Seguridad Informática.

Transcripción

1 Seguridad Informática. LOPD 15/99 y Nuevo Reglamento Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero Deloitte

2 Contenido Introducción Legislación aplicable Ficheros de datos personales Nivel básico Nivel medio Nivel alto Excepciones Reglamento de Medidas de Seguridad Medidas de Seguridad Generales Medidas de Seguridad aplicables a los ficheros y tratamientos automatizados Medidas de Seguridad aplicables a los ficheros y tratamientos NO automatizados Otros aspectos relevantes AEPD (Agencia Española de Protección de Datos) Sanciones Plazos Implantación Nuevo Reglamento Ruegos y preguntas Deloitte

3 Introducción El principal objetivo de esta presentación, es exponer de una manera resumida la Ley de Protección de Datos Personales (LOPD). Hasta el momento, Deloitte ha realizado más de 400 proyectos de LOPD. Este tipo de proyectos se realizan con la colaboración de nuestro departamento Legal, cubriendo todos los aspectos legales, así como, técnicos y organizativos. La Unidad de Enterprise Risk Services de Deloitte participó en la formación a los inspectores de la Agencia de Protección de Datos en los conceptos de Seguridad Informática y Auditoría de Seguridad Informática en diferentes entornos tecnológicos. Nuestros expertos están en constante actualización para mantenernos al día y permitir dar el mejor servicio a nuestros clientes Deloitte

4 Legislación aplicable LOPD (Ley Orgánica de Protección de Datos) La LOPD tiene como objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar. Reglamento de Medidas de Seguridad El Reglamento, aprobado por el Real Decreto 994/1999 de 11 de junio, tiene por objeto el desarrollo de lo dispuesto en la LOPD respecto a las medidas de seguridad a aplicar sobre los ficheros en soporte automatizado que contienen datos de carácter personal. El 21 de diciembre de 2007 se aprueba por el Real Decreto 1720/2007 el Nuevo Reglamento de Medidas de Seguridad a aplicar tanto a ficheros automatizados como no automatizados que contienen datos de carácter personal. Qué es un DATO PERSONAL? Se entiende por datos de carácter personal cualquier información concerniente a personas físicas, identificadas o identificables: Nombre, apellidos, DNI, Dirección, datos bancarios, fotografías, etc. Entre los datos de carácter personal hay unos especialmente sensibles que tiene mayores restricciones: Ideología, religión o creencias, raza, salud, vida sexual, afiliación sindical, Deloitte

5 Ficheros de datos personales ORIGEN TITULARIDAD PÚBLICA TITULARIDAD PRIVADA Se crean a través de una disposición oficial publicada en el BOE. No es necesario el consentimiento del afectado para la cesión de datos entre administraciones públicas. La cesión de datos personales sólo es posible cuando la misma se encuentra prevista dentro de las disposiciones de creación del fichero. Pueden crearse cuando sean necesarios para el logro de la actividad legítima de la empresa. Deben ser notificados y registrados ante la Agencia de Protección de Datos. La cesión de datos debe ser comunicada a los afectados Deloitte

6 Nivel básico Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles diferentes, dependiendo de la naturaleza de la información tratada y del grado de necesidad de garantizar la confidencialidad e integridad de la información. Todos los ficheros que contengan datos de carácter personal deben cumplir las medidas de nivel básico Nivel Básico Deloitte

7 Nivel medio Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles diferentes, dependiendo de la naturaleza de la información tratada y del grado de necesidad de garantizar la confidencialidad e integridad de la información. Se consideran de nivel medio aquellos ficheros que contengan datos relativos a: Comisión de infracciones administrativas o penales. Servicios financieros Hacienda pública Entidades Gestoras y Servicios Comunes de la Seguridad Social. Datos que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permita evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Nivel Medio Nivel Básico Deloitte

8 Nivel alto Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles diferentes, dependiendo de la naturaleza de la información tratada y del grado de necesidad de garantizar la confidencialidad e integridad de la información Los ficheros considerados de nivel alto son aquellos que contienen datos relativos a: Nivel Básico Ideología Afiliación sindical Religión Creencias Nivel Alto Origen Racial Salud Vida sexual Datos recabados para fines policiales sin consentimiento de las personas afectadas Datos derivados de actos de violencia de género. (N.R.) Datos de los que sean responsables los operadores que presten servicios de comunicaciones electrónica. (N.R.) Nivel Medio Deloitte

9 Excepciones En el nuevo reglamento, se definen una serie de excepciones por las cuales datos considerados de nivel alto se tratarán como de nivel básico: Los ficheros o tratamientos que contengan datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando: Su finalidad sea realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. Ficheros no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. Los ficheros o tratamientos que contengan datos relativos a la salud, cuando sean referentes exclusivamente al grado de discapacidad o a la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos Deloitte

10 Reglamento de Medidas de Seguridad El reglamento se estructura en una serie de disposiciones generales que se han de cumplir independientemente de la clasificación de los datos para luego pasar a describir las medidas específicas de cada uno de los niveles de clasificación. Las medidas recogidas en el reglamento son de tipo técnico y organizativo, aunque algunas de ellas requieren la combinación de ambas, por ejemplo: Medidas técnicas Limitación del número de intentos de acceso no autorizados al sistema. La transmisión de datos personales a través de redes de Telecomunicaciones debe realizarse de forma cifrada. Medidas Organizativas Existencia de la figura del responsable de seguridad. Almacenamiento de los backups y los procedimientos de recuperación en un lugar diferente al edificio donde se encuentran los equipos informáticos. Medidas conjuntas Identificación inequívoca y personalizada de todos los usuarios que intenten acceder al sistema Deloitte

11 Medidas de Seguridad Generales Deloitte

12 Artículo 5. Acceso a datos a través de redes de comunicaciones Los accesos a los datos de carácter personal a través de redes de comunicaciones deberán reunir las mismas medidas de seguridad exigibles localmente. Conexiones punto a punto Conexiones Frame Relay Entrada VPN Red interna Internet Acceso a páginas WEB Conexiones RDSI Conexiones RTC Deloitte

13 Artículo 6. Régimen de trabajo fuera de los locales de ubicación del fichero Puntualmente pueden ser necesarios tratamientos de datos de carácter personal fuera de los locales donde habitualmente se encuentran los equipos que los almacenan, que deberán ser autorizados expresamente por el responsable del fichero. Así mismo, dichos tratamientos deberán garantizar el nivel de seguridad correspondiente. Este tipo de tratamientos puede ser llevado a cabo por: Personal de la propia empresa en delegaciones, con equipos portátiles, etc., que requieran los datos para elaborar informes, tratamiento previo,... Empresas externas que necesiten los datos para prestar algún tipo de servicio (mailing, estudios de audiencia, gestión de pagos, empresas de seguridad, etc.). Estos casos deberán realizarse en virtud de una relación contractual en la que se indique claramente la finalidad del tratamiento y las condiciones de seguridad a aplicar sobre los datos Deloitte

14 Artículo 7. Ficheros temporales Todo fichero temporal que sea generado manual o automáticamente y que contenga datos de carácter personal, debe de cumplir las medidas de seguridad correspondientes mientras se esté utilizando. FICHEROS TEMPORALES CREADOS AUTOMÁTICAMENTE Aplicaciones Sistemas Repositorio central Informes Envíos a Hacienda, Bancos, etc. Tratamientos previos FICHEROS TEMPORALES CREADOS MANUALMENTE Se deberá asegurar el borrado de dichos ficheros una vez que ya no resulten necesarios Deloitte

15 Artículo 81. Aplicación de los niveles de seguridad (NR) Nivel Alto: Añadido: Datos derivados de actos de violencia de género Datos de los que sean responsables los operadores que presten servicios de comunicaciones electrónica Además, se definen una serie de excepciones por las cuales se tratarán como de nivel básico los siguientes ficheros o tratamientos: Los que contengan datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando: Su finalidad sea realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. Se trate de ficheros no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. Aquéllos que contengan datos relativos a la salud cuando sean referentes exclusivamente al grado de discapacidad o a la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos Deloitte

16 Artículo 82. Encargado de tratamiento (NR) Se define la regulación y el detalle del papel del Encargado de Tratamiento (ET). Se diferencian 3 tipos de ET: (1) El ET que trata los datos desde los locales del Responsable de Fichero (p. e. contratación de personal externo para trabajar junto a personal interno) (2) El ET que trata los datos de forma remota, pero sin almacenar en sus locales (p. e. callcenters con acceso remoto a las aplicaciones corporativas) (3) El ET que trata y almacena los datos en sus locales (p. e. gestoría, outsourcing de las copias de seguridad, etc.) En todos los casos se debe recoger la situación en el documento de seguridad. En el caso 3, el ET debe recoger en su documento de seguridad el fichero y el tratamiento realizados, así como el responsable del mismo, incorporando las medidas de seguridad a implantar. En todo caso, el ET está sometido a las medidas de seguridad contempladas en el Reglamento Deloitte

17 Artículo 83. Prestaciones de servicios sin acceso a DCP (NR) El Nuevo Reglamento define una nueva figura: el proveedor que presta servicios sin tener acceso a datos de carácter personal (p. e. personal de limpieza). Las medidas a aplicar sobre esta figura son: El responsable de fichero debe adoptar las medidas para limitar el acceso del personal a datos personales, soportes o recursos del sistema de información que los contengan, para la realización de trabajos que no impliquen tratamiento de datos. Si se trata de personal ajeno, el contrato recogerá la prohibición de acceso a los datos, así como la obligación de secreto Deloitte

18 Artículo 84. Delegación de autorizaciones (NR) Debe constar en el Documento de Seguridad: Personal autorizado para delegar autorizaciones Personal sobre el que se delegan autorizaciones La delegación de una autorización no implica, en ningún caso, la delegación de la responsabilidad Deloitte

19 Medidas de Seguridad aplicables a los ficheros y tratamientos automatizados Deloitte

20 MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO Las medidas incluidas en el Reglamento de Seguridad para el nivel básico son: Documento de Seguridad: Debe de existir un documento donde se documenten los tratamientos de datos que hacen de los datos de carácter personal. Funciones y obligaciones del personal: Se deben definir las funciones de control o autorizaciones delegadas por el responsable de fichero o tratamiento. Control de acceso: Los usuarios deben tener acceso únicamente a los datos que necesitan para el desempeño de sus funciones. El responsable del fichero debe asegurarse de que exista una relación actualizada de usuarios y perfiles de usuarios (NR). Los mecanismos deben evitar el acceso a datos no autorizados. El personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. (N.R.) Únicamente el personal autorizado puede conceder y modificar los derechos de acceso Deloitte

21 MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO Gestión de soportes y documentos: Deberá permitir identificar, inventariar y tener accesibilidad a los soportes por el personal autorizado, exceptuando cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia de ello en el Documento de Seguridad. La salida de correos electrónicos y sus anexos fuera de los locales también deberá ser autorizada por el responsable del fichero. (N.R.) Mecanismos para evitar la sustracción, perdida o acceso indebido durante el transporte. (Movido Nivel Medio) Destrucción o borrado de documentos o soportes que vayan a ser desechados. (Movido Nivel Medio) Etiquetado comprensible para identificar su contenido a los usuarios que tengan acceso a soportes con datos sensibles y que dificulten la identificación para el resto de las personas. (N.R.) Deloitte

22 MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO Registro de incidencias: Deberá constar: el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas (NR). Copias de respaldo y recuperación: Deberán realizarse copias de respaldo, como mínimo, semanalmente. Verificar copias y procedimientos de recuperación cada 6 meses. (N.R.) En caso de pérdida de ficheros parcialmente automatizados, se permitirá grabar manualmente los datos, reflejándolo en el documento de seguridad. (N.R.) No se pueden realizar pruebas de desarrollo con datos reales. (Antes nivel medio) Identificación y autenticación inequívoca y personalizada de todos los usuarios que intenten acceder al sistema. (Antes nivel medio) Se podrán utilizar mecanismos basados en certificados digitales. (N.R.) Periodicidad cambio contraseña no superior a un año. (N.R.) Deloitte

23 MEDIDAS DE SEGURIDAD DE NIVEL MEDIO Para los ficheros clasificados como de nivel medio se deben respetar todas las medidas de nivel básico y además: Responsable de seguridad: Deberá de existir está figura que será especificada en el Documento de Seguridad. Auditoría: Realización de Auditorías cada 2 años y los informes deben estar a disposición de la AEPD y de las autoridades de control de las Comunidades Autónomas. Debe realizarse extraordinariamente tras modificaciones que puedan repercutir en el cumplimiento de las medidas de seguridad, iniciando el cómputo de dos años. Control de acceso físico: Deberá establecerse un control de acceso a los locales dónde están ubicados todos los sistemas de información (no sólo los que contengan datos de carácter personal, (NR) ) Deloitte

24 MEDIDAS DE SEGURIDAD DE NIVEL MEDIO Gestión de soportes y documentos: Debe registrarse la información del tipo fecha, origen, información, destinatario,, en la entrada y salida de soportes con datos de nivel medio. Registro de incidencias: Deberán incluirse los procedimientos de recuperación. Será necesaria la autorización del responsable del fichero para la ejecución de dichos procedimiento. La autorización no debe ser obligatoriamente por escrito (N.R.) Deloitte

25 MEDIDAS DE SEGURIDAD DE NIVEL ALTO Para los ficheros clasificados como de nivel alto,además de las medidas de seguridad de Nivel Básico y Medio, deben cumplirse las medidas citadas a continuación: Gestión de soportes y documentos: Los datos de nivel alto contenidos en soportes a ser distribuidos, deberán ser cifrados o bien se deberá emplear cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte. Etiquetado de los soportes para que las personas autorizadas identifiquen su contenido de forma comprensible y que se dificulte para el resto de personas. Registro de accesos: Se deberá registrar: usuario, fecha, hora, fichero accedido, tipo de acceso y si ha sido autorizado o denegado. Revisión de los registros de acceso mensualmente. (N.R.) Los datos registrados se deben conservar como mínimo 2 años El responsable de seguridad deberá tener control directo de los mecanismos de registro, revisar los registros periódicamente y elaborar un informe de problemas detectados en las revisiones Deloitte

26 MEDIDAS DE SEGURIDAD DE NIVEL ALTO Copias de seguridad y recuperación: Deberán almacenarse en un lugar diferente al lugar donde se encuentran los equipos informáticos Telecomunicaciones: La transmisión de datos personales a través de redes públicas o inalámbricas de Telecomunicaciones debe realizarse de forma cifrada Deloitte

27 Medidas de Seguridad aplicables a los ficheros y tratamientos NO automatizados Deloitte

28 MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO Las medidas incluidas en el Reglamento de Seguridad para el nivel básico para ficheros no automatizados son: Son aplicables las medidas dispuestas para los ficheros de nivel básico de los ficheros automatizado: Funciones y obligaciones del personal Registro de incidencias Control de acceso Gestión de soportes Adicionalmente, dispone de medidas de nivel básico especificas: Criterios de archivo (art. 106): Se debe garantizar la correcta conservación, localización y consulta de la información, posibilitando el ejercicio de los derechos de acceso, rectificación, modificación y oposición de acuerdo con la legislación aplicable. En caso de no existir una norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación Deloitte

29 MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO Las medidas incluidas en el Reglamento de Seguridad para el nivel básico para ficheros no automatizados son: Dispositivos de almacenamiento (Art.107): Deben disponer de mecanismos que obstaculicen su apertura, o se deberán aplicar medidas en caso de que sus características físicas no lo permitan. Custodia de los soportes (Art. 108): Mientras la documentación no se encuentre archivada en los dispositivos de almacenamiento, la persona que se encuentre a su cargo debe custodiarla e impedir que pueda ser accedida por personas no autorizadas. Tratamiento de archivos (Art. 68): Deberán establecer unos procedimientos que estarán dirigidos a garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de acceso, oposición, rectificación y cancelación Deloitte

30 MEDIDAS DE SEGURIDAD DE NIVEL MEDIO Para los ficheros clasificados como de nivel medio se deben respetar todas las medidas de nivel básico y además: Responsable de Seguridad (Art. 95): Se designará uno o varios responsables de seguridad, tal y como se especificaba para los ficheros automatizados. Auditoría (Art. 110): Se debe realizar una auditoría, interna o externa, al menos cada dos años Deloitte

31 MEDIDAS DE SEGURIDAD DE NIVEL ALTO Para los ficheros clasificados como de nivel alto, además de las medidas de seguridad de Nivel Básico y Medio, deben cumplirse las medidas citadas a continuación: Almacenamiento de la información (Art.111): Los dispositivos de almacenamiento deben encontrarse en salas de acceso restringido mediante puertas con llave o equivalente. Dichas áreas deben permanecer cerradas si no es preciso acceder a los documentos. En caso de que esto no se pudiera cumplir, el responsable del fichero debe adoptar medidas alternativas adecuadamente recogidas en el documento de seguridad. Copia o reproducción (Art.112): La generación de copias sólo se puede hacer bajo el control del personal autorizado en el documento de seguridad. Se deben destruir las copias desechadas, evitando su recuperación o acceso posterior Deloitte

32 MEDIDAS DE SEGURIDAD DE NIVEL ALTO Acceso a la documentación (Art. 113): El acceso a la documentación se limitará exclusivamente al personal autorizado. Establecer mecanismos que permitan identificar los acceso realizados para documentos con múltiples usuarios. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado en el documento de seguridad. Traslado de documentación (Art.114): Al realizar el traslado físico de la documentación deben adoptarse medidas que impidan el acceso o manipulación de la información Deloitte

33 Otros aspectos relevantes Deloitte

34 AEPD (Agencia Española de Protección de Datos) Función de la AEPD: Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. Dispone de potestad sancionadora: Las sanciones van de 600 euros ( pts) hasta los euros (100MM pts) en función de la gravedad de la infracción Deloitte

35 Algunas Sanciones Sanción de (10 MM pts) por envío de un correo electrónico publicitario a un particular, cuando éste había manifestado que no quería recibir publicidad. Procedimiento sancionador en curso contra diversas entidades financieras por un posible mal uso de datos confidenciales de sus clientes con multas de hasta (100 MM pts), tras recibir la denuncia de haber encontrado datos de clientes en contenedores de basura próximos a algunas oficinas de estas Entidades. Sanción de (10 MM pts) por facilitar el número de teléfono de un cliente a un comercio que lo solicita para resolver un error producido en el pago con tarjeta a favor del cliente. Sanción de (10 MM pts) por facilitar el saldo de una cuenta a una persona sin ser titular (hermano) Deloitte

36 Plazos Implantación Nuevo Reglamento Las medidas de seguridad deberán implantarse en los siguientes plazos, una vez entrado en vigor el nuevo reglamento (19 de abril de 2008). Ficheros automatizados: Nivel básico: 1 año Nivel medio: 1 año Nivel alto: 18 meses Ficheros no automatizados: Nivel básico: 1 año Nivel medio: 18 meses Nivel alto: 2 años Los ficheros, tanto automatizados como no automatizados, creados después de la fecha de aprobación del Reglamento, deberán tener implantadas la totalidad de las medidas de seguridad desde el momento de su creación Deloitte

37 DUDAS? Deloitte

38 Deloitte Touche Tohmatsu es una organización de firmas independientes, dedicadas a la prestación de servicios y asesoramiento profesional de máxima calidad, y que se centran en el servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 países. Con acceso a un enorme capital intelectual de casi personas en todo el mundo, Deloitte presta servicios en cuatro áreas profesionales (auditoría, asesoramiento tributario, consultoría y asesoramiento financiero) a más del 80% de las empresas más importantes del mundo, así como a grandes empresas públicas, aunque por diversos motivos, entre los que se hallan las regulaciones específicas de cada país, no todas las Firmas miembro de Deloitte prestan toda la gama de servicios. Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu (Swiss Verein), sus firmas miembro y respectivas filiales y asociadas. Al tratarse de un Verein suizo (asociación), ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro es responsable de los actos u omisiones de las otras. Cada firma miembro es una entidad independiente con personalidad jurídica propia que opera bajo los nombres de Deloitte, Deloitte & Touche, Deloitte Touche Tohmatsu, u otros nombres asociados. Los servicios son prestados a través de las firmas miembro y sus respectivas filiales y asociadas y no por Deloitte Touche Tohmatsu (Swiss Verein). Copyright 2008 Deloitte. Todos los derechos reservados. A member firm of Deloitte Touche Tohmatsu Deloitte