CONTROLES DE SEGURIDAD EN BASES DE DATOS PERSONALES Aplicación de la Política de Seguridad de la Oficina Nacional de Tecnologías de Información

Transcripción

1 CONTROLES DE SEGURIDAD EN BASES DE DATOS PERSONALES Aplicación de la Política de Seguridad de la Oficina Nacional de Tecnologías de Información Versión 1.1 1

2 CONTROLES DE SEGURIDAD EN BASES DE DATOS PERSONALES Aplicación de la Política de Seguridad de la Oficina Nacional de Tecnologías de la Información Versión 1.1 El objetivo del presente documento es establecer los controles que se deberían adoptar a partir de la Política de Seguridad de la Oficina Nacional de Tecnologías de Información 1, en su versión 2012 (pendiente de aprobación), para dar cumplimiento a lo establecido en la Disposición Nª 11/2006 de la Dirección Nacional de Protección de Datos Personales (DNPDP) "Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados" De esta forma, en el marco de un Sistema de Gestión de la Seguridad de la Información, se podría garantizar el nivel de seguridad establecido por la Ley 25326, en relación a las Bases de Datos Personales, tanto en el ámbito público, como en el privado. Es importante destacar que a medida que el nivel de criticidad de la base aumenta, los controles de seguridad son acumulativos. Es decir, si una Base de Datos Personales tiene un nivel de criticidad, debe cumplir los requerimientos de Nivel y de Nivel. Al momento de hablar de Datos Personales, es conveniente recordar las definiciones establecidas en la Ley respecto de este tema: Datos Personales Tipos de Datos Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables. Datos Sensibles Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. 1Basado en el estándar ISO/IEC 27001/

3 En relación a la Seguridad de los Datos, la Ley establece en su Artículo 9 lo siguiente: El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad. La Disposición N 11/2006 surgió principalmente para brindar mayor claridad a lo establecido en el Artículo 9 de la Ley y que su cumplimiento se pueda dar en una forma controlable y medible. Si bien no recomienda ningún estándar en particular, el estándar ISO/IEC y el Código de Buenas Prácticas establecido en la ISO/IEC 27002, ambas referencias de la Política de Seguridad de la Oficina Nacional de Tecnologías de la Información, permiten cumplir adecuadamente los distintos requisitos establecidos en la mencionada disposición. Tipo de Base de Datos Bases de Datos de Nivel Bases de Datos de Nivel Características Los archivos, registros, bases y bancos de datos que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de Nivel. Los archivos, registros, bases y bancos de datos de las empresas privadas que desarrollen actividades de prestación de servicios públicos, así como los archivos, registros, bases y bancos de datos pertenecientes a entidades que cumplan una función pública y/o privada que, más allá de lo dispuesto por el artículo 10 de la Ley N , deban guardar secreto de la información personal por expresa disposición legal (v.g.: secreto bancario). 3

4 Bases de Datos de Nivel Los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como "datos sensibles", con la excepción que se señalará más abajo. Nota: Quedan exceptuados de aplicar las medidas de seguridad de nivel crítico, los archivos, registros, bases y bancos de datos que deban efectuar el tratamiento de datos sensibles para fines administrativos o por obligación legal. No obstante, ello no excluye que igualmente deban contar con aquellas medidas de resguardo que sean necesarias y adecuadas al tipo de dato. 4

5 Grilla de Controles A continuación se establece la grilla de controles en un todo de acuerdo con lo establecido en la Política de Seguridad de ONTI y lo establecido en la Disposición N 11/2006 para cada Nivel de Criticidad: Nivel de las Medidas de Seguridad Requisito de Seguridad Control de la Política de Seguridad ONTI / ISO Funciones y obligaciones del personal Funciones y Responsabilidades Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan. Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan. Descripción de las rutinas de control de datos de los programas de ingreso de datos y las acciones a seguir ante los errores detectados a efectos de su corrección. Todos los programas de ingreso de datos, cualquiera sea su modo de procesamiento (batch, interactivo, etc.), deben incluir en su diseño, rutinas de control, que minimicen la posibilidad de incorporar al sistema de información, datos ilógicos, incorrectos o faltantes. Descripción de las rutinas de control de datos de los programas de ingreso de datos y las acciones a seguir ante los errores detectados a efectos de su corrección. Todos los programas de ingreso de datos, cualquiera sea su modo de procesamiento (batch, interactivo, etc.), deben incluir en su diseño, rutinas de control, que minimicen la posibilidad de incorporar al sistema de información, datos ilógicos, incorrectos o faltantes. Descripción de las rutinas de control de datos de los programas de ingreso de datos y las acciones a seguir ante los errores detectados a efectos de su corrección. Todos los programas de Inventario de Activos Directrices de Clasificación Validación de Datos de Entrada Controles de Procesamiento Interno Autenticación de Mensajes 5

6 ingreso de datos, cualquiera sea su modo de procesamiento (batch, interactivo, etc.), deben incluir en su diseño, rutinas de control, que minimicen la posibilidad de incorporar al sistema de información, datos ilógicos, incorrectos o faltantes. Registros de incidentes de seguridad Informe de los Eventos y Debilidades de Seguridad de la Información Notificación, gestión y respuesta ante los incidentes de seguridad. Procedimientos para efectuar las copias de respaldo y de recuperación de datos. Relación actualizada entre Sistemas de Información y usuarios de datos con autorización para su uso. Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información. Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información. Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información. Control de acceso de usuarios a datos y recursos necesarios para la realización de sus tareas para lo cual deben estar autorizados. Adoptar medidas de prevención a efectos de impedir amenazas de software malicioso (virus, troyanos, etc.) que puedan afectar archivos con datos de carácter personal. Entre otras: Procedimiento que garantice una adecuada Gestión de los Soportes que contengan datos de carácter personal (identificación del tipo de información que contienen, almacenamiento en lugares de acceso Responsabilidades y Procedimientos de Gestión de Incidentes Resguardo de la Información Revisión de Derechos de Acceso Registración de Usuarios Procedimientos de Conexión de Terminales Gestión de Privilegios Política de Control de Accesos Código Malicioso Procedimientos de Manejo de la Información 6

7 restringidos, inventarios, autorización para su salida fuera del local en que están ubicados, destrucción de la información en desuso, etc.). Procedimiento que garantice una adecuada Gestión de los Soportes que contengan datos de carácter personal (identificación del tipo de información que contienen, almacenamiento en lugares de acceso restringidos, inventarios, autorización para su salida fuera del local en que están ubicados, destrucción de la información en desuso, etc.). El Instructivo de seguridad deberá identificar al Responsable (u órgano específico) de Seguridad. Realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. Realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Se establecerá un control de acceso físico a los locales donde se encuentren situados los sistemas de información con datos de carácter personal. Se establecerá un control de acceso físico a los locales donde se encuentren situados los sistemas de información con datos de carácter personal. Gestión de Soportes e información contenida en ellos, Eliminación de s de Información Asignación de Responsabilidades de Seguridad de la Información 15.3 Consideraciones de Auditorias de Sistemas Verificación de la Compatibilidad Técnica Gestión de Contraseñas del Usuario Identificación y Autenticación de los Usuarios Controles Físicos de Entrada Emplazamiento y Protección de Equipos Procedimientos de Manejo de la Información 7

8 Se dispondrá de un registro de entradas y salidas de los soportes informáticos de manera de identificar, día y hora de entrada y salida del soporte, receptor, emisor, forma de envío, etc. Se adoptarán las medidas necesarias para impedir cualquier recuperación de la información con posterioridad a que un soporte vaya a ser desechado o reutilizado, o que la información deba ser destruida, por la causa que correspondiere. Deberá disponerse de un procedimiento de recuperación de la información de respaldo y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. Deberá disponerse de un procedimiento de recuperación de la información de respaldo y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. Deberá disponerse de un procedimiento de recuperación de la información de respaldo y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. Los registros de incidentes de seguridad, en el caso de tener que recuperar datos, deberán identificar la persona que recuperó y/o modificó dichos datos. Será necesaria la autorización en forma fehaciente del responsable del archivo informatizado. Los registros de incidentes de seguridad, en el caso de tener que recuperar datos, deberán identificar la persona que recuperó y/o modificó dichos datos. Será necesaria la autorización en forma fehaciente del responsable del archivo informatizado. Las pruebas de funcionamiento de los sistemas de información, realizadas con anterioridad a su puesta operativa no se realizarán con datos/archivos Procedimientos y Controles de Intercambio de Información Eliminación de s de Información Resguardo de la Información Planificación de la Continuidad de las Actividades del Organismo Ensayo, Mantenimiento y Re-evaluación de los Planes de Continuidad Responsabilidades y Procedimientos de Gestión de Incidentes Resguardo de la Información Separación entre Instalaciones Productivas y de Desarrollo 8

9 reales, a menos que se aseguren los niveles de seguridad correspondientes al tipo de datos informatizados tratados. Las pruebas de funcionamiento de los sistemas de información, realizadas con anterioridad a su puesta operativa no se realizarán con datos/archivos reales, a menos que se aseguren los niveles de seguridad correspondientes al tipo de datos informatizados tratados. Distribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal incluidas las copias de respaldo, se deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leídos o manipulados durante su transporte. Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años. Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término Cambios en las Operaciones Política de Utilización de Controles Criptográficos Registro de Auditoria Sincronización de Relojes 9

10 de un TRES (3) años. Copias de respaldo: además de las que se mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. Copias de respaldo: además de las que se mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. Copias de respaldo: además de las que se mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo Seguridad de los s en Tránsito Procedimientos de Manejo de la Información Resguardo de la Información 10

11 el/los equipos de procesamiento habituales. Transmisión de datos: los datos de carácter personal que se transmitan a través de redes de comunicación (1), deberán serlo cifrados o utilizando cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas. Transmisión de datos: los datos de carácter personal que se transmitan a través de redes de comunicación (1), deberán serlo cifrados o utilizando cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas. Transmisión de datos: los datos de carácter personal que se transmitan a través de redes de comunicación (1), deberán serlo cifrados o utilizando cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas Procedimientos y Controles de Intercambio de Información Seguridad en las Redes Política de Utilización de Controles Criptográficos 11

12 Consideraciones Adicionales El desafío se presenta en el cómo se implementarán los distintos requerimientos, teniendo en cuenta los controles detallados. Cada Organización deberá evaluar la mejor manera de avanzar en el marco de un proyecto de seguridad de la información, alineado con un Programa de Seguridad de la Información, que en caso de tratar con bases de datos personales en la República Argentina, deberá cumplir lo establecido en la Ley y disposiciones adicionales, siendo la N 11/2006 una de ellas. Adicionalmente a todo esto, pero en el marco ya de un programa de ciberseguridad, se podrían tener en cuenta otras referencias internacionales, como pueden ser el 20 Critical Security Controls del SANS Institute y el Top 35 Mitigations Strategies del Departamento de Defensa de Australia. Ambos documentos son una herramienta muy valiosa al momento de implementar controles, con un claro objetivo de mejora continua a través de la medición de las métricas definidas. 12

13 Referencias Disposición N 03/2012 Formulario de Inspección e Instructivo. Disposición N 07/2008 Guía de Buenas Prácticas en Políticas de Privacidad para las BBDD del Ámbito Público y Modelo de Convenio de Confidencialidad. Disposición N 11/2006 Implementación de Medidas de Seguridad Ley Política de Seguridad ICIC 20 Critical Security Controls Top 35 Mitigations Strategies Informe realizado por Mariano M. del Río (@mmdelrio) SecureTech cybersecurity and compliance services info@securetech.com.ar 13