EL DOCUMENTO DE SEGURIDAD

CONCEPTO

El Documento de Seguridad está regulado en el Reglamento de Medidas de Seguridad en el artículo 8 de la LOPD para todos los niveles y en el artículo 15 de dicha Ley Orgánica para los niveles medio y alto (ver apartados anteriores).

Se hacen unas consideraciones de lo que debe contener como mínimo pero no se aclara cómo debe ser -documento escrito o electrónico-, por lo que cualquier opción, en principio, es válida. Tampoco si debe estar referido a una ubicación física o es válido para todas las ubicaciones de ordenadores que tenga la organización. O si tiene que haber un documento por fichero o por tipos de niveles de fichero o uno único para todos.

Como fácilmente se desprende de lo anterior, la elección queda para cada uno, que debe estudiar el sistema mas favorable para su organización.

Hemos de tener en cuenta que los documentos de seguridad deben estar actualizados por lo que, cuantos menos existan, mejor. Quizás lo conveniente sería un cuerpo común para todos los ficheros de la organización y después, tantas partes específicas como sean necesarias.

El grado de vinculación entre unas instalaciones y otras de una propia organización será uno de los indicativos de lo que tenemos que hacer.

En el caso de grupos de empresas hay que tener en cuenta siempre que cada empresa, aunque pertenezca al grupo, se considera independiente de las demás y que, a estos efectos, deberá tener su propio Documento de seguridad.

Según el artículo 8 del Reglamento, el Documento de seguridad, ya sea de una institución pública (patronato, empresa municipal, gerencia, instituto municipal...), como privada (empresa mixta, fundación, entidad sin ánimo de lucro, mercantil con mayoría de accionariado municipal), deberá contener, como mínimo, la siguiente información:

  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
  • Funciones y obligaciones del personal.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

El artículo 15 amplia la obligación de incorporar también la información siguiente cuando son medidas de nivel superior:

  • Identificación del responsable de seguridad.
  • Controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
  • Medidas que sea preciso adoptar cuando se vaya a desechar o reutilizar un soporte.

Para dar cumplimiento a todo lo anterior es necesario examinar escrupulosamente el articulado del Reglamento para averiguar qué procedimientos se deben incluir, así como qué registros o listados tienen que incorporarse al Documento de seguridad.

ESTRUCTURA Y CONTENIDOS

  1. Introducción
    1.1. Introducción
    1.2. Identificación del responsable del fichero
    1.3. Identificación del responsable de seguridad
    1.4. Identificación de los responsables propietarios de los ficheros
  2. Ámbito de aplicación
    2.1. Ámbito de aplicación del Documento de seguridad con especificación detallada de
    los recursos protegidos
    2.2. lnventario de hardware
    2.3. lnventario de software
    2.4. lnventario de ficheros y bases de datos
    2.5. Configuración del sistema informático
    2.6. Organigrama de la organización
    2.7. Prestación de servicios
    2.8. Estructura de los ficheros y bases de datos
    2.9. Descripción del sistema de información
  3. Normas de seguridad
    3.1. Políticas
    3.2. Política general de seguridad de la información
    3.3. Política general de protección de los datos de carácter personal
    3.4. Clasificación de la información
    3.5. Política de información al personal
    3.6. Formación del personal en materia de protección de datos de carácter personal
  4. Procedimientos
    4.1. Procedimiento de acceso, rectificación, cancelación y oposición a datos de carácter personal
    4.2. Procedimiento de accesos lógicos
    4.3. Procedimiento de acceso a datos a través de redes de comunicaciones
    4.4. Procedimiento del régimen de trabajo fuera de los locales de la ubicación del fichero
    4.5. Procedimiento que deben cumplir los ficheros temporales
    4.6. Procedimiento de gestión de soportes
    4.7. Procedimiento de desecho y reutilización
    4.8. Procedimiento de notificación, gestión y respuesta ante las incidencias
    4.9. Procedimiento de control del cumplimiento
    4.10. Procedimiento de auditoría de la seguridad
    4.11. Procedimiento de control de accesos físicos
    4.12. Procedimiento de copias de respaldo
    4.13. Procedimiento de recuperación
    4.14. Procedimiento de puesta al día del Documento
    4.15. Procedimiento de pruebas con datos reales
    4.16. Procedimiento de registro de accesos
    4.17. Procedimiento de cifrado
    4.18. Procedimiento de almacenamiento de copias de seguridad
  5. Relaciones de personal
    5.1. Relación de personal autorizado para acceder a datos de carácter personal
    5.2. Relación de personal administrador de accesos
    5.3. Relación de personal autorizado para acceder al almacén de soportes
    5.4. Relación de personal autorizado a accesos físicos
  6. Inventarios y registros
    6.1. Inventario de soportes
    6.2. Registro de entrada y salida de soportes
    6.3. Registro de incidencias
  7. Funciones y obligaciones del personal
    7.1. Funciones y obligaciones en general
    7.2. Responsable del fichero
    7.3. Responsable de seguridad
    7.4. Responsables propietarios de los ficheros
    7.5. Director de Sistemas de Información
    7.6. Personal informático
    7.7. Usuarios de la organización
  8. Documentación con la AEPD
    8.1. Notificaciones de altas, bajas y modificaciones
    8.2. Oficios de inscripción
    8.3. Otras notificaciones
    8.4. Publicación en Diario Oficial
    8.5. Actuación ante el ejercicio de un derecho por el interesado
    8.6. Actuación ante una inspección de la AEPD
  9. Anexos
    9.1. Legislación vigente sobre Protección de Datos de Carácter Personal
    9.2. Glosario de términos de protección de datos

Entenderemos que un contenido de las características de éste cumple con creces lo regulado en el Reglamento y, a la vez, es válido para reforzar la seguridad de los sistemas informáticos de la organización.

EL CONTROL DEL CUMPLIMIENTO

Como vemos, en el artículo 15, incluido entre las medidas a adoptar en los ficheros de nivel medio y alto, se encuentra determinar los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

De nada serviría disponer de un Documento de seguridad casi perfecto si no controlamos que, efectivamente, lo que se indica en el mismo, por un lado, cumple lo que dispone el Reglamento y, por otro, es lo que se viene realizando en la práctica. Algo que, si no se Ilevasen a cabo dichos controles, se averiguaría cada dos años al efectuar la auditoria bienal.

Si los controles se establecen correctamente, se convierten en un control interno y podríamos decir que hasta en una auditoría continua, con las ventajas que esto conlleva.

El control del cumplimiento se puede establecer semestralmente de forma aleatoria de modo que cada dos años complementa la auditoria bienal.

LA AUDITORÍA BIENAL

La auditoria bienal que regula el Reglamento en su artículo 17 sólo es obligatoria para los ficheros de nivel medio y alto, no siéndolo para el nivel básico.

La previsión de realizarla cada dos años que establece el Reglamento debe ser considerada como un mínimo. Por lo tanto, no existe ningún inconveniente para acometer la auditoría con una periodicidad inferior.

La auditoría, que es un híbrido entre auditoría informática y auditoría jurídica, podríamos decir que se trata de auditoría jurídica de sistemas de información con base informática, de ahí el problema que existe a la hora de determinar quién está autorizado a realizarla. Viene a ser un complemento de los controles periódicos que ha de realizar el responsable de seguridad para verificar el cumplimiento de lo dispuesto en el Documento de seguridad.

Ahondando en lo dicho en el párrafo anterior respecto a quién puede realizar una auditoría de datos de carácter personal, hemos de decir que no hay ningún profesional que monopolice esta función, por lo que, en principio, cualquiera puede realizarla, ya sea Ia interna, con personal propio y/o externo, o Ia externa, con personal externo al mismo.

En cuanto a la independencia, entendemos que es mas difícil que exista en el caso de una auditoría interna pero, dado los casos que se han producido recientemente con alguna gran auditora (Caso ENRON) relacionados con la auditoría de cuentas, no parece el momento más idóneo para exaltar la independencia de la auditoría externa.

En el informe, que quedará a disposisión de la Agencia de Protección de Datos, pues no es necesario enviárselo, se dictaminará sobre las medidas y controles establecidos; se identificarán las deficiencias encontradas y se propondrán las medidas correctoras o complementarias que se consideren precisas. En él se incluirán también los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.

Los informes deberán ser analizados por el responsable de seguridad competente, que enviará las conclusiones al responsable del fichero que será quien adopte las medidas correctoras que se precisen.



Otras guías de interés:

  • Confederación de Empresarios de Andalucía

    Centro de Servicios Empresariales de Andalucía
    C/ Arquímedes, 2 Isla de la Cartuja,
    41092, Sevilla

  • Federación Andaluza de Autónomos

    Federación Andaluza de Autónomos
    CEAT-Andalucía
    C/ Arquímedes, 2. Isla de la Cartuja,
    41092, Sevilla

  • Servicio Andaluz de Empleo

    Servicio Andaluz de Empleo
    Consejería de Empleo
    Junta de Andalucía

Confederación de Empresarios de Andalucía
C/ Arquimedes, 2.Isla de la Cartuja 41092
Sevilla ESPAÑA

http://www.cea.es
Teléfono: 954 48 89 00
Fax: 954 48 89 11