Inicio > Guías Prácticas de: > Adaptación a la LOPD

Las medidas de seguridad de nivel medio.

Como hemos indicado anteriormente, el Reglamento ha establecido los niveles de seguridad de forma acumulativa; es decir, que al Nivel de seguridad Medio se aplicarán las medidas de seguridad del Nivel Básico y aquellas que se establecen en los arts.15 a 22 del Reglamento 994/1999.

_{Por: Andrés Veyrat Marqués de Manaca Consulting, S.L.}

A) Documento de Seguridad (art.15).

Establece el Reglamento que al contenido descrito por el art.8, deberá contener además el Documento de Seguridad lo siguiente:

-La identificación del/los responsables de seguridad.

-Los controles periódicos para verificar el cumplimiento de lo dispuesto en el Documento de Seguridad.

-Las medidas de seguridad para la reutilización/destrucción segura de soportes.

B) Responsable de Seguridad (art.15).

Fija el Reglamento que el Responsable del Fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas de seguridad definidas en el Documento de Seguridad.

Podemos decir que el Responsable de Seguridad es la persona encargada de velar por el cumplimiento de las medidas, reglas y normas de seguridad establecidas por el Responsable del Fichero; en la mayoría de los casos, se trata del personal de los departamentos de sistemas/informática, por contar con conocimientos técnicos que deberán complementados con un conocimiento específico en materia de Protección de Datos de Carácter Personal. En otros casos, suele establecer varios responsables de seguridad que trabajan de forma coordinada en tres ámbitos dentro de la empresa: jurídico, informático y gestión de calidad.

Además de definirse al/los responsables de seguridad, deberá establecerse en el Documento de Seguridad las funciones y obligaciones del Responsable de Seguridad, entre las que podemos fijar las siguientes:

• Velar por el cumplimiento de las normas de seguridad contenidas en el Documento de Seguridad.

• Determinar y describir los recursos informáticos a los que se aplicará el Documento de Seguridad.

• Establecer y comprobar la aplicación del procedimiento de notificación, tratamiento y registro de incidencias.

• Establecer y comprobar la aplicación del procedimiento de realización de copias de respaldo y recuperación de datos y su periodicidad.

• Elaborar y mantener actualizada la lista de usuarios que tengan acceso autorizado al Sistema Informático, con especificación del nivel de acceso que tiene cada usuario.

• Establecer y comprobar la aplicación del procedimiento de identificación y autenticación de usuarios, así como la asignación, distribución y almacenamiento de las contraseñas de acceso.

• Establecer y comprobar la aplicación del procedimiento de cambio periódico de las contraseñas de los usuarios del sistema.

• Establecer y comprobar la aplicación de un sistema que limite el acceso de los usuarios únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.

• Establecer y comprobar la aplicación de los mecanismos necesarios para evitar que un usuario pueda acceder a datos o recursos con derechos distintos a los autorizados.

• Conceder, alterar, anular el acceso autorizado a los datos y recursos, de acuerdo con los criterios establecidos por el Responsable del Fichero.

• Velar por el cumplimiento de las normas de seguridad, comunicando al Responsable del Fichero las infracciones cometidas.

• Establecer los controles periódicos y auditorias necesarias para comprobar el nivel de cumplimiento del documento.

También establece expresamente el Reglamento, en el art.16, que en ningún caso el Responsable de Seguridad será responsable de las infracciones cometidas por el incumplimiento de la normativa vigente en materia de protección de datos, puesto que la responsabilidad corresponde únicamente al responsable del fichero.

C) Auditoría (art.17).

El Reglamento establece que los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.

Además, se establece que el Informe de Auditoría deberá dictaminar sobre el grado de adecuación y cumplimiento de las medidas de seguridad, identificar sus deficiencias y proponer las medidas correctoras necesarias.

Así, se establece la obligación de realizar una Auditoría cada 2 años, por personal propio o externo a la entidad debidamente cualificado, que deberá centrarse en la revisión de las Medidas de Seguridad implantadas y que deben reunir los ficheros automatizados, los equipos, los locales, centros de tratamiento y aplicaciones informáticas que tratan datos de carácter personal, así como en la revisión de los procedimientos, reglas y estándares organizativos y de seguridad, elaborados e implantados; elaborándose un Informe de Auditoría con el resultado de las deficiencias encontradas y las medidas correctoras propuestas, además de recogerse en el mismo todos los datos, hechos y observaciones en que se basen los dictámenes y recomendaciones propuestos.

En la realización de una Auditoría de Medidas de Seguridad para Ficheros automatizados de datos de nivel medio se analizarán, como mínimo:

-Los medios y procedimientos de identificación y autenticación.

-El control y registro de accesos, con determinación de perfiles de usuarios y privilegios.

-Los procedimientos de acceso y transmisión de datos a través de redes de telecomunicaciones.

-Los procedimiento de creación, conservación y borrado de ficheros temporales.

-Los procedimientos de Gestión y Notificación de Incidencias.

-Los procedimientos de realización de copias de respaldo y recuperación.

-Los procedimientos de Gestión y Distribución de soportes.

-Los procedimientos de cifrado de información sensible.

-Los procedimientos de borrado y destrucción de soportes.

-Los procedimientos de pruebas de nuevas aplicaciones/herramientas con datos reales.

-Los procedimientos de acceso, almacenamiento, conservación y destrucción de datos en formato papel.

Por último, establece el Reglamento que los Informes de auditoría serán analizados por el responsable de seguridad, quien elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas, quedando dichos Informes a disposición de la Agencia de Protección de Datos.

D) Identificación y autenticación (art.18).

El Reglamento establece para el Nivel Medio:

1º.- El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo usuario que intente acceder al sistema de información y la verificación de que está autorizado.

2º.- Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema.

Así, la medida descrita en el art.11 para el Nivel Básico se ve aumentada; es necesaria la identificación y autenticación de forma inequívoca y personalizada de todos los usuarios del sistema. Ello supone que cada usuario del sistema tendrá un nombre de usuario específico y una contraseña asociada al mismo, de uso personal e intransferible, siendo verificada su autorización cada vez que acceda al sistema.

Además, se establece por el Reglamento la obligación de adoptar medidas que impidan el intento reiterado de acceso no autorizado al sistema. Este bloqueo, que deberá operar tanto para accesos en modo local como en red, permite al responsable de seguridad evitar vulnerabilidades, estableciendo controles de seguridad para que usuarios no autorizados utilicen/averigüen contraseñas de acceso.

Estos procedimientos de identificación y autenticación, así como el de bloqueo y desbloqueo de cuentas de usuario, deberán recogerse en el Documento de Seguridad.

E) Control de acceso físico (art.19).

Establece el Reglamento que exclusivamente el personal autorizado en el Documento de Seguridad podrá tener acceso a los locales en donde se encuentren ubicados los sistemas de información con datos de carácter personal. Este control de acceso físico deberá ser activado para los denominados Centros de Procesamiento de Datos o aquellas salas en las que se ubiquen los Servidores Centrales.

Aunque el Reglamento no establece que tipo de medidas de seguridad deberán ser implantadas para controlar el acceso físico, como mínimo, serán las siguientes:

- Acceso restringido a personal autorizado, mediante claves, llaves o tarjetas electrónicas.

-Sistemas redundantes de alimentación.

-Sistemas de refrigeración.

-Sistemas contra-incendios específicos para equipos electrónicos.

-Armarios ignífugos.

Además, deberá incorporarse al documento de Seguridad un listado, debidamente actualizado, de las personas autorizadas para acceder a este tipo de ubicaciones.

F) Gestión de Soportes (art.20).

Establece el Reglamento que deberá de establecerse un sistema de registro de entrada de soportes informáticos que permita, directa e indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.

Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.

Así, incorporando estas medidas a las indicadas en el art.13 para los ficheros de Nivel Básico encontramos que deberán establecerse dos tipos de Registros para los soportes informáticos; uno de entrada y otro de salida. Esta medida supone la implantación por el responsable del fichero de nuevos procedimientos y normas de gestión y calidad, estableciendo un canal de autorizaciones para la entrada/salida de soportes informáticos que contengan datos de carácter personal de nivel medio.

El Registro de Entrada de soporte informáticos deberá permitir conocer:

a) Tipo de soporte.

b) Fecha y hora.

c) Emisor.

d) Número de soportes.

e) Tipo de información que contienen.

f) Forma de envío.

g) Persona responsable de la recepción que deberá estar autorizada.

El Registro de Salida de soportes Informáticos deberá permitir conocer:

a) Tipo de soporte.

b) Fecha y hora.

c) Destinatario.

d) Número de soportes.

e) Tipo de información que contienen.

f) Forma de envío.

g) Persona responsable de la entrega que deberá estar autorizada.

Estos Registros y el procedimiento de gestión y autorización de entrada/salida deberán quedar definidos en el Documento de Seguridad, incorporándose un modelo de autorización de entrada y salida de soportes como anexos, siendo las autorizaciones emitidas conservadas junto con toda la documentación relativa a los ficheros.

Además, el Reglamento establece en el apartado 3 del art.20 que cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario.

Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos; principalmente a través de mecanismos de cifrado de los datos.

G) Registro de Incidencias (art.21).

Establece el Reglamento que en el registro regulado en el art.10 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos han sido necesarios grabar manualmente en el proceso de su recuperación.

Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de datos.

H) Pruebas con datos reales (art.22).

Establece el Reglamento que las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

Antes de proceder a la migración de los datos tratados por una aplicación informática a otra nueva, se suelen realizar períodos de pruebas de la nueva aplicación con la finalidad de verificar, por un lado, su correcto funcionamiento y, por otro, que los usuarios tomen conocimiento de las nuevas funcionalidades que presenta. Durante la ejecución de estas pruebas, por regla general, no suelen utilizarse datos reales; pero, en caso de que se utilicen, deberán adoptarse e implantarse las medidas aplicables de acuerdo al nivel de los datos.