Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

Documentos relacionados
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

En el artículo del mes pasado,

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

Todos los derechos están reservados.

Estándares de Seguridad

DOCUMENTO DE SEGURIDAD

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

Unidad 6: Protección Sistemas de Información

Qué pasa si el entorno de seguridad falla?

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

Gestión del Servicio de Tecnología de la información

INTRODUCCIÓN CONTENIDO

Basado en la ISO 27001:2013. Seguridad de la Información

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

Una Inversión en Protección de Activos

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Medidas de seguridad ficheros automatizados

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

CAS-CHILE S.A. DE I. 2013

Marco normativo para el establecimiento de las medidas de seguridad

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

Sistema de Gestión de Seguridad de la Información

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Ley de Protección de Datos

POLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A.

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC Antonio Villalón Huerta Grupo S2

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1

Guía de Medidas de Seguridad

Las medidas de seguridad en el Reglamento RD-1720/2007. El cumplimiento de la seguridad en la LOPD, paso a paso

Seguridad de la Información & Norma ISO27001

Nombre del Puesto. Jefe Departamento de Presupuesto. Jefe Departamento de Presupuesto. Director Financiero. Dirección Financiera


IMPLICACIONES JURÍDICAS Y TÉCNICAS DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Master en Gestion de la Calidad

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

Administración de Acciones Preventivas

Estándares y Normas de Seguridad

GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa

COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia

ISO 9001:2015 Cuestionario de autoevaluación

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

AUDITORIA DEL SISTEMA DE GESTIÓN Y ENSAYOS PARA LA EMISIÓN DE DECLARACIÓN DE CONFORMIDAD LISTA DE VERIFICACIÓN

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011

ISO Juan David Gutiérrez Giovanni Zuccardi 1

Aviso Legal. Entorno Digital, S.A.

Sistemas de Gestión de la Seguridad de la Información.

Facilitar el cumplimiento de la LOPD

CUESTIONARIO AUDITORIAS ISO

Gestión de Seguridad Informática

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013

Procedimientos ISO que conforman el Sistema Integral de Gestión Institucional

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica

0. Introducción Antecedentes

PARTE IV. Sistema de gestión de la calidad

Segundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales

OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Resumen Norma ISO

Gestión de la Prevención de Riesgos Laborales. 1

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

Protección del Patrimonio Tecnológico

Tema 1: Organización, funciones y responsabilidades de la función de TI.

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

ISO/IEC Sistema de Gestión de Seguridad de la Información

8. Sistema de Gestión de la Salud y la Seguridad en el Trabajo OHSAS 18001:2007

COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL

Ejemplo Manual de la Calidad

Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

PPRL.12. Procedimiento de Auditorías Internas

2.2 Política y objetivos de prevención de riesgos laborales de una organización

CUESTIONARIO DE AUTOEVALUACIÓN

Nombre del Puesto Coordinador Área Técnica de Tesorería. Coordinador Área Técnica de Tesorería. Jefe Departamento Tesorería Institucional

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

Nombre del Puesto Director Financiero

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Orientación Técnica y Metodológicas Compromisos de Gestión

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

CODIGO DEL DOCUMENTO: CONTROL DE CAMBIOS. Versión Fecha Descripción del Cambio

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

4.4.1 Servicio de Prevención Propio.

MANUAL DE CALIDAD ISO 9001:2008

Transcripción:

Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1

Agenda La Seguridad de la Información Normas ISO que Exigen el cumplimiento de la Las Leyes de Protección de Datos Personales ISO/IEC 27002/05 y 27002/05 La Disposición 11/06 Tips de Implementación 2

Seguridad de la Información Es una Decisión Estratégica que forma parte del aseguramiento de la Calidad y la Continuidad de los Negocios Es Imprescindible para una correcta Planificación y Evaluación de Resultados 3

Seguridad de la Información Objetivo La Confidencialidad La Integridad La Disponibilidad 4

Comenzando por los Datos Personales Working Draft 3 ISO 26000 [Core issues][fundamental subjects] at a glance 5

Comenzando por los Datos 6.7 Tema de consumidores Personales 6.7.8 Protección de la privacidad y de los datos de los consumidores OECD - Organization for Economic Co-operation and Development Guidelines for Multinational Enterprises: Review, 2000. Guidelines for the Security of Information Systems and Networks: Towards a culture of security, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Recommendation on Dispute Resolution and Redress, ISO/IEC 27001/05 y 27002/05 6

Comenzando por los Datos Personales ISO/IEC 27001/05 y 27002/05 15.1 Cumplimiento de Requisitos Legales 15.1.4 Protección de los datos y privacidad de la información personal Objetivo de Control. Es conveniente que la protección y privacidad de los datos esté garantizada según se requiera en las legislaciones y regulaciones relevantes, y si es aplicable, en las cláusulas contractuales. 7

Las ISO/IEC 27001/05 y 27002/05 ISO/IEC 27001/05 Sistema de Gestión de la Seguridad de la Información ALINEADA CON ISO 9000/00 Y 14000/05 ISO/IEC 27002/05 Guía de Buenas Prácticas en Seguridad de la Información No se puede certificar 8

Características de la ISO/IEC 27001/05 - PDCA Planificar (P) Establecer el SGSI Establecer la política, objetivos, procesos y procedimientos del SGSI pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de entregar resultados acordes con las políticas y objetivos globales de una organización. Hacer (D) Implementar y operar el SGSI Verificar (C) Hacer seguimiento y revisar el SGSI Implementar y operar la política, los controles, procesos y procedimientos del SGSI. Evaluar, y, en donde sea aplicable, medir el desempeño del proceso contra la política y los objetivos de seguridad y la experiencia práctica del SGSI, y reportar los resultados a la dirección, para su revisión. Actuar (A) Mantener y mejorar el SGSI Emprender acciones correctivas y preventivas con base en los resultados de la auditoría interna del SGSI y la revisión por la dirección u otra información relevante, para lograr la mejora continua del SGSI. 9

Características de la ISO/IEC 27001/05 (PDCA) Aplicada al Hábeas Data Partes Planificar Interesadas: Partes Titulares de Datos y Establecimiento del SGSI Interesadas DNPDP Requisitos y Expectativas para el SGSI Req. Legales y Pol. Protección Hacer Implementación Mantenimiento y operación SGSI y Mejora SGSI Seguimiento y Revisión SGSI Actuar Seguridad de la información gestionada de Datos Verificar 10

Contenido de la ISO/IEC 27002/05 1 Objeto 2 Términos y Definiciones 3 Estructura del Standard 4 Aseguramiento y tratamiento del Riesgo 5 Política de Seguridad 6 Organización de la Seguridad de la Información 7 Gestión del los Activos 8 Recursos Humanos 11

Contenido de la ISO/IEC 27002/05 9 Seguridad Física y Ambiental 10 Comunicación y Operación del Sistema de Seguridad 11 Control de Accesos 12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información 13 Gestión de los Incidentes de Seguridad 14 Continuidad del Negocio 15 Cumplimientos Legales y Normativos 12

Ley 25.326 de Hábeas Data Normativa de Seguridad Documento de Seguridad que contendrá: Medidas de Seguridad de Nivel Básico Funciones y obligaciones del personal. Organización de la Seguridad en ISO/IEC 27001/05 y 27002/5 Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan. Adquisición, Desarrollo y Mantenimiento de los Sistemas ISO/IEC 27001/05 y 27002/05 Descripción de las rutinas de control de datos de los programas de ingreso de datos y las acciones a seguir ante los errores detectados a efectos de su corrección. Adquisición, Desarrollo y Mantenimiento de los Sistemas ISO/IEC 27001/05 y 27002/05 13

Ley 25.326 de Hábeas Data Normativa de Seguridad Medidas de Seguridad de Nivel Básico Registros de incidentes de seguridad, su gestión y respuesta. Gestión de los Incidentes de Seguridad ISO/IEC 27001/05 y 27002/05 Procedimientos para efectuar las copias de respaldo y de recuperación de datos. Gestión de las Operaciones y las Comunicaciones ISO/IEC 27001/05 y 27002/05 Relación actualizada entre Sistemas de Información y usuarios de datos con autorización para su uso. Control de Accesos ISO/IEC 27001/05 y 27002/05 14

Ley 25.326 de Hábeas Data Normativa de Seguridad Medidas de Seguridad de Nivel Básico Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información. Control de Accesos ISO/IEC 27001/05 y 27002/05 Control de acceso de usuarios a datos. Control de Accesos ISO/IEC 27001/05 y 27002/05 Adoptar medidas de prevención a efectos de impedir amenazas de software malicioso (virus, troyanos, etc.) Gestión de Comunicaciones y Operaciones ISO/IEC 2001/05 y 27002/05 Procedimiento que garantice una adecuada Gestión de los Soportes que contengan datos de carácter personal Gestión de Comunicaciones y Operaciones ISO/IEC 2001/05 y 27002/05 15

Ley 25.326 de Hábeas Data Normativa de Seguridad Medidas de Seguridad de Nivel Medio Deberá nombrarse un Responsable (u órgano específico) de Seguridad. Organización de la Seguridad en ISO/IEC 27001/05 y 27002/5 Realización de Auditorías (internas o externas) Cumplimiento ISO/IEC 27001/05 y 27002/05 Los informes de Auditoría son para el Responsable del Archivo. La DNPDP deberá considerarlo obligatoriamente, con carácter no vinculante Organización de la Seguridad ISO/IEC 27001/05 y 27002/05 Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Control de Accesos ISO/IEC 27001/05 y 27002/05 16

Ley 25.326 de Hábeas Data Normativa de Seguridad Medidas de Seguridad de Nivel Medio Se establecerá un control de acceso físico a los locales donde se encuentren situados los sistemas de información con datos de carácter personal. Control de Accesos y Protección Física y Ambiental ISO/IEC 27001/05 y 27002/05 Gestión de Soportes e información contenida en ellos: Registro de entradas y salidas. Control de Accesos ISO/IEC 27001/05 y 27002/05 Se adoptarán las medidas necesarias para impedir cualquier recuperación de la información con posterioridad a que un soporte vaya a ser desechado o reutilizado, o que la información deba ser destruida o transferida para back up o guarda. Gestión de las Comunicaciones y las Operaciones ISO/IEC 27001/05 y 27002/05 17

Ley 25.326 de Hábeas Data Normativa de Seguridad Medidas de Seguridad de Nivel Medio Deberá disponerse de un procedimiento de recuperación de la información de respaldo y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. Gestión de las Comunicaciones y las Operaciones y Gestión de los Incidentes de Seguridad ISO/IEC 27001/05 y 27002/05 Los registros de incidentes de seguridad, en el caso de tener que recuperar datos, deberán identificar la persona que recuperó y/o modificó dichos datos. Gestión de las Comunicaciones y las Operaciones y Gestión de los Incidentes de Seguridad ISO/IEC 27001/05 y 27002/05 18

Ley 25.326 de Hábeas Data Normativa de Seguridad Medidas de Seguridad de Nivel Medio Las pruebas de funcionamiento de los sistemas de información, realizadas con anterioridad a su puesta operativa no se realizarán con datos/archivos reales. Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información ISO/IEC 27001/05 y 27002/05 19

Ley 25.326 de Hábeas Data Normativa de Seguridad Medidas de Seguridad de Nivel Crítico En la distribución de soportes se deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leídos o manipulados durante su transporte. Gestión de las Comunicaciones y las Operaciones ISO/IEC 27001/05 y 27002/05 Los Registro de accesos deberá disponer que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años. Control de Accesos ISO/IEC 27001/05 y 27002/05 20

Ley 25.326 de Hábeas Data Normativa de Seguridad Medidas de Seguridad de Nivel Crítico Las Copias de Respaldo deberán tener un resguardo externo, situado fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. Protección Física y Ambiental y Gestión de las Comunicaciones y las Operaciones ISO/IEC 27001/05 y 27002/05 En la Transmisión de datos, los mismos deberán cifrarse previamente o utilizar cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas. Gestión de las Comunicaciones y las Operaciones ISO/IEC 27001/05 y 27002/05) 21

Tips para la Implementación Recursos Humanos: Capacitación en Protección de Datos Cultura en Protección de Datos Política de cumplimiento Identificación de los Circuitos de Traslado y Transferencia de Datos Diseño adecuado del circuito Resguardo de los Datos en Papel Identificación de las tareas tercerizadas 22

Muchas Gracias por su participación Consultas a Silvia Iglesias siglesias@itsb.com.ar www.drasilviaiglesias@blogspot.com 23

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback