Hoy me han contado un caso de una pequeña empresa de mi ciudad que sufrió un ataque en sus sistemas informáticos perdiendo toda la información almacenada en ello. Y como este al día ocurren veinte mil. Por algo dicen que los datos son el petróleo del siglo XXI.
¿Proteges adecuadamente tu información? ¿Dispones de las medidas de seguridad adecuadas para protegerla? ¿Revisas y actualizas periódicamente estas medidas? ¿Te has preguntado por dónde empezar a dar los primeros pasos para mejorar la seguridad de tu negocio?
La información es uno de los activos más valiosos de los que disponen las empresas y esto lo saben quienes pretenden hacerse con esa información con fines delictivos.
¿Qué son las medidas de seguridad en Protección de Datos?
Como hemos dicho, es muy común encontrar empresas que sufren toda clase de ataques informáticos. Uno de los más frecuentes son los ataques de malware, virus o troyanos que pueden ser desarrollados para el robo de datos genéricos o con algún otro fin específico.
Para evitar todo esto, la LOPD establece el principio de seguridad de los datos por el que se impone al responsable del fichero la obligación de adoptar las medidas técnicas y organizativas precisas que protejan la seguridad de los datos de carácter personal y eviten su modificación, extravío, gestión o acceso no autorizado.
La ley establece también que el responsable del fichero, y el encargado del tratamiento, deberán implantar las medidas técnicas y organizativas necesarias para proteger los datos personales que manejan, según la situación tecnológica, el carácter de los datos almacenados y los riesgos a que están expuestos, ya procedan de la acción humana o del entorno físico o natural.
Niveles de seguridad de los ficheros de datos personales
Las medidas de seguridad a adoptar dependen del nivel de seguridad correspondiente a los datos personales que deben protegerse.
El nivel básico de seguridad, se aplicará entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles medio y alto de seguridad. Por tanto, todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de nivel básico establecidas en el Reglamento de desarrollo de la LOPD (RD 1720/2007, de 21 de diciembre).
Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio en los siguientes ficheros de datos de carácter personal:
- Los relativos a la comisión de infracciones administrativas o penales.
- Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de potestades tributarias.
- Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
- Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
Se señalará el nivel alto para cualquier fichero de datos de carácter personal que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas, así como los que contengan datos derivados de actos de violencia de género.
Excepcionalmente podrán implantarse las medidas de nivel básico en ficheros que traten datos especialmente protegidos cuando dichos datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, o se trate de ficheros no automatizados en los que de forma incidental o accesoria se contengan datos especialmente protegidos sin guardar relación con su finalidad.
También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud referentes, exclusivamente, al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
Medidas de seguridad aplicables
Antes de adoptar las correspondientes medidas de seguridad debemos analizar toda la información que manejamos para clasificarla según el nivel de protección previsto en la LOPD. Así, se indica que las medidas de seguridad demandadas a los ficheros y tratamientos se dividen en tres niveles: básico, medio y alto.
Medidas de seguridad de nivel básico
-
Las medidas incluidas en el nivel básico contemplan la obligación de contar con un Documento de Seguridad donde en el que se detallará el ámbito de aplicación, medidas, normas y procedimientos de seguridad, cometidos y deberes del personal, estructura y descripción de ficheros, procedimiento de notificación y gestión de incidencias y procedimiento para realizar copias de respaldo y recuperación de datos.
-
Fijar e implantar las funciones y obligaciones del personal de la empresa.
-
Disponer y administrar el registro de incidencias a disposición de todos los usuarios, para que anoten las anomalías que ocurran con respecto a la seguridad de los datos.
-
Instaurar procedimientos de concesión y gestión de contraseñas y los periodos en que se modificarán. Las contraseñas se acumularán con un formato ininteligible.
-
Conservar una lista actualizada de usuarios y de accesos autorizados de cada uno de ellos.
-
Cada usuario accederá sólo a los datos y recursos precisos para realizar sus funciones. La asignación de permisos se realizará por personal autorizado para ello.
-
Custodiar el registro de soportes para identificar, anotar y almacenar todos los soportes que incluyan datos de carácter personal.
-
Preparar el modelo de autorización para salida de soportes.
-
Indicar procedimientos para efectuar copias de seguridad de la información manejada, de forma que se pueda garantizar la restauración de los datos en el estado en que se encontraban en el momento de producirse la pérdida o destrucción de los mismos. Las copias de seguridad deberán realizarse, al menos, semanalmente.
-
El archivo de los documentos no automatizados se efectuará con arreglo a criterios que faciliten su consulta y ubicación para asegurar el ejercicio de los derechos ARCO.
-
Los instrumentos de depósito de ficheros no automatizados, estarán provistos de mecanismos que dificulten su apertura. Al realizarse la verificación o gestión de los mismos, la persona a cargo, deber ser diligente y vigilar la documentación para evitar entradas no autorizadas.
Medidas de seguridad de nivel medio
-
Además del contenido específico para el documento de seguridad de Nivel Básico, En el nivel medio, deberá detallarse: la identificación de responsables de seguridad, control periódico del cumplimiento del documento y medidas a adoptar en caso de reutilizar o tirar soportes.
-
Registro de acceso físico a los locales donde estén ubicados los sistemas de información.
-
Conservar un registro de entrada y salida de soportes.
-
Indicar medidas que imposibiliten la recuperación posterior de información de un soporte que vaya a ser desechado o reutilizado.
-
Elaborar una auditoría cada 2 años, interna o externa.
Medidas de seguridad de nivel alto
-
El nivel alto de seguridad, incluye todas las medidas indicadas para el nivel medio.
-
Realizar el cifrado de datos en la entrega de soportes.
-
Conservar copias de seguridad en un emplazamiento diferente del que se encuentren los equipos.
-
Mantener un control de usuarios, hora, fichero, clase de acceso y registro al que se ha accedido. El control de accesos se deberá conservarse al menos durante 2 años.
-
Efectuar transferencias cifradas de datos.
-
Registro de accesos autorizados a ficheros no automatizados e identificación de accesos para documentos a los que accedan múltiples usuarios.
-
Almacenamiento de la documentación no automatizada en zonas (armarios, archivadores…) con acceso preservado con puertas con llave.
-
La copia o reproducción de ficheros no automatizados únicamente la realizará el personal autorizado.
-
Se detallarán las medidas adicionales que impidan el acceso o modificación de los datos al ser trasladados.