La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

LOPD Introducción Juan Luis García Rambla MVP Windows Security

Presentaciones similares


Presentación del tema: "LOPD Introducción Juan Luis García Rambla MVP Windows Security"— Transcripción de la presentación:

1 LOPD Introducción Juan Luis García Rambla MVP Windows Security

2 Agenda Introducción. Introducción. LOPD y el Reglamento. LOPD y el Reglamento. ¿Quién está supeditado a la ley? ¿Quién está supeditado a la ley? Las medidas de seguridad por niveles. Las medidas de seguridad por niveles. Los Datos de Carácter Personal en entornos Windows. Los Datos de Carácter Personal en entornos Windows. Escenarios de aplicación de la ley. Escenarios de aplicación de la ley.

3 Introducción

4 ¿Qué es la LOPD? Son una serie de obligaciones legales a personas físicas y jurídicas con ficheros de carácter personal. Son una serie de obligaciones legales a personas físicas y jurídicas con ficheros de carácter personal. Determina la obligatoriedad de las empresas a garantizar la protección de dichos datos. Determina la obligatoriedad de las empresas a garantizar la protección de dichos datos. Determina además las funcionalidades de control para el cumplimiento de la misma. Determina además las funcionalidades de control para el cumplimiento de la misma.

5 Previo a la entrada en vigor de la LOPD otras normas y reglamentos, definían la necesidad de la protección de datos de carácter personal: Previo a la entrada en vigor de la LOPD otras normas y reglamentos, definían la necesidad de la protección de datos de carácter personal: Constitución Española Constitución Española Art. 18.4: La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar a los ciudadanos y el pleno ejercicio de sus derechos. Art. 18.4: La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar a los ciudadanos y el pleno ejercicio de sus derechos. Art. 20.4: Estas libertades tienen su límite en el respeto a los derechos reconocidos en este Título, en los preceptos de las Leyes que lo desarrollan y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia. Art. 20.4: Estas libertades tienen su límite en el respeto a los derechos reconocidos en este Título, en los preceptos de las Leyes que lo desarrollan y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia. Ley Orgánica 1/82, de 5 de mayo, BOE del 14, sobre derecho al honor, a la intimidad personal y familiar y a la propia imagen. Ley Orgánica 1/82, de 5 de mayo, BOE del 14, sobre derecho al honor, a la intimidad personal y familiar y a la propia imagen. Antecedentes (I)

6 Antecedentes (II) Convenio Nº108 del Consejo de Europa, con fecha 28 de Enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Convenio Nº108 del Consejo de Europa, con fecha 28 de Enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Convenio de Aplicación del acuerdo de Schengen de 14 de Junio de Convenio de Aplicación del acuerdo de Schengen de 14 de Junio de Art ::Cuando una o varias Partes contratantes deseen informatizar el tratamiento de la totalidad o de parte de los datos mencionados en los apartados 2 y 3, la informatización únicamente estará autorizada si las Partes contratantes interesadas hubieran adoptado una legislación aplicable a dicho tratamiento que cumpla los principios del Convenio del Consejo de Europa de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y si hubieran confiado a alguna autoridad nacional adecuada el control independiente del tratamiento y de la explotación de los datos transmitidos de conformidad con el presente Convenio. Art ::Cuando una o varias Partes contratantes deseen informatizar el tratamiento de la totalidad o de parte de los datos mencionados en los apartados 2 y 3, la informatización únicamente estará autorizada si las Partes contratantes interesadas hubieran adoptado una legislación aplicable a dicho tratamiento que cumpla los principios del Convenio del Consejo de Europa de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y si hubieran confiado a alguna autoridad nacional adecuada el control independiente del tratamiento y de la explotación de los datos transmitidos de conformidad con el presente Convenio.

7 Antecedentes (III) Protocolo de Adhesión de 25 de Junio de 1991 por el que el Reino de España se adhiere al Acuerdo tal como quedo enmendado por el Protocolo de Adhesión del Gobierno de la República Italiana firmado en París el 27 de noviembre de 1990, relativo a la aplicación del Acuerdo de Schengen de 14 de junio de Protocolo de Adhesión de 25 de Junio de 1991 por el que el Reino de España se adhiere al Acuerdo tal como quedo enmendado por el Protocolo de Adhesión del Gobierno de la República Italiana firmado en París el 27 de noviembre de 1990, relativo a la aplicación del Acuerdo de Schengen de 14 de junio de Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

8 Antecedentes (IV) LORTAD: Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. Vigente hasta enero de LORTAD: Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. Vigente hasta enero de Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los datos de carácter personal. Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los datos de carácter personal. Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

9 LOPD y el Reglamento

10 LOPD La LEY ORGÁNICA 15/1999, de Protección de Datos de Carácter Personal (LOPD) con fecha del 13 de Diciembre de 1999, marca la entrada en vigor de esta normativa. La LEY ORGÁNICA 15/1999, de Protección de Datos de Carácter Personal (LOPD) con fecha del 13 de Diciembre de 1999, marca la entrada en vigor de esta normativa. REAL DECRETO 195/2000, 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, del 11 de junio de REAL DECRETO 195/2000, 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, del 11 de junio de 1999.

11 Reglamento de Seguridad El reglamento establece una serie de mecanismos y procedimientos para la aplicación de la normativa con respecto a los datos de Carácter Personal. El reglamento establece una serie de mecanismos y procedimientos para la aplicación de la normativa con respecto a los datos de Carácter Personal. Entre otras cuestiones recoge: Entre otras cuestiones recoge: Derechos protegidos. Derechos protegidos. Ámbitos de aplicación. Ámbitos de aplicación. Niveles de seguridad. Niveles de seguridad. Medidas de seguridad aplicables a ficheros automatizados. Medidas de seguridad aplicables a ficheros automatizados. Medidas de seguridad aplicables a ficheros no automatizados. Medidas de seguridad aplicables a ficheros no automatizados. Procedimiento AGPD Procedimiento AGPD

12 El nuevo reglamento de seguridad Hasta este año, el reglamento en vigor existente, databa de fecha 11 de Junio de 1999 y como Real Decreto 994/1999, establecía el desarrollo de las medidas de seguridad aplicables a la LORTAD. Hasta este año, el reglamento en vigor existente, databa de fecha 11 de Junio de 1999 y como Real Decreto 994/1999, establecía el desarrollo de las medidas de seguridad aplicables a la LORTAD. El nuevo reglamento de Seguridad fue aprobado en congreso de Ministros el 21 de Diciembre de 2007, estableciendo la entrada en vigor 3 meses después de la publicación en el BOE. El nuevo reglamento de Seguridad fue aprobado en congreso de Ministros el 21 de Diciembre de 2007, estableciendo la entrada en vigor 3 meses después de la publicación en el BOE. Esta publicación se ha efectuado con fecha de 19 de Enero de 2008, en el BOE 17/2008, con lo que la entrada en vigor será efectiva el 19 de Abril. Esta publicación se ha efectuado con fecha de 19 de Enero de 2008, en el BOE 17/2008, con lo que la entrada en vigor será efectiva el 19 de Abril.

13 Plazos de entrada en vigor (I) Los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del presente real decreto deberán tener implantadas, desde el momento de su creación, la totalidad de las medidas de seguridad reguladas en el mismo. Los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del presente real decreto deberán tener implantadas, desde el momento de su creación, la totalidad de las medidas de seguridad reguladas en el mismo. En el plazo de un año desde la entrada en vigor del presente real decreto deberán notificarse a la Agencia Española de Protección de Datos las modificaciones que resulten necesarias en los códigos tipo inscritos en el Registro General de Protección de Datos para adaptar su contenido a lo dispuesto en el título VII del mismo. En el plazo de un año desde la entrada en vigor del presente real decreto deberán notificarse a la Agencia Española de Protección de Datos las modificaciones que resulten necesarias en los códigos tipo inscritos en el Registro General de Protección de Datos para adaptar su contenido a lo dispuesto en el título VII del mismo.

14 Plazos de entrada en vigor (II) En el plazo de un año desde su entrada en vigor, deberán implantarse las medidas de seguridad de nivel medio exigibles a los siguientes ficheros: En el plazo de un año desde su entrada en vigor, deberán implantarse las medidas de seguridad de nivel medio exigibles a los siguientes ficheros: 1.º Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. 1.º Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. 2.º Aquéllos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. 2.º Aquéllos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. 3.º Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artículo 4.4 del Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio. 3.º Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artículo 4.4 del Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio.

15 Plazos de entrada en vigor (III) En el plazo de un año desde su entrada en vigor deberán implantarse las medidas de seguridad de nivel medio y en el de dieciocho meses desde aquella fecha, las de nivel alto exigibles a los siguientes ficheros: En el plazo de un año desde su entrada en vigor deberán implantarse las medidas de seguridad de nivel medio y en el de dieciocho meses desde aquella fecha, las de nivel alto exigibles a los siguientes ficheros: 1.º Aquéllos que contengan datos derivados de actos de violencia de género. 1.º Aquéllos que contengan datos derivados de actos de violencia de género. 2.º Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización. 2.º Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

16 Plazos de entrada en vigor (IV) Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente real decreto: Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente real decreto: a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor. a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor. b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor. b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor. c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor. c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor.

17 ¿Quién está supeditado a la Ley?

18 La propia definición que en el Artículo 5 del Reglamento, establece que es un Dato de Carácter Personal: La propia definición que en el Artículo 5 del Reglamento, establece que es un Dato de Carácter Personal: f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. ¿Qué es un Dato de Carácter Personal?

19 Aplicación de la LOPD La LOPD será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. La LOPD será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal: Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal: a. Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. a. Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. b. Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público. b. Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público. c. Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. c. Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

20 ¿Qué está eximido de la LOPD? El régimen de protección de los datos de carácter personal que se establece en la Ley Orgánica no será de aplicación: El régimen de protección de los datos de carácter personal que se establece en la Ley Orgánica no será de aplicación: a. A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. a. A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. b. A los ficheros sometidos a la normativa sobre protección de materias clasificadas. b. A los ficheros sometidos a la normativa sobre protección de materias clasificadas. c. A los ficheros establecidos para la investigación del terrorismo y de formas graves dedelincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos. c. A los ficheros establecidos para la investigación del terrorismo y de formas graves dedelincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

21 La medidas de seguridad por niveles

22 Niveles de seguridad La LOPD contempla la aplicación de medidas en función del contenido de los ficheros. La LOPD contempla la aplicación de medidas en función del contenido de los ficheros. La LOPD diferencia 3 niveles de seguridad: La LOPD diferencia 3 niveles de seguridad: Básico. Básico. Medio. Medio. Alto Alto Las diferentes medidas de seguridad vienen definidas por el tipo de datos en el fichero. Las diferentes medidas de seguridad vienen definidas por el tipo de datos en el fichero.

23 Nivel Básico Todos los ficheros o tratamientos automatizados de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. Todos los ficheros o tratamientos automatizados de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

24 Nivel Medio Los relativos a la comisión de infracciones administrativas o penales. Los relativos a la comisión de infracciones administrativas o penales. Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias. Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias. Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias en materia de recaudación. Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias en materia de recaudación. Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

25 Nivel Alto Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Aquéllos que contengan datos derivados de actos de violencia de género. Aquéllos que contengan datos derivados de actos de violencia de género. Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización. Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

26 Medidas de nivel básico Régimen de funciones y obligaciones del personal. Régimen de funciones y obligaciones del personal. Registro de incidencias. Registro de incidencias. Control de acceso. Control de acceso. Gestión de soportes. Gestión de soportes. Identificación y autentificación. Identificación y autentificación. Copias de respaldo y recuperación. Copias de respaldo y recuperación.

27 Medidas de nivel medio Medidas de seguridad de nivel básico Medidas de seguridad de nivel básico Responsable de Seguridad Responsable de Seguridad Auditoría Auditoría Gestión de soportes y documentos Gestión de soportes y documentos Identificación y autenticación Identificación y autenticación Control de acceso físico Control de acceso físico Registro de incidencias Registro de incidencias

28 Medidas de nivel alto Medidas de seguridad de nivel básico y medio Medidas de seguridad de nivel básico y medio Gestión y distribución de soportes Gestión y distribución de soportes Copias de respaldo y restauración Copias de respaldo y restauración Registro de accesos Registro de accesos Telecomunicaciones Telecomunicaciones

29 Los datos de Carácter Personal en Entornos Windows

30 Aplicación en Sistemas Operativos La aplicación de las medidas de seguridad vendrán determinadas por las operaciones presentas en el sistema o servicios involucrados. La aplicación de las medidas de seguridad vendrán determinadas por las operaciones presentas en el sistema o servicios involucrados. Describiremos algunos de los mecanismos de seguridad definidos en el Reglamento de Seguridad y la aplicación en los Sistemas Operativos. Describiremos algunos de los mecanismos de seguridad definidos en el Reglamento de Seguridad y la aplicación en los Sistemas Operativos.

31 Régimen de funciones y obligaciones del personal (Nivel Básico) Artículo 89. Funciones y obligaciones del personal. Artículo 89. Funciones y obligaciones del personal. 2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. 2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. A través de las directivas de Seguridad Local pueden determinarse un texto y un título con objeto de hacerle constar la existencia de una Norma de seguridad y la ruta para poder acceder a ella. A través de las directivas de Seguridad Local pueden determinarse un texto y un título con objeto de hacerle constar la existencia de una Norma de seguridad y la ruta para poder acceder a ella. Configuración de seguridad – Directivas locales – Opciones de seguridad. Configuración de seguridad – Directivas locales – Opciones de seguridad.

32 Artículo 91. Control de acceso. Artículo 91. Control de acceso. 1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. 1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. 2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. 3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. 3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero. 5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. 5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. La aplicación de estos mecanismos pueden establecerse mediante la adopción de Listas de Control de Acceso (ACL) a través del sistema de ficheros NTFS. La aplicación de estos mecanismos pueden establecerse mediante la adopción de Listas de Control de Acceso (ACL) a través del sistema de ficheros NTFS. Para cada objeto el descriptor incluye una lista de control de acceso discrecional (Discretionary Access Control List o DACL) que se crea por la unión de las distintas entradas de control de acceso (Access Control Entries o ACE). Para cada objeto el descriptor incluye una lista de control de acceso discrecional (Discretionary Access Control List o DACL) que se crea por la unión de las distintas entradas de control de acceso (Access Control Entries o ACE). Control de acceso (Nivel Básico)

33 Gestión de soportes y documentos Artículo 92. Gestión de soportes y documentos. Artículo 92. Gestión de soportes y documentos. 3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. 3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Aunque no se exija explícitamente sistemas de cifrado, mecanismos como la aplicación de EFS o el uso de Bitlocker (en sistemas Windows Vista o Windows Server 2008), garantizan la confidencialidad de los datos, en caso de que estos salgan fuera de los locales donde se almacenan habitualmente. Aunque no se exija explícitamente sistemas de cifrado, mecanismos como la aplicación de EFS o el uso de Bitlocker (en sistemas Windows Vista o Windows Server 2008), garantizan la confidencialidad de los datos, en caso de que estos salgan fuera de los locales donde se almacenan habitualmente.

34 Identificación y autenticación (Nivel Básico) Artículo 93. Identificación y autenticación. Artículo 93. Identificación y autenticación. 1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. 1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. 2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible. 4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible. La autenticación viene definida por los mecanismos de validación Local o de Dominio. La autenticación viene definida por los mecanismos de validación Local o de Dominio. Los Hashes de las contraseñas almacenados garantizan la confidencialidad. Los Hashes de las contraseñas almacenados garantizan la confidencialidad. Mediante directivas puede establecerse los mecanismos para los cambios de las contraseñas. Mediante directivas puede establecerse los mecanismos para los cambios de las contraseñas.

35 Identificación y autenticación (Nivel Medio) Artículo 98. Identificación y autenticación. Artículo 98. Identificación y autenticación. El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Mediante directivas pueden adoptarse mecanismos para establecer los bloqueos de cuenta como metodología. Mediante directivas pueden adoptarse mecanismos para establecer los bloqueos de cuenta como metodología.

36 Gestión y distribución de soportes (Nivel Alto) Artículo 101. Gestión y distribución de soportes. Artículo 101. Gestión y distribución de soportes. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Mecanismos como la aplicación de EFS o el uso de Bitlocker (en sistemas Windows Vista o Windows Server 2008), garantizan la confidencialidad de los datos, en caso de que estos salgan fuera de los locales donde se almacenan habitualmente. Mecanismos como la aplicación de EFS o el uso de Bitlocker (en sistemas Windows Vista o Windows Server 2008), garantizan la confidencialidad de los datos, en caso de que estos salgan fuera de los locales donde se almacenan habitualmente.

37 Registro de accesos (Nivel Alto) Artículo 103. Registro de accesos. Artículo 103. Registro de accesos. 1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. 3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos. 3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos. 4. El período mínimo de conservación de los datos registrados será de dos años. 4. El período mínimo de conservación de los datos registrados será de dos años. El registro de incidencias queda establecido a través de las auditorías de seguridad. El registro de incidencias queda establecido a través de las auditorías de seguridad.

38 Auditoría de Ficheros y carpetas (Nivel Alto) Queda definida mediante las directivas de acceso a objetos. Queda definida mediante las directivas de acceso a objetos. La definición se establece mediante SACL para cada objeto correspondiente. La definición se establece mediante SACL para cada objeto correspondiente. Dicho control quedará igualmente determinada para los objetos del Directorio Activo. Dicho control quedará igualmente determinada para los objetos del Directorio Activo.

39 Protección de los registros (Nivel Alto) Una de las necesidades consiste en salvaguardar los registros. Una de las necesidades consiste en salvaguardar los registros. Estos pueden quedar establecidos en el caso de la consolidación de los Logs. Estos pueden quedar establecidos en el caso de la consolidación de los Logs. En el resto de escenarios la protección quedará determinada mediante el fichero correspondiente a los Eventos de seguridad almacenados en la ruta por defecto: En el resto de escenarios la protección quedará determinada mediante el fichero correspondiente a los Eventos de seguridad almacenados en la ruta por defecto: C:\windows\system32\config C:\windows\system32\config La determinación de la cantidad de datos almacenados viene determinado por el tamaño definido por el fichero. La determinación de la cantidad de datos almacenados viene determinado por el tamaño definido por el fichero. En caso de necesidad podríamos evitar continuar almacenando datos que sobrescribieran a otros mediante directivas de opciones de seguridad. En caso de necesidad podríamos evitar continuar almacenando datos que sobrescribieran a otros mediante directivas de opciones de seguridad.

40 Telecomunicaciones (Nivel Alto) Artículo 104. Telecomunicaciones. Artículo 104. Telecomunicaciones. Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Mecanismos de protección como IPSEC, VPN o la adopción de la solución PEAP en redes Wifi pueden garantizar una correcta aplicación de estos mecanismos de seguridad. Mecanismos de protección como IPSEC, VPN o la adopción de la solución PEAP en redes Wifi pueden garantizar una correcta aplicación de estos mecanismos de seguridad.

41 Demo Escenario Legal

42 Contacto Juan Luis García Rambla Juan Luis García Rambla Informática64 Informática64

43 Campaña Hand On Lab

44 Más acciones desde TechNet Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: Para información y registro de Futuros Webcast de éste y otros temas diríjase a: Para información y registro de Futuros Webcast de éste y otros temas diríjase a: Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: Descubra los mejores vídeos para TI gratis y a un solo clic: Descubra los mejores vídeos para TI gratis y a un solo clic: Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en:


Descargar ppt "LOPD Introducción Juan Luis García Rambla MVP Windows Security"

Presentaciones similares


Anuncios Google