PROTECCIÓN DE DATOS FORMACIÓN PARA EL PERSONAL DE SEGURIDAD DE LOS REGISTROS SYGILO

Transcripción

1 PROTECCIÓN DE DATOS FORMACIÓN PARA EL PERSONAL DE SEGURIDAD DE LOS REGISTROS SYGILO Enero 2010

2 Formación responsable seguridad. SYGILO 2-56 Centro de Formación

3 INDICE 1.- INICIO - INTRODUCCIÓN A SYGILO FICHEROS LOPD Consulta de Ficheros Consulta de Sistemas DOCUMENTO DE SEGURIDAD Funciones y Obligaciones Control de acceso lógico Control de acceso físico Revisiones del documento de Seguridad Documento de Seguridad en el Registro con Sygilo Personal Asociado Doc. De Seguridad Documento de Seguridad Anexo I: Ficheros Anexo II: Notificaciones LOPD Anexo III: Funciones Anexo IV: Acceso datos Anexo V: Acceso Físico Anexo VI: Revisiones Anexo VI: Revisiones Anexo VII: Documentos de Apoyo Diario de Trabajo PROCEDIMIENTO DE GESTIÓN. (2ª Fase) Registro de Incidencias Incidencias A) Notificar incidencia de seguridad B) Registrar la incidencia C) Resolver la incidencia D) Revisar incidencias y emitir informe Registro de Incidencias en el Registro y con Sygilo Gestión ARCO Inventario de Soportes Soportes: Identificar, inventariar, almacenar y destruir/reutilizar a) Identificación b) Inventariar c) Almacenar d) Destruir/Reutilizar Inventario de Soportes en el Registro con Sygilo Autorizaciones de Soportes Autorizaciones de Soportes en el Registro con Sygilo AUDITORIAS Formación responsable seguridad. SYGILO 3-56 Centro de Formación

4 Formación responsable seguridad. SYGILO 4-56 Centro de Formación

5 1.- INICIO - INTRODUCCIÓN A SYGILO. SYGILO es la aplicación que se ha creado para que los registros puedan cumplir, de una forma más sencilla, la normativa relativa a Protección de Datos. Para acceder a ella iremos por la INTRANET colegial, en ella pinchar sobre PROTECCIÓN DE DATOS y podremos encontrar toda la normativa, documentación y la aplicación Sygilo objeto del presente manual. Al entrar a la aplicación desde la intranet, el registro verá en la parte izquierda de la pantalla un menú de opciones con las que debe trabajar para el cumplimiento de la LOPD. Podremos observar una pantalla central en la que se nos muestran las estadísticas de los ficheros declarados por el registro. Tenemos dos pestañas, una para los ficheros privados y otra para los ficheros de carácter público, aunque estos a día de hoy no se declaran. Formación responsable seguridad. SYGILO 5-56 Centro de Formación

6 Formación responsable seguridad. SYGILO 6-56 Centro de Formación

7 2.- FICHEROS LOPD. 2.1 Consulta de Ficheros. En una primera fase, se deben declarar los Ficheros con datos de carácter personal, para ello pulsaremos sobre la opción FICHEROS LOPD. Podremos consultar los ficheros de carácter personal de nuestro registro y el estado en el que se encuentran. Antes de enviar los ficheros declarados a la Agencia, el Colegio comunicará al Registrador mediante correo electrónico los cambios producidos en la declaración de sus ficheros. El registrador entrará por el apartado de NOTIFICACIONES CAMBIOS DECLARACIÓN, pudiendo ver todos aquellos ficheros que están en el Estado Pte. Aceptación Modificación y pulsar sobre el botón para poder ver los datos que se van a declarar salvo que se indique lo contrario. Formación responsable seguridad. SYGILO 7-56 Centro de Formación

8 Una vez confirmados, los ficheros declarados son enviados por el Colegio a la Agencia de Protección de Datos para que sean registrados en el Registro General de Protección de Datos (RGPD). Una vez registrados los ficheros en la Agencia, se recibirán las Notificaciones de las inscripciones de éstos por correo electrónico al Registrador. El Registrador, deberá aceptar firmando estas comunicaciones de inscripción con su firma electrónica en un plazo de 10 días. En caso contrario, transcurrido dicho periodo, se aplicará el silencio administrativo y se considerarán aceptadas. Al aceptar estas comunicaciones, deberán imprimirse y adjuntarse en formato papel al Documento de Seguridad. Finalmente, comentar que al ser aceptadas quedarán grabadas automáticamente en Sygilo, concretamente, en el apartado de Documento de Seguridad. No obstante, en el caso de que el Registrador no esté de acuerdo, podrá interponer recurso de Reposición ante la Agencia en un mes, o dos meses para interponer recurso Contencioso- Administrativo ante la sala de lo Contencioso-Administrativo competente. Para Aceptar la comunicación de inscripción en la Agencia de Protección de Datos seleccionaremos la opción Aceptaciones del apartado de Notificaciones. Al seleccionar dicha opción, nos permitirá ver en pantalla las Notificaciones pendientes de aceptar, en la parte inferior de la pantalla tendremos el botón para Aceptar. El Registrador pulsará Aceptar con su certificado de firma y una vez llevada a cabo la firma la aplicación nos mostrará el mensaje de que ha finalizado la aceptación. Formación responsable seguridad. SYGILO 8-56 Centro de Formación

9 2.2 Consulta de Sistemas. Por otro lado, podremos ver los diferentes programas de carácter informatizado o sistemas que tenemos en el registro y que contienen datos de carácter personal, y el nivel de seguridad que tiene cada uno de ellos. Por defecto, la aplicación nos muestra una serie de sistemas. No obstante, podremos dar de alta otros que necesite el registro. Para dar de alta pulsaremos al botón Añadir. Formación responsable seguridad. SYGILO 9-56 Centro de Formación

10 Pulsar para dar de alta el sistema que deseemos. Accedemos a una pantalla con tres pestañas, son obligatorias de cumplimentar las casillas en amarillo. Una vez rellenadas las casillas pulsar nuevamente para grabar. Tendremos dado de alta el sistema lo que afectará directamente al Diario de Trabajo. Es decir, a las obligaciones a la hora de trabajar en la aplicación para adecuarnos a la normativa de Protección de Datos. Los sistemas que tengamos dados de alta afectan directamente al Diario de Trabajo y por lo tanto en los Indicadores, es decir, a las obligaciones a la hora de trabajar en la aplicación para adecuarnos a la normativa de Protección de Datos. Formación responsable seguridad. SYGILO Centro de Formación

11 3.- DOCUMENTO DE SEGURIDAD. El Documento de Seguridad se podría definir como las medidas de índole técnica y organizativas necesarias para garantizar la protección, confidencialidad e integridad que exige la LOPD. El Documento de Seguridad es un documento elaborado por el Responsable de Seguridad y de obligado cumplimiento para todo el personal en aquello que afecte. El contenido principal queda estructurado como sigue: Funciones y obligaciones del personal. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos por este documento. Concretamente: o o o Medidas comunes a ficheros automatizados y no automatizados. Medidas específicas a ficheros automatizados. Medidas específicas a ficheros no automatizados. Aquí explicaremos un poco más en detalle los datos que tenemos que incluir en nuestro Documento de Seguridad. Dependiendo del nivel de seguridad de los ficheros, como ya se ha explicado antes, el documento debe incluir lo siguiente: Nivel básico: Aspectos generales. Es decir, ámbito de aplicación y especificación detallada de los recursos que se protegen. Por ejemplo, especificaremos las bases de datos a las que se refiere el Documento. Medidas que se establecen para garantizar el nivel de seguridad exigido. Por ejemplo, detallaremos los sistemas de contraseña y su cambio periódico, la protección física de los accesos a los servidores, etc. Funciones y obligaciones del personal. Por ejemplo, explicaremos las limitaciones de un usuario para acceder a la base de datos. Estructura de los ficheros y descripción de los Sistemas de Información que los tratan. Por ejemplo, el tipo de datos que contiene la base de datos y la descripción de los programas que usan para acceder a ella. Detallar los procedimientos de notificación, gestión y respuesta ante incidencias. Por ejemplo, habrá un procedimiento donde se detalle cómo proceder ante una incidencia detectada en la base de datos. Como ya se ha comentado, es necesario mantener un registro de incidencias, que deberá contener: o o o o o Tipo de Incidencia. Momento en que se ha producido. Persona que realiza la notificación. A quién se le comunica. Efectos derivados de la incidencia. Detallar procedimiento de copias de seguridad y de recuperación de la misma en caso de ser necesario. Formación responsable seguridad. SYGILO Centro de Formación

12 Nivel Medio: COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA Además de los contenidos del documento para el nivel básico, para el nivel medio deberá también incluir: Identificación del Responsable o Responsables de Seguridad. Plan de auditoria bianual. Recordemos que para el nivel medio se nos exige un control de entrada/salida de los soportes. Este registro debe incluir: Tipo de soporte. Fecha y hora. Emisor y destinatario. Número de soportes. Tipo de información que contienen. Forma de envío. Persona autorizada responsable de la recepción y entrega, respectivamente. Nivel Alto: El documento de Seguridad para los ficheros de nivel alto deberá contener los mismos campos que para los niveles básicos y medio, aunque evidentemente con las particularidades respecto a la protección de ficheros de este nivel. Una de las obligaciones sobre los ficheros de nivel alto la llevanza del registro de los accesos a estos ficheros. Este registro debe ser conservado al menos durante 2 años, y contendrá los siguientes campos: Quién es el usuario. Fecha y hora de acceso. A qué fichero accedió. Tipo de acceso. Resultado del intento (permitido-denegado). Funciones y Obligaciones. RESPONSABLE FICHERO: El Registrador es el responsable último de los Ficheros, tanto automatizados como no automatizados, que contienen datos de carácter personal, y decide sobre su finalidad, contenido, uso y tratamiento. RESPONSABLE SEGURIDAD: Cuyas funciones serán las de coordinar y controlar las medidas definidas en el presente documento. El Responsable de Seguridad es el propio Registrador o quien éste haya designado para tales funciones, el nombramiento se reflejará como en el documento de seguridad. OPERADORES, TÉCNICOS Y ADMINISTRADORES DEL SISTEMA: Son los encargados de administrar o mantener el entorno operativo de la información contenida en los Ficheros y del acceso a los mismos. Asimismo, se encargan de la custodia de soportes, incluyéndose a todas las personas involucradas en los tratamientos de datos (Operadores del Registro, Administradores, Operadores de explotación ) que generan, tratan o gestionan soportes (por ejemplo, las cintas o discos de la copias de seguridad). USUARIO DEL FICHERO o personal que usualmente utiliza el archivo físico (tomos, libros auxiliares y legajos del Registro) o el sistema informático de acceso al Fichero. Formación responsable seguridad. SYGILO Centro de Formación

13 ENCARGADO DEL TRATAMIENTO: Cuya función será tratar los datos por cuenta del Responsable del Fichero. Tratamiento conforme a las instrucciones especificadas por éste en el contrato de prestación de servicios que les vincula. En el ANEXO IV relativo a Funciones y Obligaciones se nombran las diferentes personas con atribuciones de responsabilidad y seguridad sobre los ficheros que contienen datos de carácter personal. Constituye una obligación del personal adscrito al Registro, tanto interno como externo, notificar al Responsable de Fichero o de Seguridad las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos. Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo (Art.10 LOPD). Este compromiso será asumido mediante la firma del correspondiente documento de confidencialidad. El incumplimiento de estos principios determinará la adopción por el Registrador de las medidas preventivas, correctivas o disciplinarias que resultaran precisas y podrá acarrear las correspondientes sanciones en función de la normativa aplicable. Control de acceso lógico. Las principales funciones del Control de Acceso Lógico son: Controlar los accesos a la información teniendo en cuenta las políticas de distribución de la información y de autorizaciones. Evitar accesos no autorizados a los sistemas de información, estableciendo procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y a los servicios. Detectar actividades no autorizadas. Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo. Para evitar que programas o personal no autorizado usen los recursos: 1. Se deben emplear controles de acceso lógico a los programas y aplicaciones, es decir, las aplicaciones deben estar desarrolladas de tal manera que prevean el acceso no autorizado a la información a la que tienen acceso. 2. El identificador del usuario es único por persona y tiene asociado una contraseña o password. Los identificadores se deberán inscribir en el Documento de Seguridad. 3. Varios usuarios no pueden, en principio, compartir el mismo identificador. En el supuesto de que las cuentas o identificadores fuesen comunes, debe justificarse y registrarse su existencia. 4. Limitar el acceso del usuario únicamente a los recursos que requiere para desarrollar su trabajo. 5. Se debe contar con procedimientos de registro de altas, bajas y cambios de usuarios con acceso a los sistemas. 6. Crear y mantener perfiles de seguridad para todos los usuarios en base en sus roles y responsabilidades. 7. Solicitar a todos los usuarios firmar un acuerdo de uso apropiado antes de que tengan acceso al equipo, red y sus recursos. Esto es la Firma de Normas de Uso y Buenas Prácticas. 8. Los derechos de acceso de usuarios deben ser revisados periódicamente. 9. La pantalla de acceso al sistema debe notificar al usuario e incluso a los atacantes que el sistema está siendo vigilado y que cualquier actividad no autorizada será castigada. 10. No proporcionar ningún tipo de información referente al equipo, red o institución antes de que el usuario se autentique en el sistema. Formación responsable seguridad. SYGILO Centro de Formación

14 11. Instruir a los usuarios para que no divulguen información a cualquier persona que la solicite, salvo en los casos estipulados en la actividad propia del registro. 12. Instalar mecanismos que limiten el número de intentos fallidos para autenticarse en el sistema. 13. Limitar los lugares desde donde el usuario puede conectarse. 14. Los usuarios deben entrar a la red y sus recursos empleando su clave de acceso propia. 15. Emplear autenticación para llevar un registro de accesos a sistemas críticos o a ficheros con datos de carácter personal de nivel alto, con identificación de usuario, fecha y hora del acceso, fichero al que se ha accedido, tipo de acceso, autorizado o denegado y si ha sido autorizado guardar clave del registro o información que permita identificarlo. 16. Deshabilitar cuentas de usuario después de un periodo establecido por inactividad y eliminarlas después de un periodo más largo establecido (mínimo 2 años). El borrado o eliminación de las cuentas de usuario son responsabilidad del Responsable de Seguridad que solicitará, previa autorización del Responsable del Fichero (Registrador), la eliminación o borrado al administrador Establecer una longitud mínima de passwords (contraseña), así como la combinación de letras (mayúsculas y minúsculas), números y signos. (Es recomendable, al menos, 8 caracteres en la password) 18. La primera contraseña será asignada por el Administrador de Seguridad, y obligará a ser cambiada por el propio usuario en la primera conexión. 19. La contraseña o password sólo es conocida por el propio usuario. 20. Cambiar las contraseñas periódicamente, al menos una vez al año. 21. Cambiar las passwords por omisión de las instalaciones de sistemas operativos, software y aplicaciones. 22. Tener un histórico de contraseñas para no reutilizar una contraseña. 23. Las contraseñas se deben almacenar cifradas. 24. Las aplicaciones no muestran las contraseñas cuando se teclean. 25. Emplear medidas de seguridad lógica adoptados para la defensa de ataques externos, tales como antivirus, firewall, etc como parte de la solución de seguridad. Control de acceso físico. Es necesario tener medidas para evitar accesos no autorizados y daños contra los locales y la información. Dentro de la oficina del registro tendremos una zona de acceso público y una zona de acceso privado o área privada que comprenderá el área de trabajo y un área restringida. De estas dos últimas zonas son objeto de control y ambas se diferencia por: La zona o área de trabajo: el acceso a la misma estará limitado al personal autorizado. Este control debe estar constituido, al menos, por una separación física entre la zona pública del Registro y la zona privada del Registro donde se ubican los puestos de trabajo, el archivo, etc. Las zonas o áreas restringidas: Están incluidas dentro de la zona privada, llevarán unas medidas se seguridad adicionales ya que se debe controlar y, opcionalmente, registrar el acceso del personal autorizado. Son, por ejemplo, los armarios de comunicaciones, la zona de Archivo del Registro. Si se da a una persona permiso al área restringida se supone que tiene acceso al área de trabajo, por lo que no haría falta indicarlo en el documento de seguridad dos veces, se pondría la superior. Formación responsable seguridad. SYGILO Centro de Formación

15 Revisiones del documento de Seguridad. El Documento de Seguridad deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o como consecuencia de los controles periódicos realizados. Asimismo, deberá adecuarse en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. El Responsable de Seguridad podrá proponer los cambios que estime oportunos con el fin de mejorar la seguridad y operación de los sistemas. El Responsable del Fichero/Tratamiento deberá aprobar los cambios, así como, la mejor forma de comunicar las modificaciones al personal que pueda verse afectado. 3.1 Documento de Seguridad en el Registro con Sygilo Personal Asociado. En el apartado Personal Asociado deberemos dar de alta a todos los trabajadores del registro con la fecha desde que causaron alta en el mismo y la fecha de baja cuando los trabajadores ya no trabajen en el registro por baja, excedencias los datos del Registrador con su NIF o CIF si es Comunidad de Bienes, y la relación de empresas externas con su NIF/CIF que trabajen para el registro en alguna cuestión específica, por ejemplo la empresa de Soporte del Colegio. Para llevar a cabo dicha tarea, deberemos ir por DOCUMENTO SEGURIDAD PERSONAL ASOCIADO. Una vez en PERSONAL ASOCIADO, si no apareciera automáticamente nuestro registro, deberemos seleccionar la Organización a la que pertenecemos, y a continuación, la Unidad. Para hacer efectiva la búsqueda pulsaremos sobre el botón. Obtendremos una pantalla de resultado como la que a continuación mostramos: Una vez en dicha pantalla, pulsaremos sobre el botón para acceder a la siguiente pantalla, en la que debemos trabajar. Para dar de alta a un trabajador del registro pulsaremos sobre la opción Añadir. Formación responsable seguridad. SYGILO Centro de Formación

16 Al pulsar Añadir, accederemos a la siguiente pantalla donde debemos indicar si el personal que deseamos dar de alta es Personal Interno o por el contrario es Personal Externo. La opción Personal Interno la utilizaremos para dar de alta todos los trabajadores del registro, así como la fecha en la que fueron dados de alta en el registro, o en los casos que sea procedente la fecha que causaron baja. Igualmente, rellenaremos los datos del Registrador o la Comunidad de Bienes a la que pertenece, debiendo rellenar los datos relativos al NIF o CIF, dato obligatorio para este supuesto y para el de Soporte del Colegio, aunque este último es personal externo. Por otro lado, indicaremos Personal Externo para dar de alta en la aplicación a todas las empresas externas que tenga contratado el registro para la gestión de cualquier materia, (por ejemplo Gestoría ). En nuestro caso, al ser personal del registro, seleccionaremos la opción Personal Interno. Formación responsable seguridad. SYGILO Centro de Formación

17 Tras indicar que lo que deseamos dar de alta es Personal Interno, la aplicación nos muestra la siguiente pantalla, que consta de dos pestañas, para que procedamos a introducir los datos. Las casillas que nos muestra en color amarillo son de obligado cumplimiento. Rellenaremos las casillas, tal y como muestra la imagen: Una vez cumplimentada dicha pestaña procederemos a rellenar los datos relativos a la pestaña Datos contratos. Si quisiéramos Guardar los datos introducidos, sin previamente cumplimentar dicha pestaña, la aplicación nos mostraría la siguiente llamada de atención y no nos permitiría continuar. En la pestaña Datos Contratos, marcaremos lo que sea pertinente, tal y como nos muestra la siguiente pantalla. Tras introducir los datos, pulsaremos Guardar y nos mostrará una pantalla donde se indicará Datos actualizados, es decir, que han quedado grabados en la aplicación. Al pulsar Aceptar, podremos observar como han quedado grabados los datos introducidos. Formación responsable seguridad. SYGILO Centro de Formación

18 Si lo que deseamos es dar de alta Personal Externo, bastará con marcar dicha opción y la aplicación nos mostrará la siguiente pantalla que consta de tres pestañas. En primer lugar, seleccionaremos en Seleccionar Personal Tipificado solo aquellas empresas que aparezcan en la relación (actualmente las principales empresas de software y ESABE). A continuación, cumplimentaremos los datos de la primera pestaña que, como en el supuesto del personal interno, los campos de color amarillo son obligatorios. En el caso de Colegio de Registradores el CIF se cumplimentará automáticamente. Formación responsable seguridad. SYGILO Centro de Formación

19 A continuación, rellenaremos los datos relativos a la pestaña Datos Contratos : Finalmente, cumplimentaremos los datos relativos a Cláusulas contratos : NOTA: El personal externo sin acceso a datos no tiene que firmar las normas de uso y buenas prácticas. Una vez cumplimentadas todas las pestañas con todos sus datos, pulsaremos Guardar para archivar dichos datos en la aplicación. Terminada la operación de introducir el personal interno y externo del registro procederemos a emitir el informe de la relación de todos ellos, dicho informe deberemos imprimirlo y guardar con toda la documentación que obliga el documento de seguridad. Lo más práctico es que exista un ejemplar impreso del documento de seguridad, que los datos estén actualizados siempre en SYGILO y que siempre estemos en disposición de imprimir una copia del documento de seguridad. Para poder obtener el mismo, pulsaremos sobre el botón Informe que nos encontramos en la parte superior derecha. Formación responsable seguridad. SYGILO Centro de Formación

20 Formación responsable seguridad. SYGILO Centro de Formación

21 Doc. De Seguridad. Al pulsar sobre la opción Doc. De Seguridad, la aplicación nos mostrará una pantalla como la siguiente: Esta misma, en la parte central, nos muestra un índice de los diferentes aspectos que tendremos que cumplimentar, imprimir y archivar como documento de seguridad del registro. A continuación analizaremos como trabajar en cada punto Documento de Seguridad. El primer aspecto que nos encontramos es el apartado Documento de Seguridad. Al pulsar sobre el mismo, vemos que en la pantalla se nos muestran varios tipos de documentos, por un lado la Portada del documento de Seguridad, el Documento de Seguridad Registros, Normas de uso y buenas prácticas y dos modelos para la aceptación de las mismas. Todos ellos deberemos imprimirlos, para ello pulsaremos sobre el icono que aparece en la parte derecha de la pantalla en cada uno de los Nombres del documento. Formación responsable seguridad. SYGILO Centro de Formación

22 Por ejemplo, si hacemos clic sobre el primero, obtendremos la siguiente imagen, pulsaremos sobre Abrir o Guardar, obteniendo como resultado un fichero pdf con la portada del Documento de Seguridad de nuestro registro. Deberemos imprimir dicha página: Deberemos llevar a cabo el mismo proceso para generar y poder imprimir el Documento de Seguridad del Registro. Formación responsable seguridad. SYGILO Centro de Formación

23 Anexo I: Ficheros. El siguiente apartado relativo al Anexo I: Ficheros deberemos imprimir todas las solicitudes de inscripción de los ficheros, incluidos los públicos, que nos muestra la aplicación en rojo. Para poder imprimir los mismos, trabajaremos de la misma forma que en el apartado anterior Anexo II: Notificaciones LOPD. Todas las notificaciones que el registro recibe de la Agencia de Protección de Datos quedan archivadas en este apartado. Dichas notificaciones contendrán el código de inscripción que le ha sido asignado al fichero que ha sido inscrito en el Registro General de Protección de Datos. Todas las notificaciones las deberemos imprimir (salvo la de los ficheros públicos que aún no existen), para ello trabajaremos de la forma habitual Anexo III: Funciones. Este apartado nos muestra todo el personal asociado al registro, así como la/s función/es que se le permite desempeñar. Deberemos ver uno a uno cada función. Tenemos dos nuevas Formación responsable seguridad. SYGILO Centro de Formación

24 funciones, aunque no obligatorias, que son la de Suplentes para autorizar entrada y salida de los soportes y Suplentes para recuperar copia de seguridad. Para dar de alta las funciones y obligaciones es necesario que tengamos dado de alta todo el personal asociado al registro. Para comenzar a seleccionar funciones al personal pulsaremos Actualizar, accederemos a una pantalla donde podremos elegir la función y asociarla al personal correspondiente. Al pulsar Actualizar accederemos a la siguiente pantalla. Abrir el despegable Función y seleccionar la deseada, las casillas Descripción y Personal se complementarán Formación responsable seguridad. SYGILO Centro de Formación

25 Seleccionar la/s persona/s que llevan a cabo la función indicada, pulsar Añadir o Añadir todos y nos mostrará la/s persona/s seleccionadas en la casilla inferior. Una vez que hayamos cumplimentado todas las funciones deberemos Guardar y a continuación, imprimiremos el Informe que archivaremos junto al resto de papeles que integran el Documento de Seguridad del Registro. Siempre que haya un cambio, volver a imprimir el documento ya que siempre deberá estar actualizado Anexo IV: Acceso datos. Tenemos dos formas de trabajar, por ficheros o por personas. La recomendación depende del personal del Registro. Si son Registros con mucha gente (número superior al de ficheros) es conveniente hacerlo por ficheros, pero si son Registros pequeños (número inferior al de ficheros) es más sencillo hacerlo por Personal. Para el supuesto de hacerlo por ficheros, haremos clic sobre Fichero, a continuación seleccionaremos uno en concreto, por ejemplo Nóminas, e indicaremos persona por persona todas aquellas que se les permita utilizar dicho fichero. Para grabar la información pulsaremos en Guardar. Repetiremos la operación para cada uno de los ficheros que tengamos declarados. Al finalizar, pulsaremos en Volver y generaremos el Informe, el cual deberemos imprimir y archivar de la forma habitual. A modo de ejemplo acompañamos las siguientes pantallas: Formación responsable seguridad. SYGILO Centro de Formación

26 Pulsar en Ficheros para acceder a la pantalla en que debemos indicar a qué datos tiene acceso cada persona asociada al registro. Elegir el Ficheros de datos al que deseamos asociar el grupo de trabajo y las personas asociadas al registro que tiene acceso a esos datos. Cuando no aparezca previamente seleccionado, elegir el Grupo de trabajo que, dentro del fichero elegido, vamos asociar el personal pertinente. Formación responsable seguridad. SYGILO Centro de Formación

27 Cumplimentar la casilla Departamento Seleccionar en la casilla Personal los trabajadores o empresas externas que se les permite el acceso a datos para el Fichero y Grupo previamente seleccionados. Pulsar Añadir. Acabada la selección, pulsar Guardar, la aplicación nos mostrará el mensaje Datos actualizados pulsar Aceptar. Habrán quedados archivados los datos. Pulsar Volver para acceder a la página inicial. Resultado final de nuestra operación. Repetir esta operación las veces que sean necesarios conforme a los ficheros que se usen en el registro y grupos. NOTA PARA LOS REGISTROS MERCANTILES: Los ficheros de Facturación de Servicios Interactivos, Facturación de Servicios Presenciales y Usuarios de Servicios Presenciales, por defecto, les muestra que el GRUPO es Registro de la Propiedad, por lo que hay que modificarlo a Registro Mercantil. Formación responsable seguridad. SYGILO Centro de Formación

28 Anexo V: Acceso Físico. Deberemos indicar que ubicación tiene cada una de las personas que tienen acceso a las instalaciones del registro, pudiendo añadir comentarios. Si el registro no tiene ninguna restricción se considerará que todo el registro es zona restringida. Para comenzar a introducir datos pulsaremos Actualizar y accederemos a la pantalla donde añadiremos el personal asociado activo y su ubicación en el registro. Abrir el despegable Ubicación y elegir entre las dos opciones, bien Área de Trabajo o Área Restringida. Al seleccionar una de ellas se complementará automáticamente la casilla Descripción y nos aparecerán la relación del personal asociado al registro para que seleccionemos aquellas que tienen acceso físico en el registro en la ubicación indicada. Formación responsable seguridad. SYGILO Centro de Formación

29 Seleccionar la/s persona/s para dicha ubicación y pulsar Añadir o Añadir todos. Terminada nuestra selección pulsar Guardar, volveremos a la pantalla inicial donde podremos ver el resultado. Al finalizar, igual que en el resto de los supuestos, pulsaremos Volver para poder generar el Informe que debemos imprimir y archivar con el resto de la documentación. Formación responsable seguridad. SYGILO Centro de Formación

30 Anexo VI: Revisiones En el documento de seguridad se hacen varias revisiones, generalmente de carácter trimestral. Por ejemplo, la Comprobación de la lista de usuarios para acceder a los sistemas. Para empezar a indicar en la aplicación que se ha llevado a cabo una revisión, pulsaremos sobre el botón Actualizar. Abrir el despegable Revisión para indicar el tipo de revisión que se ha llevado a cabo. Al seleccionar el tipo de revisión la aplicación, automáticamente, indica el tiempo de periodicidad. Formación responsable seguridad. SYGILO Centro de Formación

31 A continuación, pinchar en el icono que aparece en la casilla Fecha para indicar la fecha en la que se ha llevado a cabo la revisión. Es obligatorio rellenar el campo Observaciones. A continuación, seleccionar el fichero que ha sido revisado y pulsar Añadir. Formación responsable seguridad. SYGILO Centro de Formación

32 Al finalizar, pulsar Guardar, la aplicación nos mostrará el mensaje Datos actualizados y nos posicionará en la pantalla principal donde podremos observar el resultado de nuestra operación. Finalmente, deberemos imprimir el Informe que nos mostrará todas las revisiones y que deberemos archivar con el resto de documentación del Documento de Seguridad. Formación responsable seguridad. SYGILO Centro de Formación

33 Anexo VII: Documentos de Apoyo. En esta opción se podrá agregar normativa autonómica o cualquier otro documento que el registrador quiera incorporar al documento de seguridad. Pulsar la opción Documentos, accederemos a la siguiente pantalla. Para adjuntar cualquier documento pulsar la opción Añadir, accederemos a la siguiente pantalla. Cumplimentar las casillas indicando: Nombre del documento, adjuntar el fichero (máx 4Mb) y Descripción. Formación responsable seguridad. SYGILO Centro de Formación

34 3.1.3 Diario de Trabajo. El Diario de Trabajo lleva el control y la gestión de las tareas del registro que en su adecuación a la normativa de Protección de Datos se han llevado ya a cabo o quedan pendientes aún, por lo que las tareas pasan de Pendientes a Completadas. La aplicación, por defecto, nos muestra todas las tareas pendientes que tenga el registro. La forma más práctica de trabajar en el Diario de Trabajo es por Tareas del Diario, por ello abriremos el despegable de Tareas del Diario y seleccionaremos la tarea con la que deseemos trabajar. Para seleccionar una tarea debemos abrir el despegable Tareas del Diario, seleccionar la tarea pertinente y pulsar para que nos muestra en pantalla, exclusivamente, los datos relativos a dicha tarea. Tras seleccionar y filtrar por la tarea con la que deseamos trabajar, obtendremos una pantalla como la que aparece a continuación. En cada tarea pendiente observamos que además de indicarnos la tarea, la aplicación nos muestra lo que denomina Detalle para indicarnos dentro de esa tarea qué es lo que concretamente tenemos que modificar. Formación responsable seguridad. SYGILO Centro de Formación

35 Cuando deseemos cambiar el Estado de una tarea de Pendiente a Completada, deberemos trabajar conforme a las siguientes pantallas. Pulsar sobre el botón de la casilla Fecha Resolución, seleccionaremos la fecha en que se ha resuelto la tarea pendiente. Igualmente, es obligatorio cumplimentar la casilla Observaciones, dando una breve explicación de lo que se ha llevado a cabo para solucionar dicha tarea. Formación responsable seguridad. SYGILO Centro de Formación

36 Marcar Seleccionar todas o sólo aquella/s tarea/s que se hayan resuelto. Pulsar para cambiar el Estado a Completada. La aplicación, tras pulsar Guardar nos muestra la pantalla de las Tareas Completadas. Formación responsable seguridad. SYGILO Centro de Formación

37 NOTA: Al dar por completada las Tareas en el Diario de Trabajo también quedan completadas en el Doc. de Seguridad, tal y como apreciamos en la siguiente pantalla: 4.- PROCEDIMIENTO DE GESTIÓN. (2ª Fase) En el procedimiento de Gestión deberemos de hacer un estudio detallado de varios aspectos diferentes, los mismos son: Registro de Incidencias. Gestión Arco. Gestión de Soportes. o Inventario Soportes. o Autorizaciones Soportes. 4.1 Registro de Incidencias Incidencias. El Procedimiento de Gestión de Incidencias detalla las acciones a seguir cuando se produce una incidencia, concretamente, reflejará su grabación en el registro de incidencias así como el flujo de trabajo para su resolución y posterior análisis. A) Notificar incidencia de seguridad. Todos los usuarios de sistemas tienen la obligación de mantener el equipo de trabajo en buenas condiciones de uso. Un usuario en el uso cotidiano de los sistemas de información puede sufrir incidencias relacionadas con: CONFIDENCIALIDAD: El usuario autorizado, tiene la certeza o sospecha que alguna de sus contraseñas de acceso han dejado de ser secretas o que alguien se ha apropiado de información sensible o confidencial. INTEGRIDAD: Son las relacionadas con las pérdidas, modificaciones de datos o daños en los mismos de forma maliciosa o accidental. Formación responsable seguridad. SYGILO Centro de Formación

38 DISPONIBILIDAD: Asegurar el acceso de los usuarios a los sistemas que contienen los datos. Si los sistemas no están operativos durante un periodo de tiempo prolongado, se deberá notificar al personal de soporte la misma o grabarla en el registro de incidencias. En caso de producirse una incidencia relacionada con la confidencialidad, integridad o disponibilidad de los datos, que ponga en peligro la seguridad de los mismos contenidos en un fichero, provocando la pérdida, destrucción o modificación de los mismos, este hecho será comunicado por la persona que la detecte al Responsable de Seguridad. B) Registrar la incidencia. El Responsable de Seguridad o persona designada para atender las incidencias de seguridad registran la misma, haciendo constar en el registro los siguientes datos: Tipo y descripción de la incidencia. Nombre del fichero o nombre del sistema. Momento en que se ha producido o detectado. Nombre de la persona que realiza la notificación. Nombre de la persona a quien se comunica. Efectos que se hubieran derivado de la misma. C) Resolver la incidencia. El Responsable de Seguridad procede a la resolución de la incidencia o a dar las instrucciones precisas para ello, incluyendo las medidas correctoras aplicadas en el registro de incidencias. Si para la resolución de la incidencia fuese necesaria la restauración de datos de una copia de seguridad de ficheros que contengan datos de carácter personal de nivel medio o alto, será necesaria la autorización del Responsable del Fichero/Tratamiento. Al registrar la incidencia, además, se anotarán: o o o Proceso de recuperación de datos utilizado. Nombre de la persona que ejecutó el proceso de recuperación de datos. Datos restaurados, y en su caso, los que han sido recuperados manualmente. D) Revisar incidencias y emitir informe. Trimestralmente, el Responsable de Seguridad, revisará las incidencias relacionadas con seguridad de información. Para aquellas incidencias que se repitan con cierta frecuencia, se propondrán medidas para solucionarlas y se realiza un seguimiento de su puesta en funcionamiento Registro de Incidencias en el Registro con Sygilo. Una incidencia es un hecho que repercute directamente a la confidencialidad, integridad o disponibilidad de los datos, poniendo en peligro la seguridad de éstos y provocando su posible pérdida, destrucción o modificación. Cuando se produce una incidencia en el registro que afecta a Protección de Datos deberemos registrar dicha incidencia. Esa incidencia puede ser comunicada por dos vías: Formación responsable seguridad. SYGILO Centro de Formación

39 Llamando al Colegio de Registradores : En este caso se comunicará la incidencia a soporte que la dará de alta. Generalmente se usa cuando los programas son colegiales. Utilizando el Registro de Incidencias de Sygilo: Opción que se deberá utilizar en el caso de que la incidencia sea una incidencia de seguridad o no se haya comunicado a Soporte del Colegio, por hacer referencia a aplicaciones no colegiales o por ser incidencias que no se comunican a Soporte Colegio (p.e. robos, inundaciones ). Esta última opción es el objeto de nuestro análisis. Pulsar el botón Añadir para poder acceder a la pantalla en la que registraremos la incidencia. Cumplimentar el resto de la pantalla, especialmente indicar los Efectos de la Incidencia y las Medidas Correctoras aplicadas. Finalmente, sólo marcaremos la opción Recuperación de datos en caso de tener que recuperar la base de datos. Abrir el despegable Incidencia y seleccionar la que sea pertinente. Terminaremos pulsando el botón Guardar. La aplicación nos indica que se han actualizado los datos. La aplicación habrá actualizado los datos y nos muestra la incidencia en la página principal. Formación responsable seguridad. SYGILO Centro de Formación

40 4.2 Gestión ARCO. De acuerdo con la normativa vigente de Protección de Datos, todos los usuarios tienen derecho de Acceso, Rectificación, Cancelación y Oposición de sus datos, esto es conocido como Derechos ARCO. Si nos plantean cualquiera de ellos en nuestro registro tendremos que dejar constancia de dicha petición en Sygilo. Para ello iremos por: PROCED. GESTIÓN GESTIÓN ARCO. Una vez en la pantalla anterior, pulsar la opción de Alta de la Solicitud., accederemos a la pantalla Cumplimentar todas las casillas de Organización y Unidad (registro). Continuaremos con la casilla Tipo de Solicitud (ACCESO, RECTIFICACIÓN, CANCELACIÓN U OPOSICIÓN). Indicar la Fecha de la Solicitud, Fecha de Vencimiento. Cumplimentar los Datos del Solicitante con sus datos personales, indicando especialmente, si es extranjero, el , y la descripción de la solicitud, pudiendo aportar documentos. También se indicará si se actúa como representante legal porque, en ese caso rellenaremos los datos del mismo. Al finalizar pulsar Guardar, para grabar la solicitud. En Estado de la Solicitud seleccionaremos la opción Solicitud Recibida En Resolución al estar dando de alta la solicitud, es Sin Resolver. Dicha situación irá cambiando según avancemos en el procedimiento. Formación responsable seguridad. SYGILO Centro de Formación

41 Permite MODIFICAR la solicitud. Permite BORRAR la solicitud. Permite CONSULTAR la solicitud. Utilizaremos la opción Modificar Datos de la Solicitud para modificar cualquiera de los campos cumplimentados en el alta, para añadir documentos (tanto acreditativos como los que acompañen a la solicitud) y, finalmente, para cambiar las distintas fases o estado por las que pase la solicitud y su resolución. DIFERENTES ESTADOS DE LA SOLICITUD: 1.-Solicitud recibida: Llega la petición derecho ARCO. 2.-Solicitud incompleta datos: La petición es incompleta, se solicitan los datos que faltan. 3.-Solicitud esperando datos: Petición paralizada a espera de que lleguen los datos que faltan. 4.-Solicitud correcta: La petición reúne todos los requisitos. 5.-Solicitud tramitada: Se tramita la solicitud. 6.-Solicitud enviada: Se envía los datos solicitados al solicitante. DIFERENTES ESTADOS DE RESOLUCIÓN: 1.- APROBADA: Se resuelve a favor del solicitante. 2.- DENEGADA: Se resuelve en contra del solicitante. 3.- SIN RESOLVER: Cuando la solicitud es recibida en el registro, hasta su tramitación se encuentra en este estado. Formación responsable seguridad. SYGILO Centro de Formación

42 OBSERVACIONES DE LA RESOLUCIÓN: Pondremos los comentarios pertinentes a la resolución tomada, por ejemplo si es tramitada y aprobada como se ha resuelto la solicitud, en nuestro caso se envía la información solicitada. Finalmente, pulsar el botón ACTUALIZAR para grabar los cambios efectuados. Una vez acabada toda la tramitación de un expediente de este tipo deberemos emitir un Informe. Para ello, en la página donde hemos llevado acabo las modificaciones y hemos dado por finalizado el proceso, tenemos la opción de emitir el Informe. Pinchar en Informe creará un fichero de extensión PDF con toda la información de esta incidencia. Imprimir y archivar. Formación responsable seguridad. SYGILO Centro de Formación

43 4.3 Inventario de Soportes Soportes: Identificar, inventariar, almacenar y destruir/reutilizar. Los soportes que contengan datos de carácter personal, tanto de fichero automatizados como no automatizados, deben de ser etiquetados para su identificación, inventariado y almacenados en un lugar con acceso restringido, al que sólo podrán acceder las personas con autorización. Las personas con autorización son: o Los usuarios del fichero, los mismos aparecerán detallados en la relación de usuarios con autorización del fichero. o Las personas implicadas en las salidas y entradas de soportes, reflejados en el correspondiente registro o autorización. o Los Operadores, Técnicos y Administradores del Sistema encargados de la custodia o generación de los soportes. Si fuese imposible el cumplimiento de etiquetado de los soportes se reflejará en el Documento de Seguridad. a) Identificación. El encargado de la custodia de los soportes deberá etiquetar los soportes con los datos que él considere. Es aconsejable indicar, como mínimo, en el etiquetado de los soportes los siguientes datos: 1.- Identificación. 2.-Tipo de información que contiene. 3.- Fecha de generación o Periodicidad de generación. Cuando la información que contienen los ficheros de nivel alto el sistema de etiquetado debe ser comprensible, únicamente, para aquellos con autorización al acceso de estos ficheros. b) Inventariar. Se llevará a cabo por el Responsable de Seguridad y deberá tener en cuenta los siguientes datos: 1.- Identificación. 2.-Tipo de información que contiene. 3.- Fecha de generación o Periodicidad de generación. 4.-Tipo de Soporte o documento. 5.- Nº de Soportes o documentos. 6.- Fecha de alta. 7.- Fichero asociado. 8.- Destrucción o Reutilización. 9.- Fecha de destrucción/reutilización. c) Almacenar. Para garantizar la seguridad de almacenamiento de los soportes se llevarán a cabo por el Responsable las siguientes acciones: o Cuando no se estén usando los soportes deben de estar almacenados en una zona restringida de acceso exclusivo al personal autorizado. Formación responsable seguridad. SYGILO Centro de Formación

44 o Si los soportes contienen datos de carácter personal de nivel alto y confidencial deberán almacenarse en un armario ignífugo restringido al personal autorizado, para el caso de que no puedan ser almacenados fuera del Registro, que sería lo aconsejable, en este caso junto con las copias se acompañarán las instrucciones para llevar a cabo la recuperación de los datos o con los datos de la empresa que las tuviera. d) Destruir/Reutilizar. Cuando los soportes que contienen datos de ficheros automatizados de nivel básico van a ser destruidos o reutilizados, se tomarán las medidas oportunas de destrucción o borrado, de modo que se evite el acceso a la información que dichos ficheros contienen Inventario de Soportes en el Registro con Sygilo. Para inventariar soportes que se utilicen en el registro utilizando Sygilo deberemos posicionarnos en PROCED. GESTIÓN INVENTARIO SOPORTES. Pulsar sobre Añadir para acceder a la pantalla que nos permite dar de alta dichos soportes. Cumplimentar los datos de las casillas en color amarillo es de carácter obligatorio, el resto es opcional. Asociaremos el soporte que estamos dando de alta a los ficheros declarados y/o al sistema que afecten. Para asociar los ficheros o sistemas nos posicionamos sobre ellos y pulsar sobre Añadir o Añadir todos según el caso. Pulsar Guardar. Formación responsable seguridad. SYGILO Centro de Formación

45 Deberemos repetir la operación tantas veces como soportes tengamos en el registro y solo de aquellos que vayan a salir físicamente de éste (discos duros, portátiles, cintas ). Una vez finalizado el proceso de inventariar nuestros soportes, pulsamos volver para acceder a la pantalla principal. En la misma pulsaremos Informe para emitir el mismo, imprimirlo y archivarlo. 4.4 Autorizaciones de Soportes. La SALIDA de los soportes y documentos de cualquier tipo DEBEN SER AUTORIZADOS POR EL RESPONSABLE DEL FICHERO y aparecer dicha autorización en el documento de Seguridad. Idéntica AUTORIZACIÓN se necesita para el almacenamiento de datos personales en dispositivos portátiles o tratamiento de los mismos si se van a sacars fuera del registro. Si los datos de carácter personal van a ser objeto de traslado fuera del registro se adoptarán las medidas necesarias para evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Además, si los datos de carácter personal son de nivel alto deberán estar cifrados o cualquier otro sistema de forma que cualquier acceso a los datos sea inteligible. En cuanto a los dispositivos portátiles, se intentará el cifrado de los datos y si ello no fuera posible se hará constar en el Documento de Seguridad. Formación responsable seguridad. SYGILO Centro de Formación

46 Autorizaciones de Soportes en el Registro con Sygilo. Una vez dados de alta los soportes, deberemos dar las autorizaciones que afecten a los mismos. Para ellos iremos por PROCED. GESTIÓN AUTORIZACIONES SOPORTES : Las casillas de color amarillo son obligatorias. El Tipo de Autorización y Periodicidad de la Autorización se eligen de un despegable, el resto son a rellenar por el usuario. La aplicación nos muestra en el apartado Lista de Soportes Afectados todos los que hemos dado de alta en la aplicación. Deberemos posicionarnos sobre el soporte que afecta y pulsar Añadir, o si afectase a todos Añadir todos. Formación responsable seguridad. SYGILO Centro de Formación

47 Una vez finalizado el procedimiento de autorización pulsar Guardar para archivar en la aplicación los datos. Finalizado el proceso pulsar Volver para acceder a la pantalla principal donde nos mostrará la/s autorización/es que acabamos de dar de alta. Debemos, a continuación, pulsar en Informe para que la aplicación genere el mismo. Tras ello, imprimir y archivar. Formación responsable seguridad. SYGILO Centro de Formación

48 5.- AUDITORIAS. Antes de hacer la auditoria desde soporte LOPD nos indicarán los siguientes pasos: 1.- Informar del Proyecto LOPD. 2.- Revisar el Documento de Seguridad. 3.- Actualizar los Sistemas del Registro. 4.- Nombrar los Suplentes de ciertos cargos. 5.- Cumplimentar la casilla de Datos Contratos del Personal Interno. 6.- Comprobar el Diario de Trabajo. 7.- Comprobar los Indicadores. (Si está revisado el Documento de Seguridad nos facilitará la auditoria, debido a que nos quita bastante trabajo). Comprobado todo lo anterior, desde Soporte procederán a dar el Alta de la Auditoria. Nosotros desde el registro entraremos por AUDITORIA MODIFICACIÓN, accediendo a una pantalla como la que mostramos a continuación: Comprobar que es nombre de nuestro registro. Nos mostrará que es una Auditoria Remota y el nombre de nuestro registro. La casilla Valor y en la casilla Completada pondrá 0 porque no hemos empezado la auditoría. Con este botón de la casilla Acción empezará la auditoria. Al pulsar el botón, accederemos a la siguiente pantalla donde comenzaremos la auditoria del registro. Antes de comenzar diremos que en la pantalla podremos encontrar 3 elementos de ayuda, que son: Ver requisitos, Ver preguntas adicionales y Ayuda. Formación responsable seguridad. SYGILO Centro de Formación