7, 8, 14 y 15 de noviembre de 2013
La seguridad de la informaci贸n en los gobiernos y las empresas en Espa帽a Jornada: Seguridad y Privacidad de la Informaci贸n en las Ciudades Inteligentes Noviembre 14 y 15 de 2013
www.uexternado.edu.co
2
Introducci贸n y antecedentes
www.uexternado.edu.co
3
Real Decreto 994/1999, de 11 de junio, que aprobó el “Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal”
“establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal”
www.uexternado.edu.co
4
Marco jurídico de la seguridad de la información “La capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.” www.uexternado.edu.co
5
1) Normas que establecen obligaciones comunes para el sector público y privado 2) Normas que establecen obligaciones exclusivamente para las administraciones públicas 3) Normas que establecen esas obligaciones con carácter sectorial o especializado, orientadas por tanto a proteger determinadas actividades o tipos de información
www.uexternado.edu.co
6
1. Obligaciones en materia de seguridad de la información para empresas y administraciones públicas Empresas y administraciones públicas vienen obligadas por igual a adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos personales, en virtud de lo previsto en el art. 9 de la Ley Orgánica 15/1999, que regula lo que se ha venido en identificar como el «principio de seguridad» www.uexternado.edu.co
7
Esas condiciones de seguridad las establece el reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante el Real Decreto 1720/2007 de 21 de diciembre (en adelante RLOPD), que en su título VIII “De las medidas de seguridad en el tratamiento de datos de carácter personal”, detalla de qué manera deben ser protegidos los datos de carácter personal desde la perspectiva de la seguridad de la información. La determinación de qué medidas de seguridad concretas deben ser implantadas se basa en una aplicación de niveles de seguridad (básico, medio y alto), en función de la sensibilidad de los datos www.uexternado.edu.co
8
Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de datos personales y a la libre circulaci贸n de estos datos
Reglamento general de protecci贸n de datos
www.uexternado.edu.co
9
2. Obligaciones en materia de seguridad de la información para las administraciones públicas La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, es la legislación básica en materia de administración electrónica en el estado español. www.uexternado.edu.co
10
El art. 3 de la ley 11/2007 recoge sus finalidades, y concretamente establece en su apartado 3 que una de ellas es: “crear las condiciones de confianza en el uso de los medios electrónicos” Se prevé que para evitar que no se vea afectada la integridad de los derechos fundamentales, en esa aplicación de los medios electrónicos, deberá garantizarse: – – – –
La seguridad de los sistemas La seguridad de los datos La seguridad de las comunicaciones La seguridad de los servicios electrónicos www.uexternado.edu.co
11
La Ley 11/2007 termina definiendo la seguridad como un derecho, al recoger en su artículo 6, como derecho de los ciudadanos: “la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas”
El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica www.uexternado.edu.co
12
Las medidas de seguridad se dividen en tres grupos o tipos: a) Marco organizativo [org]: Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. b) Marco operacional [op]: Formado por las medidas a tomar para proteger la operación del sistema c) Medidas de protección [mp]: Centradas en proteger activos concretos
“declaración de aplicabilidad”
www.uexternado.edu.co
13
3. Obligaciones de carácter sectorial o especializado en materia de seguridad de la información -
Relacionadas con sectores específicos, o que regulan aspectos concretos de la seguridad de la información
-
Relacionadas con la protección de las denominadas infraestructuras críticas
-
Relacionadas con la «ciberseguridad» www.uexternado.edu.co
14
3.1 Regulación sectorial de la seguridad de la información - Actividades relacionadas con la banca o los servicios financieros y bursátiles - La historia clínica (documentación clínica) - Las telecomunicaciones y los servicios de comunicaciones electrónicas - El comercio electrónico - La función de estadística pública - Los secretos oficiales e información clasificada, así como algunas bases de datos policiales - El juego “en linea” y en general el juego en el que se aplican medios técnicos - O la firma electrónica y el documento nacional de identidad electrónico www.uexternado.edu.co
15
3.2 Protección de las infraestructuras críticas La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas es el resultado de la publicación y entrada en vigor de la Directiva 2008/114/CE del Consejo, sobre Identificación y Designación de las Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su Protección. La ley identifica a una serie de sectores estratégicos , de los que dependen los servicios esenciales que deben ser objeto de protección, las infraestructuras estratégicas son las que dan soporte a esos servicios esenciales, y las infraestructuras críticas son aquellas indispensables, sin las cuales no pueden ser prestados esos servicios. www.uexternado.edu.co
16
“elaboración de planes de seguridad”
seguridad de los sistemas de control industrial (SCADA) www.uexternado.edu.co
17
3.3 La «ciberseguridad» Desarrollo en el «ciberespacio» de la tradicional función de seguridad y defensa que los gobiernos deben llevar a cabo para proteger los intereses de cada estado.
“Estrategia Nacional de Seguridad 2013” Línea de acción estratégicas la «ciberseguridad», cuyo objetivo es: “garantizar un uso seguro de las redes y los sistemas de información a través del fortalecimiento de nuestras capacidades de prevención, detección y respuesta a los ciberataques” www.uexternado.edu.co
18
Conclusiones ‐ Marco legal complejo
‐ Dificultades de interpretación de los contenidos de las normas ‐ Marco legal profundamente influenciado por las decisiones de Europa ‐ Problema global que precisa ser abordado con soluciones integrales ‐ La actuación coordinada del sector público y privado resulta esencial ‐ Diferente realidad de las empresas y de las administraciones
‐ Ciudadanía en general es poco consciente de las amenazas: acciones educativas www.uexternado.edu.co
19
Muchas gracias por su atenci贸n Ram贸n Miralles Coordinador de Auditoria y Seguridad de la Informaci贸n Autoridad Catalana de Protecci贸n de Datos
Email: r.miralles@icab.cat o ramon.miralles@gencat.cat @RamonMiralles http://ticmalion.blogspot.com/ http://es.linkedin.com/in/ramonmiralles
www.uexternado.edu.co
20