La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

LOPD Sistemas Operativos

Presentaciones similares


Presentación del tema: "LOPD Sistemas Operativos"— Transcripción de la presentación:

1 LOPD Sistemas Operativos
HOL-LPD01 LOPD Sistemas Operativos Juan Luis García Rambla MVP Windows Security

2 Agenda Introducción. LOPD y el Reglamento.
¿Quién está supeditado a la ley? Las medidas de seguridad por niveles. Los Datos de Carácter Personal en entornos Windows.

3 Introducción

4 ¿Qué es la LOPD? Son una serie de obligaciones legales a personas físicas y jurídicas con ficheros de carácter personal. Determina la obligatoriedad de las empresas a garantizar la protección de dichos datos. Determina además las funcionalidades de control para el cumplimiento de la misma.

5 LOPD La LEY ORGÁNICA 15/1999, de Protección de Datos de Carácter Personal (LOPD) con fecha del 13 de Diciembre de 1999, marca la entrada en vigor de esta normativa. REAL DECRETO 195/2000, 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, del 11 de junio de 1999.

6 Reglamento de Seguridad
El reglamento establece una serie de mecanismos y procedimientos para la aplicación de la normativa con respecto a los datos de Carácter Personal. Entre otras cuestiones recoge: Derechos protegidos. Ámbitos de aplicación. Niveles de seguridad. Medidas de seguridad aplicables a ficheros automatizados. Medidas de seguridad aplicables a ficheros no automatizados. Procedimiento AGPD

7 El nuevo reglamento de seguridad
Hasta este año, el reglamento en vigor existente, databa de fecha 11 de Junio de 1999 y como Real Decreto 994/1999, establecía el desarrollo de las medidas de seguridad aplicables a la LORTAD. El nuevo reglamento de Seguridad fue aprobado en congreso de Ministros el 21 de Diciembre de 2007, estableciendo la entrada en vigor 3 meses después de la publicación en el BOE. Esta publicación se ha efectuado con fecha de 19 de Enero de 2008, en el BOE 17/2008, con lo que la entrada en vigor será efectiva el 19 de Abril.

8 Plazos de entrada en vigor (I)
Los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del presente real decreto deberán tener implantadas, desde el momento de su creación, la totalidad de las medidas de seguridad reguladas en el mismo. En el plazo de un año desde la entrada en vigor del presente real decreto deberán notificarse a la Agencia Española de Protección de Datos las modificaciones que resulten necesarias en los códigos tipo inscritos en el Registro General de Protección de Datos para adaptar su contenido a lo dispuesto en el título VII del mismo.

9 Plazos de entrada en vigor (II)
En el plazo de un año desde su entrada en vigor, deberán implantarse las medidas de seguridad de nivel medio exigibles a los siguientes ficheros: 1.º Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. 2.º Aquéllos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. 3.º Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artículo 4.4 del Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio.

10 Plazos de entrada en vigor (III)
En el plazo de un año desde su entrada en vigor deberán implantarse las medidas de seguridad de nivel medio y en el de dieciocho meses desde aquella fecha, las de nivel alto exigibles a los siguientes ficheros: 1.º Aquéllos que contengan datos derivados de actos de violencia de género. 2.º Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

11 Plazos de entrada en vigor (IV)
Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente real decreto: a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor. b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor. c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor.

12 ¿Quién está supeditado a la Ley?

13 ¿Qué es un dato de carácter personal?
La propia definición que en el Artículo 5 del Reglamento, establece que es un Dato de Carácter Personal: f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

14 ¿Qué está eximido de la LOPD?
El régimen de protección de los datos de carácter personal que se establece en la Ley Orgánica no será de aplicación: a. A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. b. A los ficheros sometidos a la normativa sobre protección de materias clasificadas. c. A los ficheros establecidos para la investigación del terrorismo y de formas graves dedelincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

15 La medidas de seguridad por niveles

16 Niveles de seguridad La LOPD contempla la aplicación de medidas en función del contenido de los ficheros. La LOPD diferencia 3 niveles de seguridad: Básico. Medio. Alto Las diferentes medidas de seguridad vienen definidas por el tipo de datos en el fichero.

17 Nivel Básico Todos los ficheros o tratamientos automatizados de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

18 Nivel Medio Los relativos a la comisión de infracciones administrativas o penales. Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias. Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias en materia de recaudación. Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

19 Nivel Alto Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Aquéllos que contengan datos derivados de actos de violencia de género. Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

20 Medidas de nivel básico
Régimen de funciones y obligaciones del personal. Registro de incidencias. Control de acceso. Gestión de soportes. Identificación y autentificación. Copias de respaldo y recuperación .

21 Medidas de nivel medio Medidas de seguridad de nivel básico
Responsable de Seguridad Auditoría Gestión de soportes y documentos Identificación y autenticación Control de acceso físico Registro de incidencias

22 Medidas de nivel alto Medidas de seguridad de nivel básico y medio
Gestión y distribución de soportes Copias de respaldo y restauración Registro de accesos Telecomunicaciones

23 Los datos de Carácter Personal en Entornos Windows

24 Aplicación en Sistemas Operativos
La aplicación de las medidas de seguridad vendrán determinadas por las operaciones presentas en el sistema o servicios involucrados. Describiremos algunos de los mecanismos de seguridad definidos en el Reglamento de Seguridad y la aplicación en los Sistemas Operativos.

25 Régimen de funciones y obligaciones del personal (Nivel Básico)
Artículo 89. Funciones y obligaciones del personal. 2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. A través de las directivas de Seguridad Local pueden determinarse un texto y un título con objeto de hacerle constar la existencia de una Norma de seguridad y la ruta para poder acceder a ella. Configuración de seguridad – Directivas locales – Opciones de seguridad.

26 Control de acceso (Nivel Básico)
Artículo 91. Control de acceso. 1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. 3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero. 5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. La aplicación de estos mecanismos pueden establecerse mediante la adopción de Listas de Control de Acceso (ACL) a través del sistema de ficheros NTFS. Para cada objeto el descriptor incluye una lista de control de acceso discrecional (Discretionary Access Control List o DACL) que se crea por la unión de las distintas entradas de control de acceso (Access Control Entries o ACE).

27 Gestión de soportes y documentos
Artículo 92. Gestión de soportes y documentos. 3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Aunque no se exija explícitamente sistemas de cifrado, mecanismos como la aplicación de EFS o el uso de Bitlocker (en sistemas Windows Vista o Windows Server 2008), garantizan la confidencialidad de los datos, en caso de que estos salgan fuera de los locales donde se almacenan habitualmente.

28 Identificación y autenticación (Nivel Básico)
Artículo 93. Identificación y autenticación. 1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. 2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible. La autenticación viene definida por los mecanismos de validación Local o de Dominio. Los Hashes de las contraseñas almacenados garantizan la confidencialidad. Mediante directivas puede establecerse los mecanismos para los cambios de las contraseñas.

29 Identificación y autenticación (Nivel Medio)
Artículo 98. Identificación y autenticación. El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Mediante directivas pueden adoptarse mecanismos para establecer los bloqueos de cuenta como metodología.

30 Gestión y distribución de soportes (Nivel Alto)
Artículo 101. Gestión y distribución de soportes. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Mecanismos como la aplicación de EFS o el uso de Bitlocker (en sistemas Windows Vista o Windows Server 2008), garantizan la confidencialidad de los datos, en caso de que estos salgan fuera de los locales donde se almacenan habitualmente.

31 Registro de accesos (Nivel Alto)
Artículo 103. Registro de accesos. 1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. 3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos. 4. El período mínimo de conservación de los datos registrados será de dos años. El registro de incidencias queda establecido a través de las auditorías de seguridad.

32 Auditoría de Ficheros y carpetas (Nivel Alto)
Queda definida mediante las directivas de acceso a objetos. La definición se establece mediante SACL para cada objeto correspondiente. Dicho control quedará igualmente determinada para los objetos del Directorio Activo.

33 Protección de los registros (Nivel Alto)
Una de las necesidades consiste en salvaguardar los registros. Estos pueden quedar establecidos en el caso de la consolidación de los Logs. En el resto de escenarios la protección quedará determinada mediante el fichero correspondiente a los Eventos de seguridad almacenados en la ruta por defecto: C:\windows\system32\config La determinación de la cantidad de datos almacenados viene determinado por el tamaño definido por el fichero. En caso de necesidad podríamos evitar continuar almacenando datos que sobrescribieran a otros mediante directivas de opciones de seguridad.

34 Telecomunicaciones (Nivel Alto)
Artículo 104. Telecomunicaciones. Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Mecanismos de protección como IPSEC, VPN o la adopción de la solución PEAP en redes Wifi pueden garantizar una correcta aplicación de estos mecanismos de seguridad.

35 Boletín quincenal TechNews

36 Seguros con Forefront

37 Contactos Informática 64 Juan Luis García Rambla
Juan Luis García Rambla


Descargar ppt "LOPD Sistemas Operativos"

Presentaciones similares


Anuncios Google