Auditoría Informática

Slides:

Advertisements

Presentaciones similares

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.

Advertisements

LEY DE PROTECCIÓN DE DATOS

EL MÉDICO Y SUS OBLIGACIONES ANTE LA NORMATIVA DE PROTECCIÓN DE DATOS

LA PROTECCIÓN DE DATOS PERSONALES EN LA ADMINISTRACIÓN PÚBLICA

Plan de Seguridad del Operador

Gastón L. Bercún. Privacidad Ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado.

Microsoft y la Adaptación a la LOPD

Reglamento/Estatuto de la Estadística Andina Secretaría General de la Comunidad Andina.

El Reglamento de Protección de datos: Responsabilidades

PROTECCION DE DATOS DE CARÁCTER PERSONAL

VIII Foro sobre Protección de Datos de Salud

ADAPTACIÓN A LA LEY ORGANICA DE PROTECCIÓN DE DATOS

Salvador Huelin Martínez de Velasco 1 TEMA 5 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.

Presentación Nivel básico: Adaptación a la Legislación sobre Protección de Datos de Carácter Personal SAE Consultores Padre Claret, 2. Madrid

Salvador Huelin Martínez de Velasco

Convenio para realizar la

Información sobre la adaptación a la Ley Orgánica 15/1999 del 13 de Diciembre de Protección de datos de Carácter Personal a todos los asociados a la Asociación.

PRIVACIDAD EN INTERNET

PRIVACIDAD EN INTERNET. Cuando se habla de Privacidad se hace referencia al ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión.

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.

La Ley Orgánica de Protección de Datos de Carácter Personal

Título de la presentación Comentarios y consecuencias Real Decreto 1720/2007 Reglamento que desarrolla la Ley Orgánica 15/1999 de protección de datos de.

"Ley Orgánica de Protección de Datos de Carácter Personal "

PROTECCIÓN DE DATOS EN LA MEDIACIÓN

JORNADA INFORMATIVA REA 1 Valladolid, EL REGISTRO DE EMPRESAS ACREDITADAS: ANÁLISIS Y CONTENIDO Luis Valerio Benito Secretario General Cámara.

PROTECCIÓN DE DATOS PERSONALES: APROXIMACIÓN AL DERECHO EN EL ÁMBITO UNIVERSITARIO Y PROBLEMAS ACTUALES Mónica Arenas Ramiro Profesora Ayudante Doctora.

PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.

HISTORIA CLÍNICA RESOLUCIÓN 1995/99 MIN. PROTECCIÓN SOCIAL

AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.

FORMACION Protección de datos de carácter personal (LOPD) 07/08

LOPD Sistemas Operativos

Marco Legal de las Estadísticas Europeas

Director responsable del área de protección de datos de Asesunion

Regulación Básica: Artículo 18.4 Constitución Española (Derecho Fundamental) Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter.

Guía rápida de la Protección de Datos Personales en España

GUÍA de Protección de Datos para Responsables de Ficheros

Protección de datos, una materia pendiente.

Utilización de las técnicas informáticas en el ámbito de la Administración Ley 30/1992, de 26 de noviembre, de RJAP y PAC, en su parte expositiva y en.

Salvador Huelin Martínez de Velasco 1 TEMA 6 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.

LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE MEDIDAS DE SEGURIDAD Salvador Huelin Martínez de Velasco 1.

Seguridad pública y procedimiento penal..  La seguridad pública es una función a cargo de la Federación, el Distrito Federal, los Estados y los Municipios,

Ley Orgánica de Protección de Datos

LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE MEDIDAS DE SEGURIDAD Salvador Huelin Martínez de Velasco 1.

LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

1 Propuesta De Prestación De Servicios Para: Propuesta De Prestación De Servicios Para: en colaboración con.

Protección de datos de carácter personal

Es toda aquella información que pueda vincularse a una persona física 100 PUNTO S.

LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE MEDIDAS DE SEGURIDAD Salvador Huelin Martínez de Velasco 1.

“Ley Orgánica de Protección de Datos”

Sesión de Videoformación para aplicar las medidas de Seguridad en materia de Protección de Datos Personales Servicio Integral de Protección de Datos del.

El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.

Servicios públicos de transmisión de datos Artículos 50,51,52 Airam Jardo Suárez Pedro Claver Viola Conteras.

La protección de datos en el sector salud en México Lina Ornelas Núñez Directora General de Clasificación y Datos Personales IFAI 14 de noviembre de 2008.

Salvador Huelin Martínez de Velasco 1 TEMA 7 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.

Medidas de seguridad. Javier Rodríguez Granados. Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio,

Salvador Huelin Martínez de Velasco 1 TEMA 8 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.

Significa tomar todas las medidas necesarias (seguridad, capacitación, etc.), a fin de proteger la información de datos personales de quienes tengan con.

PR4203 REGISTROS DE LA CALIDAD Sevilla OBJETO Definir el procedimiento para gestionar los registros del sistema de la calidad ÁMBITO DE APLICACIÓN.

NORMA INTERNACIONAL DE AUDITORÍA 210 ACUERDO DE LOS TÉRMINOS DE LOS TRABAJOS DE AUDITORÍA EXPOSITOR L.C. EDUARDO M. ENRÍQUEZ G. 1.

SECRETARÍA GENERAL COORDINACIÓN DE TRANSPARENCIA Y ARCHIVO GENERAL Primera Jornada de Transparencia y Protección de Datos Personales UdeG 2015.

Solicitudes de Acceso, rectificación o cancelación de datos personales

Ley 1581 de ¿Qué se ha de entender por protección de datos personales? 1. Junto con el Habeas data, hace parte de los derechos del consumidor. 2.

Aspectos generales de la LOPD / ASESORÍA FINANCIERA

PLAN DE CONTINGENCIA Y EMERGENCIA

1. OBLIGACIONES DE LAS ENTIDADES PÚBLICAS DEL ESTADO DE NAYARIT. 2 Instituto de Transparencia y Acceso a la Información Pública del Estado de Nayarit.

El Derecho Fundamental a la Protección de los Datos Personales Enero de 2010.

IMPLICACIONES RELATIVAS A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL MESONERO ROMANOS ABOGADOS.

EXPERIENCIA DEL DPTJI DEL GOBIERNO DE ARAGÓN EN LA ASESORÍA EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La Protección de Datos de Carácter Personal.

Novedades del Reglamento de desarrollo de la LOPD Seguridad en tratamientos en soporte no automatizado III Jornada Protección de Datos en la Educación.

El derecho fundamental a la educación y la actividad prestacional de los centros educativos públicos en el Estado social. Artículo 27 CE:

Transcripción de la presentación:

Auditoría Informática Reglamento de Medidas de Seguridad Salir Continuar

Índice Introducción Niveles de Seguridad Documento de Seguridad El Responsable de Seguridad Sanciones Salir

Introducción Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir: Los ficheros automatizados Los centros de tratamientos locales Equipos Sistemas Programas Personas que intervienen en el proceso

Introducción Antecedentes Internacionales: La Declaración Universal de los Derechos Humanos adoptada y proclamada por la ONU el 10 de diciembre de 1948. El Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales de 4 de noviembre de 1950. La Resolución 721/80. Informática y protección de los derechos del hombre. La Recomendación 890/80. Protección de datos de carácter personal.

Introducción Antecedentes en España: En la Constitución Española: Artículo 18. Derecho al honor, a la intimidad y a la propia imagen Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Introducción Principios reguladores de la protección de datos: Solo podrán recogerse aquellos datos de carácter personal que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Dichos datos no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. Los datos deben ser exactos y el responsable del fichero deberá actualizarlos de oficio en caso de ser inexactos. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

Introducción Derechos de los particulares: Derecho a la información: consentimiento del afectado. Derecho de acceso: Derecho a obtener información de los datos de carácter personal sometido a tratamiento. Derecho de rectificación. Derecho de cancelación. Deber de secreto.

Índice Introducción  Niveles de Seguridad Documento de Seguridad El Responsable de Seguridad Sanciones Salir

Niveles de Seguridad Los niveles de seguridad son los siguientes: Nivel Básico Nivel Medio Nivel Alto

Niveles de Seguridad Existen Medidas de Seguridad a tomar según la clasificación de nivel de seguridad anterior: Medidas de Seguridad de nivel básico: Sistema de Registro de incidencias. Relación actualizada usuarios/recursos autorizados (art. 11.1 y art. 12.3 RMS). Existencia de mecanismos de identificación y autenticación de los accesos autorizados (art. 11 RMS).

Niveles de Seguridad Restricción solo a los datos necesarios para cumplir cada función (art. 12 RMS). Gestión de soportes informáticos con datos de carácter personal (art. 12.1 RMS). Inventariados. Con acceso restringido. Copias de seguridad semanalmente.

Niveles de Seguridad Medidas de seguridad de nivel medio, además de lo estipulado para el nivel bajo: Designación de uno o varios responsables de seguridad (art. 16 RMS). Auditoría al menos una vez cada dos años. Mecanismos para identificación inequívoca y personalizada de los usuarios (art. 18 RMS). Limitación de los intentos de acceso no autorizados (art. 18.2 RMS). Medidas de control de acceso físico a los locales (art. 19 RMS).

Niveles de Seguridad Establecimiento de un registro de entradas y salidas de soportes informáticos (art. 20 y 21 RMS). Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual (art. 20.3 y 4 RMS). Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS).

Niveles de Seguridad Medidas de seguridad de nivel alto, además de lo indicado para el nivel medio: Los soportes para distribución deberán tener la información cifrada (art. 23 RMS). Registro de accesos autorizados y denegados (art. 24 RMS). Guardar estos registros durante 2 años. Copias de seguridad guardadas en sitios diferentes (art. 25 RMS). Transmisiones cifradas (art. 26 RMS).

Niveles de Seguridad Otras medidas de seguridad exigibles a todos los ficheros: Los accesos por red están sujetos a las mismas medidas de seguridad exigibles del nivel de seguridad en modo local (art. 5 RMS). El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero. Los ficheros temporales se borrarán una vez usados, también se les aplicará el nivel de seguridad pertinente. El responsable del fichero elaborará el documento de seguridad (art. 8.1 RMS). Las pruebas con datos reales seguirán las medidas de seguridad pertinentes (art. 22 RMS).

Índice Introducción  Niveles de Seguridad  Documento de Seguridad El Responsable de Seguridad Sanciones Salir

Documento de Seguridad Introducción: En el Reglamento no se indica la forma sino el contenido. Está destinado al personal con acceso a los datos automatizados. Redactado por el responsable del fichero. Es un documento dinámico.

Documento de Seguridad Contenido del documento: Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento. Funciones y obligaciones del personal. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. Procedimiento de notificación, gestión y respuesta ante las incidencias.

Documento de Seguridad Contenido del documento: Procedimientos de realización de copias de seguridad y recuperación de datos. Identificación del personal autorizado para conceder, alterar o anular el acceso a los datos (art. 12.4 RMS). Identificación del responsable o responsables de seguridad (art. 15 RMS). Procedimiento de eliminación de datos cuando un soporte vaya a ser desechado o reutilizado (art. 15 RMS). Identificación del personal con acceso a los locales donde se encuentran los sistemas de información (art. 19 RMS).

Documento de Seguridad Medidas de índole técnica y organizativa: Las medidas de seguridad deben responder según el art. 17 de la Directiva 95/46/CE A los conocimientos técnicos existentes Al coste de su aplicación A los riesgos que presente el tratamiento de los datos A la naturaleza de estos En la transposición de la Directiva de la LOPD se omite la referencia al coste de la adopción.

Documento de Seguridad Medidas de índole técnica y organizativa: Medidas técnicas Medidas organizativas Garantía de que los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local (art. 5) La ejecución del tratamiento de datos de carácter personal fuera de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero, y en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado (art. 6) Los ficheros temporales deberán cumplir el nivel de seguridad que le corresponda con arreglo a los criterios establecidos en el RMS (art. 7) Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación (art. 7)

Documento de Seguridad Medidas de índole técnica y organizativa: Medidas técnicas Medidas organizativas Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma inteligible (encriptadas) (art. 11 y 18 NM) El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieren derivado de la misma (art. 10). En el registro de incidencias se consignarán los procedimientos de recuperación de datos (art. 21 NM)

Documento de Seguridad Medidas de índole técnica y organizativa: Medidas técnicas Medidas organizativas Gestión de soportes: identificación de la información que contienen. La salida de soportes informáticos fuera del lugar del tratamiento requerirá autorización del responsable del fichero (art. 13) Registro de entrada-salida de soportes (art. 20 NM). Borrado de datos en los soportes desechados o reutilizados (art. 20 NM). Medidas para evitar la recuperación indebida de los datos contenidos en soportes fuera de los locales de tratamiento (art. 20 NM)

Documento de Seguridad Medidas de índole técnica y organizativa: Medidas técnicas Medidas organizativas Establecimiento del procedimiento de copias de seguridad (art. 14) Identificación del responsable de seguridad y calendario de auditorías en el documento de seguridad (art. 15 NM) Responsable de seguridad (art. 16 NM) Auditorías (art. 17 NM) Control de acceso físico (art. 19 NM)

Documento de Seguridad Medidas de índole técnica y organizativa: Funciones y obligaciones del personal: Funciones de los usuarios: root Administrador Usuarios . . . Procedimiento de acceso.

Índice Introducción  Niveles de Seguridad  Documento de Seguridad  El Responsable de Seguridad Sanciones Salir

El Responsable de Seguridad Nivel Medio y Alto: Coordinar y controlar las medidas definidas en el documento de seguridad: Analizar los informes de auditoría Control de los mecanismos de acceso del art. 24 Informes de los registros No tiene las responsabilidades del responsable del fichero.

Índice Introducción  Niveles de Seguridad  Documento de Seguridad  El Responsable de Seguridad  Sanciones Salir

Sanciones Responsabilidades: Art. 9.2 ”El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento”. Art. 16 “El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento”.

Sanciones Sanciones aplicables: Sanciones en la LOPD Leves: de 601,01 a 60.101,21 € Graves: de 60.101,21 a 300.506,05 € Muy graves: de 300.506,05 a 601.012,10 € La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados , a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de anti juridicidad y de culpabilidad presentes en la concreta actuación infractora.

Auditoría Informática Gracias por su atención