IMPLANTACION DE UNA POLITICA

DE SEGURIDAD DE LOS SISTEMAS

DE INFORMACION

Aurelio Hermoso
Jefe Area Seguridad Informtica

EL PASADO - MENTALIDAD QUE HABIA SOBRE POLITICA DE SEGURIDAD

PANORAMA :

*
*
*

un
*
*

Los ordenadores estaban ubicados en una sola sala.

El hardware era de un slo fabricante.
Terminales de modo asncrono conectados directamente a
slo ordenador, pidiendo contrasea de entrada al sistema.
Comunicaciones poco desarrolladas.
Cambios frecuentes.

CONCEPTOS DE SEGURIDAD - ORIENTACION TECNOLOGICA

*

QUE NO SE PAREN LOS ORDENADORES

Mquinas de Proceso de Datos.

Equipo auxiliar.
El propio edificio.
Cintas de respaldo.
Rearranque de programas.
Check-point.

CONTROL DE ACCESOS A LOS FICHEROS.

Slo en los grandes sistemas.

PREDOMINABA MAS LA PREVENCION DE SUCESOS

EL PRESENTE - MENTALIDAD ACTUAL SOBRE POLITICA DE SEGURIDAD
PANORAMA :

*
*
*
*
*

*
*
*
Loca_Internet/Intranet.
*

Los ordenadores pueden estar ubicados en puntos distantes.

Gran desarrollo de los sistemas de comunicaciones.
Exposicin a Riesgos y Amenazas.
Acceso mltiple de usuarios no controlados por medio de
ordenadores.
Hardware y Software compatible entre los fabricantes. Mltiples
tecnologas.
Punto nico de Administracin de Seguridad.
Cambios poco frecuentes.
Outsourcing - Cliente/Servidor - Redes Area
La informacin es considerada como un ACTIVO muy valioso de la
empresa y los RECURSOS como herramientas de gestin y
competitividad, debindose proteger la inversin.

CONCEPTOS DE SEGURIDAD - ORIENTACION SERVICIO

CONCEPTO, POLITICA INTEGRAL de SEGURIDAD de los SISTEMAS de INFORMACION
Proteccin de accesos a la informacin
Proteccin de transmisin de datos.
Proteccin en Redes y Ordenadores Personales.
Plan de Emergencia y Recuperacin en caso de Desastre.

Auditora de los SI.

Proteccin Documenta
Plan de Contingencia.
Plan de Formacin.

POLITICA DE SEGURIDAD - ADECUACION A LA LEGISLACION

LOPD 15/1999, ley Orgnica de Proteccin de Datos Personales.
Titulo II, Principios de la proteccin de los datos.
Titulo III, Derechos de las personas.
RD 1332/1994, Regula determinados aspectos de la LORTAD.
Notificacin e inscripcin de ficheros.
Ejercicio y Tutela de los Derechos del afectado.
RD 994/1999, Reglamento de medidas de seguridad ficheros con
datos personales.
Documento de Seguridad.
Normas y procedimientos.
Medidas tcnicas.

POLTICA DE SEGURIDAD- ADECUACIN A LA LEGISLACIN

.Aplicar medidas tcnicas, lgicas, fsicas y
organizacionales necesarias, que garanticen la
proteccin de los datos personales, patrimoniales y
crticos para las actividades de la empresa.
.Medidas de identificacin y autenticacin de usuarios
y reglas y registro de acceso a ficheros.
.Las medidas implantadas se acreditarn mediante
auditoras.
Disponer de un plan de seguridad formalizado y
documentado

POLITICA DE SEGURIDAD
DEFINICION

Establecer los requisitos de seguridad mediante un conjunto de

principios y reglas declarando como se especificar y gestionar la
proteccin de los diferentes activos de la informacin de una
manera consistente y efectiva.

OBJETIVOS

Reducir los riesgos a un nivel aceptable.

Garantizar la confidencialidad, integridad, disponibilidad, privacidad
de la informacin.
Cumplir con las Leyes y Reglamentaciones vigentes.

DESARROLLO

La Poltica de Seguridad de los Sistemas de Informacin de IBERIA,

est orientada a gestionar eficazmente la seguridad de la
informacin tratada por los sistemas informticos de la empresa as
como los activos que participan en sus procesos.

Compromiso de adoptar cuantas medidas de ndole tcnico y

organizativo estn a su alcance, en funcin de las posibilidades y
avances de la tcnica.

ASPECTOS CRUCIALES QUE DEBEN CONSIDERARSE AL

DETERMINAR LA POLTICA DE SEGURIDAD.
DEFINICION DE REQUISITOS(1)
VULNERABILIDAD DE LOS SISTEMAS DE INFORMACION.
La debilidad inherente de los SI frente al peligro de ataque y
aprovechamiento fraudulento realizado desde dentro y fuera de la
organizacin.
AMENAZAS A LA SEGURIDAD.
Las amenazas a los SI y a la informacin que puedan ser identificadas como
reales y significativas.
GESTION DE LA PROTECCION.
Declaracin de como se especificar y gestionar la proteccin de los
activos de una manera consistente y efectiva.
Definicin y estandarizacin de los contenidos de los SSI.

ASPECTOS CRUCIALES QUE DEBEN CONSIDERARSE AL

DETERMINAR LA POLTICA DE SEGURIDAD.
DEFINICION DE REQUISITOS (2)
ANALISIS DE GESTION DE RIESGOS.
Mtodo que se adopta para evaluar los riesgos sobre los activos de los SI,
con el fin de gestionar su seguridad a un nivel coherente y aceptable,
definiendo adems los riesgos mximos asumibles.
ASPECTOS LEGALES.
Las implicaciones que la legislacin Nacional y de la Unin Europea tienen
sobre la proteccin de los SI y la adaptacin de la empresa a las mismas.
FIABILIDAD Y DISPONIBILIDAD DE LOS SISTEMAS.
Contempla las especificaciones pertinentes a los aspectos del
funcionamiento de los SI, incluyendo la gestin a nivel de servicio en los
Planes de Contingencia y Plan de Emergencia y Recuperacin en caso de
Desastre.

ASPECTOS CRUCIALES QUE DEBEN CONSIDERARSE AL

DETERMINAR LA POLTICA DE SEGURIDAD.
DEFINICION DE REQUISITOS (3)
AUDITORIA Y MONITORIZACION.
Realizacin de auditoras informticas bien por el Departamento interno o
por colaboraciones externas, para aconsejar y comprobar el cumplimiento
de la Poltica de Seguridad y la adhesin a estndares y procedimientos.
En la fase de elaboracin del Plan de SSI, se debera elaborar unos
DIAGNOSTICOS DE SEGURIDAD como punto de partida para su desarrollo.
Seguimiento de los incidentes que se produzcan para realizar el anlisis de
tendencias, un mejor control, una formacin adecuada, adems de
posibilitar la asignacin de los medios de seguridad de una forma eficiente.
PLAN DE FORMACION.
Inclusin en el Plan de Formacin de la empresa en materia de SSI.
Realizar programas de concienciacin y sensibilizacin a los usuarios y
personal que trabaje con los SI.

ASPECTOS QUE NOS SIRVEN PARA DESARROLLAR,

IMPLEMENTAR Y MANTENER LA POLTICA DE SEGURIDAD.
DEFINICION DE REQUISITOS (4)
ESTANDARES Y PRODUCTOS CERTIFICADOS.
Cuando ello sea aplicable, se implantar la seguridad segn estndares y
con productos previamente certificados, de modo que se cumplan las
especificaciones para SSI ya existentes y nos garanticemos un
funcionamiento seguro.
PROCEDIMIENTOS.
Es necesario que la SSI sea una caracterstica principal de todos los
procedimientos de desarrollo, mantenimiento y control de cambios.
CLASIFICACION DE LA INFORMACION.
Especificacin del mtodo seguido para clasificar la informacin,
recursos y usuarios en niveles de seguridad segn su importancia para la
organizacin, considerando la manera de acceder, destruir y reproducir la
informacin segn su categora de seguridad en publico, privado y
confidencial.

POLITICA DE SEGURIDAD DE SISTEMAS DE INFORMACION

AMBITO DE APLICACION:
Afecta a todos los activos informticos de IBERIA, siendo de
obligado cumplimiento para todos los usuarios y
responsables de Grandes Sistemas Informticos,
Miniordenadores, Redes de Area Local y Ordenadores
Personales.
COMPETENCIAS:
Se establece la delimitacin de competencias entre las
Unidades de la empresa.

MANUAL BASICO DE SEGURIDAD DE SISTEMAS DE

INFORMACION
OBJETO:
El presente Manual de Normas y Procedimientos tiene la
finalidad de definir, especificar y elaborar los requisitos y
procedimientos de seguridad para la gestin de la
proteccin de los activos de la informacin de la empresa,
de una manera consistente y efectiva, dentro del marco de
la Seguridad de los Sistemas de Informacin y que son los
siguientes:
Garantizar:

CONFIDENCIALIDAD PRIVACIDAD
INTEGRIDAD DISPONIBILIDAD

Cumplir con la Legislacin y Reglamentaciones vigentes.

Proteger los activos informticos de IBERIA.

CONCEPTO SEGURIDAD
INCREMENTAR la confianza del usuario en los sistemas donde
residen sus datos.
GARANTIZAR la continuidad de los negocios y organizaciones.
ASEGURAR el control de los datos e informaciones.
CALIDAD en el servicio de los Sistemas de Informacin.

POLITICA DE SEGURIDAD SISTEMAS DE INFORMACION

MANUAL BASICO SEGURIDAD SISTEMAS DE INFORMACION
NORMAS Y PROCEDIMIENTOS PARA PROTECCION - METODOLOGIAS
Acceso a datos y recursos, auditoria informatica
Transmisin de datos y rea comunicaciones
Ordenadores personales y redes rea local
Documental
Seguridad fsica de los equipos informticos respaldo y custodia de la
informacin
Datos personales en marketing / mailing
Movimiento de la informacin
Prestacin de servicios informticos a otras empresas
Control calidad de las aplicaciones en materia de seguridad
PLAN DE CONTINGENCIA
PLAN DE EMERGENCIA Y RECUPERACION EN CASO DE DESASTRE
PLAN DE FORMACION

POLTICA DE SEGURIDAD:MANUAL BSICO DE SEGURIDAD

PROTECCIN DE ACCESOS A DATOS Y RECURSOS

PROTECCIN DE TRANSMISIN DE DATOS
PROTECCIN ACCESO MASIVO USUARIOS NO CONTROLADOS
PROTECCIN DE ORDENADORES PERSONALES Y REDES
PROTECCIN DOCUMENTAL
PLANES DE CONTINGENCIA
PLANES DE EMERGENCIA Y RECUPERACIN DE DESASTRE

NORMAS BASICAS DE AUTORIZACION PARA ACCESO A DATOS Y

RECURSOS
Definicin Propietario de los datos.
Poltica de Password.
Utilizacin de claves de acceso/password.
Autorizacin de acceso a datos y ficheros.
Normas para la tramitacin de autorizacin de accesos.
Normas para la transmisin de los ficheros entre Hosts y
Ordenadores Personales.
Control interno por parte de las aplicaciones.

ACCESO A LOS FICHEROS

El Propietario de los Datos, responsable de la
aplicacin o programas, tiene la responsabilidad de
autorizar segn niveles y categoras de seguridad, el
acceso a los datos, programas, recursos y terminales,
de definir los usuarios que pueden disponer de los
mismos, de asignar el tipo de operacin que pueden
efectuar, de acceder a determinados dispositivos
exclusivamente, pedir una salida por impresora,
facilitar en pantalla una determinada informacin, de
poder transmitir ficheros entre grandes Sistemas,
Sistemas cliente/servidor y ordenadores personales.

ACCESO A LOS FICHEROS

El Responsable de Seguridad de la Direccin de
Sistemas, los Responsables de Seguridad
designados en otras Direcciones y los Encargados
de tratamiento por terceros, sern los encargados
de coordinar y controlar las medidas de seguridad
definidas para los ficheros, incluyendo mediante la
utilizacin de las herramientas necesarias, la
administracin en la asignacin a los usuarios y
ficheros en los niveles y categoras de seguridad
requeridas por el Propietario de los datos para su
aplicacin en cuanto al acceso y tratamiento de los
datos se refiere. Art. 11 RD 994/1999.

IDENTIFICACION Y AUTENTICACION
La Direccin de Sistemas, establecer un
mecanismo que permita la identificacin de
forma inequvoca y personalizada de todo aquel
usuario que intente acceder al sistema de
informacin y la verificacin de que est
autorizado. Art. 11 RD 994/99.
Se limitar la posibilidad de intentar
reiteradamente el acceso no autorizado al
sistema de informacin.
Arts. 18.2; RD 994/99.

IDENTIFICACION Y AUTENTICACION
Verificacin de contraseas de acceso a los sistemas.
Restriccin de accesos a recursos y usuarios.
Proteccin de ficheros y recursos manejados por los
programas, ficheros, terminales y equipos perifricos.
Monitorizacin del uso de todos los recursos y
usuarios definidos.
Aviso y control de violaciones de seguridad y
preparacin de informes. Registros LOG. Auditoras.

IDENTIFICACION Y AUTENTICACION
LA POLTICA ESTABLECIDA es:
Longitud de 6 caracteres que debe contener:
o
Mnimo 2 caracteres alfabticos y 1 numrico
o
Mximo 3 caracteres consecutivos repetidos
No permitir una password igual que el identificativo.
Histrico de las 6 password que se han cambiado ltimamente.
Caducidad de la password cada 2 meses, si no se cambia, queda anulada.
Posibilidad de 5 errores en la introduccin de la password, al 6 el usuario
quedar desactivado.
Notificar al usuario el cambio de password 10 das antes de su caducidad
Cambiar la password al primer login, conforme las reglas de nomenclatura
Diccionario con palabras no validas como password

CONTROL DE ACCESO.
Poltica de seguridad de accesos a recursos
Administracin de Seguridad.
Responsabilidad del Propietario de los datos.
Definicin de perfiles y grupos.
Definicin de acceso a recursos,
Organizacin en la forma de comunicacin.
Los usuarios solo tendrn acceso a los datos y
recursos que se les autorice. Art. 12 RD 994/99

MEDIDAS DE SEGURIDAD NIVEL ALTO

Registro de Accesos, Art. 24 RD 994/99:
De cada acceso se guardarn, como mnimo la identificacin del
usuario, la fecha y hora en que se realiz, el fichero accedido, el
tipo de acceso y si ha sido autorizado o denegado.
En caso de que el acceso haya sido autorizado, guardar la
informacin que permita identificar el registro accedido.
Los mecanismos que permiten el registro de lo datos
detallados, estarn bajo el control del Responsable de Seguridad.
En ningn caso se permitir la desactivacin de los mismos.
Periodo mnimo de conservacin. 2 aos.
El Responsable de Seguridad se encargar de revisar
peridicamente la informacin de control registrada y elaborar
un informe de revisiones realizadas y problemas detectados al
menos 1 vez al mes.

PROTECCION TRANSMISION DE DATOS Y AREA DE

COMUNICACIONES
Medidas bsicas de proteccin. (Equipos fsicos, Controladores,
Softw de la red, Ficheros).
Transmisin de Datos. (Criptografa, Accesos por dial-up,PKI,
Firma Digital, Certificados, etc).
Red Internet. Conexin terminales autorizados, Transacciones SET
SSL y Verisign.
Proteccin por medio de Cortafuegos, Routers, Balanceadores de
carga.
Servidor de Red Internet corporativo, Proteccin contenido WEBs.
Requisitos a exigir al proveedor de servicios Internet.

PROTECCION EN ORDENADORES PERSONALES Y REDES DE

AREA LOCAL

Seguridad fsica y de accesos contra terceros.

Seguridad fsica de Servidores, Hub/Routers y lneas de
comunicacin.
Productos software autorizados.
Productos software de proteccin antivirus.
Control de accesos al edificio donde estn situados los
ordenadores y custodia de soportes magnticos.

PROTECCION DOCUMENTAL
Adoptar las medidas necesarias para la proteccin de la
informacin que est contenida en documentos, microfilm o
listados que son el resultado de los procesos informticos, as
como los datos de entrada en los mismos soportes.
De la documentacin relacionada con los procesos definidos
como Aplicaciones Crticas, Manuales y Procedimientos de
emergencia.
De los Procedimientos de actuacin y el Manual de Operacin.
Ubicacin de los dispositivos de salida, impresoras.

RESPALDO Y CUSTODIA DE LA INFORMACION

Cumplimiento de los compromisos contraidos con otras Empresas.
Exigencia de cumplimentacin de la legislacin vigente en materia
de niveles de seguridad para otras empresas que realicen servicios
para la empresa.
Adecuar las medidas necesarias en materia de proteccin y
seguridad en los lugares donde deban ser custodiados los
documentos o medios materiales a proteger.
Disponer de los procedimientos para el salvado peridico y de
seguridad de la informacin, Arts. 14 y 25 RD 994/99.
Disponer de los procedimientos de recuperacin de la informacin.
Normativa para el traslado a lugares de seguridad para su custodia.
Calidad en el respaldo de la informacin.

RESPALDO Y CUSTODIA DE LA INFORMACION

Calidad en el respaldo de la informacin.
Respaldo de la Informacin en Sistemas Centrales y
Miniordenadores.
Respaldo de la informacin en Redes de Area Local.
Respaldo de la informacin en Ordenadores Personales en una
Red de Area Local.
Respaldo de la Informacin en Ordenadores Personales.
Respaldo de la informacin en Aplicaciones y Bases de Datos.
Centro Off-site.

GESTION DE SOPORTES

Inclusin de Normas y Procedimientos en la Poltica de

seguridad concerniente a la obtencin de copias de respaldo y
recuperacin de los datos Art. 23 RD 994/99.
Control del acceso a los edificios. Art. 19 RD 994/99.
Control de la entrada/salida de los soportes. Arts. 13 y 20 RD
994/99.
Listados con informacin clara para poder localizar los
soportes correspondientes.
Contratacin a terceros.
Centro Off-Site de almacenamiento.
Persona que autorice la salida de los soportes.

COPIAS DE RESPALDO Y RECUPERACION

Procedimientos de obtencin de copias.
Plan de Contingencias y Recuperacin.
Almacenamiento en Centro off-site.
Autorizacin de acceso al local de custodia.
Proteccin Documental.
Centro Backup o de respaldo.

PROTECCION DATOS PERSONALES EN MARKETING / MAILING.

Obtencin de Datos. (LOPD art. 4 al 7 y R. Decreto 1332)
Datos para publicidad o encuestas. (LOPD arts. 28, 29 y 30)
Uso de los datos. (Cdigo Regulador del Servicio Listas Robinson)
Derecho de las personas. (R. Decreto 1332)
Procedimientos de seguridad.(LOPD art. 9)
Transferencia de ficheros. (Inst. 1/2000, Mov. Internacionales datos)
Clusula de seguridad en contratos.

PROTECCION EN EL MOVIMIENTO DE LA INFORMACION

Transferencia de Datos. (Arts. 23 y 26, RD 994/99. CIFRADO
Transferencia Internacional de Datos. (1/2000). CIFRADO.
Cesin de Datos. (R. Decreto 1332, art. 1.2, LOPD arts. 11 y 27)
Obligaciones a tener en cuenta por los usuarios.
Movimiento de la Informacin mediante soportes fsicos. CIFRADO.
Utilizando cualquier otro mecanismo que garantice que la
informacin no sea inteligible ni manipulada por terceros. Art. 26
RD 994/99.
Acceso a datos a travs de redes de comunicaciones.. Nivel de
seguridad equivalente a los accesos en modo local. Art.5 RD 994/99

PRESTACION DE SERVICIOS INFORMATICOS A OTRAS

EMPRESAS-OUTSOURCING.
Seguridad de la Informacin. Obligacin por parte de la empresa.
(LOPD art. 27, Comunicacin de la cesin de datos).
Oferta de servicios de Seguridad de los Sistemas de Informacin al
Cliente.
Consideraciones a tener en cuenta.
Mismo nivel de seguridad que el que tiene la empresa contratante.
Cumplir con la legislacin vigente.
Clusulas contractuales de no divulgacin y compromiso de que al
terminar la prestacin del servicio se destruyan todos los datos.

CONTROL DE CALIDAD EN LA SEGURIDAD DE LOS SISTEMAS DE

INFORMACION
El grupo de Seguridad Informtica, deber coordinar y participar en
el Control de Calidad de las Aplicaciones y Procedimientos en
materia de la SSI, para comprobar y/o proponer en su caso su
adecuacin a la legislacin vigente y a la Poltica de Seguridad de
la empresa.
INFRACCIONES Y SANCIONES.
LOPD. Titulo VII. Infracciones y sanciones. Artculos 42, 43 y 44.
CODIGO PENAL. Titulo X. Delitos contra la intimidad, el derecho a
la propia imagen y la inviolabilidad del domicilio. Arts. 197, 199, 200
y 264, 270, 278, 279 y 280.

POLTICA DE SEGURIDAD - ORGANIZACIN

PLAN DE CONTINGENCIA
Seguridad fsica de los equipos.
Respaldo de la informacin.
Manual de Operacin.
PLAN DE EMERGENCIA Y RECUPERACIN DEL DESASTRE
Objetivos.
Formacin del personal.
Fases del Plan:
Prevencin. Plan de Contingencia.
Actuacin. Plan de Emergencia. C.Backup.
Recuperacin: Vuelta a la normalidad.
PROTECCIN DOCUMENTAL
Documentacin del Plan de Emergencia y
Recuperacin.

PLAN EMERGENCIA Y RECUPERACION CASO DE DESASTRE

Prevencin de acontecimientos que provoquen la inactividad

temporal de los Centros de Proceso de Datos, del entorno
informtico y de las Aplicaciones, asegurando en todo momento
su funcionamiento.
La existencia de Normas y Procedimientos sirven para minimizar
el tiempo requerido para la recuperacin de los Centros de
Proceso de Datos y de Comunicaciones, asegurando la
continuidad de las actividades informticas y comerciales de la
Compaa.

MANUAL DE OPERACION.
Conjunto de medios, normas y procedimientos necesarios
para prevenir y solucionar las incidencias que se presenten en
equipos, software y aplicaciones, bien de forma accidental o
deliberada, para su recuperacin y puesta en marcha de nuevo,
con el menor impacto posible, tanto para la empresa como para
los usuarios, garantizando el correcto funcionamiento de los
Sistemas Informticos.
Abarca todo el mbito de los dispositivos fsicos que
contienen la informacin y los programas de las Aplicaciones,
Sistemas Operativos y todo el software necesario para su
funcionamiento, as como los Sistemas Centrales y
Comunicaciones.
Procedimientos de respaldo de la informacin y
normativas para el traslado y custodia en un Centro Off-site.
Procedimientos de recuperacin de la informacin.

PLAN EMERGENCIA Y RECUPERACION CASO DE DESASTRE

Este Plan debe contemplar los aspectos de seguridad fsica,
lgica, comunicaciones, documental y los aspectos legales,
adems de las acciones de recuperacin para volver a la situacin
previa al incidente.
La recuperacin de los grandes ordenadores es una parte ms de
la solucin. Ordenadores personales, Redes de Area Local,
comunicaciones de voz y datos, bases distribuidas y operaciones
en centros remotos conforman la informtica distribuida de una
empresa, por lo tanto debern ser tenidos en cuenta.

DELIMITACION DE COMPETENCIAS
El Responsable del Fichero elaborar e
implantar la normativa de seguridad mediante
un documento de obligado cumplimiento para el
personal con acceso a los datos automatizados
de carcter personal y a los sistemas de
informacin. Art. 8.1 RD 994/99.
NORMA DE PROTECCION DE DATOS Y
EQUIPOS INFORMATICOS.
Ambito de aplicacin en todas las Unidades
pertenecientes al Grupo IBERIA.

DELIMITACION DE COMPETENCIAS
IBERIA Lneas Areas de Espaa S.A., como
persona jurdica de naturaleza privada y rgano
administrativo que decide sobre la finalidad,
contenido y uso del tratamiento, es la
Responsable del Fichero o Tratamiento, tiene la
responsabilidad jurdica de la proteccin de
datos sensibles en los ficheros de los grandes
Ordenadores centrales, en los Sistemas
cliente/servidor,
redes
de
rea
local,
ordenadores personales y comunicaciones, y
deber adoptar las medidas de ndole
organizativas necesarias. Art. 3.d), LOPD.

DELIMITACION DE COMPETENCIAS
La Direccin de Sistemas proporciona a todo el Grupo
Iberia los Sistemas de informacin y el soporte
tecnolgico necesario para el desempeo de cualquier
operacin informtica. Art. 3.g), LOPD.
Por lo tanto, la Direccin de Sistemas como Encargado
del Tratamiento de datos, deber adoptar las medidas de
ndole tcnicas necesarias que garanticen la seguridad de
los datos sensibles y eviten su alteracin, prdida de
tratamiento o acceso no autorizado, habida cuenta del
estado de la tecnologa, la naturaleza de los datos
almacenados y los riesgos a que estn expuestos, ya
provengan de accin humana o del medio fsico o natural.

DELIMITACIN DE COMPETENCIAS
La realizacin de tratamientos por cuenta de
terceros deber estar regulada en un contrato que
deber constar por escrito o en alguna otra forma
que permita acreditar la celebracin y contenido,
establecindose expresamente que el Encargado del
Tratamiento nicamente tratar los datos conforme
las instrucciones del Responsable del Tratamiento,
que no los aplicar o utilizar con fin distinto al que
figure en dicho contrato, ni los comunicar, ni
siquiera para su conservacin, a otras personas.
Art. 6 RD 994/99.

DELIMITACION DE COMPETENCIAS

IBERIA Lneas Areas de Espaa, como

Responsable del Fichero designar en cada
Direccin uno o varios Responsables de
Seguridad, encargados de coordinar y
controlar las medidas definidas en el
documento de seguridad. En ningn caso
esta asignacin supone una delegacin de la
responsabilidad
que
corresponde
al
Responsable del Fichero. Art. 16 RD 994/99.

DELIMITACION DE COMPETENCIAS
En los ordenadores personales la proteccin de los
ficheros que contengan datos sensibles, ser
responsabilidad de la persona o personas que
tengan asignado el equipo, o en su caso del Jefe de
Unidad correspondiente, siendo controladas las
medidas de seguridad por el Responsable de
Seguridad designado en cada Direccin de IBERIA,
el cual notificar al Responsable de Seguridad de la
Direccin de Sistemas las altas, bajas y
modificaciones de los ficheros.

DELIMITACION DE COMPETENCIAS

Asesora Jurdica prestar el asesoramiento

jurdico en materia de la legislacin vigente
sobre la proteccin de datos.
As mismo tendr la representacin ante los
organismos jurisdiccionales.

DERECHOS DE LAS PERSONAS

Se asignar y publicar el nombre de las oficinas de
Atencin al Cliente que correspondan a cada fichero, ante la
cual el afectado podr ejercer los derechos de acceso a la
informacin, solicitar y obtener la informacin de sus datos
de carcter personal, de la rectificacin, y cancelacin de
los mismos.
Para ello, a los interesados que se les soliciten datos
personales debern ser previamente informados de modo
expreso, preciso e inequvoco, entre otros datos, el de la
identidad y direccin de la oficina de Atencin al Cliente que
corresponda al fichero, o en su caso, de su Representante.

REGISTRO DE FICHEROS
El Responsable de Seguridad de la Direccin de
Sistemas, ser el encargado de gestionar
la
inscripcin de los ficheros automatizados con datos
de carcter personal en el Registro General de la
Agencia de Proteccin de Datos, Registro de la
Propiedad Intelectual y Registro de Marcas.

MEDIDAS DE SEGURIDAD OBLIGATORIAS

MEDIDAS

BASICO

MEDIO ALTO

Documento de seguridad

++

Func. y obligacin personal

Registro de incidencias

++

Identificacin y autenticac.

++

Control de acceso

Gestin de soportes

++

Copias respaldo y recuperac.

++

MEDIDAS DE SEGURIDAD OBLIGATORIAS

MEDIDAS

BASICO

MEDIO ALTO

Responsables de seguridad

Auditora

Control de acceso fsico

Pruebas con datos reales

Distribucin de soportes. Cifrado

Telecomunicaciones. Cifrado

Registro de accesos

REGISTRO DE INCIDENCIAS
Debe de contener un registro, con el contenido:
Tipo de Incidencia. Arts, 10, 21 RD 994/99.
Momento en que se ha producido.
Persona que realiza la notificacin.
A quin se le comunica.
Efectos que se hubieran derivado.
Procedimientos para recuperar los datos.
Persona que ejecut el proceso.
Datos restaurados.
Datos recuperados manualmente.
Autorizacin por escrito del R.F.para la ejecucin.

CONTROL DE ACCESO FISICO

Exclusivamente el personal autorizado en el

documento de seguridad podr tener acceso a
los locales donde se encuentren ubicados los
Sistemas de informacin con datos de carcter
personal. Art. 19 RD 994/99.

AUDITORA.

Los sistemas de informacin e instalaciones de

tratamiento de datos se sometern a una
auditora interna o externa, que verifique el
cumplimiento del Reglamento, de los
procedimientos e instrucciones vigentes en
materia de seguridad de datos, al menos cada
dos aos. Art. 17 RD 994/99.

AUDITORIA

El informe de auditora deber dictaminar sobre

la adecuacin de las medidas y controles al
Reglamento, identificar sus deficiencias y
proponer las medidas correctoras o
complementarias necesarias. Deber igualmente,
incluir los datos, hechos y observaciones en que
se basen los dictmenes alcanzados y las
recomendaciones propuestas.

GRACIAS POR VUESTRA ATENCION