La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

LOPD BBDD y Gestión Documental Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com.

Publicada porLucio Avella Modificado hace 10 años

Presentaciones similares

Presentación del tema: "LOPD BBDD y Gestión Documental Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com."— Transcripción de la presentación:

1 LOPD BBDD y Gestión Documental Juan Luis García Rambla MVP Windows Security

2 Agenda Introducción. Medidas de seguridad aplicadas según niveles.
Nivel Básico. Nivel Medio. Nivel Alto.

3 Introducción

4 ¿Qué es la LOPD? Son una serie de obligaciones legales a personas físicas y jurídicas con ficheros de carácter personal. Determina la obligatoriedad de las empresas a garantizar la protección de dichos datos. Determina además las funcionalidades de control para el cumplimiento de la misma.

5 Ley y Reglamento LEY ORGÁNICA 15/1999, de Protección de Datos de Carácter Personal (LOPD) con fecha del 13 de Diciembre de 1999. Con fecha del 19 de Enero del 2008, se publica en el BOE nº 17 del año, el Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99 sobre la protección de Datos de Carácter Personal..

6 Niveles de seguridad La LOPD contempla la aplicación de medidas en función del contenido de los ficheros. La LOPD diferencia 3 niveles de seguridad: Básico. Medio. Alto

7 Nivel Básico Tipos de datos: Nombre y Apellidos
Direcciones de contacto (tanto físicas como electrónicas). Teléfonos. Nº cuenta corriente. Otros.

8 Nivel Medio Tipos de datos.
Comisión de infracciones administrativas o penales. Información de hacienda Pública. Servicios financieros y prestación de servicios de información sobre solvencia patrimonial y crédito

9 Nivel Alto Aquellos datos personales relativos: Ideología. Religión
Creencias. Origen racial. Salud. Vida sexual. Datos recabados para fines policiales sin consentimiento del interesado.

10 Medidas de seguridad aplicadas según los niveles

11 Medidas de nivel básico
Documento de seguridad. Régimen de funciones y obligaciones del personal. Registro de incidencias: Identificación y autenticación de usuarios. Control de acceso. Gestión de soportes. Copias de respaldo y recuperación .

12 Medidas de nivel medio Medidas de seguridad de nivel básico
Responsable de Seguridad Auditoría bianual Medidas adicionales de Identificación y autenticación de usuarios Control de acceso físico Medidas adicionales de gestión de soportes Registro de incidencias Pruebas sin datos reales

13 Medidas de nivel alto Medidas de seguridad de nivel básico y medio
Seguridad en la distribución de soportes Registro de accesos Medidas adicionales de copias de respaldo Cifrado de telecomunicaciones

14 Nivel básico

15 Autenticación SharePoint
La autenticación en SharePoint viene definida por el uso de usuarios locales o de dominio. Las medidas de seguridad exigibles por la LOPD viene definida por las características y directivas aplicables a dichas cuentas.

16 Autentificación SQL Server 2005
SQL Server 2005 presenta una serie de recursos y deberemos determinar quien puede o no acceder. Admite 2 tipos de autentificación Mixta (compatibilidad). Windows.

17 Modelo de autorización de SQL Server 2005
Vienen jerarquizadas mediante niveles. Cada objeto tiene su SID asociado que dependerá del tipo de autentificación. Tipos de autentificaciones: Windows: el SID es el mismo que asignado al usuario del dominio. Inicio de sesión SQL: Generado del hash SHA-1 de la clave pública. SQL Server Heredado con contraseña: el servidor genera un hash.

18 Entidades de seguridad SQL Server 2005
A nivel de Windows. Inicio de sesión en dominio. Inicio de sesión local. A nivel de SQL Server. Inicio de sesión de SQL Server. A nivel de base de datos. Usuario de base de datos. Función de base de datos. Función de aplicación.

19 Funcionalidad de la autentificación
Cuentas de usuario windows y/o SQL Server Servidor Usuario de base de datos Base de datos

20 Autentificación en Microsoft Office
Aunque la implementación sobre los documentos no conllevan de forma nativa la implementación de usuarios, podemos adoptar dos posibles funcionalidades: Control de acceso mediante permisos de Windows. Uso de la tecnología de IRM (Information Right Management).

21 IRM Es una extensión de RMS (Rights Management Services).
Se basa en conexiones de confianza implementadas por certificados. Los certificados de cuenta de permisos, se encuentran asociados a cuentas de usuario y equipos específimos.

22 Componentes RMS

23 Mecanismos adicionales
Microsoft Authenticode para firmar digitalmente un archivo mediante el uso de certificados. Ejecución de macros firmadas. Firma de codigo. Garantizan la no manipulación de los datos pero no el cifrado de los mismos o el acceso

24 Uso de contraseñas Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán en forma ininteligible. Los sistemas operativos cuentas con sus mecanismos de uso de contraseñas que condicionan al resto de elementos.

25 Contraseñas en SharePoint
Viene determinada por el sistema empleado del dominio. Los accesos a Sharepoint viene precedido por los usuarios del dominio o locales por lo que se supeditan a las condiciones de estos. Las contraseñas se rigen por las directivas de seguridad.

26 Contraseñas en SQL 2005 En modo Windows se utiliza la autentificación de Dominio y por defecto su sistema de contraseñas. En modo mixto y la autentificación de SQL Server se utilizan los mecanismos de directivas de contraseñas de Windows si está instalado sobre Windows 2003. La funcionalidad depende de la API NetValidatePasswordPolicy. La contraseña se guarda en formato hash mdiante mecanismos de seguridad de la clave maestra del servicio.

27 Contraseña Office 2003 No presenta la funcionalidad de usuarios.
Presenta la posibilidad de implementar una contraseña. pero como palabra de paso al contenido del documento. Esta contraseña no garantiza diferentes funcionalidades por usuario.

28 Control de acceso SharePoint
Los accesos a SharePoint vienen definidos a través de niveles de permisos. Estos niveles de permisos permiten asignar un conjunto concreto de permisos a usuarios y grupos para realizar acciones en un sitio. Además de los permisos predeterminados pueden personalizarse nuevos niveles de permiso.

29 Permisos predeterminados en SharePoint
Los permisos predeterminados son: Control total. Diseño. Colaborar. Leer. Acceso limitado

30 Control de acceso SQL Server 2005
Los asegurables se encuentran jerarquizados aunque se establece la posible anidación de elementos. Los elementos asegurables son: A nivel de servidor. A nivel de base de datos. A nivel de esquema.

31 Asignación de permisos SQL Server 2005
Se realizan de forma granular. Los permisos pueden concederse, revocarse o denegarse. Se consideran acumulativos. Los permisos de denegar prevalecen sobre las concesiones.

32 Control de permisos Los permisos asignados se encuentran disponibles a través de estas vistas de catálogo: Sys.database_permissions. Sys.server_permissions.

33 Asignación de derechos Office
Se permite la implementación de derechos para mediante IRM para: Word 2003/2007. Excel 2003/2007. Powerpoint 2003/2007. Asignación de derechos adicionales a través de Outlook 2003/2007 para el correo electrónico.

34 Registro de incidencias Sharepoint
Forman parte de los mecanismos de auditoria de objetos del directorio activo. Se aplican mediante las directivas de auditoria y particularmente para cada objeto. Quedan depositadas sobre la rama de seguridad del visor de sucesos.

35 Registro de incidencias SQL Server
SQL Server admite mecanismos propietarios de supervisión. Quedan encuadrados dentro de la evaluación de actividad de los usuarios. La auditoría se establece mediante el uso de filtros de traza.

36 Trazas Determinan que eventos se desean incluir y las columnas de datos incluidos en la traza. Los resultados pueden almacenarse en un fichero para se analizados posteriormente. Se pueden recoger diferentes clases de eventos.

37 Consolidación de Logs Un problema importante consiste en el almacenamiento de los Logs y el análisis de los mismos. La consolidación puede realizarse mediante el almacenamiento en base de datos y consulta de los mismos mediante filtros. Nos reportará entre otras características la ventaja a lo hora del establecimiento de informes puesto que estos pueden automatizarse

38 Autentificación de usuarios
Se establece la necesidad de controlar el acceso de los usuarios. Este control se realiza siempre mediante una cuenta de seguridad bien local o de dominio. El control del acceso para los usuarios queda enmarcado dentro de las auditorías de seguridad.

39 Copia de respaldo Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. Mediante las directivas de asignación de derechos de usuarios, podemos determinar quien podrá realizar copias de seguridad y restaurarlas. Podremos establecer el mantenimiento de un plan automatizado para las copias de seguridad.

40 Nivel Medio

41 Responsable de seguridad
Aparece para ficheros de nivel medio y alto. Tiene como tareas controlar y coordinar los mecanismos y medidas indicadas en el documento de seguridad. Será el encargado de analizar los informes de auditoría. Controlará los registros obtenidos de los diferentes controles. Establecerá los mecanismos y controles de acceso sobre los ficheros.

42 Medidas adicionales de identificación y autentificación
Se deben evitar por lo tanto el uso de cuentas genéricas estableciéndose por lo tanto la necesidad de dotar a cada usuario de una cuenta única y diferencial. Se debe evitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Estos procedimientos vienen predefinido por el uso de las directivas locales o de dominio.

43 Gestión de soportes Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. En documentos de Office estos quedan garantizado mediante el uso de IRM. Para el traslado de Base de Datos puede utilizarse los mecanismos de cifrado proporcionados por SQL Server: Frase compartida. Clave simétrica. Clave asimétrica. Certificado.

44 Registro de incidencias
En el registro regulado en el artículo 10 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Mediante las directivas podemos determinar además la adopción de mecanismos para registrar las acciones concernientes con las copias de seguridad y las restauraciones.

45 Nivel Alto

46 Distribución de soportes
La distribución de los soportes que contengan datos de carácter personal se realizará cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que dicha información, no sea inteligible ni manipulada durante su transporte. Para la gestión documental IRM supone la garantía para el cifrado de los datos. En el resto de elementos los sistemas de cifrado de SQL Server o mecanismos de EFS garantizan el cifrado de los datos.

47 Registro de accesos De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Este registro de acceso queda garantizado mediante las auditorías de seguridad, debiendo establecerse a través de las SACL los diferentes tipos de acceso.

48 Auditoría SharePoint Sharepoint permite habilitar auditorías a nivel de documentos, incluye una serie de informes de auditoría que permiten a los administradores ver el contenido de los registros de auditoría y ordenar, filtrar y manipular sus datos a fin de analizar su uso en una colección de sitios. Los informes de auditoría permiten a las organizaciones utilizar los datos binarios de los registros de auditoría para construir una imagen significativa de lo que ha ocurrido o no con los datos. Los informes se pueden guardar fácilmente en un formato útil para revisar.

49 Informes de auditoría SharePoint
Los informes de auditoría permiten determinar: Los elementos que se han agregado a una lista o una biblioteca Los documentos y los archivos que se han visualizado y leído Los cambios realizados en los permisos Los cambios realizados en las columnas y en los tipos de contenido Los elementos que se han eliminado o restaurado Los elementos que se han copiado, movido, protegido y desprotegido Las consultas de búsqueda Los cambios realizados en la auditoría

50 Auditoría en SQL Server
SQL Server permite generar una auditoría global. Uno de los problemas de habilitar la auditoría global de SQL Server es la cantidad de información recogida que hay que manipular. Mediante el uso de procedimientos almacenados pueden generarse auditorías específicas para tablas determinadas. En la siguiente URL pueden encontrarse trigger ya construidos

51 Medidas adicionales de copias de respaldo
Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento. La herramienta de copia de seguridad permite el almacenamiento en unidades alternativos para la copia de seguridad.

52 Telecomunicaciones (Nivel Alto)
Artículo 104. Telecomunicaciones. Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Mecanismos de protección como IPSEC, VPN o la adopción de la solución PEAP en redes Wifi pueden garantizar una correcta aplicación de estos mecanismos de seguridad.

53 Telecomunicaciones en SharePoint
En caso del acceso desde Internet a un portar que contenga datos de Nivel Alto, la configuración mediante HTTPS, garantizan el cumplimiento de la normativa.

54 Cifrado de acceso a BBDD
Dependerá de cómo se produzca el acceso. Mediante un acceso de cliente-web web-bbdd. Se podrá implementar una solución tipo HTTTPS. Mediante el acceso de una aplicación cliente a la BBDD. Se implementará una solución SSL o utilizar un mecanismos estándar de cifrado como puede ser IPSEC o VPN.

55 Demo Escenario Legal

56 Contacto Juan Luis García Rambla jlrambla@informatica64.com
Página Personal Legalidadinformatica.blogspot.com

57 Campaña Hand On Lab

58 Más acciones desde TechNet
Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: Para información y registro de Futuros Webcast de éste y otros temas diríjase a: Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: Descubra los mejores vídeos para TI gratis y a un solo clic: Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en:

Descargar ppt "LOPD BBDD y Gestión Documental Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com."

Presentaciones similares

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL JOSÉ MANUEL MORIANO DE LAS HERAS SECRETARIO JUNTA DE GOBIERNO COLEGIO OFICIAL DE PODÓLOGOS DEL PAÍS VASCO EUSKADIKO.
para Exchange Archivo del correo interno y externo

para Exchange Archivo del correo interno y externo
Inteligencia de Negocio con Microsoft Office Sharepoint Server 2007 Rubén Alonso Cebrián ralonso@informatica64.com.

Inteligencia de Negocio con Microsoft Office Sharepoint Server 2007 Rubén Alonso Cebrián
Protección de servidores de correo Exchange 2007 con Forefront para Exchange Iván Castro Gayoso Security Technology Specialist

Protección de servidores de correo Exchange 2007 con Forefront para Exchange Iván Castro Gayoso Security Technology Specialist
Implementación de Entornos de Colaboración Rubén Alonso Cebrián

Implementación de Entornos de Colaboración Rubén Alonso Cebrián
Microsoft Office Sharepoint Server 2007. Business Intelligence Rubén Alonso Cebrián Código: HOL-SPS07.

Microsoft Office Sharepoint Server Business Intelligence Rubén Alonso Cebrián Código: HOL-SPS07.
Introducción a Moodle.

Introducción a Moodle.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.

Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
COLEGIO DE BACHILLERES PLANTEL 13 XOCHIMILCO-TEPEPAN MATERIA:TIC EQUIPO:23 PRESENTACION: BASE DE DATOS ALUMNAS: Velazquez Corona Elsa Ponciano Antonio.

COLEGIO DE BACHILLERES PLANTEL 13 XOCHIMILCO-TEPEPAN MATERIA:TIC EQUIPO:23 PRESENTACION: BASE DE DATOS ALUMNAS: Velazquez Corona Elsa Ponciano Antonio.
Control Parental en Windows Vista. Se ha dicho por ahí… …sobre Windows Vista: …sobre Windows Vista: - El usuario quiere trabajar y usar su ordenador,

Control Parental en Windows Vista. Se ha dicho por ahí… …sobre Windows Vista: …sobre Windows Vista: - El usuario quiere trabajar y usar su ordenador,
DIRECT ACCESS.

DIRECT ACCESS.
Auditoría Informática

Auditoría Informática
Convenio para realizar la

Convenio para realizar la
Experiencia e innovación

Experiencia e innovación
JURISWEB DPESLP.

JURISWEB DPESLP.
Juan Luis García Rambla MVP Windows Security

Juan Luis García Rambla MVP Windows Security
Nuevas Certificaciones y cómo conseguirlas David Carrasco Microsoft Certified Trainer www.heroescertificados.com.

Nuevas Certificaciones y cómo conseguirlas David Carrasco Microsoft Certified Trainer
Integración de BizTalk 2009 con Visual Studio 2008 Enrique Palomino BizTalk Escalation Engineer.

Integración de BizTalk 2009 con Visual Studio 2008 Enrique Palomino BizTalk Escalation Engineer.
ALEJANDRO LEGUIZAMO Sales Manager – Mentor Solid Quality Mentors SQL Server 2008 R2 Reporting Services Map Overview.

ALEJANDRO LEGUIZAMO Sales Manager – Mentor Solid Quality Mentors SQL Server 2008 R2 Reporting Services Map Overview.

Presentaciones similares

Anuncios Google