El documento describe las medidas de seguridad para la protección de datos personales en la atención sociosanitaria. Establece que se deben aplicar tres niveles de seguridad - básico, medio y alto - dependiendo del tipo de datos. El nivel básico requiere medidas técnicas y organizativas para garantizar la seguridad, confidencialidad e integridad de los datos personales de acuerdo con la normativa de protección de datos.
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Medidas de seguridad para usuarios finales en atención sociosanitaria
1. Medidas de Seguridad
en atención
sociosanitaria
Pedro Alberto
González González
http://www.avpd.es
Índice de la sesión
• Marco de referencia
• Análisis de riesgos
• Niveles de seguridad
• Medidas de seguridad
• En particular, para usuarios finales
• Conclusiones
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 2
2. Principios
consagrados en la LOPD
• Calidad de los datos
• Información en la recogida
Referencia
Marco de
• Consentimiento del afectado
• Comunicación o cesión de los datos
• Protección especial de determinados datos
• Seguridad de los datos
• Deber de secreto
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 3
Seguridad de los Datos
(art. 9 LOPD)
• Se adoptarán las medidas técnicas y organizativas
necesarias para garantizar la seguridad de los datos,
Referencia
– evitando su alteración o pérdida
Marco de
– y su tratamiento o acceso no autorizado
• Teniendo en cuenta:
– el estado de la tecnología
– la naturaleza de los datos almacenados
– los riesgos a que estén expuestos
• Afecta tanto al Responsable del Fichero como al
Encargado del Tratamiento
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 4
3. Deber de secreto
(art. 10 LOPD)
• El responsable del fichero y quienes
intervengan en cualquier fase del
Referencia
Marco de
tratamiento de los datos de carácter
personal están obligados al secreto
profesional.
• Esta obligación subsistirá aun después
de finalizar sus relaciones con el titular
del fichero.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 5
LEY 16/2003, de cohesión y calidad del
Sistema Nacional de Salud
• Artículo 14. Prestación de atención sociosanitaria.
– 1. La atención sociosanitaria comprende el conjunto de
cuidados destinados a aquellos enfermos, generalmente
crónicos, que por sus especiales características pueden
beneficiarse de la actuación simultánea y sinérgica de los
servicios sanitarios y sociales para aumentar su autonomía,
paliar sus limitaciones o sufrimientos y facilitar su reinserción
social.
– (…) 3. La continuidad del servicio será garantizada por los
servicios sanitarios y sociales a través de la adecuada
coordinación entre las Administraciones públicas
correspondientes.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 6
4. Ley 41/2002,
de Autonomía del Paciente
• Artículo 7. El derecho a la intimidad.
– 1. Toda persona tiene derecho a que se respete el
carácter confidencial de los datos referentes a su
salud, y a que nadie pueda acceder a ellos sin previa
autorización amparada por la Ley.
– 2. Los centros sanitarios adoptarán las medidas
oportunas para garantizar los derechos a que se
refiere el apartado anterior, y elaborarán, cuando
proceda, las normas y los procedimientos
protocolizados que garanticen el acceso legal a los
datos de los pacientes.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 7
Ley 41/2002,
de Autonomía del Paciente
• Artículo 14. Definición y archivo de la historia clínica.
– (…) 2. Cada centro archivará las historias clínicas de sus
pacientes, cualquiera que sea el soporte papel, audiovisual,
informático o de otro tipo en el que consten, de manera que
queden garantizadas su seguridad, su correcta
conservación y la recuperación de la información.
– (…) 4. Las Comunidades Autónomas aprobarán las
disposiciones necesarias para que los centros sanitarios
puedan adoptar las medidas técnicas y organizativas
adecuadas para archivar y proteger las historias clínicas y
evitar su destrucción o su pérdida accidental.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 8
5. Ley 41/2002,
de Autonomía del Paciente
• Artículo 16. Usos de la historia clínica.
– 6. El personal que accede a los datos de la
historia clínica en el ejercicio de sus
funciones queda sujeto al deber de
secreto.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 9
Ley 41/2002,
de Autonomía del Paciente
• Artículo 17. Documentación clínica.
– 1. Los centros sanitarios tienen la obligación de
conservar la documentación clínica en
condiciones que garanticen su correcto
mantenimiento y seguridad, aunque no
necesariamente en el soporte original, (…).
– 6. Son de aplicación a la documentación clínica las
medidas técnicas de seguridad establecidas por la
legislación reguladora de la conservación de los
ficheros que contienen datos de carácter personal y,
en general, por la Ley Orgánica 15/1999, de
Protección de Datos de Carácter Personal.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 10
6. Euskadi: LEY 12/2008,
de Servicios Sociales
• Artículo 9.– Derechos de las personas
usuarias de los servicios sociales.
– a) Derecho a acceder a los servicios sociales en
condiciones de igualdad, dignidad y privacidad.
– b) Derecho a la confidencialidad,
• entendiéndose por tal el derecho a que los datos de
carácter personal que obren en su expediente o en
cualquier documento que les concierna sean tratados con
pleno respeto de lo previsto en la LOPD,
• incluyendo la debida reserva por parte de las profesionales
y los profesionales con respecto a la información de la que
hayan tenido conocimiento
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 11
Euskadi: LEY 12/2008,
de Servicios Sociales
• Artículo 9.– Derechos de las personas
usuarias de los servicios sociales.
– d) Derecho a dar o a denegar su
consentimiento libre y específico en relación
con una determinada intervención, debiendo
ser otorgado el consentimiento, en todo caso,
por escrito cuando la intervención implique
ingreso en un servicio de alojamiento o en un
centro residencial.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 12
7. Euskadi: LEY 12/2008,
de Servicios Sociales
• Artículo 20.– Instrumentos técnicos comunes.
– 1.– Con el fin de garantizar la homogeneidad en los
criterios de intervención, (…) todos los servicios
sociales de base cumplimentarán el modelo de ficha
social y aplicarán el modelo de plan de atención
personalizada. (…)
– Tanto en el diseño de estos instrumentos como en la
recogida de datos, y en su utilización y explotación,
se estará a lo previsto en la normativa vigente en
materia de protección de datos de carácter personal.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 13
Euskadi: LEY 12/2008,
de Servicios Sociales
• Artículo 90.– Infracciones graves.
– b) Incumplir el deber de confidencialidad y el
deber de reserva de los datos personales,
familiares o sociales de las personas
usuarias.
– c) No salvaguardar el derecho a la dignidad y
a la intimidad de las personas usuarias.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 14
8. Seguridad ≠ Privacidad
• Adjetivo (un medio) • Sustantivo (un fin)
– Protección de activos – Derecho
• Evitar riesgo • Fundamental
• Mitigar impacto • Constitucional
“Security by “Privacy by
Design” Design”
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 15
Modelo de referencia para
Análisis de Riesgos
Análisis de Riesgos
Están expuestos a…
Activos tienen …
Amenazas Valor
Causan +/- …
Degradación
Impacto
Frecuencia
Ocurren con +/-…
Riesgo
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 16
9. Activos más comunes
• Instalaciones
– Edificios, locales, canalizaciones, redes de
comunicaciones,…
• Equipamientos
– Mobiliario, maquinaria, ordenadores personales, …
• Sistemas de Información
– Servidores, sistemas de almacenamiento,…
– Aplicaciones y programas de ordenador
– Información, datos de negocio, datos personales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 17
Activos más comunes
• Intangibles
– Licencias, derechos,..
– Reputación, imagen, …
– Personas de la Organización
• Servicios prestados
– Continuidad del negocio
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 18
10. Activos en Protección de
Datos
• Datos de Carácter Personal
• y, como consecuencia,
– Instalaciones donde se ubican,
– Equipos donde se tratan
– Redes por donde “viajan”
– Programas que los tratan
– Soportes que los contienen
– Personas que los gestionan
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 19
Amenazas más comunes
• Desastres naturales
– Incendios, inundaciones, … terremotos, tsunamis…
• Desastres industriales
– Explosiones, derrumbes, fallo de equipos,
• Interrupciones de servicios
– Luz, agua, teléfono, internet, … cloudComputing
(XaaS)
• Errores humanos no intencionados
– De usuarios, de administradores, de operadores,
• Ataques intencionados
– Contra personas, equipos, programas,
– Posibles empleados desleales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 20
11. Impacto de las Amenazas
contra la Información
• Confidencialidad
– Acceso o revelación indebidos
• Integridad
– Modificación de los datos
• Disponibilidad
– Sabotaje
• (Autenticidad)
– Suplantación de Identidad
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 21
Salvaguardas /
Contramedidas
Análisis de Riesgos
Están expuestos a…
Activos tienen …
Amenazas Valor
Causan +/- …
Degradación
Impacto
ContraMedidas Impacto
Residual
Frecuencia
Ocurren con +/-…
Riesgo
Riesgo
Residual
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 22
12. http://www.avpd.es Medidas de Seguridad para Usuarios Finales 23
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 24
13. Niveles de seguridad
Nivel Alto: ficheros con
•Datos especialmente protegidos
•Fines policiales
•Violencia de género
Nivel Medio: ficheros con
•Infracciones administrativas o penales
•Información sobre solvencia patrimonial
•Administraciones Tributarias
•Entidades financieras
•Seguridad Social
•Elaboración de perfiles
Nivel Básico: Todos los ficheros
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 25
RD 1720/2007:
Niveles de seguridad
• Medio
– Infracciones administrativas o penales
Niveles de
Seguridad
– Servicios de información sobre solvencia
patrimonial y crédito
– Administraciones Tributarias - potestades
tributarias
– Entidades financieras - servicios financieros
– Seguridad Social, Mutuas
– Elaboración de perfiles
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 26
14. RD 1720/2007:
Niveles de seguridad
• Medio reforzado (+ registro de accesos)
– Operadoras TELECO
Niveles de
Seguridad
• (datos de tráfico y localización)
• Alto
– Datos especialmente protegidos
– Fines policiales sin consentimiento de las
personas afectada
– Violencia de género
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 27
Datos especialmente
protegidos (1)
• Datos sobre Ideología, religión o creencias.
– Nadie podrá ser obligado a declarar sobre estos
datos
– Cuando se recabe el consentimiento, se advertirá al
interesado acerca de su derecho a no prestarlo.
– El consentimiento en estos casos ha de ser expreso
y por escrito (también la afiliación sindical)
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 28
15. Datos especialmente
protegidos (2)
• Datos sobre Origen racial, salud y vida
sexual
– Sólo podrán ser recabados, tratados y
cedidos cuando, por razones de interés
general, así lo disponga una ley o el afectado
consienta expresamente.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 29
Otros datos protegidos
• Datos relativos a la comisión de
infracciones penales o administrativas
– Los sólo podrán ser incluidos en ficheros de
las Administraciones públicas
– en los supuestos previstos en las respectivas
normas reguladoras.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 30
16. Excepciones a la aplicación de
medidas de Nivel Alto
• Bastará con nivel básico en los casos:
– Ideología, afiliación sindical, religión, creencias,
Niveles de
Seguridad
salud, origen racial o vida sexual, para:
• transferencia dineraria a entidades de las que los afectados
sean asociados o miembros,
• tratamiento de forma incidental o accesoria, sin guardar
relación con la finalidad
– Salud (exclusivamente grado o condición de
discapacidad o invalidez), para:
• cumplimiento de deberes públicos
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 31
Resumen medidas
nivel Básico
Ficheros automatizados y no automatizados
Art. 89. Funciones y obligaciones del personal
Art. 90. Registro de incidencias
Niveles de
Seguridad
Art. 91. Control de acceso
Art. 92. Gestión de soportes y documentos
Sólo automatizados Sólo no automatizados
Art. 93. Identificación y Art. 106. Criterios de archivo
autenticación - posibilitar derechos ARCO
Art. 94. Copias de respaldo y Art. 107. Dispositivos de almacenamiento
recuperación - mecanismos apertura
Art. 108. Custodia de los soportes
- en el proceso de tramitación
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 32
17. Resumen medidas
nivel Medio
Ficheros automatizados y no automatizados
Arts. 95 y 109: Responsable de seguridad
Arts. 96 y 110: Auditoria
Niveles de
Seguridad
Sólo automatizados Sólo no automatizados
Art. 97. Gestión de soportes
Art. 98. Identificación y autenticación
Art. 99. Control de acceso físico
Art. 100. Registro de incidencias
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 33
Resumen medidas
nivel Alto
Sólo automatizados Sólo no automatizados
Art. 101. Gestión y distribución de Art. 111. Almacenamiento de la
soportes información
Niveles de
Seguridad
–Cifrado de datos. Evitar –Archivadores, áreas restringidas
dispositivos que no permitan el Art. 112. Copia o reproducción
cifrado
–Personal autorizado
Art. 102. Copias de respaldo y
Art. 113. Acceso a la documentación
recuperación
–Mecanismo identificación accesos por
Art. 103. Registro de accesos diferentes usuarios
–Excepción: Responsable persona Art. 114. Traslado de documentación
física y único usuario
–Impedir acceso, manipulación
Art. 104. Telecomunicaciones
– Cifrado en redes públicas o
inalámbricas
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 34
18. 10 Objetivos de Control
de medidas de seguridad
1. Organización de la Seguridad
2. Documentación de Seguridad
3. Funciones y obligaciones del personal
4. Identificación y autenticación de usuarios
5. Controles y registros de accesos
6. Accesos a través de redes / Internet
7. Soportes y documentos con información
8. Copias de respaldo y recuperación
9. Gestionar Incidencias de seguridad
10. Efectuar Auditorías y Controles
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 35
1.- Responsable de Seguridad
Nivel Básico Nivel Medio Nivel Alto
Debe existir uno o varios, designados por el
Medidas de
Seguridad
responsable del fichero.
Es el encargado de coordinar y controlar las
medidas de seguridad.
En ningún caso esta designación supone una
exoneración de la responsabilidad que
corresponde al responsable del fichero
También ha de gestionar la seguridad de los
ficheros no automatizados (archivística)
Aplicable a ficheros automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 36
19. 2.- Documento de Seguridad -
Requisitos
Nivel Básico Nivel Medio N. Alto
Establece y recopila, como mínimo: Además debe contener:
Medidas de
El Ámbito de aplicación. La Identificación del
Seguridad
Las medidas, normas, procedimientos y estándares responsable de
de seguridad. seguridad.
Las funciones y obligaciones del personal.
Los Controles
La estructura de los ficheros y la descripción de los
sistemas de información. periódicos del
Los procedimientos de gestión y respuesta ante cumplimiento del
incidencias. documento.
Los procedimientos de realización de las copias de
respaldo y recuperación de datos.
Las Medidas para el transporte, destrucción y
reutilización de soportes.
Aplicable a ficheros automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 37
2.- Doc. de Seguridad – (más)
Nivel Básico Nivel Medio N. Alto
• En función de los sistemas de tratamiento u otros criterios, podrá ser:
– Único, para todos (o un grupo de) los ficheros, o
– Individualizado por cada fichero,
Medidas de
Seguridad
• Deberá recoger las situaciones excepcionales relativas a:
– Prestaciones de servicios (82.1), uso de dispositivos portátiles (86),
– Medidas compensatorias, imposibilidad aplicación medidas previstas
• Recogerá las delegación de autorizaciones (art. 84)
• Incluirá los ficheros externalizados, indicándolo expresamente
• Puede delegarse la llevanza del Documento de Seguridad en el
Encargado de Tratamiento
• Los Encargados de Tratamiento han de incluir los ficheros que tratan
por cuenta de terceros, con referencia a las condiciones del encargo
• Carácter Interno. Controlado y actualizado periódicamente
Aplicable a ficheros automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 38
20. 3.- Funciones y obligaciones
del Personal
Nivel Básico Nivel Medio Nivel Alto
Las funciones y obligaciones relacionadas con el
Medidas de
Seguridad
acceso a datos personales habrán de estar claramente
definidas y documentadas.
Deben definirse las funciones de control y
autorizaciones delegadas
El personal debe conocer las normas que les afecten
El personal debe conocer las consecuencias de su
incumplimiento.
Aplicable a ficheros automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 39
4.- Identificación y
Autenticación
Nivel Básico Nivel Medio Nivel Alto
Se identificará univoca y Existirá un límite al
Medidas de
Seguridad
personalmente a cada usuario número de intentos
Procedimiento de asignación y reiterados de acceso no
gestión de contraseñas autorizado.
Periodo de caducidad para las
contraseñas inferior a un año.
Se almacenarán de forma
ininteligible.
Aplicable solo a ficheros automatizados
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 40
21. 5.a- Control y Registros de Accesos
en ficheros automatizados
Nivel Básico Nivel Medio Nivel Alto
Acceso únicamente a Existirán Existirá un Registro de
los datos y recursos controles de Accesos donde figurará:
Medidas de
usuario, hora,
Seguridad
necesarios para sus acceso
fichero, tipo acceso
funciones. físico a los registro accedido.
Relación actualizada locales Bajo el control del
de usuarios y perfiles donde se responsable de
y sus accesos encuentren seguridad.
autorizados. ubicados los Se hará un informe
Mecanismos para sistemas de mensual.
evitar el acceso con información. Se conservará al menos
distintos derechos. durante 2 años.
Concesión de Excepción:
derechos por personal Accede una única
autorizado. persona física
Aplicable a ficheros Aplicable solo a ficheros automatizados
automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 41
5.b- Control y Registros de Accesos
para ficheros manuales
Nivel Básico Nivel Medio Nivel Alto
Acceso únicamente a los El acceso se limitará al personal
Medidas de
datos y recursos necesarios autorizado.
Seguridad
para sus funciones. Habrá mecanismos para identificar
Relación actualizada de los accesos a documentos
usuarios y perfiles y sus disponibles para múltiples usuarios
accesos autorizados. Procedimiento en el Documento de
Mecanismos para evitar el Seguridad para registrar los accesos
acceso con distintos de otras personas
derechos.
Concesión de derechos por
personal autorizado.
Aplicable a ficheros Aplicable solo a ficheros manuales
automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 42
22. 6.- Acceso y transmisión
mediante Telecomunicaciones
Nivel Básico Nivel Medio Nivel Alto
Las medidas de seguridad La transmisión de datos a
Medidas de
exigibles a los accesos través de redes de
Seguridad
mediante redes de telecomunicaciones
comunicaciones, sean Públicas
públicas o privadas, Inalámbricas
deberán de garantizar un nivel se realizará cifrando los
de seguridad equivalente al datos o mediante cualquier
los accesos en modo local otro mecanismo que
garantice que la información
no sea inteligible ni
manipulada por terceros
Aplicable solo a ficheros automatizados
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 43
7.a- Gestión de Soportes
para ficheros automatizados
Nivel Básico Nivel Medio Nivel Alto
Inventario de soportes Habrá un “Cripto-Etiquetado”
Medidas de
Acceso restringido. registro de Distribuir soportes
Seguridad
Salida autorizada de entrada y cifrando los datos u
soportes, incluso eMail. salida de otro mecanismo que
Medidas en el traslado soportes. impida el acceso.
para impedir pérdidas, … Cifrado de
Medidas para impedir la dispositivos
recuperación de datos de portátiles.
soportes desechados o Excepciones, al DS
reutilizado.
Debe identificarse el tipo
de datos que contienen.
Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados
manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 44
23. 7.b- Gestión de Soportes y Documentos
para ficheros manuales
Nivel Básico Nivel Medio Nivel Alto
Se aplicarán criterios de El acceso a armarios,
Medidas de
archivo que permitan la archivadores, etc. estará
Seguridad
conservación, localización y protegido mediante puertas con
consulta cerradura. Cuando no se
Los dispositivos de acceda, permanecerán cerradas.
almacenamiento tendrán Soluciones alternativas,
mecanismos que obstaculicen motivadas en el Documento de
su apertura Seguridad
Cuando la documentación no se Siempre que se proceda al
encuentre archivada, su traslado físico de
depositario deberá custodiarla documentación, deberán
e impedir accesos no adoptarse medidas para impedir
autorizados su acceso o manipulación
Aplicable solo a ficheros manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 45
8.- Procedimientos de
Respaldo y Recuperación
Nivel Básico Nivel Medio Nivel Alto
Procedimientos de copia para respaldo y Las copias de
Medidas de
Seguridad
recuperación, al menos semanalmente respaldo y los
Garantizar la reconstrucción de los datos al procedimientos
mismo estado en que se encontraban en el de recuperación
momento de la pérdida o destrucción. se conservarán
Verificación semestral de su definición, en un lugar
funcionamiento y aplicación diferente de
Pruebas con datos reales con mismo nivel donde se
de seguridad y con copia de seguridad encuentren los
equipos.
Aplicable solo a ficheros automatizados
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 46
24. 9.- Procedimiento de
Gestión de Incidencias
Nivel Básico Nivel Medio Nivel Alto
Debe existir un Además, debe contener:
Medidas de
Seguridad
Registro de Procedimientos efectuados
Incidencias con: para recuperación de los
tipo de incidencia, datos,
cuándo se ha persona que lo ejecuta,
producido, datos restaurados
persona que la datos grabados manualmente.
notificia, Es necesaria la autorización
persona a quien se por escrito del responsable
comunica del fichero para su
efectos derivados. recuperación.
Aplicable a ficheros Aplicable solo a ficheros automatizados
automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 47
10.- Controles del Documento
de Seguridad y Auditorías
Nivel Básico Nivel Medio Nivel Alto
Realizar controles periódicos
Medidas de
Mantener actualizado el Documento de Seguridad
Seguridad
Al menos una auditoría cada dos años.
Cuando se realicen modificaciones sustanciales
Puede ser interna o externa.
Debe dictaminar sobre:
Adecuación de medidas y controles.
Deficiencias identificadas
Medidas correctoras necesarias.
El responsable de seguridad debe:
Analizar el informe de Auditoría
Elevar sus conclusiones al responsable del fichero
A disposición de la APD
Aplicable a ficheros automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 48
25. Quién hace qué?
Respons. Respons.
Medidas de Seguridad Fichero Seguridad
Personal
Organización de la Seguridad Designar Participar
Decidir Elaborar
Documento de Seguridad Conocer
políticas Aplicar
Medidas de
Definir
Seguridad
Funciones y obligaciones del personal Documentar Cumplir
Actuar
Definir pol.
Identificación y autenticación de usuarios Cumplir
Implantar
Implantar
Controles y registros de accesos Conocer
Gestionar
Implantar
Accesos a través de la redes de comunicaciones Conocer
Gestionar
Definir pol.
Soportes y documentos con información Cumplir
Gestionar
Definir pol.
Copias de respaldo y recuperación
Supervisar
Anticipar
Incidencias de seguridad Actuar Cooperar
Gestionar
Encargar
Efectuar Auditorías y Controles periódicos Decidir Cooperar
Gestionar
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 49
Quién hace qué?
Respons. Respons.
Medidas de Seguridad Fichero Seguridad
Personal
Organización de la Seguridad Designar Organizar
Decidir Elaborar
Documento de Seguridad Conocer
políticas Aplicar
Medidas de
Definir
Seguridad
Funciones y obligaciones del personal Documentar Cumplir
Actuar
Definir pol.
Identificación y autenticación de usuarios Cumplir
Implantar
Implantar
Controles y registros de accesos Conocer
Gestionar
Implantar
Accesos a través de la redes de comunicaciones Conocer
Gestionar
Definir pol.
Soportes y documentos con información Cumplir
Gestionar
Definir pol.
Copias de respaldo y recuperación
Supervisar
Anticipar
Incidencias de seguridad Actuar Cooperar
Gestionar
Encargar
Efectuar Auditorías y Controles periódicos Decidir Cooperar
Gestionar
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 50
26. 3.- Funciones y obligaciones
del Personal
Nivel Básico Nivel Medio Nivel Alto
Las funciones y obligaciones relacionadas con el
Medidas de
Seguridad
acceso a datos personales habrán de estar claramente
definidas y documentadas.
Deben definirse las funciones de control y
autorizaciones delegadas
El personal debe conocer las normas que les afecten
El personal debe conocer las consecuencias de su
incumplimiento.
Aplicable a ficheros automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 51
Obligaciones del Personal
(detalles)
• Deber de secreto y confidencialidad
Detalles para
• Conocer y observar las normas y medidas
Usuarios
que afecten a sus funciones
• Notificación de incidentes de seguridad
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 52
27. Funciones del Personal
(detalles)
• Distinguir, al menos los siguientes
Detalles para
perfiles:
Usuarios
– Los relacionados con funciones de control
– Los relacionados con gestión de S.I.
– Usuarios de los Sistemas de Información
– Usuarios sin acceso a datos
– Personal externo
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 53
Funciones y Obligaciones
en tu Organización:
• ¿Hay unas funciones y obligaciones…
– ... documentadas y por escrito?
– … para cada perfil de usuario?
– … conocidas por el personal?
– … con cumplimiento controlado?
– … con consecuencias?
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 54
28. 4.- Identificación y
Autenticación
Nivel Básico Nivel Medio Nivel Alto
Se identificará univoca y Existirá un límite al
Medidas de
Seguridad
personalmente a cada usuario número de intentos
Procedimiento de asignación y reiterados de acceso no
gestión de contraseñas autorizado.
Periodo de caducidad para las
contraseñas inferior a un año.
Se almacenarán de forma
ininteligible.
Aplicable solo a ficheros automatizados
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 55
Cómo se elabora una buena
contraseña
• "Una contraseña debe ser
Detalles para
como un cepillo de dientes:
Usuarios
– Úsalo cada día;
– cámbialo regularmente;
– … y NO lo compartas con tus
amigos."
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 56
29. Lo que nos dicen de las
contraseñas
• Recomendaciones estándar
– Longitud mínima de 6 caracteres; recomendado más de 8
Detalles para
– Que incluya mayúsculas, minúsculas, números y signos de
puntuación
Usuarios
– Cambiar la contraseña frecuentemente, sin usar un ciclo
• No utilizar nunca:
– ninguna palabra que pueda figurar en cualquier diccionario.
– datos personales o familiares evidentes, (DNI, teléfono, fechas,…)
– una única contraseña para todos los servicios, cuentas, bancos, etc.
• Precauciones:
– No compartir la contraseña, ni apuntarla en un papel, ni en un
fichero de texto, ni enviarla por correo electrónico, SMS, mensajería
instantánea …
– No revelar la contraseña (ingeniería social)
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 57
Lo que no nos dicen…
• El exceso de exigencias respecto de las contraseñas
Detalles para
hace que los usuarios busquen alternativas que,
finalmente, hacen más débil la seguridad.
Usuarios
– Las contraseñas largas y complicadas que se han de cambiar a
menudo se terminan apuntando en algún lugar no muy lejano
del teclado.
– Cuando se tienen muchas contraseñas, siempre terminan
registradas en un fichero.
– Exigir (o abusar) de caracteres especiales causa errores al
teclear y problemas en los teclados de otros países.
– Los sistemas alternativos para recordar contraseñas (pregunta
y respuesta) son MUY débiles.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 58
30. Cómo mantener muchas
contraseñas
• Disponer de tres contraseñas-base
Detalles para
– La mala, la buena y la fea
Usuarios
• Disponer de un pin-base suficientemente
largo
• Utilizar frases de paso
• Recordar reglas, en lugar de contraseñas
• Las contraseñas, con contraseña
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 59
Cómo gestionar tus
contraseñas personales
• “A Mano” (Fichero de texto “en oscuro”)
• Fichero plano, Libreta de direcciones
• “A Máquina” (mediante algun programa)
– Fichero de texto cifrado
– Programas de gestión de contraseñas
• En el PC
• En la PDA / Smartphone
• En Interntet
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 60
31. Correo electrónico
• Política reflejada en Doc. de Seguridad
Detalles para
• El correo electrónico, como un soporte
Usuarios
más
– Canal potencialmente inseguro
– Impacto potencialmente muy elevado
• Recomendación: siempre cifrado
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 61
7.a- Gestión de Soportes
para ficheros automatizados
Nivel Básico Nivel Medio Nivel Alto
Inventario de soportes Habrá un “Cripto-Etiquetado”
Medidas de
Acceso restringido. registro de Distribuir soportes
Seguridad
Salida autorizada de entrada y cifrando los datos u
soportes, incluso eMail. salida de otro mecanismo que
Medidas en el traslado soportes. impida el acceso.
para impedir pérdidas, … Cifrado de
Medidas para impedir la dispositivos
recuperación de datos de portátiles.
soportes desechados o Excepciones, al DS
reutilizado.
Debe identificarse el tipo
de datos que contienen.
Aplicable a ficheros automatizados y Aplicable solo a ficheros automatizados
manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 62
32. Memorias USB y demás
• Política reflejada en Doc. de Seguridad
Detalles para
• Considerar uso restringido de puertos
Usuarios
• El robo o extravío es un riesgo siempre
presente
– Nunca es información “original” (única)
– Uso de encriptación (total o parcial)
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 63
Equipos portátiles
• Política reflejada en Doc. de Seguridad
Detalles para
• Nunca dejarlo solo:
Usuarios
– Equipaje de mano, y siempre a mano
– Hoteles, restaurantes, cibercafés, …
– Conferencias, salas de reuniones,
despachos, …
• Acceso, siempre con contraseña
• Contenido cifrado
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 64
33. Herramientas para cifrado
• Uso profesional:
Detalles para
– Lo que establezca tu Organización
Usuarios
• Uso personal
– Compresores con contraseña (WinZip)
– Cifrado de ficheros (PGP, GPG, AxCrypt)
– Cifrado de contenedores (Truecrypt)
– Otras
• Cifrado total de discos (SisOp.)
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 65
5.b- Control y Registros de Accesos
para ficheros manuales
Nivel Básico Nivel Medio Nivel Alto
Acceso únicamente a los El acceso se limitará al personal
Medidas de
datos y recursos necesarios autorizado.
Seguridad
para sus funciones. Habrá mecanismos para identificar
Relación actualizada de los accesos a documentos
usuarios y perfiles y sus disponibles para múltiples usuarios
accesos autorizados. Procedimiento en el Documento de
Mecanismos para evitar el Seguridad para registrar los accesos
acceso con distintos de otras personas
derechos.
Concesión de derechos por
personal autorizado.
Aplicable a ficheros Aplicable solo a ficheros manuales
automatizados y manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 66
34. 7.b- Gestión de Soportes y Documentos
para ficheros manuales
Nivel Básico Nivel Medio Nivel Alto
Se aplicarán criterios de El acceso a armarios,
Medidas de
archivo que permitan la archivadores, etc. estará
Seguridad
conservación, localización y protegido mediante puertas con
consulta cerradura. Cuando no se
Los dispositivos de acceda, permanecerán cerradas.
almacenamiento tendrán Soluciones alternativas,
mecanismos que obstaculicen motivadas en el Documento de
su apertura Seguridad
Cuando la documentación no se Siempre que se proceda al
encuentre archivada, su traslado físico de
depositario deberá custodiarla documentación, deberán
e impedir accesos no adoptarse medidas para impedir
autorizados su acceso o manipulación
Aplicable solo a ficheros manuales
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 67
Buenas prácticas en la gestión
de documentos y ficheros
manuales
Buenas prácticas
• Política de “escritorio limpio”
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 68
35. Buenas prácticas en la gestión
de documentos y ficheros
manuales
Buenas prácticas
• Destruir siempre antes de tirar
– No importa como…
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 69
Buenas prácticas en la gestión
de documentos y ficheros
manuales
Buenas prácticas
• Atención a copiadoras, impresoras, faxes
– No olvidar originales
– Recoger listados
– Recoger y distribuir faxes
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 70
36. Precauciones en el traslado de
expedientes, historias clínicas,
…
• Entre el archivo central y los
lugares de tratamiento
(despachos, consultas o
unidades hospitalarias)
• Relaciones de entrega,
acuses de recibo, …
• Siempre bajo control y
supervisión del ordenanza o
celador.
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 71
Documentación disponible en:
http://www.slideshare.net/paGonzalez/
http://www.avpd.es
http://www.seis.es
http://www.flickr.com/photos/rosino/3658259716/
http://www.avpd.es Medidas de Seguridad para Usuarios Finales 72