curso adecuación lop rd1720 y lssi...curso: proyectos de adecuación de los sistemas informáticos...

C/ Mayor, 4 6ª planta – 28013 Madrid Teléfono: 91.523.86.20 Fax: 91.521.48.25 Correo-e: [email protected] Web: www.cpiicm.es

Curso Proyectos de Adecuación de los Sistemas Informáticos a las leyes LOPD, RD1720 Y LSSI

El Curso se imparte en modalidad Online

Del 5 de Mayo al 28 de Junio 2014 V Edición

Cumplimiento Legal en los

Sistemas Informáticos ___________________________

____________________________________________________________________________ Curso: Proyectos de Adecuación de los Sistemas Informáticos a las Leyes LOPD, RD1720 Y LSSI 2

Índice

1. Presentación .............................................................................................................................. 3

2. Objetivos ................................................................................................................................... 4

3. Dirigido a .................................................................................................................................. 4

4. Contenidos ................................................................................................................................. 5

5. Duración ..................................................................................................................................... 6

6. Desarrollo del curso ................................................................................................................. 6

7. Prerrequisitos, Asistentes y Certificado de suficiencia ...................................................... 7

8. Evaluación del curso por los alumnos ................................................................................... 8

8.1. Evaluación general ........................................................................................................ 8

8.2. Respuestas a las preguntas abiertas ......................................................................... 9

9. Herramienta de ayuda a la Adecuación: SGICP Básico ................................................ 10

9.1. Presentación .................................................................................................................. 10

9.2. Características .............................................................................................................. 11

9.3. Componentes ................................................................................................................ 13




1. Presentación

El curso da respuesta a las necesidades de formación en los conocimientos teóricos y prácticos que se precisan para acometer con éxito los proyectos de cumplimiento legal (LOPD, LSSI, RD1720) en los sistemas informáticos utilizados por las organizaciones públicas y privadas:

LOPD - Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal.

LSSI - Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.

Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

A) Conocimientos obligatorios: Con la entrada en vigor del nuevo reglamento RD1720:2007 (o RLOPD), el panorama ha cambiado completamente por el gran alcance de responsabilidades que tiene la Disposición adicional única en relación con los Productos de software. El alcance es de tal magnitud y su redacción es tan clara que la situación actual para cumplir con la Ley es la siguiente en una doble vertiente:

En todos los productos software que traten datos de carácter personal es obligatorio, según establece el RLOPD: “Incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento”. Son muchos los productos software utilizados en empresas y administraciones públicas que utilizan datos de carácter personal relacionados con clientes, proveedores, administrados, etc. Todos ellos obligados a cumplir esta disposición desde 2008 al entrar en vigor el RD1720.

Riesgos como profesionales responsables de los proyectos de diseño y construcción de los productos software que tratan datos de carácter personal, estamos obligados a que los productos software resultantes de nuestros proyectos permitan a las organizaciones usuarias de los mismos el cumplimiento legal.

B) Los responsables de los proyectos de adecuación de los Sistemas Informáticos al cumplimiento legal, deben tener en cuenta que entran dentro del ámbito de la seguridad informática impuesta por la Ley, de obligado cumplimiento y en la que se establecen graves sanciones en casos de incumplimiento.

C) Responsabilidad Profesional: En nuestras actuaciones profesionales debemos garantizar el Cumplimiento Legal, mas aún en una materia, los Datos de Carácter Personal, almacenados y tratados por los Sistemas Informáticos, que tienen rango de Derecho Fundamental.




2. Objetivos

1º) Adquirir los conocimientos de la LOPD y LSSI para acometer proyectos de adecuación al cumplimiento por los sistemas informáticos y familiarizarse con los textos legales.

2º) Adquirir los conocimientos para diseñar, evaluar e implantar el proceso de seguridad, para cumplir adecuadamente con lo establecido en la LOPD, LSSI y RD1720/2007.

3º) Conocer los conceptos y criterios utilizados con el análisis, tratamiento y gestión de riesgos en los sistemas de información, así como las amenazas derivadas del incumplimiento legal.

4º) Conocer los modelos, fases y etapas que pueden seguirse para llevar a cabo con éxito los proyectos de adecuación.

5º) Conocer los controles que deberán tenerse en cuenta para garantizar la seguridad de datos exigidas por el cumplimiento legal.

6º) Resolver casos prácticos de Sistemas de Gestión de la Información de Carácter Personal – SGICP, basados en casos reales de la empresa.

7º) Conocer el RD1720, profundizando en los artículos con mayor incidencia en las Áreas Funcionales y en los Subprocesos de Seguridad considerados en los proyectos de adecuación. Estos conocimientos son de gran importancia para resolver las dificultades que puedan presentarse en el desarrollo del proyecto y para abordar proyectos de adecuación complejos.

3. Dirigido en

Actividades de consultoría en proyectos informáticos relacionados con el Cumplimiento Legal, que desean profundizar en los conceptos básicos y aspectos prácticos de los proyectos de adecuación a la LOPD, RD 1720 y LSSI.

La dirección y gestión de proyectos de adecuación de los sistemas de información al cumplimiento legal en Administraciones Públicas y Empresas privadas.

En Desarrollo y Analistas que desean conocer las implicaciones que tienen las leyes LOPD, RD 1720 y LSSI en los proyectos software que llevan a cabo.

Las áreas de dirección, que deban asumir las máximas responsabilidades y funciones establecidas en la LOPD, RD 1720 y LSSI, como: Responsables de Ficheros, Responsables de Tratamiento, Encargados del Tratamiento, Responsables de Seguridad, Administradores de Seguridad y Auditores.

Informática de las PYMES que con frecuencia deben responsabilizarse de los proyectos de adecuación de los sistemas informáticos utilizados, al cumplimiento con la LOPD, RD 1720 y LSSI.




4. Contenidos

El curso se desarrolla en tres unidades didácticas. Unidad Didáctica – 1: CUMPLIMIENTO LEGAL EN EL PROCESO DE LA INFORMACIÓN DE CARÁCTER PERSONAL

TEORIA:

- Acciones que se están llevando a cabo para proteger los Sistemas Informáticos.

- Grado de adaptación de las Pequeñas y Medianas Empresas españolas a la LOPD y RD1720.

- Comentarios a los Títulos y Disposiciones de la LOPD bajo la perspectiva del proyecto de adecuación.

- Comentarios a la LSSI: Objetivo, Definiciones y Obligaciones.

- Incidencia de la LOPD y RD1720 en el cumplimiento de la LSSI.

- El Proceso de Seguridad de la Información: los subprocesos de seguridad, conceptos y definiciones.

- Evaluación del proceso de seguridad existente: adaptaciones para el cumplimiento legal. PRACTICAS: Cuestiones básicas para afianzar los conocimientos fundamentales de la LOPD y LSSI relacionados con los proyectos de adecuación.

Tiempo para realizar la unidad didáctica 1: Estudio 8 horas - Prácticas 8 horas Unidad Didáctica – 2: EL PROYECTO DE ADECUACIÓN CON UN SISTEMA DE GESTIÓN DE LA INFORMACIÓN DE CARÁCTER PERSONAL – SGICP

TEORIA:

- Riesgos y amenazas en los sistemas de información: riesgos por incumplimiento de la LOPD y RD1720.

- Infracciones y sanciones en el marco de la LOPD.

- Proyecto de adecuación: Modelo de mejora continua, PDCA, en el desarrollo del proyecto de adecuación.

- Fases y etapas del proyecto de adecuación (Niveles de seguridad, Adaptación de Ficheros, Legitimación de datos, Implantación de medidas de seguridad).

- Seguridad de datos: Objetivos de control y controles.

- Ejemplo de SGICP de nivel básico: Componentes del SGICP; Software libre utilizado en el desarrollo.

PRACTICAS: Supuesto real de proyecto de adecuación en una pequeña y mediana empresa: planificación del proyecto de adecuación y desarrollo del SGICP. Tiempo para realizar la unidad didáctica 2: Estudio 10 horas - Prácticas 12 horas Unidad Didáctica – 3: EL RD 1720/2007 EN LOS PROYECTOS DE ADECUACIÓN VISIÓN FUNCIONAL Y VISIÓN DE PROCESOS




TEORIA:

- El RD 1720: Definiciones; Áreas funcionales y Proceso de seguridad en los proyectos de adecuación.

- Relaciones de las Áreas Funcionales del proyecto de adecuación con los Artículos LOPD y RLOPD.

- Integración del RD1720 en el Proceso de Seguridad: Vista integrada del Proceso de Seguridad con los Artículos del RD 1720.

- Responsabilidades y funciones en el proceso de seguridad.

PRACTICAS: Supuesto real del diseño del proceso de seguridad para garantizar el cumplimiento legal en una pequeña y mediana empresa. Tiempo para realizar la unidad didáctica 3: Estudio 7 horas - Prácticas 5 horas

5. Duración

El curso requiere una dedicación de 50 horas distribuidas en 25 horas de Teoría y 25 horas de Prácticas. Para realizar las actividades prácticas se dispone de 6 semanas desde la fecha de inicio del mismo. Se han previstos dos semanas más para que los alumnos, que por sus ocupaciones laborales, necesiten tiempo suplementario para completar el curso.

Estudio y Realización de actividades de UD1: primera y segunda semana del curso.

Estudio y Realización de actividades de UD2: tercera y cuarta semana del curso.

Estudio y Realización de actividades de UD3: quinta y sexta semana del curso.

6. Desarrollo del curso

A) Material didáctico: Para realizar el curso se facilita al alumno el libro Adecuación de los sistemas informáticos a la LOPD, RD 1720 y LSSI y CD que incluye kit de herramientas de ayuda a la realización de los proyectos de adecuación.

El libro consta de tres capítulos que se corresponden con las tres unidades didácticas del curso y un anexo que recoge con detalle la información legal relacionada con el responsable del fichero. El libro se ha creado como base documental de los temas tratados en el curso y ser utilizado por el alumno como base documental de referencia en los proyectos de adecuación que lleve a cabo.

El CD incluye documentos que amplían los temas tratados en las tres unidades didácticas del curso: textos legales y guías, modelos de documentos de seguridad y modelo de base de datos documental de Sistema de Gestión de Información de Carácter Personal SGICP de nivel básico, que podrán utilizar los alumnos en sus proyectos reales de adecuación.

B) Actividades a realizar por el alumno: Las actividades que el alumno ha de realizar en el curso están organizadas en Cuestiones y Ejercicios.

Las cuestiones son preguntas breves a las que el alumno ha de responder relacionadas con la unidad didáctica que está estudiando. La finalidad de las mismas es que el




alumno pueda sintetizar los conceptos solicitados, sobre todo cuando se relacionan con los temas legales que estudia. Para sintetizar las respuestas, al alumno le resultará más ameno tener presente los enunciados de las cuestiones solicitadas mientras realiza el estudio.

En los ejercicios propuestos en el curso se sigue la metodología didáctica basada "en el caso". Partiendo de un supuesto real (caso), que se describe con detalle en su enunciado, se plantean un conjunto de ejercicios que, paso a paso, permiten resolver un proyecto completo de adecuación de los sistemas informáticos a la LOPD, RD1720 y LSSI, incluyendo la planificación del proyecto, informes de decisión, documento de seguridad, diseño del proceso de seguridad, e implantación de un Sistema de Gestión de Información de Carácter Personal - SGICP.

C) Foro de alumnos: Mientras se desarrolla el curso está disponible un Foro en el que alumnos y profesores compartimos opiniones sobre temas de actualidad relacionados con el curso y también para aclarar las dudas que puedan presentarse en el estudio y realización de las prácticas.

7. Prerrequisitos, Asistentes y Certificado de suficiencia

Este curso impartido en modalidad Online Para participar en el curso los asistentes deben disponer de:

Un PC equipado para conectarse a Internet, con cualquiera de los navegadores mas utilizados: Explorer, Firefox, etc. y un procesador de textos (Word o similar).

Cuenta de correo electrónico.

A los asistentes al curso que realicen adecuadamente las actividades prácticas incluidas en el mismo se les entregará el correspondiente certificado




8. Evaluación del curso por los alumnos de la cuarta edición

8.1. Evaluación general

Plataforma e-Learning y Material Didáctico

Media (1)

Manual de uso de moodle para el alumno 9,0

Facilidad de uso de la plataforma moodle 9,0

Foros utilizados para resolución de dudas 8,3

Tiempos de respuesta del servidor utilizado 9,0

Material didáctico para realizar el curso (Libro de documentación del curso y CD)

9,3

Organización y planificación del curso

Media

Atención prestada por secretaría técnica 9,0

Atención prestada por coordinación del curso 9,0

Unidad Didáctica 1

Media

Interés del tema 9,7

Atención de consultas y resolución de dudas 9,7

Aplicación de conceptos 9,7

Actividades propuestas a resolver por el alumno 9,7

Noticias y temas propuestos en los foros relacionados con la unidad didáctica

9,7

Unidad Didáctica 2

Media






9,0

Unidad Didáctica 3

Media






9,0

(1) Calificación media, escala 1 a 10, por los alumnos de la cuarta edición del curso en 2013




8.2. Respuestas a las preguntas abiertas

1. Otras sugerencias que desee realizar relacionadas con las unidades didácticas A esta pregunta hay pocos comentarios y todos son favorables, como:

o “Una valoración muy positiva a todos los profesores”;

o “A nivel general todos un 10. Con ciertas personas he tenido un contacto más directo

que con otras”.

2. ¿Considera que este curso ha alcanzado sus objetivos? Si no, explique las razones: En todos los cuestionarios enviados por el 90% de los asistentes al curso han respondido SI, el 10% restante no ha respondido a la pregunta. Algunos alumnos han incluido comentarios, como:

o “Plenamente satisfecho y más”,

o “Un gran curso que recomendaré a todos”.

o “Sí, muy satisfecho”,

o “Si el curso ha alcanzado mis objetivos”,

o “Sí, me ha servido para conocer la materia legal en cuanto a protección de datos”.

3. ¿Cree que ha quedado algún tema relacionado con los objetivos didácticos establecidos en el curso sin abordar? Han respondido NO el 90% de los alumnos, el 10% no ha respondido a esta pregunta.

4. Si lo ha necesitado, ¿se ha comunicado personalmente con los profesores con facilidad y le han atendido adecuadamente? Han respondido SI en el 80% de los cuestionarios enviados. En el 20% restante no han respondido Algunos alumnos han matizado el SI con comentarios como:

o “Sí, trato perfecto”;

o “Me he comunicado con los profesores y la verdad, han sido rápidos en sus respuestas

y claras”;

o “Si, y me han atendido muy bien”.




9. Herramienta de ayuda a la Adecuación: SGICP Básico (Incluida con el curso)

9.1. Presentación El objetivo del SGICP, es permitir que las organizaciones puedan desarrollar y poner en funcionamiento un Sistema de Gestión de Información de Carácter Personal que les aporte una infraestructura para mantener y mejorar el conjunto de cosas, objetos o sujetos que facilitan el cumplimientos de los requisitos establecidos en la LODP y reglamento que la desarrolla RD1720. La LOPD implementa en el contexto legislativo español la Directiva Europea (95/46/EC) y se aplica a los "datos de carácter personal" que son definidos en la LOPD como "cualquier información concerniente a personas físicas identificadas o identificables". SGICP - Sistema de Gestión de Información de Carácter Personal Definición de SGICP: Parte del sistema de gestión que establece, implementa, opera, monitoriza, revisa, mantiene y mejora la gestión de la información de carácter personal utilizada por una organización.

Observaciones:

1ª) La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD), indica con claridad la obligación que tienen todas las organizaciones de

Definir política de seguridad

Establecer alcance del SGICP

Realizar análisis de riegos

Seleccionar los controles

Definir el proceso de seguridad

“P”

“D”

“C”

“A”

Implantar plan de gestión

de riesgos

Implantar el SGICP

Implantar los controles

Implantar el proceso de seguridad

Revisar internamente

el SGICP

Realizar auditorías internas

del SGICP

Adoptar acciones correctivas

Adoptar acciones preventivas

Adoptar acciones adaptativas

LOPD, RD1720, LSSI

1 Documento de Seguridad

y Sistemas de Información

de la entidad u organización

2 Personal, funciones y

obligaciones

3 Registro de incidencias

4 Identificación, Autenticación

5 Controles de Acceso

6 Gestión de los Soportes de

datos

7 Copias de respaldo

8 Responsables (R. Fichero,

R. Seguridad, Encargado

del Tratamiento)

9 Pruebas con datos reales

10 Auditoría

11 Registro de accesos

12 Telecomunicaciones

13 Ficheros no automatizados

Definir política de seguridad

Establecer alcance del SGICP

Realizar análisis de riegos

Seleccionar los controles

Definir el proceso de seguridad

“P”

“D”

“C”

“A”

Implantar plan de gestión

de riesgos

Implantar el SGICP

Implantar los controles

Implantar el proceso de seguridad

Revisar internamente

el SGICP

Realizar auditorías internas

del SGICP

Adoptar acciones correctivas

Adoptar acciones preventivas

Adoptar acciones adaptativas

LOPD, RD1720, LSSI

1 Documento de Seguridad

y Sistemas de Información

de la entidad u organización

2 Personal, funciones y

obligaciones

3 Registro de incidencias

4 Identificación, Autenticación

5 Controles de Acceso

6 Gestión de los Soportes de

datos

7 Copias de respaldo

8 Responsables (R. Fichero,

R. Seguridad, Encargado

del Tratamiento)

9 Pruebas con datos reales

10 Auditoría

11 Registro de accesos

12 Telecomunicaciones

13 Ficheros no automatizados




“proteger sus activos de datos de carácter personal" considerando "la evolución de las capacidades disponibles de las TI" y los "Riesgos" a los que están expuestos. 2ª) El Real Decreto 1720/2007 en SECCIÓN 1.ª del Capítulo III del Título VIII, MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO establece la obligatoriedad de establecer un Plan de Seguridad descrito en el "Documento de Seguridad", que deberá incluir un conjunto mínimo de controles que se describe como "medidas de seguridad de nivel básico". 3ª) La versión de SGICP implementada se adapta, con carácter general, a los requisitos de seguridad que se recogen en las medidas de seguridad de nivel básico. Aunque para un mejor cumplimiento y mayor disminución de riesgos, se han incluido algunas de las medidas de seguridad propuestas en el nivel medio que se detallan en características:

- Ha sido diseñada como un modelo genérico fácil de adaptar en proyectos de adecuación a la LOPD LSSI en pequeñas y medianas organizaciones.

- El desarrollo del SGICP se ha llevado a cabo con versiones de herramientas de gestión documental de uso libre, compatible con las versiones bajo licencia que incorporan características avanzadas que permiten publicación de libros electrónicos (e-books).

9.2. Características

Características de SGICP relacionadas con el cumplimiento de las medidas de seguridad El nivel medio exige el cumplimiento de todas las medidas establecidas para el nivel básico

Documento de seguridad Básico Medio SGICP

Medidas, normas, procedimientos, reglas y estándares de seguridad. X X SI

Funciones y obligaciones del personal. X X SI

Estructura y descripción de ficheros y sistemas de información. X X SI

Procedimiento de notificación, gestión y respuesta ante incidencias. X X SI

Procedimiento de realización copias de respaldo y recuperación de datos. X X SI

Identificación del responsable de seguridad. - X SI

Control periódico del cumplimiento del documento. - X SI

Medidas a adoptar en caso de reutilización o destrucción de soportes. - X SI

Personal Básico Medio SGICP

Funciones y obligaciones claramente definidas y documentadas. X X SI

Difusión entre el personal, de las normas que les afecten y de las consecuencias de su incumplimiento.

X X SI




Gestión de incidencias Básico Medio SGICP

Registrar tipo de incidencia, momento en que se ha producido, persona que la notifica, persona a la que se comunica y efectos.

X X SI

Registrar la recuperación de los datos, persona que lo ejecuta, datos restaurados y grabados manualmente.

- X SI

Autorización por escrito del responsable del fichero para su recuperación. - X SI

Identificación y autenticación Básico Medio SGICP

Relación actualizada de usuarios y accesos autorizados. X X SI

Procedimientos de identificación y autentificación. X X SI

Criterios de accesos. X X SI

Procedimientos de asignación y gestión de contraseñas y periodicidad con que se cambian.

X X SI

Almacenamiento ininteligible de contraseñas activas. X X SI

Se establecerá el mecanismo que permita la identificación de forma inequívoca y personalizada de todo usuario y la verificación de que está autorizado.

- X SI

Se establece límite de intentos reiterados de acceso no autorizado - X SI

Control de accesos Básico Medio SGICP

Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones.

X X SI

Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados.

X X SI

Concesión de permisos de acceso sólo por personal autorizado. X X SI

Gestión de soportes Básico Medio SGICP

Identificar el tipo de información que contienen. X X SI

Inventario. X X SI

Almacenamiento con acceso restringido. X X SI

Salida de soportes autorizada por el responsable del fichero. X X SI




Registro de entrada y salida de soportes. X SI

Responsable de seguridad Básico Medio SGICP

Nombrado por el Responsable del Fichero. No supone delegación de responsabilidad del responsable del fichero.

X SI

Pruebas de programas con datos de carácter personal Básico Medio SGICP

Solo se realizarán si se asegura el nivel de seguridad correspondiente al tipo de fichero tratado.

X SI

Auditoría Básico Medio SGICP

Los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de las medidas de seguridad aplicables.

X --

Nota: Como se puede observar las medidas de seguridad de nivel medio que se han incluido en el Sistema de Gestión de la Información de Carácter Personal para ficheros de nivel básico, son medidas de muy bajo coste y mayoritariamente de carácter organizativo o procedimental y que resultan fundamentales para el funcionamiento del SGICP. Estas medidas añadidas permiten reducir altos riesgos relacionados con la confidencialidad exigida a los datos de carácter personal.

9.3. Componentes Consta de siete módulos integrados: 1) Documento de Seguridad: Parte del SGICP que establece, opera, monitoriza, revisa, mantiene y mejora el Documento electrónico que implementa el Documento de Seguridad. 2) Inventario de Sistemas Informáticos: Parte del SGICP que establece, implementa, opera, monitoriza, revisa, mantiene y mejora el inventario de los sistemas informáticos utilizados para tratar y almacenar datos de carácter personal utilizados por la organización y los riesgos asociados a los mismos. 3) Notificación y Resolución de incidencias: Parte del SGICP que establece, implementa, opera, monitoriza, revisa, mantiene y mejora la notificación, control, seguimiento y resolución de incidencias relacionadas con datos de carácter personal utilizados por la organización. 4) Inventario de Soportes: Parte del SGICP que establece, implementa, opera, monitoriza, revisa, mantiene y mejora el inventario de soportes con datos de carácter personal utilizados por la organización.




5) Registro de E/S de Soportes: Parte del SGICP que establece, implementa, opera, monitoriza, revisa, mantiene y mejora el registro de entrada y salida de soportes con datos de carácter personal utilizados por la organización. 6) Autorización de salidas y entradas de soportes: Parte del SGICP que establece, implementa, opera, monitoriza, revisa, mantiene y mejora las Autorizaciones de salidas y entradas de soporte con datos de carácter personal utilizados por la organización. 7) Ejercicio de derechos ARCO: Parte del SGICP que establece, implementa, opera, monitoriza, revisa, mantiene y mejora el control y seguimiento del ejercicio de derechos ARCO relacionados con datos de carácter personal utilizados por la organización.

curso adecuación lop rd1720 y lssi...curso: proyectos de adecuación de los sistemas informáticos...

Documents