¿Está tu Documento de Seguridad actualizado?

Uno de los requisitos de cumplimiento obligatorio dentro de la Ley Orgánica de Protección de Datos (LOPD) y su reglamento desarrollo es la preparación de un Documento de Seguridad. La ley exige no solo su confección, sino que además debe estar permanentemente actualizado, puesto que hace referencia a situaciones y personas que no es extraño que se modifiquen a lo largo de tiempo.

Por tanto resulta pertinente para cualquier organización preguntarse: ¿hemos revisado el contenido del documento y comprobado que refleja los cambios habidos en la organización en los últimos tiempos?

Algunos de estos documentos se limitan a ciertos conceptos generales y a incluir abundantes copia/pega de los artículos del reglamento LOPD. Con este sistema quizás se cumpla la obligación formal, pero perderá la principal utilidad interna del documento, que es garantizar la seguridad de la información y proporcionar a los trabajadores guías y líneas de trabajo que mantengan la confidencialidad.

Procedimientos de seguridad informática exigidos por la normativa

• Usuarios: relación actualizada de los usuarios que tienen autorización de acceso al sistema de información de la empresa. Como es fácil imaginar se trata de uno de los elementos más sujetos a cambios. La autorización de acceso debe proporcionarse a través de un mecanismo de autenticación de usuarios y contraseñas. Se debe indicar también  el proceso y periodicidad de cambio determinada por el Responsable de Seguridad de la empresa.
• Control de Accesos Físicos: tanto en lo que se refiere a documentos en papel como digitales, la información de archivos y soportes informáticos debe estar restringida al personal autorizado y en un espacio protegido.
• Accesos a Datos a través de Redes de Comunicaciones: ya sea internas (intranet) o externas (internet), toda red de comunicaciones debe proporcionar un nivel de seguridad adecuado, y ser revisado con periodicidad.
• Acceso a datos fuera de los locales de la empresa: cada día más el fenómeno del teletrabajo se ve impulsado por el desarrollo de las nuevas tecnologías, lo que añade nuevos riesgos que deben ser valorados por la compañía. Todo trabajo realizado fuera de los locales de la empresa debe ser autorizado y registrado por el responsable. A su vez deben revisarse las condiciones de seguridad que los medios utilizados por el trabajador proporcione, puesto que estos suelen ser una de las brechas de seguridad más habituales.
• Gestión de Soportes: las empresas generan, reciben y transmiten gran cantidad de información. Para aportar un control efectivo se debe establecer un sistema de registro de entrada y salida de soportes. La normativa entiende como soporte, cualquier medio que pueda almacenar una cantidad importante de datos (carpetas, ordenadores, cajas, etc). Estos soportes deben ser organizados a través de etiquetas que los identifiquen de manera sencilla, inventariados y almacenados en un local cuyo acceso será limitado al personal autorizado.
• Desecho y Reutilización de Soportes: ya hemos visto en este blog abundantes noticias sobre documentación que se encuentra tirada en vía pública, contenedores de basura, etc… El reglamento en su artículo 20, punto 3, determina que se deben tomar las medidas de seguridad pertinentes para impedir cualquier tipo de recuperación de la información que va a ser desechada o reutilizada. Las formas más eficaces de destrucción de la información es el uso de máquinas destructoras de papel y desmagnetizadores en el caso de que se trate de soportes magnéticos.
• Notificación, Gestión y Respuesta ante las Incidencias: el artículo 2, punto 9 del Reglamento define  “cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos”. A su vez el artículo 10 del reglamento exige que se adopte la utilización de un libro de incidencias en que hagan constar: a) el tipo de incidencia; b) El momento en que se produce; c) La persona que realiza la notificación; d) A quién se le comunica; e) Los efectos que se deriven de la incidencia. Además, la empresa deberá adoptar también procedimientos prevención de incidencias y de respuesta efectiva en el caso que se produzcan. Este punto además será en breve muy reforzado con el nuevo reglamento que ya ha aprobado el Parlamento Europeo y que pronto será incluido en la legislación española.
• Copias de Seguridad: tema que también hemos tratado ya en este blog y una cuestión que debe ser considerada no solo a la luz de las exigencias legales, sino como una cuestión de protección de un gran valor interno para cualquier empresa, puesto que la pérdida de datos puede ocasionar trastornos graves en gestión así como deterioro de la imagen pública. La ley obliga a formalizar este procedimiento, que suele ser realizado sin que exista documentación alguna.
• Registro de Accesos (nivel medio/alto de seguridad): cada acceso que se realice a un fichero debe ser registrado en un “log” que identifique el usuario que ha accedido el fichero, la fecha y hora que ha realizado el acceso, que fichero ha accedido, qué tipo de operación ha sido realizada (modificación, supresión, etc.) y si el acceso ha sido autorizado o denegado. Estos registros deben tener una revisión periódica y deben conservarse durante un periodo mínimo de dos años.
• Cifrado (nivel medio/alto de seguridad): la norma establece que todos los soportes que contengan datos de carácter personal de nivel alto deberán estar cifrados cuando sean distribuidos, evitando que la información contenida no sea inteligible ni manipulada durante su transporte.

Otros anexos del Documento de Seguridad que deben estar permanente actualizados son los inventarios de hardware y software de la empresa, la utilización de un libro de incidencias, el listado nominal del personal y de los terceros autorizados para acceder y tratar los datos de la empresa y las políticas de seguridad en que se determinan las funciones y obligaciones de todo el personal.