LOPD BBDD y Gestión Documental Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com.

Slides:



Advertisements
Presentaciones similares
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.
Advertisements

para Exchange Archivo del correo interno y externo
Inteligencia de Negocio con Microsoft Office Sharepoint Server 2007 Rubén Alonso Cebrián
Protección de servidores de correo Exchange 2007 con Forefront para Exchange Iván Castro Gayoso Security Technology Specialist
Implementación de Entornos de Colaboración Rubén Alonso Cebrián
Microsoft Office Sharepoint Server Business Intelligence Rubén Alonso Cebrián Código: HOL-SPS07.
Introducción a Moodle.
Control Interno Informático. Concepto
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
COLEGIO DE BACHILLERES PLANTEL 13 XOCHIMILCO-TEPEPAN MATERIA:TIC EQUIPO:23 PRESENTACION: BASE DE DATOS ALUMNAS: Velazquez Corona Elsa Ponciano Antonio.
Control Parental en Windows Vista. Se ha dicho por ahí… …sobre Windows Vista: …sobre Windows Vista: - El usuario quiere trabajar y usar su ordenador,
DIRECT ACCESS.
Auditoría Informática
Convenio para realizar la
Experiencia e innovación
JURISWEB DPESLP.
Juan Luis García Rambla MVP Windows Security
Nuevas Certificaciones y cómo conseguirlas David Carrasco Microsoft Certified Trainer
Integración de BizTalk 2009 con Visual Studio 2008 Enrique Palomino BizTalk Escalation Engineer.
ALEJANDRO LEGUIZAMO Sales Manager – Mentor Solid Quality Mentors SQL Server 2008 R2 Reporting Services Map Overview.
Generación de Workflows con SharePoint Designer Matías Cordero Ochoa
LOPD Introducción Juan Luis García Rambla MVP Windows Security
Sergio Carrillo Vila DPE (Data Platform Engineer) Solid Quality Mentors
Implementación de seguridad en aplicaciones y datos
Reporting Services: Report Builder Server Mode Enhacements
Gestión Basada en Directivas en SQL Server 2008
NORMAS Y REGLAMENTACIONES APLICABLES A TECNOLOGÍAS INFORMÁTICAS Juan Luis García Rambla MVP Windows Security
FOREFRONT TMG VPN Juan Luis García Rambla MVP Windows Security
FOREFRONT TMG HTTPS INSPECTION Juan Luis García Rambla MVP Windows Security
Auditoria Informática Unidad II
Índice Sesión I Bloque I (09:30 a 10:30 Horas) Configuración Inicial
Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos
FORMACION Protección de datos de carácter personal (LOPD) 07/08
Introducción a los Conceptos de Bases de Datos Docente: Ing. Marleny Soria Medina.
LOPD Sistemas Operativos
Creación y administración de objetos de Active Directory
HOL – FOR06. ► Introducción. ► Configuración de Forefront. ► Amenazas web: Solución Antimalware ► Amenazas de correo electrónico. Malware y Spam ► Protección.
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
Regulación Básica: Artículo 18.4 Constitución Española (Derecho Fundamental) Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter.
Sistema Gestión Gubernativa
PowerPivot: SharePoint IT Experience José Quinto Zamora DPE (Data Platform Engineer) Solid Quality Mentors
Diseño de una base de datos Zavaleta Nolasco Karina
“Diseño de base de Datos Alquicira Jiménez Carolina 303
© 2012 Adobe Systems Incorporated. All Rights Reserved. Adobe Confidential. Adobe Acrobat XI.
Publicación Segura con Forefront Protection 2010 para SharePoint.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE MEDIDAS DE SEGURIDAD Salvador Huelin Martínez de Velasco 1.
“Ley Orgánica de Protección de Datos”
Cuentas de usuarios y grupos en windows 2008 server
Sesión de Videoformación para aplicar las medidas de Seguridad en materia de Protección de Datos Personales Servicio Integral de Protección de Datos del.
El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.
COLEGIO DE BACHILLERES PLANTEL 13 XOCHIMILCO-TEPEPAN MATERIA:TIC EQUIPO:21 PRESENTACION: BASE DE DATOS ALUMNAS: Adán Millán Sánchez.
C OLEGIO DE B ACHILLERES N O.13 X OCHIMILCO, T EPEPAN C ARRASCO G ARCÍA L ORENA T ORRES H EREDIA C ARLA P ALMIRA G RUPO : 308 M ATUTINO E QUIPO : 12.
EQUIPO:#3 GRUPO:304 NOMBRES: Lizbeth Nava Barón y Erick Ali Mejía.
La administración de dominios
Cuentas de usuarios y grupos en windows 2008 server
Gestión de sistemas operativos de red
Salvador Huelin Martínez de Velasco 1 TEMA 7 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.
Office Outlook. Office Outlook ayuda a los usuarios a administrar mejor el tiempo y la información, conectarse sin barreras y mantener la seguridad y.
Formación a distancia : Actualmente existen en internet infinidad de recursos que permiten obtener formación.  Universidades Oberta de Cataluña: Que.
Colegio de Bachilleres Plantel 13 Xochimilco - Tepepan
POLÍTICAS Y PROCEDIMIENTOS ADMINISTRATIVOS RELACIONADOS CON LA MOTIVACIÓN Y LA FORMACIÓN
APLICACIONES EN LINEA.
Universidad Latina CONTROL INTERNO.
INTEGRANTE: FLORES GODOY JUAN E. Grupo:308. Una tabla es una colección de datos sobre un tema específico, como productos o proveedores. Al usar una tabla.
Partes de la ventana Access
WINDOWS SERVER 2008 r2 ADMINISTRACION DE RECURSOS: Con el Administrador de recursos del sistema de Windows del sistema operativo Windows Server® 2008 R2,
Nuevo marco normativo de los archivos y la gestión documental en la Administración General del Estado Aplicación de las Normas de Interoperabilidad en.
EXPERIENCIA DEL DPTJI DEL GOBIERNO DE ARAGÓN EN LA ASESORÍA EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La Protección de Datos de Carácter Personal.
Novedades del Reglamento de desarrollo de la LOPD Seguridad en tratamientos en soporte no automatizado III Jornada Protección de Datos en la Educación.
Transcripción de la presentación:

LOPD BBDD y Gestión Documental Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com

Agenda Introducción. Medidas de seguridad aplicadas según niveles. Nivel Básico. Nivel Medio. Nivel Alto.

Introducción

¿Qué es la LOPD? Son una serie de obligaciones legales a personas físicas y jurídicas con ficheros de carácter personal. Determina la obligatoriedad de las empresas a garantizar la protección de dichos datos. Determina además las funcionalidades de control para el cumplimiento de la misma.

Ley y Reglamento LEY ORGÁNICA 15/1999, de Protección de Datos de Carácter Personal (LOPD) con fecha del 13 de Diciembre de 1999. Con fecha del 19 de Enero del 2008, se publica en el BOE nº 17 del año, el Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99 sobre la protección de Datos de Carácter Personal..

Niveles de seguridad La LOPD contempla la aplicación de medidas en función del contenido de los ficheros. La LOPD diferencia 3 niveles de seguridad: Básico. Medio. Alto

Nivel Básico Tipos de datos: Nombre y Apellidos Direcciones de contacto (tanto físicas como electrónicas). Teléfonos. Nº cuenta corriente. Otros.

Nivel Medio Tipos de datos. Comisión de infracciones administrativas o penales. Información de hacienda Pública. Servicios financieros y prestación de servicios de información sobre solvencia patrimonial y crédito

Nivel Alto Aquellos datos personales relativos: Ideología. Religión Creencias. Origen racial. Salud. Vida sexual. Datos recabados para fines policiales sin consentimiento del interesado.

Medidas de seguridad aplicadas según los niveles

Medidas de nivel básico Documento de seguridad. Régimen de funciones y obligaciones del personal. Registro de incidencias: Identificación y autenticación de usuarios. Control de acceso. Gestión de soportes. Copias de respaldo y recuperación .

Medidas de nivel medio Medidas de seguridad de nivel básico Responsable de Seguridad Auditoría bianual Medidas adicionales de Identificación y autenticación de usuarios Control de acceso físico Medidas adicionales de gestión de soportes Registro de incidencias Pruebas sin datos reales

Medidas de nivel alto Medidas de seguridad de nivel básico y medio Seguridad en la distribución de soportes Registro de accesos Medidas adicionales de copias de respaldo Cifrado de telecomunicaciones

Nivel básico

Autenticación SharePoint La autenticación en SharePoint viene definida por el uso de usuarios locales o de dominio. Las medidas de seguridad exigibles por la LOPD viene definida por las características y directivas aplicables a dichas cuentas.

Autentificación SQL Server 2005 SQL Server 2005 presenta una serie de recursos y deberemos determinar quien puede o no acceder. Admite 2 tipos de autentificación Mixta (compatibilidad). Windows.

Modelo de autorización de SQL Server 2005 Vienen jerarquizadas mediante niveles. Cada objeto tiene su SID asociado que dependerá del tipo de autentificación. Tipos de autentificaciones: Windows: el SID es el mismo que asignado al usuario del dominio. Inicio de sesión SQL: Generado del hash SHA-1 de la clave pública. SQL Server Heredado con contraseña: el servidor genera un hash.

Entidades de seguridad SQL Server 2005 A nivel de Windows. Inicio de sesión en dominio. Inicio de sesión local. A nivel de SQL Server. Inicio de sesión de SQL Server. A nivel de base de datos. Usuario de base de datos. Función de base de datos. Función de aplicación.

Funcionalidad de la autentificación Cuentas de usuario windows y/o SQL Server Servidor Usuario de base de datos Base de datos

Autentificación en Microsoft Office Aunque la implementación sobre los documentos no conllevan de forma nativa la implementación de usuarios, podemos adoptar dos posibles funcionalidades: Control de acceso mediante permisos de Windows. Uso de la tecnología de IRM (Information Right Management).

IRM Es una extensión de RMS (Rights Management Services). Se basa en conexiones de confianza implementadas por certificados. Los certificados de cuenta de permisos, se encuentran asociados a cuentas de usuario y equipos específimos.

Componentes RMS

Mecanismos adicionales Microsoft Authenticode para firmar digitalmente un archivo mediante el uso de certificados. Ejecución de macros firmadas. Firma de codigo. Garantizan la no manipulación de los datos pero no el cifrado de los mismos o el acceso

Uso de contraseñas Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán en forma ininteligible. Los sistemas operativos cuentas con sus mecanismos de uso de contraseñas que condicionan al resto de elementos.

Contraseñas en SharePoint Viene determinada por el sistema empleado del dominio. Los accesos a Sharepoint viene precedido por los usuarios del dominio o locales por lo que se supeditan a las condiciones de estos. Las contraseñas se rigen por las directivas de seguridad.

Contraseñas en SQL 2005 En modo Windows se utiliza la autentificación de Dominio y por defecto su sistema de contraseñas. En modo mixto y la autentificación de SQL Server se utilizan los mecanismos de directivas de contraseñas de Windows si está instalado sobre Windows 2003. La funcionalidad depende de la API NetValidatePasswordPolicy. La contraseña se guarda en formato hash mdiante mecanismos de seguridad de la clave maestra del servicio.

Contraseña Office 2003 No presenta la funcionalidad de usuarios. Presenta la posibilidad de implementar una contraseña. pero como palabra de paso al contenido del documento. Esta contraseña no garantiza diferentes funcionalidades por usuario.

Control de acceso SharePoint Los accesos a SharePoint vienen definidos a través de niveles de permisos. Estos niveles de permisos permiten asignar un conjunto concreto de permisos a usuarios y grupos para realizar acciones en un sitio. Además de los permisos predeterminados pueden personalizarse nuevos niveles de permiso.

Permisos predeterminados en SharePoint Los permisos predeterminados son: Control total. Diseño. Colaborar. Leer. Acceso limitado

Control de acceso SQL Server 2005 Los asegurables se encuentran jerarquizados aunque se establece la posible anidación de elementos. Los elementos asegurables son: A nivel de servidor. A nivel de base de datos. A nivel de esquema.

Asignación de permisos SQL Server 2005 Se realizan de forma granular. Los permisos pueden concederse, revocarse o denegarse. Se consideran acumulativos. Los permisos de denegar prevalecen sobre las concesiones.

Control de permisos Los permisos asignados se encuentran disponibles a través de estas vistas de catálogo: Sys.database_permissions. Sys.server_permissions.

Asignación de derechos Office Se permite la implementación de derechos para mediante IRM para: Word 2003/2007. Excel 2003/2007. Powerpoint 2003/2007. Asignación de derechos adicionales a través de Outlook 2003/2007 para el correo electrónico.

Registro de incidencias Sharepoint Forman parte de los mecanismos de auditoria de objetos del directorio activo. Se aplican mediante las directivas de auditoria y particularmente para cada objeto. Quedan depositadas sobre la rama de seguridad del visor de sucesos.

Registro de incidencias SQL Server SQL Server admite mecanismos propietarios de supervisión. Quedan encuadrados dentro de la evaluación de actividad de los usuarios. La auditoría se establece mediante el uso de filtros de traza.

Trazas Determinan que eventos se desean incluir y las columnas de datos incluidos en la traza. Los resultados pueden almacenarse en un fichero para se analizados posteriormente. Se pueden recoger diferentes clases de eventos.

Consolidación de Logs Un problema importante consiste en el almacenamiento de los Logs y el análisis de los mismos. La consolidación puede realizarse mediante el almacenamiento en base de datos y consulta de los mismos mediante filtros. Nos reportará entre otras características la ventaja a lo hora del establecimiento de informes puesto que estos pueden automatizarse

Autentificación de usuarios Se establece la necesidad de controlar el acceso de los usuarios. Este control se realiza siempre mediante una cuenta de seguridad bien local o de dominio. El control del acceso para los usuarios queda enmarcado dentro de las auditorías de seguridad.

Copia de respaldo Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. Mediante las directivas de asignación de derechos de usuarios, podemos determinar quien podrá realizar copias de seguridad y restaurarlas. Podremos establecer el mantenimiento de un plan automatizado para las copias de seguridad.

Nivel Medio

Responsable de seguridad Aparece para ficheros de nivel medio y alto. Tiene como tareas controlar y coordinar los mecanismos y medidas indicadas en el documento de seguridad. Será el encargado de analizar los informes de auditoría. Controlará los registros obtenidos de los diferentes controles. Establecerá los mecanismos y controles de acceso sobre los ficheros.

Medidas adicionales de identificación y autentificación Se deben evitar por lo tanto el uso de cuentas genéricas estableciéndose por lo tanto la necesidad de dotar a cada usuario de una cuenta única y diferencial. Se debe evitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Estos procedimientos vienen predefinido por el uso de las directivas locales o de dominio.

Gestión de soportes Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. En documentos de Office estos quedan garantizado mediante el uso de IRM. Para el traslado de Base de Datos puede utilizarse los mecanismos de cifrado proporcionados por SQL Server: Frase compartida. Clave simétrica. Clave asimétrica. Certificado.

Registro de incidencias En el registro regulado en el artículo 10 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Mediante las directivas podemos determinar además la adopción de mecanismos para registrar las acciones concernientes con las copias de seguridad y las restauraciones.

Nivel Alto

Distribución de soportes La distribución de los soportes que contengan datos de carácter personal se realizará cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que dicha información, no sea inteligible ni manipulada durante su transporte. Para la gestión documental IRM supone la garantía para el cifrado de los datos. En el resto de elementos los sistemas de cifrado de SQL Server o mecanismos de EFS garantizan el cifrado de los datos.

Registro de accesos De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Este registro de acceso queda garantizado mediante las auditorías de seguridad, debiendo establecerse a través de las SACL los diferentes tipos de acceso.

Auditoría SharePoint Sharepoint permite habilitar auditorías a nivel de documentos, incluye una serie de informes de auditoría que permiten a los administradores ver el contenido de los registros de auditoría y ordenar, filtrar y manipular sus datos a fin de analizar su uso en una colección de sitios. Los informes de auditoría permiten a las organizaciones utilizar los datos binarios de los registros de auditoría para construir una imagen significativa de lo que ha ocurrido o no con los datos. Los informes se pueden guardar fácilmente en un formato útil para revisar.

Informes de auditoría SharePoint Los informes de auditoría permiten determinar: Los elementos que se han agregado a una lista o una biblioteca Los documentos y los archivos que se han visualizado y leído Los cambios realizados en los permisos Los cambios realizados en las columnas y en los tipos de contenido Los elementos que se han eliminado o restaurado Los elementos que se han copiado, movido, protegido y desprotegido Las consultas de búsqueda Los cambios realizados en la auditoría

Auditoría en SQL Server SQL Server permite generar una auditoría global. Uno de los problemas de habilitar la auditoría global de SQL Server es la cantidad de información recogida que hay que manipular. Mediante el uso de procedimientos almacenados pueden generarse auditorías específicas para tablas determinadas. En la siguiente URL pueden encontrarse trigger ya construidos http://www.auditdatabase.com/Downloads.html

Medidas adicionales de copias de respaldo Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento. La herramienta de copia de seguridad permite el almacenamiento en unidades alternativos para la copia de seguridad.

Telecomunicaciones (Nivel Alto) Artículo 104. Telecomunicaciones. Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Mecanismos de protección como IPSEC, VPN o la adopción de la solución PEAP en redes Wifi pueden garantizar una correcta aplicación de estos mecanismos de seguridad.

Telecomunicaciones en SharePoint En caso del acceso desde Internet a un portar que contenga datos de Nivel Alto, la configuración mediante HTTPS, garantizan el cumplimiento de la normativa.

Cifrado de acceso a BBDD Dependerá de cómo se produzca el acceso. Mediante un acceso de cliente-web web-bbdd. Se podrá implementar una solución tipo HTTTPS. Mediante el acceso de una aplicación cliente a la BBDD. Se implementará una solución SSL o utilizar un mecanismos estándar de cifrado como puede ser IPSEC o VPN.

Demo Escenario Legal

Contacto Juan Luis García Rambla jlrambla@informatica64.com www.informatica64.com Página Personal Legalidadinformatica.blogspot.com

Campaña Hand On Lab http://www.microsoft.com/spain/seminarios/hol.mspx

Más acciones desde TechNet Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: http://www.microsoft.es/technet/jornadas/webcasts/webcasts_ant.asp Para información y registro de Futuros Webcast de éste y otros temas diríjase a: http://www.microsoft.es/technet/jornadas/webcasts/default.asp Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: http://www.microsoft.es/technet/boletines/default.mspx Descubra los mejores vídeos para TI gratis y a un solo clic: http://www.microsoft.es/technet/itsshowtime/default.aspx Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: http://www.microsoft.es/technet/recursos/cd/default.mspx

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.