Aurelio Hermoso
Jefe Area Seguridad Informtica
*
*
*
un
*
*
*
*
*
*
*
*
*
*
Loca_Internet/Intranet.
*
POLITICA DE SEGURIDAD
DEFINICION
OBJETIVOS
DESARROLLO
CONFIDENCIALIDAD PRIVACIDAD
INTEGRIDAD DISPONIBILIDAD
CONCEPTO SEGURIDAD
INCREMENTAR la confianza del usuario en los sistemas donde
residen sus datos.
GARANTIZAR la continuidad de los negocios y organizaciones.
ASEGURAR el control de los datos e informaciones.
CALIDAD en el servicio de los Sistemas de Informacin.
IDENTIFICACION Y AUTENTICACION
La Direccin de Sistemas, establecer un
mecanismo que permita la identificacin de
forma inequvoca y personalizada de todo aquel
usuario que intente acceder al sistema de
informacin y la verificacin de que est
autorizado. Art. 11 RD 994/99.
Se limitar la posibilidad de intentar
reiteradamente el acceso no autorizado al
sistema de informacin.
Arts. 18.2; RD 994/99.
IDENTIFICACION Y AUTENTICACION
Verificacin de contraseas de acceso a los sistemas.
Restriccin de accesos a recursos y usuarios.
Proteccin de ficheros y recursos manejados por los
programas, ficheros, terminales y equipos perifricos.
Monitorizacin del uso de todos los recursos y
usuarios definidos.
Aviso y control de violaciones de seguridad y
preparacin de informes. Registros LOG. Auditoras.
IDENTIFICACION Y AUTENTICACION
LA POLTICA ESTABLECIDA es:
Longitud de 6 caracteres que debe contener:
o
Mnimo 2 caracteres alfabticos y 1 numrico
o
Mximo 3 caracteres consecutivos repetidos
No permitir una password igual que el identificativo.
Histrico de las 6 password que se han cambiado ltimamente.
Caducidad de la password cada 2 meses, si no se cambia, queda anulada.
Posibilidad de 5 errores en la introduccin de la password, al 6 el usuario
quedar desactivado.
Notificar al usuario el cambio de password 10 das antes de su caducidad
Cambiar la password al primer login, conforme las reglas de nomenclatura
Diccionario con palabras no validas como password
CONTROL DE ACCESO.
Poltica de seguridad de accesos a recursos
Administracin de Seguridad.
Responsabilidad del Propietario de los datos.
Definicin de perfiles y grupos.
Definicin de acceso a recursos,
Organizacin en la forma de comunicacin.
Los usuarios solo tendrn acceso a los datos y
recursos que se les autorice. Art. 12 RD 994/99
PROTECCION DOCUMENTAL
Adoptar las medidas necesarias para la proteccin de la
informacin que est contenida en documentos, microfilm o
listados que son el resultado de los procesos informticos, as
como los datos de entrada en los mismos soportes.
De la documentacin relacionada con los procesos definidos
como Aplicaciones Crticas, Manuales y Procedimientos de
emergencia.
De los Procedimientos de actuacin y el Manual de Operacin.
Ubicacin de los dispositivos de salida, impresoras.
GESTION DE SOPORTES
MANUAL DE OPERACION.
Conjunto de medios, normas y procedimientos necesarios
para prevenir y solucionar las incidencias que se presenten en
equipos, software y aplicaciones, bien de forma accidental o
deliberada, para su recuperacin y puesta en marcha de nuevo,
con el menor impacto posible, tanto para la empresa como para
los usuarios, garantizando el correcto funcionamiento de los
Sistemas Informticos.
Abarca todo el mbito de los dispositivos fsicos que
contienen la informacin y los programas de las Aplicaciones,
Sistemas Operativos y todo el software necesario para su
funcionamiento, as como los Sistemas Centrales y
Comunicaciones.
Procedimientos de respaldo de la informacin y
normativas para el traslado y custodia en un Centro Off-site.
Procedimientos de recuperacin de la informacin.
DELIMITACION DE COMPETENCIAS
El Responsable del Fichero elaborar e
implantar la normativa de seguridad mediante
un documento de obligado cumplimiento para el
personal con acceso a los datos automatizados
de carcter personal y a los sistemas de
informacin. Art. 8.1 RD 994/99.
NORMA DE PROTECCION DE DATOS Y
EQUIPOS INFORMATICOS.
Ambito de aplicacin en todas las Unidades
pertenecientes al Grupo IBERIA.
DELIMITACION DE COMPETENCIAS
IBERIA Lneas Areas de Espaa S.A., como
persona jurdica de naturaleza privada y rgano
administrativo que decide sobre la finalidad,
contenido y uso del tratamiento, es la
Responsable del Fichero o Tratamiento, tiene la
responsabilidad jurdica de la proteccin de
datos sensibles en los ficheros de los grandes
Ordenadores centrales, en los Sistemas
cliente/servidor,
redes
de
rea
local,
ordenadores personales y comunicaciones, y
deber adoptar las medidas de ndole
organizativas necesarias. Art. 3.d), LOPD.
DELIMITACION DE COMPETENCIAS
La Direccin de Sistemas proporciona a todo el Grupo
Iberia los Sistemas de informacin y el soporte
tecnolgico necesario para el desempeo de cualquier
operacin informtica. Art. 3.g), LOPD.
Por lo tanto, la Direccin de Sistemas como Encargado
del Tratamiento de datos, deber adoptar las medidas de
ndole tcnicas necesarias que garanticen la seguridad de
los datos sensibles y eviten su alteracin, prdida de
tratamiento o acceso no autorizado, habida cuenta del
estado de la tecnologa, la naturaleza de los datos
almacenados y los riesgos a que estn expuestos, ya
provengan de accin humana o del medio fsico o natural.
DELIMITACIN DE COMPETENCIAS
La realizacin de tratamientos por cuenta de
terceros deber estar regulada en un contrato que
deber constar por escrito o en alguna otra forma
que permita acreditar la celebracin y contenido,
establecindose expresamente que el Encargado del
Tratamiento nicamente tratar los datos conforme
las instrucciones del Responsable del Tratamiento,
que no los aplicar o utilizar con fin distinto al que
figure en dicho contrato, ni los comunicar, ni
siquiera para su conservacin, a otras personas.
Art. 6 RD 994/99.
DELIMITACION DE COMPETENCIAS
DELIMITACION DE COMPETENCIAS
En los ordenadores personales la proteccin de los
ficheros que contengan datos sensibles, ser
responsabilidad de la persona o personas que
tengan asignado el equipo, o en su caso del Jefe de
Unidad correspondiente, siendo controladas las
medidas de seguridad por el Responsable de
Seguridad designado en cada Direccin de IBERIA,
el cual notificar al Responsable de Seguridad de la
Direccin de Sistemas las altas, bajas y
modificaciones de los ficheros.
DELIMITACION DE COMPETENCIAS
REGISTRO DE FICHEROS
El Responsable de Seguridad de la Direccin de
Sistemas, ser el encargado de gestionar
la
inscripcin de los ficheros automatizados con datos
de carcter personal en el Registro General de la
Agencia de Proteccin de Datos, Registro de la
Propiedad Intelectual y Registro de Marcas.
BASICO
MEDIO ALTO
Documento de seguridad
++
Registro de incidencias
++
Identificacin y autenticac.
++
Control de acceso
Gestin de soportes
++
++
BASICO
MEDIO ALTO
Responsables de seguridad
Auditora
Telecomunicaciones. Cifrado
Registro de accesos
REGISTRO DE INCIDENCIAS
Debe de contener un registro, con el contenido:
Tipo de Incidencia. Arts, 10, 21 RD 994/99.
Momento en que se ha producido.
Persona que realiza la notificacin.
A quin se le comunica.
Efectos que se hubieran derivado.
Procedimientos para recuperar los datos.
Persona que ejecut el proceso.
Datos restaurados.
Datos recuperados manualmente.
Autorizacin por escrito del R.F.para la ejecucin.
AUDITORA.
AUDITORIA