En esta entrada vamos a repasar las exigencias que nos impone estar en un nivel de seguridad medio. Como ya dijimos en la anterior, este nivel se aplicará según el tipo de datos que tratemos en nuestra empresa, y complementando siempre a las medidas que fija el nivel de seguridad anterior. Si este es nuestro caso, además de las medidas de nivel básico, tendremos que aplicar las de nivel medio.
Como vais a ver, si la cosa ya estaba complicada, con el cambio de nivel se pone todavía mejor. Tanto, que me hace reflexionar sobre la importancia de analizar detenidamente que datos necesitamos realmente para hacer funcionar nuestro negocio, y sobre la conveniencia de descartar el empleo de todos aquellos que no nos sean realmente de utilidad. Vamos con el tema.
Medidas de seguridad de nivel medio
- Responsable de seguridad: si tenemos que implantar este nivel de seguridad, la designación de un responsable de seguridad es obligatoria . No quiere decir ésto que no se pueda hacer en el nivel básico, todas las medidas contempladas por la ley son las mínimas a implantar, y personalmente opino que es importante designar a alguien que se encargue de la tarea. Puede ser una única persona o varias en caso de utilizar distintos sistemas de tratamiento, y debe quedar reflejado en el documento de seguridad. El que exista un responsable de seguridad no exime de responsabilidad al responsable del fichero o encargado del tratamiento de los datos (habitualmente la empresa).
- Auditoría: a partir de este nivel hay que someter al sistema de información a una auditoría (interna o externa) mínimo cada dos años. En caso de cambios importantes en el sistema informático (un cambio de servidor, de programa de gestión), será necesario realizarla también. El informe que se redacte sobre ella debe identificar las deficiencias, si existen, y proponer medidas correctoras, apoyándose en datos, observaciones, etc. Vamos, que hay que documentar bien las afirmaciones que se hagan, valorando todo de acuerdo a su adaptación a la ley. Los informes deben quedar a disposición de la autoridad competente en cada caso (hay que guardarlos, lógicamente) y el responsable de seguridad tiene que analizarlos, sacar conclusiones y facilitárselas al responsable del fichero para que actúe en consecuencia.
- Gestión de soportes y documentos: aquí ya nos obligan a establecer un sistema de registro de los soportes, tanto de entrada o de salida. Este sistema debe permitirnos conocer el tipo de soporte o documento, fecha y hora, emisor o destinatario, número de documentos o soportes que van en el envío, tipo de información que contienen y la persona encargada de la entrega o recogida, que deberá estar autorizada expresamente. Esta situación se puede dar en los casos en los que delegaciones u oficinas externas envíen los datos a una central, por ejemplo, y no es necesario que toda esta información aparezca directamente en el paquete de envío o correo electrónico. Se puede utilizar un código o referencia que permita luego obtenerla por otros medios.
- Identificación y autenticación: a lo dispuesto en el nivel básico en este sentido, hay que añadir que se debe limitar las veces que se puede intentar acceder al sistema de información. En esencia, establecer el número de veces que se puede uno equivocar al introducir la contraseña (no hay un máximo establecido).
- Control de acceso físico: sólo aquellas personas autorizadas en el documento de seguridad podrán tener acceso a los equipos que dan soporte a los sistemas de información. Puede ser un despacho, un armario especial, un rack, lo que se os ocurra, cerrado de alguna forma para impedir el acceso a cualquiera.
- Registro de incidencias: en este nivel, además de lo especificado para el nivel básico, hay que reflejar los procedimientos de restauración de copias de seguridad que se hayan realizado, consignando si se ha tenido que grabar manualmente algún dato. Además, será necesaria la autorización del responsable del fichero para efectuar una restauración de datos.
En todos los niveles lo es, pero a partir de éste es muy importante tener en cuenta la conveniencia de dejar constancia por escrito, con todas las firmas y vistos buenos que hagan falta, de todos los pasos que vamos dando. Es lo que nos va a servir en caso de vernos sometidos a cualquier tipo de inspección o requerimiento. La semana que viene analizaremos ya las medidas de nivel alto, que son todavía más divertidas que éstas, hasta entonces.
En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos