• No se han encontrado resultados

Por: Andrés Veyrat Marqués de Manaca Consulting, S.L.

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Por: Andrés Veyrat Marqués de Manaca Consulting, S.L."

Copied!
13
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 13 página )

Texto completo

(1)

Las medidas de seguridad de nivel básico.

Son las medidas aplicables a todos los ficheros automatizados de datos de carácter personal. Se encuentran recogidas en los arts. 8 a 14 del Real Decreto 994/1999.

Por: Andrés Veyrat Marqués de Manaca Consulting, S.L.

1. A) El Documento de Seguridad.

Desde el punto de vista de la Seguridad Informática, el Documento de Seguridad no es sino una parte más de las llamadas Políticas de Seguridad, que recogen y establecen toda una serie de procedimientos, controles, auditorias y actuaciones frente a contingencias e incidencias que pueden acaecer sobre un sistema informático.

Desde la órbita de la LOPD, el Documento de Seguridad es un documento de carácter privado y de obligado cumplimiento para todo el personal de la Empresa que acceda a los Ficheros de datos de carácter personal y a los Sistemas de Información, en el que deben quedar plasmadas y recogidas todas las políticas, reglas, medidas y procedimientos de seguridad

establecidos por el Responsable del Fichero.

2. 1.- Contenido del Documento de Seguridad (art.8).

El Documento de Seguridad deberá describir las medidas de seguridad

efectivamente adoptadas por la Empresa para el tratamiento de sus ficheros de datos de carácter personal. Este dato es muy importante, puesto que cada empresa tiene una organización distinta, y una de las funciones

principales del documento es dar a conocer a los usuarios de los ficheros las medidas de seguridad implantadas, así como las recomendaciones, normas y procedimientos establecidos en la misma para el tratamiento de sus

(2)

El contenido mínimo del Documento de Seguridad deberá recoger los siguientes aspectos:

a) Ámbito de aplicación del Documento con especificación detallada de los recursos protegidos. Los recursos que deberán relacionarse en este apartado del Documento son:

1.- Ficheros de datos de carácter personal protegidos por la normativa.

2.- Descripción de los equipos informáticos utilizados para su tratamiento (servidores, terminales, ordenadores).

3.- Aplicaciones informáticas utilizadas para el tratamiento de los ficheros de datos (como, por ejemplo, Bases de datos SQL, Programas de gestión, hojas de calculo, etc…).

4.- Descripción de la red de comunicaciones.

5.- Locales e ubicaciones donde será de aplicación la normativa.

b) Medidas, normas, procedimientos y estándares encaminados a garantizar el nivel de seguridad exigido. En este apartado se recogen, principalmente, las directrices y procedimientos de seguridad de acceso, tanto físico como lógico; así, deben de indicarse:

- Los procedimientos y normas de acceso físico a las ubicaciones y locales: se relacionan los controles de acceso físico del personal a locales y oficinas, los elementos de seguridad física que se disponen, las medidas de seguridad industrial, etc… No es necesario realizar una descripción exhaustiva de dichas normas, procedimientos y medidas.

(3)

- Los procedimientos y normas de acceso al sistema informático: asignación, distribución, almacenamiento y cambio de contraseñas de acceso al sistema y red.

- Los procedimientos, normas y medidas de seguridad lógica adoptados para la defensa ante ataques externos (antivirus, firewalls, cifrado de redes, control de puertos, etc…).

- Los procedimientos de acceso y normas de utilización de aplicaciones informáticas concretas.

- Los procedimientos, normas y medidas de acceso a través de Redes de Telecomunicaciones.

- Los procedimientos, autorizaciones y normas de trabajo en ubicaciones distintas a la principal.

- Las directrices de seguridad para la utilización de determinados programas de correo electrónico, protectores de pantalla, conservación de documentos, generación de contraseñas, etc…

c) Funciones y obligaciones del personal. El Documento de Seguridad debe recoger las principales funciones y obligaciones del personal que accede a los datos de los ficheros; deberán definirse y recogerse los tipos de acceso y permisos, pudiendo relacionarse por grupos de usuarios, por perfiles de usuarios, por funciones laborales, etc...

Además, deberá recogerse una lista actualizada de los usuarios que acceden a los sistemas de información, así como aquellos usuarios autorizados a acceder a cada uno de los ficheros de datos. Es recomendable que estos listados sean incorporados como Anexos al Documento de Seguridad.

(4)

d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. En este apartado, deberán relacionarse los diferentes Ficheros de Datos regulados por el Documento y las aplicaciones informáticas utilizadas para su

tratamiento.

En muchos casos, se realiza una parte expositiva en el Documento y se incorporan como Anexos al mismo dos apartados concretos:

1º.- Estructura del fichero de datos: Se incorpora la tabla de campos ID que conforman los campos del fichero.

2º.- Se especifica el nombre de la aplicación informática (programa) que se utiliza para el tratamiento de los datos; además, suelen incorporarse datos referentes al equipo-servidor en el que se encuentra almacenado el fichero.

e) Procedimiento de notificación, gestión y respuesta ante incidencias. Este es uno de los aspectos principales, determinar cómo responderá la empresa y el personal que accede a los ficheros ante las incidencias que puedan surgir en los datos, en los sistemas informáticos y en los locales donde se realiza el tratamiento de los ficheros.

Cada empresa puede definir, en función del tratamiento que realiza y según sus criterios de seguridad informática, cuales son las

incidencias/vulnerabilidades que pueden afectar a su organización y establecer las normas y procedimientos de notificación y actuación.

En muchos casos, la notificación de incidencias no queda recogida en formularios/impresos de notificación; simplemente, cuando un usuario detecta una incidencia se pone en contacto con el departamento de

informática por la vía más rápida (teléfono); también, encontramos los casos de empresas que no cuentan con personal específico que controle, verifique y

(5)

supervise el correcto funcionamiento de los sistemas informáticos y contrata empresas especializadas el mantenimiento y soporte de sus sistemas informáticos.

f) Los procedimientos de realización de copias de respaldo y

recuperación de datos. Debe establecerse y definirse en el Documento de Seguridad cuándo, cómo y qué se incorpora a las copias de seguridad; y, en caso de que sea necesaria la restauración de los datos, cuál es el

procedimiento de actuación a seguir.

Es recomendable que las copias de seguridad se realicen con una frecuencia semanal.

Por último, el Documento de Seguridad deberá en todo momento mantenerse actualizado y deberá ser revisado siempre que se produzcan cambios

relevantes en el sistema de información y en la organización de la empresa.

3. 2.- Forma del Documento de Seguridad.

Como normativa de obligado cumplimiento para todo el personal de la empresa que accede a los ficheros de datos de carácter personal al

establecer y recoger las directivas de seguridad, normas y procedimientos, el Documento de Seguridad deberá quedar recogido por escrito y deberá ser distribuido, en todo o parte, para su conocimiento a todo el personal.

El Documento de Seguridad deberá estar a disposición de la Agencia Española de Protección de Datos en caso que la misma lo solicite; en ese caso, la Agencia comprobará que lo establecido y recogido en el Documento de Seguridad responde con veracidad a las medidas efectivamente

adoptadas.

Encontramos disponibles modelos para la confección del Documento de Seguridad en la página Web de la Agencia Española de Protección de Datos

(6)

así como en la página de la Agencia de Protección de Datos de la Comunidad de Madrid.

4. B) Funciones y obligaciones del personal (art.9).

El Reglamento establece que las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas; además, el personal deberá conocer las normas de seguridad establecidas y las consecuencias de su incumplimiento.

En la práctica, esta medida se consigue a través del establecimiento de privilegios informáticos. A través de los mismos, podemos establecer qué usuarios pueden acceder o no a partes del sistema informático y a los ficheros; y dentro de los que tienen permitido el acceso, cuáles podrán actualizar, modificar, agregar o suprimir datos de carácter personal, así como quienes podrán autorizar el tratamiento, grabación, consulta y

exportación de los ficheros.

Para conseguir que los usuarios conozcan sus funciones y las consecuencias de su incumplimiento, muchas empresas ponen a disposición de los empleados que acceden a los ficheros todo o parte del Documento de Seguridad; en otros casos, entregan un Manual de Tratamiento de Datos de carácter Personal.

5. C) Registro de Incidencias (art.10).

El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar:

- Tipo de incidencia, el

(7)

-Persona que realiza la notificación,

-Persona a quien se le comunica, y

-Efectos que se hubieran derivado de la incidencia.

La finalidad de esta medida es, por un lado, establecer un procedimiento de notificación de incidencias: que los usuarios sepan a quién recurrir cuando se produce una incidencia y cómo deben actuar (en muchas ocasiones los

usuarios de equipos informáticos tienden a buscar soluciones propias que, más que solucionar el problema, produce una pérdida de datos).

Y, por otro lado, a través del Registro de las incidencias acaecidas se persigue aprender a actuar frente a las mismas, proporcionándonos una respuesta rápida y segura al problema. Conocer cómo se actuó y que incidencias se producen en nuestra empresa nos permite adoptar mejores medidas para evitarlas o, por lo menos, saber cómo actuar para que el daño sea menor.

En la práctica, los Departamentos de Informática disponen de herramientas administrativas en los sistemas operativos que permiten establecer

auditorías de seguridad y registros de actuaciones realizadas frente a sucesos o incidencias informáticas.

6. D) Identificación y autenticación (art.11).

El Reglamento establece que el responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.

La identificación es el procedimiento de reconocimiento de la identidad de un usuario (su nombre de usuario en el sistema) y la autenticación como el

(8)

procedimiento de comprobación de la identidad del usuario (la contraseña de acceso asociada al nombre de usuario).

En la práctica esta medida de seguridad está adoptada por la mayoría de las empresas, principalmente debido a que los sistemas operativos permiten la creación de cuentas de usuario personalizadas; aunque en ciertos casos las empresas optan por implantar una identificación y autenticación por grupos de usuarios (una única cuenta que es utilizada por varios usuarios) en vez de utilizar una identificación y autenticación de forma inequívoca y

personalizada que es más recomendable a efectos de seguridad, tanto para la empresa como para los usuarios.

Establece el Reglamento que, cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e

integridad. Además, las contraseñas se cambiarán con la periodicidad que se determine en el Documento de Seguridad y mientras estén vigentes se almacenarán de forma ininteligible.

La contraseña es uno de los medios existentes para validar la identidad de un usuario en su acceso al sistema, aunque la tecnología nos permite

actualmente que la identificación y autenticación se produzca por otros datos biométricos.

Pero al ser las contraseñas de acceso el mecanismo más utilizado, debemos adoptar e implantar procedimientos para una adecuada gestión, fijando directrices como las siguientes:

-Si la contraseña es generada por el Administrador del Sistema y luego es cambiada, en el primer acceso al sistema, por una contraseña personal por parte del usuario, o por el contrario no podrá ser modificada por el usuario.

(9)

-Si la contraseña debe tener una longitud mínima o debe contener requisitos de complejidad (letras y números).

-Si se establecen límites de frecuencia en la utilización de contraseñas; es decir, si no podemos repetir las últimas contraseñas que hemos utilizado.

-Fijar la duración mínima/máxima de vigencia de la contraseña.

-Establecer los procedimientos para el cambio de contraseña y los casos en los que deberá procederse a su cambio por haberse visto comprometida.

-Establecer los procedimientos de bloqueo y desbloqueo de cuenta por utilización reiterada de contraseñas incorrectas.

-Establecer los procedimientos de generación, conservación y almacenamiento seguro de contraseñas.

7. E) Control de Acceso (art.12).

Fija el Reglamento que los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones; que el responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados.

Aunque el Reglamento no fija o determina cuáles serán los mecanismos ha implantar, los sistemas operativos permiten el establecimiento de privilegios de acceso asociados a usuarios/grupos de usuarios, permitiéndonos controlar que tipo de acciones podrán ser realizadas por el usuario: desde el acceso a recursos, aplicaciones, carpetas y/o documentos, como la posibilidad de instalar y/o desinstalar programas, eliminar archivos, etc...

Así, al establecer privilegios de acceso a los usuarios podemos asegurar la confidencialidad y disponibilidad de la información; pero, además, podemos:

(10)

- Que sólo las personas autorizadas podrán acceder a ciertos recursos (sistemas, equipos, programas, aplicaciones, bases de datos, redes, etc…) por sus funciones laborales.

- Nos permiten identificar y auditar los accesos realizados, estableciendo controles de seguridad internos.

- Documentar los procedimientos de acceso a las diferentes aplicaciones que tratan datos personales.

- En definitiva, controlar los accesos desde diferentes vertientes: red, sistemas y aplicaciones.

Además, establece el Reglamento que la relación de usuarios a la que se refiere el art.11.1 contendrá el acceso autorizado para cada uno de ellos; y que exclusivamente el personal autorizado para ello en el Documento de Seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.

8. F) Gestión de Soportes (art.13).

El Reglamento establece que los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso

restringido al personal autorizado para ello en el Documento de Seguridad.

Además, la salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que está ubicado el fichero, únicamente podrá ser autorizada, por el responsable del fichero.

Para todas las empresas es lógico que los soportes que contienen datos de carácter personal o cualquier otro tipo de documentación esté claramente

(11)

identificada y almacenada, por razones obvias; pero, es ésta es una de las medidas de seguridad sobre la que menos diligencia se pone por parte de los usuarios de los ficheros. Cada año la Agencia Española de Protección de Datos abre expedientes sancionadores por encontrar soportes

(principalmente, disketes, discos duros y papel) que aparecen en lugares donde no deberían encontrarse.

Para evitar este tipo de casos, debe establecerse por las empresas

procedimientos de gestión de soportes y normas de utilización para todos los usuarios, en los que se establezcan directrices mínimas básicas como las siguientes:

• Inventariado y almacenamiento de todos los soportes informáticos.

• Modelo de autorización y registro de salida de soportes informáticos.

• Conservación y almacenamiento de soportes papel /documentación en armarios/archivadores.

• Cada vez que un usuario accede a documentos y/o soportes (informáticos y/o en papel) que contengan datos de carácter personal, una vez finalizado su uso deberá devolverlo a su armario/archivador.

• Inventariado y almacenamiento con acceso restringido a documentos y soportes calificados como confidenciales.

9. G) Copias de Respaldo y Recuperación (art.14).

El Reglamento establece en cuanto a la realización de copias de seguridad de los datos que el responsable del fichero deberá:

a) Verificar la definición y correcta aplicación de los procedimientos de ejecución de copias de respaldo y recuperación de los datos.

(12)

b) Los procedimientos de backup deberán garantizar la reconstrucción de los datos al estado en que se encontraban al momento anterior de producirse la pérdida o destrucción.

c) Deberán realizarse copias de respaldo al menos semanalmente.

Casi todas las empresas, independientemente de su tamaño y estructura informática, cuentan actualmente con los medios necesarios para poder realizar copias de seguridad de sus documentos y archivos informáticos (CDRW, DVDRW, dispositivos de almacenamiento USB, etc...); por ello, lo que se ha de destacar obligación fijada por el Reglamento es:

1º.- Por una lado, la necesidad de realizar las copias de seguridad con al menos una frecuencia semanal; aunque esta frecuencia deberá variar en función principalmente del tipo de actividad y del volumen de datos y documentos informáticos generados entre copias de seguridad.

2º.- Por otro lado, la necesidad de contar con un procedimiento de restauración de datos, que garantice:

La reconstrucción del Sistema Operativo y su configuración (particiones, usuarios, file systems, etc...).

La reinstalación de software base y programas necesarios para la ejecución de aplicaciones (entre ellos el software de backup).

La reinstalación de aplicaciones informáticas necesarias para el tratamiento de los datos.

Los archivos, documentos y bases de datos.

3º.- Y, por último, es muy recomendable proceder al almacenamiento y conservación, en una ubicación de acceso restringido, de las copias de

(13)

seguridad junto a una copia del procedimiento de restauración de datos y los programas, aplicaciones informáticas, datos de configuración y sistema operativo utilizados.

Referencias

Descargar ahora ( PDF - 13 página - 31.13 KB )

Documento similar

Formato pdf

Debido al riesgo de producir malformaciones congénitas graves, en la Unión Europea se han establecido una serie de requisitos para su prescripción y dispensación con un Plan

ficha técnica

Como medida de precaución, puesto que talidomida se encuentra en el semen, todos los pacientes varones deben usar preservativos durante el tratamiento, durante la interrupción

Equivalencias con las materias superadas de Bachillerato y los ejercicios de la prueba

Se consideran aprobadas con anterioridad las materias cursadas de acuerdo con el currículo regulado por la LOE con una calificación igual o superior a 5, que tengan

I. Disposiciones generales

Gastos derivados de la recaudación de los derechos económicos de la entidad local o de sus organis- mos autónomos cuando aquélla se efectúe por otras enti- dades locales o

Algunos ​ ​de​ ​los​ ​problemas​ ​que​ ​ocasionan​ ​las​ ​Cookies

Sabemos que, normalmente, las ​cookies deben ser almacenadas y enviadas de vuelta al servidor sin modificar; sin embargo existe la posibilidad de que un atacante

y un a no en la que el y con la que se no son y las de los A. la de " LA EL Y

Volviendo a la jurisprudencia del Tribunal de Justicia, conviene recor- dar que, con el tiempo, este órgano se vio en la necesidad de determinar si los actos de los Estados

Alumnado y grupos de Educación de Personas Adultas por curso, modelo lingüístico y red. Datos de matrícula para el curso 2016-2017.

[r]

de la no han los que el el de y más el a los de las es el de la de los que ha en la de la EL

b) El Tribunal Constitucional se encuadra dentro de una organiza- ción jurídico constitucional que asume la supremacía de los dere- chos fundamentales y que reconoce la separación