
de
S
eg
ur
ida
d
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 8
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 43
6.- Acceso y transmisión mediante Telecomunicaciones
Aplicable solo a ficheros automatizados
Nivel AltoNivel MedioNivel BásicoLa transmisión de datos a través de redes de telecomunicaciones
PúblicasInalámbricas
se realizará cifrando los datos o mediante cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros
Las medidas de seguridad exigibles a los accesos mediante redes de comunicaciones, sean públicas o privadas, deberán de garantizar un nivel de seguridad equivalente al los accesos en modo localM
ed
ida
s d
e
Se
gu
rid
ad
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 44
7.a- Gestión de Soportespara ficheros automatizados
Aplicable solo a ficheros automatizadosAplicable a ficheros automatizados y manuales
Nivel AltoNivel MedioNivel Básico“Cripto-Etiquetado”Distribuir soportes cifrando los datos u otro mecanismo que impida el acceso.Cifrado de dispositivos portátiles.Excepciones, al DS
Habrá un registro de entrada y salida de soportes.
Inventario de soportesAcceso restringido.Salida autorizada de soportes, incluso eMail. Medidas en el traslado para impedir pérdidas, …Medidas para impedir la recuperación de datos de soportes desechados o reutilizado.Debe identificarse el tipo de datos que contienen.
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 45
7.b- Gestión de Soportes y Documentospara ficheros manuales
Aplicable solo a ficheros manuales
Nivel AltoNivel MedioNivel BásicoEl acceso a armarios, archivadores, etc. estaráprotegido mediante puertas con cerradura. Cuando no se acceda, permanecerán cerradas.Soluciones alternativas, motivadas en el Documento de SeguridadSiempre que se proceda al traslado físico de documentación, deberán adoptarse medidas para impedir su acceso o manipulación
Se aplicarán criterios de archivo que permitan la conservación, localización y consultaLos dispositivos de almacenamiento tendrán mecanismos que obstaculicen su aperturaCuando la documentación no se encuentre archivada, su depositario deberá custodiarlae impedir accesos no autorizados
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 46
8.- Procedimientos de Respaldo y Recuperación
Aplicable solo a ficheros automatizados
Nivel AltoNivel MedioNivel BásicoLas copias de respaldo y los procedimientos de recuperación se conservarán en un lugar diferente de donde se encuentren los equipos.
Procedimientos de copia para respaldo y recuperación, al menos semanalmenteGarantizar la reconstrucción de los datos al mismo estado en que se encontraban en el momento de la pérdida o destrucción.Verificación semestral de su definición, funcionamiento y aplicaciónPruebas con datos reales con mismo nivel de seguridad y con copia de seguridad
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 47
9.- Procedimiento de Gestión de Incidencias
Aplicable solo a ficheros automatizados Aplicable a ficheros automatizados y manuales
Nivel AltoNivel MedioNivel Básico
Además, debe contener:Procedimientos efectuados para recuperación de los datos,persona que lo ejecuta,datos restaurados datos grabados manualmente.
Es necesaria la autorización por escrito del responsable del fichero para su recuperación.
Debe existir un Registro de Incidencias con:
tipo de incidencia,cuándo se ha producido,persona que la notificia,persona a quien se comunicaefectos derivados.
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 48
10.- Controles del Documento de Seguridad y Auditorías
Al menos una auditoría cada dos años.Cuando se realicen modificaciones sustancialesPuede ser interna o externa.Debe dictaminar sobre:
Adecuación de medidas y controles.Deficiencias identificadasMedidas correctoras necesarias.
El responsable de seguridad debe:Analizar el informe de AuditoríaElevar sus conclusiones al responsable del fichero
A disposición de la APDAplicable a ficheros automatizados y manuales
Nivel AltoNivel MedioNivel BásicoRealizar controles periódicosMantener actualizado el Documento de Seguridad
Me
did
as
de
S
eg
ur
ida
d
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 9
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 49
Quién hace qué?
CooperarEncargarGestionarDecidirEfectuar Auditorías y Controles periódicos
CooperarAnticiparGestionarActuarIncidencias de seguridad
Definir pol.SupervisarCopias de respaldo y recuperación
CumplirDefinir pol.GestionarSoportes y documentos con información
ConocerImplantarGestionarAccesos a través de la redes de comunicaciones
ConocerImplantarGestionarControles y registros de accesos
CumplirDefinir pol.ImplantarIdentificación y autenticación de usuarios
CumplirDocumentarDefinirActuarFunciones y obligaciones del personal
ConocerElaborar Aplicar
Decidir políticasDocumento de Seguridad
ParticiparDesignarOrganización de la Seguridad
PersonalRespons. Seguridad
Respons. FicheroMedidas de Seguridad
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 50
Quién hace qué?
CooperarEncargarGestionarDecidirEfectuar Auditorías y Controles periódicos
CooperarAnticiparGestionarActuarIncidencias de seguridad
Definir pol.SupervisarCopias de respaldo y recuperación
CumplirDefinir pol.GestionarSoportes y documentos con información
ConocerImplantarGestionarAccesos a través de la redes de comunicaciones
ConocerImplantarGestionarControles y registros de accesos
CumplirDefinir pol.ImplantarIdentificación y autenticación de usuarios
CumplirDocumentarDefinirActuarFunciones y obligaciones del personal
ConocerElaborar Aplicar
Decidir políticasDocumento de Seguridad
OrganizarDesignarOrganización de la Seguridad
PersonalRespons. Seguridad
Respons. FicheroMedidas de Seguridad
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 51
3.- Funciones y obligaciones del Personal
Aplicable a ficheros automatizados y manuales
Nivel AltoNivel MedioNivel Básico
Las funciones y obligaciones relacionadas con el acceso a datos personales habrán de estar claramente definidas y documentadas.Deben definirse las funciones de control y autorizaciones delegadasEl personal debe conocer las normas que les afectenEl personal debe conocer las consecuencias de su incumplimiento.
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 52
Obligaciones del Personal (detalles)
• Deber de secreto y confidencialidad• Conocer y observar las normas y medidas
que afecten a sus funciones• Notificación de incidentes de seguridad
De
ta
ll
es
pa
ra
U
su
ar
ios
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 53
Funciones del Personal (detalles)
• Distinguir, al menos los siguientes perfiles:– Los relacionados con funciones de control– Los relacionados con gestión de S.I.– Usuarios de los Sistemas de Información– Usuarios sin acceso a datos– Personal externoD
et
al
le
s p
ar
a
Us
ua
rio
s
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 54
Funciones y Obligaciones en tu Organización:
• ¿Hay unas funciones y obligaciones…– ... documentadas y por escrito?– … para cada perfil de usuario?– … conocidas por el personal?– … con cumplimiento controlado?– … con consecuencias?
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 10
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 55
4.- Identificación y Autenticación
Aplicable solo a ficheros automatizados
Nivel AltoNivel MedioNivel BásicoExistirá un límite al número de intentosreiterados de acceso no autorizado.
Se identificará univoca y personalmente a cada usuarioProcedimiento de asignación y gestión de contraseñasPeriodo de caducidad para las contraseñas inferior a un año.Se almacenarán de forma ininteligible. M
ed
ida
s d
e
Se
gu
rid
ad
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 56
Cómo se elabora una buena contraseña
• "Una contraseña debe ser como un cepillo de dientes: – Úsalo cada día;– cámbialo regularmente; – … y NO lo compartas con tus
amigos."
De
ta
ll
es
pa
ra
U
su
ar
ios
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 57
Lo que nos dicen de las contraseñas
• Recomendaciones estándar– Longitud mínima de 6 caracteres; recomendado más de 8– Que incluya mayúsculas, minúsculas, números y signos de
puntuación– Cambiar la contraseña frecuentemente, sin usar un ciclo
• No utilizar nunca:– ninguna palabra que pueda figurar en cualquier diccionario.– datos personales o familiares evidentes, (DNI, teléfono, fechas,…)– una única contraseña para todos los servicios, cuentas, bancos, etc.
• Precauciones:– No compartir la contraseña, ni apuntarla en un papel, ni en un
fichero de texto, ni enviarla por correo electrónico, SMS, mensajería instantánea …
– No revelar la contraseña (ingeniería social)
De
ta
ll
es
pa
ra
U
su
ar
ios
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 58
Lo que no nos dicen…
• El exceso de exigencias respecto de las contraseñas hace que los usuarios busquen alternativas que, finalmente, hacen más débil la seguridad.– Las contraseñas largas y complicadas que se han de cambiar a
menudo se terminan apuntando en algún lugar no muy lejano del teclado.
– Cuando se tienen muchas contraseñas, siempre terminan registradas en un fichero.
– Exigir (o abusar) de caracteres especiales causa errores al teclear y problemas en los teclados de otros países.
– Los sistemas alternativos para recordar contraseñas (pregunta y respuesta) son MUY débiles.
De
ta
ll
es
pa
ra
U
su
ar
ios
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 59
Cómo mantener muchas contraseñas
• Disponer de tres contraseñas-base– La mala, la buena y la fea
• Disponer de un pin-base suficientemente largo
• Utilizar frases de paso• Recordar reglas, en lugar de contraseñas• Las contraseñas, con contraseñaD
et
al
le
s p
ar
a
Us
ua
rio
s
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 60
Cómo gestionar tus contraseñas personales• “A Mano” (Fichero de texto “en oscuro”)
• Fichero plano, Libreta de direcciones
• “A Máquina” (mediante algun programa)– Fichero de texto cifrado– Programas de gestión de contraseñas
• En el PC • En la PDA / Smartphone• En Interntet
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 11
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 61
Correo electrónico
• Política reflejada en Doc. de Seguridad• El correo electrónico, como un soporte
más– Canal potencialmente inseguro– Impacto potencialmente muy elevado
• Recomendación: siempre cifradoDe
ta
ll
es
pa
ra
U
su
ar
ios
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 62
7.a- Gestión de Soportespara ficheros automatizados
Aplicable solo a ficheros automatizadosAplicable a ficheros automatizados y manuales
Nivel AltoNivel MedioNivel Básico“Cripto-Etiquetado”Distribuir soportes cifrando los datos u otro mecanismo que impida el acceso.Cifrado de dispositivos portátiles.Excepciones, al DS
Habrá un registro de entrada y salida de soportes.
Inventario de soportesAcceso restringido.Salida autorizada de soportes, incluso eMail. Medidas en el traslado para impedir pérdidas, …Medidas para impedir la recuperación de datos de soportes desechados o reutilizado.Debe identificarse el tipo de datos que contienen.
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 63
Memorias USB y demás
• Política reflejada en Doc. de Seguridad• Considerar uso restringido de puertos• El robo o extravío es un riesgo siempre
presente– Nunca es información “original” (única)– Uso de encriptación (total o parcial)D
et
al
le
s p
ar
a
Us
ua
rio
s
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 64
Equipos portátiles
• Política reflejada en Doc. de Seguridad• Nunca dejarlo solo:
– Equipaje de mano, y siempre a mano– Hoteles, restaurantes, cibercafés, …– Conferencias, salas de reuniones,
despachos, …• Acceso, siempre con contraseña• Contenido cifrado
De
ta
ll
es
pa
ra
U
su
ar
ios
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 65
Herramientas para cifrado
• Uso profesional:– Lo que establezca tu Organización
• Uso personal– Compresores con contraseña (WinZip)– Cifrado de ficheros (PGP, GPG, AxCrypt)– Cifrado de contenedores (Truecrypt)– Otras
• Cifrado total de discos (SisOp.)
De
ta
ll
es
pa
ra
U
su
ar
ios
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 66
5.b- Control y Registros de Accesos para ficheros manuales
Aplicable solo a ficheros manualesAplicable a ficheros automatizados y manuales
Nivel AltoNivel MedioNivel BásicoEl acceso se limitará al personal autorizado.Habrá mecanismos para identificar los accesos a documentos disponibles para múltiples usuariosProcedimiento en el Documento de Seguridad para registrar los accesos de otras personas
Acceso únicamente a los datos y recursos necesarios para sus funciones.Relación actualizada de usuarios y perfiles y sus accesos autorizados.Mecanismos para evitar el acceso con distintos derechos.Concesión de derechos por personal autorizado.
Me
did
as
de
S
eg
ur
ida
d
Medidas de Seguridad para Usuarios Finales www.avpd.es
AVPD - Agencia Vasca de Protección de Datos 12
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 67
7.b- Gestión de Soportes y Documentospara ficheros manuales
Aplicable solo a ficheros manuales
Nivel AltoNivel MedioNivel BásicoEl acceso a armarios, archivadores, etc. estaráprotegido mediante puertas con cerradura. Cuando no se acceda, permanecerán cerradas.Soluciones alternativas, motivadas en el Documento de SeguridadSiempre que se proceda al traslado físico de documentación, deberán adoptarse medidas para impedir su acceso o manipulación
Se aplicarán criterios de archivo que permitan la conservación, localización y consultaLos dispositivos de almacenamiento tendrán mecanismos que obstaculicen su aperturaCuando la documentación no se encuentre archivada, su depositario deberá custodiarlae impedir accesos no autorizados
Me
did
as
de
S
eg
ur
ida
d
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 68
Buenas prácticas en la gestión de documentos y ficheros
manuales• Política de “escritorio limpio”
Bu
en
as
pr
ác
tic
as
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 69
Buenas prácticas en la gestión de documentos y ficheros
manuales• Destruir siempre antes de tirar
– No importa como…
Bu
en
as
pr
ác
tic
as
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 70
Buenas prácticas en la gestión de documentos y ficheros
manuales• Atención a copiadoras, impresoras, faxes
– No olvidar originales– Recoger listados– Recoger y distribuir faxes
Bu
en
as
pr
ác
tic
as
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 71
Precauciones en el traslado de expedientes, historias clínicas,
…• Entre el archivo central y los
lugares de tratamiento (despachos, consultas o unidades hospitalarias)
• Relaciones de entrega, acuses de recibo, …
• Siempre bajo control y supervisión del ordenanza o celador.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 72
http://www.flickr.com/photos/rosino/3658259716/
Documentación disponible en:
http://www.slideshare.net/paGonzalez/
http://www.avpd.es
http://www.seis.es