MEDIDAS DE SEGURIDAD PARA LOS NIVELES

MEDIDAS DE SEGURIDAD PARA LOS NIVELES

Cuando hablamos de medias de seguridad estamos hablando de una serie de medidas, las cuales debemos establecer para evitar fugas en cualquier tipo de información.

Todas las empresas, independientemente de su tamaño, organización y volumen de negocio, son conscientes de la importancia de tener implantadas una serie de políticas de Seguridad tendentes a garantizar la continuidad de su negocio en el caso de que se produzcan incidencias, fallos, actuaciones malintencionadas por parte de terceros, pérdidas accidentales o desastres que afecten a los datos e informaciones que son almacenados y tratados, ya sea a través de sistemas informáticos como en otro tipo de soportes, como el papel.

Para lograr sus objetivos la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático:

a) Confidencialidad: entendido como el acceso autorizado a los datos.

b) Exactitud: la información no debe sufrir alteraciones no deseadas, en cuanto a su contenido.

c) Disponibilidad: sólo las personas autorizadas pueden tener acceso a la información.

Además debemos tener en cuenta que existe un reglamento el cual nos sirve de guía para la creación de las mismas.

El Real Decreto 994/1999, de 11 de junio, que aprueba el Reglamento de Medidas de Seguridad para los Ficheros automatizados de Datos de Carácter Personal establece las medidas de carácter técnico y organizativo que deben ser adoptadas por todas las Empresas, Organizaciones, Asociaciones e Instituciones, tanto Públicas como Privadas, que almacenen, traten y accedan a ficheros de datos de carácter personal.

Es una norma de mínimos, que siempre estará en función de tres extremos:

a) La tipología de los datos y el tratamiento concreto que se realiza de los mismos.

b) La dimensión y estructura de los sistemas de información.

c) El estado de la tecnología.

La obligación de seguridad que regula el art.9 de la Ley Orgánica, desarrollada por este Reglamento, es una obligación de medios; es decir, nos obliga a adoptar las medidas necesarias para proteger los datos, pero reconoce que ninguna empresa puede garantizar al 100% que, con la adopción de dichas medidas, no vayan a producirse o existir incidencias.

Por ello, siempre que el Responsable del Fichero pueda acreditar que estableció y siguió las medidas de seguridad exigibles en cada caso, evitará una posible sanción por parte de la Agencia Española de Protección de Datos. Su comportamiento siempre será valorado en función de las circunstancias y exigencias de cada tratamiento, pesando sobre él la carga de la prueba de que adoptó todas las medidas necesarias para evitar o reducir el posible daño.

A continuación daremos explicación a algunas de las medidas que se deben tomar para la protección de los niveles.

Identificación y Autenticación:

1.- Existencia de una lista actualizada de usuarios autorizados que tengan acceso autorizado al sistema de información (art.11.1 y 12.3).

2.- Procedimientos de identificación y autenticación informáticos:

a) Contraseñas: procedimiento de creación, asignación, conservación y cambio periódico (art.11.2 y 11.3).

b) Identificación de usuario, de manera inequívoca y personalizada (art.18.1).

c) Limitación de acceso incorrecto reiterado (art.18.2).

Control de acceso

1.- Los usuarios tendrán únicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento (art.12.1).

2.- Deberán implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario (art.12.2).

3.- Control de acceso físico a servidores y CPD (art.19).

4.-

...