1 / 61

LOPD SQL SERVER, EXCHANGE SERVER Y OFICCE

HOL-LPD02. LOPD SQL SERVER, EXCHANGE SERVER Y OFICCE. Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com. Agenda. Introducción. Medidas de seguridad según los niveles. Exchange 2010. SQL Server 2005. Office 2010. Introducción. ¿Qué es la LOPD?.

shayna
Download Presentation

LOPD SQL SERVER, EXCHANGE SERVER Y OFICCE

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. HOL-LPD02 LOPDSQL SERVER, EXCHANGE SERVER Y OFICCE Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com

  2. Agenda • Introducción. • Medidas de seguridad según los niveles. • Exchange 2010. • SQL Server 2005. • Office 2010

  3. Introducción

  4. ¿Qué es la LOPD? • Son una serie de obligaciones legales a personas físicas y jurídicas con ficheros de carácter personal. • Determina la obligatoriedad de las empresas a garantizar la protección de dichos datos. • Determina además las funcionalidades de control para el cumplimiento de la misma.

  5. LOPD • La LEY ORGÁNICA 15/1999, de Protección de Datos de Carácter Personal (LOPD) con fecha del 13 de Diciembre de 1999, marca la entrada en vigor de esta normativa. • REAL DECRETO 195/2000, 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, del 11 de junio de 1999.

  6. Reglamento de Seguridad • El reglamento establece una serie de mecanismos y procedimientos para la aplicación de la normativa con respecto a los datos de Carácter Personal. • Entre otras cuestiones recoge: • Derechos protegidos. • Ámbitos de aplicación. • Niveles de seguridad. • Medidas de seguridad aplicables a ficheros automatizados. • Medidas de seguridad aplicables a ficheros no automatizados. • Procedimiento AGPD

  7. El nuevo reglamento de seguridad • Hasta este año, el reglamento en vigor existente, databa de fecha 11 de Junio de 1999 y como Real Decreto 994/1999, establecía el desarrollo de las medidas de seguridad aplicables a la LORTAD. • El nuevo reglamento de Seguridad fue aprobado en congreso de Ministros el 21 de Diciembre de 2007, estableciendo la entrada en vigor 3 meses después de la publicación en el BOE. • Esta publicación se ha efectuado con fecha de 19 de Enero de 2008, en el BOE 17/2008, con lo que la entrada en vigor será efectiva el 19 de Abril.

  8. Plazos de entrada en vigor (I) • Los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del presente real decreto deberán tener implantadas, desde el momento de su creación, la totalidad de las medidas de seguridad reguladas en el mismo. • En el plazo de un año desde la entrada en vigor del presente real decreto deberán notificarse a la Agencia Española de Protección de Datos las modificaciones que resulten necesarias en los códigos tipo inscritos en el Registro General de Protección de Datos para adaptar su contenido a lo dispuesto en el título VII del mismo.

  9. Plazos de entrada en vigor (II) • En el plazo de un año desde su entrada en vigor, deberán implantarse las medidas de seguridad de nivel medio exigibles a los siguientes ficheros: • 1.º Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. • 2.º Aquéllos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. • 3.º Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artículo 4.4 del Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio.

  10. Plazos de entrada en vigor (III) • En el plazo de un año desde su entrada en vigor deberán implantarse las medidas de seguridad de nivel medio y en el de dieciocho meses desde aquella fecha, las de nivel alto exigibles a los siguientes ficheros: • 1.º Aquéllos que contengan datos derivados de actos de violencia de género. • 2.º Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

  11. Plazos de entrada en vigor (IV) • Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente real decreto: • a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor. • b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor. • c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor.

  12. La medidas de seguridad por niveles

  13. Niveles de seguridad • La LOPD contempla la aplicación de medidas en función del contenido de los ficheros. • La LOPD diferencia 3 niveles de seguridad: • Básico. • Medio. • Alto • Las diferentes medidas de seguridad vienen definidas por el tipo de datos en el fichero.

  14. Nivel Básico • Todos los ficheros o tratamientos automatizados de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

  15. Nivel Medio • Los relativos a la comisión de infracciones administrativas o penales. • Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. • Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias. • Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. • Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias en materia de recaudación. • Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

  16. Nivel Alto • Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. • Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. • Aquéllos que contengan datos derivados de actos de violencia de género. • Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

  17. Medidas de nivel básico • Régimen de funciones y obligaciones del personal. • Registro de incidencias. • Control de acceso. • Gestión de soportes. • Identificación y autentificación. • Copias de respaldo y recuperación .

  18. Medidas de nivel medio • Medidas de seguridad de nivel básico • Responsable de Seguridad • Auditoría • Gestión de soportes y documentos • Identificación y autenticación • Control de acceso físico • Registro de incidencias

  19. Medidas de nivel alto • Medidas de seguridad de nivel básico y medio • Gestión y distribución de soportes • Copias de respaldo y restauración • Registro de accesos • Telecomunicaciones

  20. Nivel básico

  21. Autentificación Exchange 2010 La figura del sistema de correo se encuentra integrada en Directorio Activo. Obtiene las ventajas de seguridad del Directorio Activo. El acceso de autentificación contiene las mismas garantías que el usuario del Dominio. Todo el proceso de autentificación sigue las reglas dictadas para el Dominio.

  22. Autentificación SQL Server 2005 • SQL Server 2005 presenta una serie de recursos y deberemos determinar que puede o no acceder. • Admite 2 tipos de autentificación • Mixta (compatibilidad). • Windows.

  23. Modelo de autorización de SQL Server 2005 • Vienen jerarquizadas mediante niveles. • Cada objeto tiene su SID asociado que dependerá del tipo de autentificación. • Tipos de autentificaciones: • Windows: el SID es el mismo que asignado al usuario del dominio. • Inicio de sesión SQL: Generado del hash SHA-1 de la clave pública. • SQL Server Heredado con contraseña: el servidor genera un hash.

  24. Entidades de seguridad SQL Server 2005 • A nivel de Windows. • Inicio de sesión en dominio. • Inicio de sesión local. • A nivel de SQL Server. • Inicio de sesión de SQL Server. • A nivel de base de datos. • Usuario de base de datos. • Función de base de datos. • Función de aplicación.

  25. Funcionalidad de la autentificación Cuentas de usuario windows y/o SQL Server Servidor Usuario de base de datos Base de datos

  26. Autentificación en Microsoft Office 2010 • Aunque la implementación sobre los documentos no conllevan de forma nativa la implementación de usuarios, podemos adoptar dos posibles funcionalidades: • Control de acceso mediante permisos de Windows. • Uso de la tecnología de IRM (InformationRight Management).

  27. IRM Es una extensión de RMS (Rights Management Services). Se basa en conexiones de confianza implementadas por certificados. Los certificados de cuenta de permisos, se encuentran asociados a cuentas de usuario y equipos específicos.

  28. Componentes RMS

  29. Mecanismos adicionales • Microsoft Authenticode para firmar digitalmente un archivo mediante el uso de certificados. • Ejecución de macros firmadas. • Firma de codigo. Garantizan la no manipulación de los datos pero no el cifrado de los mismos o el acceso

  30. Uso de contraseñas Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán en forma ininteligible. Los sistemas operativos cuentas con sus mecanismos de uso de contraseñas que condicionan al resto de elementos.

  31. Contraseñas en Exchange 2010 Viene determinada por el sistema empleado del dominio. Los buzones son accesibles por los usuarios del dominio por lo que se supeditan a las condiciones de estos. Las contraseñas se rigen por las directivas de seguridad.

  32. Contraseñas en SQL 2005 En modo Windows se utiliza la autentificación de Dominio y por defecto su sistema de contraseñas. En modo mixto y la autentificación de SQL Server se utilizan los mecanismos de directivas de contraseñas de Windows si está instalado sobre Windows 2003. La funcionalidad depende de la API NetValidatePasswordPolicy. La contraseña se guarda en formato hash mdiante mecanismos de seguridad de la clave maestra del servicio.

  33. Contraseña Office 2010 No presenta la funcionalidad de usuarios. Presenta la posibilidad de implementar una contraseña. pero como palabra de paso al contenido del documento. Esta contraseña no garantiza diferentes funcionalidades por usuario.

  34. Control de acceso Exchange 2010 Viene ofrecido por los permisos asignados en los objetos correspondientes. Como garantía de seguridad solamente los usuarios propietarios podrán acceder a su buzón. Existe la posibilidad de delegar funciones.

  35. Control de acceso SQL Server 2005 • Los asegurables se encuentran jerarquizados aunque se establece la posible anidación de elementos. • Los elementos asegurables son: • A nivel de servidor. • A nivel de base de datos. • A nivel de esquema.

  36. Asignación de permisos SQL Server 2005 Se realizan de forma granular. Los permisos pueden concederse, revocarse o denegarse. Se consideran acumulativos. Los permisos de denegar prevalecen sobre las concesiones.

  37. Control de permisos • Los permisos asignados se encuentran disponibles a través de estas vistas de catálogo: • Sys.database_permissions. • Sys.server_permissions.

  38. Asignación de derechos Office 2010 • Se permite la implementación de derechos para mediante IRM para: • Word 2010. • Excel 2010. • Powerpoint 2010. • Asignación de derechos adicionales a través de Outlook 2010 para el correo electrónico.

  39. Asignación de Derechos RMS

  40. Acciones de Autor • El autor tiene la posibilidad de realizar las siguientes operaciones sobre los documentos: • No restringir el acceso. • Restringir el acceso. • Permisos de lectura. • Permisos de cambio.

  41. Permisos adicionales • Se pueden asignar una serie de permisos adicionales: • Caducidad. • Impresión. • Copia de información. • Acceso mediante programación.

  42. Acceso a objeto con derechos

  43. Autentificación de usuarios • Se establece la necesidad de controlar el acceso de los usuarios. • Este control se realiza siempre mediante una cuenta de seguridad bien local o de dominio. • El control del acceso para los usuarios queda enmarcado dentro de las auditorías de seguridad.

  44. Copia de respaldo • Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. • Mediante las directivas de asignación de derechos de usuarios, podemos determinar quien podrá realizar copias de seguridad y restaurarlas. • Podremos establecer el mantenimiento de un plan automatizado para las copias de seguridad.

  45. Nivel Medio

  46. Responsable de seguridad • Aparece para ficheros de nivel medio y alto. • Tiene como tareas controlar y coordinar los mecanismos y medidas indicadas en el documento de seguridad. • Será el encargado de analizar los informes de auditoría. • Controlará los registros obtenidos de los diferentes controles. • Establecerá los mecanismos y controles de acceso sobre los ficheros.

  47. Medidas adicionales de identificación y autentificación • Se debe evitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

  48. Nivel Alto

  49. Gestión de soportes • Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. • Exchange 2010. Uso de las tecnologías de S-Mime para el cifrado y firmado de correos. • Office 2010 mediante el uso de IRM.

  50. Registro de incidencias Exchange 2010 Forman parte de los mecanismos de auditoria de Exchange Server. Se gestiona mediante cmdlets a través de Powershell. Se habilita a nivel de buzón. Set-Mailbox -Identity “usuario" -AuditEnabled $true De forma predeterminada el período de retención es de 90. Puede ser cambiada medientapowershell.

More Related