lunes, 26 de julio de 2010

Guía implantación LOPD en Pymes (V)

La Fase 3 que propongo para la implantación de la LOPD en pymes y micropymes es la que tiene como objetivo la comunicación, sensibilización y formación de los usuarios que manejan datos de carácter personal en la organización.
Todos conocemos la frase en la que se afirma que la fortaleza de una cadena es la misma que la de su eslabón más débil, o algo así. Además, para ilustrar este post me gustaría también recordar algunas de las frases célebres sobre la informática que ya publiqué en este blog y que creo que son muy ilustrativas de lo que quiero decir:

- “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores” - Kevin Mitnick.

- “Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños” - Chris Pirillo.

Con esto quiero decir que la implicación de las personas que manejan los datos de carácter personal no sólo es necesaria, sino que constituye el factor crítico de éxito fundamental en el que basar el cumplimiento y la mejora continua de cualquier iniciativa que pretenda garantizar la seguridad de la información existente en una organización, incluida la protección de datos de carácter personal.

Algo que siempre digo en las sesiones de comunicación, sensibilización y formación a usuarios en este tema es que, por ejemplo, se pueden establecer las mejores política de seguridad en lo que respecta a la identificación y autenticación de usuarios, pero ésta no valdrá para nada si no se sensibiliza a los usuarios de su necesaria confidencialidad (uso estrictamente personal de las contraseñas y, por tanto, no divulgarlas ni compartirlas con nadie). Todos hemos visto códigos de usuario y contraseñas apuntados en post-it colgados en puestos de trabajo.

Por eso creo que esta actividad no sólo se debe limitar a la formación, sino que, además, la comunicación y la sensibilización son fundamentales, tanto para lograr el conocimiento de la normativa por parte de los usuarios y, por tanto, para involucrarlos en su efectivo cumplimiento, como para comprometerlos en la mejora continua en materia de protección de datos de carácter personal en la organización.

Un índice orientativo de la sesión de comunicación, sensibilización y formación a impartir en una pyme o micropyme podría ser el siguiente (en base a las fases propuestas, tal y como comenté en el post anterior, la documentación de esta sesión se obtendría en la fase anterior y constituiría la entrada para la realización de esta fase):

1.- Introducción.

1.1.- ¿Por qué hay que proteger los datos de carácter personal? (desde una doble perspectiva, es decir, tanto desde el punto de vista de las personas como de las organizaciones).

1.2.- Aspectos básicos de la LOPD.

1.2.1.- ¿Qué es la LOPD?.

1.2.2.- Ámbito de aplicación.

1.2.3.- Responsabilidades.

1.2.4.- Principios de la Ley.

1.2.5.- Derechos de las personas.

1.2.6.- La Agencia Española de Protección de Datos (AEPD) (¿Qué es?. Misión).

1.2.7.- Infracciones y sanciones.

1.3.- Aspectos básicos del Reglamento de Desarrollo de la LOPD.

1.3.1.- ¿Qué recoge?.

1.3.2.- Niveles de Seguridad.

1.4.- La adecuación a la LOPD en la pyme o micropyme concreta.

1.4.1.- El Documento de Seguridad (contenido e información más relevante sobre cada apartado del mismo, haciendo especial hincapié en las funciones y obligaciones de los usuarios).

1.4.2.- Resumen (¿Qué va a cambiar en el día a día? y decálogo para los usuarios).

No hay comentarios:

Publicar un comentario