Conceptos básicos de la LOPD (VIII): medidas de seguridad de nivel alto

Conceptos básicos de la LOPD (VIII): medidas de seguridad de nivel alto
Sin comentarios

Tras comentar en la pasada entrega de esta guía las medidas de seguridad de nivel medio, vamos a cerrar este capítulo haciéndolo con las medidas de nivel alto. No es una situación habitual en las pymes tener que aplicarlas, pues el tipo de datos que las requiren no están entre los más comunes que tenemos que manejar.

De todas formas, no está de más conocer los requerimientos legales si nos encontramos en esta situación, que no son pocos y requieren además de unas medidas organizativas bastante complejas y costosas de implantar, sobre todo en lo referente al registro de accesos a la información protegida. Recordad que todas estas medidas se deben aplicar además de las de los niveles anteriores, éstas se añaden y complementan o modifican las anteriores.

  • Gestión y distribución de soportes: la identificación de los soportes deberá ser comprensible para las personas con autorización de acceso a los datos que contengan, pero no para el resto. La identificación debe hacerse de tal forma que cualquier otra persona distinta a las que tienen acceso sea incapaz de averiguar que es lo que contienen dichos soportes. Además, cuando haya que distribuirlos, se deben adoptar las medidas necesarias para que no se pueda acceder a la información ni manipularla. Lo más habitual es recurrir en este caso al cifrado de los datos. Si la información se transmite a dispositivos portátiles (pda, ordenador portátil, teléfonos), ésta deberá ir cifrada siempre que se utilicen fuera de la oficina. Si los dispositivos no se pueden cifrar y es indispensable utilizarlos, hay que documentar el porqué (en el documento de seguridad) y adoptar otras medidas que impidan el acceso a los datos a personas no autorizadas.
  • Copias de respaldo y recuperación: como añadido a las exigencias anteriores, es obligatorio conservar una copia de respaldo de los datos en un lugar diferente (otra oficina, la caja de un banco…) al de los equipos que realizan el tratamiento de los datos. Naturalmente, el sitio elegido debe cumplir también con las normas de seguridad pertinentes.
  • Registro de accesos: cuando un usuario acceda al sistema para trabajar con la información, será necesario conservar su identificación, fecha y hora, a qué fichero accede, tipo de acceso y si ha sido autorizado o no. Si es autorizado, habra que guardar la información que identifique a que registros ha accedido. Estos datos hay que conservarlos como mínimo durante dos años, y el responsable de seguridad debe realizar una comprobación mensual de esta información, elaborando un informe en el que se detalle que comprobaciones ha realizado y si se ha detectado algún problema. Unicamente el responsable de seguridad puede acceder al registro de accesos, que no debe ser modificable. Muchos sistemas de gestión para empresas tienen en cuenta estos requirimientos y los incluyen, por lo que sería interesante comprobar si el que utilizáis lo hace o si al menos tienen previsto incorporar dicha funcionalidad en el futuro.
  • Telecomunicaciones: cualquier transmisión de los datos a través de redes públicas deberá ser cifrada, al igual que si son redes privadas pero inalámbricas (una red wifi, por ejemplo).

Recordar para finalizar que todos estos niveles de medidas son aplicables a los ficheros automatizados, y que aquellos que no lo son disponen de las suyas propias, complementarias a algunas de las aplicadas en los primeros. Como el tratamiento no automatizado está todavía muy extendido, prestaremos especial atención a este supuesto en las próximas entregas de la guía.

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos

Temas
Comentarios cerrados
Inicio