ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

La clínica “LA SALUD ES LO MÁS IMPORTANTE”


Enviado por   •  6 de Enero de 2016  •  Ensayo  •  1.750 Palabras (7 Páginas)  •  95 Visitas

Página 1 de 7

John Alexander Salgado Muñoz

Docente: Eduard Antoni Chaveli Donet

trabajo medidas de seguridad en la proteccion de datos

La clínica “LA SALUD ES LO MÁS IMPORTANTE” (ubicada en España y por tanto sometida a la legislación española actual) nos encarga, en nuestra calidad de consultores en protección de datos, que le asesoremos sobre qué medidas de seguridad técnica y organizativa debe tomar en materia de protección de datos para proteger los siguientes ficheros:


1. Fichero pacientes (mixto; es decir en soporte automatizado y no automatizado) y con datos de nivel alto.
2. Fichero empleados (mixto; es decir en soporte automatizado y no automatizado) y con datos de nivel básico.

Como dice la guía responsable de ficheros de la agencia Española de protección de datos (2008), los niveles de seguridad son acumulativos de modo que un fichero de nivel alto deberá aplicar también las medidas previstas en los niveles básicos y medio.

Fichero Pacientes “Niveles de Seguridad Alto”

Tratamientos Automatizados

  • Funciones y Obligaciones del personal. se debe garantizar que el responsable del fichero debe esclarecer de forma comprensible las normas de seguridad y alcances para el personal que tenga acceso a la información de forma correcta.
  • Registro de Incidencias. Debe existir un procedimiento de gestión de incidencias que especifique las tres fases (inicio, desarrollo y cierre) y como aplicar las medidas correctivas.
  • Control de Acceso. Crear perfiles que ayuden a controlar que los usuarios solo puedan modificar las acciones mínimas para su desarrollo y efectividad de sus funciones.
  • Gestión de Soportes y Documentos. Se debe generar un documento de seguridad el cual contenga las autorizaciones del traslado de los ficheros y etiquetar la información para que sea accesible solo al personal autorizado que conozca dicha identificación.
  • Identificación y autenticación. debe existir un mecanismo de seguridad que permita la identificación de las personas que acceden a la información, a través de autenticación (usuario, contraseña, token o firma digital) para garantizar la integridad y confidencialidad de los datos.
  • Copias de respaldo y recuperación. Se deben establecer mecanismos de recuperación de los datos, almacenado una copia de seguridad semanal en una locación diferente y de esta manera poder restablecer la información y garantizar que el procedimiento funcione correctamente en caso de una falla o pérdida del fichero.
  • Responsable de la seguridad. Se debe designar uno o varios responsables como dueño del proceso para controlar las medidas de seguridad.
  • Auditoría. Se debe realizar auditoria bienal cada 2 años que verifique el cumplimiento de las medidas de seguridad implantadas.
  • Control de Acceso Físico. Solo el personal autorizado podrá tener acceso a los lugares donde esta almacenada la información.
  • Gestión y distribución de soportes. Se debe implementar un mecanismo de seguridad para que toda la información que contenga datos de carácter personal debe estar cifrada para garantizar la integridad y confidencialidad.
  • Registro de Accesos. se debe implementar una estrategia de monitoreo de intentos de acceso a la información a los funcionarios que acceden a ella, esta se almacenara en un periodo de 2 años.
  • Telecomunicaciones. Se debe garantizar que toda la información que tenga datos de carácter personal debe ser trasmitida en un canal seguro o implementado modelos de cifrado que garanticen la integridad de la información.

Tratamientos No Automatizados

Según Reglamento de desarrollo de la Ley Orgánica 15/1999 (Ministerio de justicia, 2008) Los ficheros no automatizados les será de aplicación lo dispuesto en los capítulos I y II.

Asimismo se les aplicará lo establecido por la sección primera del capítulo III del presente título.

  • Encargado del tratamiento. Cuando se autoriza el acceso a la información de un tercero por medio físico o remoto, se deberá generar un documento en donde se manifieste que se cumplirán las medidas de seguridad adoptadas.
  • Prestaciones de servicios sin acceso a datos personales. Se adoptaran medidas para limitar el acceso al personal interno o ajeno a los recursos del sistema de información cuando se trate de datos personales.
  • Delegación de autorizaciones. se podrá delegar funciones de autorización sin que se delege la responsabilidad del responsable del fichero.
  • Régimen de trabajo fuera de los locales del responsable del fichero o en cargado del tratamiento. Debe existir un procedimiento de autorización cuando un fichero se transporta en un dispositivo móvil, el cual deberá establecer los niveles de seguridad necesarios cuando se presente este hecho.
  • Ficheros Temporales, Copias de trabajo de documentos. Todos los ficheros temporales que contengan información sensible deben aplicar los controles de Seguridad según el nivel de seguridad que se haya aplicado al fichero.
  • Documento de seguridad. Se debe elaborar un documento de seguridad donde este estipulado normas, procedimientos, reglas y estándares acordes a la política de seguridad de la organización.
  • Funciones y Obligaciones del personal. se debe garantizar que el responsable del fichero debe esclarecer de forma comprensible las normas de seguridad y alcances para el personal que tenga acceso a la información de forma correcta.
  • Registro de Incidencias. Debe existir un procedimiento de gestión de incidencias que especifique las tres fases (inicio, desarrollo y cierre) y como aplicar las medidas correctivas.
  • Control de Acceso. Crear perfiles que ayuden a controlar que los usuarios solo puedan modificar las acciones mínimas para su desarrollo y efectividad de sus funciones.
  • Gestión de Soportes y Documentos. Se debe generar un documento de seguridad el cual contenga las autorizaciones del traslado de los ficheros y etiquetar la información para que sea accesible solo al personal autorizado que conozca dicha identificación.
  • Criterios de archivo. Se deberá garantizar la correcta gestión documental, de acuerdo a la legislación de la localización. 
  • Dispositivos de almacenamiento. En los dispositivos donde está alojada información personal se deben implementar mecanismos de control de seguridad que ayuden proteger la información y en caso de no tenerlas el responsable deberá crear controles alternos.
  • Custodia de soportes. Se debe impedir el acceso no autorizado de los documentos, por parte del responsable cuando el fichero está en revisión.
  • Responsable de seguridad. Deberá existir uno o varios dueños del proceso.
  • Auditoria. Se deberá realizar auditoria bienal interna o externa cada 2 años para corroborar su cumplimiento.
  • Almacenamiento de la información. Los elementos físicos que contienen información de carácter personal, deberán tener controles de ayuden al acceso no autorizado y si esto no se cumple el responsable deberá tomar controles alternativos.
  • Copia o reproducción. Se debe realizar un procedimiento de copias de seguridad donde el único encargado es la persona autorizada y si el archivo es destruido se debe asegurar que la información no se pueda recuperar.
  • Acceso a la documentación. Se debe limitar el acceso a la información de las personas autorizadas, por lo tanto se implementarán mecanismos que ayuden a corroborar el acceso.
  • Traslado de documentación.

Fichero Empleados “Niveles de Seguridad Bajo”

Tratamientos Automatizados

  • Funciones y Obligaciones del personal. se debe garantizar que el responsable del fichero debe esclarecer de forma comprensible las normas de seguridad y alcances para el personal que tenga acceso a la información de forma correcta.
  • Registro de Incidencias. Debe existir un procedimiento de gestión de incidencias que especifique las tres fases (inicio, desarrollo y cierre) y como aplicar las medidas correctivas.
  • Control de Acceso. Crear perfiles que ayuden a controlar que los usuarios solo puedan modificar las acciones mínimas para su desarrollo y efectividad de sus funciones.
  • Gestión de Soportes y Documentos. Se debe generar un documento de seguridad el cual contenga las autorizaciones del traslado de los ficheros y etiquetar la información para que sea accesible solo al personal autorizado que conozca dicha identificación.
  • Identificación y autenticación. debe existir un mecanismo de seguridad que permita la identificación de las personas que acceden a la información, a través de autenticación (usuario, contraseña, token o firma digital) para garantizar la integridad y confidencialidad de los datos.
  • Copias de respaldo y recuperación. Se deben establecer mecanismos de recuperación de los datos, almacenado una copia de seguridad semanal en una locación diferente y de esta manera poder restablecer la información y garantizar que el procedimiento funcione correctamente en caso de una falla o pérdida del fichero.

Tratamientos No Automatizados

  • Encargado del tratamiento. Cuando se autoriza el acceso a la información de un tercero por medio físico o remoto, se deberá generar un documento en donde se manifieste que se cumplirán las medidas de seguridad adoptadas.
  • Prestaciones de servicios sin acceso a datos personales. Se adoptaran medidas para limitar el acceso al personal interno o ajeno a los recursos del sistema de información cuando se trate de datos personales.
  • Delegación de autorizaciones. se podrá delegar funciones de autorización sin que se delege la responsabilidad del responsable del fichero.
  • Régimen de trabajo fuera de los locales del responsable del fichero o en cargado del tratamiento. Debe existir un procedimiento de autorización cuando un fichero se transporta en un dispositivo móvil, el cual deberá establecer los niveles de seguridad necesarios cuando se presente este hecho.
  • Ficheros Temporales, Copias de trabajo de documentos. Todos los ficheros temporales que contengan información sensible deben aplicar los controles de Seguridad según el nivel de seguridad que se haya aplicado al fichero.
  • Documento de seguridad. Se debe elaborar un documento de seguridad donde este estipulado normas, procedimientos, reglas y estándares acordes a la política de seguridad de la organización.
  • Funciones y Obligaciones del personal. se debe garantizar que el responsable del fichero debe esclarecer de forma comprensible las normas de seguridad y alcances para el personal que tenga acceso a la información de forma correcta.
  • Registro de Incidencias. Debe existir un procedimiento de gestión de incidencias que especifique las tres fases (inicio, desarrollo y cierre) y como aplicar las medidas correctivas.
  • Control de Acceso. Crear perfiles que ayuden a controlar que los usuarios solo puedan modificar las acciones mínimas para su desarrollo y efectividad de sus funciones.
  • Gestión de Soportes y Documentos. Se debe generar un documento de seguridad el cual contenga las autorizaciones del traslado de los ficheros y etiquetar la información para que sea accesible solo al personal autorizado que conozca dicha identificación.
  • Criterios de archivo. Se deberá garantizar la correcta gestión documental, de acuerdo a la legislación de la localización. 
  • Dispositivos de almacenamiento. En los dispositivos donde está alojada información personal se deben implementar mecanismos de control de seguridad que ayuden proteger la información y en caso de no tenerlas el responsable deberá crear controles alternos.
  • Custodia de soportes. Se debe impedir el acceso no autorizado de los documentos, por parte del responsable cuando el fichero está en revisión.

REFERENCIAS.

  • Agencia Española de protección de datos (2008), Guía del responsable de ficheros P (39) disponible en:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_responsable_ficheros.pdf

  • Agencia Española de protección de datos (2008), Reglamento de desarrollo de la Ley Orgánica 15/1999, P (41) disponible en:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2014/Real_Decreto_1720-2007_de_21_de_diciembre_por_el_que_se_aprueba_Reglamento_de_desarrollo_Ley_Organica_15-1999_Consolidado.pdf

...

Descargar como (para miembros actualizados) txt (12 Kb) pdf (235 Kb) docx (14 Kb)
Leer 6 páginas más »
Disponible sólo en Clubensayos.com