En este caso veremos las Funciones y
Obligaciones que tienen en el nivel alto de seguridad, ademas de los requisitos basicos y medios, para ficheros de tratamiento de datos de caracter personal, no tratamos las medidas de seguridad en ficheros no informatizados, como el papel, por ser casi inexistentes:
En este nivel se añadirán 4 Artículos
referidos a la Gestión y distribución de soportes. Copias de
respaldo y recuperación. Registro de accesos y Telecomunicaciones.
Artículo 101.Gestión y distribución
de soportes.
1. La identificación de los soportes
se deberá realizar utilizando sistemas de etiquetado comprensibles y
con significado, que permitan a los usuarios con acceso autorizado a
los citados soportes y documentos, identificar su contenido y que
dificulten la identificación para el resto de personas.
Una etiqueta con un sencillo cifrado,
puede ser de mucha ayuda en casos donde coexistan muchos puestos de
trabajo
2. La distribución de los soportes que
contengan datos de carácter personal se realizará cifrando dichos
datos o bien utilizando otro mecanismo que garantice que dicha
información no sea accesible o manipulada durante su transporte.
Asimismo, se cifrarán los datos que contengan los dispositivos
portátiles cuando éstos se encuentren fuera de las instalaciones
que están bajo el control del responsable del fichero.
Tengan en cuenta que los datos que
están tratando se consideran datos “sensibles” o “privadísimos”,
el nivel de seguridad medio tiene inherentes una serie de medidas
quizás más complicadas de cumplir, pero es que protege datos más
importantes por lo que el cifrar, bloquear o de algún otro modo
garantizar la seguridad de los soportes que contiene estos datos
sobretodo cuando están fuera de las instalaciones es de suma
importancia, ya que puede perder o le pueden robar el ordenador, o el
disco duro externo, pueden haber accesos no autorizados, etc.
3. Deberá evitarse el tratamiento de
datos de carácter personal en dispositivos portátiles que no
permitan su cifrado. En caso de que sea estrictamente necesario se
hará constar motivadamente en el documento de seguridad y se
adoptarán medidas que tengan en cuenta los riesgos de realizar
tratamientos en entornos desprotegidos.
Artículo 102. Copias de respaldo y
recuperación.
Conservarse una copia de respaldo de
los datos y de los procedimientos de recuperación de los mismos en
un lugar diferente de aquel en que se encuentren los equipos
informáticos que los tratan, que deberá cumplir en todo caso las
medidas de seguridad exigidas en este título, o utilizando elementos
que garanticen la integridad y recuperación de la información, de
forma que sea posible su recuperación.
En este nivel de seguridad, otra medida
más es que la copia de seguriad, etc. tiene que guardarse en un
lugar direfente, por su puesto no es correcto la copia en el mismo
ordenador o disco partido, tampoco en el cajon de la mesa del puesto
de trabajo. O bien se guarda en otro habitaculo cerrado, o en caja
fuerte o en domicilio paticualr en empresasa especializadas externas,
etc.
Artículo 103. Registro de accesos.
En este siguiente apartado si que
tendra que intervenir de nuevo un experto informatico ya que deberan
incluir un sotfware para poder controlar quien intenta o cacede, aque
accede y guardar dicho registro durante dos años.
1. De cada intento de acceso se
guardarán, como mínimo, la identificación del usuario, la fecha y
hora en que se realizó, el fichero accedido, el tipo de acceso y si
ha sido autorizado o denegado.
2. En el caso de que el acceso haya
sido autorizado, será preciso guardar la información que permita
identificar el registro accedido.
3. Los mecanismos que permiten el
registro de accesos estarán bajo el control directo del responsable
de seguridad competente sin que deban permitir la desactivación ni
la manipulación de los mismos.
4. El período mínimo de conservación
de los datos registrados será de dos años.
5. El responsable de seguridad se
encargará de revisar al menos una vez al mes la información de
control registrada y elaborará un informe de las revisiones
realizadas y los problemas detectados.
Simplemente verificar que es sistema
funciona y que los registros que tiene de este mes son los correctos
y autorizados, este control lo puede reflejar en una sencilla tabla
Excel para simplificar el proceso.
6. No será necesario el registro de
accesos definido en este artículo en caso de que concurran las
siguientes circunstancias:
a) Que el responsable del fichero o del
tratamiento sea una persona física.
b) Que el responsable del fichero o del
tratamiento garantice que únicamente él tiene acceso y trata los
datos personales. La concurrencia de las dos circunstancias a las que
se refiere el apartado anterior deberá hacerse constar expresamente
en el documento de seguridad.
Por esto es tan importante indicar en
el Documento de Seguridad, en el caso que sea el responsable el unico
que tiene acceso a los datos de carater personal de nivel medio, ya
que como puede comprobar se ahorrará mucha faena de control. Esto no
quiere decir que otros usuarios no puedan “tocar” los
ordenadores, lo unico es garantizar y contorlar quien accede y a que
accede, ya que si es el departamento de contabilidad, o comercial,
seguramente no tendran acceso a este tipo de datos de nivel medio “o
no deberián”.
Artículo 104. Telecomunicaciones. “En
este nivel hay que cifrar los datos”
Cuando, conforme al artículo 81.3 del
reglamento de seguridad deban implantarse las medidas de seguridad de
nivel alto, la transmisión de datos de carácter personal a través
de redes públicas o redes inalámbricas de comunicaciones
electrónicas se realizará cifrando dichos datos o bien utilizando
cualquier otro mecanismo que garantice que la información no sea
inteligible ni manipulada por terceros.
Si tenéis cualquier duda o necesitais ayuda no dudeis en contactar con nosotros .
No hay comentarios:
Publicar un comentario