Conceptos básicos de la LOPD (VI): medidas de seguridad de nivel básico

Conceptos básicos de la LOPD (VI): medidas de seguridad de nivel básico
Sin comentarios

En la entrega anterior del especial sobre la LOPD repasamos los distintos niveles de seguridad necesarios según el tipo de datos que contengan los ficheros con los que trabajamos. En este capítulo vamos a revisar las medidas que hay que aplicar en el nivel de seguridad básico, que son también las mínimas que deberemos disponer en cualquier caso (siempres que trabajemos con datos de carácter personal, naturalmente).

Vamos a seguir paso por paso lo que nos indica el Real Decreto 1720/2207, revisando las funciones del personal, registro de incidencias, medidas de control de acceso, gestión de soportes y documentos, identificación y autenticación y realización de copias de respaldo. Estas medidas de seguridad son las aplicables en el caso de tratamiento automatizado de datos. El tratamiento no automatizado tiene las suyas propias, adecuadas a sus características.

Funciones y obligaciones del personal

Todas las personas, los usuarios, que intervengan en el tratamiento de los datos deben tener definidas sus funciones, y hay que reflejarlas en el documento de seguridad, al igual que los perfiles de usuario que utilicen. Es decir, se debe incluir en el documento de seguridad (del que hablaremos más adelante) que Pepe Domínguez, de ventas, utiliza un perfil de usuario (digamos Operador de Ventas) que le da acceso a tal o cual fichero.

Además, la empresa, como responsable del fichero, debe definir en este documento qué funciones de control o autorizaciones ha delegado y a quien lo ha hecho, y debe informar al personal de las normas de seguridad que afecten a sus funciones y de las consecuencias de incumplirlas (y dejar constancia de que lo ha hecho). En la práctica, esto supone entregar un documento informando a cada usuario, que lo firmen, y adjuntarlo en el documento de seguridad. En cuanto a la delegación de funciones, lo mismo. Habrá que indicar quien es el responsable de seguridad designado por el empresario y que funciones le han sido delegadas.

Registro de incidencias

Hay que establecer un procedimiento de notificación y gestión de las incidencias, y documentarlo. En este registro debe constar:

  • Tipo de incidencia (he borrado la copia de seguridad por error).
  • Cuándo se ha producido o detectado
  • Quién la notifica y a quién lo hace
  • Qué efectos ha tenido y qué medidas correctoras se han adoptado

Control de acceso

Es obligatorio establecer un control de acceso a los ficheros. La opción más lógica es establecer los accesos mediante permisos por usuario y asociarlos a contraseñas. Cada usuario podrá acceder únicamente a los datos necesarios para realizar sus funciones, y hay que establecer mecanismos de seguridad para evitar que suceda lo contrario. Sólo aquellas personas autorizadas en el documento de seguridad (normalmente el responsable de seguridad) podrán conceder, alterar o anular estos permisos de acceso.

Esto tiene implicaciones importantes a la hora de elegir un sistema de gestión en la empresa. La mayoría están dotados de sistemas de control de acceso, pero no está de más tenerlo en cuenta si estáis valorando un cambio de sistema (o si el que utilizáis no permite esta posibilidad).

Gestión de soportes y documentos

Los soportes y documentos (digamos un DVD con una copia de seguridad) deberán permitir identificar el tipo de información que contienen y ser inventariados. En el caso del DVD, escribiendo copia de seguridad de tal fecha y tal información. Hay que tener en cuenta que las copias de seguridad también deben estar protegidas, de forma que sólo las personas autorizadas para ello en el documento de seguridad puedan acceder a los datos. Si los datos son especialmente sensibles, la identificación del soporte se puede hacer mediante códigos o sistemas comprensibles sólo para las personas autorizadas.

Toda salida de documentación o soportes debe estar autorizada y reflejarse en el documento de seguridad. Imagínate que envías un correo electrónico a tu oficina de ventas de Torrevieja con un listado de clientes interesados en comprar los apartamentos que tienes allí y que han llamado a la central de tu empresa para informarse. Pues tienes que reflejarlo en el documento de seguridad y debe estar autorizado por el responsable de seguridad.

Si se traslada documentación con datos personales, hay que tomar medidas que eviten su perdida, sustracción o acceso indebido durante el transporte. Hay que asegurarse de destruir o borrar cualquier documento o soporte que contenga datos de carácter personal cuando se vaya a desechar, de forma que no se pueda luego recuperar la información. Es conveniente utilizar algún sistema de borrado seguro, que sobreescriba la información de los soportes o, si se da el caso, destructoras de discos ópticos, que también existen.

Identificación y autenticación

El sistema de tratamiento que utilicemos debe permitir que cada usuario pueda identificarse en él y ser identificado de forma inequívoca. Tenemos que saber quién está conectado a qué, y si tiene permisos de acceso a ello. La forma habitual de hacer esto es mediante el uso de nombres de usuario y contraseñas. Si es el caso, debe existir un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad, y no podrán tener una caducidad superior a un año. Tenemos que considerar si nuestro sistema de gestión cumple estos requisitos.

Copias de respaldo y recuperación

Es naturalmente obligatorio realizar copias de seguridad de los datos (y recomendable aunque no lo fuera), y hay establecidas una serie de medidas que debemos adoptar para cumplir con el reglamento:

  • Como mínimo se deben realizar semanalmente, salvo que no se hayan producido modificaciones en los datos.
  • Hay que establecer procedimientos que garanticen la recuperación de los datos en caso de pérdida, que deben garantizar la vuelta al estado en el que se encontraban antes de dicha perdida. A mi entender, en la práctica esto supone hacer una copia diaria (cosa recomendable en cualquier caso), al menos en los casos en los que la modificación de los datos sea frecuente.
  • Cada seis meses hay que comprobar las copias y la recuperación de las mismas. Ver que se hacen bien, que copian lo que deben y comprobar que se restauran correctamente.
  • Si se van a cambiar o modificar los sistemas de gestión que tratan los datos, las pruebas que se realicen no podrán efectuarse con datos reales a no ser que se garanticen las medidas de seguridad aplicables y se anote en el documento de seguridad. Si así se hace, habrá que realizar una copia de seguridad previa.

Estas son las medidas básicas que tenemos que adoptar en todos los casos en que tratemos con datos personales. Si el tipo de datos así lo requiere, tendremos que implantar también otras además de estas, las de nivel medio o alto, que veremos en próximas entregas.

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos

Temas
Comentarios cerrados
Inicio