La seguridad de los sistemas de información en Radiología

Tamaño: px
Comenzar la demostración a partir de la página:

Download "La seguridad de los sistemas de información en Radiología"

Transcripción

1 La seguridad de los sistemas de información en Radiología Albert Martínez Aparisi Licenciado en Informática. Licenciado en Documentación. Hospital Marina Alta i CE. Dénia (Alicante). Conselleria de Sanitat. Profesor Área de Ingeniería de Organización. Universidad Politécnica de Valencia. CISA, CISM. Los avances tecnológicos surgidos en los últimos años en el ámbito de la radiología abren el camino hacia la radiología digital y están suponiendo un gran cambio en la manera en que las organizaciones sanitarias acceden, gestionan y utilizan la información radiológica. Por un lado, los sistemas RIS (Radiological Information System) implantados en el área radiológica, ayudan a planificar y programar las tareas del servicio, permitiendo un uso más óptimo de los recursos y tomar decisiones de manera más eficiente. Por otra parte, los sistemas PACS (Picture Archiving and Communication System) eliminan la necesidad de crear placas radiológicas a través de la adquisición, archivo, transmisión y gestión de los exámenes y estudios efectuados en cualquier modalidad diagnóstica. Las pruebas radiológicas realizadas se transforman en imágenes digitales que se envían al servidor de los estudios y a las estaciones de trabajo para ser diagnosticadas e informadas. De esta forma, un sistema PACS permite el acceso a las imágenes clínicas para su diagnóstico e investigación desde cualquier lugar y en cualquier momento. De igual manera, las imágenes y los informes correspondientes pueden ser accedidos desde lugares distintos al área de radiología, desde cualquier puesto de trabajo del centro hospitalario o desde fuera de él, por cualquier médico facultativo autorizado que lo requiera en sus tareas asistenciales o de investigación. A medida que las organizaciones sanitarias incorporan el uso de las tecnologías de la información en sus procesos asistenciales y de gestión existe una mayor dependencia de la información electrónica y de las redes de comunicaciones y, en consecuencia, aumenta la necesidad de que dicha información y las redes que la transportan sean más accesibles y operativas. Por otro lado, una de las características de la información que gestionan los servicios de radiología es su confidencialidad, al ser información sobre la salud de las personas que, además, está explícitamente protegida por ley. Por ello, el gran reto actual en los sistemas de información radiológicos es que la información esté disponible con el formato adecuado cuando y donde se requiera, que la información sea de calidad y fiable en todo momento y que permita asegurar que sólo aquellas personas que han sido autorizadas tienen acceso a la información de manera conveniente. 1. LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN La información electrónica se ha convertido en un activo esencial que permite aumentar el valor de los procesos asistenciales y de gestión en radiología. Esta importancia debe corresponderse con un sistema de información confiable, de tal modo que éste debe comportarse tal y como se espera. Para desarrollar esta confianza han de establecerse acciones y métodos para proteger dichos sistemas de información de una amplia gama de amenazas como virus informáticos, vandalismo, incendios, fallos de hardware o de software, uso indebido de la información. La seguridad de la información tiene entre sus objetivos detectar, controlar y mitigar los riesgos producidos por las amenazas a las que están expuestos los sistemas de información. Según la norma UNE-ISO/IEC 17799:2002, Código de buenas prácticas para la Gestión de la seguridad, la seguridad de la información tiene como objetivo preservar: a) La confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información. b) La integridad, asegurando que la información y sus métodos de proceso son exactos y completos. c) La disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y sus activos asociados cuando lo requieran. La seguridad de un sistema de información radiológica se puede conseguir mediante la implantación de las medidas oportunas que contribuyan a disminuir los riesgos producidos por las amenazas que le puedan afectar. Estas medidas, que pueden ser organizativas o tecnológicas, permiten crear un entorno seguro para los datos, la información, las aplicaciones y los sistemas que los soportan. Una medida organizativa puede ser la designación de un responsable de la seguridad del sistema de información de radiología, mientras que una medida tecnológica seria la implantación de un software para la detección y eliminación de virus informáticos en el servidor de imágenes. No obstante y por la obligación de cumplir con las leyes en vigor, podemos hablar de una tercer tipo de medidas 109

2 que son las legislativas. Este tipo de medidas se corresponden con el marco legal que obliga a proteger la información de carácter personal y su cumplimiento se traduce en la implantación de ciertas medidas organizativas y tecnológicas. 2. OBJETIVOS DE LA SEGURIDAD La seguridad de los sistemas de información en radiología ha de caracterizarse por conseguir los siguientes objetivos: 1) Soporte de la misión de la organización. 2) Implicación de la Dirección. 3) Enfoque global e integrado. 4) Responsabilidades explícitas 5) Concienciación de la seguridad 6) Criterios de coste-efectividad 7) Proceso sistemático y reevaluado periódicamente. 2.1 Soporte de la misión de la organización El propósito de la seguridad de la información es proteger los recursos informacionales 1 valiosos para la organización: la información, el hardware y el software. Con la selección y aplicación de las salvaguardas apropiadas, la seguridad ayuda a alcanzar la misión de la organización mediante la protección de los recursos informacionales físicos y lógicos, el mantenimiento y mejora de la imagen organizativa, el cumplimiento de la legislación vigente, además de la protección de otros activos tangibles e intangibles. El servicio de radiología debe proteger sus servidores, estaciones de trabajo, los programas, los datos y la infraestructura de soporte. No obstante, la seguridad no es un fin en sí mismo, sino que ayuda a conseguir que los procesos relacionados con los sistemas de información radiológicos se realicen con eficiencia y corrección. El beneficio obtenido con la seguridad se traduce en una mayor calidad en la atención al paciente, puesto que se consigue que el proceso asistencial se realice cuando se necesita, con información adecuada y pertinente y que sea realizado por el personal autorizado. 2.2 Implicación de la dirección Sin el soporte de la dirección, la implantación de las medidas de seguridad puede quedar en una simple aventura, diluyéndose los esfuerzos aplicados. La dirección de la organización debe tomar conciencia real del valor que la información tiene en los procesos asistenciales y, por ello, ha de facilitar los recursos necesarios, tanto materiales como humanos, para conseguir el aseguramiento de tan valioso activo. Por otro lado, el soporte de la dirección ayuda a que el resto de la organización asuma y cumpla las medidas de seguridad implantadas. 2.3 Enfoque global e integrado Para que la seguridad de la información sea efectiva se requiere un enfoque global, en la medida en la que debe cubrir todas las áreas informacionales, e integradora, buscando la sinergia en la implantación de las medidas de seguridad. De poco puede servir la implantación de un potente software antivirus en el servidor de imágenes si no aseguramos su alimentación eléctrica mediante un SAI (Sistema de Alimentación Ininterrumpida) en caso de corte del suministro eléctrico. La seguridad de la información debe comenzar con un análisis de riesgos 2 para que la organización conozca las amenazas a las que está expuesta y decida qué nivel de riesgo está dispuesta a asumir. Es obvio que si no conocemos no podemos decidir adecuadamente. A partir de este análisis de riesgo deben tomarse las decisiones oportunas encaminadas a la implantación de las salvaguardas que permitan controlar y mitigar dichos riesgos. En el proceso de decisión, la organización puede priorizar la implantación de las medidas de seguridad sobre la base de criterios económicos, temporales, etc. Mediante el análisis y gestión de los riesgos se consigue un enfoque global e integrado de la seguridad del sistema de información. No obstante, debido a la diversidad y variabilidad de las amenazas a los que están expuestos los sistemas de información, ningún sistema de seguridad elimina completamente la posibilidad de verse afectado por una amenaza al sistema. 2.4 Las responsabilidades sobre la seguridad de la información deben hacerse explícitas La organización debe conocer los activos informacionales protegidos, así como el valor asignado a cada uno de ellos, con el fin de hacer un uso adecuado de la información. Esto se traduce en la identificación y definición de los siguientes roles: a) Propietario del activo, Unidad responsable del activo, quien define el uso y fines del sistema de información. También se responsabiliza de proteger los activos, aunque puede delegar la autoridad, que no la responsabilidad, en otros para garantizar la seguridad adecuada del sistema. En el RD 994/1999 se define como Responsable del fichero Recursos informacionales (informational resources) se refiere a los datos o información, hardware y software que permiten al usuario poder acceder convenientemente a dichos datos o información. Eaton, J.J.; Bawden, D. (1991). "What kind of resource is information?" International Journal of Information Management (núm. 11, pàg ) 2. El Consejo Superior de Informática ha desarrollado una herramienta de análisis y gestión de riesgos, Magerit, que puede aplicarse tanto en el sector público como en el privado. Puede consultarse en la siguiente dirección: (accedido 02/02/04)

3 b) Administrador de la seguridad, quien se encarga del análisis, diseño, implantación y mantenimiento de la seguridad del sistema, instalando y manteniendo los controles necesarios para proteger la información, de acuerdo con los niveles de protección establecidos. Esta figura esencial en cualquier sistema de seguridad de información se denomina Responsable de Seguridad en el RD 994/1999. c) Usuarios del sistema de información, quienes deben conocer el nivel de protección de la información que utilizan y cumplir con los controles establecidos por el propietario del activo, absteniéndose de utilizar el sistema de información con unos fines diferentes a los previstos. 2.5 Concienciación en la seguridad La concienciación es un elemento esencial para una seguridad efectiva. La ausencia de concienciación puede reducir significativamente la efectividad de las medidas o salvaguardas. De nada sirve disponer de eficientes medios de acceso a la información si el usuario no repara en comentar aspectos confidenciales de la información sanitaria a personas no autorizadas. Generalmente, los usuarios son considerados como uno de los eslabones más débiles en la cadena de la seguridad. Para fomentar la conciencia en la seguridad de la información es recomendable establecer y mantener un plan de concienciación, con el propósito de dar a conocer la necesidad de la seguridad, así como los objetivos y estrategias en los que se apoya. El plan de concienciación en seguridad debería implantarse a todos los niveles, desde la dirección hasta los usuarios encargados de las actividades diarias, mediante actividades de formación, distribución de boletines, folletos. 2.6 La seguridad de la información debe basarse en criterios de coste-efectividad. El coste y los beneficios de la seguridad deben ser examinados, no sólo en términos monetarios, para asegurar que el coste de los controles o salvaguardas aplicados no exceden del beneficio esperado. La seguridad debe ser apropiada y proporcional al valor de la información y al riesgo al que está expuesto el sistema de información. De esta manera, las medidas de seguridad implantadas varían de un sistema de información a otro, dependiendo de la naturaleza de éste. 2.7 La seguridad de la información debe ser un proceso sistemático y reevaluado periódicamente. Los sistemas de información radiológicos y el entorno en que operan están en constante cambio. La tecnología, los usuarios, la información y los riesgos asociados hacen que la seguridad de la información se vea inmersa en un continuo cambio. La conexión con otras redes de información para el envió de imágenes radiológicas, un cambio en la aplicación informática de gestión de informes o la sustitución de elementos hardware son algunas de las acciones que pueden incrementar el riesgo en el sistema de información. Dado que es habitual que se produzcan este tipo de eventos, se hace necesario enfocar la seguridad de la información como un proceso sistemático que debe reevaluarse periódicamente. La gestión de la seguridad de la información se puede identificar perfectamente con el enfoque PDCA (Plan, Do, Check, Act) utilizado en los procesos de mejora continua de la calidad. Dicho enfoque supone realizar cíclicamente los procesos de: planificar las acciones, implementarlas, controlar la consecución de los objetivos propuestos y aprovechar la realimentación obtenida para mejorar la planificación. Este es la orientación que se plantea en la norma de la British Standard sobre seguridad de la información, BS :2002. Figura 1 Ciclo PDCA. BS : LOS NIVELES DE LA SEGURIDAD DE LA INFORMACIÓN Una organización sanitaria puede optar por aplicar las medidas de seguridad que le obliga la legislación vigente, o bien puede enfocar la seguridad desde una perspectiva más amplia y decidir implantar un sistema para la gestión de la seguridad de la información. Esta visión integrada de la seguridad de la información permite combinar las medidas aplicadas, tanto tecnológicas como organizativas, permitiendo que los sistemas de información radiológicos ofrezcan soporte a la misión de los servicios de radiología: realizar pruebas radiológicas e informar las imágenes con criterios de eficiencia, calidad diagnóstica y asistencial. A continuación, se presenta una adaptación del modelo de madurez de la seguridad (Security Maturity Model) de la ISO para definir los niveles o estados de seguridad crecientes de la información. Esta adaptación del modelo de madurez ayuda a clasificar los sistemas de seguridad de la información según el grado de implantación de medidas de seguridad: Nivel 0. No existe evidencia de la presencia de medidas de seguridad, al menos de manera expresa. Es el caso de 111

4 112 organizaciones donde no existe, entre otros, un control de accesos personalizado, no se realizan copias de seguridad de los datos de manera sistemática, etc. Nivel 1. Las medidas de seguridad aplicadas tienen como objetivo cumplir con la legislación vigente, principalmente, la Ley orgánica de protección de datos (LO 15/1999) y el Reglamento de seguridad (RD 994/1999). Nivel 2. En este nivel se persigue la implantación de medidas de seguridad basadas en códigos de buenas prácticas, aunque la gestión de la seguridad de la información no se considera un proceso sistemático. Es el caso, por ejemplo, de la implantación de algunas medidas de seguridad contempladas en la norma ISO 17799:2002. Nivel 3. La seguridad de la información se entiende como un proceso sistemático y continuo, con un enfoque global e integrado. Existe un verdadero sistema de gestión de la seguridad de la información, aplicando periódicamente las herramientas de análisis y gestión de riesgos, revisando los planes de seguridad, etc. La seguridad es un proceso integrado en la gestión de la organización. Nivel 4. La organización se preocupa por la certificación de los componentes de su sistema de información que permita un nivel de aseguramiento inicial. Se persigue la certificación del sistema operativo, las aplicaciones, etc. Este es un nivel de seguridad avanzado. Para la certificación de productos y sistemas se utiliza la norma ISO 15408, que se corresponde con los conocidos common criteria 1. Figura 2. Niveles de implantación de la seguridad. Adaptación del Modelo de Madurez de la Seguridad (ISO 21827) 1. Puede consultarse en (accedido 03/02/04) 4. LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Un punto de partida para establecer un sistema de gestión de la seguridad de los sistemas de información puede ser la adopción de un código de buenas prácticas como es la norma UNE-ISO/IEC Esta norma ofrece recomendaciones para realizar la gestión de la seguridad de la información y proporciona una base común para desarrollar normas de seguridad en las organizaciones. Se estructura en 10 secciones comprendiendo, cada una de ellas, diversas recomendaciones para la aplicación de medidas de seguridad. 1. Políticas de seguridad. 2. Aspectos organizativos para la seguridad. 3. Clasificación y control de activos. 4. Seguridad ligada al personal. 5. Seguridad física y del entorno. 6. Gestión de comunicaciones y operaciones. 7. Control de accesos. 8. Desarrollo y mantenimiento de sistemas. 9. Gestión de continuidad del negocio. 10. Conformidad. 4.1 Políticas de seguridad Las políticas de seguridad constan de un conjunto de principios y de reglas para la protección de los sistemas de información. Es el marco normativo de la organización que dirige y da soporte a la gestión de la seguridad de la información. Se implantan mediante la aplicación de las medidas o salvaguardas apropiadas para asegurar el nivel de riesgo asumido. Las políticas de seguridad deben ser impulsadas por la dirección para asegurar el compromiso de los recursos materiales y humanos necesarios para su implantación y cumplimiento. El documento de política de seguridad debería contener, al menos, la siguiente información: 1. Definición del sistema de información y sus límites, considerando sus objetivos y el alcance de la seguridad. 2. Objetivos de la seguridad en relación con las obligaciones legales y normativas, y con los objetivos de la organización 3. Enfoque de gestión de riesgos y el nivel de riesgo perseguido por la organización, así como la definición de los medios por los que se determinan prioridades para la implantación de salvaguardas 4. Reglas generales para el control de acceso, tanto lógico como físico. 5. Enfoque de concienciación y formación en seguridad en la organización 6. Infraestructura organizativa y definición de las responsabilidades en la seguridad de los sistemas de información. 7. Gestión de las incidencias y de la continuidad del negocio. 8. Referencias a formularios, procedimientos y reglas que den soporte a las políticas.

5 Las políticas deben ser impulsadas por la Dirección y distribuidas por toda la organización en un formato apropiado, entendible y accesible. Además, debe tener un responsable de su mantenimiento que se encargue de adaptarlas a cualquier cambio significativo que afecte a la evaluación inicial de riesgo del sistema de información. Periódicamente, deberían revisarse las políticas para evaluar: a) su efectividad b) el coste y el impacto en los procesos c) su adecuación a los efectos de los cambios tecnológicos. 4.2 Aspectos organizativos para la seguridad Es necesario disponer de una estructura organizativa que permita una gestión eficiente de la seguridad de la información 1. Todo ello supone establecer: a) un comité de seguridad de la información, que debería formar parte de la estructura directiva. Es el encargado de promover la seguridad mediante la creación, aprobación y mantenimiento de las políticas de seguridad, así como la revisión y seguimiento de las incidencias en la seguridad de la información. En grandes organizaciones puede ser necesario la creación de un grupo que se encargue de la coordinación de la seguridad de la información. b) Asignación de responsabilidades sobre seguridad de la información, estableciendo un responsable de la información quien puede delegar la responsabilidad de la seguridad en otras personas. c) Proceso de autorización de recursos para el tratamiento de la información. d) Asesoramiento de especialistas en seguridad de la información, con el objetivo de disponer de una opinión especializada sobre las amenazas de seguridad y la efectividad de los controles implantados. e) Cooperación entre organizaciones, manteniendo contacto con las autoridades que se ocupan de hacer cumplir la legislación, los organismos reguladores, los proveedores de servicios de información y los operadores de telecomunicaciones para asegurar la adopción inmediata de acciones cuando se producen incidencias de seguridad. f) Revisión independiente de la seguridad de la información. También es necesario mantener el control del acceso por parte de terceros a los sistemas de información radiológica, debiéndose realizar una evaluación del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que requieren. Estas medidas de control deberían definirse y aceptarse en un contrato con la tercera parte. 4.3 Clasificación y control de activos No toda la información que se maneja en un servicio de radiología necesita el mismo nivel de confidencialidad. Una imagen radiológica y su correspondiente informe exigen una protección mayor que una estadística de pruebas realizadas en un determinado aparato. En consecuencia, las medidas que deben aplicarse sobre la información que gestiona el servicio de radiología serán distintas según la naturaleza de dicha información. La información debería clasificarse en función del valor que se le otorgue, así como también en términos de su criticidad para la organización. Esta criticidad puede establecerse según la integridad, disponibilidad y confidencialidad de la información manejada en el servicio de radiología. Aun teniendo en cuenta la innegable utilidad de catalogar la información, es importante no sobre-clasificarla pues podríamos generar un esquema de clasificación excesivamente complejo que podría llegar a ser impracticable. En el RD 994/1999 se define una clasificación de la información de carácter personal que consta de tres categorías: nivel bajo, medio y alto. Los datos correspondientes a la salud deberán estar protegidos con las medidas de seguridad calificadas de nivel alto. 4.4 Seguridad ligada al personal La seguridad de la información radiológica debe integrar a los usuarios del sistema con el fin de garantizar su sensibilización respecto de los riesgos que pudiera conllevar un tratamiento incorrecto de la información. Podemos disponer de un sistema de acceso al sistema muy seguro con unos perfiles y roles de usuario perfectamente definidos, pero de nada sirve si un usuario anota su login y su contraseña en un papel pegado en la pantalla. En cualquier caso, la seguridad de la información en la organización se convierte en un elemento más de la cultura corporativa, cuyos valores dependerán, en gran medida, de la consideración que la organización otorgue a la información que gestiona. Una de las medidas fundamentales para conseguir la sensibilización de los usuarios es difundir por toda la organización los Planes y Políticas de Seguridad, haciendo que esta información esté accesible a todos de manera rápida y fiable. Esta difusión puede complementarse con sesiones de formación y capacitación para asegurar que los usuarios son conscientes de las amenazas y riegos que pueden afectar al sistema de información radiológico. Tener usuarios informados facilita la consecución de unos de los objetivos de la seguridad: hacer un uso correcto de la información para minimizar los posibles riesgos. Es importante conseguir que el usuario se convierta en un pilar fundamental del sistema de seguridad de la infor- 1. UNE IN -Tecnologia de la información (TI). Guía para la gestión de la seguridad de TI. Parte 2: Gestión y planificación de la seguridad. Corresponde con ISO/IEC TR :

6 114 mación radiológica. Los usuarios deben realimentar el sistema de seguridad mediante la notificación de incidencias, observadas o sospechadas, que puedan tener un impacto en la seguridad de los activos informacionales. Esta notificación de las incidencias debe realizarse tan pronto como sea detectada, a fin de minimizar los daños que pudieran provocar. Para ello, debe crearse un procedimiento de notificación ágil y rápido que indique al usuario cómo y a quién debe trasladar las incidencias en materia de seguridad de la información radiológica. Los usuarios deberían ser informados del estado de las incidencias notificadas, así como de su resolución y cierre. La seguridad de los sistemas de información radiológicos también comporta una responsabilidad por parte de los usuarios. Por un lado, existe la obligación al secreto profesional y al deber de guardarlo, aún después de finalizada la relación contractual con la organización. Por otro parte, también existe la obligación de utilizar el sistema de información para los fines previstos según las funciones del puesto de trabajo que se desempeñe. Los términos y las condiciones del contrato de trabajo deberían contemplar la responsabilidad del empleado en materia de seguridad de la información radiológica, así como las consecuencias en que pudiera incurrir en caso de incumplimiento. 4.5 Seguridad física y del entorno La seguridad física tiene como objetivo proteger al sistema de información radiológico de accesos no autorizados, daños e interferencias contra las instalaciones de la organización. No sólo es importante la protección física del servidor de imágenes radiológicas sino también cualquier otro elemento físico que forme parte del sistema informacional, como son las estaciones de trabajo, el cableado, las instalaciones eléctricas, etc. Esta protección física puede conseguirse mediante la creación de barreras físicas en torno a los activos informacionales que establezcan un perímetro de seguridad claramente definido. Tanto los servidores de imágenes radiológicas como los servidores de RIS deberían estar ubicados en una sala separada de las zonas de tránsito y de las zonas de trabajo. El acceso a estas salas debe contar con controles físicos de entrada con el objetivo de restringir dicho acceso sólo al personal autorizado. Asimismo, las zonas de trabajo del servicio de radiología, tanto las salas de informado como las zonas donde se encuentran los equipos de adquisición de imágenes, han de considerarse áreas seguras. Deben aplicarse las medidas de seguridad oportunas para evitar el acceso no autorizado a las estaciones de trabajo. Los activos físicos informacionales deben protegerse para reducir las posibles amenazas del entorno: Robo Incendio: deben cumplirse las normas referentes a la protección de incendios, instalando extintores apropiados, prohibiendo fumar, evitando acumular papel y despejando las vías de salida de emergencia. Es imprescindible la instalación de sistemas de detección y extinción de incendios, así como su revisión periódica. También es recomendable disponer de armarios ignífugos para almacenar las copias de respaldo. Humo: deben instalarse sistemas detectores de humos. Agua: es importante evitar las zonas con canalizaciones de agua. En ocasiones, puede ser recomendable instalar sistemas de detección y evacuación de agua. Polvo: debe mantenerse el entorno libre de partículas de polvo que puedan afectar al funcionamiento de los equipos. Vibraciones: las vibraciones pueden alterar el correcto funcionamiento de los equipos eléctricos. Agentes químicos: deben utilizarse protecciones especiales en ambientes químicamente agresivos. Interferencias en el suministro eléctrico: es fundamental realizar un proyecto eléctrico que asegure la independencia de las acometidas de líneas eléctricas, así como disponer de cuadros eléctricos con diferenciales, magnetotérmicos y filtros adecuados. También se considera esencial disponer de un sistema de alimentación ininterrumpida (SAI) para asegurar la continuidad del suministro eléctrico, así como de un grupo electrógeno adecuado. Todo ello debería estar vigilado por unas alarmas que avisen de cualquier contingencia en el suministro eléctrico. Radiaciones electromagnéticas: es importante evitar zonas que puedan generar campos magnéticos que afecten negativamente a los activos informacionales. Merecen una mención especial los equipos que pueden salir de los locales de la organización. Es el caso de los ordenadores portátiles, los PDA que puede utilizar un radiólogo para acceder a la información desde fuera de la organización para informar desde otras ubicaciones, visualizar imágenes radiológicas, etc. En estos casos es importante extremar las medidas de seguridad, ya que aumentan considerablemente los riesgos, mediante un registro de entrada y de salida de los activos informacionales. Este control de entrada salida debería extenderse a cualquier medio de almacenamiento físico extraíble, como los disquetes, discos duros, discos ópticos. También debe considerarse el riesgo en los casos de reutilización o eliminación de los equipos y medios de almacenamiento. Hay que asegurarse que la información sensible existente en estos medios de almacenamiento ha sido completamente borrada o sobreescrita y que no puede volver a ser reproducida. 4.6 Gestión de comunicaciones y operaciones Tanto los usuarios como los administradores del sistema de información radiológicos deben conocer los procedimientos operacionales adecuados a sus tareas. Los administradores del sistema deben asegurar la continua dispo-

7 nibilidad del sistema actuando eficientemente frente a contingencias operativas, como liberar una cola de autorouting de una modalidad DICOM, rearrancar el sistema, etc. Por otra parte, los usuarios deben conocer el entorno operacional y hacer un uso correcto del sistema. Para ello, es fundamental la documentación de los procedimientos operativos, tanto a nivel de usuario como a nivel de la administración del sistema. Deben estar documentados todos los procedimientos operativos, desde cómo encontrar las imágenes de una determinada serie radiológica de un paciente a cómo crear un usuario nuevo en el sistema. Cualquier situación no conocida por los usuarios o administradores en la operación del sistema de información radiológica puede conllevar una situación de riesgo en términos de: disponibilidad, porque el administrador no conozca cómo iniciar el sistema o el usuario no encuentre una imagen que deba informar integridad, en situaciones donde se corrompan los datos confidencialidad, si se envía, por ejemplo, un informe radiológico a un destinatario no autorizado. Del mismo modo, los cambios en los activos informacionales: servidores, estaciones de trabajo, programas y aplicaciones, ya sean mejoras o corrección de errores en el software, deben ser suficientemente probados antes de ser instalados con total garantía en el entorno de explotación. Asimismo, deben ser los usuarios quienes, tras haber comprobado la calidad de los activos a instalar y que éstos recogen los requerimientos exigidos, aprueben y autoricen las condiciones de instalación, indicando cuando y cómo debe realizarse el cambio. Es esencial tener una adecuada gestión de la configuración del sistema de información radiológica. Las pruebas del software no deben realizarse, en ningún caso, en el entorno de explotación, puesto que cualquier error en el software puede dar lugar a situaciones no previstas como pérdida de integridad o borrado de la información, además de la no disponibilidad del sistema de información radiológica. La integridad de la información y de los programas puede verse afectada por la presencia de software malicioso como los virus informáticos, los caballos de Troya, gusanos, bombas lógicas o demás fauna destructiva. Es importante disponer de una política adecuada contra los riesgos que conlleva la obtención de programas y datos mediante redes externas, como la red internet, o cualquier otro medio. Debe instalarse un software antivirus, con actualizaciones regulares, que explore de manera sistemática los servidores y las estaciones de trabajo del área de radiología. Este software debe permitir la detección y eliminación automática de cualquier archivo que contenga software malicioso, así como permitir su trazabilidad para facilitar la investigación del foco de la posible infección. La gestión de las operaciones debe asegurarse en términos de integridad y disponibilidad. Para ello es imprescindible la realización sistemática de copias de seguridad de los datos y de los programas que conforman el sistema de información radiológica. De esta manera, el sistema puede recuperarse en el punto donde se realizaron las últimas copias de seguridad. En los entornos de los servicios de radiología es fundamental disponer de sistemas de copias que garanticen la reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. Esta garantía puede conseguirse mediante el uso de sistemas gestores de bases de datos que gestionen el almacenamiento de las transacciones en medios externos. Actualmente, los sistemas PACS utilizan cabinas de almacenamiento en DVD para almacenar las imágenes, después de un periodo de retención en los medios de almacenamiento magnéticos. No obstante, también hay que hacer copias de seguridad de la base de datos del PACS así como de los programas del servidor de imágenes. Para esto puede ser aconsejable el uso de cintas magnéticas, o cualquier medio de almacenamiento óptico. La frecuencia de las copias dependerá del volumen de información producida: puede ser aconsejable hacer una sola copia diaria o una copia nocturna y otra a media mañana. En cualquier caso, deben ser copias desatendidas que no obliguen a la presencia de un operador para realizarse. También es importante disponer de distintos conjuntos de copia, por ejemplo, dos conjuntos para semanas alternas donde cada uno de ellos se compone de siete cintas o discos ópticos, dependiendo del volumen de datos a copiar, una para cada día de la semana. De esta manera, si la última copia no consiguiese restaurarse, puede ser un mal menor restaurar la penúltima copia, aunque se perderían las imágenes y los informes de una jornada de trabajo. Estos medios de almacenamiento externos deben estar etiquetados e identificados, y es obligado, por el RD 994/1999, almacenarlos en un lugar externo a la ubicación de los equipos de tratamiento de la información radiológica. La restauración de los datos desde cualquier copia de seguridad debe ser autorizada por el responsable de la información y debe quedar registro de las condiciones en que se realizó dicha restauración de datos. Las redes de comunicaciones ofrecen un alto valor añadido a la gestión de la información radiológica. La posibilidad de acceder desde lugares distintos al que están ubicados los activos informacionales permite que los radiólogos puedan consultar las imágenes y los informes de otros centros sanitarios. Asimismo, se abre la puerta al teletrabajo, que supone la posibilidad de que el radiólogo pueda recibir las imágenes en otro sitio distinto a su lugar de trabajo, por ejemplo en su domicilio, para diagnosticar e informar las imágenes radiológicas. Pero todo ello debe realizarse con las máximas garantías de seguridad. La transmisión de datos a través de las redes expone la información a serias amenazas que aumentan considerablemente el riesgo. Abrir la red interna a posibles conexiones externas permite la entrada de intrusos al sistema que 115

8 116 pueden poner en peligro la seguridad de la información. Por ello, es esencial disponer de mecanismos que aseguren el acceso a la información desde otras redes de datos. Una medida esencial para mitigar dicho riesgo es la encriptación o cifrado de la información que es la base de cualquier sistema seguro de transmisión de datos. El acceso a la información de forma remota debe realizarse, siempre que sea posible, mediante redes privadas virtuales o VPN (Virtual Private Networks), las cuales permiten utilizar de manera segura redes de datos públicas, como Internet, para acceder a redes privadas mediante la encriptación de la información transmitida. De esta manera, si la red donde se encuentran los servidores de imágenes permite el uso de VPN, sólo es necesaria la instalación del software adecuado de VPN en el ordenador cliente para poder acceder de manera segura a las imágenes radiológicas desde cualquier sitio distinto al lugar donde se ubican los activos informacionales. Figura 3. Esquema de una Red Privada Virtual con acceso desde la red Internet. 4.7 Control de accesos El control de accesos es una función esencial en cualquier sistema de seguridad de la información que permite proteger los datos de posibles accesos no autorizados. Se pueden distinguir distintos componentes: Identificación y autenticación de usuarios, que se refiere a la capacidad de verificar que un usuario, convenientemente identificado, que accede a un sistema es quien dice ser. Este componente es un requisito previo a la autorización del acceso a los recursos del sistema. Para identificar y autenticar a los usuarios existen distintos sistemas como la asignación de login y contraseña, la identificación por huella digital o por reconocimiento del iris del ojo humano, la utilización de una tarjeta identificativa, de banda magnética o con microprocesador llamadas smartcards. Autorización de derechos de acceso a los recursos del sistema. Un usuario correctamente autenticado ya ha entrado en el sistema, pero sólo tendrá acceso a la información y las funcionalidades de la aplicación que tenga asignadas en su lista de control de accesos. Puede que un radiólogo tenga acceso completo a las imágenes de un sistema PACS, mientras que un traumatólogo sólo tenga acceso a la consulta de las series realizadas sobre un grupo específico de modalidades diagnósticas. Control y auditoria de accesos. Es imprescindible que cada acceso a cualquier elemento de información protegida quede registrado en el sistema, dejando constancia de quien ha accedido a qué, cuando, desde dónde, etc. Estas anotaciones facilitan la auditoria del sistema en casos de accesos no autorizados. La auditoria de accesos es obligatoria para los ficheros con datos relativos a la salud, según el RD 994/1999. Para realizar un adecuado control de los accesos deben adoptarse los procedimientos oportunos para registrar las altas y bajas de acceso de los usuarios a los datos que autorice el responsable de la información. Asimismo, es importante informar al usuario de sus deberes y obligaciones en el sistema de información. La identificación del usuario en el sistema debe ser unívoca. Si el sistema de identificación es mediante la asignación de login y contraseña, cada usuario tendrá asignada una pareja de login y contraseña que deberá guardar de manera confidencial; igualmente si el sistema de acceso es mediante tarjeta identificativa, ya que estas suelen llevar asociado una clave o PIN (Personal Identification Number). El login o la tarjeta identifican a una persona como usuario del sistema y compartir dicho identificador puede dar lugar una suplantación de los derechos de acceso y, consecuentemente, el propietario del identificador podría comprometer su responsabilidad por las acciones realizadas por el suplantador. El password o contraseña asociado a un identificador, tarjeta o login, no es deseable que sea permanente: debe cambiar cada cierto período de tiempo (3 meses) y no deberia ser posible escribir la misma contraseña anterior. Asimismo, es importante implantar el bloqueo de las cuentas cuando se registren un determinado número de intentos de acceso erróneos, puede suceder que en estos casos el usuario no recuerde su contraseña pero también es probable que alguien esté intentando suplantar a un usuario registrado escribiendo contraseñas posibles. Otra característica de seguridad relacionada con el control de accesos es la desconexión automática de las sesiones no activas para evitar el acceso no autorizado a la información radiológica. Si el control de accesos es importante para los usuarios del sistema de información radiológica, se convierte en crucial en los casos de accesos por parte de terceros. 4.8 Desarrollo y mantenimiento de sistemas La seguridad de los sistemas de información radiológicos no debe considerarse como un elemento adicional que se añade al sistema cuando éste ya está operativo, sino que la seguridad debe considerarse en todo el ciclo de vida del sistema: desde el análisis de requerimientos a la fase de mantenimiento. Cuanto más pronto se detecta la necesidad de implementar una función de seguridad más económico, en tiempo y recursos, resulta. Pero, en

9 ningún caso debe comprometerse la seguridad de los sistemas de información radiológicos, lo que significa que si no existen las garantías de seguridad suficientes no debería implantarse un sistema de información o parte de él. Es importante que se validen los datos de entrada y de salida para asegurar la calidad de los datos, así como utilizar técnicas para proteger la autenticidad e integridad de la información radiológica. La validación de la entrada de datos evita que en la ficha de un paciente se acepte 1176 como año de nacimiento; por otro lado la validación de la salida de datos pretende garantizar que el proceso aplicado a los datos ha sido correcto y apropiado. Para proteger la autenticidad e integridad de la información radiológica se pueden utilizar las firmas digitales. Dichas firmas digitales permiten verificar qué facultativo ha firmado un informe electrónico y también si el informe firmado ha sido modificado. Además, se da la característica de no repudio que impide a un usuario que ha firmado un documento negar que lo ha firmado. La firma digital necesita de dos claves interrelacionadas: la clave privada, que sólo debe conocer el propietario, para firmar los documentos y la clave pública, que pueden conocerla todos, para comprobarla. Es importante mantener en secreto la clave privada, ya que cualquiera que la sustrajese podría firmar electrónicamente en nuestro nombre. El entorno tecnológico donde se hace uso de claves públicas y privadas se conoce como PKI (Public key Infrastructure). Figura 4 Encriptación de la información mediante claves públicas y privadas. 4.9 Gestión de continuidad del negocio. Gran parte de los servicios de radiología tienen una actividad de 24x7 durante todos los días del año. Cualquier contingencia o desastre que se produzca en los sistemas de información que afecte a uno de sus procesos críticos puede poner en peligro la operatividad del servicio. Si el servidor de imágenes no funciona, es posible que disminuya la operatividad del sistema porque, aunque las imágenes se hayan enrutado hacia una estación de trabajo para ser informadas, no podrán ser accedidas desde otras áreas asistenciales que accedan a dicho servidor de imágenes. Esta característica de los sistemas de información radiológica aconseja implantar un sistema de gestión de continuidad del negocio o BCP (Bussiness Continuity Plan) para reducir, a niveles aceptables, la interrupción causada por los desastres y fallos de seguridad mediante una combinación de controles preventivos y de recuperación. Un término muy utilizado para designar este concepto es el plan de contingencias, aunque muchos autores consideran que un plan de contingencias es sólo una parte del plan de continuidad del negocio. Este plan de continuidad del negocio debe estar basado en los resultados del análisis y gestión de riesgos y debe posibilitar la restauración del sistema de información radiológica en el menor tiempo posible tras un incidente accidental o deliberado. En este plan debe identificarse a las personas de contacto y las acciones concretas a realizar, organizativas o técnicas, orientadas a garantizar la continuidad del funcionamiento del servicio de radiología. Si se han considerado distintos niveles en la prestación del servicio, debe quedar muy claro quien debe hacer cada tarea, cómo y en qué momento. Es importante priorizar el orden en que deben ponerse en funcionamiento los sistemas de información radiológica. Dicha priorización debería responder a criterios de coste-beneficio. Es muy recomendable realizar pruebas periódicas del plan de continuidad del negocio y mantenerlo actualizado para garantizar su eficacia Conformidad Los sistemas de información radiológica deben estar conformes con: Los derechos de propiedad intelectual del software por lo que no debe utilizarse ningún software sin licencia de uso Protección de datos de carácter personal que implica tener registrado el fichero de datos en la Agencia de Protección de datos y disponer del documento de seguridad de nivel alto, según el RD 994/1999, en uso y actualizado. Asimismo, debe cumplirse la ley de datos de carácter personal 15/1999 que ofrece a las personas el derecho de acceso, rectificación y cancelación de los datos de carácter personal. La política de seguridad. Es importante realizar un proceso sistemático para comprobar que las políticas se cumplen y que las medidas de seguridad están encaminadas a minimizar los riesgos a los que está expuesto el servicio de radiología. Para esta comprobación suele utilizarse un proceso denominado auditoria de la seguridad de los sistemas de información radiológica. Según la ISO 9000:2000, la auditoria es un proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el alcance en que se cumplen los procedimientos o requisitos contra los que se compara la evidencia. 117

10 118 Así pues, la auditoria de la seguridad de los sistemas de información pretende obtener evidencias y evaluar los controles de seguridad del sistema de información. Según el RD 994/1999, el proceso de obtener evidencias y evaluar los controles de que consta el documento de seguridad de nivel alto debe ser realizado, al menos, con periodicidad bienal. Esta auditoria debe tener como salida un informe de situación de los controles y una serie de recomendaciones que realiza el auditor con el objetivo de mejorar los controles implantados. Esta auditoria puede ser externa, realizada por una empresa ajena a la organización, o interna, llevada a cabo por personal de la organización. CONCLUSIÓN El entorno cada vez más complejo en que se desarrolla la radiología actual requiere de medidas de seguridad en los sistemas de información radiológicos que protejan adecuadamente los recursos informacionales. Las nuevas formas de utilizar la información radiológica plantean nuevos retos tecnológicos que deben ir orientados a garantizar la confidencialidad, la disponibilidad y la integridad de los sistemas de información. La legislación vigente obliga a implantar las medidas de nivel alto según el RD 994/1999, las cuales exigen a las organizaciones sanitarias la declaración del fichero de datos en la Agencia de Protección de Datos y la creación y cumplimiento del documento de seguridad de nivel alto. Asimismo, también deben establecerse los procedimientos adecuados para garantizar el derecho de acceso, rectificación y cancelación de los datos de carácter personal, según la Ley Orgánica de Protección de Datos, LO 15/1999. No obstante, la seguridad de los sistemas de información no debería plantearse como un mero cumplimiento de la legislación vigente. Las organizaciones sanitarias necesitan de un sistema de gestión de la seguridad de la información, con las políticas y planes de seguridad adecuados, como soporte de su misión con criterios de costeeficiencia. Para ello, es una buena práctica apoyarse en los estándares actuales para la implementación de los sistemas de seguridad de la información. Dos elementos fundamentales son necesarios: soporte claro y decidido de la Dirección para que aporte los recursos adecuados y una cultura corporativa que contemple la seguridad como un valor esencial que ayude a concienciar en materia de seguridad a los usuarios del sistema de información radiológica. BIBLIOGRAFÍA 1. UNE-ISO/IEC Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información. AENOR UNE Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI. AENOR Equivalente a ISO/IEC TR : UNE Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 2: Gestión y planificación de la seguridad de TI. AENOR Equivalente a ISO/IEC TR : UNE Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 3: Técnicas para la gestión de la seguridad de TI. AENOR Equivalente a ISO/IEC TR : BS Information Security Management Part 2. Specification for Information Security Management Systems. BSI Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. https://www.agpd.es/upload/ley 2015_99.pdf (accedido 02/02/04) 7. Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal. https://www.agpd.es/upload/a.8) Real Decreto pdf (accedido 02/02/04). 8. Criterios de seguridad. Aplicaciones utilizadas para el ejercicio de potestades. Ministerio de Administraciones Públicas /pdf/seguridad.pdf (accedido 03/02/04) 9. Portal de la Agencia de Protección de Datos. https://www.agpd.es (accedido 03/02/04) 10. OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security. OCDE ,en_2649_33703_ _1_1_1_1,00.html (accedido 01/02/04) 11. Murphy, G.F.; Hanken, M.A.; Waters, K.A. Electronic health records: changing the vision. W.B. Saunders Company Nash, A. et al.pki: Implementing and managing E- security. Osborne/McGraw-Hill Piattini M.G.; del Peso, E. Auditoria Informatica: un enfoque práctico.ra-ma IT Baseline Protection Manual. de/gshb/english/etc/inhalt.htm (accedido 30/01/04) 15. Special Pub An introduction to Computer Security: The NIST Handbook. 30/01/04) 16. Special Pub Generally Accepted Principles and Practices for Securing Information Technology Systems. (accedido 30/01/04)

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: 19/10/2015 Audedatos Josema Gil Nº edición: 01 Nº revisión: 01 Página 2 de 14 Fecha Edición Revisión Cambios Realizados

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 23 CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC300_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

Política de Seguridad de la Información Página 1 de 20

Política de Seguridad de la Información Página 1 de 20 Política de Seguridad de la Información Página 1 de 20 TERMINOS Y CONDICIONES DE USO Versión actual del documento: 0.0.0.11 El contenido de este texto es PRIVADO y la presente versión se considera un documento

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA POLITICA DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION Decreto 411.0.20.0563 de Sep 9 de 2010 AREA DE SISTEMAS Abril 2012 INTRODUCCION La información

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

24 de junio de 2004. Madrid, junio de 2004 NIPO 326-04-044-9 Catálogo general de publicaciones oficiales http://publicaciones.administracion.

24 de junio de 2004. Madrid, junio de 2004 NIPO 326-04-044-9 Catálogo general de publicaciones oficiales http://publicaciones.administracion. MINISTERIO DE ADMINISTRACIONES PÚBLICAS SECRETARÍA GENERAL PARA LA ADMINISTRACIÓN PÚBLICA CONSEJO SUPERIOR DE INFORMÁTICA Y PARA EL IMPULSO DE LA ADMINISTRACIÓN ELECTRÓNICA Aplicaciones utilizadas para

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 55 Miércoles 5 de marzo de 2014 Sec. III. Pág. 21241 III. OTRAS DISPOSICIONES MINISTERIO DE SANIDAD, SERVICIOS SOCIALES E IGUALDAD 2378 Orden SSI/321/2014, de 26 de febrero, por la que se aprueba

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Directrices del Plan Director de Seguridad:

Directrices del Plan Director de Seguridad: Directrices del Plan Director de Seguridad: ISO 17799 Jefe de Servicio de Sistemas Informáticos Ministerio de Trabajo y Asuntos Sociales Palabras clave Plan Director, Seguridad, ISO 17799.. Resumen de

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD 1. Prestaciones y propiedad de los datos En el contexto de la prestación de servicios encargada por..y con la finalidad

Más detalles

DOCUMENTO DE SEGURIDAD PARA FICHEROS DE DATOS DE CARÁCTER PERSONAL. Universidad de Jaén

DOCUMENTO DE SEGURIDAD PARA FICHEROS DE DATOS DE CARÁCTER PERSONAL. Universidad de Jaén DOCUMENTO DE SEGURIDAD PARA FICHEROS DE DATOS DE Universidad de Jaén Servicio de Información y Asuntos Generales Revisado: Servicio de Informática Versión: Fecha Versión: Nº Total Páginas: 22 Aprobado

Más detalles

NORMATIVA GLOSARIO DE TERMINOS

NORMATIVA GLOSARIO DE TERMINOS NORMATIVA El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD), obliga al responsable del fichero, y, en su caso, al encargado del

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

POLITICA DE SEGURIDAD DE LA INFORMACIÓN POLITICA DE SEGURIDAD DE LA INFORMACIÓN En AVANSIS, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica GUÍA PRÁCTICA para la utilización de muestras biológicas en Investigación Biomédica IV. GESTIÓN DE BASES DE DATOS 1. La creación de ficheros y su notificación 2. El responsable y el encargado del tratamiento

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013 Introducción ISO /IEC 27001: Gestión de la seguridad Desde la publicación inicial de norma internacional ISO/IEC 27001 en el año 2005 el número de implantaciones de los Sistemas para la Gestión de la Seguridad

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

SOLUCIONES DE RESPALDO Y CONTINUIDAD DE NEGOCIO. NUEVA ERA DEL BACKUP. Diciembre 2013. (13-DOC-Cliente-Num) Página 1

SOLUCIONES DE RESPALDO Y CONTINUIDAD DE NEGOCIO. NUEVA ERA DEL BACKUP. Diciembre 2013. (13-DOC-Cliente-Num) Página 1 SOLUCIONES DE RESPALDO Y CONTINUIDAD DE NEGOCIO. NUEVA ERA DEL BACKUP (13-DOC-Cliente-Num) Página 1 Diciembre 2013 Índice 1. Objetivos... 3 2. Antecedentes... 3 3. Sistemas Operativos dependientes de Servidores

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

Medidas de seguridad ficheros automatizados

Medidas de seguridad ficheros automatizados RECOMENDACIÓN SOBRE MEDIDAS DE SEGURIDAD A APLICAR A LOS DATOS DE CARÁCTER PERSONAL RECOGIDOS POR LOS PSICÓLOGOS Para poder tratar datos de carácter personal en una base de datos adecuándose a la Ley 15/1999,

Más detalles

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS ÍNDICE 1. ENTORNO 3 2. OBJETIVO

Más detalles

LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA

LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA DOCUMENTO DE SEGURIDAD Módulo 2/ Unidad 3 ÍNDICE DE CONTENIDOS 1.- INTRODUCCIÓN... 3 2.- OBJETIVOS... 3 3.- JUSTIFICACIÓN... 5 4.- CONTENIDO... 6 5.- FORMA DEL

Más detalles

MANUAL DE SEGURIDAD. Aplicaciones de Tramitación Telemática (Platea)

MANUAL DE SEGURIDAD. Aplicaciones de Tramitación Telemática (Platea) JUSTIZIA ETA HERRI ADMINISTRAZIO SAILA Informatika eta Telekomunikazio Zuzendaritza DEPARTAMENTO DE JUSTICIA Y ADMINISTRACIÓN PÚBLICA Dirección de Informática y Telecomunicaciones MANUAL DE SEGURIDAD Aplicaciones

Más detalles

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

MANUAL 02 DE AUDITORIA

MANUAL 02 DE AUDITORIA MANUAL 02 DE AUDITORIA INDICE 1. Introducción 2. Evaluación de los Sistemas 3. Evaluación de los equipos 4. Controles administrativos en un ambiente de Procesamiento de Datos 5. Revisión de Centros de

Más detalles

MEDIDAS DE SEGURIDAD A LOS SISTEMAS DE DATOS PERSONALES

MEDIDAS DE SEGURIDAD A LOS SISTEMAS DE DATOS PERSONALES MEDIDAS DE SEGURIDAD A LOS SISTEMAS DE DATOS PERSONALES Disposiciones Generales Artículo 6. Para los efectos de la presente Ley, se entiende por: Sistema de Datos Personales: Todo conjunto organizado de

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Los recursos que, por servir de medio directo o indirecto para acceder al Fichero, deberán ser controlados por esta normativa son:

Los recursos que, por servir de medio directo o indirecto para acceder al Fichero, deberán ser controlados por esta normativa son: 1. Objeto del documento IdecNet S.A. es una empresa que en virtud de las licencias y autorizaciones otorgadas por los diferentes organismos competentes, presta servicios de alojamiento de datos con el

Más detalles

MANUAL DE SEGURIDAD. Aplicaciones de Tramitación Telemática (Platea)

MANUAL DE SEGURIDAD. Aplicaciones de Tramitación Telemática (Platea) JUSTIZIA ETA HERRI ADMINISTRAZIO SAILA Informatika eta Telekomunikazio Zuzendaritza DEPARTAMENTO DE JUSTICIA Y ADMINISTRACIÓN PÚBLICA Dirección de Informática y Telecomunicaciones MANUAL DE SEGURIDAD Aplicaciones

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

Norma de Seguridad: Cláusulas LOPD con acceso a datos, de los que la Diputación Foral de Bizkaia es encargada de tratamiento

Norma de Seguridad: Cláusulas LOPD con acceso a datos, de los que la Diputación Foral de Bizkaia es encargada de tratamiento 1. OBJETO 2. ALCANCE Cumplimiento del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y el artículo 21 del Real Decreto 1720/2007 (LOPD). Todos

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Política Corporativa de Seguridad de la Información En ICETEX la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

NORMAS BASICAS DE AUDITORIA DE SISTEMAS

NORMAS BASICAS DE AUDITORIA DE SISTEMAS DIRECCION DE ESTRUCTURAS ADMINISTRATIVAS Y SISTEMAS DE INFORMACIÓN DEPARTAMENTO DE SISTEMAS DE INFORMACION NORMAS BASICAS DE AUDITORIA DE SISTEMAS 1 INDICE INTRODUCCIÓN Objetivos Control Interno Normas

Más detalles

Documento de Seguridad del fichero de Padrón Municipal de Habitantes

Documento de Seguridad del fichero de Padrón Municipal de Habitantes Documento de Seguridad del fichero de Padrón Municipal de Habitantes Fichero NOMBRE DE FICHERO: PADRÓN MUNICIPAL DE HABITANTES Ayuntamiento de... Fecha versión del Documento de Seguridad Versión 1.0 20/2/2005

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL 13967 REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. El artículo 18.4 de la Constitución

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDÍA DE SAN LUIS DE PALENQUE 2014 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración general

Más detalles

La gestión de la seguridad en la empresa:

La gestión de la seguridad en la empresa: EN PORTADA La gestión de la seguridad en la empresa: Introducción Vivimos en un mundo globalizado y cada vez más competitivo, en el que las empresas se encuentran con nuevos desafíos que hacen necesaria

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION ALCALDÍA MAYOR DE BOGOTÁ D.C. Secretaría Distrital INTEGRACIÓN SOCIAL SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION LINEAMIENTOS DE SEGURIDAD INFORMATICA SDIS Bogotá,

Más detalles

Auditoria de Sistemas

Auditoria de Sistemas Sistemas de Información I Página1 1. Introducción La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

MINISTERIO DE JUSTICIA

MINISTERIO DE JUSTICIA BOE núm. 151 Viernes 25 junio 1999 24241 Artículo 19. Entrada en vigor y duración. 1. El presente Acuerdo se aplicará provisionalmente a partir de la fecha de su firma y entrará en vigor en la fecha de

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Documento de Seguridad

Documento de Seguridad Documento de Seguridad Fichero USUARIOS DE INTERNET N. inscripción: Entidad Local de... Fecha versión Documento de Seguridad 05/03/2007 Versión 1.0 Sistema de Información GESTOR DE CONTENIDOS Índice de

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo Espiñeira, Sheldon y Asociados No. 9-2008 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4

Más detalles

ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX. En Barcelona a X de XXXX de 2008 REUNIDOS

ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX. En Barcelona a X de XXXX de 2008 REUNIDOS ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX En Barcelona a X de XXXX de 2008 REUNIDOS DE UNA PARTE BARCELONA DE SERVEIS MUNICIPALS, S.A. (en adelante BSM)

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria: Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1 Agenda La Seguridad

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

POLITICA SEGURIDAD DE LA UNIVERSIDAD DE LAS PALMAS DE GRAN CANARIA (ULPGC)

POLITICA SEGURIDAD DE LA UNIVERSIDAD DE LAS PALMAS DE GRAN CANARIA (ULPGC) POLITICA SEGURIDAD DE LA UNIVERSIDAD DE LAS PALMAS DE GRAN CANARIA (ULPGC) INDICE 0 PRÓLOGO... 3 1 INTRODUCCIÓN... 4 2 ÁMBITO DE APLICACIÓN... 4 3 POLÍTICA DE SEGURIDAD... 6 3.1 Organización... 6 3.2 Planificación...

Más detalles

Fundamentos de Seguridad de la Información basado en ISO / IEC 27002

Fundamentos de Seguridad de la Información basado en ISO / IEC 27002 Examen tipo Fundamentos de Seguridad de la Información basado en ISO / IEC 27002 Edición Octubre 2011 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM 1. Objetivo del documento Establecer las normas de uso correcto de los Recursos Informáticos y de la Red de Datos en la UPM.

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. LOPD 15/99 y Nuevo Reglamento Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Legislación aplicable

Más detalles