Foro SEIS-paGonzalez-2012-apuntesx6

Medidas de Seguridad para Usuarios Finales www.avpd.es

Índice de la sesión

• Marco de referencia
Medidas de Seguridad • Análisis de riesgos
en atención
atenció • Niveles de seguridad
sociosanitaria
• Medidas de seguridad
Pedro Alberto • En particular, para usuarios finales
González González • Conclusiones
http://www.avpd.es

http://www.avpd.es Medidas de Seguridad para Usuarios Finales 2

Principios Seguridad de los Datos
consagrados en la LOPD (art. 9 LOPD)
• Calidad de los datos • Se adoptarán las medidas técnicas y organizativas
necesarias para garantizar la seguridad de los datos,
• Información en la recogida
Referencia

Referencia

– evitando su alteración o pérdida
Marco de

Marco de

• Consentimiento del afectado – y su tratamiento o acceso no autorizado
• Teniendo en cuenta:
• Comunicación o cesión de los datos – el estado de la tecnología
• Protección especial de determinados datos – la naturaleza de los datos almacenados
– los riesgos a que estén expuestos
• Seguridad de los datos • Afecta tanto al Responsable del Fichero como al
• Deber de secreto Encargado del Tratamiento

http://www.avpd.es Medidas de Seguridad para Usuarios Finales 3 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 4

Deber de secreto LEY 16/2003, de cohesión y calidad del
(art. 10 LOPD) Sistema Nacional de Salud

• El responsable del fichero y quienes • Artículo 14. Prestación de atención sociosanitaria.
– 1. La atención sociosanitaria comprende el conjunto de
intervengan en cualquier fase del
Referencia

cuidados destinados a aquellos enfermos, generalmente
Marco de

tratamiento de los datos de carácter crónicos, que por sus especiales características pueden
beneficiarse de la actuación simultánea y sinérgica de los
personal están obligados al secreto servicios sanitarios y sociales para aumentar su autonomía,
paliar sus limitaciones o sufrimientos y facilitar su reinserción
profesional. social.
• Esta obligación subsistirá aun después – (…) 3. La continuidad del servicio será garantizada por los
servicios sanitarios y sociales a través de la adecuada
de finalizar sus relaciones con el titular coordinación entre las Administraciones públicas
del fichero. correspondientes.


AVPD - Agencia Vasca de Protección de Datos 1


Ley 41/2002, Ley 41/2002,
de Autonomía del Paciente de Autonomía del Paciente
• Artículo 7. El derecho a la intimidad. • Artículo 14. Definición y archivo de la historia clínica.
– 1. Toda persona tiene derecho a que se respete el – (…) 2. Cada centro archivará las historias clínicas de sus
pacientes, cualquiera que sea el soporte papel, audiovisual,
carácter confidencial de los datos referentes a su informático o de otro tipo en el que consten, de manera que
salud, y a que nadie pueda acceder a ellos sin previa queden garantizadas su seguridad, su correcta
autorización amparada por la Ley. conservación y la recuperación de la información.
– 2. Los centros sanitarios adoptarán las medidas – (…) 4. Las Comunidades Autónomas aprobarán las
oportunas para garantizar los derechos a que se disposiciones necesarias para que los centros sanitarios
puedan adoptar las medidas técnicas y organizativas
refiere el apartado anterior, y elaborarán, cuando adecuadas para archivar y proteger las historias clínicas y
proceda, las normas y los procedimientos evitar su destrucción o su pérdida accidental.
protocolizados que garanticen el acceso legal a los
datos de los pacientes.


Ley 41/2002, Ley 41/2002,
de Autonomía del Paciente de Autonomía del Paciente
• Artículo 16. Usos de la historia clínica. • Artículo 17. Documentación clínica.
– 1. Los centros sanitarios tienen la obligación de
– 6. El personal que accede a los datos de la conservar la documentación clínica en
historia clínica en el ejercicio de sus condiciones que garanticen su correcto
mantenimiento y seguridad, aunque no
funciones queda sujeto al deber de necesariamente en el soporte original, (…).
secreto. – 6. Son de aplicación a la documentación clínica las
medidas técnicas de seguridad establecidas por la
legislación reguladora de la conservación de los
ficheros que contienen datos de carácter personal y,
en general, por la Ley Orgánica 15/1999, de
Protección de Datos de Carácter Personal.


Euskadi: LEY 12/2008, Euskadi: LEY 12/2008,
de Servicios Sociales de Servicios Sociales
• Artículo 9.– Derechos de las personas • Artículo 9.– Derechos de las personas
usuarias de los servicios sociales. usuarias de los servicios sociales.
– a) Derecho a acceder a los servicios sociales en
condiciones de igualdad, dignidad y privacidad.
– d) Derecho a dar o a denegar su
consentimiento libre y específico en relación
– b) Derecho a la confidencialidad,
• entendiéndose por tal el derecho a que los datos de
con una determinada intervención, debiendo
carácter personal que obren en su expediente o en ser otorgado el consentimiento, en todo caso,
cualquier documento que les concierna sean tratados con por escrito cuando la intervención implique
pleno respeto de lo previsto en la LOPD,
• incluyendo la debida reserva por parte de las profesionales
ingreso en un servicio de alojamiento o en un
y los profesionales con respecto a la información de la que centro residencial.
hayan tenido conocimiento




Euskadi: LEY 12/2008, Euskadi: LEY 12/2008,
de Servicios Sociales de Servicios Sociales
• Artículo 20.– Instrumentos técnicos comunes. • Artículo 90.– Infracciones graves.
– 1.– Con el fin de garantizar la homogeneidad en los
criterios de intervención, (…) todos los servicios – b) Incumplir el deber de confidencialidad y el
sociales de base cumplimentarán el modelo de ficha deber de reserva de los datos personales,
social y aplicarán el modelo de plan de atención
personalizada. (…) familiares o sociales de las personas
– Tanto en el diseño de estos instrumentos como en la usuarias.
recogida de datos, y en su utilización y explotación,
se estará a lo previsto en la normativa vigente en – c) No salvaguardar el derecho a la dignidad y
materia de protección de datos de carácter personal. a la intimidad de las personas usuarias.


Modelo de referencia para
Seguridad ≠ Privacidad
Análisis de Riesgos

Están expuestos a…
• Adjetivo (un medio) • Sustantivo (un fin) Activos tienen …

– Protección de activos – Derecho
• Evitar riesgo • Fundamental Amenazas Valor
• Mitigar impacto • Constitucional Causan +/- …
Degradación

Impacto

Frecuencia
Ocurren con +/-…
“Security by “Privacy by
Design” Design”
Riesgo


Activos más comunes Activos más comunes
• Instalaciones • Intangibles
– Edificios, locales, canalizaciones, redes de
comunicaciones,… – Licencias, derechos,..
• Equipamientos – Reputación, imagen, …
– Mobiliario, maquinaria, ordenadores personales, … – Personas de la Organización
• Sistemas de Información • Servicios prestados
– Servidores, sistemas de almacenamiento,…
– Aplicaciones y programas de ordenador
– Continuidad del negocio
– Información, datos de negocio, datos personales




Activos en Protección de
Amenazas más comunes
Datos
• Desastres naturales
• Datos de Carácter Personal – Incendios, inundaciones, … terremotos, tsunamis…
• y, como consecuencia, • Desastres industriales
– Instalaciones donde se ubican, – Explosiones, derrumbes, fallo de equipos,
– Equipos donde se tratan • Interrupciones de servicios
– Luz, agua, teléfono, internet, … cloudComputing
– Redes por donde “viajan” (XaaS)
– Programas que los tratan • Errores humanos no intencionados
– Soportes que los contienen – De usuarios, de administradores, de operadores,
– Personas que los gestionan • Ataques intencionados
– Contra personas, equipos, programas,
– Posibles empleados desleales


Impacto de las Amenazas Salvaguardas /
contra la Información Contramedidas

Están expuestos a…
• Confidencialidad Activos tienen …

– Acceso o revelación indebidos
• Integridad Amenazas Valor

– Modificación de los datos Causan +/- …
Degradación
• Disponibilidad Impacto
ContraMedidas Impacto
Residual
– Sabotaje
Frecuencia
• (Autenticidad) Ocurren con +/-…
Riesgo
Riesgo
– Suplantación de Identidad Residual





Niveles de seguridad RD 1720/2007:
Niveles de seguridad
Nivel Alto: ficheros con
•Datos especialmente protegidos
• Medio
•Fines policiales – Infracciones administrativas o penales

Niveles de
Seguridad
•Violencia de género
– Servicios de información sobre solvencia
patrimonial y crédito
Nivel Medio: ficheros con – Administraciones Tributarias - potestades
•Infracciones administrativas o penales
•Información sobre solvencia patrimonial
tributarias
•Administraciones Tributarias – Entidades financieras - servicios financieros
•Entidades financieras – Seguridad Social, Mutuas
•Seguridad Social
•Elaboración de perfiles – Elaboración de perfiles

Nivel Básico: Todos los ficheros

RD 1720/2007: Datos especialmente
Niveles de seguridad protegidos (1)
• Medio reforzado (+ registro de accesos) • Datos sobre Ideología, religión o creencias.
– Operadoras TELECO – Nadie podrá ser obligado a declarar sobre estos
Niveles de
Seguridad

• (datos de tráfico y localización) datos
– Cuando se recabe el consentimiento, se advertirá al
• Alto interesado acerca de su derecho a no prestarlo.
– Datos especialmente protegidos – El consentimiento en estos casos ha de ser expreso
– Fines policiales sin consentimiento de las y por escrito (también la afiliación sindical)
personas afectada
– Violencia de género


Datos especialmente
Otros datos protegidos
protegidos (2)
• Datos sobre Origen racial, salud y vida • Datos relativos a la comisión de
sexual infracciones penales o administrativas
– Sólo podrán ser recabados, tratados y – Los sólo podrán ser incluidos en ficheros de
cedidos cuando, por razones de interés las Administraciones públicas
general, así lo disponga una ley o el afectado – en los supuestos previstos en las respectivas
consienta expresamente. normas reguladoras.




Excepciones a la aplicación de Resumen medidas
medidas de Nivel Alto nivel Básico
Ficheros automatizados y no automatizados
• Bastará con nivel básico en los casos:
Art. 89. Funciones y obligaciones del personal
– Ideología, afiliación sindical, religión, creencias, Art. 90. Registro de incidencias
Niveles de

Niveles de
Seguridad

Seguridad
salud, origen racial o vida sexual, para: Art. 91. Control de acceso
• transferencia dineraria a entidades de las que los afectados Art. 92. Gestión de soportes y documentos
sean asociados o miembros,
Sólo automatizados Sólo no automatizados
• tratamiento de forma incidental o accesoria, sin guardar
Art. 93. Identificación y Art. 106. Criterios de archivo
relación con la finalidad
autenticación - posibilitar derechos ARCO
– Salud (exclusivamente grado o condición de Art. 94. Copias de respaldo y Art. 107. Dispositivos de almacenamiento
discapacidad o invalidez), para: recuperación - mecanismos apertura
• cumplimiento de deberes públicos Art. 108. Custodia de los soportes
- en el proceso de tramitación


Resumen medidas Resumen medidas
nivel Medio nivel Alto
Ficheros automatizados y no automatizados Sólo automatizados Sólo no automatizados
Arts. 95 y 109: Responsable de seguridad Art. 101. Gestión y distribución de Art. 111. Almacenamiento de la
Arts. 96 y 110: Auditoria soportes información
Niveles de

Niveles de
Seguridad

Seguridad

–Cifrado de datos. Evitar –Archivadores, áreas restringidas
Sólo automatizados Sólo no automatizados dispositivos que no permitan el Art. 112. Copia o reproducción
cifrado
Art. 97. Gestión de soportes –Personal autorizado
Art. 102. Copias de respaldo y
Art. 98. Identificación y autenticación Art. 113. Acceso a la documentación
recuperación
–Mecanismo identificación accesos por
Art. 99. Control de acceso físico Art. 103. Registro de accesos diferentes usuarios
Art. 100. Registro de incidencias –Excepción: Responsable persona Art. 114. Traslado de documentación
física y único usuario
–Impedir acceso, manipulación
Art. 104. Telecomunicaciones
– Cifrado en redes públicas o
inalámbricas


10 Objetivos de Control
1.- Responsable de Seguridad
de medidas de seguridad
1. Organización de la Seguridad Nivel Básico Nivel Medio Nivel Alto
2. Documentación de Seguridad Debe existir uno o varios, designados por el
Medidas de
Seguridad

3. Funciones y obligaciones del personal responsable del fichero.
Es el encargado de coordinar y controlar las
4. Identificación y autenticación de usuarios medidas de seguridad.
5. Controles y registros de accesos En ningún caso esta designación supone una
6. Accesos a través de redes / Internet exoneración de la responsabilidad que
corresponde al responsable del fichero
7. Soportes y documentos con información También ha de gestionar la seguridad de los
8. Copias de respaldo y recuperación ficheros no automatizados (archivística)
9. Gestionar Incidencias de seguridad
10. Efectuar Auditorías y Controles
Aplicable a ficheros automatizados y manuales




2.- Documento de Seguridad -
Requisitos
2.- Doc. de Seguridad – (más)
Nivel Básico Nivel Medio N. Alto
Nivel Básico Nivel Medio N. Alto • En función de los sistemas de tratamiento u otros criterios, podrá ser:
Establece y recopila, como mínimo: Además debe contener: – Único, para todos (o un grupo de) los ficheros, o
– Individualizado por cada fichero,
Medidas de

Medidas de
El Ámbito de aplicación. La Identificación del
Seguridad

Seguridad
Las medidas, normas, procedimientos y estándares responsable de • Deberá recoger las situaciones excepcionales relativas a:
de seguridad. seguridad. – Prestaciones de servicios (82.1), uso de dispositivos portátiles (86),
Las funciones y obligaciones del personal.
Los Controles – Medidas compensatorias, imposibilidad aplicación medidas previstas
La estructura de los ficheros y la descripción de los
sistemas de información. periódicos del • Recogerá las delegación de autorizaciones (art. 84)
Los procedimientos de gestión y respuesta ante cumplimiento del • Incluirá los ficheros externalizados, indicándolo expresamente
incidencias. documento.
• Puede delegarse la llevanza del Documento de Seguridad en el
Los procedimientos de realización de las copias de
respaldo y recuperación de datos. Encargado de Tratamiento
Las Medidas para el transporte, destrucción y • Los Encargados de Tratamiento han de incluir los ficheros que tratan
reutilización de soportes. por cuenta de terceros, con referencia a las condiciones del encargo
Aplicable a ficheros automatizados y manuales • Carácter Interno. Controlado y actualizado periódicamente


3.- Funciones y obligaciones 4.- Identificación y
del Personal Autenticación
Nivel Básico Nivel Medio Nivel Alto Nivel Básico Nivel Medio Nivel Alto
Las funciones y obligaciones relacionadas con el Se identificará univoca y Existirá un límite al
Medidas de

Medidas de
Seguridad

Seguridad

acceso a datos personales habrán de estar claramente personalmente a cada usuario número de intentos
Procedimiento de asignación y reiterados de acceso no
definidas y documentadas. gestión de contraseñas autorizado.
Deben definirse las funciones de control y Periodo de caducidad para las
autorizaciones delegadas contraseñas inferior a un año.
Se almacenarán de forma
El personal debe conocer las normas que les afecten ininteligible.
El personal debe conocer las consecuencias de su
incumplimiento.

Aplicable a ficheros automatizados y manuales Aplicable solo a ficheros automatizados


5.a- Control y Registros de Accesos 5.b- Control y Registros de Accesos
en ficheros automatizados para ficheros manuales
Nivel Básico Nivel Medio Nivel Alto
Acceso únicamente a Existirán Existirá un Registro de
los datos y recursos controles de Accesos donde figurará: Acceso únicamente a los El acceso se limitará al personal
Medidas de

Medidas de

usuario, hora, datos y recursos necesarios autorizado.
Seguridad

Seguridad

necesarios para sus acceso
fichero, tipo acceso para sus funciones. Habrá mecanismos para identificar
funciones. físico a los registro accedido.
Relación actualizada locales Relación actualizada de los accesos a documentos
Bajo el control del
de usuarios y perfiles donde se usuarios y perfiles y sus disponibles para múltiples usuarios
responsable de
y sus accesos encuentren accesos autorizados. Procedimiento en el Documento de
seguridad.
autorizados. ubicados los Mecanismos para evitar el Seguridad para registrar los accesos
Se hará un informe
Mecanismos para sistemas de acceso con distintos de otras personas
mensual.
evitar el acceso con información. derechos.
Se conservará al menos
distintos derechos. Concesión de derechos por
durante 2 años.
Concesión de personal autorizado.
Excepción:
derechos por personal Accede una única
autorizado. persona física
Aplicable a ficheros Aplicable solo a ficheros manuales
Aplicable a ficheros Aplicable solo a ficheros automatizados automatizados y manuales
automatizados y manuales




6.- Acceso y transmisión 7.a- Gestión de Soportes
mediante Telecomunicaciones para ficheros automatizados
Las medidas de seguridad La transmisión de datos a Inventario de soportes Habrá un “Cripto-Etiquetado”
Medidas de

Medidas de
exigibles a los accesos través de redes de Acceso restringido. registro de Distribuir soportes
Seguridad

Seguridad
mediante redes de telecomunicaciones Salida autorizada de entrada y cifrando los datos u
Públicas soportes, incluso eMail. salida de otro mecanismo que
comunicaciones, sean
Inalámbricas Medidas en el traslado soportes. impida el acceso.
públicas o privadas,
para impedir pérdidas, … Cifrado de
deberán de garantizar un nivel se realizará cifrando los
Medidas para impedir la dispositivos
de seguridad equivalente al datos o mediante cualquier recuperación de datos de portátiles.
los accesos en modo local otro mecanismo que soportes desechados o Excepciones, al DS
garantice que la información reutilizado.
no sea inteligible ni Debe identificarse el tipo
manipulada por terceros de datos que contienen.
Aplicable solo a ficheros automatizados Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados
manuales


7.b- Gestión de Soportes y Documentos 8.- Procedimientos de
para ficheros manuales Respaldo y Recuperación
Se aplicarán criterios de El acceso a armarios, Procedimientos de copia para respaldo y Las copias de
Medidas de

Medidas de

archivo que permitan la archivadores, etc. estará
Seguridad

Seguridad

recuperación, al menos semanalmente respaldo y los
conservación, localización y protegido mediante puertas con
Garantizar la reconstrucción de los datos al procedimientos
consulta cerradura. Cuando no se
Los dispositivos de acceda, permanecerán cerradas.
mismo estado en que se encontraban en el de recuperación
almacenamiento tendrán Soluciones alternativas, momento de la pérdida o destrucción. se conservarán
mecanismos que obstaculicen motivadas en el Documento de Verificación semestral de su definición, en un lugar
su apertura Seguridad funcionamiento y aplicación diferente de
Cuando la documentación no se Siempre que se proceda al Pruebas con datos reales con mismo nivel donde se
encuentre archivada, su traslado físico de de seguridad y con copia de seguridad encuentren los
depositario deberá custodiarla documentación, deberán equipos.
e impedir accesos no adoptarse medidas para impedir
autorizados su acceso o manipulación
Aplicable solo a ficheros automatizados
Aplicable solo a ficheros manuales


9.- Procedimiento de 10.- Controles del Documento
Gestión de Incidencias de Seguridad y Auditorías
Debe existir un Además, debe contener: Realizar controles periódicos
Medidas de

Medidas de

Mantener actualizado el Documento de Seguridad
Seguridad

Seguridad

Registro de Procedimientos efectuados
Incidencias con: para recuperación de los Al menos una auditoría cada dos años.
tipo de incidencia, datos, Cuando se realicen modificaciones sustanciales
cuándo se ha persona que lo ejecuta, Puede ser interna o externa.
producido, datos restaurados Debe dictaminar sobre:
persona que la datos grabados manualmente. Adecuación de medidas y controles.
Deficiencias identificadas
notificia, Es necesaria la autorización Medidas correctoras necesarias.
persona a quien se por escrito del responsable El responsable de seguridad debe:
comunica del fichero para su Analizar el informe de Auditoría
efectos derivados. Elevar sus conclusiones al responsable del fichero
recuperación. A disposición de la APD
Aplicable a ficheros Aplicable solo a ficheros automatizados Aplicable a ficheros automatizados y manuales




Quién hace qué? Quién hace qué?
Respons. Respons. Respons. Respons.
Medidas de Seguridad Fichero Seguridad
Personal Medidas de Seguridad Fichero Seguridad
Personal

Organización de la Seguridad Designar Participar Organización de la Seguridad Designar Organizar
Decidir Elaborar Decidir Elaborar
Documento de Seguridad Conocer Documento de Seguridad Conocer
políticas Aplicar políticas Aplicar
Medidas de

Medidas de
Definir Definir
Seguridad

Seguridad
Funciones y obligaciones del personal Documentar Cumplir Funciones y obligaciones del personal Documentar Cumplir
Actuar Actuar
Definir pol. Definir pol.
Identificación y autenticación de usuarios Cumplir Identificación y autenticación de usuarios Cumplir
Implantar Implantar
Implantar Implantar
Controles y registros de accesos Conocer Controles y registros de accesos Conocer
Gestionar Gestionar
Implantar Implantar
Accesos a través de la redes de comunicaciones Conocer Accesos a través de la redes de comunicaciones Conocer
Gestionar Gestionar
Soportes y documentos con información Cumplir Soportes y documentos con información Cumplir
Gestionar Gestionar
Copias de respaldo y recuperación Copias de respaldo y recuperación
Supervisar Supervisar
Anticipar Anticipar
Incidencias de seguridad Actuar Cooperar Incidencias de seguridad Actuar Cooperar
Gestionar Gestionar
Encargar Encargar
Efectuar Auditorías y Controles periódicos Decidir Cooperar Efectuar Auditorías y Controles periódicos Decidir Cooperar
Gestionar Gestionar


3.- Funciones y obligaciones Obligaciones del Personal
del Personal (detalles)
• Deber de secreto y confidencialidad
Detalles para

Las funciones y obligaciones relacionadas con el
• Conocer y observar las normas y medidas
Medidas de
Seguridad

acceso a datos personales habrán de estar claramente
Usuarios

definidas y documentadas. que afecten a sus funciones
Deben definirse las funciones de control y
• Notificación de incidentes de seguridad
autorizaciones delegadas
El personal debe conocer las normas que les afecten
El personal debe conocer las consecuencias de su
incumplimiento.



Funciones del Personal Funciones y Obligaciones
(detalles) en tu Organización:
• Distinguir, al menos los siguientes • ¿Hay unas funciones y obligaciones…
Detalles para

perfiles: – ... documentadas y por escrito?
Usuarios

– Los relacionados con funciones de control – … para cada perfil de usuario?
– Los relacionados con gestión de S.I. – … conocidas por el personal?
– Usuarios de los Sistemas de Información – … con cumplimiento controlado?
– Usuarios sin acceso a datos – … con consecuencias?
– Personal externo




4.- Identificación y Cómo se elabora una buena
Autenticación contraseña
Nivel Básico Nivel Medio Nivel Alto • "Una contraseña debe ser

Detalles para
Se identificará univoca y Existirá un límite al como un cepillo de dientes:
Medidas de
Seguridad

personalmente a cada usuario número de intentos

Usuarios
Procedimiento de asignación y reiterados de acceso no – Úsalo cada día;
gestión de contraseñas autorizado. – cámbialo regularmente;
Periodo de caducidad para las
contraseñas inferior a un año. – … y NO lo compartas con tus
Se almacenarán de forma amigos."
ininteligible.

Aplicable solo a ficheros automatizados


Lo que nos dicen de las
Lo que no nos dicen…
contraseñas
• Recomendaciones estándar
– Longitud mínima de 6 caracteres; recomendado más de 8 • El exceso de exigencias respecto de las contraseñas
hace que los usuarios busquen alternativas que,
Detalles para

Detalles para

– Que incluya mayúsculas, minúsculas, números y signos de
puntuación finalmente, hacen más débil la seguridad.
Usuarios

Usuarios

– Cambiar la contraseña frecuentemente, sin usar un ciclo
– Las contraseñas largas y complicadas que se han de cambiar a
• No utilizar nunca: menudo se terminan apuntando en algún lugar no muy lejano
– ninguna palabra que pueda figurar en cualquier diccionario. del teclado.
– datos personales o familiares evidentes, (DNI, teléfono, fechas,…)
– una única contraseña para todos los servicios, cuentas, bancos, etc. – Cuando se tienen muchas contraseñas, siempre terminan
registradas en un fichero.
• Precauciones:
– No compartir la contraseña, ni apuntarla en un papel, ni en un – Exigir (o abusar) de caracteres especiales causa errores al
fichero de texto, ni enviarla por correo electrónico, SMS, mensajería teclear y problemas en los teclados de otros países.
instantánea … – Los sistemas alternativos para recordar contraseñas (pregunta
– No revelar la contraseña (ingeniería social) y respuesta) son MUY débiles.


Cómo mantener muchas Cómo gestionar tus
contraseñas contraseñas personales
• Disponer de tres contraseñas-base • “A Mano” (Fichero de texto “en oscuro”)
Detalles para

– La mala, la buena y la fea • Fichero plano, Libreta de direcciones
Usuarios

• Disponer de un pin-base suficientemente • “A Máquina” (mediante algun programa)
largo – Fichero de texto cifrado
• Utilizar frases de paso – Programas de gestión de contraseñas
• Recordar reglas, en lugar de contraseñas • En el PC
• Las contraseñas, con contraseña • En la PDA / Smartphone
• En Interntet




7.a- Gestión de Soportes
Correo electrónico
para ficheros automatizados
• Política reflejada en Doc. de Seguridad
Detalles para

Inventario de soportes Habrá un “Cripto-Etiquetado”
• El correo electrónico, como un soporte

Medidas de
Acceso restringido. registro de Distribuir soportes

Seguridad
Usuarios

Salida autorizada de entrada y cifrando los datos u
más soportes, incluso eMail. salida de otro mecanismo que
Medidas en el traslado soportes. impida el acceso.
– Canal potencialmente inseguro para impedir pérdidas, … Cifrado de
Medidas para impedir la dispositivos
– Impacto potencialmente muy elevado recuperación de datos de portátiles.
soportes desechados o Excepciones, al DS
• Recomendación: siempre cifrado reutilizado.
Debe identificarse el tipo
de datos que contienen.
Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados
manuales


Memorias USB y demás Equipos portátiles
• Política reflejada en Doc. de Seguridad • Política reflejada en Doc. de Seguridad
Detalles para

Detalles para

• Considerar uso restringido de puertos • Nunca dejarlo solo:
Usuarios

Usuarios

– Equipaje de mano, y siempre a mano
• El robo o extravío es un riesgo siempre
– Hoteles, restaurantes, cibercafés, …
presente
– Conferencias, salas de reuniones,
– Nunca es información “original” (única) despachos, …
– Uso de encriptación (total o parcial) • Acceso, siempre con contraseña
• Contenido cifrado


5.b- Control y Registros de Accesos
Herramientas para cifrado para ficheros manuales
• Uso profesional: Nivel Básico Nivel Medio Nivel Alto
Detalles para

Acceso únicamente a los El acceso se limitará al personal
– Lo que establezca tu Organización
Medidas de

datos y recursos necesarios autorizado.
Seguridad
Usuarios

para sus funciones. Habrá mecanismos para identificar
• Uso personal Relación actualizada de los accesos a documentos
usuarios y perfiles y sus disponibles para múltiples usuarios
– Compresores con contraseña (WinZip) accesos autorizados. Procedimiento en el Documento de
– Cifrado de ficheros (PGP, GPG, AxCrypt) Mecanismos para evitar el Seguridad para registrar los accesos
acceso con distintos de otras personas
– Cifrado de contenedores (Truecrypt) derechos.
Concesión de derechos por
– Otras personal autorizado.
• Cifrado total de discos (SisOp.)
Aplicable a ficheros Aplicable solo a ficheros manuales




Buenas prácticas en la gestión
7.b- Gestión de Soportes y Documentos
para ficheros manuales
de documentos y ficheros
manuales

Buenas prácticas
• Política de “escritorio limpio”
Se aplicarán criterios de El acceso a armarios,
Medidas de

archivo que permitan la archivadores, etc. estará
Seguridad

conservación, localización y protegido mediante puertas con
consulta cerradura. Cuando no se
Los dispositivos de acceda, permanecerán cerradas.
almacenamiento tendrán Soluciones alternativas,
mecanismos que obstaculicen motivadas en el Documento de
su apertura Seguridad
Cuando la documentación no se Siempre que se proceda al
encuentre archivada, su traslado físico de
depositario deberá custodiarla documentación, deberán
e impedir accesos no adoptarse medidas para impedir
autorizados su acceso o manipulación
Aplicable solo a ficheros manuales


Buenas prácticas en la gestión Buenas prácticas en la gestión
de documentos y ficheros de documentos y ficheros
manuales manuales
Buenas prácticas

Buenas prácticas

• Destruir siempre antes de tirar • Atención a copiadoras, impresoras, faxes
– No importa como… – No olvidar originales
– Recoger listados
– Recoger y distribuir faxes


Precauciones en el traslado de
expedientes, historias clínicas,
… Documentación disponible en:
• Entre el archivo central y los
lugares de tratamiento
(despachos, consultas o http://www.slideshare.net/paGonzalez/
unidades hospitalarias)
• Relaciones de entrega, http://www.avpd.es
acuses de recibo, …
• Siempre bajo control y
http://www.seis.es
supervisión del ordenanza o
celador.
http://www.flickr.com/photos/rosino/3658259716/



Foro SEIS-paGonzalez-2012-apuntesx6

Recomendados

Recomendados

Más contenido relacionado

Similar a Foro SEIS-paGonzalez-2012-apuntesx6

Similar a Foro SEIS-paGonzalez-2012-apuntesx6 (20)

Más de AVPD - Agencia Vasca de Protección de Datos

Más de AVPD - Agencia Vasca de Protección de Datos (9)

Último

Último (15)

Foro SEIS-paGonzalez-2012-apuntesx6