Artículos

LOPD, la primera herramienta para la seguridad en la empresa

Para lograr el éxito con un procedimiento de seguridad no debemos olvidar ninguno de los tres elementos básicos que lo conforman: los procesos, las personas y los sistemas técnicos. Conozca más sobre estos pilares fundamentales en la LOPD.

11/09/2007 Audisip Protección de Datos, SL.

En los últimos meses, hemos podido leer en los diferentes medios acerca del creciente interés de las empresas por los procesos de mejora continua aplicados a la seguridad de los datos, y cómo de forma paralela también es creciente la preocupación de las empresas por el cumplimiento de la normativa sobre Protección de Datos de Carácter Personal, al verse afectadas las empresas en su actividad diaria por las acciones cruzadas de ambas cuestiones, máxime teniendo en cuenta que la normativa de protección de datos se empieza a ver en muchos sitios y foros especializados como la alternativa o el complemento ideal a la normativa ISO de seguridad informática, calificándose por tanto a la LOPD como herramienta imprescindible para la Política de Seguridad de la empresa.

Son muchas las empresas que conociendo la importancia de la seguridad de la información que tratan, establecen una serie de medidas que suponen cambios significativos en sus procesos de trabajo, así como cuantiosas inversiones en equipos y sistemas de trabajo, que garanticen una seguridad de su labor diaria, realizando dichos esfuerzos no por temor a las sanciones económicas que pudiera imponerle la Administración, sino ante la firme creencia que de lo contrario la empresa no podría funcionar, siendo ésta la causa de que el esfuerzo sea continuo buscando sistemas de certificación de la calidad de dichos sistemas.

En este proceso de búsqueda de los mecanismos básicos de seguridad para organizar sus propios procedimientos o políticas de seguridad de la información, los expertos señalan siempre como punto de partida tres elementos, referenciados en orden a su importancia: procesos, personas y, por último, los sistemas técnicos.

Cualquiera que haya analizado la normativa de protección de datos personales, comprenderá enseguida que el cumplimiento de la misma es la principal herramienta para la obtención de un grado de seguridad cierto en la empresa, dado que como vamos a ver a continuación, su cumplimiento nos va a llevar a analizar e integrar los tres elementos mencionados.

Procesos

El documento de seguridad señalado por la LOPD como obligatorio para toda empresa, debe definir y asegurar que todos los procesos de la empresa en relación a la captura, tratamiento, conservación y destrucción de los datos cumplan con una serie de principios rectores:

• que solo las personas autorizadas accedan a los datos necesarios para el desarrollo de sus funciones y obligaciones
• que los datos se conserven de forma segura, íntegra y confidencial

Estos procesos deben aplicarse primeramente de forma interna, pero también en relación a los diferentes elementos externos que intervienen en los procesos mercantiles, laborales y/o negociales de la entidad, es decir, en relación a los empleados, clientes, proveedores, colaboradores, así como cualquier otro tercero que preste servicios a la empresa o intervenga de alguna forma en los procesos.

Una correcta definición de estos sistemas nos permite desarrollar el segundo paso a tener en cuenta para lograr la seguridad de los sistemas, las personas. Si tenemos claro qué hay que hacer, cuándo y cómo, vamos a poder saber transmitirlo a nuestros empleados y poder establecer las cadenas o relaciones de mando necesarias para poder extender la seguridad a cualquier delegación o puesto de trabajo de nuestra empresa.

Por el contrario si no tenemos bien definidos los procesos de actuación, no podremos extender nuestra política de seguridad a todos los puestos de trabajo de la empresa por igual, ni mucho menos lograr que estos puestos de trabajo apliquen las medidas de seguridad oportunas.

Precisamente en este apartado del proceso de seguridad es donde se encuentran más aspectos de inseguridad en las empresas, encontrándonos con multitud de supuestos en los que el mal uso por parte de los empleados de las herramientas informáticas provoca fallos se seguridad (virus introducidos en los sistemas por el mal uso del correo, accesos prohibidos permitidos gracias a programas de intercambio, vulneración recontraseñas por postit, fugas de datos, etc.), siendo la causa de dichos fallos no el mal uso de la herramienta, sino la mala difusión de políticas de seguridad correctas.

Personas

Para lograr una correcta aplicación de los procesos de seguridad en las personas, la normativa nos obliga por un lado a delimitar las funciones y obligaciones de cada una de las partes implicadas en los procesos, debiéndose establecer sanciones o medidas para el caso de incumplimiento de las mismas; por otro lado debemos establecer las cadenas de responsabilidad de la empresa, de forma que nunca quede sin asignar responsable a cada acción o fase del proceso.

Para ello la normativa establece cinco tipos de figuras internas dentro de la empresa, el responsable del fichero, el responsable de seguridad, el encargado del sistema, el usuario autorizado a acceder a los sistemas de información y el usuario autorizado a acceder a los locales donde se ubican los datos, así como otra figura externa: el encargado de tratamiento.

Buena parte del éxito de la cadena de responsabilidad reside en fijar con precisión en qué apartado debemos incluir a cada una de las personas que participan en el proceso de tratamiento de los datos, requiriendo una participación activa de las mismas, especialmente en el caso de la figura del responsable de seguridad, que es quien debe velar por el cumplimiento de las medidas de seguridad en la empresa, coordinando los diferentes departamentos o fases del proceso y reportando al responsable del fichero acerca de dicha situación.

Medidas técnicas

Una vez definidos los dos pasos anteriores, como último elemento para fijar las estructuras de seguridad de las empresas, debemos analizar las medidas de seguridad técnicas de la empresa, las cuales requerirán también de una organización previa y no limitarse a medidas de aplicación técnica. En este sentido nos hemos encontrado muchas veces con el siguiente ejemplo: empresas que guardan sus datos en un servidor seguro, al que acceden con contraseñas individuales, pero en el que una vez que han accedido no se encuentran limitaciones respecto al acceso a la información alojada en el mismo, dándose situaciones de acceso a informaciones o autorizadas. Ahora bien, queda claro que la tecnología es cambiante y se enriquece de un proceso continuo de mejora y desarrollo, gracias al cual nos permite aligerar los procesos de trabajo e incluso cambiar sustancialmente nuestra metodología de trabajo, y dado que todo cambio en los procesos debe verse traducido en un cambio de las funciones y obligaciones de las personas, este paso tercero de la seguridad nos vuelve a conducir al primero, entrando en una espiral de mejora continua que se traduce en que la protección de la información es un proceso constante que requiere de un mantenimiento y una revisión periódica.

Como conclusión final señalaremos que la adaptación de una empresa a la Legislación vigente en materia de protección de datos de carácter personal se asemeja al proceso de adaptación que muchas organizaciones han realizado para obtener la certificación de sus procesos a las normas ISO, quedando claro que la LOPD no es una seria de obligaciones inconexas que nos obliga a declarar los ficheros ante la Agencia de Protección de Datos y tener un documento de seguridad, sino como la herramienta integral que nos permite aunar los diferentes procesos de calidad de procesos junto con el de seguridad informática.

Idoia Elizburu Garayoa
Audisip Protección de Datos, SL

| ir a artículos | recomiende este contenido | acceso a asesoría | versión para imprimir |

Búsquedas en... Documentación de Tecnologías de la Información

Buscar:

¿Quiere buscar en otras áreas de Navactiva?