TIPOS DE MEDIDAS DE SEGURIDAD

TIPOS DE MEDIDAS DE SEGURIDAD

En función de cada nivel de seguridad de datos, existen diferentes medidas de seguridad y salvaguarda de los mismos. Así, el Responsable de seguridad deberá saber qué tipo de datos trata y en función de eso establecer cuantas medidas sean necesarias en función de los niveles de los mismos.

Por lo tanto, podemos decir que existen medidas de seguridad de nivel:

  • Básico
  • Medio
  • Alto

Y que son los tipos de datos del punto anterior los que marcan cuando hay que aplicarlas.

Medidas de seguridad de nivel básico

Previsiblemente, toda organización que trate datos de carácter personal va a tener que implantar estas medidas:

Documento de seguridad_
El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

El documento deberá contener, como mínimo, los siguientes aspectos:

  • Ámbito de aplicación del documento con especificación detallada de los recursos
  • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
  • Funciones y obligaciones del personal.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.

El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

No nos adentramos en él debido a que el siguiente punto trata exclusivamente del mismo.

Funciones y obligaciones del personal_
Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas.

El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Registro de incidencias_
El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma.

Identificación y autenticación_
El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.

Cuando el mecanismo de autenticación se base en la existencia de contraseñas, existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos.

Medidas de seguridad de nivel medio

Documento de seguridad_
El documento de seguridad deberá contener, además de lo dispuesto en el punto anterior, la identificación del responsable o responsables de seguridad, los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento y las medidas que sean necesarias adoptar cuando un soporte vaya a ser desechado o reutilizado.

Responsable de seguridad_
El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de Ia responsabilidad, que corresponde al responsable del fichero de acuerdo con este Reglamento.

Auditoria_
Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditora interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.

El informe de auditoría deberá dictaminar sobre Ia adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.

Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos.

Identificación y autenticación_
El responsable del fichero establecerá un mecanismo que permita la identificación, de forma inequívoca y personalizada, de todo usuario que intente acceder al sistema de información y la verificación de que está autorizado.

Se limitará la posibilidad de intentar, reiteradamente, el acceso no autorizado al sistema de información.

Control de acceso físico_
Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.

Gestión de soportes_
Deberá establecerse un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, Ia forma de envío y la persona responsable de la recepción, que deberá estar debidamente autorizada.

Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y Ia persona responsable de la entrega que deberá estar debidamente autorizada.

Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario.

Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.

Registro de incidencias_
En el registro regulado en el artículo 10 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.

Pruebas con datos reales_
Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

Medidas de seguridad de nivel alto

Distribución de soportes_
La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos, o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

Registro de accesos_
De cada acceso se guardarán, como mínimo, Ia identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

En el caso de que el acceso haya sido autorizado, será preciso guardar Ia información que permitirá identificar el registro accedido.

Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.

El periodo mínimo de conservación de los datos registrados será de dos años.

El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

Copias de respaldo y recuperación_
Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan cumpliendo, en todo caso, las medidas de seguridad exigidas en este reglamento.

Telecomunicaciones_
La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.



Otras guías de interés:

  • Confederación de Empresarios de Andalucía

    Centro de Servicios Empresariales de Andalucía
    C/ Arquímedes, 2 Isla de la Cartuja,
    41092, Sevilla

  • Federación Andaluza de Autónomos

    Federación Andaluza de Autónomos
    CEAT-Andalucía
    C/ Arquímedes, 2. Isla de la Cartuja,
    41092, Sevilla

  • Servicio Andaluz de Empleo

    Servicio Andaluz de Empleo
    Consejería de Empleo
    Junta de Andalucía

Confederación de Empresarios de Andalucía
C/ Arquimedes, 2.Isla de la Cartuja 41092
Sevilla ESPAÑA

http://www.cea.es
Teléfono: 954 48 89 00
Fax: 954 48 89 11