Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ngel Villodre
ngel Villodre
la relacin de permisos necesarios para emplear los sistemas de tratamiento de datos. 3 - La relacin completa de funciones y obligaciones del personal que accede a los ficheros de datos junto a sus niveles de autorizacin y permisos. Es muy importante que esta relacin est actualizada para reflejar los cambios de personal y se recomienda aadir una lista completa de todos los usuarios que acceden a los ficheros como Anexo al Documento de Seguridad. 4 - La estructura de los ficheros de datos de carcter personal y descripcin de los sistemas de informacin que los tratan, que normalmente consta de una parte expositiva y de otra ms concreta que se inserta como un Anexo al Documento de Seguridad en la que se especifican los nombres de las aplicaciones informticas que se emplean y la estructura de las tablas de las BBDD. 5 - Terminada la exposicin de todos los aspectos descriptivos y funcionales del acceso y modificacin de los ficheros de datos carcter personal, se pasan a describir los procedimientos de notificacin, gestin y respuesta ante incidencias donde la Empresa debe definir cmo debe responder el personal ante las incidencias que puedan surgir en los datos, en los sistemas informticos y en los locales donde se realiza el tratamiento de los ficheros. 6 - Por ltimo es necesario especificar los procedimientos de copias de respaldo y recuperacin de datos. Es necesario, por tanto, especificar en el Documento de Seguridad cundo, cmo y qu datos se respaldan as como los medios empleados para ello y el proceso de restauracin de copias. El Documento de Seguridad debe mantenerse constantemente actualizado y deber ser revisado siempre que se produzcan cambios relevantes en los sistemas de informacin o incluso en la propia organizacin de la empresa. Este documento deber ser distribuido, total o parcialmente, a todo el personal de la Empresa para su conocimiento y a disposicin de la Agencia Espaola de Proteccin de Datos, quien adems proporciona modelos de Documentos de seguridad.
ngel Villodre
Registro de incidencias
El procesamiento de las incidencias consistir en un registro en el que se haga constar, de forma individualizada para cada suceso: Tipo de incidencia Momento en que se ha producido Persona que realiza la notificacin Persona a quien se le comunica Efectos que se hubieran derivado de la incidencia
El propsito de este registro es establecer por un lado un mecanismo fiable de notificacin y registro de incidencias y por el otro proporcionar un medio de estudio y aprendizaje para que la Empresa adopte las medidas necesarias para prevenir los daos y vulneraciones a los ficheros de datos. Esto se suele implementar mediante un software informtico de auditora de seguridad y un sistema de registro de notificaciones y actuaciones.
Identificacin y autentificacin3
Es necesario reconocer la identidad del usuario mediante un proceso de identificacin y comprobar la veracidad de la misma mediante otro de autentificacin para proporcionar el acceso a su nivel correspondiente de seguridad, normalmente empleando los mecanismos de cuentas y permisos del sistema operativo. El Reglamento establece que cuando el mecanismo de autenticacin se base en la existencia de contraseas existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad y se exige que los requisitos de complejidad y cambio peridico de las mismas figuren en el Documento de Seguridad. Tambin se admiten otros medios de identificacin, como los biomtricos basados en parmetros fsicos del usuario o en tarjetas inteligentes que contienen certificados digitales de seguridad.
Control de acceso
El responsable del fichero debe establecer unos mecanismos para evitar que un usuario pueda acceder a datos o recursos sobre los que no est autorizado. El Reglamento no determina qu mecanismos ni mtodos deben emplearse, pero lo habitual es emplear las herramientas basadas en listas de control de acceso de los propios sistemas operativos.
Gestin de soportes
El Reglamento establece que los soportes informticos que contengan datos de carcter personal debern permitir identificar el tipo de informacin que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el Documento de Seguridad. Slo el responsable del fichero podr autorizar la salida fsica de los soportes fuera de los locales de la Empresa o su exportacin por cualquier otro medio.
ngel Villodre
ngel Villodre
El Documento de Seguridad
A lo descrito en el nivel de seguridad bsico, el Reglamento aade el siguiente contenido al Documento de Seguridad: La identificacin del o los responsables de seguridad. Los controles peridicos para verificar el cumplimiento de lo dispuesto en el Documento de Seguridad. Las medidas de seguridad para la reutilizacin/destruccin segura de soportes.
El responsable de seguridad
Fija el Reglamento que el responsable del fichero designar uno o varios responsables de seguridad, que se encargarn del cumplimiento de las medidas, reglas y normas de seguridad establecidas por el responsable del fichero. Suele ser una persona con conocimientos de informtica o, en las organizaciones de mayor tamao, una labor coordinada de varios responsables de seguridad de los mbitos jurdico, informtico y gestin de la calidad dentro de la Empresa. Deben figurar en el Documento de Seguridad, adems de quines son los responsables de seguridad, sus obligaciones y funciones de forma detallada.
Auditora
En este nivel el Reglamento introduce la figura de la auditora, que interna o externa, debe verificar el cumplimiento de los procedimientos de seguridad de datos al menos cada dos aos. Adems, el informe de auditora debe dictaminar sobre el grado de adecuacin y cumplimiento de las medidas de seguridad proponiendo medidas correctoras en las reas donde sea necesario. Dicho informe ser analizado por el responsable de seguridad, quien a su vez elevar las conclusiones extradas al responsable del fichero para que adopte las medidas adecuadas. Todos estos informes, junto al de auditora, quedan a disposicin de la AEPD.
Identificacin y autentificacin
En esta apartado es obligatorio establecer un mtodo de identificacin inequvoco y personalizado a cada usuario que intente acceder a los sistemas de informacin y se limitarn los intentos de accesos no autorizados al sistema,
ngel Villodre
bloqueando si es preciso las cuentas de usuario involucradas en los mismos. Estas medidas deben recogerse en el Documento de Seguridad.
Gestin de soportes
Recogido en el artculo 20 del Reglamento, deber de implantarse un
sistema de registro de entrada de soportes informticos que permita, directa e indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el nmero de soportes, el tipo de informacin que contienen, la forma de envo y la persona responsable de la recepcin que deber estar debidamente autorizada. Por lo que, en el registro de entrada de soportes informticos donde se encuentren almacenados datos de carcter personal de nivel medio, debern constar: a) Tipo de soporte. b) Fecha y hora. c) Emisor. d) Nmero de soportes. e) Tipo de informacin que contienen. f) Forma de envo. g) Persona responsable de la recepcin que deber estar autorizada. Y en el correspondiente registro de salida: a) Tipo de soporte. b) Fecha y hora. c) Emisor. d) Nmero de soportes. e) Tipo de informacin que contienen. f) Forma de envo. g) Persona responsable del envo que deber estar autorizada.
Todos estos registros y el procedimiento de gestin de entrada y salida de los soportes deben quedar reflejados en el Documento de Seguridad junto a un modelo de las autorizaciones correspondientes. Las autorizaciones ya emitidas deben ser almacenadas junto al resto de documentacin relativa a los ficheros. Muy importante
ngel Villodre
es el apartado 3 del artculo 20 de adopcin de medidas para impedir cualquier recuperacin de informacin de un soporte que vaya a ser desechado.
Registro de incidencias
En el artculo 21 se aade la obligacin de consignar en el registro de incidencias, para este nivel de seguridad, los procesos realizados para la recuperacin de los datos indicando la persona que ejecut la misma, los datos restaurados y si procede, qu datos han tenido que ser restituidos manualmente. Ser necesaria la autorizacin por escrito del responsable de los ficheros para llevar a cabo operaciones de recuperacin de datos.
ngel Villodre
Registro de accesos
Esta es, con diferencia, la medida ms problemtica de adoptar en todo el proceso de adaptacin de los sistemas de informacin a la LOPD. Y es que en el artculo 24 del Reglamento se recoge la necesidad de establecer un registro individual para cada acceso a los datos donde figure: a) La identificacin del usuario, b) Fecha y la hora en que se realiz el acceso, c) Fichero accedido, d) Tipo de acceso: autorizado o denegado, e) Y en el caso que el acceso haya sido autorizado, ser preciso guardar la informacin que permita identificar el registro accedido dentro de cada fichero. Los mecanismos del registro de accesos estn bajo el control y la responsabilidad directa del responsable de seguridad competente. Estos registros deben almacenarse durante al menos dos aos y el responsable de seguridad debe revisarlos peridicamente y elaborar un informe donde recopile las revisiones y los problemas encontrados al menos una vez al mes, informe que debe aadirse al Documento de Seguridad. El volumen de datos que generan estos registros junto a la capacidad de proceso necesario para manejarlo supone un fuerte gasto econmico y de gestin enorme paras las Empresas que deben asumirlo, y sin embargo todas estas medidas son completamente obligatorias para este nivel de seguridad.
ngel Villodre
ngel Villodre
Notas al pie
Fichero automatizado: la LOPD lo define como todo conjunto organizado de datos de carcter personal, cualquiera que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y acceso. Empresa: en toda la literatura relativa a proteccin de datos, el trmino global Empresa abarca a la organizacin o conjunto de organizaciones responsables de los ficheros de datos de carcter personal, con total independencia de su personalidad jurdica o fsica. Es decir, se har referencia a la Empresa como responsable de los mencionados ficheros sin tener en cuenta de si se trata realmente de una empresa privada, Administracin pblica o incluso una persona fsica. Autentificacin: autentificacin y autenticacin son palabras completamente sinnimas segn la RAE, siendo autentificacin un trmino ms moderno y ms empleado actualmente que autenticacin. Incidencias graves o muy graves: son calificadas de graves los accesos fsicos no autorizados a los sistemas de informacin haya o no manipulacin de los mismos, por ejemplo, y muy graves las catstrofes naturales, los incendios o los robos deliberados en los sistemas de informacin.
Bibliografa
Texto consolidado de la Ley Orgnica 15/1993, de 13 de Diciembre, de proteccin de datos de carcter personal y Reglamento de Desarrollo de la LOPD aprobado mediante RD 1720/2007 Agencia Espaola de Proteccin de Datos Texto consolidado del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carcter personal aprobado mediante Real Decreto 994/1999 Agencia Espaola de Proteccin de Datos. La proteccin de datos personales. Soluciones en entornos Microsoft. Versin 2.0 Microsoft Ibrica S.A. con la colaboracin de la Agencia Espaola de Proteccin de Datos. Autores: J.M. Alonso, J.L. Garca, Antonio Soto, David Suz, Jos Helguero, M Estrella Blanco, Miguel Vega y Hctor Snchez.
10