1. Medidas de Seguridad para Usuarios Finales www.avpd.es
Índice de la sesión
• Marco de referencia
Medidas de Seguridad • Análisis de riesgos
en atención
atenció • Niveles de seguridad
sociosanitaria
• Medidas de seguridad
Pedro Alberto • En particular, para usuarios finales
González González • Conclusiones
http://www.avpd.es
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 2
Principios Seguridad de los Datos
consagrados en la LOPD (art. 9 LOPD)
• Calidad de los datos • Se adoptarán las medidas técnicas y organizativas
necesarias para garantizar la seguridad de los datos,
• Información en la recogida
Referencia
Referencia
– evitando su alteración o pérdida
Marco de
Marco de
• Consentimiento del afectado – y su tratamiento o acceso no autorizado
• Teniendo en cuenta:
• Comunicación o cesión de los datos – el estado de la tecnología
• Protección especial de determinados datos – la naturaleza de los datos almacenados
– los riesgos a que estén expuestos
• Seguridad de los datos • Afecta tanto al Responsable del Fichero como al
• Deber de secreto Encargado del Tratamiento
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 3 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 4
Deber de secreto LEY 16/2003, de cohesión y calidad del
(art. 10 LOPD) Sistema Nacional de Salud
• El responsable del fichero y quienes • Artículo 14. Prestación de atención sociosanitaria.
– 1. La atención sociosanitaria comprende el conjunto de
intervengan en cualquier fase del
Referencia
cuidados destinados a aquellos enfermos, generalmente
Marco de
tratamiento de los datos de carácter crónicos, que por sus especiales características pueden
beneficiarse de la actuación simultánea y sinérgica de los
personal están obligados al secreto servicios sanitarios y sociales para aumentar su autonomía,
paliar sus limitaciones o sufrimientos y facilitar su reinserción
profesional. social.
• Esta obligación subsistirá aun después – (…) 3. La continuidad del servicio será garantizada por los
servicios sanitarios y sociales a través de la adecuada
de finalizar sus relaciones con el titular coordinación entre las Administraciones públicas
del fichero. correspondientes.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 5 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 6
AVPD - Agencia Vasca de Protección de Datos 1
2. Medidas de Seguridad para Usuarios Finales www.avpd.es
Ley 41/2002, Ley 41/2002,
de Autonomía del Paciente de Autonomía del Paciente
• Artículo 7. El derecho a la intimidad. • Artículo 14. Definición y archivo de la historia clínica.
– 1. Toda persona tiene derecho a que se respete el – (…) 2. Cada centro archivará las historias clínicas de sus
pacientes, cualquiera que sea el soporte papel, audiovisual,
carácter confidencial de los datos referentes a su informático o de otro tipo en el que consten, de manera que
salud, y a que nadie pueda acceder a ellos sin previa queden garantizadas su seguridad, su correcta
autorización amparada por la Ley. conservación y la recuperación de la información.
– 2. Los centros sanitarios adoptarán las medidas – (…) 4. Las Comunidades Autónomas aprobarán las
oportunas para garantizar los derechos a que se disposiciones necesarias para que los centros sanitarios
puedan adoptar las medidas técnicas y organizativas
refiere el apartado anterior, y elaborarán, cuando adecuadas para archivar y proteger las historias clínicas y
proceda, las normas y los procedimientos evitar su destrucción o su pérdida accidental.
protocolizados que garanticen el acceso legal a los
datos de los pacientes.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 7 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 8
Ley 41/2002, Ley 41/2002,
de Autonomía del Paciente de Autonomía del Paciente
• Artículo 16. Usos de la historia clínica. • Artículo 17. Documentación clínica.
– 1. Los centros sanitarios tienen la obligación de
– 6. El personal que accede a los datos de la conservar la documentación clínica en
historia clínica en el ejercicio de sus condiciones que garanticen su correcto
mantenimiento y seguridad, aunque no
funciones queda sujeto al deber de necesariamente en el soporte original, (…).
secreto. – 6. Son de aplicación a la documentación clínica las
medidas técnicas de seguridad establecidas por la
legislación reguladora de la conservación de los
ficheros que contienen datos de carácter personal y,
en general, por la Ley Orgánica 15/1999, de
Protección de Datos de Carácter Personal.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 9 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 10
Euskadi: LEY 12/2008, Euskadi: LEY 12/2008,
de Servicios Sociales de Servicios Sociales
• Artículo 9.– Derechos de las personas • Artículo 9.– Derechos de las personas
usuarias de los servicios sociales. usuarias de los servicios sociales.
– a) Derecho a acceder a los servicios sociales en
condiciones de igualdad, dignidad y privacidad.
– d) Derecho a dar o a denegar su
consentimiento libre y específico en relación
– b) Derecho a la confidencialidad,
• entendiéndose por tal el derecho a que los datos de
con una determinada intervención, debiendo
carácter personal que obren en su expediente o en ser otorgado el consentimiento, en todo caso,
cualquier documento que les concierna sean tratados con por escrito cuando la intervención implique
pleno respeto de lo previsto en la LOPD,
• incluyendo la debida reserva por parte de las profesionales
ingreso en un servicio de alojamiento o en un
y los profesionales con respecto a la información de la que centro residencial.
hayan tenido conocimiento
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 11 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 12
AVPD - Agencia Vasca de Protección de Datos 2
3. Medidas de Seguridad para Usuarios Finales www.avpd.es
Euskadi: LEY 12/2008, Euskadi: LEY 12/2008,
de Servicios Sociales de Servicios Sociales
• Artículo 20.– Instrumentos técnicos comunes. • Artículo 90.– Infracciones graves.
– 1.– Con el fin de garantizar la homogeneidad en los
criterios de intervención, (…) todos los servicios – b) Incumplir el deber de confidencialidad y el
sociales de base cumplimentarán el modelo de ficha deber de reserva de los datos personales,
social y aplicarán el modelo de plan de atención
personalizada. (…) familiares o sociales de las personas
– Tanto en el diseño de estos instrumentos como en la usuarias.
recogida de datos, y en su utilización y explotación,
se estará a lo previsto en la normativa vigente en – c) No salvaguardar el derecho a la dignidad y
materia de protección de datos de carácter personal. a la intimidad de las personas usuarias.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 13 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 14
Modelo de referencia para
Seguridad ≠ Privacidad
Análisis de Riesgos
Análisis de Riesgos
Están expuestos a…
• Adjetivo (un medio) • Sustantivo (un fin) Activos tienen …
– Protección de activos – Derecho
• Evitar riesgo • Fundamental Amenazas Valor
• Mitigar impacto • Constitucional Causan +/- …
Degradación
Impacto
Frecuencia
Ocurren con +/-…
“Security by “Privacy by
Design” Design”
Riesgo
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 15 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 16
Activos más comunes Activos más comunes
• Instalaciones • Intangibles
– Edificios, locales, canalizaciones, redes de
comunicaciones,… – Licencias, derechos,..
• Equipamientos – Reputación, imagen, …
– Mobiliario, maquinaria, ordenadores personales, … – Personas de la Organización
• Sistemas de Información • Servicios prestados
– Servidores, sistemas de almacenamiento,…
– Aplicaciones y programas de ordenador
– Continuidad del negocio
– Información, datos de negocio, datos personales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 17 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 18
AVPD - Agencia Vasca de Protección de Datos 3
4. Medidas de Seguridad para Usuarios Finales www.avpd.es
Activos en Protección de
Amenazas más comunes
Datos
• Desastres naturales
• Datos de Carácter Personal – Incendios, inundaciones, … terremotos, tsunamis…
• y, como consecuencia, • Desastres industriales
– Instalaciones donde se ubican, – Explosiones, derrumbes, fallo de equipos,
– Equipos donde se tratan • Interrupciones de servicios
– Luz, agua, teléfono, internet, … cloudComputing
– Redes por donde “viajan” (XaaS)
– Programas que los tratan • Errores humanos no intencionados
– Soportes que los contienen – De usuarios, de administradores, de operadores,
– Personas que los gestionan • Ataques intencionados
– Contra personas, equipos, programas,
– Posibles empleados desleales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 19 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 20
Impacto de las Amenazas Salvaguardas /
contra la Información Contramedidas
Análisis de Riesgos
Están expuestos a…
• Confidencialidad Activos tienen …
– Acceso o revelación indebidos
• Integridad Amenazas Valor
– Modificación de los datos Causan +/- …
Degradación
• Disponibilidad Impacto
ContraMedidas Impacto
Residual
– Sabotaje
Frecuencia
• (Autenticidad) Ocurren con +/-…
Riesgo
Riesgo
– Suplantación de Identidad Residual
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 21 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 22
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 23 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 24
AVPD - Agencia Vasca de Protección de Datos 4
5. Medidas de Seguridad para Usuarios Finales www.avpd.es
Niveles de seguridad RD 1720/2007:
Niveles de seguridad
Nivel Alto: ficheros con
•Datos especialmente protegidos
• Medio
•Fines policiales – Infracciones administrativas o penales
Niveles de
Seguridad
•Violencia de género
– Servicios de información sobre solvencia
patrimonial y crédito
Nivel Medio: ficheros con – Administraciones Tributarias - potestades
•Infracciones administrativas o penales
•Información sobre solvencia patrimonial
tributarias
•Administraciones Tributarias – Entidades financieras - servicios financieros
•Entidades financieras – Seguridad Social, Mutuas
•Seguridad Social
•Elaboración de perfiles – Elaboración de perfiles
Nivel Básico: Todos los ficheros
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 25 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 26
RD 1720/2007: Datos especialmente
Niveles de seguridad protegidos (1)
• Medio reforzado (+ registro de accesos) • Datos sobre Ideología, religión o creencias.
– Operadoras TELECO – Nadie podrá ser obligado a declarar sobre estos
Niveles de
Seguridad
• (datos de tráfico y localización) datos
– Cuando se recabe el consentimiento, se advertirá al
• Alto interesado acerca de su derecho a no prestarlo.
– Datos especialmente protegidos – El consentimiento en estos casos ha de ser expreso
– Fines policiales sin consentimiento de las y por escrito (también la afiliación sindical)
personas afectada
– Violencia de género
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 27 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 28
Datos especialmente
Otros datos protegidos
protegidos (2)
• Datos sobre Origen racial, salud y vida • Datos relativos a la comisión de
sexual infracciones penales o administrativas
– Sólo podrán ser recabados, tratados y – Los sólo podrán ser incluidos en ficheros de
cedidos cuando, por razones de interés las Administraciones públicas
general, así lo disponga una ley o el afectado – en los supuestos previstos en las respectivas
consienta expresamente. normas reguladoras.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 29 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 30
AVPD - Agencia Vasca de Protección de Datos 5
6. Medidas de Seguridad para Usuarios Finales www.avpd.es
Excepciones a la aplicación de Resumen medidas
medidas de Nivel Alto nivel Básico
Ficheros automatizados y no automatizados
• Bastará con nivel básico en los casos:
Art. 89. Funciones y obligaciones del personal
– Ideología, afiliación sindical, religión, creencias, Art. 90. Registro de incidencias
Niveles de
Niveles de
Seguridad
Seguridad
salud, origen racial o vida sexual, para: Art. 91. Control de acceso
• transferencia dineraria a entidades de las que los afectados Art. 92. Gestión de soportes y documentos
sean asociados o miembros,
Sólo automatizados Sólo no automatizados
• tratamiento de forma incidental o accesoria, sin guardar
Art. 93. Identificación y Art. 106. Criterios de archivo
relación con la finalidad
autenticación - posibilitar derechos ARCO
– Salud (exclusivamente grado o condición de Art. 94. Copias de respaldo y Art. 107. Dispositivos de almacenamiento
discapacidad o invalidez), para: recuperación - mecanismos apertura
• cumplimiento de deberes públicos Art. 108. Custodia de los soportes
- en el proceso de tramitación
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 31 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 32
Resumen medidas Resumen medidas
nivel Medio nivel Alto
Ficheros automatizados y no automatizados Sólo automatizados Sólo no automatizados
Arts. 95 y 109: Responsable de seguridad Art. 101. Gestión y distribución de Art. 111. Almacenamiento de la
Arts. 96 y 110: Auditoria soportes información
Niveles de
Niveles de
Seguridad
Seguridad
–Cifrado de datos. Evitar –Archivadores, áreas restringidas
Sólo automatizados Sólo no automatizados dispositivos que no permitan el Art. 112. Copia o reproducción
cifrado
Art. 97. Gestión de soportes –Personal autorizado
Art. 102. Copias de respaldo y
Art. 98. Identificación y autenticación Art. 113. Acceso a la documentación
recuperación
–Mecanismo identificación accesos por
Art. 99. Control de acceso físico Art. 103. Registro de accesos diferentes usuarios
Art. 100. Registro de incidencias –Excepción: Responsable persona Art. 114. Traslado de documentación
física y único usuario
–Impedir acceso, manipulación
Art. 104. Telecomunicaciones
– Cifrado en redes públicas o
inalámbricas
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 33 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 34
10 Objetivos de Control
1.- Responsable de Seguridad
de medidas de seguridad
1. Organización de la Seguridad Nivel Básico Nivel Medio Nivel Alto
2. Documentación de Seguridad Debe existir uno o varios, designados por el
Medidas de
Seguridad
3. Funciones y obligaciones del personal responsable del fichero.
Es el encargado de coordinar y controlar las
4. Identificación y autenticación de usuarios medidas de seguridad.
5. Controles y registros de accesos En ningún caso esta designación supone una
6. Accesos a través de redes / Internet exoneración de la responsabilidad que
corresponde al responsable del fichero
7. Soportes y documentos con información También ha de gestionar la seguridad de los
8. Copias de respaldo y recuperación ficheros no automatizados (archivística)
9. Gestionar Incidencias de seguridad
10. Efectuar Auditorías y Controles
Aplicable a ficheros automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 35 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 36
AVPD - Agencia Vasca de Protección de Datos 6
7. Medidas de Seguridad para Usuarios Finales www.avpd.es
2.- Documento de Seguridad -
Requisitos
2.- Doc. de Seguridad – (más)
Nivel Básico Nivel Medio N. Alto
Nivel Básico Nivel Medio N. Alto • En función de los sistemas de tratamiento u otros criterios, podrá ser:
Establece y recopila, como mínimo: Además debe contener: – Único, para todos (o un grupo de) los ficheros, o
– Individualizado por cada fichero,
Medidas de
Medidas de
El Ámbito de aplicación. La Identificación del
Seguridad
Seguridad
Las medidas, normas, procedimientos y estándares responsable de • Deberá recoger las situaciones excepcionales relativas a:
de seguridad. seguridad. – Prestaciones de servicios (82.1), uso de dispositivos portátiles (86),
Las funciones y obligaciones del personal.
Los Controles – Medidas compensatorias, imposibilidad aplicación medidas previstas
La estructura de los ficheros y la descripción de los
sistemas de información. periódicos del • Recogerá las delegación de autorizaciones (art. 84)
Los procedimientos de gestión y respuesta ante cumplimiento del • Incluirá los ficheros externalizados, indicándolo expresamente
incidencias. documento.
• Puede delegarse la llevanza del Documento de Seguridad en el
Los procedimientos de realización de las copias de
respaldo y recuperación de datos. Encargado de Tratamiento
Las Medidas para el transporte, destrucción y • Los Encargados de Tratamiento han de incluir los ficheros que tratan
reutilización de soportes. por cuenta de terceros, con referencia a las condiciones del encargo
Aplicable a ficheros automatizados y manuales • Carácter Interno. Controlado y actualizado periódicamente
Aplicable a ficheros automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 37 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 38
3.- Funciones y obligaciones 4.- Identificación y
del Personal Autenticación
Nivel Básico Nivel Medio Nivel Alto Nivel Básico Nivel Medio Nivel Alto
Las funciones y obligaciones relacionadas con el Se identificará univoca y Existirá un límite al
Medidas de
Medidas de
Seguridad
Seguridad
acceso a datos personales habrán de estar claramente personalmente a cada usuario número de intentos
Procedimiento de asignación y reiterados de acceso no
definidas y documentadas. gestión de contraseñas autorizado.
Deben definirse las funciones de control y Periodo de caducidad para las
autorizaciones delegadas contraseñas inferior a un año.
Se almacenarán de forma
El personal debe conocer las normas que les afecten ininteligible.
El personal debe conocer las consecuencias de su
incumplimiento.
Aplicable a ficheros automatizados y manuales Aplicable solo a ficheros automatizados
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 39 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 40
5.a- Control y Registros de Accesos 5.b- Control y Registros de Accesos
en ficheros automatizados para ficheros manuales
Nivel Básico Nivel Medio Nivel Alto
Nivel Básico Nivel Medio Nivel Alto
Acceso únicamente a Existirán Existirá un Registro de
los datos y recursos controles de Accesos donde figurará: Acceso únicamente a los El acceso se limitará al personal
Medidas de
Medidas de
usuario, hora, datos y recursos necesarios autorizado.
Seguridad
Seguridad
necesarios para sus acceso
fichero, tipo acceso para sus funciones. Habrá mecanismos para identificar
funciones. físico a los registro accedido.
Relación actualizada locales Relación actualizada de los accesos a documentos
Bajo el control del
de usuarios y perfiles donde se usuarios y perfiles y sus disponibles para múltiples usuarios
responsable de
y sus accesos encuentren accesos autorizados. Procedimiento en el Documento de
seguridad.
autorizados. ubicados los Mecanismos para evitar el Seguridad para registrar los accesos
Se hará un informe
Mecanismos para sistemas de acceso con distintos de otras personas
mensual.
evitar el acceso con información. derechos.
Se conservará al menos
distintos derechos. Concesión de derechos por
durante 2 años.
Concesión de personal autorizado.
Excepción:
derechos por personal Accede una única
autorizado. persona física
Aplicable a ficheros Aplicable solo a ficheros manuales
Aplicable a ficheros Aplicable solo a ficheros automatizados automatizados y manuales
automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 41 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 42
AVPD - Agencia Vasca de Protección de Datos 7
8. Medidas de Seguridad para Usuarios Finales www.avpd.es
6.- Acceso y transmisión 7.a- Gestión de Soportes
mediante Telecomunicaciones para ficheros automatizados
Nivel Básico Nivel Medio Nivel Alto Nivel Básico Nivel Medio Nivel Alto
Las medidas de seguridad La transmisión de datos a Inventario de soportes Habrá un “Cripto-Etiquetado”
Medidas de
Medidas de
exigibles a los accesos través de redes de Acceso restringido. registro de Distribuir soportes
Seguridad
Seguridad
mediante redes de telecomunicaciones Salida autorizada de entrada y cifrando los datos u
Públicas soportes, incluso eMail. salida de otro mecanismo que
comunicaciones, sean
Inalámbricas Medidas en el traslado soportes. impida el acceso.
públicas o privadas,
para impedir pérdidas, … Cifrado de
deberán de garantizar un nivel se realizará cifrando los
Medidas para impedir la dispositivos
de seguridad equivalente al datos o mediante cualquier recuperación de datos de portátiles.
los accesos en modo local otro mecanismo que soportes desechados o Excepciones, al DS
garantice que la información reutilizado.
no sea inteligible ni Debe identificarse el tipo
manipulada por terceros de datos que contienen.
Aplicable solo a ficheros automatizados Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados
manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 43 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 44
7.b- Gestión de Soportes y Documentos 8.- Procedimientos de
para ficheros manuales Respaldo y Recuperación
Nivel Básico Nivel Medio Nivel Alto Nivel Básico Nivel Medio Nivel Alto
Se aplicarán criterios de El acceso a armarios, Procedimientos de copia para respaldo y Las copias de
Medidas de
Medidas de
archivo que permitan la archivadores, etc. estará
Seguridad
Seguridad
recuperación, al menos semanalmente respaldo y los
conservación, localización y protegido mediante puertas con
Garantizar la reconstrucción de los datos al procedimientos
consulta cerradura. Cuando no se
Los dispositivos de acceda, permanecerán cerradas.
mismo estado en que se encontraban en el de recuperación
almacenamiento tendrán Soluciones alternativas, momento de la pérdida o destrucción. se conservarán
mecanismos que obstaculicen motivadas en el Documento de Verificación semestral de su definición, en un lugar
su apertura Seguridad funcionamiento y aplicación diferente de
Cuando la documentación no se Siempre que se proceda al Pruebas con datos reales con mismo nivel donde se
encuentre archivada, su traslado físico de de seguridad y con copia de seguridad encuentren los
depositario deberá custodiarla documentación, deberán equipos.
e impedir accesos no adoptarse medidas para impedir
autorizados su acceso o manipulación
Aplicable solo a ficheros automatizados
Aplicable solo a ficheros manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 45 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 46
9.- Procedimiento de 10.- Controles del Documento
Gestión de Incidencias de Seguridad y Auditorías
Nivel Básico Nivel Medio Nivel Alto Nivel Básico Nivel Medio Nivel Alto
Debe existir un Además, debe contener: Realizar controles periódicos
Medidas de
Medidas de
Mantener actualizado el Documento de Seguridad
Seguridad
Seguridad
Registro de Procedimientos efectuados
Incidencias con: para recuperación de los Al menos una auditoría cada dos años.
tipo de incidencia, datos, Cuando se realicen modificaciones sustanciales
cuándo se ha persona que lo ejecuta, Puede ser interna o externa.
producido, datos restaurados Debe dictaminar sobre:
persona que la datos grabados manualmente. Adecuación de medidas y controles.
Deficiencias identificadas
notificia, Es necesaria la autorización Medidas correctoras necesarias.
persona a quien se por escrito del responsable El responsable de seguridad debe:
comunica del fichero para su Analizar el informe de Auditoría
efectos derivados. Elevar sus conclusiones al responsable del fichero
recuperación. A disposición de la APD
Aplicable a ficheros Aplicable solo a ficheros automatizados Aplicable a ficheros automatizados y manuales
automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 47 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 48
AVPD - Agencia Vasca de Protección de Datos 8
9. Medidas de Seguridad para Usuarios Finales www.avpd.es
Quién hace qué? Quién hace qué?
Respons. Respons. Respons. Respons.
Medidas de Seguridad Fichero Seguridad
Personal Medidas de Seguridad Fichero Seguridad
Personal
Organización de la Seguridad Designar Participar Organización de la Seguridad Designar Organizar
Decidir Elaborar Decidir Elaborar
Documento de Seguridad Conocer Documento de Seguridad Conocer
políticas Aplicar políticas Aplicar
Medidas de
Medidas de
Definir Definir
Seguridad
Seguridad
Funciones y obligaciones del personal Documentar Cumplir Funciones y obligaciones del personal Documentar Cumplir
Actuar Actuar
Definir pol. Definir pol.
Identificación y autenticación de usuarios Cumplir Identificación y autenticación de usuarios Cumplir
Implantar Implantar
Implantar Implantar
Controles y registros de accesos Conocer Controles y registros de accesos Conocer
Gestionar Gestionar
Implantar Implantar
Accesos a través de la redes de comunicaciones Conocer Accesos a través de la redes de comunicaciones Conocer
Gestionar Gestionar
Definir pol. Definir pol.
Soportes y documentos con información Cumplir Soportes y documentos con información Cumplir
Gestionar Gestionar
Definir pol. Definir pol.
Copias de respaldo y recuperación Copias de respaldo y recuperación
Supervisar Supervisar
Anticipar Anticipar
Incidencias de seguridad Actuar Cooperar Incidencias de seguridad Actuar Cooperar
Gestionar Gestionar
Encargar Encargar
Efectuar Auditorías y Controles periódicos Decidir Cooperar Efectuar Auditorías y Controles periódicos Decidir Cooperar
Gestionar Gestionar
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 49 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 50
3.- Funciones y obligaciones Obligaciones del Personal
del Personal (detalles)
Nivel Básico Nivel Medio Nivel Alto
• Deber de secreto y confidencialidad
Detalles para
Las funciones y obligaciones relacionadas con el
• Conocer y observar las normas y medidas
Medidas de
Seguridad
acceso a datos personales habrán de estar claramente
Usuarios
definidas y documentadas. que afecten a sus funciones
Deben definirse las funciones de control y
• Notificación de incidentes de seguridad
autorizaciones delegadas
El personal debe conocer las normas que les afecten
El personal debe conocer las consecuencias de su
incumplimiento.
Aplicable a ficheros automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 51 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 52
Funciones del Personal Funciones y Obligaciones
(detalles) en tu Organización:
• Distinguir, al menos los siguientes • ¿Hay unas funciones y obligaciones…
Detalles para
perfiles: – ... documentadas y por escrito?
Usuarios
– Los relacionados con funciones de control – … para cada perfil de usuario?
– Los relacionados con gestión de S.I. – … conocidas por el personal?
– Usuarios de los Sistemas de Información – … con cumplimiento controlado?
– Usuarios sin acceso a datos – … con consecuencias?
– Personal externo
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 53 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 54
AVPD - Agencia Vasca de Protección de Datos 9
10. Medidas de Seguridad para Usuarios Finales www.avpd.es
4.- Identificación y Cómo se elabora una buena
Autenticación contraseña
Nivel Básico Nivel Medio Nivel Alto • "Una contraseña debe ser
Detalles para
Se identificará univoca y Existirá un límite al como un cepillo de dientes:
Medidas de
Seguridad
personalmente a cada usuario número de intentos
Usuarios
Procedimiento de asignación y reiterados de acceso no – Úsalo cada día;
gestión de contraseñas autorizado. – cámbialo regularmente;
Periodo de caducidad para las
contraseñas inferior a un año. – … y NO lo compartas con tus
Se almacenarán de forma amigos."
ininteligible.
Aplicable solo a ficheros automatizados
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 55 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 56
Lo que nos dicen de las
Lo que no nos dicen…
contraseñas
• Recomendaciones estándar
– Longitud mínima de 6 caracteres; recomendado más de 8 • El exceso de exigencias respecto de las contraseñas
hace que los usuarios busquen alternativas que,
Detalles para
Detalles para
– Que incluya mayúsculas, minúsculas, números y signos de
puntuación finalmente, hacen más débil la seguridad.
Usuarios
Usuarios
– Cambiar la contraseña frecuentemente, sin usar un ciclo
– Las contraseñas largas y complicadas que se han de cambiar a
• No utilizar nunca: menudo se terminan apuntando en algún lugar no muy lejano
– ninguna palabra que pueda figurar en cualquier diccionario. del teclado.
– datos personales o familiares evidentes, (DNI, teléfono, fechas,…)
– una única contraseña para todos los servicios, cuentas, bancos, etc. – Cuando se tienen muchas contraseñas, siempre terminan
registradas en un fichero.
• Precauciones:
– No compartir la contraseña, ni apuntarla en un papel, ni en un – Exigir (o abusar) de caracteres especiales causa errores al
fichero de texto, ni enviarla por correo electrónico, SMS, mensajería teclear y problemas en los teclados de otros países.
instantánea … – Los sistemas alternativos para recordar contraseñas (pregunta
– No revelar la contraseña (ingeniería social) y respuesta) son MUY débiles.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 57 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 58
Cómo mantener muchas Cómo gestionar tus
contraseñas contraseñas personales
• Disponer de tres contraseñas-base • “A Mano” (Fichero de texto “en oscuro”)
Detalles para
– La mala, la buena y la fea • Fichero plano, Libreta de direcciones
Usuarios
• Disponer de un pin-base suficientemente • “A Máquina” (mediante algun programa)
largo – Fichero de texto cifrado
• Utilizar frases de paso – Programas de gestión de contraseñas
• Recordar reglas, en lugar de contraseñas • En el PC
• Las contraseñas, con contraseña • En la PDA / Smartphone
• En Interntet
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 59 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 60
AVPD - Agencia Vasca de Protección de Datos 10
11. Medidas de Seguridad para Usuarios Finales www.avpd.es
7.a- Gestión de Soportes
Correo electrónico
para ficheros automatizados
Nivel Básico Nivel Medio Nivel Alto
• Política reflejada en Doc. de Seguridad
Detalles para
Inventario de soportes Habrá un “Cripto-Etiquetado”
• El correo electrónico, como un soporte
Medidas de
Acceso restringido. registro de Distribuir soportes
Seguridad
Usuarios
Salida autorizada de entrada y cifrando los datos u
más soportes, incluso eMail. salida de otro mecanismo que
Medidas en el traslado soportes. impida el acceso.
– Canal potencialmente inseguro para impedir pérdidas, … Cifrado de
Medidas para impedir la dispositivos
– Impacto potencialmente muy elevado recuperación de datos de portátiles.
soportes desechados o Excepciones, al DS
• Recomendación: siempre cifrado reutilizado.
Debe identificarse el tipo
de datos que contienen.
Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados
manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 61 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 62
Memorias USB y demás Equipos portátiles
• Política reflejada en Doc. de Seguridad • Política reflejada en Doc. de Seguridad
Detalles para
Detalles para
• Considerar uso restringido de puertos • Nunca dejarlo solo:
Usuarios
Usuarios
– Equipaje de mano, y siempre a mano
• El robo o extravío es un riesgo siempre
– Hoteles, restaurantes, cibercafés, …
presente
– Conferencias, salas de reuniones,
– Nunca es información “original” (única) despachos, …
– Uso de encriptación (total o parcial) • Acceso, siempre con contraseña
• Contenido cifrado
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 63 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 64
5.b- Control y Registros de Accesos
Herramientas para cifrado para ficheros manuales
• Uso profesional: Nivel Básico Nivel Medio Nivel Alto
Detalles para
Acceso únicamente a los El acceso se limitará al personal
– Lo que establezca tu Organización
Medidas de
datos y recursos necesarios autorizado.
Seguridad
Usuarios
para sus funciones. Habrá mecanismos para identificar
• Uso personal Relación actualizada de los accesos a documentos
usuarios y perfiles y sus disponibles para múltiples usuarios
– Compresores con contraseña (WinZip) accesos autorizados. Procedimiento en el Documento de
– Cifrado de ficheros (PGP, GPG, AxCrypt) Mecanismos para evitar el Seguridad para registrar los accesos
acceso con distintos de otras personas
– Cifrado de contenedores (Truecrypt) derechos.
Concesión de derechos por
– Otras personal autorizado.
• Cifrado total de discos (SisOp.)
Aplicable a ficheros Aplicable solo a ficheros manuales
automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 65 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 66
AVPD - Agencia Vasca de Protección de Datos 11
12. Medidas de Seguridad para Usuarios Finales www.avpd.es
Buenas prácticas en la gestión
7.b- Gestión de Soportes y Documentos
para ficheros manuales
de documentos y ficheros
manuales
Buenas prácticas
Nivel Básico Nivel Medio Nivel Alto
• Política de “escritorio limpio”
Se aplicarán criterios de El acceso a armarios,
Medidas de
archivo que permitan la archivadores, etc. estará
Seguridad
conservación, localización y protegido mediante puertas con
consulta cerradura. Cuando no se
Los dispositivos de acceda, permanecerán cerradas.
almacenamiento tendrán Soluciones alternativas,
mecanismos que obstaculicen motivadas en el Documento de
su apertura Seguridad
Cuando la documentación no se Siempre que se proceda al
encuentre archivada, su traslado físico de
depositario deberá custodiarla documentación, deberán
e impedir accesos no adoptarse medidas para impedir
autorizados su acceso o manipulación
Aplicable solo a ficheros manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 67 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 68
Buenas prácticas en la gestión Buenas prácticas en la gestión
de documentos y ficheros de documentos y ficheros
manuales manuales
Buenas prácticas
Buenas prácticas
• Destruir siempre antes de tirar • Atención a copiadoras, impresoras, faxes
– No importa como… – No olvidar originales
– Recoger listados
– Recoger y distribuir faxes
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 69 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 70
Precauciones en el traslado de
expedientes, historias clínicas,
… Documentación disponible en:
• Entre el archivo central y los
lugares de tratamiento
(despachos, consultas o http://www.slideshare.net/paGonzalez/
unidades hospitalarias)
• Relaciones de entrega, http://www.avpd.es
acuses de recibo, …
• Siempre bajo control y
http://www.seis.es
supervisión del ordenanza o
celador.
http://www.flickr.com/photos/rosino/3658259716/
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 71 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 72
AVPD - Agencia Vasca de Protección de Datos 12