Legislación

Las medidas de seguridad de nivel básico

Son las medidas aplicables a todos los ficheros automatizados de datos de carácter personal. Se encuentran recogidas en los arts. 8 a 14 del Real Decreto 994/1999.

27/09/2007 Microsoft Centro para Empresas y Profesionales

El Documento de Seguridad

Desde el punto de vista de la Seguridad Informática, el Documento de Seguridad no es sino una parte más de las llamadas Políticas de Seguridad, que recogen y establecen toda una serie de procedimientos, controles, auditorias y actuaciones frente a contingencias e incidencias que pueden acaecer sobre un sistema informático.

Desde la órbita de la LOPD, el Documento de Seguridad es un documento de carácter privado y de obligado cumplimiento para todo el personal de la Empresa que acceda a los Ficheros de datos de carácter personal y a los Sistemas de Información, en el que deben quedar plasmadas y recogidas todas las políticas, reglas, medidas y procedimientos de seguridad establecidos por el Responsable del Fichero.

1. Contenido del Documento de Seguridad (art.8).
   El Documento de Seguridad deberá describir las medidas de seguridad efectivamente adoptadas por la Empresa para el tratamiento de sus ficheros de datos de carácter personal. Este dato es muy importante, puesto que cada empresa tiene una organización distinta, y una de las funciones principales del documento es dar a conocer a los usuarios de los ficheros las medidas de seguridad implantadas, así como las recomendaciones, normas y procedimientos establecidos en la misma para el tratamiento de sus ficheros.

   El contenido mínimo del Documento de Seguridad deberá recoger los siguientes aspectos:

   • Ámbito de aplicación del Documento con especificación detallada de los recursos protegidos. Los recursos que deberán relacionarse en este apartado del Documento son:
     • Ficheros de datos de carácter personal protegidos por la normativa.
     • Descripción de los equipos informáticos utilizados para su tratamiento (servidores, terminales, ordenadores).
     • Aplicaciones informáticas utilizadas para el tratamiento de los ficheros de datos (como, por ejemplo, Bases de datos SQL, Programas de gestión, hojas de calculo, etc…).
     • Descripción de la red de comunicaciones.
     • Locales e ubicaciones donde será de aplicación la normativa.
   • Medidas, normas, procedimientos y estándares encaminados a garantizar el nivel de seguridad exigido. En este apartado se recogen, principalmente, las directrices y procedimientos de seguridad de acceso, tanto físico como lógico; así, deben de indicarse:
     • Los procedimientos y normas de acceso físico a las ubicaciones y locales: se relacionan los controles de acceso físico del personal a locales y oficinas, los elementos de seguridad física que se disponen, las medidas de seguridad industrial, etc… No es necesario realizar una descripción exhaustiva de dichas normas, procedimientos y medidas.
     • Los procedimientos y normas de acceso al sistema informático: asignación, distribución, almacenamiento y cambio de contraseñas de acceso al sistema y red.
     • Los procedimientos, normas y medidas de seguridad lógica adoptados para la defensa ante ataques externos (antivirus, firewalls, cifrado de redes, control de puertos, etc…).
     • Los procedimientos de acceso y normas de utilización de aplicaciones informáticas concretas.
     • Los procedimientos, normas y medidas de acceso a través de Redes de Telecomunicaciones.
     • Los procedimientos, autorizaciones y normas de trabajo en ubicaciones distintas a la principal.
     • Las directrices de seguridad para la utilización de determinados programas de correo electrónico, protectores de pantalla, conservación de documentos, generación de contraseñas, etc…
   • Funciones y obligaciones del personal. El Documento de Seguridad debe recoger las principales funciones y obligaciones del personal que accede a los datos de los ficheros; deberán definirse y recogerse los tipos de acceso y permisos, pudiendo relacionarse por grupos de usuarios, por perfiles de usuarios, por funciones laborales, etc...
     Además, deberá recogerse una lista actualizada de los usuarios que acceden a los sistemas de información, así como aquellos usuarios autorizados a acceder a cada uno de los ficheros de datos. Es recomendable que estos listados sean incorporados como Anexos al Documento de Seguridad.
   • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. En este apartado, deberán relacionarse los diferentes Ficheros de Datos regulados por el Documento y las aplicaciones informáticas utilizadas para su tratamiento.
     En muchos casos, se realiza una parte expositiva en el Documento y se incorporan como Anexos al mismo dos apartados concretos:
     • Estructura del fichero de datos: Se incorpora la tabla de campos ID que conforman los campos del fichero.
     • Se especifica el nombre de la aplicación informática (programa) que se utiliza para el tratamiento de los datos; además, suelen incorporarse datos referentes al equipo-servidor en el que se encuentra almacenado el fichero.
   • Procedimiento de notificación, gestión y respuesta ante incidencias. Este es uno de los aspectos principales, determinar cómo responderá la empresa y el personal que accede a los ficheros ante las incidencias que puedan surgir en los datos, en los sistemas informáticos y en los locales donde se realiza el tratamiento de los ficheros.
     Cada empresa puede definir, en función del tratamiento que realiza y según sus criterios de seguridad informática, cuales son las incidencias/vulnerabilidades que pueden afectar a su organización y establecer las normas y procedimientos de notificación y actuación.

     En muchos casos, la notificación de incidencias no queda recogida en formularios/impresos de notificación; simplemente, cuando un usuario detecta una incidencia se pone en contacto con el departamento de informática por la vía más rápida (teléfono); también, encontramos los casos de empresas que no cuentan con personal específico que controle, verifique y supervise el correcto funcionamiento de los sistemas informáticos y contrata empresas especializadas el mantenimiento y soporte de sus sistemas informáticos.

   • Los procedimientos de realización de copias de respaldo y recuperación de datos. Debe establecerse y definirse en el Documento de Seguridad cuándo, cómo y qué se incorpora a las copias de seguridad; y, en caso de que sea necesaria la restauración de los datos, cuál es el procedimiento de actuación a seguir.
     Es recomendable que las copias de seguridad se realicen con una frecuencia semanal.
     Por último, el Documento de Seguridad deberá en todo momento mantenerse actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información y en la organización de la empresa.
     
     
2. Forma del Documento de Seguridad
   Como normativa de obligado cumplimiento para todo el personal de la empresa que accede a los ficheros de datos de carácter personal al establecer y recoger las directivas de seguridad, normas y procedimientos, el Documento de Seguridad deberá quedar recogido por escrito y deberá ser distribuido, en todo o parte, para su conocimiento a todo el personal.

   El Documento de Seguridad deberá estar a disposición de la Agencia Española de Protección de Datos en caso que la misma lo solicite; en ese caso, la Agencia comprobará que lo establecido y recogido en el Documento de Seguridad responde con veracidad a las medidas efectivamente adoptadas.

   Encontramos disponibles modelos para la confección del Documento de Seguridad en la página Web de la Agencia Española de Protección de Datos así como en la página de la Agencia de Protección de Datos de la Comunidad de Madrid.

   Páginas: 1 | 2 | 3 |

   • Si le ha interesado, le recomendamos...
   • La Protección de Datos de Carácter Personal, una nueva obligación para las empresas y profesionales
   • Implicaciones y Responsabilidades de la Protección de Datos de Carácter Personal
   • La importancia de la Protección de la Información Corporativa. Los Acuerdos o Pactos de Confidencialidad
   • Bien jurídico protegido por la normativa sobre protección de datos de carácter personal. Evolución
   • Ámbito de aplicación de la LOPD: ¿qué datos y ficheros se regulan por esta Ley y cuáles no?
   • Inscripción de ficheros localización y determinación de los ficheros a inscribir
   • Inscripción y notificación de ficheros en la agencia española de protección de datos. Procedimiento
   • Inscripción de ficheros temporales
   • Obtención del consentimiento de los titulares de los datos y otros principios básicos de la LOPD
   • El derecho de información en la recogida de los datos (art. 5 LOPD)

   | ir a legislación | recomiende este contenido | acceso a asesoría | versión para imprimir |

   Búsquedas en... Legislación de Tecnologías de la Información

   Buscar:

   ¿Quiere buscar en otras áreas de Navactiva?