seguridad de la información - innovarioja.tv · que pueden darse, y por tanto el propio nivel de...

seguridad de la información

Cuestiones legales para informáticos

8 de Julio de 2014

Ley de Seguridad Privada

Art. 6.6: "A las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad

informática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de

la misma o del servicio que aquéllos prestan, por su incidencia directa en la seguridad de las entidades públicas y

privadas, se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los

servicios que presten".

Art. 11: Registro Nacional de Seguridad

Estandarización y especialización

Informática en la compañía

- ¿Cómo conseguir la mejora de los sistemas, financiación y aprobación del

apetito al riesgo?

‐ La pyme en general no asocia un incidente de seguridad

como un riesgo para su negocio: pérdida económica real,

de actividad, del clientes o de imagen.

‐ Se desconocen el tipo de incidencias y las consecuencias

que pueden darse, y por tanto el propio nivel de riesgo de

la empresa.

‐ El tamaño de la empresa es un condicionante a la hora de

implementar las herramientas y soluciones de seguridad.

Negocio y fugas de información

Fuente: Estudio sobre la seguridad y e‐confianza en las pequeñas y microempresas españolas 2010. Observatorio de la Seguridad de INTECO

‐ Los incidentes de seguridad en las pymes no son

detectados o se desconoce su origen.

‐ Importante ausencia en cuanto a la aplicación de políticas

de seguridad, buenas prácticas y un uso adecuado de los

recursos y los medios de la empresas.

‐ Los propios empleados son una importante fuente de

incidentes de seguridad. El enemigo está dentro.

‐ Las pymes no se consideran “objetivo” y la seguridad no

es una prioridad


Fuente: Estudio sobre la seguridad y e‐confianza en las pequeñas y microempresas españolas 2010. Observatorio de la Seguridad de INTECO


‐ Generalmente, las empresas desconocen la ubicación de los datos confidenciales que poseen

* Estudio 2011 Imperva - http://www.diarioti.com/gate/n.php?id=29626

‐ SOLO el 18% asegura conocer el número exacto de los archivos confidenciales que atesora‐ El 40% lo desconoce por COMPLETO

‐ Un 65% reconoce NO estar SEGURO de quién tiene acceso a estos documentos

‐ 82%manifiesta que deben reconsiderar las políticas empresariales de seguridad de datos

Negocio y fugas de información• No es un gasto

• Es una inversión

• Soporta al negocio

• Permite continuar la

actividad

• Mejora la

productividad

ROIPoco extendida la figura del Resp. de seguridad informática y de la cuantía y valoración de la inversión realizada en seguridad.

Negocio Vs Soluciones Tecnológicas

Enfoque de Gestión de TIen nuestro negocio

NegociosRiesgos

Enfoque tecnológico

MedidasTécnicas

RequerimientosObjetivos

RiesgosRequerimientos de Seguridad

Activosde

Información

ControlesSalvaguardas

Informático(“Mi primo lo hace…”)

YGrandes Superficies

Situación empresas – Visión ISO –Estado de TI

ROI

Orientar la inversión en TIC

Algunos retos‐ Usuarios y contraseñas. BBPP validación y gestión. Plataformas y S.O.

‐ Roles de los usuarios (root)

‐ Evidencias digitales para el soporte legal

‐ Seguridad perimetral + End point + DLP/ILM

‐ Auditorias de vulnerabilidades (interno, externo, web, etc.)

‐ Control de dispositivos almacenamiento extraíble

‐ Tecnologías MDM

‐ Integración de tecnologías con el core de sistemas

‐ Continuidad del negocio, alineado con TI

‐ Continuidad del negocio, alineado con TODO el negocio

Orientar la inversión en TIC

Desde el Negocio

A la tecnologíaA la

organizaciónAl cumplimiento

legal

¿Qué es mi negocio?¿Qué riesgos?¿Qué necesito?¿A dónde va mi negocio?¿Qué recursos tengo?

Plan TIC.-Técnicas-Organizativas-Legales

Legislación

LOPD


- Relación con Terceras Partes

2007 20136.2 Terceros

6.2.1. Id. Riesgos acceso 3ºs6.2.2 Requisitos Seg. Acc. 3ºs6.2.3. Seguridad en Contratos

10.2 Provisión Servicios Terceros

10.2.1. Controles de Seguridad10.2.2 Revisión Provisión10.2.3. Gestión Cambio Serv.


- Organización

6.1.5. Seguridad de la información en la gestión de proyectos: La seguridad de la información debe tratarse en la gestión de proyectos, independientemente de la naturaleza del proyecto.

CUMPLIMIENTO LEGAL


Estrategia

Usuario

LG SMART TV

PCI ‐ DSSLOPD / ETC

Corriente Security and Privacy By Design


- Organización

16.1.7 Recopilación de evidenciasDespués de un incidente de seguridad de la información, cuando una acción contra una persona u organización implique acciones legales (tanto civiles como penales), deben recopilarse las evidencias, conservarse y presentarse conforme a las normas establecidas en la jurisdicción pertinente.


DISEÑOAdmisibilidad: que satisface los requisitos legales necesarios para que la evidencia pueda ser considerada en un juicio.Autenticidad: que sirve para certificar la identidad y verdad de los hechos que se pretenden probar.Completitud: que recoge información sobre todos los hechos y no una perspectiva particular de alguno de ellos.Fiabilidad: el proceso de recolección y conservación no debe generar dudas sobre su autenticidad y veracidad.Credibilidad: debe proporcionar información e indicios lógicos en relación a los hechos probados.

Informática en la compañíaLegislación

• Código penal.• Estatuto de los trabajadores.• Protección de datos de carácter personal (protección a la

intimidad).• Ley general de telecomunicaciones (secreto de las

comunicaciones)• Ley del procedimiento laboral• Ley del enjuiciamiento civil• Ley del enjuiciamiento criminal

El artículo 18 del Estatuto de los Trabajadores autoriza la realización de registros sobre la persona del trabajador, en sus taquillas y efectos particulares, pero sólo en determinadas circunstancias (cuando sea necesaria para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa), y con determinadas condiciones (dentro del centro de trabajo y en horas de trabajo; respetando al máximo la dignidad e intimidad del trabajador y contándose con la presencia de algún representante legal de los trabajadores).

Informática en la compañíaEVIDENCIAS

Soporte Informático.Bien estructurado.

Medidas de Seguridad.Etc.

BBPP12.4.4 Sincronización

RelojesLos relojes de todos los sistemas

de tratamiento de información dentro de una organización o de un

dominio de seguridad, deberían estar sincronizados con una única

fuente precisa y acordada de tiempo.

Página WebInformática en la compañía

Página WebAuditorias de Seguridad sobre la Web

“Las empresas que implementen un proceso de Gestión de Vulnerabilidades experimentarán un

90% menos de ataques con éxito respecto a aquellas que inviertan únicamente en sistemas

de detección e intrusión.”

Y sobre SaaS, Redes, equipos, servicios, etc.


Redes Sociales

Manual de uso de Medios Informáticos


¿Cuestión Legal?

Ley de Propiedad Intelectual

SAM – Gestión de Activos de SW


SoW – Gestión de Sw Original

Por Seguridad!!!

La prestación de Servicios

- ROI- No se trata de ofrecer la última solución

de Seguridad- Se trata de dar solución a las

necesidades de las organizaciones- Siguiente, siguiente, siguiente.


- ¿Cómo se establece la relación de prestación de servicios?

- ¿Proyecto en el tiempo con hitos?- Propiedad del código, máquinas, etc.- Acuerdos de nivel de servicio- Revisiones / auditorias - Stocks, compromisos

REQUERIMIENTOS CONTRACTUALES

CONTRATO!


- La contabilidad “B”

- La tramitación de subvenciones

- Los formatos de devolución / entrega de servicio


CONTRATO!


- Subcontratación (permiso)

- Competencia

- Encargado del tratamiento


CONTRATO!

La prestación de Servicios¿Cuánto de importante es la información

para tí?Y para tu cliente!?

La prestación de ServiciosDesarrollo de SW

- Seguridad en todo proyecto

- Seguridad y privacidad por defecto

- LOPD – En función nivel de datos

- Nueva Directiva LOPD

- BIA / Análisis de Riesgos


- BBPP desarrollo de SW:- Requisitos funcionales y…

legales/seguridad- Entornos de pruebas, desarrollo y

producción- Validación datos de entrada / Salida- Procesamiento interno / Integridad

Mensajes


- BBPP desarrollo de SW:- Control de cambios- Auditorias de desarrollo- Procedimientos ofuscación /

enmascaramiento de datos- Acuerdos de intercambio de

información


- BBPP desarrollo de SW:

- Externalización del desarrollo de SW


- Propiedad Intelectual:- Propiedad del código- Entrega y formatos

- Ejemplo:- Desarrollo en plataforma y propiedad

de la información - El Cliente Cautivo


- Mercados de aplicaciones / APIS:- Apple Store / Play Google- Terceros (Contrato?)- Al iniciar la aplicación – permisos- Condiciones generales

- Aplicación de rutas. Responsabilidad

La prestación de ServiciosComputación en la nube

- Ubicación- Prestación de servicios- Copias de seguridad- Vulnerabilidades- Acuerdos de nivel de servicio

La prestación de ServiciosServicios de mantenimiento remoto

- Cifrado de las comunicaciones- Autorización - Registro!?

seguridad de la información

Carlos González - 667496808

seguridad de la información - innovarioja.tv · que pueden darse, y por tanto el propio nivel de...

Documents

Transcript of seguridad de la información - innovarioja.tv · que pueden darse, y por tanto el propio nivel de...