SlideShare una empresa de Scribd logo

Medidas de seguridad para usuarios finales en atención sociosanitaria

AVPD - Agencia Vasca de Protección de Datos
AVPD - Agencia Vasca de Protección de Datos

El documento describe las medidas de seguridad para la protección de datos personales en la atención sociosanitaria. Establece que se deben aplicar tres niveles de seguridad - básico, medio y alto - dependiendo del tipo de datos. El nivel básico requiere medidas técnicas y organizativas para garantizar la seguridad, confidencialidad e integridad de los datos personales de acuerdo con la normativa de protección de datos.

Tecnología
1 de 36
Descargar para leer sin conexión
Medidas de Seguridad en atención sociosanitaria Pedro Alberto González González http://www.avpd.es Índice de la sesión • Marco de referencia • Análisis de riesgos • Niveles de seguridad • Medidas de seguridad • En particular, para usuarios finales • Conclusiones http://www.avpd.es Medidas de Seguridad para Usuarios Finales 2
Principios consagrados en la LOPD • Calidad de los datos • Información en la recogida Referencia Marco de • Consentimiento del afectado • Comunicación o cesión de los datos • Protección especial de determinados datos • Seguridad de los datos • Deber de secreto http://www.avpd.es Medidas de Seguridad para Usuarios Finales 3 Seguridad de los Datos (art. 9 LOPD) • Se adoptarán las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, Referencia – evitando su alteración o pérdida Marco de – y su tratamiento o acceso no autorizado • Teniendo en cuenta: – el estado de la tecnología – la naturaleza de los datos almacenados – los riesgos a que estén expuestos • Afecta tanto al Responsable del Fichero como al Encargado del Tratamiento http://www.avpd.es Medidas de Seguridad para Usuarios Finales 4
Deber de secreto (art. 10 LOPD) • El responsable del fichero y quienes intervengan en cualquier fase del Referencia Marco de tratamiento de los datos de carácter personal están obligados al secreto profesional. • Esta obligación subsistirá aun después de finalizar sus relaciones con el titular del fichero. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 5 LEY 16/2003, de cohesión y calidad del Sistema Nacional de Salud • Artículo 14. Prestación de atención sociosanitaria. – 1. La atención sociosanitaria comprende el conjunto de cuidados destinados a aquellos enfermos, generalmente crónicos, que por sus especiales características pueden beneficiarse de la actuación simultánea y sinérgica de los servicios sanitarios y sociales para aumentar su autonomía, paliar sus limitaciones o sufrimientos y facilitar su reinserción social. – (…) 3. La continuidad del servicio será garantizada por los servicios sanitarios y sociales a través de la adecuada coordinación entre las Administraciones públicas correspondientes. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 6
Ley 41/2002, de Autonomía del Paciente • Artículo 7. El derecho a la intimidad. – 1. Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley. – 2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 7 Ley 41/2002, de Autonomía del Paciente • Artículo 14. Definición y archivo de la historia clínica. – (…) 2. Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información. – (…) 4. Las Comunidades Autónomas aprobarán las disposiciones necesarias para que los centros sanitarios puedan adoptar las medidas técnicas y organizativas adecuadas para archivar y proteger las historias clínicas y evitar su destrucción o su pérdida accidental. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 8
Ley 41/2002, de Autonomía del Paciente • Artículo 16. Usos de la historia clínica. – 6. El personal que accede a los datos de la historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 9 Ley 41/2002, de Autonomía del Paciente • Artículo 17. Documentación clínica. – 1. Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, (…). – 6. Son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los ficheros que contienen datos de carácter personal y, en general, por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 10
Euskadi: LEY 12/2008, de Servicios Sociales • Artículo 9.– Derechos de las personas usuarias de los servicios sociales. – a) Derecho a acceder a los servicios sociales en condiciones de igualdad, dignidad y privacidad. – b) Derecho a la confidencialidad, • entendiéndose por tal el derecho a que los datos de carácter personal que obren en su expediente o en cualquier documento que les concierna sean tratados con pleno respeto de lo previsto en la LOPD, • incluyendo la debida reserva por parte de las profesionales y los profesionales con respecto a la información de la que hayan tenido conocimiento http://www.avpd.es Medidas de Seguridad para Usuarios Finales 11 Euskadi: LEY 12/2008, de Servicios Sociales • Artículo 9.– Derechos de las personas usuarias de los servicios sociales. – d) Derecho a dar o a denegar su consentimiento libre y específico en relación con una determinada intervención, debiendo ser otorgado el consentimiento, en todo caso, por escrito cuando la intervención implique ingreso en un servicio de alojamiento o en un centro residencial. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 12
Euskadi: LEY 12/2008, de Servicios Sociales • Artículo 20.– Instrumentos técnicos comunes. – 1.– Con el fin de garantizar la homogeneidad en los criterios de intervención, (…) todos los servicios sociales de base cumplimentarán el modelo de ficha social y aplicarán el modelo de plan de atención personalizada. (…) – Tanto en el diseño de estos instrumentos como en la recogida de datos, y en su utilización y explotación, se estará a lo previsto en la normativa vigente en materia de protección de datos de carácter personal. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 13 Euskadi: LEY 12/2008, de Servicios Sociales • Artículo 90.– Infracciones graves. – b) Incumplir el deber de confidencialidad y el deber de reserva de los datos personales, familiares o sociales de las personas usuarias. – c) No salvaguardar el derecho a la dignidad y a la intimidad de las personas usuarias. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 14
Seguridad ≠ Privacidad • Adjetivo (un medio) • Sustantivo (un fin) – Protección de activos – Derecho • Evitar riesgo • Fundamental • Mitigar impacto • Constitucional “Security by “Privacy by Design” Design” http://www.avpd.es Medidas de Seguridad para Usuarios Finales 15 Modelo de referencia para Análisis de Riesgos Análisis de Riesgos Están expuestos a… Activos tienen … Amenazas Valor Causan +/- … Degradación Impacto Frecuencia Ocurren con +/-… Riesgo http://www.avpd.es Medidas de Seguridad para Usuarios Finales 16
Activos más comunes • Instalaciones – Edificios, locales, canalizaciones, redes de comunicaciones,… • Equipamientos – Mobiliario, maquinaria, ordenadores personales, … • Sistemas de Información – Servidores, sistemas de almacenamiento,… – Aplicaciones y programas de ordenador – Información, datos de negocio, datos personales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 17 Activos más comunes • Intangibles – Licencias, derechos,.. – Reputación, imagen, … – Personas de la Organización • Servicios prestados – Continuidad del negocio http://www.avpd.es Medidas de Seguridad para Usuarios Finales 18
Activos en Protección de Datos • Datos de Carácter Personal • y, como consecuencia, – Instalaciones donde se ubican, – Equipos donde se tratan – Redes por donde “viajan” – Programas que los tratan – Soportes que los contienen – Personas que los gestionan http://www.avpd.es Medidas de Seguridad para Usuarios Finales 19 Amenazas más comunes • Desastres naturales – Incendios, inundaciones, … terremotos, tsunamis… • Desastres industriales – Explosiones, derrumbes, fallo de equipos, • Interrupciones de servicios – Luz, agua, teléfono, internet, … cloudComputing (XaaS) • Errores humanos no intencionados – De usuarios, de administradores, de operadores, • Ataques intencionados – Contra personas, equipos, programas, – Posibles empleados desleales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 20
Impacto de las Amenazas contra la Información • Confidencialidad – Acceso o revelación indebidos • Integridad – Modificación de los datos • Disponibilidad – Sabotaje • (Autenticidad) – Suplantación de Identidad http://www.avpd.es Medidas de Seguridad para Usuarios Finales 21 Salvaguardas / Contramedidas Análisis de Riesgos Están expuestos a… Activos tienen … Amenazas Valor Causan +/- … Degradación Impacto ContraMedidas Impacto Residual Frecuencia Ocurren con +/-… Riesgo Riesgo Residual http://www.avpd.es Medidas de Seguridad para Usuarios Finales 22
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 23 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 24
Niveles de seguridad Nivel Alto: ficheros con •Datos especialmente protegidos •Fines policiales •Violencia de género Nivel Medio: ficheros con •Infracciones administrativas o penales •Información sobre solvencia patrimonial •Administraciones Tributarias •Entidades financieras •Seguridad Social •Elaboración de perfiles Nivel Básico: Todos los ficheros http://www.avpd.es Medidas de Seguridad para Usuarios Finales 25 RD 1720/2007: Niveles de seguridad • Medio – Infracciones administrativas o penales Niveles de Seguridad – Servicios de información sobre solvencia patrimonial y crédito – Administraciones Tributarias - potestades tributarias – Entidades financieras - servicios financieros – Seguridad Social, Mutuas – Elaboración de perfiles http://www.avpd.es Medidas de Seguridad para Usuarios Finales 26
RD 1720/2007: Niveles de seguridad • Medio reforzado (+ registro de accesos) – Operadoras TELECO Niveles de Seguridad • (datos de tráfico y localización) • Alto – Datos especialmente protegidos – Fines policiales sin consentimiento de las personas afectada – Violencia de género http://www.avpd.es Medidas de Seguridad para Usuarios Finales 27 Datos especialmente protegidos (1) • Datos sobre Ideología, religión o creencias. – Nadie podrá ser obligado a declarar sobre estos datos – Cuando se recabe el consentimiento, se advertirá al interesado acerca de su derecho a no prestarlo. – El consentimiento en estos casos ha de ser expreso y por escrito (también la afiliación sindical) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 28
Datos especialmente protegidos (2) • Datos sobre Origen racial, salud y vida sexual – Sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 29 Otros datos protegidos • Datos relativos a la comisión de infracciones penales o administrativas – Los sólo podrán ser incluidos en ficheros de las Administraciones públicas – en los supuestos previstos en las respectivas normas reguladoras. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 30
Excepciones a la aplicación de medidas de Nivel Alto • Bastará con nivel básico en los casos: – Ideología, afiliación sindical, religión, creencias, Niveles de Seguridad salud, origen racial o vida sexual, para: • transferencia dineraria a entidades de las que los afectados sean asociados o miembros, • tratamiento de forma incidental o accesoria, sin guardar relación con la finalidad – Salud (exclusivamente grado o condición de discapacidad o invalidez), para: • cumplimiento de deberes públicos http://www.avpd.es Medidas de Seguridad para Usuarios Finales 31 Resumen medidas nivel Básico Ficheros automatizados y no automatizados Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Niveles de Seguridad Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos Sólo automatizados Sólo no automatizados Art. 93. Identificación y Art. 106. Criterios de archivo autenticación - posibilitar derechos ARCO Art. 94. Copias de respaldo y Art. 107. Dispositivos de almacenamiento recuperación - mecanismos apertura Art. 108. Custodia de los soportes - en el proceso de tramitación http://www.avpd.es Medidas de Seguridad para Usuarios Finales 32
Resumen medidas nivel Medio Ficheros automatizados y no automatizados Arts. 95 y 109: Responsable de seguridad Arts. 96 y 110: Auditoria Niveles de Seguridad Sólo automatizados Sólo no automatizados Art. 97. Gestión de soportes Art. 98. Identificación y autenticación Art. 99. Control de acceso físico Art. 100. Registro de incidencias http://www.avpd.es Medidas de Seguridad para Usuarios Finales 33 Resumen medidas nivel Alto Sólo automatizados Sólo no automatizados Art. 101. Gestión y distribución de Art. 111. Almacenamiento de la soportes información Niveles de Seguridad –Cifrado de datos. Evitar –Archivadores, áreas restringidas dispositivos que no permitan el Art. 112. Copia o reproducción cifrado –Personal autorizado Art. 102. Copias de respaldo y Art. 113. Acceso a la documentación recuperación –Mecanismo identificación accesos por Art. 103. Registro de accesos diferentes usuarios –Excepción: Responsable persona Art. 114. Traslado de documentación física y único usuario –Impedir acceso, manipulación Art. 104. Telecomunicaciones – Cifrado en redes públicas o inalámbricas http://www.avpd.es Medidas de Seguridad para Usuarios Finales 34
10 Objetivos de Control de medidas de seguridad 1. Organización de la Seguridad 2. Documentación de Seguridad 3. Funciones y obligaciones del personal 4. Identificación y autenticación de usuarios 5. Controles y registros de accesos 6. Accesos a través de redes / Internet 7. Soportes y documentos con información 8. Copias de respaldo y recuperación 9. Gestionar Incidencias de seguridad 10. Efectuar Auditorías y Controles http://www.avpd.es Medidas de Seguridad para Usuarios Finales 35 1.- Responsable de Seguridad Nivel Básico Nivel Medio Nivel Alto Debe existir uno o varios, designados por el Medidas de Seguridad responsable del fichero. Es el encargado de coordinar y controlar las medidas de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero También ha de gestionar la seguridad de los ficheros no automatizados (archivística) Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 36
2.- Documento de Seguridad - Requisitos Nivel Básico Nivel Medio N. Alto Establece y recopila, como mínimo: Además debe contener: Medidas de El Ámbito de aplicación. La Identificación del Seguridad Las medidas, normas, procedimientos y estándares responsable de de seguridad. seguridad. Las funciones y obligaciones del personal. Los Controles La estructura de los ficheros y la descripción de los sistemas de información. periódicos del Los procedimientos de gestión y respuesta ante cumplimiento del incidencias. documento. Los procedimientos de realización de las copias de respaldo y recuperación de datos. Las Medidas para el transporte, destrucción y reutilización de soportes. Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 37 2.- Doc. de Seguridad – (más) Nivel Básico Nivel Medio N. Alto • En función de los sistemas de tratamiento u otros criterios, podrá ser: – Único, para todos (o un grupo de) los ficheros, o – Individualizado por cada fichero, Medidas de Seguridad • Deberá recoger las situaciones excepcionales relativas a: – Prestaciones de servicios (82.1), uso de dispositivos portátiles (86), – Medidas compensatorias, imposibilidad aplicación medidas previstas • Recogerá las delegación de autorizaciones (art. 84) • Incluirá los ficheros externalizados, indicándolo expresamente • Puede delegarse la llevanza del Documento de Seguridad en el Encargado de Tratamiento • Los Encargados de Tratamiento han de incluir los ficheros que tratan por cuenta de terceros, con referencia a las condiciones del encargo • Carácter Interno. Controlado y actualizado periódicamente Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 38
3.- Funciones y obligaciones del Personal Nivel Básico Nivel Medio Nivel Alto Las funciones y obligaciones relacionadas con el Medidas de Seguridad acceso a datos personales habrán de estar claramente definidas y documentadas. Deben definirse las funciones de control y autorizaciones delegadas El personal debe conocer las normas que les afecten El personal debe conocer las consecuencias de su incumplimiento. Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 39 4.- Identificación y Autenticación Nivel Básico Nivel Medio Nivel Alto Se identificará univoca y Existirá un límite al Medidas de Seguridad personalmente a cada usuario número de intentos Procedimiento de asignación y reiterados de acceso no gestión de contraseñas autorizado. Periodo de caducidad para las contraseñas inferior a un año. Se almacenarán de forma ininteligible. Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 40
5.a- Control y Registros de Accesos en ficheros automatizados Nivel Básico Nivel Medio Nivel Alto Acceso únicamente a Existirán Existirá un Registro de los datos y recursos controles de Accesos donde figurará: Medidas de usuario, hora, Seguridad necesarios para sus acceso fichero, tipo acceso funciones. físico a los registro accedido. Relación actualizada locales Bajo el control del de usuarios y perfiles donde se responsable de y sus accesos encuentren seguridad. autorizados. ubicados los Se hará un informe Mecanismos para sistemas de mensual. evitar el acceso con información. Se conservará al menos distintos derechos. durante 2 años. Concesión de Excepción: derechos por personal Accede una única autorizado. persona física Aplicable a ficheros Aplicable solo a ficheros automatizados automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 41 5.b- Control y Registros de Accesos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Acceso únicamente a los El acceso se limitará al personal Medidas de datos y recursos necesarios autorizado. Seguridad para sus funciones. Habrá mecanismos para identificar Relación actualizada de los accesos a documentos usuarios y perfiles y sus disponibles para múltiples usuarios accesos autorizados. Procedimiento en el Documento de Mecanismos para evitar el Seguridad para registrar los accesos acceso con distintos de otras personas derechos. Concesión de derechos por personal autorizado. Aplicable a ficheros Aplicable solo a ficheros manuales automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 42
6.- Acceso y transmisión mediante Telecomunicaciones Nivel Básico Nivel Medio Nivel Alto Las medidas de seguridad La transmisión de datos a Medidas de exigibles a los accesos través de redes de Seguridad mediante redes de telecomunicaciones comunicaciones, sean Públicas públicas o privadas, Inalámbricas deberán de garantizar un nivel se realizará cifrando los de seguridad equivalente al datos o mediante cualquier los accesos en modo local otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 43 7.a- Gestión de Soportes para ficheros automatizados Nivel Básico Nivel Medio Nivel Alto Inventario de soportes Habrá un “Cripto-Etiquetado” Medidas de Acceso restringido. registro de Distribuir soportes Seguridad Salida autorizada de entrada y cifrando los datos u soportes, incluso eMail. salida de otro mecanismo que Medidas en el traslado soportes. impida el acceso. para impedir pérdidas, … Cifrado de Medidas para impedir la dispositivos recuperación de datos de portátiles. soportes desechados o Excepciones, al DS reutilizado. Debe identificarse el tipo de datos que contienen. Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 44
7.b- Gestión de Soportes y Documentos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Se aplicarán criterios de El acceso a armarios, Medidas de archivo que permitan la archivadores, etc. estará Seguridad conservación, localización y protegido mediante puertas con consulta cerradura. Cuando no se Los dispositivos de acceda, permanecerán cerradas. almacenamiento tendrán Soluciones alternativas, mecanismos que obstaculicen motivadas en el Documento de su apertura Seguridad Cuando la documentación no se Siempre que se proceda al encuentre archivada, su traslado físico de depositario deberá custodiarla documentación, deberán e impedir accesos no adoptarse medidas para impedir autorizados su acceso o manipulación Aplicable solo a ficheros manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 45 8.- Procedimientos de Respaldo y Recuperación Nivel Básico Nivel Medio Nivel Alto Procedimientos de copia para respaldo y Las copias de Medidas de Seguridad recuperación, al menos semanalmente respaldo y los Garantizar la reconstrucción de los datos al procedimientos mismo estado en que se encontraban en el de recuperación momento de la pérdida o destrucción. se conservarán Verificación semestral de su definición, en un lugar funcionamiento y aplicación diferente de Pruebas con datos reales con mismo nivel donde se de seguridad y con copia de seguridad encuentren los equipos. Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 46
9.- Procedimiento de Gestión de Incidencias Nivel Básico Nivel Medio Nivel Alto Debe existir un Además, debe contener: Medidas de Seguridad Registro de Procedimientos efectuados Incidencias con: para recuperación de los tipo de incidencia, datos, cuándo se ha persona que lo ejecuta, producido, datos restaurados persona que la datos grabados manualmente. notificia, Es necesaria la autorización persona a quien se por escrito del responsable comunica del fichero para su efectos derivados. recuperación. Aplicable a ficheros Aplicable solo a ficheros automatizados automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 47 10.- Controles del Documento de Seguridad y Auditorías Nivel Básico Nivel Medio Nivel Alto Realizar controles periódicos Medidas de Mantener actualizado el Documento de Seguridad Seguridad Al menos una auditoría cada dos años. Cuando se realicen modificaciones sustanciales Puede ser interna o externa. Debe dictaminar sobre: Adecuación de medidas y controles. Deficiencias identificadas Medidas correctoras necesarias. El responsable de seguridad debe: Analizar el informe de Auditoría Elevar sus conclusiones al responsable del fichero A disposición de la APD Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 48
Quién hace qué? Respons. Respons. Medidas de Seguridad Fichero Seguridad Personal Organización de la Seguridad Designar Participar Decidir Elaborar Documento de Seguridad Conocer políticas Aplicar Medidas de Definir Seguridad Funciones y obligaciones del personal Documentar Cumplir Actuar Definir pol. Identificación y autenticación de usuarios Cumplir Implantar Implantar Controles y registros de accesos Conocer Gestionar Implantar Accesos a través de la redes de comunicaciones Conocer Gestionar Definir pol. Soportes y documentos con información Cumplir Gestionar Definir pol. Copias de respaldo y recuperación Supervisar Anticipar Incidencias de seguridad Actuar Cooperar Gestionar Encargar Efectuar Auditorías y Controles periódicos Decidir Cooperar Gestionar http://www.avpd.es Medidas de Seguridad para Usuarios Finales 49 Quién hace qué? Respons. Respons. Medidas de Seguridad Fichero Seguridad Personal Organización de la Seguridad Designar Organizar Decidir Elaborar Documento de Seguridad Conocer políticas Aplicar Medidas de Definir Seguridad Funciones y obligaciones del personal Documentar Cumplir Actuar Definir pol. Identificación y autenticación de usuarios Cumplir Implantar Implantar Controles y registros de accesos Conocer Gestionar Implantar Accesos a través de la redes de comunicaciones Conocer Gestionar Definir pol. Soportes y documentos con información Cumplir Gestionar Definir pol. Copias de respaldo y recuperación Supervisar Anticipar Incidencias de seguridad Actuar Cooperar Gestionar Encargar Efectuar Auditorías y Controles periódicos Decidir Cooperar Gestionar http://www.avpd.es Medidas de Seguridad para Usuarios Finales 50
3.- Funciones y obligaciones del Personal Nivel Básico Nivel Medio Nivel Alto Las funciones y obligaciones relacionadas con el Medidas de Seguridad acceso a datos personales habrán de estar claramente definidas y documentadas. Deben definirse las funciones de control y autorizaciones delegadas El personal debe conocer las normas que les afecten El personal debe conocer las consecuencias de su incumplimiento. Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 51 Obligaciones del Personal (detalles) • Deber de secreto y confidencialidad Detalles para • Conocer y observar las normas y medidas Usuarios que afecten a sus funciones • Notificación de incidentes de seguridad http://www.avpd.es Medidas de Seguridad para Usuarios Finales 52
Funciones del Personal (detalles) • Distinguir, al menos los siguientes Detalles para perfiles: Usuarios – Los relacionados con funciones de control – Los relacionados con gestión de S.I. – Usuarios de los Sistemas de Información – Usuarios sin acceso a datos – Personal externo http://www.avpd.es Medidas de Seguridad para Usuarios Finales 53 Funciones y Obligaciones en tu Organización: • ¿Hay unas funciones y obligaciones… – ... documentadas y por escrito? – … para cada perfil de usuario? – … conocidas por el personal? – … con cumplimiento controlado? – … con consecuencias? http://www.avpd.es Medidas de Seguridad para Usuarios Finales 54
4.- Identificación y Autenticación Nivel Básico Nivel Medio Nivel Alto Se identificará univoca y Existirá un límite al Medidas de Seguridad personalmente a cada usuario número de intentos Procedimiento de asignación y reiterados de acceso no gestión de contraseñas autorizado. Periodo de caducidad para las contraseñas inferior a un año. Se almacenarán de forma ininteligible. Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 55 Cómo se elabora una buena contraseña • "Una contraseña debe ser Detalles para como un cepillo de dientes: Usuarios – Úsalo cada día; – cámbialo regularmente; – … y NO lo compartas con tus amigos." http://www.avpd.es Medidas de Seguridad para Usuarios Finales 56
Lo que nos dicen de las contraseñas • Recomendaciones estándar – Longitud mínima de 6 caracteres; recomendado más de 8 Detalles para – Que incluya mayúsculas, minúsculas, números y signos de puntuación Usuarios – Cambiar la contraseña frecuentemente, sin usar un ciclo • No utilizar nunca: – ninguna palabra que pueda figurar en cualquier diccionario. – datos personales o familiares evidentes, (DNI, teléfono, fechas,…) – una única contraseña para todos los servicios, cuentas, bancos, etc. • Precauciones: – No compartir la contraseña, ni apuntarla en un papel, ni en un fichero de texto, ni enviarla por correo electrónico, SMS, mensajería instantánea … – No revelar la contraseña (ingeniería social) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 57 Lo que no nos dicen… • El exceso de exigencias respecto de las contraseñas Detalles para hace que los usuarios busquen alternativas que, finalmente, hacen más débil la seguridad. Usuarios – Las contraseñas largas y complicadas que se han de cambiar a menudo se terminan apuntando en algún lugar no muy lejano del teclado. – Cuando se tienen muchas contraseñas, siempre terminan registradas en un fichero. – Exigir (o abusar) de caracteres especiales causa errores al teclear y problemas en los teclados de otros países. – Los sistemas alternativos para recordar contraseñas (pregunta y respuesta) son MUY débiles. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 58
Cómo mantener muchas contraseñas • Disponer de tres contraseñas-base Detalles para – La mala, la buena y la fea Usuarios • Disponer de un pin-base suficientemente largo • Utilizar frases de paso • Recordar reglas, en lugar de contraseñas • Las contraseñas, con contraseña http://www.avpd.es Medidas de Seguridad para Usuarios Finales 59 Cómo gestionar tus contraseñas personales • “A Mano” (Fichero de texto “en oscuro”) • Fichero plano, Libreta de direcciones • “A Máquina” (mediante algun programa) – Fichero de texto cifrado – Programas de gestión de contraseñas • En el PC • En la PDA / Smartphone • En Interntet http://www.avpd.es Medidas de Seguridad para Usuarios Finales 60
Correo electrónico • Política reflejada en Doc. de Seguridad Detalles para • El correo electrónico, como un soporte Usuarios más – Canal potencialmente inseguro – Impacto potencialmente muy elevado • Recomendación: siempre cifrado http://www.avpd.es Medidas de Seguridad para Usuarios Finales 61 7.a- Gestión de Soportes para ficheros automatizados Nivel Básico Nivel Medio Nivel Alto Inventario de soportes Habrá un “Cripto-Etiquetado” Medidas de Acceso restringido. registro de Distribuir soportes Seguridad Salida autorizada de entrada y cifrando los datos u soportes, incluso eMail. salida de otro mecanismo que Medidas en el traslado soportes. impida el acceso. para impedir pérdidas, … Cifrado de Medidas para impedir la dispositivos recuperación de datos de portátiles. soportes desechados o Excepciones, al DS reutilizado. Debe identificarse el tipo de datos que contienen. Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 62
Memorias USB y demás • Política reflejada en Doc. de Seguridad Detalles para • Considerar uso restringido de puertos Usuarios • El robo o extravío es un riesgo siempre presente – Nunca es información “original” (única) – Uso de encriptación (total o parcial) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 63 Equipos portátiles • Política reflejada en Doc. de Seguridad Detalles para • Nunca dejarlo solo: Usuarios – Equipaje de mano, y siempre a mano – Hoteles, restaurantes, cibercafés, … – Conferencias, salas de reuniones, despachos, … • Acceso, siempre con contraseña • Contenido cifrado http://www.avpd.es Medidas de Seguridad para Usuarios Finales 64
Herramientas para cifrado • Uso profesional: Detalles para – Lo que establezca tu Organización Usuarios • Uso personal – Compresores con contraseña (WinZip) – Cifrado de ficheros (PGP, GPG, AxCrypt) – Cifrado de contenedores (Truecrypt) – Otras • Cifrado total de discos (SisOp.) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 65 5.b- Control y Registros de Accesos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Acceso únicamente a los El acceso se limitará al personal Medidas de datos y recursos necesarios autorizado. Seguridad para sus funciones. Habrá mecanismos para identificar Relación actualizada de los accesos a documentos usuarios y perfiles y sus disponibles para múltiples usuarios accesos autorizados. Procedimiento en el Documento de Mecanismos para evitar el Seguridad para registrar los accesos acceso con distintos de otras personas derechos. Concesión de derechos por personal autorizado. Aplicable a ficheros Aplicable solo a ficheros manuales automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 66
7.b- Gestión de Soportes y Documentos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Se aplicarán criterios de El acceso a armarios, Medidas de archivo que permitan la archivadores, etc. estará Seguridad conservación, localización y protegido mediante puertas con consulta cerradura. Cuando no se Los dispositivos de acceda, permanecerán cerradas. almacenamiento tendrán Soluciones alternativas, mecanismos que obstaculicen motivadas en el Documento de su apertura Seguridad Cuando la documentación no se Siempre que se proceda al encuentre archivada, su traslado físico de depositario deberá custodiarla documentación, deberán e impedir accesos no adoptarse medidas para impedir autorizados su acceso o manipulación Aplicable solo a ficheros manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 67 Buenas prácticas en la gestión de documentos y ficheros manuales Buenas prácticas • Política de “escritorio limpio” http://www.avpd.es Medidas de Seguridad para Usuarios Finales 68
Buenas prácticas en la gestión de documentos y ficheros manuales Buenas prácticas • Destruir siempre antes de tirar – No importa como… http://www.avpd.es Medidas de Seguridad para Usuarios Finales 69 Buenas prácticas en la gestión de documentos y ficheros manuales Buenas prácticas • Atención a copiadoras, impresoras, faxes – No olvidar originales – Recoger listados – Recoger y distribuir faxes http://www.avpd.es Medidas de Seguridad para Usuarios Finales 70
Precauciones en el traslado de expedientes, historias clínicas, … • Entre el archivo central y los lugares de tratamiento (despachos, consultas o unidades hospitalarias) • Relaciones de entrega, acuses de recibo, … • Siempre bajo control y supervisión del ordenanza o celador. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 71 Documentación disponible en: http://www.slideshare.net/paGonzalez/ http://www.avpd.es http://www.seis.es http://www.flickr.com/photos/rosino/3658259716/ http://www.avpd.es Medidas de Seguridad para Usuarios Finales 72

Recomendados

Marco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasMarco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasPribatua
 
PRESERVACIÓN Y CONSERVACIÓN DE LOS DOCUMENTOS DIGITALES
PRESERVACIÓN Y CONSERVACIÓN DE LOS DOCUMENTOS DIGITALESPRESERVACIÓN Y CONSERVACIÓN DE LOS DOCUMENTOS DIGITALES
PRESERVACIÓN Y CONSERVACIÓN DE LOS DOCUMENTOS DIGITALESANDREACAROLINA139
 
Tema1 instalacionesestrategicas
Tema1 instalacionesestrategicasTema1 instalacionesestrategicas
Tema1 instalacionesestrategicasaghconsultoria
 
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...Ricardo Cañizares Sales
 
Preservacion y conservacion de documentos digitales.pptx carmen lorza p.
Preservacion y conservacion de documentos digitales.pptx carmen lorza p.Preservacion y conservacion de documentos digitales.pptx carmen lorza p.
Preservacion y conservacion de documentos digitales.pptx carmen lorza p.carmen lorza perdomo
 
Conservacion documentosdigitales
Conservacion documentosdigitalesConservacion documentosdigitales
Conservacion documentosdigitalesivonnegaitan
 
Documentos Digitales
Documentos DigitalesDocumentos Digitales
Documentos DigitalesStiven Ramirez
 
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.Rames Sarwat
 

Recomendados

Marco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasMarco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasPribatua
 
PRESERVACIÓN Y CONSERVACIÓN DE LOS DOCUMENTOS DIGITALES
PRESERVACIÓN Y CONSERVACIÓN DE LOS DOCUMENTOS DIGITALESPRESERVACIÓN Y CONSERVACIÓN DE LOS DOCUMENTOS DIGITALES
PRESERVACIÓN Y CONSERVACIÓN DE LOS DOCUMENTOS DIGITALESANDREACAROLINA139
 
Tema1 instalacionesestrategicas
Tema1 instalacionesestrategicasTema1 instalacionesestrategicas
Tema1 instalacionesestrategicasaghconsultoria
 
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...
IV Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad – ...Ricardo Cañizares Sales
 
Preservacion y conservacion de documentos digitales.pptx carmen lorza p.
Preservacion y conservacion de documentos digitales.pptx carmen lorza p.Preservacion y conservacion de documentos digitales.pptx carmen lorza p.
Preservacion y conservacion de documentos digitales.pptx carmen lorza p.carmen lorza perdomo
 
Conservacion documentosdigitales
Conservacion documentosdigitalesConservacion documentosdigitales
Conservacion documentosdigitalesivonnegaitan
 
Documentos Digitales
Documentos DigitalesDocumentos Digitales
Documentos DigitalesStiven Ramirez
 
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.Rames Sarwat
 
Preservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitalesPreservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitalesjennisin
 
Preservacion y conservacion_de_los_documentos_digitales
Preservacion y conservacion_de_los_documentos_digitalesPreservacion y conservacion_de_los_documentos_digitales
Preservacion y conservacion_de_los_documentos_digitalesfredvela
 
Lopd lozoyaytorres
Lopd lozoyaytorresLopd lozoyaytorres
Lopd lozoyaytorresBioga Dixital
 
Preservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitalesPreservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitalesDaniela Gomez Ramirez
 
Preservación y conservación de documentos digitales
Preservación y conservación de documentos digitalesPreservación y conservación de documentos digitales
Preservación y conservación de documentos digitalesAURAGOMEZ24
 
Nirsa aranda grupo04_16032018
Nirsa aranda grupo04_16032018Nirsa aranda grupo04_16032018
Nirsa aranda grupo04_16032018Nirsa Aranda Perdomo
 
Unidad 2 documentos digitales sandra_patricia_salamanca_leòn.doc
Unidad 2 documentos digitales sandra_patricia_salamanca_leòn.docUnidad 2 documentos digitales sandra_patricia_salamanca_leòn.doc
Unidad 2 documentos digitales sandra_patricia_salamanca_leòn.docSANDRAPATRICIASALAMA2
 
Plantilla presentacion institucional_power_point
Plantilla presentacion institucional_power_pointPlantilla presentacion institucional_power_point
Plantilla presentacion institucional_power_pointAlbaDelgado16
 
Preservación y Conservación de los Documentos Digitales
Preservación y Conservación de los Documentos DigitalesPreservación y Conservación de los Documentos Digitales
Preservación y Conservación de los Documentos DigitalesUniversidad del Quindio
 
Actividad dos
Actividad dosActividad dos
Actividad dosLeydi Johana Ortiz Cañas
 
Preservación y conservación de documentos electrónicos_Mauricio Fernandez
Preservación y conservación de documentos electrónicos_Mauricio FernandezPreservación y conservación de documentos electrónicos_Mauricio Fernandez
Preservación y conservación de documentos electrónicos_Mauricio FernandezMauricio Fernandez Guerra
 
Conservacion y preservacion de los documentos digitales yenny espitia rey
Conservacion y preservacion de los documentos digitales yenny espitia reyConservacion y preservacion de los documentos digitales yenny espitia rey
Conservacion y preservacion de los documentos digitales yenny espitia reyJennyEspitia2
 
Conservacion digital
Conservacion digitalConservacion digital
Conservacion digitalsanmasi
 
Documentos Digitales
Documentos Digitales Documentos Digitales
Documentos Digitales NicoleNupan
 
Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)
Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)
Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)AVPD - Agencia Vasca de Protección de Datos
 
Presentación paGonzalez en Euskal SecuriTIConference
Presentación paGonzalez en Euskal SecuriTIConferencePresentación paGonzalez en Euskal SecuriTIConference
Presentación paGonzalez en Euskal SecuriTIConferenceAVPD - Agencia Vasca de Protección de Datos
 
Curso Virtual de Hacking Windows
Curso Virtual de Hacking WindowsCurso Virtual de Hacking Windows
Curso Virtual de Hacking WindowsAlonso Caballero
 
Internet, privacidad, seguridad e identidad digital 2.0
Internet, privacidad, seguridad e identidad digital 2.0Internet, privacidad, seguridad e identidad digital 2.0
Internet, privacidad, seguridad e identidad digital 2.0AVPD - Agencia Vasca de Protección de Datos
 
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad DigitalpaGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad DigitalAVPD - Agencia Vasca de Protección de Datos
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysNunsys S.L.
 
RGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de RiesgosRGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de RiesgosAVPD - Agencia Vasca de Protección de Datos
 

Más contenido relacionado

La actualidad más candente

Preservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitalesPreservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitalesjennisin
 
Preservacion y conservacion_de_los_documentos_digitales
Preservacion y conservacion_de_los_documentos_digitalesPreservacion y conservacion_de_los_documentos_digitales
Preservacion y conservacion_de_los_documentos_digitalesfredvela
 
Preservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitalesPreservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitalesDaniela Gomez Ramirez
 
Preservación y conservación de documentos digitales
Preservación y conservación de documentos digitalesPreservación y conservación de documentos digitales
Preservación y conservación de documentos digitalesAURAGOMEZ24
 
Unidad 2 documentos digitales sandra_patricia_salamanca_leòn.doc
Unidad 2 documentos digitales sandra_patricia_salamanca_leòn.docUnidad 2 documentos digitales sandra_patricia_salamanca_leòn.doc
Unidad 2 documentos digitales sandra_patricia_salamanca_leòn.docSANDRAPATRICIASALAMA2
 
Plantilla presentacion institucional_power_point
Plantilla presentacion institucional_power_pointPlantilla presentacion institucional_power_point
Plantilla presentacion institucional_power_pointAlbaDelgado16
 
Preservación y Conservación de los Documentos Digitales
Preservación y Conservación de los Documentos DigitalesPreservación y Conservación de los Documentos Digitales
Preservación y Conservación de los Documentos DigitalesUniversidad del Quindio
 
Preservación y conservación de documentos electrónicos_Mauricio Fernandez
Preservación y conservación de documentos electrónicos_Mauricio FernandezPreservación y conservación de documentos electrónicos_Mauricio Fernandez
Preservación y conservación de documentos electrónicos_Mauricio FernandezMauricio Fernandez Guerra
 
Conservacion y preservacion de los documentos digitales yenny espitia rey
Conservacion y preservacion de los documentos digitales yenny espitia reyConservacion y preservacion de los documentos digitales yenny espitia rey
Conservacion y preservacion de los documentos digitales yenny espitia reyJennyEspitia2
 
Conservacion digital
Conservacion digitalConservacion digital
Conservacion digitalsanmasi
 
Documentos Digitales
Documentos Digitales Documentos Digitales
Documentos Digitales NicoleNupan
 

La actualidad más candente (14)

Preservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitalesPreservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitales
 
Preservacion y conservacion_de_los_documentos_digitales
Preservacion y conservacion_de_los_documentos_digitalesPreservacion y conservacion_de_los_documentos_digitales
Preservacion y conservacion_de_los_documentos_digitales
 
Lopd lozoyaytorres
Lopd lozoyaytorresLopd lozoyaytorres
Lopd lozoyaytorres
 
Preservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitalesPreservacion y conservacion de documentos digitales
Preservacion y conservacion de documentos digitales
 
Preservación y conservación de documentos digitales
Preservación y conservación de documentos digitalesPreservación y conservación de documentos digitales
Preservación y conservación de documentos digitales
 
Nirsa aranda grupo04_16032018
Nirsa aranda grupo04_16032018Nirsa aranda grupo04_16032018
Nirsa aranda grupo04_16032018
 
Unidad 2 documentos digitales sandra_patricia_salamanca_leòn.doc
Unidad 2 documentos digitales sandra_patricia_salamanca_leòn.docUnidad 2 documentos digitales sandra_patricia_salamanca_leòn.doc
Unidad 2 documentos digitales sandra_patricia_salamanca_leòn.doc
 
Plantilla presentacion institucional_power_point
Plantilla presentacion institucional_power_pointPlantilla presentacion institucional_power_point
Plantilla presentacion institucional_power_point
 
Preservación y Conservación de los Documentos Digitales
Preservación y Conservación de los Documentos DigitalesPreservación y Conservación de los Documentos Digitales
Preservación y Conservación de los Documentos Digitales
 
Actividad dos
Actividad dosActividad dos
Actividad dos
 
Preservación y conservación de documentos electrónicos_Mauricio Fernandez
Preservación y conservación de documentos electrónicos_Mauricio FernandezPreservación y conservación de documentos electrónicos_Mauricio Fernandez
Preservación y conservación de documentos electrónicos_Mauricio Fernandez
 
Conservacion y preservacion de los documentos digitales yenny espitia rey
Conservacion y preservacion de los documentos digitales yenny espitia reyConservacion y preservacion de los documentos digitales yenny espitia rey
Conservacion y preservacion de los documentos digitales yenny espitia rey
 
Conservacion digital
Conservacion digitalConservacion digital
Conservacion digital
 
Documentos Digitales
Documentos Digitales Documentos Digitales
Documentos Digitales
 

Destacado

Curso Virtual de Hacking Windows
Curso Virtual de Hacking WindowsCurso Virtual de Hacking Windows
Curso Virtual de Hacking WindowsAlonso Caballero
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysNunsys S.L.
 
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2AVPD - DBEB
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 

Destacado (11)

Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)
Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)
Ciberbullying - Privacidad e identidad digital en las redes sociales (PDF)
 
Presentación paGonzalez en Euskal SecuriTIConference
Presentación paGonzalez en Euskal SecuriTIConferencePresentación paGonzalez en Euskal SecuriTIConference
Presentación paGonzalez en Euskal SecuriTIConference
 
Curso Virtual de Hacking Windows
Curso Virtual de Hacking WindowsCurso Virtual de Hacking Windows
Curso Virtual de Hacking Windows
 
Internet, privacidad, seguridad e identidad digital 2.0
Internet, privacidad, seguridad e identidad digital 2.0Internet, privacidad, seguridad e identidad digital 2.0
Internet, privacidad, seguridad e identidad digital 2.0
 
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad DigitalpaGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
 
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
 
RGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de RiesgosRGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de Riesgos
 
BigPrivacy - Privacidad y BigData en Estadísticas Oficiales
BigPrivacy - Privacidad y BigData en Estadísticas OficialesBigPrivacy - Privacidad y BigData en Estadísticas Oficiales
BigPrivacy - Privacidad y BigData en Estadísticas Oficiales
 
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 

Similar a Medidas de seguridad para usuarios finales en atención sociosanitaria

Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasJuan Carlos Carrillo
 
AVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - DBEB
 
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)jmedino
 
Ciberseguridad y privacidad
Ciberseguridad y privacidadCiberseguridad y privacidad
Ciberseguridad y privacidadmarvincarvajal
 
Articles 349495 recurso-105
Articles 349495 recurso-105Articles 349495 recurso-105
Articles 349495 recurso-105Monic Arguello
 
Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Monic Arguello
 
Articles 349495 recurso-105 (2)
Articles 349495 recurso-105 (2)Articles 349495 recurso-105 (2)
Articles 349495 recurso-105 (2)Monic Arguello
 
Presentación Lopd Cct 2009
Presentación Lopd Cct 2009Presentación Lopd Cct 2009
Presentación Lopd Cct 2009Andrés Romero
 
Seguridad de Información -ArCert
Seguridad de Información -ArCertSeguridad de Información -ArCert
Seguridad de Información -ArCertChristian Ballejo
 

Similar a Medidas de seguridad para usuarios finales en atención sociosanitaria (20)

Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina Ornelas
 
AVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenieros
 
Foro SEIS-paGonzalez-2012-apuntesx6
Foro SEIS-paGonzalez-2012-apuntesx6Foro SEIS-paGonzalez-2012-apuntesx6
Foro SEIS-paGonzalez-2012-apuntesx6
 
RGPD - Responsabilidad proActiva - Análisis de Consecuencias
RGPD - Responsabilidad proActiva - Análisis de ConsecuenciasRGPD - Responsabilidad proActiva - Análisis de Consecuencias
RGPD - Responsabilidad proActiva - Análisis de Consecuencias
 
Ponencia Vicente Hernández Sánchez ADISPO Problemas y errores en Planes de Au...
Ponencia Vicente Hernández Sánchez ADISPO Problemas y errores en Planes de Au...Ponencia Vicente Hernández Sánchez ADISPO Problemas y errores en Planes de Au...
Ponencia Vicente Hernández Sánchez ADISPO Problemas y errores en Planes de Au...
 
Cap6
Cap6Cap6
Cap6
 
Cap6
Cap6Cap6
Cap6
 
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
 
Educacion lopd andatic_II
Educacion lopd andatic_IIEducacion lopd andatic_II
Educacion lopd andatic_II
 
Cómo adecuarse al RGPD (#GDPR)
Cómo adecuarse al RGPD (#GDPR)Cómo adecuarse al RGPD (#GDPR)
Cómo adecuarse al RGPD (#GDPR)
 
Ciberseguridad y privacidad
Ciberseguridad y privacidadCiberseguridad y privacidad
Ciberseguridad y privacidad
 
Articles 349495 recurso-105
Articles 349495 recurso-105Articles 349495 recurso-105
Articles 349495 recurso-105
 
Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)
 
Articles 349495 recurso-105 (2)
Articles 349495 recurso-105 (2)Articles 349495 recurso-105 (2)
Articles 349495 recurso-105 (2)
 
Presentación Lopd Cct 2009
Presentación Lopd Cct 2009Presentación Lopd Cct 2009
Presentación Lopd Cct 2009
 
La Protección de Datos en las Escuelas de Idiomas
La Protección de Datos en las Escuelas de IdiomasLa Protección de Datos en las Escuelas de Idiomas
La Protección de Datos en las Escuelas de Idiomas
 
090930 Presentacion Impulsem
090930 Presentacion Impulsem090930 Presentacion Impulsem
090930 Presentacion Impulsem
 
Manual de polticas des eguridad informtica
Manual de polticas des eguridad informtica Manual de polticas des eguridad informtica
Manual de polticas des eguridad informtica
 
Seguridad de Información -ArCert
Seguridad de Información -ArCertSeguridad de Información -ArCert
Seguridad de Información -ArCert
 
Gestión de los datos personales en la actividad de I+D+i
Gestión de los datos personales en la actividad de I+D+iGestión de los datos personales en la actividad de I+D+i
Gestión de los datos personales en la actividad de I+D+i
 

Último

El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 

Último (20)

El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 

Medidas de seguridad para usuarios finales en atención sociosanitaria

  • 1. Medidas de Seguridad en atención sociosanitaria Pedro Alberto González González http://www.avpd.es Índice de la sesión • Marco de referencia • Análisis de riesgos • Niveles de seguridad • Medidas de seguridad • En particular, para usuarios finales • Conclusiones http://www.avpd.es Medidas de Seguridad para Usuarios Finales 2
  • 2. Principios consagrados en la LOPD • Calidad de los datos • Información en la recogida Referencia Marco de • Consentimiento del afectado • Comunicación o cesión de los datos • Protección especial de determinados datos • Seguridad de los datos • Deber de secreto http://www.avpd.es Medidas de Seguridad para Usuarios Finales 3 Seguridad de los Datos (art. 9 LOPD) • Se adoptarán las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, Referencia – evitando su alteración o pérdida Marco de – y su tratamiento o acceso no autorizado • Teniendo en cuenta: – el estado de la tecnología – la naturaleza de los datos almacenados – los riesgos a que estén expuestos • Afecta tanto al Responsable del Fichero como al Encargado del Tratamiento http://www.avpd.es Medidas de Seguridad para Usuarios Finales 4
  • 3. Deber de secreto (art. 10 LOPD) • El responsable del fichero y quienes intervengan en cualquier fase del Referencia Marco de tratamiento de los datos de carácter personal están obligados al secreto profesional. • Esta obligación subsistirá aun después de finalizar sus relaciones con el titular del fichero. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 5 LEY 16/2003, de cohesión y calidad del Sistema Nacional de Salud • Artículo 14. Prestación de atención sociosanitaria. – 1. La atención sociosanitaria comprende el conjunto de cuidados destinados a aquellos enfermos, generalmente crónicos, que por sus especiales características pueden beneficiarse de la actuación simultánea y sinérgica de los servicios sanitarios y sociales para aumentar su autonomía, paliar sus limitaciones o sufrimientos y facilitar su reinserción social. – (…) 3. La continuidad del servicio será garantizada por los servicios sanitarios y sociales a través de la adecuada coordinación entre las Administraciones públicas correspondientes. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 6
  • 4. Ley 41/2002, de Autonomía del Paciente • Artículo 7. El derecho a la intimidad. – 1. Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley. – 2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 7 Ley 41/2002, de Autonomía del Paciente • Artículo 14. Definición y archivo de la historia clínica. – (…) 2. Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información. – (…) 4. Las Comunidades Autónomas aprobarán las disposiciones necesarias para que los centros sanitarios puedan adoptar las medidas técnicas y organizativas adecuadas para archivar y proteger las historias clínicas y evitar su destrucción o su pérdida accidental. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 8
  • 5. Ley 41/2002, de Autonomía del Paciente • Artículo 16. Usos de la historia clínica. – 6. El personal que accede a los datos de la historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 9 Ley 41/2002, de Autonomía del Paciente • Artículo 17. Documentación clínica. – 1. Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, (…). – 6. Son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los ficheros que contienen datos de carácter personal y, en general, por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 10
  • 6. Euskadi: LEY 12/2008, de Servicios Sociales • Artículo 9.– Derechos de las personas usuarias de los servicios sociales. – a) Derecho a acceder a los servicios sociales en condiciones de igualdad, dignidad y privacidad. – b) Derecho a la confidencialidad, • entendiéndose por tal el derecho a que los datos de carácter personal que obren en su expediente o en cualquier documento que les concierna sean tratados con pleno respeto de lo previsto en la LOPD, • incluyendo la debida reserva por parte de las profesionales y los profesionales con respecto a la información de la que hayan tenido conocimiento http://www.avpd.es Medidas de Seguridad para Usuarios Finales 11 Euskadi: LEY 12/2008, de Servicios Sociales • Artículo 9.– Derechos de las personas usuarias de los servicios sociales. – d) Derecho a dar o a denegar su consentimiento libre y específico en relación con una determinada intervención, debiendo ser otorgado el consentimiento, en todo caso, por escrito cuando la intervención implique ingreso en un servicio de alojamiento o en un centro residencial. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 12
  • 7. Euskadi: LEY 12/2008, de Servicios Sociales • Artículo 20.– Instrumentos técnicos comunes. – 1.– Con el fin de garantizar la homogeneidad en los criterios de intervención, (…) todos los servicios sociales de base cumplimentarán el modelo de ficha social y aplicarán el modelo de plan de atención personalizada. (…) – Tanto en el diseño de estos instrumentos como en la recogida de datos, y en su utilización y explotación, se estará a lo previsto en la normativa vigente en materia de protección de datos de carácter personal. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 13 Euskadi: LEY 12/2008, de Servicios Sociales • Artículo 90.– Infracciones graves. – b) Incumplir el deber de confidencialidad y el deber de reserva de los datos personales, familiares o sociales de las personas usuarias. – c) No salvaguardar el derecho a la dignidad y a la intimidad de las personas usuarias. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 14
  • 8. Seguridad ≠ Privacidad • Adjetivo (un medio) • Sustantivo (un fin) – Protección de activos – Derecho • Evitar riesgo • Fundamental • Mitigar impacto • Constitucional “Security by “Privacy by Design” Design” http://www.avpd.es Medidas de Seguridad para Usuarios Finales 15 Modelo de referencia para Análisis de Riesgos Análisis de Riesgos Están expuestos a… Activos tienen … Amenazas Valor Causan +/- … Degradación Impacto Frecuencia Ocurren con +/-… Riesgo http://www.avpd.es Medidas de Seguridad para Usuarios Finales 16
  • 9. Activos más comunes • Instalaciones – Edificios, locales, canalizaciones, redes de comunicaciones,… • Equipamientos – Mobiliario, maquinaria, ordenadores personales, … • Sistemas de Información – Servidores, sistemas de almacenamiento,… – Aplicaciones y programas de ordenador – Información, datos de negocio, datos personales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 17 Activos más comunes • Intangibles – Licencias, derechos,.. – Reputación, imagen, … – Personas de la Organización • Servicios prestados – Continuidad del negocio http://www.avpd.es Medidas de Seguridad para Usuarios Finales 18
  • 10. Activos en Protección de Datos • Datos de Carácter Personal • y, como consecuencia, – Instalaciones donde se ubican, – Equipos donde se tratan – Redes por donde “viajan” – Programas que los tratan – Soportes que los contienen – Personas que los gestionan http://www.avpd.es Medidas de Seguridad para Usuarios Finales 19 Amenazas más comunes • Desastres naturales – Incendios, inundaciones, … terremotos, tsunamis… • Desastres industriales – Explosiones, derrumbes, fallo de equipos, • Interrupciones de servicios – Luz, agua, teléfono, internet, … cloudComputing (XaaS) • Errores humanos no intencionados – De usuarios, de administradores, de operadores, • Ataques intencionados – Contra personas, equipos, programas, – Posibles empleados desleales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 20
  • 11. Impacto de las Amenazas contra la Información • Confidencialidad – Acceso o revelación indebidos • Integridad – Modificación de los datos • Disponibilidad – Sabotaje • (Autenticidad) – Suplantación de Identidad http://www.avpd.es Medidas de Seguridad para Usuarios Finales 21 Salvaguardas / Contramedidas Análisis de Riesgos Están expuestos a… Activos tienen … Amenazas Valor Causan +/- … Degradación Impacto ContraMedidas Impacto Residual Frecuencia Ocurren con +/-… Riesgo Riesgo Residual http://www.avpd.es Medidas de Seguridad para Usuarios Finales 22
  • 12. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 23 http://www.avpd.es Medidas de Seguridad para Usuarios Finales 24
  • 13. Niveles de seguridad Nivel Alto: ficheros con •Datos especialmente protegidos •Fines policiales •Violencia de género Nivel Medio: ficheros con •Infracciones administrativas o penales •Información sobre solvencia patrimonial •Administraciones Tributarias •Entidades financieras •Seguridad Social •Elaboración de perfiles Nivel Básico: Todos los ficheros http://www.avpd.es Medidas de Seguridad para Usuarios Finales 25 RD 1720/2007: Niveles de seguridad • Medio – Infracciones administrativas o penales Niveles de Seguridad – Servicios de información sobre solvencia patrimonial y crédito – Administraciones Tributarias - potestades tributarias – Entidades financieras - servicios financieros – Seguridad Social, Mutuas – Elaboración de perfiles http://www.avpd.es Medidas de Seguridad para Usuarios Finales 26
  • 14. RD 1720/2007: Niveles de seguridad • Medio reforzado (+ registro de accesos) – Operadoras TELECO Niveles de Seguridad • (datos de tráfico y localización) • Alto – Datos especialmente protegidos – Fines policiales sin consentimiento de las personas afectada – Violencia de género http://www.avpd.es Medidas de Seguridad para Usuarios Finales 27 Datos especialmente protegidos (1) • Datos sobre Ideología, religión o creencias. – Nadie podrá ser obligado a declarar sobre estos datos – Cuando se recabe el consentimiento, se advertirá al interesado acerca de su derecho a no prestarlo. – El consentimiento en estos casos ha de ser expreso y por escrito (también la afiliación sindical) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 28
  • 15. Datos especialmente protegidos (2) • Datos sobre Origen racial, salud y vida sexual – Sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 29 Otros datos protegidos • Datos relativos a la comisión de infracciones penales o administrativas – Los sólo podrán ser incluidos en ficheros de las Administraciones públicas – en los supuestos previstos en las respectivas normas reguladoras. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 30
  • 16. Excepciones a la aplicación de medidas de Nivel Alto • Bastará con nivel básico en los casos: – Ideología, afiliación sindical, religión, creencias, Niveles de Seguridad salud, origen racial o vida sexual, para: • transferencia dineraria a entidades de las que los afectados sean asociados o miembros, • tratamiento de forma incidental o accesoria, sin guardar relación con la finalidad – Salud (exclusivamente grado o condición de discapacidad o invalidez), para: • cumplimiento de deberes públicos http://www.avpd.es Medidas de Seguridad para Usuarios Finales 31 Resumen medidas nivel Básico Ficheros automatizados y no automatizados Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Niveles de Seguridad Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos Sólo automatizados Sólo no automatizados Art. 93. Identificación y Art. 106. Criterios de archivo autenticación - posibilitar derechos ARCO Art. 94. Copias de respaldo y Art. 107. Dispositivos de almacenamiento recuperación - mecanismos apertura Art. 108. Custodia de los soportes - en el proceso de tramitación http://www.avpd.es Medidas de Seguridad para Usuarios Finales 32
  • 17. Resumen medidas nivel Medio Ficheros automatizados y no automatizados Arts. 95 y 109: Responsable de seguridad Arts. 96 y 110: Auditoria Niveles de Seguridad Sólo automatizados Sólo no automatizados Art. 97. Gestión de soportes Art. 98. Identificación y autenticación Art. 99. Control de acceso físico Art. 100. Registro de incidencias http://www.avpd.es Medidas de Seguridad para Usuarios Finales 33 Resumen medidas nivel Alto Sólo automatizados Sólo no automatizados Art. 101. Gestión y distribución de Art. 111. Almacenamiento de la soportes información Niveles de Seguridad –Cifrado de datos. Evitar –Archivadores, áreas restringidas dispositivos que no permitan el Art. 112. Copia o reproducción cifrado –Personal autorizado Art. 102. Copias de respaldo y Art. 113. Acceso a la documentación recuperación –Mecanismo identificación accesos por Art. 103. Registro de accesos diferentes usuarios –Excepción: Responsable persona Art. 114. Traslado de documentación física y único usuario –Impedir acceso, manipulación Art. 104. Telecomunicaciones – Cifrado en redes públicas o inalámbricas http://www.avpd.es Medidas de Seguridad para Usuarios Finales 34
  • 18. 10 Objetivos de Control de medidas de seguridad 1. Organización de la Seguridad 2. Documentación de Seguridad 3. Funciones y obligaciones del personal 4. Identificación y autenticación de usuarios 5. Controles y registros de accesos 6. Accesos a través de redes / Internet 7. Soportes y documentos con información 8. Copias de respaldo y recuperación 9. Gestionar Incidencias de seguridad 10. Efectuar Auditorías y Controles http://www.avpd.es Medidas de Seguridad para Usuarios Finales 35 1.- Responsable de Seguridad Nivel Básico Nivel Medio Nivel Alto Debe existir uno o varios, designados por el Medidas de Seguridad responsable del fichero. Es el encargado de coordinar y controlar las medidas de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero También ha de gestionar la seguridad de los ficheros no automatizados (archivística) Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 36
  • 19. 2.- Documento de Seguridad - Requisitos Nivel Básico Nivel Medio N. Alto Establece y recopila, como mínimo: Además debe contener: Medidas de El Ámbito de aplicación. La Identificación del Seguridad Las medidas, normas, procedimientos y estándares responsable de de seguridad. seguridad. Las funciones y obligaciones del personal. Los Controles La estructura de los ficheros y la descripción de los sistemas de información. periódicos del Los procedimientos de gestión y respuesta ante cumplimiento del incidencias. documento. Los procedimientos de realización de las copias de respaldo y recuperación de datos. Las Medidas para el transporte, destrucción y reutilización de soportes. Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 37 2.- Doc. de Seguridad – (más) Nivel Básico Nivel Medio N. Alto • En función de los sistemas de tratamiento u otros criterios, podrá ser: – Único, para todos (o un grupo de) los ficheros, o – Individualizado por cada fichero, Medidas de Seguridad • Deberá recoger las situaciones excepcionales relativas a: – Prestaciones de servicios (82.1), uso de dispositivos portátiles (86), – Medidas compensatorias, imposibilidad aplicación medidas previstas • Recogerá las delegación de autorizaciones (art. 84) • Incluirá los ficheros externalizados, indicándolo expresamente • Puede delegarse la llevanza del Documento de Seguridad en el Encargado de Tratamiento • Los Encargados de Tratamiento han de incluir los ficheros que tratan por cuenta de terceros, con referencia a las condiciones del encargo • Carácter Interno. Controlado y actualizado periódicamente Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 38
  • 20. 3.- Funciones y obligaciones del Personal Nivel Básico Nivel Medio Nivel Alto Las funciones y obligaciones relacionadas con el Medidas de Seguridad acceso a datos personales habrán de estar claramente definidas y documentadas. Deben definirse las funciones de control y autorizaciones delegadas El personal debe conocer las normas que les afecten El personal debe conocer las consecuencias de su incumplimiento. Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 39 4.- Identificación y Autenticación Nivel Básico Nivel Medio Nivel Alto Se identificará univoca y Existirá un límite al Medidas de Seguridad personalmente a cada usuario número de intentos Procedimiento de asignación y reiterados de acceso no gestión de contraseñas autorizado. Periodo de caducidad para las contraseñas inferior a un año. Se almacenarán de forma ininteligible. Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 40
  • 21. 5.a- Control y Registros de Accesos en ficheros automatizados Nivel Básico Nivel Medio Nivel Alto Acceso únicamente a Existirán Existirá un Registro de los datos y recursos controles de Accesos donde figurará: Medidas de usuario, hora, Seguridad necesarios para sus acceso fichero, tipo acceso funciones. físico a los registro accedido. Relación actualizada locales Bajo el control del de usuarios y perfiles donde se responsable de y sus accesos encuentren seguridad. autorizados. ubicados los Se hará un informe Mecanismos para sistemas de mensual. evitar el acceso con información. Se conservará al menos distintos derechos. durante 2 años. Concesión de Excepción: derechos por personal Accede una única autorizado. persona física Aplicable a ficheros Aplicable solo a ficheros automatizados automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 41 5.b- Control y Registros de Accesos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Acceso únicamente a los El acceso se limitará al personal Medidas de datos y recursos necesarios autorizado. Seguridad para sus funciones. Habrá mecanismos para identificar Relación actualizada de los accesos a documentos usuarios y perfiles y sus disponibles para múltiples usuarios accesos autorizados. Procedimiento en el Documento de Mecanismos para evitar el Seguridad para registrar los accesos acceso con distintos de otras personas derechos. Concesión de derechos por personal autorizado. Aplicable a ficheros Aplicable solo a ficheros manuales automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 42
  • 22. 6.- Acceso y transmisión mediante Telecomunicaciones Nivel Básico Nivel Medio Nivel Alto Las medidas de seguridad La transmisión de datos a Medidas de exigibles a los accesos través de redes de Seguridad mediante redes de telecomunicaciones comunicaciones, sean Públicas públicas o privadas, Inalámbricas deberán de garantizar un nivel se realizará cifrando los de seguridad equivalente al datos o mediante cualquier los accesos en modo local otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 43 7.a- Gestión de Soportes para ficheros automatizados Nivel Básico Nivel Medio Nivel Alto Inventario de soportes Habrá un “Cripto-Etiquetado” Medidas de Acceso restringido. registro de Distribuir soportes Seguridad Salida autorizada de entrada y cifrando los datos u soportes, incluso eMail. salida de otro mecanismo que Medidas en el traslado soportes. impida el acceso. para impedir pérdidas, … Cifrado de Medidas para impedir la dispositivos recuperación de datos de portátiles. soportes desechados o Excepciones, al DS reutilizado. Debe identificarse el tipo de datos que contienen. Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 44
  • 23. 7.b- Gestión de Soportes y Documentos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Se aplicarán criterios de El acceso a armarios, Medidas de archivo que permitan la archivadores, etc. estará Seguridad conservación, localización y protegido mediante puertas con consulta cerradura. Cuando no se Los dispositivos de acceda, permanecerán cerradas. almacenamiento tendrán Soluciones alternativas, mecanismos que obstaculicen motivadas en el Documento de su apertura Seguridad Cuando la documentación no se Siempre que se proceda al encuentre archivada, su traslado físico de depositario deberá custodiarla documentación, deberán e impedir accesos no adoptarse medidas para impedir autorizados su acceso o manipulación Aplicable solo a ficheros manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 45 8.- Procedimientos de Respaldo y Recuperación Nivel Básico Nivel Medio Nivel Alto Procedimientos de copia para respaldo y Las copias de Medidas de Seguridad recuperación, al menos semanalmente respaldo y los Garantizar la reconstrucción de los datos al procedimientos mismo estado en que se encontraban en el de recuperación momento de la pérdida o destrucción. se conservarán Verificación semestral de su definición, en un lugar funcionamiento y aplicación diferente de Pruebas con datos reales con mismo nivel donde se de seguridad y con copia de seguridad encuentren los equipos. Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 46
  • 24. 9.- Procedimiento de Gestión de Incidencias Nivel Básico Nivel Medio Nivel Alto Debe existir un Además, debe contener: Medidas de Seguridad Registro de Procedimientos efectuados Incidencias con: para recuperación de los tipo de incidencia, datos, cuándo se ha persona que lo ejecuta, producido, datos restaurados persona que la datos grabados manualmente. notificia, Es necesaria la autorización persona a quien se por escrito del responsable comunica del fichero para su efectos derivados. recuperación. Aplicable a ficheros Aplicable solo a ficheros automatizados automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 47 10.- Controles del Documento de Seguridad y Auditorías Nivel Básico Nivel Medio Nivel Alto Realizar controles periódicos Medidas de Mantener actualizado el Documento de Seguridad Seguridad Al menos una auditoría cada dos años. Cuando se realicen modificaciones sustanciales Puede ser interna o externa. Debe dictaminar sobre: Adecuación de medidas y controles. Deficiencias identificadas Medidas correctoras necesarias. El responsable de seguridad debe: Analizar el informe de Auditoría Elevar sus conclusiones al responsable del fichero A disposición de la APD Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 48
  • 25. Quién hace qué? Respons. Respons. Medidas de Seguridad Fichero Seguridad Personal Organización de la Seguridad Designar Participar Decidir Elaborar Documento de Seguridad Conocer políticas Aplicar Medidas de Definir Seguridad Funciones y obligaciones del personal Documentar Cumplir Actuar Definir pol. Identificación y autenticación de usuarios Cumplir Implantar Implantar Controles y registros de accesos Conocer Gestionar Implantar Accesos a través de la redes de comunicaciones Conocer Gestionar Definir pol. Soportes y documentos con información Cumplir Gestionar Definir pol. Copias de respaldo y recuperación Supervisar Anticipar Incidencias de seguridad Actuar Cooperar Gestionar Encargar Efectuar Auditorías y Controles periódicos Decidir Cooperar Gestionar http://www.avpd.es Medidas de Seguridad para Usuarios Finales 49 Quién hace qué? Respons. Respons. Medidas de Seguridad Fichero Seguridad Personal Organización de la Seguridad Designar Organizar Decidir Elaborar Documento de Seguridad Conocer políticas Aplicar Medidas de Definir Seguridad Funciones y obligaciones del personal Documentar Cumplir Actuar Definir pol. Identificación y autenticación de usuarios Cumplir Implantar Implantar Controles y registros de accesos Conocer Gestionar Implantar Accesos a través de la redes de comunicaciones Conocer Gestionar Definir pol. Soportes y documentos con información Cumplir Gestionar Definir pol. Copias de respaldo y recuperación Supervisar Anticipar Incidencias de seguridad Actuar Cooperar Gestionar Encargar Efectuar Auditorías y Controles periódicos Decidir Cooperar Gestionar http://www.avpd.es Medidas de Seguridad para Usuarios Finales 50
  • 26. 3.- Funciones y obligaciones del Personal Nivel Básico Nivel Medio Nivel Alto Las funciones y obligaciones relacionadas con el Medidas de Seguridad acceso a datos personales habrán de estar claramente definidas y documentadas. Deben definirse las funciones de control y autorizaciones delegadas El personal debe conocer las normas que les afecten El personal debe conocer las consecuencias de su incumplimiento. Aplicable a ficheros automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 51 Obligaciones del Personal (detalles) • Deber de secreto y confidencialidad Detalles para • Conocer y observar las normas y medidas Usuarios que afecten a sus funciones • Notificación de incidentes de seguridad http://www.avpd.es Medidas de Seguridad para Usuarios Finales 52
  • 27. Funciones del Personal (detalles) • Distinguir, al menos los siguientes Detalles para perfiles: Usuarios – Los relacionados con funciones de control – Los relacionados con gestión de S.I. – Usuarios de los Sistemas de Información – Usuarios sin acceso a datos – Personal externo http://www.avpd.es Medidas de Seguridad para Usuarios Finales 53 Funciones y Obligaciones en tu Organización: • ¿Hay unas funciones y obligaciones… – ... documentadas y por escrito? – … para cada perfil de usuario? – … conocidas por el personal? – … con cumplimiento controlado? – … con consecuencias? http://www.avpd.es Medidas de Seguridad para Usuarios Finales 54
  • 28. 4.- Identificación y Autenticación Nivel Básico Nivel Medio Nivel Alto Se identificará univoca y Existirá un límite al Medidas de Seguridad personalmente a cada usuario número de intentos Procedimiento de asignación y reiterados de acceso no gestión de contraseñas autorizado. Periodo de caducidad para las contraseñas inferior a un año. Se almacenarán de forma ininteligible. Aplicable solo a ficheros automatizados http://www.avpd.es Medidas de Seguridad para Usuarios Finales 55 Cómo se elabora una buena contraseña • "Una contraseña debe ser Detalles para como un cepillo de dientes: Usuarios – Úsalo cada día; – cámbialo regularmente; – … y NO lo compartas con tus amigos." http://www.avpd.es Medidas de Seguridad para Usuarios Finales 56
  • 29. Lo que nos dicen de las contraseñas • Recomendaciones estándar – Longitud mínima de 6 caracteres; recomendado más de 8 Detalles para – Que incluya mayúsculas, minúsculas, números y signos de puntuación Usuarios – Cambiar la contraseña frecuentemente, sin usar un ciclo • No utilizar nunca: – ninguna palabra que pueda figurar en cualquier diccionario. – datos personales o familiares evidentes, (DNI, teléfono, fechas,…) – una única contraseña para todos los servicios, cuentas, bancos, etc. • Precauciones: – No compartir la contraseña, ni apuntarla en un papel, ni en un fichero de texto, ni enviarla por correo electrónico, SMS, mensajería instantánea … – No revelar la contraseña (ingeniería social) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 57 Lo que no nos dicen… • El exceso de exigencias respecto de las contraseñas Detalles para hace que los usuarios busquen alternativas que, finalmente, hacen más débil la seguridad. Usuarios – Las contraseñas largas y complicadas que se han de cambiar a menudo se terminan apuntando en algún lugar no muy lejano del teclado. – Cuando se tienen muchas contraseñas, siempre terminan registradas en un fichero. – Exigir (o abusar) de caracteres especiales causa errores al teclear y problemas en los teclados de otros países. – Los sistemas alternativos para recordar contraseñas (pregunta y respuesta) son MUY débiles. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 58
  • 30. Cómo mantener muchas contraseñas • Disponer de tres contraseñas-base Detalles para – La mala, la buena y la fea Usuarios • Disponer de un pin-base suficientemente largo • Utilizar frases de paso • Recordar reglas, en lugar de contraseñas • Las contraseñas, con contraseña http://www.avpd.es Medidas de Seguridad para Usuarios Finales 59 Cómo gestionar tus contraseñas personales • “A Mano” (Fichero de texto “en oscuro”) • Fichero plano, Libreta de direcciones • “A Máquina” (mediante algun programa) – Fichero de texto cifrado – Programas de gestión de contraseñas • En el PC • En la PDA / Smartphone • En Interntet http://www.avpd.es Medidas de Seguridad para Usuarios Finales 60
  • 31. Correo electrónico • Política reflejada en Doc. de Seguridad Detalles para • El correo electrónico, como un soporte Usuarios más – Canal potencialmente inseguro – Impacto potencialmente muy elevado • Recomendación: siempre cifrado http://www.avpd.es Medidas de Seguridad para Usuarios Finales 61 7.a- Gestión de Soportes para ficheros automatizados Nivel Básico Nivel Medio Nivel Alto Inventario de soportes Habrá un “Cripto-Etiquetado” Medidas de Acceso restringido. registro de Distribuir soportes Seguridad Salida autorizada de entrada y cifrando los datos u soportes, incluso eMail. salida de otro mecanismo que Medidas en el traslado soportes. impida el acceso. para impedir pérdidas, … Cifrado de Medidas para impedir la dispositivos recuperación de datos de portátiles. soportes desechados o Excepciones, al DS reutilizado. Debe identificarse el tipo de datos que contienen. Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 62
  • 32. Memorias USB y demás • Política reflejada en Doc. de Seguridad Detalles para • Considerar uso restringido de puertos Usuarios • El robo o extravío es un riesgo siempre presente – Nunca es información “original” (única) – Uso de encriptación (total o parcial) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 63 Equipos portátiles • Política reflejada en Doc. de Seguridad Detalles para • Nunca dejarlo solo: Usuarios – Equipaje de mano, y siempre a mano – Hoteles, restaurantes, cibercafés, … – Conferencias, salas de reuniones, despachos, … • Acceso, siempre con contraseña • Contenido cifrado http://www.avpd.es Medidas de Seguridad para Usuarios Finales 64
  • 33. Herramientas para cifrado • Uso profesional: Detalles para – Lo que establezca tu Organización Usuarios • Uso personal – Compresores con contraseña (WinZip) – Cifrado de ficheros (PGP, GPG, AxCrypt) – Cifrado de contenedores (Truecrypt) – Otras • Cifrado total de discos (SisOp.) http://www.avpd.es Medidas de Seguridad para Usuarios Finales 65 5.b- Control y Registros de Accesos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Acceso únicamente a los El acceso se limitará al personal Medidas de datos y recursos necesarios autorizado. Seguridad para sus funciones. Habrá mecanismos para identificar Relación actualizada de los accesos a documentos usuarios y perfiles y sus disponibles para múltiples usuarios accesos autorizados. Procedimiento en el Documento de Mecanismos para evitar el Seguridad para registrar los accesos acceso con distintos de otras personas derechos. Concesión de derechos por personal autorizado. Aplicable a ficheros Aplicable solo a ficheros manuales automatizados y manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 66
  • 34. 7.b- Gestión de Soportes y Documentos para ficheros manuales Nivel Básico Nivel Medio Nivel Alto Se aplicarán criterios de El acceso a armarios, Medidas de archivo que permitan la archivadores, etc. estará Seguridad conservación, localización y protegido mediante puertas con consulta cerradura. Cuando no se Los dispositivos de acceda, permanecerán cerradas. almacenamiento tendrán Soluciones alternativas, mecanismos que obstaculicen motivadas en el Documento de su apertura Seguridad Cuando la documentación no se Siempre que se proceda al encuentre archivada, su traslado físico de depositario deberá custodiarla documentación, deberán e impedir accesos no adoptarse medidas para impedir autorizados su acceso o manipulación Aplicable solo a ficheros manuales http://www.avpd.es Medidas de Seguridad para Usuarios Finales 67 Buenas prácticas en la gestión de documentos y ficheros manuales Buenas prácticas • Política de “escritorio limpio” http://www.avpd.es Medidas de Seguridad para Usuarios Finales 68
  • 35. Buenas prácticas en la gestión de documentos y ficheros manuales Buenas prácticas • Destruir siempre antes de tirar – No importa como… http://www.avpd.es Medidas de Seguridad para Usuarios Finales 69 Buenas prácticas en la gestión de documentos y ficheros manuales Buenas prácticas • Atención a copiadoras, impresoras, faxes – No olvidar originales – Recoger listados – Recoger y distribuir faxes http://www.avpd.es Medidas de Seguridad para Usuarios Finales 70
  • 36. Precauciones en el traslado de expedientes, historias clínicas, … • Entre el archivo central y los lugares de tratamiento (despachos, consultas o unidades hospitalarias) • Relaciones de entrega, acuses de recibo, … • Siempre bajo control y supervisión del ordenanza o celador. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 71 Documentación disponible en: http://www.slideshare.net/paGonzalez/ http://www.avpd.es http://www.seis.es http://www.flickr.com/photos/rosino/3658259716/ http://www.avpd.es Medidas de Seguridad para Usuarios Finales 72