Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Medidas de seguridad en los d d l tratamientos de datos personales

Anuncio 
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
I Jornada de Protección de Datos para
Directi os de la Comunidad
Directivos
Com nidad de Madrid
Medidas de seguridad en los
tratamientos de
d datos
d
personales
l
Arturo Ribagorda Garnacho
5 de octubre de 2010
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
LOPD: Seguridad de los datos (Art. 9)
2. No se registrarán datos de carácter
2
personal en ficheros automatizados que no
reúnan las condiciones que se determinen
por vía reglamentaria con respecto a su
integridad y seguridad y a las de los centros
de tratamiento, locales, equipos, sistemas y
programas
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
LOPD: Seguridad de los datos (Art. 9)
3. Reglamentariamente se establecerán
3
los requisitos y condiciones que deban
reunir
i llos fificheros
h
y llas personas que
intervengan en el tratamiento de los datos
a que se refiere el artículo 7 (“Datos
especialmente protegidos”)
protegidos ) de esta Ley.
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO DE DESARROLLO DE LA LOPD
• Regula tratamientos y ficheros
• Tratamiento total o parcialmente
automatizado, o no automatizado, de datos
d carácter
de
á t personall
• Desarrollo reglamentario de la totalidad de
p el estatuto de la AEPD))
la LOPD ((excepto
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO DESARROLLO LOPD: Título VIII
Capítulo III. Medidas de seguridad de aplicables
a ficheros y tratamientos automatizados
Sección Primera. Nivel básico
Sección Segunda. Nivel medio
Sección Tercera. Nivel alto
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII
MEDIDAS DE SEGURIDAD
• Administrativas y organizativas
• Técnicas
• Físicas
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
C. E
C
E. Primer informe sobre la aplicación de la Directiva
95/46, sobre protección de datos (2003) 265
“la aplicación de medidas tecnológicas
adecuadas constituye un complemento
fundamental de los medios jurídicos y debe
constituir
i i una parte d
de cualquier
l i esfuerzo
f
grado suficiente de
destinado a obtener un g
protección de la intimidad”.
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
COMUNICACIÓN DE LA COMISIÓN AL P.E. Y AL
CONSEJO (2007) 228
PRIVACY ENHANCED TECHNOLOGY ((PET))
• Instrumentos de cifrado
• Uso de anonimizadores automáticos
• Anuladores de cookies
• Plataformas de preferencias de privacidad
(P3P)
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
MEDIDAS DE SEGURIDAD: Técnicas
• Autenticación de usuarios ((Art. 93,, 98))
• Control de accesos (Art
(Art. 91)
• Cifrado de información (Art. 101, 104)
• Registros de auditoria (Art. 103)
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
IDENTIFICACIÓN Y AUTENTICACIÓN
• Nivel básico (Art. 93)
– Inequívoca y personalizada
– Contraseñas: Asignación, distribución y
almacenamiento
l
i t confidencial
fid
i l e iintegro
t
– Cambios periódicos (menos de un año)
• Nivel medio ((Art. 93))
– Limitación de intentos de acceso
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
IDENTIDAD DIGITAL
• Identificación
– Conjunto de datos alfanuméricos
• Autenticación
– Credenciales
C d
i l ARG1
Diapositiva 11
ARG1
Que permiten demostrar fehacientemente la identidad
Arturo Ribagorda; 25/09/2010
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
IDENTIDAD DIGITAL.
DIGITAL Credenciales
• Rasgo del comportamiento
• Características biométricas (huella dactilar,
voz)
• Posesión de un objeto (tarjeta inteligente o
no )
• Conocimiento de una información
(contraseña)
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
SISTEMAS BIOMÉTRICOS:
É
Ejemplos
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
SISTEMAS BIOMÉTRICOS: Problemas
• Falsa aceptación/Falso rechazo
• Aleatoriedad
UdW1
• Reemplazamiento
• Privacidad (Intimidad)
Diapositiva 14
UdW1
Algunos pueden revelar enfermedades
Usuario de Windows; 08/12/2009
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
AUTENTICACIÓN MEDIANTE LA FIRMA
Solicitud de acceso
Reto
Firma del reto
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
El documento nacional de identidad electrónico1 (Art.
(
15)
1 El d
1.
documento
t nacional
i
ld
de id
identidad
tid d
electrónico es el documento nacional de
identidad que acredita electrónicamente la
identidad personal de su titular y permite la
firma electrónica de documentos
1. Ley 59/03 de firma electrónica
16
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
E ID Ejemplos
E-ID.
• Tarjeta
T j t de
d identificación
id tifi
ió
• Tarjeta sanitaria
• Permiso de conducir
•…
17
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
E ID Problemas
E-ID.
• Suministro
S i i t d
de iinformación
f
ió superflua
fl
• Accesos indebidos
• Uso de certificados de no-repudio
p
•…
18
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
IDENTIDAD DIGITAL: Privacidad en el DNI-e
Zona pública:
– Certificado CA intermedia emisora
– Claves Diffie-Hellman
Diffie Hellman
– Certificado x509 de componente
Zona privada:
– Certificado de Firma (No Repudio)
– Certificado de Autenticación (Digital Signature)
Zona de seguridad:
– Datos de filiación del ciudadano
– Imagen de la fotografía.
– Imagen de la firma manuscrita.
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
AGE: Empleados/firma electrónica avanzada1
Informe REINA 09
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
IDENTIDAD DIGITAL: Privacidad
Protocolos criptográficos
• Firmas grupales
• Firma dual
• Pruebas de conocimiento nulo (ZKP)
• Certificados digitales anónimos
• Firmas ciegas
• Cifrado biométrico
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
MEDIDAS DE SEGURIDAD: Técnicas
• Autenticación de usuarios ((Art. 93,, 98))
• Control de accesos (Art
(Art. 91)
• Cifrado de información (Art. 101, 104)
• Registros de auditoria (Art. 103)
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
DISTRIBUCIÓN SOPORTES: Nivel alto (Art. 101.3)
Deberá
D
b á evitarse
it
ell ttratamiento
t i t d
de d
datos
t d
de
carácter p
personal en dispositivos
p
p
portátiles q
que
no permitan su cifrado. En caso de que sea
estrictamente necesario se hará constar
motivadamente en el documento de seguridad y
se adoptarán medidas que tengan en cuenta los
riesgos de realizar tratamientos en entornos
desprotegidos
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
DISTRIBUCIÓN
Ó DE SOPORTES: Nivel alto (Art. 101.2)
La distribución de los soportes [[…]] se realizará
cifrando dichos datos o bien utilizando otro
mecanismo que garantice que dicha información
p
durante su
no sea accesible o manipulada
transporte. Asimismo, se cifrarán los datos que
contengan los dispositivos portátiles cuando
éstos se encuentren fuera de las instalaciones
que están bajo el control del responsable del
fichero
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
COPIAS DE RESPALDO: Nivel alto (Art. 102)
Deberá conservarse una copia de respaldo de
l datos
los
d t y de
d llos procedimientos
di i t d
de
recuperación de los mismos en un lugar
diferente […], que deberá cumplir en todo caso
g
exigidas
g
en este
las medidas de seguridad
título, o utilizando elementos que garanticen la
integridad y recuperación de la información
información, de
forma que sea posible su recuperación
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
TELECOMUNICACIONES: Nivel alto (Art. 104)
Cuando, […] deban implantarse las medidas de
seguridad de nivel alto, la transmisión de datos
personal a través de redes p
públicas
de carácter p
o redes inalámbricas de comunicaciones
electrónicas se realizará cifrando dichos datos o
bien utilizando cualquier otro mecanismo que
garantice que la información no sea inteligible ni
manipulada por terceros
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
BASES DE DATOS:
DATOS Cinco
Ci
puntos
t clave
l
d
de
inseguridad1
5. Existe un evidente retraso en la aplicación
de técnicas de cifrado sobre las bases de
datos
Estudio 2010 del “Independent Oracle Users Group's”
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
CIFRADO. Ubicación de los mecanismos
• Nivel de red
– IP sec
• Nivel de transporte
– SSL/TLS/WTLS
– SSH (Secure Shell)
• Nivel
Ni l d
de aplicación
li
ió
– Algoritmos de compresión
– Microsoft Office
– S/MIME (p
(p. ej.
j Outlook))
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
CIFRADO DE LOS DATOS: Nivel aplicación
Procesadores de textos
• Microsoft
Mi
ft Offi
Office Word
W d
• Adobe Acrobat Profesional
Agentes de correo
• Microsoft Outlook
Algoritmos de compresión
• WinRAR
AES 128
• WinZip
Algoritmo propietario
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
AGE: Conexiones https frente a http1
18%
https
http
82%
Informe REINA 09
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
CIFRADO DE DATOS: Nivel de red (IP v
v.6,
6 IPsec
Internet
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
MEDIDAS DE SEGURIDAD: Técnicas
• Autenticación de usuarios ((Art. 93,, 98))
• Control de accesos (Art
(Art. 91)
• Cifrado de información (Art. 101, 104)
• Registros de auditoria (Art. 103)
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
CONTROL DE ACCESOS: Nivel básico (Art. 91)
1 Los
L usuarios
i ttendrán
d á acceso autorizado
t i d
únicamente a aquellos datos y recursos que
precisen para el desarrollo de sus funciones
2 [[…]]
2.
3. El responsable del fichero establecerá
mecanismos para evitar que un usuario pueda
acceder a recursos con derechos distintos de
los autorizados
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
CONTROL DE ACCESOS: Nivel básico (Art. 91)
4. Exclusivamente el personal autorizado para
ello en el documento de seguridad podrá
conceder, alterar o anular el acceso autorizado
sobre los recursos, conforme a los criterios
establecidos por el responsable del fichero
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
MEDIDAS DE SEGURIDAD: Técnicas
• Autenticación de usuarios ((Art. 93,, 98))
• Control de accesos (Art
(Art. 91)
• Cifrado de información (Art. 101, 104)
• Registros de auditoria (Art. 103)
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
REGISTRO DE ACCESOS: Nivel alto (Art. 103)
• Datos a guardar (103.1 y 103.2)
• Responsabilidad de su custodia (103.3)
• Periodo mínimo de conser
conservación
ación (103
(103.4)
4)
• Revisión mensual
mensual, informe y problemas (103
(103. 5)
• Excepciones
p
al registro
g
((103. 6))
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII
Disposición adicional única. Productos de software.
Los productos de software destinados al
tratamiento automatizado de datos personales
deberán incluir en su descripción técnica el nivel
de seguridad,
seg ridad básico
básico, medio o alto
alto, q
que
e permitan
alcanzar de acuerdo con lo establecido en el
título VIII de este reglamento
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII. Capítulo III
MEDIDAS DE SEGURIDAD: Físicas
Art. 99. Exclusivamente el personal
autorizado en el documento de seguridad
podrá tener acceso a los locales donde se
encuentren los sistemas de información
con datos de carácter personal
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
REGLAMENTO LOPD: Título VIII
MEDIDAS DE SEGURIDAD: Organizativas
• Documento de seguridad
• Registro
R i t d
de iincidencias
id
i
• Gestión de soportes
• Copias de respaldo y recuperación
• Distribución de soportes
• Auditoría
I Jornada de Protección de datos para directivos de la C.M.
Medidas de seguridad en los tratamientos de datos personales
I Jornada de Protección de Datos para
Directi os de la Comunidad
Directivos
Com nidad de Madrid
Medidas de seguridad en los
tratamientos de
d datos
d
personales
l
Arturo Ribagorda Garnacho
5 de octubre de 2010
Documentos relacionados
Una ETC centrada en mejorar la calidad de lo...
Una ETC centrada en mejorar la calidad de lo...
Mantenimiento de las competencias
Mantenimiento de las competencias
VALORES INSTITUCIONALES
VALORES INSTITUCIONALES
CRITERIOS PARA DELIMITAR EL ENTORNO EMPRESARIAL
CRITERIOS PARA DELIMITAR EL ENTORNO EMPRESARIAL
Documento1925762 1925762
Documento1925762 1925762
Nueva ventana:Necesidades de información (pdf, 24 Kbytes)
Nueva ventana:Necesidades de información (pdf, 24 Kbytes)
Programa jornada medidas de seguridad
Programa jornada medidas de seguridad
Retribuciones correspondientes al año 2015 Presidente* (máximo
Retribuciones correspondientes al año 2015 Presidente* (máximo
Nueva ventana:Responsabilidades en materia de prevención de riesgos laborales (pdf, 21 Kbytes)
Nueva ventana:Responsabilidades en materia de prevención de riesgos laborales (pdf, 21 Kbytes)
Oficio/Circular No - Instituto Tecnológico de Reynosa
Oficio/Circular No - Instituto Tecnológico de Reynosa
Descargar
Anuncio
Anuncio