Todos los derechos están reservados.

Transcripción

1

2 Este documento y todos su contenido, incluyendo los textos, imágenes, sonido y cualquier otro material, son propiedad de ISMS Forum o de algún organismo vinculado a ésta, o de terceros que hayan autorizado el uso de estos contenidos a ISMS Forum. Todos los derechos están reservados.

3 PDF: Tema 2. LOPD Medidas de seguridad Todas las empresas, independientemente de su tamaño, están obligadas a tomar una serie de medidas de seguridad, por lo tanto están afectadas por la Ley de Protección de Datos en su quehacer diario. Se deben adoptar las medidas de índole técnica que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. MEDIDAS DE SEGURIDAD El Reglamento de desarrollo de la LOPD establece tres niveles de seguridad en función de qué tipo de información contengan nuestros ficheros. Estos niveles son acumulables, es decir, a un fichero de nivel alto deberán aplicársele también las medidas de seguridad establecidas para los niveles básico y medio. Antes de continuar, identifiquemos qué datos debe contener un fichero de datos personales para ser considerado de nivel básico, medio o alto. BÁSICO MEDIO ALTO Identificativos Perfiles financieros Afiliación sindical Personales Empleo Salud Vida sexual Creencias religiosas Origen racial Es decir, en función del tipo de datos contenido en nuestro fichero, deberán establecerse diferentes medidas de seguridad. Medidas de Seguridad NIVEL BÁSICO Las medidas de seguridad más significativas a tener en cuenta para los ficheros de nivel básico son las siguientes. Procedimiento de notificación, gestión y registro de incidencias: Contar con un procedimiento que recoja las incidencias que pudieran producirse sobre un fichero que contenga datos personales. Los datos que debe contener este registro son los siguientes: Tipo de Incidencia Fecha y hora

4 Persona que la notifica Persona que recibe la notificación Efectos de la incidencia Control de acceso lógico a los sistemas: Deberán contarse con medidas de seguridad para proteger el acceso a los sistemas que contengan los ficheros con datos personales, los criterios para establecer estas medidas deberían ser. Accesos restringidos por capacidades funcionales, es decir, tener acceso únicamente a lo que se debe en la empresa. Sistemas de identificación y autenticación, o sea, contar con una protección, por ejemplo, acceso mediante contraseña. Gestión de soportes que contengan datos de carácter personal: Entendamos por soporte el disco duro que contiene el fichero con datos de carácter personal. Será necesario contar con un inventario de los soportes y contar con medidas de seguridad orientadas a proteger el acceso a los mismos. En caso de que estos soportes salgan de la oficina, deberá establecerse un procedimiento para la salida de soportes que regule las actividades y el modo en que debe llevarse a cabo dicha salida. Copias de respaldo y recuperación de datos. Es exigible contar con una copia de seguridad con una periodicidad, al menos, semanal. Es importante validar que los backups son restaurados satisfactoriamente a intervalos planificados. Deberá escribirse también un procedimiento que detalle cómo deben recuperarse esas copias de respaldo. Medidas de Seguridad - NIVEL MEDIO En caso de tener ficheros de datos personales de nivel medio, además de las medidas detalladas en el punto anterior, deberán tomarse las siguientes: Designación de un Responsable de Seguridad. Será el responsable de coordinar y controlar todas las medidas de seguridad que se implantarán en la organización para la protección de los ficheros de datos personales. Al menos, cada dos años, deberán auditarse las medidas de seguridad para verificar el correcto cumplimiento de las mismas. Deberá implantarse una política más restrictiva que limite la posibilidad de intentar de forma reiterada el acceso no autorizado al sistema informático (por ejemplo, bloquear el identificador de usuario si la contraseña se introduce incorrectamente más de un número determinado de veces) Control de acceso físico a los locales donde se encuentren los sistemas. Respecto a la gestión de soportes deberá registrarse la entrada y salida de soportes. Deberán tomarse medidas para asegurar que lo datos no puedan ser recuperados cuando los soportes vayan a ser reutilizados para otras funciones.

5 El registro de incidencias incluirá los procedimientos realizados de recuperación de datos. Se realizarán revisiones periódicas del Documento de Seguridad. Medidas de Seguridad - NIVEL ALTO Si nuestra organización cuenta con ficheros de nivel alto, deberán extremarse las precauciones y, por lo tanto, las medidas de seguridad asociadas. En concreto, se deberán establecer las siguientes medidas: Cuando los soportes sean distribuidos, deberán contener los datos cifrados. Deberá existir un registro de los accesos a los sistemas que incluya, al menos, los siguientes aspectos: Identificación del usuario que accede, fecha y hora, fichero accedido y si el acceso ha sido autorizado o denegado. Conservación de los datos registrados durante dos años. Informe mensual de las revisiones realizadas y problemas detectados. Respecto a las copias de respaldo y recuperación de datos, además de lo establecido anteriormente, deberán ser conservadas en un lugar diferente a la ubicación en la que se encuentren los sistemas informáticos (habitualmente fuera de la oficina). Cuando los datos son gestionados y/o enviados a través de redes de comunicaciones (Internet, correo electrónico ), los datos deberán estar cifrados.