El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.

Slides:

Advertisements

Presentaciones similares

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.

Advertisements

María José Gómez Yubero DGEMV / Dirección de Supervisión - CNMV

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

UNIVERSIDAD "ALONSO DE OJEDA"

Control Interno Informático. Concepto

SAN SALVADOR, EL SALVADOR, JULIO DE 2009

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Portal Hacienda Digital

Dirección de Servicios Corporativos Tecnología de Información Administración y Finanzas Proyecto de Digitalización de documentos Febrero 2010.

SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

Administración de los riesgos desde la perspectiva del Control Interno

12.4 Seguridad de los archivos del sistema

Metodologías de control interno, seguridad y auditoría informática

AUDITORIA DE SISTEMAS DE INFORMACIÓN

Sistema de Control de Gestión.

La información y la comunicación son dos elementos claves en el quehacer institucional en función del cumplimiento de sus objetivos BUENOS DÍAS.

UNIDAD I Conceptos Básicos.

Desde la seguridad de la información hasta los Sistemas de Riesgo, Continuidad y Cumplimiento - Integración SGSI - Governance & Compliance.

Programa de Mantenimiento Anual Gerencia de Producción Roadmap 2010.

E structuración del P lan de A cción como aporte a la reducción del impacto del cambio climático por medio de la participación de las empresas de servicios.

“Adopción de SGSI en el Sector Gobierno del PERÚ”

DATA WAREHOUSE Equipo 9.

Jefe De Control Interno

Ing. Alexandra García Ing. Patricia Nogales. OBJETIVOS: General Específicos.

Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola

Informe de cumplimiento de la LOPD en Hospitales

REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL Unidad Económica Loma la Lata E&P ABB / Unidad de Negocio Argentina Oeste2008.

AUDITORIA DE LA OFIMATICA

Identificación y Adquisición de Soluciones Automatizadas Informática II Período 2010-II.

Organización del Departamento de Auditoria Informática

Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola

XLI SEMINARIO INTERNACIONAL DE PRESUPUESTO PÚBLICO

LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE MEDIDAS DE SEGURIDAD Salvador Huelin Martínez de Velasco 1.

1.8.3 Métricas de Alineación Estratégica

Registro: Es la evidencia escrita de una actividad que se ejecutó.

Diseño del servicio ITIL..

SGSI y MAS Implantación en el M.H..

“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.

COBIT KARYL LARA N.. ENTREGA Y SOPORTE A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales.

INDUCCIÓN AL SISTEMA DE GESTIÓN DE CALIDAD

LOS 17 PRINCIPIOS DEL CONTROL INTERNO COSO 2013

SGSI: Sistemas de Gestión de la Seguridad de la Información

Fecha: 2/9/98 99CAES012_00.POT IMPLANTACIÓN DE UN MODELO DE CALIDAD MODELO DE CALIDAD OR G A N I Z AC I Ó N MODELO DESARROLLO CLIENTE TECNOLOGÍATECNOLOGÍA.

Introducción a las Bases de Datos Parte 1. Contenido 2 1.Definiciones de Bases de datos 2.Dato e Información 3.Sistemas de bases de datos 4.Sistema de.

Metodologías Lsi. Katia Tapia A., Mae.

TIPOS DE AUDITORÍAS EN SISTEMAS DE INFORMACIÓN

Programa de Administración de Riesgos.

Salvador Huelin Martínez de Velasco 1 TEMA 7 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.

DELITOS EMERGENTES EN INTERNET Y EL DESAFIO DE CARABINEROS DE CHILE EN LA PREVENCIÓN Y CONTROL EN LA ERA INFORMÁTICA Para el desarrollo de este trabajo.

Medidas de seguridad. Javier Rodríguez Granados. Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio,

Procesos itil Equipo 8.

Estudio de Benchmark Sistema de Gestión del Desempeño Empresas españolas Presenta: Marisol Corona Del Carmen.

Jenny Alexandra Marin Luis Carlos Avila Javier Murcia

Auditoria Computacional

Control Interno.

AUDITORÍAS MEDIOAMBIENTALES

Universidad Latina CONTROL INTERNO.

EVALUACIÓN DE CALIDAD DEL SOFTWARE Y GOBIERNO EN LÍNEA EN PORTALES WEB APLICANDO PROCESOS DE AUDITORÍA.

INDICADOR Es la relación entre las variables cuantitativas o cualitativas que permiten observar la situación y las tendencias de cambio generadas en el.

Bases de Datos y Sistemas de Gestión de Bases Relacionales.

Ingeniería del Software

Proyectos de Inversión 2016 Superintendencia Nacional de Salud.

OFICINA DE CONTROL INTERNO Segunda Jornada de Inducción y Reinducción (Bogotá, Octubre 21 de 2015 )

Febrero 2016 FRAMEWORKS DE DESARROLLO/LENGUAJES DE PROGRAMACIÓN AREA DE ARQUITECTURAS Dirección de Ingeniería, Soporte a Gestión de Aplicaciones y Centros.

1 Taller Sistemas Integrados de Información Financiera 17 de noviembre de 2011 La experiencia de Costa Rica: SIGAF y su interoperabilidad.

Proyectos de Inversión 2015 Superintendencia Nacional de Salud.

EXPERIENCIA DEL DPTJI DEL GOBIERNO DE ARAGÓN EN LA ASESORÍA EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL La Protección de Datos de Carácter Personal.

Novedades del Reglamento de desarrollo de la LOPD Seguridad en tratamientos en soporte no automatizado III Jornada Protección de Datos en la Educación.

LOS CONSEJOS DE RECURSOS HÍDRICOS DE CUENCA EN EL PERÚ: Lecciones aprendidas Dr. Carlos Pomareda Benel FORO INTERNACIONAL La Gestión Integrada de los Recursos.

Transcripción de la presentación:

El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.

“Artículo 24.- Registro de accesos.” “1.- De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.” “3.- Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad sin que se deba permitir, en ningún caso, la desactivación de los mismos..” “4.- El período mínimo de conservación de los datos registrados será de dos años..... La aplicación del Artículo 24 sobre ficheros automatizados requiere una importante componente tecnológica, y la capa más cercana al dato, el motor de Base de Datos, puede tener un papel relevante.

¿qué nos dice el art. 24? Debemos implementar un registro de auditoría sobre el acceso a los datos que no pueda ser desactivado ni eludido. Debemos identificar unívocamente al usuario, incluidos los administradores. Hay que elaborar informes de seguridad, con métricas, de forma periódica (art. 24.5). Otras artículos vinculados: Artículo 10.- Registro de incidencias Artículo 11.- Identificación y autenticación Artículo 12.- Control de acceso Artículo 14.- Copias de respaldo y recuperación.

Y un poco más allá La auditoría de los datos nos debe ayudar a... –garantizar el buen gobierno, –cumplir otras obligaciones internas o externas (ISO, Sox,...) –mejorar la seguridad global, –reducir los costes, –... Bucle Protección/Auditoría de Datos

... optimizando costes. Evidenciando... –La necesidad de mejorar la eficiencia operacional –Gestión del riesgo operativo –Aumentar la agilidad para responder a las necesidades de negocio –... Mejorar la seguridad global...

Aplicación del nuevo Reglamento... Coste/complejidad Tamaño Organización Auditoría Básica (Identidad Unica ) Gestión de identidades Separación de Funciones Consolidación Trazas Auditoría Avanzada... debemos adaptar soluciones de acuerdo a las necesidades y capacidad de cada organización...

El ejemplo de la JCYL La Dirección General de Telecomunicaciones de la Consejería de Fomento arranca en 2004 una iniciativa para apoyar al resto de Consejerías en la adopción de una solución de Registro de Acceso a Datos aprovechando las nuevas capacidades de auditoría selectiva de la Base de Datos Oracle 9i. Se opta por implantar una herramienta específica atendiendo a requerimientos técnicos, y a partir de ahí, definir un conjunto suficiente de prácticas y procedimientos tendentes al cumplimiento normativo de la LOPD, y aplicables al resto de Consejerías de la J.C. y L..

Resultados actuales Se implantó la solución en una Consejería piloto, Se creó un Marco Documental Metodológico de Referencia para el desarrollo de aplicaciones seguras desde el punto de vista LOPD que recoge los principales aspectos técnicos y funcionales: –Catálogo de buenas prácticas –Mecanismos de identificación de usuarios –Políticas de auditoría –Procedimientos de implantación –Aspectos técnicos y funcionales de la herramienta

Algunas lecciones aprendidas... Esponsorizar al máximo nivel posible: son proyectos que influyen y afectan a muchos... Empecemos por lo más sencillo, primero aprovechemos la funcionalidad de los productos existentes... Rompamos con ciertos tópicos: penalizaciones en el rendimiento, generación de grandes volúmenes de trazas, costes ocultos,... Finalmente, aprovechemos el marco de estos proyectos para definir la estrategia más adecuada a nuestra organización en materia de seguridad, hagamos controles periódicos y nuestro bucle (protección/auditoría) estará en marcha...