1 / 42

IX Reunión SEDIGLAC Marbella, 16, 17 y 18 de febrero de 2005

IX Reunión SEDIGLAC Marbella, 16, 17 y 18 de febrero de 2005. Gestión de Sistemas de Información. Seguridad y Confidencialidad . Aspectos Técnicos. J. Díaz García, Jefe de Servicio de Informática, Hospital Universitario Virgen de las Nieves, Granada.

toyah
Download Presentation

IX Reunión SEDIGLAC Marbella, 16, 17 y 18 de febrero de 2005

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IX Reunión SEDIGLAC Marbella, 16, 17 y 18 de febrero de 2005 Gestión de Sistemas de Información. Seguridad y Confidencialidad. Aspectos Técnicos J. Díaz García, Jefe de Servicio de Informática, Hospital Universitario Virgen de las Nieves, Granada. Sociedad Española de Dirección y Gestión de Laboratorios Clínicos

  2. INTRODUCCIÓN A LA SEGURIDAD DIGITAL SEGURIDAD RIESGO PROBABILIDAD DEL DAÑO O PERJUICIO ESTADO EMOCIONAL DE CONFIANZA UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  3. INTRODUCCIÓN A LA SEGURIDAD DIGITAL LA IMPORTANCIA DE LA INFORMACIÓN (ALMACENARSE, TRANSMITIRSE, REGISTRARSE) LA ERA DIGITAL LOS USUARIOS DE LA INFORMACIÓN LA INFORMACIÓN COMPARTIDA - DISTRIBUIDA PRINCIPIO DE LA CADENA (EL ESLABON MÁS DEBIL) ..... UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  4. INTRODUCCIÓN A LA SEGURIDAD DIGITAL 137,529 82,094 Incidentes informados al CERT/CC 52,658 2001 2002 2003 UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  5. Complegidad de ataque vs. Conocimientos técnicos de intruso Intruder Tools “stealth” / advanced scanning techniques High packet spoofing denial of service DDOS attacks sniffers Intruder Knowledge www attacks sweepers automated probes/scans GUI back doors network mgmt. diagnostics disabling audits hijacking sessions Attack Sophistication burglaries exploiting known vulnerabilities password cracking self-replicating code Attackers password guessing Low 1980 1985 1990 1995 2000 INTRODUCCIÓN A LA SEGURIDAD DIGITAL UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  6. Ciclo de explotación de la vulnerabilidad Novice IntrudersUse CrudeExploit Tools AutomatedScanning/ExploitTools Developed Crude ExploitTools Distributed Widespread Use of Automated Scanning/Exploit Tools Intruders Begin Using New Types of Exploits AdvancedIntruders DiscoverVulnerability INTRODUCCIÓN A LA SEGURIDAD DIGITAL UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  7. INTRODUCCIÓN A LA SEGURIDAD DIGITAL CLAVES DE LA INFORMACIÓN • CONFIDENCIALIDAD • INTEGRIDAD • DISPONIBILIDAD • IDENTIFICACIÓN Y AUTENTIFICACIÓN • CONTROL DE ACCESO • AUDITABILIDAD UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  8. INTRODUCCIÓN A LA SEGURIDAD DIGITAL La seguridad en la Organización UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  9. INTRODUCCIÓN A LA SEGURIDAD DIGITAL • Se establece una Estratégia de Seguridad, con una visión de Gestión Global de la Seguridad. • Los principios en los que se basa la son: • Asegurar la confidencialidad y privacidad de la información. • Prevenir la pérdida o manipulación indebida de datos esenciales. • Garantizar la integridad de datos, aplicaciones y equipos frente a posibles amenazas. • Garantizar el cumplimiento de la normativa legal vigente. • Reducir el impacto de los daños físicos que pudiera sufrir el entorno tecnológico o alguno de sus componentes. • Garantizar la calidad del servicio prestado, contribuyendo a la disponibilidad de los sistemas. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  10. INTRODUCCIÓN A LA SEGURIDAD DIGITAL Políticas de la Organización • El alcance de la Política de Seguridad cubre todos los Sistemas de Información, incluyendo equipos físicos y lógicos, redes de comunicaciones y aplicaciones. • Para ello define: • Los objetivos y principios de seguridad de la información. • El tratamiento de los recursos, es decir, el conjunto de políticas, normas y requisitos de obligado cumplimiento, incluyendo: • Normativa legal aplicable. • Clasificación de los recursos según su criticidad. • Medidas de protección de los recursos: para evitar el acceso no autorizado. • Normas de utilización de los recursos informáticos: para evitar incidentes causados por los usuarios legítimos. • Los responsables en materia de seguridad, en particular: • La revisión y aprobación de políticas y procedimientos de seguridad. • El seguimiento, auditoría y control de las medidas de seguridad. • El análisis y gestión de riesgos. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  11. NORMALIZACIÓN NORMALIZACIÓN AENOR / CTN 139 / SC III CEN / TC 251 / WG III ISO / TC 215 / WG IV UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  12. NORMALIZACIÓN AENOR / CTN 139 / SC III Asociación Española de Normalización y Certificación TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES EN SALUD SEGURIDAD, PRIVACIDAD Y CALIDAD ENV 12251 Informática Sanitaria - Identificación segura de usuarios para sanidad - Gestión y seguridad de la autentificación con claves (passwords). ENV 12388 Informática Sanitaria - Algoritmo para los servicios de firma electrónica en Sanidad. ENV 12924 Informática Sanitaria - Categorización de la seguridad y protección de los Sistemas de Información Sanitaria. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  13. NORMALIZACIÓN AENOR / CTN 139 / SC III SEGURIDAD, PRIVACIDAD Y CALIDAD ENV 13729 Informática Sanitaria - Identificación segura de Usuarios - Autentificación avanzada (fuerte) usando tarjetas chips (con microprocesador). ENV 13608-1 Informática Sanitaria - Seguridad para la comunicaciones Sanitarias - Conceptos y Terminología. ENV 13608-2 Informática Sanitaria - Seguridad para la comunicaciones Sanitarias - Objetos de datos seguros. ENV 13608-3 Informática Sanitaria - Seguridad para la comunicaciones Sanitarias - Enlaces de datos seguros. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  14. NORMALIZACIÓN CEN / TC 251 / WG III European Commitee for Standardization European Standardization of Health Informatics Working Group III Security, safety and quality UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  15. NORMALIZACIÓN ISO / TC 215 / WG IV Health Informatics/Security Information Security Standards Framework and criteria standards Digital signature and encryption Key certification and authentication Firewall and system security Application-level security Transport-layer security Sector-specific security. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  16. NORMALIZACIÓN ASTM Committee E31 on Healthcare Informatics Technical Committees / Committee E31 / Committee E31.20 on Security and Privacy E1714-00 Standard Guide for Properties of a Universal Healthcare Identifier (UHID) E1762-95(2003) Standard Guide for Electronic Authentication of Health Care Information E1869-04 Standard Guide for Confidentiality, Privacy, Access, and Data Security Principles for Health Information Including Electronic Health Records E1985-98 Standard Guide for User Authentication and Authorization E1986-98 Standard Guide for Information Access Privileges to Health Information E1987-98 Standard Guide for Individual Rights Regarding Health Information E1988-98 Standard Guide for Training of Persons who have Access to Health Information E2017-99 Standard Guide for Amendments to Health Information E2084-00 Standard Specification for Authentication of Healthcare Information Using Digital Signatures E2085-00a Standard Guide on Security Framework for Healthcare Information E2086-00 Standard Guide for Internet and Intranet Healthcare Security E2147-01 Standard Specification for Audit and Disclosure Logs for Use in Health Information Systems UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  17. NORMALIZACIÓN ISO 17799 Un sistema de gestión ISO 17799 propicia las bases para protección de la información integrando relación de personal, procesos y seguridad de sistemas. ISO 17799 se define como "un completo conjunto de controles que incluye las prácticas exitosas de seguridad de la información". • Política de seguridad. • Organización de la seguridad. • Control y clasificación de los recursos de información. • Seguridad del personal. • Seguridad física y ambiental. • Manejo de las comunicaciones y las operaciones. • Control de acceso. • Desarrollo y mantenimiento de los sistemas. • Manejo de la continuidad de la organización. • Cumplimiento legislación. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  18. MARCO LEGAL MARCO LEGAL • La Ley Orgánica 15/1999 de Protección de Datos • de Carácter Personal (LOPD). • Real Decreto 994/1999, Reglamento de • Medidas de Seguridad. • Ley 41/02 Autonomía del Paciente. • La Agencia de Protección de Datos. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  19. MARCO LEGAL Organización de la Seguridad: RESPONSABLE DEL FICHERO USUARIO RESPONSABLE APLICACIÓN RESPONSABLE SISTEMAS Y TECNOLOGÍAS RESPONSABLE DE SEGURIDAD USUARIOS SISTEMA INFORMACIÓN ADMINISTRADOR SISTEMAS/RED/BD ENCARGADO DE TRATAMIENTO UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  20. MARCO LEGAL Adecuación al Documento de Seguridad: RD 994/99 Art 9.2. El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  21. MARCO LEGAL El Documento de Seguridad El documento deberá contener, como mínimo, los siguientes aspectos: a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. c) Funciones y obligaciones del personal. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  22. MARCO LEGAL Indice: 1. Política de Seguridad. 2. Objeto del documento. 3. Ámbito de aplicación. 4. Definiciones. 5. Recursos protegidos. 6. Funciones y obligaciones del personal. 6.3 Todo el Personal. 6.4 Responsable del Fichero. 6.5 Responsable de Seguridad. 6.6 Responsable Sistemas y Tecnologías de la Información. 6.7 Usuario Responsable de la Aplicación / Fichero. 6.8 Encargado del Tratamiento. 6.9 Administradores de Bases de Datos / Sistemas / Red. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  23. MARCO LEGAL Indice: • Anexo A. Normas y Procedimientos de Seguridad. • 1. Seguridad de la Sala de Servidores • 2. Procedimiento de Declaración de Ficheros de Carácter Personal. • 3. Procedimiento para el Ejercicio de los Derechos de Oposición, Acceso, Rectificación o Cancelación de Datos de Carácter Personal. • 4. Procedimiento de Relaciones Contractuales con Empresas Externas con Acceso a Información Corporativa. • 5. Registro de Incidencias de Seguridad de la Información Corporativa • 6. Procedimiento de Gestión de Soportes • 7. Procedimientos de Respaldo y Recuperación. • 8. Descripción del Sistema de Acceso a la Información Corporativa • 9. Procedimiento de Acceso al Sistema de Información • 10. Registro de Accesos • 11. Controles periódicos de verificación del cumplimiento • Anexo B. Documentos de Notificación y Disposiciones de Carácter General. • Anexo C. Seguridad de locales y equipamiento. • Anexo D. Referencias Legales • Anexo E Consejos para la Protección de nuestros Sistemas Contra Virus UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  24. Elementos Org Procesos Tecnología Estrategia Personas Infraestructura, ... Software Base Confidencialidad Aplicaciones Arquitectura Datos Requerimentos Negocio Integridad Entorno Disponibilidad Elementos de la Arquitectura Autenticidad Elementos de Seguridad GESTIÓN DE RIESGOS DIGITALES Modelo de Seguridad - Visión Tridimensional UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  25. GESTIÓN DE RIESGOS DIGITALES CIRCULO DE SEGURIDAD PROTECCIÓN RESPUESTA DETECCIÓN UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  26. GESTIÓN DE RIESGOS DIGITALES FASE DE PROTECCIÓN • POLITICAS DE SEGURIDAD • PROGRAMAS DE GESTIÓN DE RIESGOS • AUTENTIFICACIÓN • CONTROL DE ACCESOS • CONTROL DE CONTENIDOS • ENCRIPTACIÓN • FORMACIÓN EN SEGURIDAD UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  27. GESTIÓN DE RIESGOS DIGITALES FASE DE DETECCIÓN • DETECCIÓN DE INTRUSOS EN REDES • DETECCIÓN DE INTRUSOS EN EQUIPOS • MONITORIZACIÓN DE REDES • MONITORIZACIÓN DE EQUIPOS • AUDITORIA UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  28. GESTIÓN DE RIESGOS DIGITALES FASE DE RESPUESTA • RESPUESTA AL INCIDENTE • DOCUMENTACIÓN Y REGISTRO • PLANES DE RECUPERACIÓN • EVALUACIÓN DE SEGURIDAD UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  29. GESTIÓN DE RIESGOS DIGITALES PILARES FUNDAMENTALES Conocimiento Institutional Practicas de Seguridad Organización Funciones de Cooperación y Coordinación Gestión de la Seguridad Politicas y Normas de Seguridad Estrategias en Seguridad UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  30. GESTIÓN DE RIESGOS DIGITALES PRACTICAS DE SEGURIDAD UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  31. GESTIÓN DE RIESGOS DIGITALES MITOS MYTH: Our firewall product protects us from the Internet MYTH: We haven’t been broken into so far, so we must be doing a good job of security MYTH: Our Information Technology products provide for good security MYTH: The Information Technology organization can manage the security issues MYTH: Technology products solve the security problem MYTH: Our anti-virus scanner protects our computers MYTH: Our Network Intrusion Detection Systems server will detect intrusions MYTH: We don’t do anything that makes us a target for attack "Security is not a product, it is a process." Schneier, Bruce. "Security is not a product, it is a process". Crypto-Gram. 15 Dec 1999. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  32. GESTIÓN DE RIESGOS DIGITALES UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  33. GESTIÓN DE RIESGOS DIGITALES • 10 Mejores recomendaciones en practicas de la seguridad de la información. Internet Security Alliance. • Gestión Integrada • Políticas • Gestión del Riesgo • Diseño y arquitectura de Seguridad • Gestión de Usuarios • Sistemas proceso y gestión de redes • Autentificación y control de accesos a la información • Monitorización y Auditoria • Seguridad Física • Planes de Contingencia y Continuidad UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  34. REALIDAD CONCLUSIONES Y RECOMENDACIONES A.P.D. • Documento de seguridad • Funciones y obligaciones del personal. • Registro de incidencias. • Control de acceso. Identificación y autenticación. • Gestión de soportes • Copias de respaldo y recuperación UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  35. REALIDAD CONCLUSIONES Y RECOMENDACIONES A.P.D. • Responsable de seguridad • Auditoría • Control de acceso físico • Pruebas con datos reales • Distribución de soportes • Registro de accesos • Telecomunicaciones UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  36. REALIDAD CONCLUSIONES Y RECOMENDACIONES A.P.D. • Deber de Secreto (artículo 10 de la LOPD) • Acceso a los datos por cuenta de terceros (Artículo 12 de la LOPD) • Derechos de las personas: acceso, rectificación, cancelación y oposición (Artículos 15 y 16 de la LOPD). • Creación, modificación o supresión de ficheros. Notificación e inscripción registral. • (Artículos 20, 25 y 26 de la LOPD) UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  37. REALIDAD CONTRATOS Y SUBCONTRATOS 1. Que los servicios a subcontratar se hayan previsto expresamente en el contrato originario celebrado entre el hospital y el adjudicatario del servicio. 2. Que el contenido preciso del servicio subcontratado conste en el contrato originario. 3. Que el responsable del tratamiento establezca las instrucciones mediante las cuales el subcontratista tratará los datos, sin perjuicio de las instrucciones adicionales que pudieran establecerse por el adjudicatario del servicio. 4. Que en el contrato originario se establezcan las medidas de seguridad a adoptar por el subcontratista, sin perjuicio de las medidas adicionales que pudieran establecerse por el adjudicatario del servicio. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  38. REALIDAD ¿Que Tenemos? ¿Tenenemos Datos de Carácter Personal ? ¿Conocemos al Resposnsable del Fichero? ¿Conocemos al Resposnsable de Seguridad? ¿Se ha realizado una Auditorias en los dos últimos años? ¿Tenemos Procedimientos de Autentificación de Usuarios? ¿Tenemos Procedimientos de Control de Acceso a Datos? ¿Tenemos Procedimientos de Respaldo? ¿Tenemos Procedimientos de Entrada y Salida de Información ? ¿Tenemos Procedimientos de Auditoria? ¿Tenemos un Documento de Seguridad? UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  39. REALIDAD ¿Que Tenemos? ¿Tenenemos firmados Contratos con Terceros? ¿Tenemos Medidas especiales de control de acceso a Internet? ¿Tenemos una Sala de Servidores? ¿Tenemos al Personal Concienciado y Sensibilizado? ¿Tenemos accesos individualizados? ¿Tenemos notificados los ficheros? ¿Tenemos una Política de Seguridad? ¿Tenemos telecomunicaciones cifradas? ¿Tenemos un Plan de recuperación de Desastres? ¿Tenemos la Conciencia Tranquila? UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  40. REALIDAD FUTURO CERCANO • GESTIÓN DE RIESGOS. • NORMALIZACIÓN SEGURIDAD. • GARANTIZAR CUMPLIMIENTO LOPD Y REGLAMENTO. • APLICACIÓN FIRMA ELECTRÓNICA AVANZADA. • RESPONSABLES DE SEGURIDAD. • RECURSOS ESPECÍFICOS EN SEGURIDAD. • PLANES DE CONTINGENCIA Y CRISIS. • ASUMIR EN LA ORGANIZAZIÓN LA LÍNEA • ESTRATÉGICA DE SEGURIDAD / • GESTIÓN DEL RIESGO DIGITAL. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  41. REALIDAD Diez Mejores Practicas Iniciales Identifica tus riesgos. – Información Crítica. Implica a la Dirección – Cultura corporativa. Ten un Responsable – Coordinación. Desarrolla e Implanta unas Políticas de Seguridad. – Procedimientos. Educa y Conciencia a los Usuarios – Eslabón más importante. Realiza una Auditoria de Seguridad – Externa. Incorpora la Seguridad Física a los planes – Básica. Ten presente las Amenazas Internas – Actualizadas. Mantente actualizado – Proceso Continuo. Prepárate para lo Peor – Plan de respuesta ante incidentes. UNIDAD DE GESTIÓN DE RIESGOS DIGITALES

  42. ¿PREGUNTAS? JUAN DÍAZ GARCÍA juan.diaz.sspa@juntadeandalucia.es UNIDAD DE GESTIÓN DE RIESGOS DIGITALES SERVICIO ANDALUZ DE SALUD

More Related