Segundo Taller Práctico LOPD -...
Transcript of Segundo Taller Práctico LOPD -...
Segundo Taller Práctico LOPD:“Obligaciones técnico-organizativas y medidas de seguridad. Documento de
Seguridad. Auditorías bienales”
Vitoria – Gasteiz a 9 de julio de 2.014
2
Objetivos específicos de este 2º Taller LOPD
1 Repaso del concepto de fichero LOPD y resolución de posibles dudas o consultas en relación a la inscripción de ficheros
2 Mostrar el contenido del Documento de Seguridad
3 Proporcionar una visión práctica de los aspectos organizativos y técnicos relacionados con la implantación de la Ley Orgánica de Protección de Datos y de su Reglamento
4 Informar a los asistentes del proceso de implantación de medidas técnico – organizativas: recomendaciones y soluciones
5 Dar a conocer en qué consisten las auditorías bienales reglamentarias
3
¿Dudas sobre la inscripción de ficheros en RAEPD?
Repaso: Ficheros LOPD
4
1. Obligaciones LOPD
Derecho a la seguridad de los datos:
Los RF deben adoptar las medidas técnicas y organizativas que garanticen la seguridad de los DCP y eviten su alteración, pérdida, tratamiento o acceso no autorizado (Art. 9 LOPD)
Derecho a la seguridad de los datos:
Los RF deben adoptar las medidas técnicas y organizativas que garanticen la seguridad de los DCP y eviten su alteración, pérdida, tratamiento o acceso no autorizado (Art. 9 LOPD)
5
1. Obligaciones LOPD
TÍTULO VIII RDLOPD: De las medidas de seguridad en el tratamiento de datos de carácter personal
CAPÍTULO I.- Disposiciones generales
Artículo 79 Alcance
Los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en este Título, con independencia de cual sea su sistema de tratamiento.
Artículo 80 Niveles de seguridad
Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.
TÍTULO VIII RDLOPD: De las medidas de seguridad en el tratamiento de datos de carácter personal
CAPÍTULO I.- Disposiciones generales
Artículo 79 Alcance
Los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en este Título, con independencia de cual sea su sistema de tratamiento.
Artículo 80 Niveles de seguridad
Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.
6
TÉCNICASTÉCNICAS
ORGANIZATIVASORGANIZATIVAS
NIVELES: BÁSICOMEDIOALTO
NIVELES: BÁSICOMEDIOALTO
Por ej.: Llaves en armarios, contraseñas de accesos, copias de seguridad, Documento de Seguridad
Por ej.: Llaves en armarios, contraseñas de accesos, copias de seguridad, Documento de Seguridad
1. Obligaciones LOPD
7
Roles funcionales en LOPDRoles funcionales en LOPD
2. Roles de seguridad
8
Persona Jurídica (RF): de cara al exterior Persona Física (RFF): internamente
Funciones:Tomar las decisiones sobre la finalidad y usos de los ficherosNombrar, en su caso, a una o varias persona/s como Responsables de ficherosNotificación de Fichero/s en el Registro de la AEPDLa interlocución con las personas titulares de los datos (ejercicio de Dº ARCO)Difusión de la normativa de seguridad internamenteOtros…
Responsable de ficherosResponsable de ficheros
2. Roles de seguridad
9
• Debe ser designado formalmente y hacer constar esta designación en el Documento de Seguridad.
• Puede ser uno o varios RS
Funciones:
Controlar y coordinar el cumplimiento de las medidas de seguridad exigidas reglamentariamente
Responsable de seguridad (RS)Responsable de seguridad (RS)
2. Roles de seguridad
10
3. Medidas de seguridad
11
“El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información”.
Artículo 88 del RDLOPD:Documento de Seguridad
3. Medidas de seguridad
12
¿Cómo debe ser el Documento de Seguridad?
• Podrá ser único y comprensivo de todos los ficheros o
tratamientos, o bien;
• Individualizado para cada fichero o tratamiento
3. Medidas de seguridad
13
¿Cómo debe ser el Documento de Seguridad?
• Pueden elaborarse distintos documentos de seguridad
agrupando ficheros o tratamientos según el sistema de
tratamiento utilizado para su organización, o bien;
• Atendiendo a criterios organizativos del responsable
3. Medidas de seguridad
14
¿Cómo debe ser el Documento de Seguridad?
• En todo caso, tendrá el carácter de documento interno
de la organización
¡NO HAY QUE PUBLICARLO
NI ENVIARLO A NINGÚN SITIO!
3. Medidas de seguridad
15
Cuerpo del DS: Ámbito de aplicación Medidas de seguridad, normas y procedimientos Funciones y obligaciones del personal Estructura de los ficheros y descripción de los sistemas
de información Notificación, gestión y respuesta ante incidencias Copias de respaldo y recuperación, etc. Medidas para el transporte de soportes y documentos y
para la destrucción
Anexos al DS
Contenido mínimo del DS
3. Medidas de seguridad
16
Modelo de DS de la AEPD
Otros modelos de DS
- Política de Seguridad- DS- Estructura de Datos por cada fichero- Anexos
3. Medidas de seguridad
17
El responsable del fichero adoptará las medidas necesarias
para que el personal conozca de una forma comprensible
las normas de seguridad que afecten al desarrollo de sus
funciones así como las consecuencias en que pudiera
incurrir en caso de incumplimiento
Difusión del DS
3. Medidas de seguridad
18
Desconocimiento de obligaciones y funciones de seguridad
3. Medidas de seguridad
19
Soporte físico:
Automatizado:
Objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos
No Automatizados:
Documentación en general en soporte papel
3. Medidas de seguridad
20
Inventario de soportes:
Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
3. Medidas de seguridad
21
Registro de Salida de soportes:
La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser AUTORIZADA por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.
3. Medidas de seguridad
22
Registro de Entrada de soportes:
Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente AUTORIZADA.
3. Medidas de seguridad
23
Cifrado de soportes:
• Regla: Se evitará el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado.
• Excepción: En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.
3. Medidas de seguridad
24
Registro de incidencias:
Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
Nivel medio y altoSera necesaria la autorización del RFF para la ejecución de los procedimientos de recuperación de los datos.
Incidencia:
Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
3. Medidas de seguridad
25
Control de acceso:
Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.
El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
3. Medidas de seguridad
26
Registro de accesos:
• En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
• El período mínimo de conservación de los datos registrados será de dos años.
• El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
3. Medidas de seguridad
27
Registro de accesos:
3. Medidas de seguridad
Excepción prevista:
•No será necesario el registro de accesos si se dan las siguientes circunstancias:
a) Que el responsable del fichero o del tratamiento sea una persona físicab) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales
•Se deberá reflejar esta excepción en el documento de seguridad.
28
Identificación y autenticación
• Sistema identificación personalizado (no passwords genéricas)• Reglas de contraseñas• Cambio periódico contraseñas (mín. 1 año)• Listado de usuarios
Control de accesos
• Perfiles del personal• Almacenamiento ininteligible• Registro de accesos realizados
3. Medidas de seguridad
29
Identificación y autenticación
•Bloqueo ante intentos reiterados de acceso a los SSII
•Bloqueo de pantalla manual
•Bloqueo de pantalla ante períodos de inactividad
3. Medidas de seguridad
30
Control de acceso físico
Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información
3. Medidas de seguridad
31
Cifrado de telecomunicaciones
Cuando deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
3. Medidas de seguridad
32
FNA: Soporte papel
3. Medidas de seguridad
33
AUDITORÍA BIENAL RDLOPD AUDITORÍA BIENAL RDLOPD
Artículo 96 RDLOPD 1720 / 2007, 21 de Diciembre
A partir del NIVEL MEDIO ………………..DOS AÑOS
ANTES…
con carácter EXTRAORDINARIO
4. Auditoría bienal RDLOPD
34
… To be concluded
3er Taller Práctico (Septiembre)
35
MUCHAS GRACIAS
MILA ESKER