Seguridad y Alta Disponibilidad - Universidad de Castilla-La Mancha

Seguridad y Alta DisponibilidadLegislación y normas sobre seguridadCarlos Villarrubia JiménezEscuela Superior de InformáticaUniversidad de Castilla-La ManchaOrganismos relacionados conContenidosla seguridad informática● Organismos relacionados con la seguridad● Agencia Española de Protección de Datos:informáticawww.agpd.es● Normas sobre gestión de seguridad de la● SANS Institute: www.sans.orginformación● Centros de respuesta a incidentes:● Legislación sobre los servicios de la sociedad de● CERT: www.cert.orgla información y correo electrónico● FIRST: www.first.org● Legislación sobre protección de datos●●●Centro Nacional de Inteligencia: www.ccn-cert.cni.esInteco: cert.inteco.esIRIS-CERT: www.rediris.es/certhttp://www.esi.uclm.es 2●●Normas ISO sobre gestión deseguridad de la informaciónISO 27001:2005: Sistemas de Gestión de laSeguridad de la Información (SGSI). RequisitosISO 27002:2005: Código de buenas prácticas parala gestión de la seguridad de la información●Normas ISO sobre gestión deseguridad de la informaciónISO TR 13335:1996 Guía para la gestión de laseguridad de TI.●●●Parte 1: Conceptos y modelos para la seguridad de TIParte 2: Gestión y planificación de la seguridad de TIParte 3: Técnicas para la gestión de la seguridad de TI● ISO 7498-2:Interconexión de sistemas abiertos –Modelo de referencia básico. Parte 2: Arquitecturade seguridad

●Legislación sobre los servicios de lasociedad de la información y correoelectrónicoLey 34/2002, de Servicios de Sociedad de laInformación y de Comercio Electrónico●●●●Identificación de la empresaPrecios de los productos/servicios ytotalidad de gastosAcuse de recibo en los pedidosPublicidad electrónica identificada con“publicidad” o “publi” y el emisor●●●●●Legislación sobre protecciónde datosContexto legislativoConcepto de dato de carácter personalObligacionesDerechos de las personasInfracciones y sancionesLegislación vigente●●●Constitución Española. Artículo 18.4: La leylimitará el uso de la informática para garantizar elhonor y la intimidad personal y familiar de losciudadanos y el pleno ejercicio de sus derechosLey Orgánica 15/1999 de Protección de Datos deCarácter Personal (LOPD)Real Decreto 1720/2007 por el que se aprueba elReglamento de Desarrollo de la LOPD (RLOPD)Ejemplos de ficheros condatos1.Curso Seguridad: Nombre y apellidos2.Curso Seguridad: NIF3.Curso Seguridad: Nombre, apellidos y huelladactilar4.Curso Seguridad: Nombre, apellidos y nota delcurso5.Curso Seguridad: Dirección IP del cliente, páginaaccedida y fecha6.Multas de tráfico: Matrícula e importe de multaEjemplos de ficheros condatos6.Acceso al edificio: Nombre, apellidos, DNI y sexo7.Acceso al edificio: Nombre, apellidos, DNI, sexo yraza8.Nomina: Nombre, apellidos y salario9.Recursos Humanos: Nombre, apellidos, salario,retención físcal y descuento por nº de hijos10.Recursos Humanos: Nombre, apellidos, salario,retención fiscal, descuento por nº de hijos,descuento por grado de discapacidad y abono porafiliación sindicalEjemplos de ficheros condatos11.Biblioteca: DNI y libros prestados12.Accidentes: DNI, accidente sufrido y fecha13.Clientes bancarios: DNI y saldo en la cuenta14.Asociaciones: Nombre asociación, dirección,nombre y apellidos del representante15.Directorio: Nombre, apellidos, correo electrónicoy extensión telefónica●●Concepto de dato de carácterpersonalEs toda información de cualquier clase (numérica,alfabética, gráfica, fotográfica, acústica, etc.)concerniente a personas físicas identificadas oidentificablesEjemplos: Nombre, domicilio postal y/oelectrónico, DNI, teléfono, nota de una examen,fotografía, nº de zapato, etc

Tipos de datos según laseguridad requeridaNivel Básico● Nivel Básico: Todos los datos personales que no● Identificativos, características personales,sean de nivel medio o alto. Nivel por defectocircunstancias sociales, académicos y● Nivel Medio: Datos más sensiblesprofesionales, empleo y puestos de trabajo,información comercial, económica, etc...● Nivel Alto: Datos especialmente protegidosNivel MedioNivel Alto●Infracciones administrativas o penales, ficheros desolvencia patrimonial y crédito, administracióntributaria, prestación de servicios financieros,seguridad social, mutuas de accidentes y los quepermiten evaluar la personalidad●●●●●●●●SaludVida sexualOrigen racialIdeología y creenciasAfiliación sindicalReligiónViolencia de géneroDatos recabados para fines policiales sinconsentimiento●ExcepcionesUn fichero tiene el nivel del dato con mayor nivelexcepto:●●Datos de nivel alto con la única finalidad de realizaruna transferencia dineraria a las entidades de las quelos afectados sean miembrosDatos de salud relativos al grado de discapacidad conmotivo de cumplimiento de deberes públicosEjemplos de ficheros condatos1.Curso Seguridad: Nombre y apellidos2.Curso Seguridad: NIF3.Curso Seguridad: Nombre, apellidos y huelladactilar4.Curso Seguridad: Nombre, apellidos y nota delcurso5.Curso Seguridad: Dirección IP del cliente, páginaaccedida y fecha6.Multas de tráfico: Matrícula e importe de multaEjemplos de ficheros condatos6.Acceso al edificio: Nombre, apellidos, DNI y sexo7.Acceso al edificio: Nombre, apellidos, DNI, sexo yraza8.Nomina: Nombre, apellidos y salario9.Recursos Humanos: Nombre, apellidos, salario,retención físcal y descuento por nº de hijos10.Recursos Humanos: Nombre, apellidos, salario,retención fiscal, descuento por nº de hijos,descuento por grado de discapacidad y abono porafiliación sindicalEjemplos de ficheros condatos11.Biblioteca: DNI y libros prestados12.Accidentes: DNI, accidente sufrido y fecha13.Clientes bancarios: DNI y saldo en la cuenta14.Asociaciones: Nombre asociación, dirección,nombre y apellidos del representante15.Directorio: Nombre, apellidos, correo electrónicoy extensión telefónica

● Obligaciones básicas●●●Con carácter previo a la recogida de los datosDurante el tratamiento de los datosUna vez finalizado el tratamientoObligaciones antes de larecogida● Creación y notificación de ficheros● Calidad de los datos● Información al interesado● Consentimiento del interesado●●●●Obligaciones durante eltratamiento de los datosde los datosde secretode los datosCalidadDeberCesión●●●Acceso a datos por cuenta de tercerosModificación de ficherosTransferencias internacionales de datosSeguridad de los datosSeguridad de los datos1 Documento de seguridad1.Documento deseguridad2.Responsable deseguridad3.Auditoría4.Personal5.Identificación yautentificación6.Control y registro deaccesos●7.Gestión y distribuciónde soportes ydocumentos8.Copias de respaldo yrecuperación9.Registro de incidencias10.Telecomunicaciones●●Normativa con el ámbito, medidas, normas yprocedimientosNivel medio:●●Identifica a los responsables de seguridadEstablece los controles periódicos de cumplimiento deldocumento de seguridad2 Responsable de seguridad3 Auditoría●Nivel medio:●●Encargado de coordinar y controlar las medidas deseguridadNo es una delegación de responsabilidad delresponsable del fichero●Nivel medio:●●●●Interna o externa al menos cada 2 añosInforme de adecuación a las medidas, deficienciasidentificadas y propone medidas correctorasAnalizado por el responsable de seguridadA disposición de la AGPD

4 Personal5 Identificación y autenticación●●Funciones y obligaciones de todo el personal conacceso a los datosDifusión entre el personal de las normas que lesafecten y las consecuencias por incumplimiento●●●●Existencia de medidas de identificación yautenticación de usuariosIdentificación unívoca a cada usuarioSi se utilizan contraseñas existirá unprocedimiento de asignación, distribución yalmacenamiento que garantice su confidencialidade integridadRenovación mínima anual de contraseñas yalmacenamiento cifrado5 Identificación y autenticación6 Control y registro deaccesos●Nivel medio:●Mecanismo que limite el nº de intentos reiterados deacceso no autorizado●●●●Cada usuario accede únicamente a los datos yrecursos necesarios para el desarrollo de susfuncionesExiste una relación actualizada de usuarios,perfiles y accesos autorizadosExisten mecanismos para controlar los derechoscon que se accede a los recursosExisten mecanismos que gestionen la concesiónde permisos de acceso sólo por personalautorizado en el documento de seguridad6 Control y registro deaccesos7 Gestión y distribución desoportes y documentos●●Nivel medio:●Control de acceso físico a los locales donde seencuentre los equiposNivel alto:●●●Se registran los intentos de acceso y los accesosauotirzadosEl registro se conserva durante 2 años bajo control delresponsable de seguridad que realiza un informemensualExcepción: persona física como responsable y accesounipersonal●●●●●Identificación del tipo de información contenidaSe mantiene un inventarioSe almacenan con acceso restringidoSe debe autorizar la salida de soportes y adoptarmedidas de seguridad para evitar la sustracción,pérdida o acceso indebidoSe adoptan medidas en caso de desecho desoportes7 Gestión y distribución desoportes y documentos8 Copias de respaldo yrecuperación●●Nivel medio:●Registro de entrada y salida de soportesNivel alto:●●Sistema de etiquetado sólo comprensible para losusuarios autorizadosSe cifran los datos en la distribución de soportes y enlos dispositivos portátiles●●●●●Debe existir un procedimiento de copias derespaldo y recuperación de datosEl procedimiento garantiza la reconstrucción delos datos en el estado originalSe realiza una copia de respaldo semanalComprobación cada seis del sistema de copias derespaldo y recuperaciónLas pruebas no se realizarán con datos realessalvo con medidas de seguridad y se ha hechouna copia de respaldo previamente

8 Copias de respaldo yrecuperación9 Registro de incidencias●Nivel alto:●Se debe registrar las incidencias●Debe existir una copia de respaldo y de losprocedimientos de recuperación en lugar diferente delque se encuentren los equipos●Nivel medio:●●Registro de realización de procedimiento derecuperación y persona que lo ejecuta, datosrestaurados y grabados manualmenteAutorización expresa de la ejecución de losprocedimientos de recuperación de datos10 TelecomunicacionesObligaciones finalizado eltratamiento de los datos●Nivel alto:●Cancelación y bloque de los datos●La transmisión de datos a través de redes públicas ode redes inalámbricas debe ser cifrada●Supresión de ficheros●●●●Derechos de las personasInfracciones y sanciones● Leves: De 601€ a 60.000€● Graves: De 60.001 a 300.000€● Muy graves: De 300.001€ a 600.000€● Acceso● Rectificación● Cancelación● OposiciónImpugnación de valoracionesDerecho de consulta al Registro General deProtección de DatosDerecho de indemnizaciónDerechos ARCO:Documentación●Sitios web de los organismos indicadosanteriormente● La protección de datos personas versión 2.0.Soluciones en entornos Microsoft