CONTROLES DE SEGURIDAD EN BASES DE DATOS

PERSONALES
Aplicacin de la Poltica de Seguridad de la Oficina
Nacional de Tecnologas de Informacin
Versin 1.1

1
 CONTROLES DE SEGURIDAD EN BASES DE DATOS PERSONALES

Aplicacin de la Poltica de Seguridad de la Oficina Nacional de

Tecnologas de la Informacin
Versin 1.1

El objetivo del presente documento es establecer los controles que se

deberan adoptar a partir de la Poltica de Seguridad de la Oficina
Nacional de Tecnologas de Informacin 1, en su versin 2012 (pendiente de
aprobacin), para dar cumplimiento a lo establecido en la Disposicin N
11/2006 de la Direccin Nacional de Proteccin de Datos Personales (DNPDP)
"Medidas de Seguridad para el Tratamiento y Conservacin de los Datos
Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos
Pblicos no estatales y Privados"

De esta forma, en el marco de un Sistema de Gestin de la Seguridad de la

Informacin, se podra garantizar el nivel de seguridad establecido por la
Ley 25326, en relacin a las Bases de Datos Personales, tanto en el mbito
pblico, como en el privado.

Es importante destacar que a medida que el nivel de criticidad de la base

aumenta, los controles de seguridad son acumulativos. Es decir, si una
Base de Datos Personales tiene un nivel de criticidad Medio, debe cumplir
los requerimientos de Nivel Bsico y de Nivel Medio.

Al momento de hablar de Datos Personales, es conveniente recordar las

definiciones establecidas en la Ley 25326 respecto de este tema:

Tipos de Datos
Datos Informacin de cualquier tipo referida a personas fsicas o de
Personales existencia ideal determinadas o determinables.

Datos Datos personales que revelan origen racial y tnico, opiniones

Sensibles polticas, convicciones religiosas, filosficas o morales,
afiliacin sindical e informacin referente a la salud o a la
vida sexual.

1Basado en el estndar ISO/IEC 27001/27002

2
En relacin a la Seguridad de los Datos, la Ley 25326 establece en su
Artculo 9 lo siguiente:

El responsable o usuario del archivo de datos debe adoptar las medidas

tcnicas y organizativas que resulten necesarias para garantizar la
seguridad y confidencialidad de los datos personales, de modo de evitar
su adulteracin, prdida, consulta o tratamiento no autorizado, y que
permitan detectar desviaciones, intencionales o no, de informacin, ya
sea que los riesgos provengan de la accin humana o del medio tcnico
utilizado.

Queda prohibido registrar datos personales en archivos, registros o

bancos que no renan condiciones tcnicas de integridad y seguridad.

La Disposicin N 11/2006 surgi principalmente para brindar mayor claridad

a lo establecido en el Artculo 9 de la Ley 25326 y que su cumplimiento se
pueda dar en una forma controlable y medible. Si bien no recomienda ningn
estndar en particular, el estndar ISO/IEC 27001 y el Cdigo de Buenas
Prcticas establecido en la ISO/IEC 27002, ambas referencias de la Poltica
de Seguridad de la Oficina Nacional de Tecnologas de la Informacin,
permiten cumplir adecuadamente los distintos requisitos establecidos en la
mencionada disposicin.

Tipo de Base de Datos Caractersticas

Los archivos, registros, bases y bancos de

Bases de Datos de Nivel datos que contengan datos de carcter
Bsico personal debern adoptar las medidas de
seguridad calificadas como de Nivel Bsico.

Los archivos, registros, bases y bancos de

Bases de Datos de Nivel datos de las empresas privadas que
Medio desarrollen actividades de prestacin de
servicios pblicos, as como los archivos,
registros, bases y bancos de datos
pertenecientes a entidades que cumplan una
funcin pblica y/o privada que, ms all de
lo dispuesto por el artculo 10 de la Ley N
25.326, deban guardar secreto de la
informacin personal por expresa disposicin
legal (v.g.: secreto bancario).

3
 Los archivos, registros, bases y bancos de
Bases de Datos de Nivel datos que contengan datos personales,
Crtico definidos como "datos sensibles", con la
excepcin que se sealar ms abajo.
Nota: Quedan exceptuados de aplicar las
medidas de seguridad de nivel crtico, los
archivos, registros, bases y bancos de datos
que deban efectuar el tratamiento de datos
sensibles para fines administrativos o por
obligacin legal. No obstante, ello no
excluye que igualmente deban contar con
aquellas medidas de resguardo que sean
necesarias y adecuadas al tipo de dato.

4
Grilla de Controles

A continuacin se establece la grilla de controles en un todo de acuerdo con

lo establecido en la Poltica de Seguridad de ONTI y lo establecido en la
Disposicin N 11/2006 para cada Nivel de Criticidad:

Nivel de las Medidas Control de la Poltica de

Requisito de Seguridad
de Seguridad Seguridad ONTI / ISO 27002

Bsico Funciones y obligaciones del personal. 8.1.1 Funciones y

Responsabilidades
Bsico Descripcin de los archivos con datos 7.1.1 Inventario de Activos
de carcter personal y los sistemas de
informacin que los tratan.
Bsico Descripcin de los archivos con datos 7.2.1 Directrices de
de carcter personal y los sistemas de Clasificacin
informacin que los tratan.
Bsico Descripcin de las rutinas de control 12.2.1 Validacin de Datos de
de datos de los programas de ingreso Entrada
de datos y las acciones a seguir ante
los errores detectados a efectos de su
correccin. Todos los programas de
ingreso de datos, cualquiera sea su
modo de procesamiento (batch,
interactivo, etc.), deben incluir en
su diseo, rutinas de control, que
minimicen la posibilidad de incorporar
al sistema de informacin, datos
ilgicos, incorrectos o faltantes.
Bsico Descripcin de las rutinas de control 12.2.2 Controles de
de datos de los programas de ingreso Procesamiento Interno
de datos y las acciones a seguir ante
los errores detectados a efectos de su
correccin. Todos los programas de
ingreso de datos, cualquiera sea su
modo de procesamiento (batch,
interactivo, etc.), deben incluir en
su diseo, rutinas de control, que
minimicen la posibilidad de incorporar
al sistema de informacin, datos
ilgicos, incorrectos o faltantes.
Bsico Descripcin de las rutinas de control 12.2.3 Autenticacin de
de datos de los programas de ingreso Mensajes
de datos y las acciones a seguir ante
los errores detectados a efectos de su
correccin. Todos los programas de

5
 ingreso de datos, cualquiera sea su
modo de procesamiento (batch,
interactivo, etc.), deben incluir en
su diseo, rutinas de control, que
minimicen la posibilidad de incorporar
al sistema de informacin, datos
ilgicos, incorrectos o faltantes.
Bsico Registros de incidentes de seguridad. 13.1 Informe de los Eventos y
Debilidades de Seguridad de
la Informacin
Bsico Notificacin, gestin y respuesta ante 13.2.1 Responsabilidades y
los incidentes de seguridad. Procedimientos de Gestin de
Incidentes
Bsico Procedimientos para efectuar las 10.5.1 Resguardo de la
copias de respaldo y de recuperacin Informacin
de datos.
Bsico Relacin actualizada entre Sistemas de 11.2.5 Revisin de Derechos
Informacin y usuarios de datos con de Acceso
autorizacin para su uso.
Bsico Procedimientos de identificacin y 11.2.1 Registracin de
autenticacin de los usuarios de datos Usuarios
autorizados para utilizar determinados
sistemas de informacin.
Bsico Procedimientos de identificacin y 11.5.2 Procedimientos de
autenticacin de los usuarios de datos Conexin de Terminales
autorizados para utilizar determinados
sistemas de informacin.
Bsico Procedimientos de identificacin y 11.2.2 Gestin de Privilegios
autenticacin de los usuarios de datos
autorizados para utilizar determinados
sistemas de informacin.
Bsico Control de acceso de usuarios a datos 11.1.1 Poltica de Control de
y recursos necesarios para la Accesos
realizacin de sus tareas para lo cual
deben estar autorizados.
Bsico Adoptar medidas de prevencin a 10.4.1 Cdigo Malicioso
efectos de impedir amenazas de
software malicioso (virus, troyanos,
etc.) que puedan afectar archivos con
datos de carcter personal. Entre
otras:
Bsico Procedimiento que garantice una 10.7.3 Procedimientos de
adecuada Gestin de los Soportes que Manejo de la Informacin
contengan datos de carcter personal
(identificacin del tipo de
informacin que contienen,
almacenamiento en lugares de acceso

6
 restringidos, inventarios,
autorizacin para su salida fuera del
local en que estn ubicados,
destruccin de la informacin en
desuso, etc.).
Bsico Procedimiento que garantice una 10.7.2 Eliminacin de Medios
adecuada Gestin de los Soportes que de Informacin
contengan datos de carcter personal
(identificacin del tipo de
informacin que contienen,
almacenamiento en lugares de acceso
restringidos, inventarios,
autorizacin para su salida fuera del
local en que estn ubicados,
destruccin de la informacin en
desuso, etc.).
Medio El Instructivo de seguridad deber 6.1.3 Asignacin de
identificar al Responsable (u rgano Responsabilidades de
especfico) de Seguridad. Seguridad de la Informacin
Medio Realizacin de auditoras (internas o 15.3 Consideraciones de
externas) que verifiquen el Auditorias de Sistemas
cumplimiento de los procedimientos e
instrucciones vigentes en materia de
seguridad para datos personales.
Medio Realizacin de auditoras (internas o 15.2.2 Verificacin de la
externas) que verifiquen el Compatibilidad Tcnica
cumplimiento de los procedimientos e
instrucciones vigentes en materia de
seguridad para datos personales.
Medio Se limitar la posibilidad de intentar 11.2.3 Gestin de Contraseas
reiteradamente el acceso no autorizado del Usuario
al sistema de informacin.
Medio Se limitar la posibilidad de intentar 11.5.3 Identificacin y
reiteradamente el acceso no autorizado Autenticacin de los Usuarios
al sistema de informacin.
Medio Se establecer un control de acceso 9.1.2 Controles Fsicos de
fsico a los locales donde se Entrada
encuentren situados los sistemas de
informacin con datos de carcter
personal.
Medio Se establecer un control de acceso 9.2.1 Emplazamiento y
fsico a los locales donde se Proteccin de Equipos
encuentren situados los sistemas de
informacin con datos de carcter
personal.
Medio Gestin de Soportes e informacin 10.7.3 Procedimientos de
contenida en ellos, Manejo de la Informacin

7
Medio Se dispondr de un registro de 10.8.1 Procedimientos y
entradas y salidas de los soportes Controles de Intercambio de
informticos de manera de identificar, Informacin
da y hora de entrada y salida del
soporte, receptor, emisor, forma de
envo, etc.
Medio Se adoptarn las medidas necesarias 10.7.2 Eliminacin de Medios
para impedir cualquier recuperacin de de Informacin
la informacin con posterioridad a que
un soporte vaya a ser desechado o
reutilizado, o que la informacin deba
ser destruida, por la causa que
correspondiere.
Medio Deber disponerse de un procedimiento 10.5.1 Resguardo de la
de recuperacin de la informacin de Informacin
respaldo y de tratamiento de la misma
en caso de contingencias que pongan no
operativo el/los equipos de
procesamiento habituales.
Medio Deber disponerse de un procedimiento 14.1.3 Planificacin de la
de recuperacin de la informacin de Continuidad de las
respaldo y de tratamiento de la misma Actividades del Organismo
en caso de contingencias que pongan no
operativo el/los equipos de
procesamiento habituales.
Medio Deber disponerse de un procedimiento 14.1.5 Ensayo, Mantenimiento
de recuperacin de la informacin de y Re-evaluacin de los Planes
respaldo y de tratamiento de la misma de Continuidad
en caso de contingencias que pongan no
operativo el/los equipos de
procesamiento habituales.
Medio Los registros de incidentes de 13.2.1 Responsabilidades y
seguridad, en el caso de tener que Procedimientos de Gestin de
recuperar datos, debern identificar Incidentes
la persona que recuper y/o modific
dichos datos. Ser necesaria la
autorizacin en forma fehaciente del
responsable del archivo informatizado.
Medio Los registros de incidentes de 10.5.1 Resguardo de la
seguridad, en el caso de tener que Informacin
recuperar datos, debern identificar
la persona que recuper y/o modific
dichos datos. Ser necesaria la
autorizacin en forma fehaciente del
responsable del archivo informatizado.
Medio Las pruebas de funcionamiento de los 10.1.4 Separacin entre
sistemas de informacin, realizadas Instalaciones Productivas y
con anterioridad a su puesta operativa de Desarrollo
no se realizarn con datos/archivos

8
 reales, a menos que se aseguren los
niveles de seguridad correspondientes
al tipo de datos informatizados
tratados.
Medio Las pruebas de funcionamiento de los 10.1.2 Cambios en las
sistemas de informacin, realizadas Operaciones
con anterioridad a su puesta operativa
no se realizarn con datos/archivos
reales, a menos que se aseguren los
niveles de seguridad correspondientes
al tipo de datos informatizados
tratados.
Crtico Distribucin de soportes: cuando se 12.3.1 Poltica de
distribuyan soportes que contengan Utilizacin de Controles
archivos con datos de carcter Criptogrficos
personal incluidas las copias de
respaldo, se debern cifrar dichos
datos (o utilizar cualquier otro
mecanismo) a fin de garantizar que no
puedan ser ledos o manipulados
durante su transporte.
Crtico Registro de accesos: se deber 10.10.1 Registro de Auditoria
disponer de un registro de accesos con
informacin que identifique al usuario
que accedi, cuando lo hizo (fecha y
hora), tipo de acceso y si ha sido
autorizado o denegado. En el caso que
el acceso haya sido autorizado se
deber identificar el dato accedido y
el tratamiento que se le dio al mismo
(baja, rectificacin, etc.). Este
registro de accesos deber ser
analizado peridicamente por el
responsable de seguridad y deber ser
conservado como minino por el trmino
de un TRES (3) aos.
Crtico Registro de accesos: se deber 10.10.4 Sincronizacin de
disponer de un registro de accesos con Relojes
informacin que identifique al usuario
que accedi, cuando lo hizo (fecha y
hora), tipo de acceso y si ha sido
autorizado o denegado. En el caso que
el acceso haya sido autorizado se
deber identificar el dato accedido y
el tratamiento que se le dio al mismo
(baja, rectificacin, etc.). Este
registro de accesos deber ser
analizado peridicamente por el
responsable de seguridad y deber ser
conservado como minino por el trmino

9
 de un TRES (3) aos.

Crtico Copias de respaldo: adems de las que 10.8.3 Seguridad de los

se mantengan en la localizacin donde Medios en Trnsito
residan los datos debern
implementarse copias de resguardo
externas, situadas fuera de la
localizacin, en caja ignfuga y a
prueba de gases o bien en una caja de
seguridad bancaria, cualquiera de
ellas situadas a prudencial distancia
de la aludida localizacin. Deber
disponerse de un procedimiento de
recuperacin de esa informacin y de
tratamiento de la misma en caso de
contingencias que pongan no operativo
el/los equipos de procesamiento
habituales.
Crtico Copias de respaldo: adems de las que 10.7.3 Procedimientos de
se mantengan en la localizacin donde Manejo de la Informacin
residan los datos debern
implementarse copias de resguardo
externas, situadas fuera de la
localizacin, en caja ignfuga y a
prueba de gases o bien en una caja de
seguridad bancaria, cualquiera de
ellas situadas a prudencial distancia
de la aludida localizacin. Deber
disponerse de un procedimiento de
recuperacin de esa informacin y de
tratamiento de la misma en caso de
contingencias que pongan no operativo
el/los equipos de procesamiento
habituales.
Crtico Copias de respaldo: adems de las que 10.5.1 Resguardo de la
se mantengan en la localizacin donde Informacin
residan los datos debern
implementarse copias de resguardo
externas, situadas fuera de la
localizacin, en caja ignfuga y a
prueba de gases o bien en una caja de
seguridad bancaria, cualquiera de
ellas situadas a prudencial distancia
de la aludida localizacin. Deber
disponerse de un procedimiento de
recuperacin de esa informacin y de
tratamiento de la misma en caso de
contingencias que pongan no operativo

10
 el/los equipos de procesamiento
habituales.

Crtico Transmisin de datos: los datos de 10.8.1 Procedimientos y

carcter personal que se transmitan a Controles de Intercambio de
travs de redes de comunicacin (1), Informacin
debern serlo cifrados o utilizando
cualquier otro mecanismo que impida su
lectura y/o tratamiento por parte de
personas no autorizadas.
Crtico Transmisin de datos: los datos de 10.6.1 Seguridad en las Redes
carcter personal que se transmitan a
travs de redes de comunicacin (1),
debern serlo cifrados o utilizando
cualquier otro mecanismo que impida su
lectura y/o tratamiento por parte de
personas no autorizadas.
Crtico Transmisin de datos: los datos de 12.3.1 Poltica de
carcter personal que se transmitan a Utilizacin de Controles
travs de redes de comunicacin (1), Criptogrficos
debern serlo cifrados o utilizando
cualquier otro mecanismo que impida su
lectura y/o tratamiento por parte de
personas no autorizadas.

11
Consideraciones Adicionales

El desafo se presenta en el cmo se implementarn los distintos

requerimientos, teniendo en cuenta los controles detallados. Cada
Organizacin deber evaluar la mejor manera de avanzar en el marco de un
proyecto de seguridad de la informacin, alineado con un Programa de
Seguridad de la Informacin, que en caso de tratar con bases de datos
personales en la Repblica Argentina, deber cumplir lo establecido en la
Ley 25326 y disposiciones adicionales, siendo la N 11/2006 una de ellas.

Adicionalmente a todo esto, pero en el marco ya de un programa de

ciberseguridad, se podran tener en cuenta otras referencias
internacionales, como pueden ser el 20 Critical Security Controls del SANS
Institute y el Top 35 Mitigations Strategies del Departamento de Defensa
de Australia. Ambos documentos son una herramienta muy valiosa al momento de
implementar controles, con un claro objetivo de mejora continua a travs de
la medicin de las mtricas definidas.

12
Referencias

Disposicin N03/2012 Formulario de Inspeccin e Instructivo.

http://www.jus.gob.ar/media/721636/disp_2012_03.pdf

Disposicin N 07/2008 Gua de Buenas Prcticas en Polticas de Privacidad

para las BBDD del mbito Pblico y Modelo de Convenio de Confidencialidad.
http://www.jus.gob.ar/media/33463/disp_2008_07.pdf

Disposicin N 11/2006 Implementacin de Medidas de Seguridad

http://www.jus.gob.ar/media/33445/disp_2006_11.pdf

Ley 25326
http://www.jus.gob.ar/media/33481/ley_25326.pdf

Poltica de Seguridad ICIC

http://www.icic.gob.ar/paginas.dhtml?pagina=195

20 Critical Security Controls

http://www.sans.org/critical-security-controls/

Top 35 Mitigations Strategies

http://www.dsd.gov.au/infosec/top35mitigationstrategies.htm

Informe realizado por Mariano M. del Ro (@mmdelrio)

SecureTech | cybersecurity and compliance services
info@securetech.com.ar | www.securetech.com.ar

13