Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

Transcripción

1 Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

2 Seguridad en el manejo de la información Introducción El sistema de información que utilicemos en el biobanco deberá mantener los mecanismos de seguridad adecuados a la naturaleza específica de la información y que están recogidos en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de carácter personal (RLOPD). Artículo 80. Niveles de seguridad 1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. 2. Deberán implantarse, además las medidas de nivel medio 3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicaran en los siguientes ficheros o o tratamiento de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual 2

3 Seguridad en el manejo de la información Introducción CAPÍTULO III Medidas de seguridad aplicables a ficheros y tratamientos automatizados Sección 1ª. Medidas de Seguridad de Nivel Básico (Art ) Sección 2ª. Medidas de Seguridad de Nivel Medio (Art ) Sección 3ª. Medidas de Seguridad de Nivel Alto (Art ) 3

4 Seguridad en el manejo de la información Medidas de Seguridad Control de accesos Registro de accesos Identificación y autenticación Telecomunicaciones 4

5 Control de accesos (Nivel básico) Los usuarios tienen que tener acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones El responsable de fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. El responsable de fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable de fichero 5

6 Registro de accesos (Nivel alto) Debe implementarse un registro de accesos de forma que en cualquier momento se pueda saber, por parte del administrador del sistema o persona autorizada, quien ha entrado en el sistema, y durante qué períodos de tiempo. Igualmente, deberán implementarse mecanismos que registren de forma automática además de lo expresado con anterioridad, los movimientos del usuario contra la base de datos del sistema de información, las altas, bajas, modificaciones que cada usuario ha realizado mientras ha estado conectado al mismo. 6

7 Registro de accesos (Nivel alto) De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o no Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos 7

8 Registro de accesos (Nivel alto) No será necesario el registro de accesos en caso que concurran las siguientes circunstancias: a) Que el responsable de fichero o del tratamiento sea una persona física b) Que el responsable de fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales 8

9 Identificación y autenticación Es la base para el mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios Identificación: Momento en que el usuario se da a conocer en el sistema Autenticación: Es un servicio de seguridad que permite verificar la identidad 9

10 Identificación y autenticación (Nivé básico) 1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios 2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado 3. Cuando el mecanismo de autenticidad se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad 4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras esté, vigentes, se almacenarán de forma ininteligible 10

11 Identificación y autenticación Tipos de autenticación: Basados en algo conocido: clave secreta de acceso o password, una clave criptográfica, un número de identificación personal o PIN, etc. Basados en algo poseído: tarjeta de identidad, dispositivo usb Basados en características físicas del usuario: verificación de voz, huellas 11

12 Identificación y autenticación Tipos de autenticación: Autenticación unimodal: basada en un elemento conocido, algo poseído o alguna característica física Autenticación multimodal: es una combinación de varios métodos de autenticación distintos Autenticación basada en tokens: son dispositivos para autenticación de usuarios que permiten la portabilidad de certificados. Se conectan al computador mediante USB. Los certificados van protegidos con claves. 12

13 Telecomunicaciones La transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando datos o bien utilizando cualquier otro mecanismo de seguridad que garantice que la información no sea inteligible ni manipulada por terceros Uso de Redes Seguras/VPN, las redes seguras serian el equivalente a Arterias, una red en la que no se puede acceder desde el exterior. Las VPN son puntos o equipos específicos a los que se permite acceder a la red arterias desde el exterior. Uso de Certificados Digitales para identificación segura de los usuarios Uso de protocolos https, que utilizan certificados SSL que son el equivalente a Certificados Digitales pero para un servidor. Encríptan la información que circula por la red de manera que solo el destinatario la puede leer. 13

14 Telecomunicaciones ( ) 14

15 Muchas gracias!!!

16 Actores Responsable de Fichero: Persona física y jurídica, de naturaleza pública o privada u órgano administrativo, que solo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. (RD 1720/2007) Persona física y jurídica, de naturaleza pública o privada u órgano administrativo, que atenderá las solicitudes de ejercicio de derechos de acceso, rectificación, cancelación u oposición formulados por los sujetos fuente, de conformidad con lo dispuesto en la normativa vigente sobre protección de datos de carácter personal. (RD 1716/2011) 16

17 Actores Responsable de Seguridad: Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables 17

18 Actores Encargado de Tratamiento de Datos: Persona o entidad que accede a los datos de carácter personal para prestar algún tipo de servicio al responsable de fichero La persona física o jurídica, publica o privada, u órgano administrativo, que solo o conjuntamente con otro, trate datos personales por cuenta del responsable del tratamiento o del responsable de fichero como la consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de actuación para la prestación de un servicio. 18