Reglamento demedidasdeseguridadysuauditoria
66
1 REGLAMENTO DE MEDIDAS DE SEGURIDAD (DATOS PERSONALES) Y SU AUDITORÍA Miguel A. Ramos Doctor en Informática (tesis sobre Auditoría Informática), CISA, Socio Director de IEE ([email protected]) Miembro de ISSA, Coautor libros FIST Conference Abril/Madrid 2005 @
-
Upload
conferencias-fist -
Category
Technology
-
view
76 -
download
0
Transcript of Reglamento demedidasdeseguridadysuauditoria
11
REGLAMENTO DE MEDIDAS DE SEGURIDAD (DATOS PERSONALES)
Y SU AUDITORÍA
Miguel A. Ramos
Doctor en Informática (tesis sobre Auditoría Informática), CISA, Socio Director de IEE ([email protected])
Miembro de ISSA, Coautor libros
REGLAMENTO DE MEDIDAS DE SEGURIDAD (DATOS PERSONALES)
Y SU AUDITORÍA
Miguel A. Ramos
Doctor en Informática (tesis sobre Auditoría Informática), CISA, Socio Director de IEE ([email protected])
Miembro de ISSA, Coautor libros
FIST Conference Abril/Madrid 2005 @
22
Art 9 LOPD Seguridad de los Art 9 LOPD Seguridad de los datosdatos
9.19.1 El responsable del fichero, y, en su caso, el El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativasmedidas de índole técnica y organizativas necesarias que garanticen la necesarias que garanticen la seguridad de los datos seguridad de los datos de carácter personalde carácter personal y eviten su y eviten su alteración, pérdida, alteración, pérdida, tratamiento o acceso no autorizadotratamiento o acceso no autorizado, habida cuenta , habida cuenta del estado de la tecnología, la naturaleza de los del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del expuestos, ya provengan de la acción humana o del medio físico o natural.medio físico o natural.
33
LOPD (Art. 9.2)LOPD (Art. 9.2)
No se registrarán datos de carácter No se registrarán datos de carácter personal en ficheros que no reúnan las personal en ficheros que no reúnan las condiciones que se determinen por vía condiciones que se determinen por vía reglamentaria con respecto a reglamentaria con respecto a su su integridad y seguridad y a las de los integridad y seguridad y a las de los centros de tratamiento, locales, equipos, centros de tratamiento, locales, equipos, sistemas y programassistemas y programas..
44
LOPD (Art. 9.3)LOPD (Art. 9.3)
Reglamentariamente se establecerán los Reglamentariamente se establecerán los requisitos y condiciones que deban requisitos y condiciones que deban reunir los ficheros y las personas que reunir los ficheros y las personas que intervengan en el tratamiento de los intervengan en el tratamiento de los datos a que se refiere el artículo 7 de datos a que se refiere el artículo 7 de esta Ley.esta Ley.
(Subsiste el Reglamento de LORTAD) (Subsiste el Reglamento de LORTAD)
55
REFLEXIÓNREFLEXIÓN
• ¿Qué nos exige el artículo 9?¿Qué nos exige el artículo 9?• Medidas técnicas y organizativasMedidas técnicas y organizativas• Seguridad (física, lógica...)Seguridad (física, lógica...)• ¿Confidencialidad?¿Confidencialidad?• ¿Integridad?¿Integridad?• ¿Disponibilidad?¿Disponibilidad?• ¿Parámetros?¿Parámetros?• SON SON MISMIS INTERPRETACIONES INTERPRETACIONES
66
CÓMO LO VE...CÓMO LO VE...
• El Responsable del fichero / La “Dirección”El Responsable del fichero / La “Dirección”
• El / los Responsables de seguridadEl / los Responsables de seguridad
• El / los Encargados del tratamientoEl / los Encargados del tratamiento
• Los auditoresLos auditores
• ¿Los auditados? ¿Los auditados?
• ¿Qué esperan / qué aportan / qué temen?¿Qué esperan / qué aportan / qué temen?
• ¿Nos ven como ¿Nos ven como pre-inspectores pre-inspectores / aliados...?/ aliados...?
77
IMPRESCINDIBLEIMPRESCINDIBLE
• OBJETIVO de la auditoría y ALCANCEOBJETIVO de la auditoría y ALCANCE
• Situación actual y debilidades ¿contra Situación actual y debilidades ¿contra qué?qué?
• CAMINO, RECURSOS, TIEMPOSCAMINO, RECURSOS, TIEMPOS– PlanPlan– Programa de trabajoPrograma de trabajo– HitosHitos– ““Productos”Productos”
88
IDENTIFICAR FICHEROSIDENTIFICAR FICHEROS
• RELACIÓN DE FICHEROSRELACIÓN DE FICHEROS– (Datos personales, ¿sólo automatizados?)(Datos personales, ¿sólo automatizados?)
• ¿SON LOS DECLARADOS?¿SON LOS DECLARADOS?– ¿Se tiene la información? ¿Oficio de la APD?¿Se tiene la información? ¿Oficio de la APD?– ¿Está al día? ¿Está al día? – ¿Declarado nivel...? ¿Nivel correcto?¿Declarado nivel...? ¿Nivel correcto?
99
¿MÁS FICHEROS?¿MÁS FICHEROS?
• SERVIDORES, PCs, PORTÁTILES, WEB, PDAs...SERVIDORES, PCs, PORTÁTILES, WEB, PDAs...
• ¿CORREO ELECTRÓNICO?¿CORREO ELECTRÓNICO?
• CONTRASTE DE NIVELCONTRASTE DE NIVEL– Diccionarios de datosDiccionarios de datos– CamposCampos– EntrevistasEntrevistas
• USOSUSOS
• ¿SERVICIOS CONTRATADOS?¿SERVICIOS CONTRATADOS?
1010
VER Y CUMPLIMIENTOVER Y CUMPLIMIENTO
• NORMATIVA EXISTENTENORMATIVA EXISTENTE
• SISTEMA DE CONTROL INTERNOSISTEMA DE CONTROL INTERNO
• FUNCIONES Y OBLIGACIONESFUNCIONES Y OBLIGACIONES
• DOCUMENTO/S DE SEGURIDADDOCUMENTO/S DE SEGURIDAD
1111
FUNCIONES Y OBLIGACIONESFUNCIONES Y OBLIGACIONES
Artículo 9:Artículo 9:
• ““De cada una de las personas con De cada una de las personas con acceso a los datos de carácter personal acceso a los datos de carácter personal y a los sistemas de información...”y a los sistemas de información...”
• Usuarios, operadores, ¿transportistas? Usuarios, operadores, ¿transportistas? ¿contratados para servicios?¿contratados para servicios?
1212
REGISTRO de INCIDENCIASREGISTRO de INCIDENCIAS
• Procedimiento de notificación y gestiónProcedimiento de notificación y gestión
• Registro ¿sólo de datos personales?Registro ¿sólo de datos personales?– Tipo de incidenciaTipo de incidencia– Momento se produjoMomento se produjo– Persona que notificaPersona que notifica– A quien se comunicaA quien se comunica– EfectosEfectos
1313
IDENTIFICACIÓNIDENTIFICACIÓN
• Art. 11.1 “El responsable del fichero se Art. 11.1 “El responsable del fichero se
encargará de que exista una relación encargará de que exista una relación
actualizada de usuarios que tengan actualizada de usuarios que tengan
acceso autorizado al sistema de acceso autorizado al sistema de
información y de establecer información y de establecer
procedimientos de identificación y procedimientos de identificación y
autenticación para dicho acceso”autenticación para dicho acceso”
1414
VERIFICACIONESVERIFICACIONES
• ¿Relación nominal de usuarios?¿Relación nominal de usuarios?
• Procedimiento de identificaciónProcedimiento de identificación
• Procedimiento de autenticaciónProcedimiento de autenticación
• ¿Uno solo?¿Uno solo?
• Adecuado/s y se cumpla/nAdecuado/s y se cumpla/n
1515
AUTENTICACIÓNAUTENTICACIÓN
• Art. 11.2 “Cuando el mecanismo de Art. 11.2 “Cuando el mecanismo de
autenticación se base en la existencia autenticación se base en la existencia
de contraseñas existirá un de contraseñas existirá un
procedimiento de asignación, procedimiento de asignación,
distribución y almacenamiento que distribución y almacenamiento que
garantice su confidencialidad e garantice su confidencialidad e
integridad”integridad”
1616
VERIFICACIONESVERIFICACIONES
• Asignación ¿sistema, administrador?Asignación ¿sistema, administrador?
• Deseable usuario cambie: exija el Deseable usuario cambie: exija el sistemasistema
• Distribución: canales seguros ¿cuáles?Distribución: canales seguros ¿cuáles?
• Garantizar confidencialidad contraseñasGarantizar confidencialidad contraseñas
• ¡Y la integridad! ¿?¡Y la integridad! ¿?
1717
SI NO CONTRASEÑASSI NO CONTRASEÑAS
• ¿Firma electrónica?¿Firma electrónica?
• ““Testigos”: Testigos”: tokentoken
• BiométricaBiométrica– Huella, retina, voz...Huella, retina, voz...– Protección del Protección del patrónpatrón
• Sistema combinadoSistema combinado
1818
CONTRASEÑAS (I)CONTRASEÑAS (I)
• Art. 11.3 - “Las contraseñas se Art. 11.3 - “Las contraseñas se cambiarán con la periodicidad que se cambiarán con la periodicidad que se determine en el documento de determine en el documento de seguridad y mientras estén vigentes se seguridad y mientras estén vigentes se almacenarán en forma ininteligible”almacenarán en forma ininteligible”
• ¿Qué periodicidad? (Que se cumpla)¿Qué periodicidad? (Que se cumpla)• Normas y que sistemas exijanNormas y que sistemas exijan• Almacenadas cifradas / ininteligiblesAlmacenadas cifradas / ininteligibles
1919
CONTRASEÑAS (II)CONTRASEÑAS (II)
• Personales Personales (Responsabilizar de accesos)(Responsabilizar de accesos)
• Cambiar “las de fábrica”Cambiar “las de fábrica”
• Longitud ¿mínimo 6, 7...?Longitud ¿mínimo 6, 7...?
• Vigencia máxima (y Vigencia máxima (y mínimamínima) ) ¿40 días? ¿1 día? ¿1 uso? ¿15 minutos?¿40 días? ¿1 día? ¿1 uso? ¿15 minutos?
• ¿Timeout / protector de pantallas ¿Timeout / protector de pantallas con con clave?clave?
2020
CONTROL DE ACCESOCONTROL DE ACCESO
• Art. 12.1Art. 12.1
• ““Los usuarios tendrán acceso autorizado Los usuarios tendrán acceso autorizado
únicamente a aquellos datos y únicamente a aquellos datos y recursosrecursos que que
precisen para el desarrollo de sus funciones”precisen para el desarrollo de sus funciones”
• ¿Desarrolladores? ¿Técnicos de sistemas?¿Desarrolladores? ¿Técnicos de sistemas?
• Mínimo privilegioMínimo privilegio
• ¿Y acceso físico? (Art. 19: para nivel medio)¿Y acceso físico? (Art. 19: para nivel medio)
2121
RECURSOSRECURSOS
• ““Cualquier parte componente de un Cualquier parte componente de un sistema de información”sistema de información”
• S. de I.: “conjunto de ficheros S. de I.: “conjunto de ficheros automatizados, programas, soportes y automatizados, programas, soportes y equipos empleados para el equipos empleados para el almacenamiento y tratamiento de datos almacenamiento y tratamiento de datos de carácter personal”de carácter personal”
2222
CONTROLESCONTROLES
• Art. 12.2 “El responsable del fichero Art. 12.2 “El responsable del fichero establecerá mecanismos para evitar que un establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con usuario pueda acceder a datos o recursos con derechos distintos de los autorizados”derechos distintos de los autorizados”
• ¿Procedimientos? ¿Perfiles? ¿Menú?¿Procedimientos? ¿Perfiles? ¿Menú?
• Controles preventivos y de detecciónControles preventivos y de detección
• ¿Preocupa que lea, copie, varíe, “venda”..?¿Preocupa que lea, copie, varíe, “venda”..?
2323
Art. 12.3Art. 12.3
““La relación de usuarios a la que se La relación de usuarios a la que se
refiere el artículo 11.1 de este refiere el artículo 11.1 de este
Reglamento contendrá el acceso Reglamento contendrá el acceso
autorizado para cada uno de ellos”autorizado para cada uno de ellos”
¿Fácil especificar y actualizar?¿Fácil especificar y actualizar?
2424
AMPLIACIÓNAMPLIACIÓN
• La relación...La relación...
– ¿Nominal? ¿Referencia a otras?¿Nominal? ¿Referencia a otras?
• Acceso autorizado...Acceso autorizado...
– Sujetos (Objetos) / ObjetosSujetos (Objetos) / Objetos
– ¿Matriz de accesos?¿Matriz de accesos?
– ¿Perfiles de grupo?¿Perfiles de grupo?
2525
ACCESOSACCESOS
• Art. 12.4 “Exclusivamente el personal Art. 12.4 “Exclusivamente el personal autorizado para ello en el documento de autorizado para ello en el documento de seguridad podrá conceder, alterar o seguridad podrá conceder, alterar o anular el acceso autorizado sobre los anular el acceso autorizado sobre los datos y recursos, conforme a los datos y recursos, conforme a los criterios establecidos por el responsable criterios establecidos por el responsable del fichero”.del fichero”.
2626
SALIDA DE SOPORTESSALIDA DE SOPORTES
• Art. 13.2 “La salida de soportes Art. 13.2 “La salida de soportes
informáticos que contengan datos de informáticos que contengan datos de
carácter personal fuera de los locales en carácter personal fuera de los locales en
los que esté ubicado el fichero, los que esté ubicado el fichero,
únicamente podrá ser autorizada por el únicamente podrá ser autorizada por el
responsable del fichero”responsable del fichero”
2727
DUDASDUDAS
• Motivo: A Organismos, copia Motivo: A Organismos, copia “off-site”,“off-site”, para impresión, a entidades financieras...para impresión, a entidades financieras...
• ¿Contrato? ¿Muescas?¿Contrato? ¿Muescas?
• Impresos firmadosImpresos firmados
• ¿Autoriza cada vez? (Responsable fichero)¿Autoriza cada vez? (Responsable fichero)
• ¿Y si se escapan datos anexos a e-mail?¿Y si se escapan datos anexos a e-mail?
2828
ART. 14.1ART. 14.1
““El responsable de fichero se encargará El responsable de fichero se encargará
de verificar la definición y correcta de verificar la definición y correcta
aplicación de los procedimientos de aplicación de los procedimientos de
realización de copias de respaldo y de realización de copias de respaldo y de
recuperación de los datos”recuperación de los datos”
2929
AMPLIACIÓNAMPLIACIÓN
• No sólo lo crítico / vitalNo sólo lo crítico / vital
• ¿Copia dual? ¿Dos tipos de soporte?¿Copia dual? ¿Dos tipos de soporte?
• ¿Frecuencias? ¿Incrementales?¿Frecuencias? ¿Incrementales?
• ¿Almacenamiento externo? ¿Propio? ¿Almacenamiento externo? ¿Propio?
(Transporte, control, acceso) (Transporte, control, acceso)
3030
COPIAS DE RESPALDOCOPIAS DE RESPALDO
• Art. 14.2 “Los procedimientos Art. 14.2 “Los procedimientos
establecidos para la realización de establecidos para la realización de
copias de respaldo y para la copias de respaldo y para la
recuperación de los datos deberán recuperación de los datos deberán
garantizar su reconstrucción en el garantizar su reconstrucción en el
estado en que se encontraban al tiempo estado en que se encontraban al tiempo
de producirse la pérdida o destrucción”de producirse la pérdida o destrucción”
3131
DUDASDUDAS
• ¿Técnicamente muy difícil a veces?¿Técnicamente muy difícil a veces?
• ¿”Log” transacciones y contenidos ¿”Log” transacciones y contenidos
previos?previos?
• ¿Nivel razonable? Según:¿Nivel razonable? Según:
– Criticidad y volatilidadCriticidad y volatilidad
• Recuperación: volcados, contingenciasRecuperación: volcados, contingencias
3232
COPIASCOPIAS
• Art. 14.3 “Deberán realizarse copias de Art. 14.3 “Deberán realizarse copias de
respaldo, al menos semanalmente, salvo respaldo, al menos semanalmente, salvo
que en dicho periodo no se hubiera que en dicho periodo no se hubiera
producido ninguna actualización de los producido ninguna actualización de los
datos”datos”
3333
RESPONSABLE SEGURIDADRESPONSABLE SEGURIDAD
• Uno o varios ¿¿entidad contratada??Uno o varios ¿¿entidad contratada??
• Controlan las medidas (medio y alto)Controlan las medidas (medio y alto)
• ¿Administrador de Seguridad?¿Administrador de Seguridad?
• ¿Perfil?¿Perfil?
• Posibles incompatibilidadesPosibles incompatibilidades
• Ver si cumple su cometidoVer si cumple su cometido
3434
AUDITORÍAAUDITORÍA
• Afecta a nivel medio (y alto)Afecta a nivel medio (y alto)
• No indica auditoría informática (figuraba)No indica auditoría informática (figuraba)
• Auditoría de seguridad Auditoría de seguridad
(que verifique cumplimiento... procedimientos e (que verifique cumplimiento... procedimientos e
instrucciones vigentes en materia de seguridad)instrucciones vigentes en materia de seguridad)
• Auditoría de cumplimientoAuditoría de cumplimiento
3535
Artículo 17.1Artículo 17.1
““Los sistemas de información e Los sistemas de información e instalaciones de tratamiento de datos se instalaciones de tratamiento de datos se someterán a una auditoría interna o someterán a una auditoría interna o externa, que verifique el cumplimiento externa, que verifique el cumplimiento del presente Reglamento, de los del presente Reglamento, de los procedimientos e instrucciones vigentes procedimientos e instrucciones vigentes en materia de seguridad de datos, al en materia de seguridad de datos, al menos cada dos años” menos cada dos años” BienalBienal
3636
Art. 17.2Art. 17.2
• ““El informe de auditoría deberá dictaminar El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas”alcanzados y recomendaciones propuestas”
3737
Art. 17.3Art. 17.3
““Los informes de auditoría serán analizados por Los informes de auditoría serán analizados por
el responsable de seguridad competente, que el responsable de seguridad competente, que
elevará las conclusiones al responsable del elevará las conclusiones al responsable del
fichero para que adopte las medidas correctoras fichero para que adopte las medidas correctoras
adecuadas y quedarán a disposición de la APD”adecuadas y quedarán a disposición de la APD”
Resumen a Dirección y posible cuadro finalResumen a Dirección y posible cuadro final
3838
OBJETO DE LA AUDITORÍAOBJETO DE LA AUDITORÍA
• Tener informe por si vienen Tener informe por si vienen (¿Lotería?)(¿Lotería?)
• Conocer cumplimiento ReglamentoConocer cumplimiento Reglamento
(auditoría de cumplimiento)(auditoría de cumplimiento)
• Evaluar medidas y controlesEvaluar medidas y controles(auditoría de seguridad ¿sólo datos personales? (auditoría de seguridad ¿sólo datos personales? ¿nivel?)¿nivel?)
• Ver medidas del encargado del tratamientoVer medidas del encargado del tratamiento
• ¿Profundidad?¿Profundidad?
3939
NIVEL MEDIO (art. 15)NIVEL MEDIO (art. 15)
• Documento de seguridad...Documento de seguridad...
• Que hay controles periódicos para Que hay controles periódicos para verificar cumplimiento de lo dispuesto verificar cumplimiento de lo dispuesto en el propio Documento...en el propio Documento...
• Aún no citado Responsable SeguridadAún no citado Responsable Seguridad
• ¿Control Interno previo?¿Control Interno previo?
4040
DOCUMENTO DE SEGURIDADDOCUMENTO DE SEGURIDAD
• ExisteExiste
• Idóneo, completoIdóneo, completo
• Actualizado Actualizado
• ¿Debidamente difundido?¿Debidamente difundido?
• Cumplimiento (que no sea Cumplimiento (que no sea ambicioso)ambicioso)
• Según artículos 8 y 15Según artículos 8 y 15
• Todos los puntos del Reglamento ¿nivel alto?Todos los puntos del Reglamento ¿nivel alto?
4141
Art. 18.1 – NIVEL MEDIOArt. 18.1 – NIVEL MEDIO
• ““El responsable del fichero establecerá un El responsable del fichero establecerá un mecanismo que permita la identificación de mecanismo que permita la identificación de forma forma inequívoca y personalizadainequívoca y personalizada de todo de todo aquel usuario que aquel usuario que intenteintente acceder al S.I. y la acceder al S.I. y la verificación de que está autorizado”verificación de que está autorizado”
• ¿Genéricos? ¿Todos contraseña? ¿La misma?¿Genéricos? ¿Todos contraseña? ¿La misma?
• ¿Varios el mismo usuario? (Varias sesiones)¿Varios el mismo usuario? (Varias sesiones)
• ¿Usan por turnos? ¿Fábrica, ATSs...?¿Usan por turnos? ¿Fábrica, ATSs...?
4242
Art. 18.2Art. 18.2
• ““Se limitará la posibilidad de intentar Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al reiteradamente el acceso no autorizado al sistema de información” sistema de información” ¿cuántos?¿cuántos?
• FAILED_LOGIN_ATTEMPTS (Oracle 9i) FAILED_LOGIN_ATTEMPTS (Oracle 9i)
• Login / fails_to_session_end (SAP)Login / fails_to_session_end (SAP)
• ¿La plataforma permite este control?¿La plataforma permite este control?
• ¿Normas y difusión?¿Normas y difusión?
4343
CONTROL ACCESO FÍSICOCONTROL ACCESO FÍSICO
• Vital (Línea de defensa)Vital (Línea de defensa)
• ¿Art. 11.1?¿Art. 11.1?
• Art. 19 (nivel medio): “Exclusivamente el Art. 19 (nivel medio): “Exclusivamente el
personal autorizado en el documento de personal autorizado en el documento de
seguridad podrá tener acceso a los locales seguridad podrá tener acceso a los locales
donde se encuentren ubicados los sistemas de donde se encuentren ubicados los sistemas de
información con datos de carácter personal” información con datos de carácter personal”
¿Nombre / función?¿Nombre / función?
4444
ACCESOS (I)ACCESOS (I)
• Protecciones físicas (Edificios, “CPDs”)Protecciones físicas (Edificios, “CPDs”)
• Clave ¿todos la misma?, tarjeta, ¿huella?...Clave ¿todos la misma?, tarjeta, ¿huella?...
• Dispositivos (prevención, detección)Dispositivos (prevención, detección)
• Identificación ¿acceso de público?Identificación ¿acceso de público?
• ¿Toma de datos? ¿mostrar DNI?¿Toma de datos? ¿mostrar DNI?
• ¿Otro fichero declarable?¿Otro fichero declarable?
• ¿Firma la visita?¿Firma la visita?
4545
ACCESOS (II)ACCESOS (II)
• ¿Entrega de tarjeta? ¿Tipo? ¿Pegatina?¿Entrega de tarjeta? ¿Tipo? ¿Pegatina?
• ¿Escaner?¿Escaner? ¿Arcos detectores? ¿Arcos detectores?
• ¿Vienen a recoger?¿Vienen a recoger?
• ¿Acompañar en todo momento?¿Acompañar en todo momento?
• ¿CCTV? ¿Dónde? ¿Otro fichero?¿CCTV? ¿Dónde? ¿Otro fichero?
• ¿Registrar al salir?¿Registrar al salir?
4646
ART. 22 - (NIVEL MEDIO)ART. 22 - (NIVEL MEDIO)
““Las pruebas anteriores a la implantación o Las pruebas anteriores a la implantación o modificación de los sistemas de modificación de los sistemas de información que traten ficheros con datos información que traten ficheros con datos de carácter personal no se realizarán con de carácter personal no se realizarán con datos reales, salvo que se asegure datos reales, salvo que se asegure (¿se (¿se garantice?)garantice?) el el nivel de seguridadnivel de seguridad correspondiente al tipo de fichero correspondiente al tipo de fichero tratado”tratado”
4747
AMPLIACIÓNAMPLIACIÓN
• Afecta a desarrollo y mantenimientoAfecta a desarrollo y mantenimiento
• ¿Contraseñas? ¿Disociación? ¿Contraseñas? ¿Disociación?
• ¿Procedimiento no reversible? ¿Aleatorio?¿Procedimiento no reversible? ¿Aleatorio?
• ¿De sólo determinados campos? ¿DNI?¿De sólo determinados campos? ¿DNI?
• ¿Clasificaciones posteriores?¿Clasificaciones posteriores?
• ¿Aprueba Responsable de Seguridad? ¿Aprueba Responsable de Seguridad? ¿Seguridad de la Información?¿Seguridad de la Información?
4848
Art. 23 Distribución soportes Art. 23 Distribución soportes (Alto)(Alto)• La distribución de los soportes que La distribución de los soportes que
contengan datos de carácter personal se contengan datos de carácter personal se realizará cifrando dichos datos o bien realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que utilizando cualquier otro mecanismo que garantice que dicha información no sea garantice que dicha información no sea inteligible ni manipulada durante su inteligible ni manipulada durante su transportetransporte
• ¿Qué es distribución? ¿Reparto? ¿Salida?¿Qué es distribución? ¿Reparto? ¿Salida?
4949
Art. 25 (Nivel Alto)Art. 25 (Nivel Alto)
• Copia de respaldo y de los procedimientos de Copia de respaldo y de los procedimientos de
recuperación de los datos en un lugar recuperación de los datos en un lugar
diferente de aquel en que se encuentren los diferente de aquel en que se encuentren los
equipos informáticos que los tratan equipos informáticos que los tratan
cumpliendo en todo caso las medidas de cumpliendo en todo caso las medidas de
seguridad exigidas en este Reglamento seguridad exigidas en este Reglamento
¿Distancia?¿Distancia?
• ¿Justificamos así Plan de Continuidad?¿Justificamos así Plan de Continuidad?
5050
ARTÍCULO 15 (Medio)ARTÍCULO 15 (Medio)
“ “El documento de seguridad deberá El documento de seguridad deberá contener los contener los controles periódicos que se controles periódicos que se deban realizar para verificar el deban realizar para verificar el cumplimiento cumplimiento de lo dispuesto en el propio de lo dispuesto en el propio documento y las medidas que sea documento y las medidas que sea necesario adoptar cuando un soporte necesario adoptar cuando un soporte vaya a ser desechado o reutilizado”vaya a ser desechado o reutilizado”
5151
CONTROL INTERNOCONTROL INTERNO
• OBJETIVOS DE CONTROLOBJETIVOS DE CONTROL– Declaraciones sobre el resultado final a alcanzar Declaraciones sobre el resultado final a alcanzar
mediante implantación procedimientos de control mediante implantación procedimientos de control (IAI / ISACF)(IAI / ISACF)
• SISTEMA DE CONTROL INTERNOSISTEMA DE CONTROL INTERNO– Conjunto de procesos, funciones, actividades, Conjunto de procesos, funciones, actividades,
subsistemas, dispositivos cuya misión (total o subsistemas, dispositivos cuya misión (total o parcial) es garantizar que se alcanzan los objetivos parcial) es garantizar que se alcanzan los objetivos (de control).(de control).
5252
AUDITORÍAAUDITORÍA
• Interna / ExternaInterna / Externa
• Evaluación del control internoEvaluación del control interno
• Financiera / calidad / riesgos laborales…Financiera / calidad / riesgos laborales…
• Auditoría informática Auditoría informática
• Auditoría de sistemas de informaciónAuditoría de sistemas de información– Seguridad, Calidad, Gestión, Desarrollos…Seguridad, Calidad, Gestión, Desarrollos…
5353
DEFINICIONES (I)DEFINICIONES (I)
• Proceso de recogida, agrupación y Proceso de recogida, agrupación y evaluación de evidencias para evaluación de evidencias para determinar si un S.I. salvaguarda los determinar si un S.I. salvaguarda los activos, mantiene la integridad de los activos, mantiene la integridad de los datos, lleva a cabo los fines de la datos, lleva a cabo los fines de la entidad y utiliza eficientemente los entidad y utiliza eficientemente los recursosrecursos
5454
DEFINICIONES (II) - ISACADEFINICIONES (II) - ISACA
• Cualquier auditoría que abarca la Cualquier auditoría que abarca la revisión y evaluación de todos los revisión y evaluación de todos los aspectos (o alguna sección / área) de los aspectos (o alguna sección / área) de los sistemas automatizados de proceso de sistemas automatizados de proceso de la información, incluyendo la información, incluyendo procedimientos relacionados no procedimientos relacionados no automatizados, y las interrelaciones automatizados, y las interrelaciones entre ellosentre ellos
5555
CÓMO AFRONTAR UNA CÓMO AFRONTAR UNA AUDITORÍAAUDITORÍA
• DIFERENTES ENFOQUES:DIFERENTES ENFOQUES:
• Como auditoresComo auditores
• Como auditados (usuarios, técnicos, “jefes”)Como auditados (usuarios, técnicos, “jefes”)
• Como responsable de seguridadComo responsable de seguridad
• Como encargado de tratamientoComo encargado de tratamiento
• ¿Otros?¿Otros?
• Actitud diferente…Actitud diferente…
5656
LA INTERNALA INTERNA
• Acceso suficiente a personal, ficheros, Acceso suficiente a personal, ficheros, documentos, contratos, actas...documentos, contratos, actas...
• ¿Quién limita accesos? (Objeto / ¿Quién limita accesos? (Objeto / mandato) mandato)
• Objetividad e independenciaObjetividad e independencia
• A quiénes entregar los informesA quiénes entregar los informes
• ¿A quien les evalúa / sube sueldo?¿A quien les evalúa / sube sueldo?
5757
PERFIL DE LOS AUDITORESPERFIL DE LOS AUDITORES
• Formación y ExperienciaFormación y Experiencia
• Objetividad e independenciaObjetividad e independencia (profesionalmente (profesionalmente cualificado e independiente, decía Instrucción cualificado e independiente, decía Instrucción 1/95)1/95)
• Madurez, integridad y ética (“Granollers”)Madurez, integridad y ética (“Granollers”)
• Capacidad de análisis y de síntesisCapacidad de análisis y de síntesis
• Seguridad en sí mismo/aSeguridad en sí mismo/a
• Según función y objetoSegún función y objeto
• Puesta al día, sobre todo en lo técnicoPuesta al día, sobre todo en lo técnico
5858
AUDITORÍA vs CONSULTORÍAAUDITORÍA vs CONSULTORÍA
• Consultoría / Diagnóstico / Evaluación / AuditoríaConsultoría / Diagnóstico / Evaluación / Auditoría
– Independencia y objetividad (¿proveedores de Independencia y objetividad (¿proveedores de soluciones?)soluciones?)
– ¿Anteponer interés del cliente al propio? ¿Anteponer interés del cliente al propio? – No revelar informaciones confidencialesNo revelar informaciones confidenciales– Recomendar vs Implantar Recomendar vs Implantar – ¿No llamar auditoría a lo que lo es?¿No llamar auditoría a lo que lo es?– ¿Consultores y luego auditores? ¿y viceversa?¿Consultores y luego auditores? ¿y viceversa?
5959
AUDITORÍA EXTERNAAUDITORÍA EXTERNA
• ¿Cómo seleccionar? (criterios, matriz)¿Cómo seleccionar? (criterios, matriz)• ¿Quién decide? (según objetivo)¿Quién decide? (según objetivo)• ¿Quién contrata? (recibe informe)¿Quién contrata? (recibe informe)
– Dirección General ¿Consejo de Dirección General ¿Consejo de Administración?Administración?
– Responsable del FicheroResponsable del Fichero– ¿Mayoría de Accionistas? / Accionista¿Mayoría de Accionistas? / Accionista– ¿Director de Sistemas de Información / TI?¿Director de Sistemas de Información / TI?
6060
FASES (I)FASES (I)
• TRABAJO PREPARATORIOTRABAJO PREPARATORIO– Encargo: propuesta, contrato / aceptaciónEncargo: propuesta, contrato / aceptación– Planificación generalPlanificación general– Programa de trabajoPrograma de trabajo
• TRABAJO DE CAMPOTRABAJO DE CAMPO– Revisiones, entrevistas, pruebas...Revisiones, entrevistas, pruebas...
•Pruebas de cumplimiento, Pruebas sustantivasPruebas de cumplimiento, Pruebas sustantivas•Análisis y evaluación ¿Evidencias suficientes?Análisis y evaluación ¿Evidencias suficientes?
6161
FASES (II)FASES (II)
• FASE DE INFORMEFASE DE INFORME– Borrador de informeBorrador de informe– Revisión cruzadaRevisión cruzada– DiscusiónDiscusión– Informe definitivo (¿comentarios auditados?)Informe definitivo (¿comentarios auditados?)– ¿Seguimiento? (Internos)¿Seguimiento? (Internos)– ¿Informes seguimiento? (Internos)¿Informes seguimiento? (Internos)
6262
FUENTES EN GENERALFUENTES EN GENERAL
• Necesario “casar” fuentes con objetivosNecesario “casar” fuentes con objetivos• Archivo permanenteArchivo permanente• WEB / IntranetWEB / Intranet• COBITCOBIT• ISO / IEC / UNE 17799, UNE 71501-X, ¿UNE ISO / IEC / UNE 17799, UNE 71501-X, ¿UNE
71502?71502?
• ConfidencialidadConfidencialidad– Según clasificación del clienteSegún clasificación del cliente– ¿No sacar de instalaciones? ¿No fotocopiar?¿No sacar de instalaciones? ¿No fotocopiar?
6363
ALGUNAS “WEB” ALGUNAS “WEB”
– www.issa.orgwww.issa.org www.issa-spain.orgwww.issa-spain.org– www.iec.csic.es/criptonomiconwww.iec.csic.es/criptonomicon– www.isaca.org, de la Information Systems Audit and www.isaca.org, de la Information Systems Audit and
Control Association (ISSA + ISACA + ASIS)Control Association (ISSA + ISACA + ASIS)– www.cert.org (Computer Emergency Response Team)www.cert.org (Computer Emergency Response Team)– www.auditoresdesistemas.orgwww.auditoresdesistemas.org (ASIA, ISACA Madrid) (ASIA, ISACA Madrid)– www.iso.org (International Standardization www.iso.org (International Standardization
Organization)Organization)– www.aenor.eswww.aenor.es – www.Itaudit.org (Sobre auditoría de S.I.)www.Itaudit.org (Sobre auditoría de S.I.)– www.agpd.es (la Agencia Española)www.agpd.es (la Agencia Española)
6464
REFLEXIÓN / COLOQUIO (I)REFLEXIÓN / COLOQUIO (I)
• Perfil de los auditores de seguridadPerfil de los auditores de seguridad
• ¿Para qué sirve la auditoría? ¿Se ¿Para qué sirve la auditoría? ¿Se sufresufre??
• ¿Auditoría Informática / de S.I.?¿Auditoría Informática / de S.I.?
• Informe a disposición de AEPD (no Informe a disposición de AEPD (no enviar)enviar)
• ¿Puede pedir AEPD explicaciones del ¿Puede pedir AEPD explicaciones del informe?informe?
6565
REFLEXIÓN / COLOQUIO (II)REFLEXIÓN / COLOQUIO (II)
• Experiencias (auditores, auditados)Experiencias (auditores, auditados)
• ¿Auditoría de un Grupo de empresas?¿Auditoría de un Grupo de empresas?
• Diferencias entre Inspección y AuditoríaDiferencias entre Inspección y Auditoría
• ¿Más independiente la interna o la externa?¿Más independiente la interna o la externa?
• ¿Dudas, aportaciones...?¿Dudas, aportaciones...?
• Muchas graciasMuchas gracias
• www.iee.eswww.iee.es – libros… – libros…
6666
Attribution. You must give the original author credit.
For any reuse or distribution, you must make clear to others the license terms of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
Creative Commons Attribution-NoDerivs 2.0 You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
No Derivative Works. You may not alter, transform, or build upon this work.
