seguridad informáticaseminarisempresa.fib.upc.edu/anteriors/2008/programes...seguridad...

1 ©2007 Deloitte©2008 Deloitte. Todos los derechos reservados

Barcelona, febrero de 2008

LOPD 15/99 y Nuevo Reglamento

Seguridad Informática.

Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero.

22 ©2007 Deloitte

©2008 Deloitte. Todos los derechos reservados

Contenido• Introducción• Legislación aplicable• Ficheros de datos personales

• Nivel básico• Nivel medio• Nivel alto

• Excepciones• Reglamento de Medidas de Seguridad• Medidas de Seguridad Generales• Medidas de Seguridad aplicables a los ficheros y tratamientos automatizados• Medidas de Seguridad aplicables a los ficheros y tratamientos NO automatizados

• Otros aspectos relevantes• AEPD (Agencia Española de Protección de Datos)• Sanciones• Plazos Implantación Nuevo Reglamento

• Ruegos y preguntas


Introducción

El principal objetivo de esta presentación, es expo ner de una manera resumida la Ley de Protección de Datos Personales (LOPD).

Hasta el momento, Deloitte ha realizado más de 400 proyectos de LOPD.

Este tipo de proyectos se realizan con la colaborac ión de nuestro departamento Legal, cubriendo todos los aspectos legales, así com o, técnicos y organizativos.

La Unidad de Enterprise Risk Services de Deloitte pa rticipó en la formación a los inspectores de la Agencia de Protección de Datos en los conceptos de Seguridad Informática y Auditoría de Seguridad Informática en diferentes entornos tecnológicos.

Nuestros expertos están en constante actualización para mantenernos al día y permitir dar el mejor servicio a nuestros clientes.


Legislación aplicableLOPD (Ley Orgánica de Protección de Datos)

La LOPD tiene como objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y famil iar.

Reglamento de Medidas de Seguridad

El Reglamento, aprobado por el Real Decreto 994/199 9 de 11 de junio, tiene por objeto el desarrollo de lo dispuesto en la LOPD respecto a las medidas de s eguridad a aplicar sobre los ficheros en soporte automatizado que contienen datos de carácter person al.

El 21 de diciembre de 2007 se aprueba por el Real D ecreto 1720/2007 el Nuevo Reglamento de Medidas de Seguridad a aplicar tanto a ficheros automatizad os como no automatizados que contienen datos de carácter personal.

¿Qué es un DATO PERSONAL?

Se entiende por “datos de carácter personal” cualqui er información concerniente a personas físicas, identificadas o identificables:

• Nombre, apellidos, DNI, Dirección, datos bancarios, fotografías, etc.

• Entre los datos de carácter personal hay unos especialmente sensibles que tiene mayoresrestricciones: Ideología, religión o creencias, raza, salud, vida sexual, afiliación sindical,...


ORIGEN

TITULARIDAD PÚBLICA TITULARIDAD PRIVADA

• Se crean a través de una disposición oficial publicada en el BOE.

• No es necesario el consentimiento del afectado para la cesión de datos entre administraciones públicas.

• La cesión de datos personales sólo es posible cuando la misma se encuentra prevista dentro de las disposiciones de creación del fichero.

• Pueden crearse cuando sean necesarios para el logro de la actividad legítima de la empresa.

• Deben ser notificados y registrados ante la Agencia de Protección de Datos.

• La cesión de datos debe ser comunicada a los afectados.

Ficheros de datos personales

66 ©2007 Deloitte

©2008 Deloitte. Todos los derechos reservados

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles diferentes, dependiendo de la naturaleza de la información tratada y del grado de necesidad de garantizar la confidencialidad e in tegridad de la información.

Todos los ficheros que contengan datos de carácter personal deben cumplir las medidas de nivel básico

Nivel Básico

Nivel básico


Nivel medioLas medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles diferentes, dependiendo de la naturaleza de la información tratada y del grado de necesidad de garantizar la confidencialidad e in tegridad de la información.

Nivel BásicoNivel Medio

Se consideran de nivel medio aquellos ficheros que contengan datos relativos a:

Comisión de infracciones administrativas o penales.Servicios financierosHacienda públicaEntidades Gestoras y Servicios Comunes de la Seguridad Social.Datos que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permita evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.


Nivel altoLas medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles diferentes, dependiendo de la naturaleza de la información tratada y del grado de necesidad de garantizar la confidencialidad e in tegridad de la información

Nivel Básico

Nivel Medio

Los ficheros considerados de nivel alto son aquellos que contienen datos relativos a:

IdeologíaAfiliación sindicalReligiónCreenciasOrigen RacialSaludVida sexualDatos recabados para fines policiales sin consentimiento de las personas afectadas

Datos derivados de actos de violencia de género. (N.R.)Datos de los que sean responsables los operadores que presten servicios de comunicaciones electrónica. (N.R.)

Nivel Alto


En el nuevo reglamento, se definen una serie de exc epciones por las cuales datos considerados de nivel alto se tratarán como d e nivel básico:

• Los ficheros o tratamientos que contengan datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando:

– Su finalidad sea realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

– Ficheros no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

• Los ficheros o tratamientos que contengan datos relativos a la salud, cuando sean referentes exclusivamente al grado de discapacidad o a la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Excepciones


El reglamento se estructura en una serie de disposiciones generales que se han de cumplir independientemente de la clasificación de los datos para luego pasar a describir las medidas específicas de cada uno de los niveles de clasificación.

Las medidas recogidas en el reglamento son de tipo técnico y organizativo, aunque algunas de ellas requieren la combinación de ambas, por ejemplo:

• Medidas técnicas

– Limitación del número de intentos de acceso no autorizados al sistema.

– La transmisión de datos personales a través de redes de Telecomunicaciones debe realizarse de forma cifrada.

• Medidas Organizativas

– Existencia de la figura del responsable de seguridad.

– Almacenamiento de los backups y los procedimientos de recuperación en un lugar diferente al edificio donde se encuentran los equipos informáticos.

• Medidas conjuntas

– Identificación inequívoca y personalizada de todos los usuarios que intenten acceder al sistema.

Reglamento de Medidas de Seguridad


Medidas de Seguridad Generales


Artículo 5. Acceso a datos a través de redes de com unicaciones

Los accesos a los datos de carácter personal a través de redes de comunicaciones deberán reunir las mismas medidas de seguridad exigibles localmente.

Red interna

Conexionespunto a punto

ConexionesFrame Relay

ConexionesRDSI

ConexionesRTC

Entrada VPN

Acceso apáginas WEB

Internet


Artículo 6. Régimen de trabajo fuera de los locales de ubicación del fichero

Puntualmente pueden ser necesarios tratamientos de datos de carácter personal fuera de los locales donde habitualmente se encuentran los equipos que los almacenan, que deberán ser autorizados expresamente por el responsable del fichero. Así mismo, dichos tratamientos deberán garantizar el nivel de seguridad correspondiente.

Este tipo de tratamientos puede ser llevado a cabo por:

• Personal de la propia empresa en delegaciones, con equipos portátiles, etc., que requieran los datos para elaborar informes, tratamiento previo, ...

• Empresas externas que necesiten los datos para prestar algún tipo de servicio (mailing, estudios de audiencia, gestión de pagos, empresas de seguridad, etc.). Estos casos deberán realizarse en virtud de una relación contractual en la que se indique claramente la finalidad del tratamiento y las condiciones de seguridad a aplicar sobre los datos.


Artículo 7. Ficheros temporales

Todo fichero temporal que sea generado manual o automáticamente y que contenga datos de carácter personal, debe de cumplir las medidas de seguridad correspondientes mientras se esté utilizando.

Repositorio central

FIC

HE

RO

S T

EM

PO

RA

LES

C

RE

AD

OS

AU

TO

MÁ

TIC

AM

EN

TE

FIC

HE

RO

S T

EM

PO

RA

LES

C

RE

AD

OS

MA

NU

ALM

EN

TE

Aplicaciones

Sistemas

Informes

Envíos a Hacienda, Bancos, etc.

Tratamientos previos

• Se deberá asegurar el borrado de dichos ficheros una vez que ya no resulten necesarios.


Artículo 81. Aplicación de los niveles de seguridad (NR)

Nivel Alto:

• Añadido:

– Datos derivados de actos de violencia de género

– Datos de los que sean responsables los operadores que presten servicios de comunicaciones

electrónica

• Además, se definen una serie de excepciones por las cuales se tratarán como de nivel

básico los siguientes ficheros o tratamientos:

– Los que contengan datos relativos a ideología, afiliación sindical, religión, creencias, origen racial,

salud o vida sexual cuando:

• Su finalidad sea realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o

miembros.

• Se trate de ficheros no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin

guardar relación con su finalidad.

– Aquéllos que contengan datos relativos a la salud cuando sean referentes exclusivamente al grado

de discapacidad o a la simple declaración de la condición de discapacidad o invalidez del afectado,

con motivo del cumplimiento de deberes públicos.


Artículo 82. Encargado de tratamiento (NR)

Se define la regulación y el detalle del papel del Encargado de Tratamiento (ET).

Se diferencian 3 tipos de ET:

• (1) El ET que trata los datos desde los locales del Responsable de Fichero (p. e. contratación de

personal externo para trabajar junto a personal interno)

• (2) El ET que trata los datos de forma remota, pero sin almacenar en sus locales (p. e. call-

centers con acceso remoto a las aplicaciones corporativas)

• (3) El ET que trata y almacena los datos en sus locales (p. e. gestoría, outsourcing de las copias

de seguridad, etc.)

En todos los casos se debe recoger la situación en el documento de seguridad.

En el caso 3, el ET debe recoger en su documento de seguridad el fichero y el tratamiento

realizados, así como el responsable del mismo, incor porando las medidas de seguridad a

implantar.

En todo caso, el ET está sometido a las medidas de s eguridad contempladas en el

Reglamento.


Artículo 83. Prestaciones de servicios sin acceso a DCP (NR)

El Nuevo Reglamento define una nueva figura: el pro veedor que presta servicios sin

tener acceso a datos de carácter personal (p. e. pe rsonal de limpieza).

Las medidas a aplicar sobre esta figura son:

• El responsable de fichero debe adoptar las medidas para limitar el acceso del personal a

datos personales, soportes o recursos del sistema de información que los contengan, para

la realización de trabajos que no impliquen tratamiento de datos.

• Si se trata de personal ajeno, el contrato recogerá la prohibición de acceso a los datos, así

como la obligación de secreto.


Artículo 84. Delegación de autorizaciones (NR)

Debe constar en el Documento de Seguridad:

• Personal autorizado para delegar autorizaciones

• Personal sobre el que se delegan autorizaciones

La delegación de una autorización no implica, en ni ngún caso, la delegación de la responsabilidad.


Medidas de Seguridad aplicables alos ficheros y tratamientos automatizados


MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

Las medidas incluidas en el Reglamento de Seguridad para el nivel básico son:

• Documento de Seguridad :Debe de existir un documento donde se documenten los tratamientos de datos que hacen de los datos de carácter personal.

• Funciones y obligaciones del personal : Se deben definir las funciones de control o autorizaciones delegadas por el responsable de fichero o tratamiento.

• Control de acceso :

– Los usuarios deben tener acceso únicamente a los datos que necesitan para el desempeño de sus funciones.

– El responsable del fichero debe asegurarse de que exista una relación actualizada de usuarios y perfiles de usuarios (NR).

– Los mecanismos deben evitar el acceso a datos no autorizados.

– El personal ajeno al responsable del fichero que tenga acceso a los recursos deberáestar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. (N.R.)

– Únicamente el personal autorizado puede conceder y modificar los derechos de acceso.



• Gestión de soportes y documentos :

Deberá permitir identificar, inventariar y tener accesibilidad a los soportes por el personal autorizado, exceptuando cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia de ello en el Documento de Seguridad.

– La salida de correos electrónicos y sus anexos fuera de los locales también deberá ser autorizada por el responsable del fichero. (N.R.)

– Mecanismos para evitar la sustracción, perdida o acceso indebido durante el transporte. (Movido Nivel Medio)

– Destrucción o borrado de documentos o soportes que vayan a ser desechados. (Movido Nivel Medio)

– Etiquetado comprensible para identificar su contenido a los usuarios que tengan acceso a soportes con datos sensibles y que dificulten la identificación para el resto de las personas. (N.R.)



• Registro de incidencias :Deberá constar: el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas (NR).

• Copias de respaldo y recuperación :

– Deberán realizarse copias de respaldo, como mínimo, semanalmente.

– Verificar copias y procedimientos de recuperación cada 6 meses. (N.R.)

– En caso de pérdida de ficheros parcialmente automatizados, se permitirá grabar manualmente los datos, reflejándolo en el documento de seguridad. (N.R.)

– No se pueden realizar pruebas de desarrollo con datos reales . (Antes nivel medio)

• Identificación y autenticación inequívoca y personalizada de todos los usuarios que intenten acceder al sistema. (Antes nivel medio)

– Se podrán utilizar mecanismos basados en certificados digitales. (N.R.)

– Periodicidad cambio contraseña no superior a un año. (N.R.)


MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

Para los ficheros clasificados como de nivel medio se deben respetar todas las medidas de nivel básico y además:

• Responsable de seguridad :

Deberá de existir está figura que será especificada en el Documento de Seguridad.

• Auditoría :

– Realización de Auditorías cada 2 años y los informes deben estar a disposición de la AEPD y de las autoridades de control de las Comunidades Autónomas.

– Debe realizarse extraordinariamente tras modificaciones que puedan repercutir en el cumplimiento de las medidas de seguridad, iniciando el cómputo de dos años.

• Control de acceso físico :

Deberá establecerse un control de acceso a los locales dónde están ubicados todos los sistemas de información (no sólo los que contengan datos de carácter personal, (NR) ).



Debe registrarse la información del tipo fecha, origen, información, destinatario, …, en la entrada y salida de soportes con datos de nivel medio .

• Registro de incidencias :

Deberán incluirse los procedimientos de recuperación. Será necesaria la autorización del responsable del fichero para la ejecución de dichos procedimiento. La autorización no debe ser obligatoriamente por escrito (N.R.).



MEDIDAS DE SEGURIDAD DE NIVEL ALTO

Para los ficheros clasificados como de nivel alto,a demás de las medidas de seguridad de Nivel Básico y Medio, deben cumplirse las medidas citadas a continuación:


– Los datos de nivel alto contenidos en soportes a ser distribuidos, deberán ser cifrados o bien se deberá emplear cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

– Etiquetado de los soportes para que las personas autorizadas identifiquen su contenido de forma comprensible y que se dificulte para el resto de personas.

• Registro de accesos :

Se deberá registrar: usuario, fecha, hora, fichero accedido, tipo de acceso y si ha sido autorizado o denegado.

– Revisión de los registros de acceso mensualmente. (N.R.)

– Los datos registrados se deben conservar como mínimo 2 años

– El responsable de seguridad deberá tener control directo de los mecanismos de registro, revisar los registros periódicamente y elaborar un informe de problemas detectados en las revisiones.



• Copias de seguridad y recuperación :

Deberán almacenarse en un lugar diferente al lugar donde se encuentran los equipos informáticos

• Telecomunicaciones:

La transmisión de datos personales a través de redes públicas o inalámbricas de Telecomunicaciones debe realizarse de forma cifrada.


Medidas de Seguridad aplicables alos ficheros y tratamientos NO automatizados



Las medidas incluidas en el Reglamento de Seguridad para el nivel básico para ficheros no automatizados son:

Son aplicables las medidas dispuestas para los ficheros de nivel básico de los ficheros automatizado:

• Funciones y obligaciones del personal

• Registro de incidencias

• Control de acceso

• Gestión de soportes

Adicionalmente, dispone de medidas de nivel básico especificas:

•Criterios de archivo (art. 106):

– Se debe garantizar la correcta conservación, localización y consulta de la información, posibilitando el ejercicio de los derechos de acceso, rectificación, modificación y oposición de acuerdo con la legislación aplicable.

– En caso de no existir una norma aplicable, el responsable del fichero deberáestablecer los criterios y procedimientos de actuación.



Las medidas incluidas en el Reglamento de Seguridad para el nivel básico para ficheros no automatizados son:

•Dispositivos de almacenamiento (Art.107):

– Deben disponer de mecanismos que obstaculicen su apertura, o se deberán aplicar medidas en caso de que sus características físicas no lo permitan.

•Custodia de los soportes (Art. 108):

– Mientras la documentación no se encuentre archivada en los dispositivos de almacenamiento, la persona que se encuentre a su cargo debe custodiarla e impedir que pueda ser accedida por personas no autorizadas.

•Tratamiento de archivos (Art. 68):

– Deberán establecer unos procedimientos que estarán dirigidos a garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de acceso, oposición , rectificación y cancelación.



Para los ficheros clasificados como de nivel medio se deben respetar todas las medidas de nivel básico y además:

• Responsable de Seguridad (Art. 95):

– Se designará uno o varios responsables de seguridad, tal y como se especificaba para los ficheros automatizados.

• Auditoría (Art. 110):

– Se debe realizar una auditoría, interna o externa, al menos cada dos años.



Para los ficheros clasificados como de nivel alto, además de las medidas de seguridad de Nivel Básico y Medio, deben cumplirse las medidas citadas a continuación:

• Almacenamiento de la información (Art.111):

– Los dispositivos de almacenamiento deben encontrarse en salas de acceso restringido mediante puertas con llave o equivalente. Dichas áreas deben permanecer cerradas si no es preciso acceder a los documentos.

– En caso de que esto no se pudiera cumplir, el responsable del fichero debe adoptar medidas alternativas adecuadamente recogidas en el documento de seguridad.

• Copia o reproducción (Art.112):

– La generación de copias sólo se puede hacer bajo el control del personal autorizado en el documento de seguridad.

– Se deben destruir las copias desechadas, evitando su recuperación o acceso posterior.



• Acceso a la documentación (Art. 113):

– El acceso a la documentación se limitará exclusivamente al personal autorizado.

– Establecer mecanismos que permitan identificar los acceso realizados para documentos con múltiples usuarios.

– El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado en el documento de seguridad.

• Traslado de documentación (Art.114):

– Al realizar el traslado físico de la documentación deben adoptarse medidas que impidan el acceso o manipulación de la información.


Otros aspectos relevantes


AEPD (Agencia Española de Protección de Datos)

Función de la AEPD :

• Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

• Dispone de potestad sancionadora:

– Las sanciones van de 600 euros (100.000 pts) hasta los 600.000 euros (100MM pts) en función de la gravedad de la infracción.


Algunas Sanciones

• Sanción de 60.101 € (10 MM pts) por envío de un correo electrónico publicitario a un particular, cuando éste había manifestado que no quería recibir publicidad.

• Procedimiento sancionador en curso contra diversas entidades financieras por un posible mal uso de datos confidenciales de sus clientes con multas de hasta 601.012 € (100 MM pts), tras recibir la denuncia de haber encontrado datos de clientes en contenedores de basura próximos a algunas oficinas de estas Entidades.

• Sanción de 60.101 € (10 MM pts) por facilitar el número de teléfono de un cliente a un comercio que lo solicita para resolver un error producido en el pago con tarjeta a favor del cliente.

• Sanción de 60.101 € (10 MM pts) por facilitar el saldo de una cuenta a una persona sin ser titular (hermano).


Plazos Implantación Nuevo Reglamento

• Las medidas de seguridad deberán implantarse en los siguientes plazos, una vez entrado en vigor el nuevo reglamento (19 de abril de 2008).

� Ficheros automatizados:� Nivel básico: 1 año

� Nivel medio: 1 año

� Nivel alto: 18 meses

� Ficheros no automatizados:� Nivel básico: 1 año

� Nivel medio: 18 meses

� Nivel alto: 2 años

• Los ficheros, tanto automatizados como no automatizados, creados después de la fecha de aprobación del Reglamento, deberán tener implantadas la totalidad de las medidas de seguridad desde el momento de su creación.


¿DUDAS?


Deloitte Touche Tohmatsu es una organización de firmas independientes, dedicadas a la prestación de servicios y asesoramiento profesional de máxima calidad, y que se centran en el servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 países. Con acceso a un enorme capital intelectual de casi 150.000 personas en todo el mundo, Deloitte presta servicios en cuatro áreas profesionales (auditoría, asesoramiento tributario, consultoría y asesoramiento financiero) a más del 80% de las empresas más importantes del mundo, así como a grandes empresas públicas, aunque por diversos motivos, entre los que se hallan las regulaciones específicas de cada país, no todas las Firmas miembro de Deloitte prestan toda la gama de servicios.

Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu (Swiss Verein), sus firmas miembro y respectivas filiales y asociadas. Al tratarse de un Verein suizo (asociación), ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro es responsable de los actos u omisiones de las otras. Cada firma miembro es una entidad independiente con personalidad jurídica propia que opera bajo los nombres de “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, u otros nombres asociados. Los servicios son prestados a través de las firmas miembro y sus respectivas filiales y asociadas y no por Deloitte Touche Tohmatsu (Swiss Verein).

Copyright © 2008 Deloitte. Todos los derechos reservados. A member firm ofDeloitte Touche Tohmatsu

seguridad informáticaseminarisempresa.fib.upc.edu/anteriors/2008/programes...seguridad...

Documents