Digo: "al menos, mitigar", porque hay que partir de la premisa de que la seguridad es como la felicidad, ninguna de las dos existe al 100%, lo que no significa que ambas no sean muy importantes y que no haya que hacer lo que podamos para intentar alcanzarlas.
"El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados".
- Gene Spafford -
Por tanto, creo que la seguridad total no existe en ningún ámbito de la vida, y la seguridad informática (aspecto muy importante cuando hablamos de privacidad y protección de datos de carácter personal, pero también en general de la seguridad de la información manejada por las organizaciones) no es una excepción.
La primera de las medidas establecidas en el Reglamento de Desarrollo de la LOPD (RDLOPD), artículo 89, entiendo que va en esa línea y se refiere a las funciones y obligaciones del personal.
¿Es esto una medida de seguridad?. Pues sí, definir las funciones
y obligaciones del personal y llevarlas a la práctica, concienciando a las personas de su
importancia, no sólo es una medida de seguridad sino que, en mi opinión, es el
factor critico de éxito más importante cuando se trata de implantar un sistema de
seguridad de la información, de su efectivo cumplimiento y de su mejora
continua. Hay muchas frases célebres que así nos lo recuerdan:
"Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni entiendes los problemas ni entiendes la tecnología”
.
- Bruce Schneier -
- Bruce Schneier -
“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores”.
- Kevin Mitnick -
Por tanto, queda clara la gran relevancia que tienen/tenemos
las personas en la seguridad de la información, pero entonces y basándome en mi experiencia: ¿por qué es una de las medidas más difíciles de implantar convenientemente?.
Pues bien, esto es así porque las personas que dirigen las organizaciones:
1.- Entienden que la seguridad de la información es un gasto superfluo, cuando no directamente inútil (pero, ¿cuánto dices que cuesta?, si nunca pasa nada, si aquí somos pocos y nos conocemos todos, esto de la seguridad no aporta nada y, además, dificulta nuestro trabajo y es imposible implantarlo en el día a día,...).
2.- Como consecuencia, no le prestan ninguna atención y, por tanto, no le dedican los recursos humanos y materiales necesarios (sólo quieren "cubrir el expediente" en la medida de que se trate de un requerimiento legal y sólo por temor a sanciones económicas y/o a que se divulgue la existencia de fallos de seguridad, o sólo lo hacen cuando al final sí que pasa algo y sólo hasta que se les pasa el susto).
3.- No comprenden que se trata de un proceso y, por tanto, que requiere de recursos suficientes de forma continuada en el tiempo para su supervisión y mejora continua (verificación del cumplimiento, detección y corrección de deficiencias o fallos en el sistema de seguridad implantado, permanente actualización y adecuación en base a la evolución de la organización y de las amenazas, y ante cambios de las disposiciones legales y reglamentarias en esta materia, respectivamente, etc.).
4.- Y, por supuesto, no entienden la importancia de una correcta comunicación, formación y sensibilización del personal, con el objetivo no sólo de exigirle el cumplimiento de las medidas de seguridad, sino, más importante aún, de involucrarle en dicho cumplimiento y en la mejora continua del sistema de seguridad implantado en la organización.
"La seguridad no es un producto, es un proceso".
a) Qué dice el citado artículo 89 del RDLOPD:
"1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.
También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.".
b) Recomendaciones para su efectiva implantación:
En base a mi experiencia, me permito dar una serie de pautas para implantar convenientemente esta medida de seguridad en las organizaciones.
b.1) Establecer una estructura organizativa y de control sólida:
Creo que hay muchas maneras de que las cosas se hagan mal o de que directamente no se hagan en una organización, pero resulta obvio que las más seguras para que esto ocurra son: no encomendar una tarea a nadie o encomendársela a todos, ya que en el primer caso nadie se sentirá responsable de llevarla a cabo, mientras que en el segundo esa responsabilidad quedará perfectamente "diluida", lo que hará que en la práctica esta segunda opción no se diferencie absolutamente en nada de la primera.
Como digo caben otras muchas posibilidades: no definir las responsabilidades de cada uno a la hora de llevar a cabo la tarea, encargársela a una o varias personas que no cuenten con el respaldo de la dirección para ello, que no estén motivadas o no tengan los conocimientos suficientes para ejecutarla, encomendársela a un número de personas insuficiente en organizaciones grandes y/o complejas, etc.
Por tanto, la primera de las recomendaciones consiste en definir e implantar en la organización una estructura organizativa y de control sólida en materia de protección de datos de carácter personal. Lógicamente, esta estructura organizativa dependerá en gran medida de la problemática concreta de la organización en esta materia y del propio organigrama de la misma, pero una primera aproximación para una organización de tamaño medio o grande podría ser la siguiente:
b.1.1) Responsable de fichero o tratamiento: He dicho antes que las personas son el factor crítico de éxito más relevante, lo que incluye a los mandos directivos, ya que sin una implicación clara de la dirección el sistema de protección de datos de carácter personal a implantar está condenado al fracaso y, por tanto, propongo que la persona que ejerza las funciones que la normativa vigente atribuye al responsable de fichero o tratamiento desempeñe un cargo/perfil de alto nivel en la organización (Director, Gerente, etc.).
A este nivel de responsabilidad las funciones y obligaciones que creo más relevantes, para las que se contará con el asesoramiento del responsable/s de seguridad que se designe/n (ver punto siguiente), son las siguientes:
- Determinar la estrategia y las políticas de seguridad de la información generales.
- Designar a las personas encargadas de definir los procedimientos, medidas, normas, reglas y estándares de seguridad tendentes a garantizar la protección de los datos de carácter personal manejados por la organización, de su efectiva implantación, coordinación y control, y de su permanente actualización conforme a la evolución de la organización, de los riesgos y de las disposiciones legales y reglamentarias en esta materia, asignando los recursos humanos y materiales necesarios y velando por todo ello.
- Velar por que se adopten las medidas necesarias para que el personal con acceso a datos de carácter personal o recursos conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
- Encargarse de que se someta a los ficheros o tratamientos, sistemas de información e instalaciones de
tratamiento y almacenamiento de datos a una auditoría, interna o externa, que
verifique el cumplimiento de las medidas de seguridad aplicables, al menos cada
dos años o con carácter extraordinario en el caso de que se realicen
modificaciones sustanciales en los sistemas de información que puedan
repercutir en el cumplimiento de las medidas de seguridad implantadas, así como de que se adopten las medidas correctoras y/o complementarias adecuadas como
consecuencia de las conclusiones obtenidas en los informes de dichas auditorías.
Aunque esta medida es sólo exigible para ficheros o tratamientos a los que les sean de aplicación las medidas de seguridad de nivel medio y/o alto, mi recomendación consiste en llevarla a cabo para todos los ficheros o tratamientos existentes en la organización, es decir, sobre todos ellos, con independencia del nivel de las medidas de seguridad que les sean de aplicación e incluso si únicamente se dispone de ficheros o tratamientos a los que les sean de aplicación las medidas de nivel básico.
Con respecto a la realización de las tareas operativas relacionadas con la protección
de datos de carácter personal que conforme a la normativa legal y
reglamentaria correspondan al responsable de fichero o tratamiento, mi recomendación consiste en que éstas se
deleguen en el responsable/s de seguridad, en unidades
del modelo organizativo y de control establecido para la protección de datos o en
las personas adscritas a cierta categoría de personal, y, como exige la normativa, que se indiquen expresamente estas delegaciones en el documento de seguridad. Bien entendido que esta delegación de actividades, conforme a lo dispuesto en la LOPD, no supone en ningún
caso una exoneración de la responsabilidad, que le corresponde al responsable de fichero o tratamiento.
b.1.2) Responsable/s de seguridad: en principio esta figura sólo es obligatoria en el caso de que se disponga de ficheros o tratamientos a los que les sean de aplicación las medidas de seguridad de nivel medio y/o alto, pero mi recomendación consiste en designar uno o varios responsables de seguridad en cualquier caso, es decir, también aunque únicamente se disponga de ficheros o tratamientos a los que les sean de aplicación las medidas de nivel básico.
En cuanto al número y perfiles del responsable/s de seguridad, mis recomendaciones son las siguientes:
- Designación diferenciada conforme al sistema de tratamiento empleado, es decir, designar al menos uno para tratamientos automatizados y, al menos, otro para tratamientos no automatizados. El número concreto de unos y otros dependerá de factores tales como: la sensibilidad de la información tratada mediante uno y otro sistema, la complejidad y volumen de los tratamientos efectuados, etc.
- Las personas designadas para ello deben, en mi opinión, desempeñar un cargo/perfil relevante en la organización. Lo ideal desde el punto de vista exclusivo de la seguridad consistiría en que las personas a designar sean lo más independientes que sea posible de las Áreas/Dptos. de negocio en sentido estricto y que dependan directamente de la dirección, tanto orgánica como funcionalmente, ya que las prisas y presiones del negocio (por ejemplo para poner en producción una nueva aplicación informática) no se llevan bien con el análisis de los riesgos y la necesaria implementación de los requerimientos de seguridad pertinentes.
Dicho lo anterior, en la práctica y pensando en designar dos responsables de seguridad, uno para tratamientos automatizados y otro para los no automatizados, recomiendo, si los hubiera, que el primero de ellos sea el Responsable de SS.II. de la organización, mientras que el segundo podría ser el responsable del Área/Dpto. jurídico o el responsable del Área/Dpto. de organización (aunque estas figuras sólo suelen encontrarse en grandes organizaciones) o, en su defecto, el responsable de calidad, el responsable administrativo, el responsable de RR.HH., etc.
Propongo que sus principales funciones y obligaciones sean la siguientes:
- Realizar cuantas tareas de asesoramiento le sean encomendadas por el
responsable de fichero o tratamiento con objeto de garantizar la protección de
los datos de carácter personal manejados por la organización.
- Elaborar las notificaciones correspondientes a la creación, modificación y supresión de ficheros que contengan datos de carácter personal ala Agencia Española
de Protección de Datos o, en su caso, a la autoridad de control de ámbito autonómico competente.
- Mantener actualizado el inventario de recursos protegidos.
- Mantener actualizada la relación de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
- Establecer los mecanismos para evitar que un usuario pueda acceder a recursos no autorizados y, en el caso de ficheros y tratamientos automatizados, evitar que lo pueda hacer con derechos distintos de los autorizados.
- Autorizar tanto las solicitudes de pruebas con datos reales como las solicitudes de generación de ficheros temporales con datos de carácter personal desde los sistemas de información corporativos, asegurándose tanto de que es viable aplicar como de que se aplicarán efectivamente las medidas de seguridad exigibles al nivel de seguridad correspondiente a los datos involucrados.
- En el caso de disponerse de ficheros o tratamientos a los que sean de aplicación las medidas de seguridad de nivel alto, revisar con la periodicidad que se determine la información de control sobre los registros de accesos y elaborar un informe de las revisiones realizadas y los problemas detectados.
- En el caso de disponerse de ficheros o tratamientos automatizados a los que sean de aplicación las medidas de seguridad de nivel alto y si es necesario, habilitar los mecanismos pertinentes, ya sea hardware o software, para cifrar los datos de carácter personal.
- Realizar los controles periódicos que se establezcan para la
verificación del cumplimiento de lo dispuesto en el documento de seguridad.
- Realizar las revisiones extraordinarias oportunas para la verificación de lo dispuesto en la normativa vigente en materia de protección de datos y en el documento de seguridad, ante cualquier circunstancia que así lo aconseje.
- En el caso de disponerse de ficheros o tratamientos a los que sean de aplicación las medidas de seguridad de nivel medio y/o alto (aunque, como ya se ha dicho, recomiendo que la auditoría se haga en cualquier caso, con independencia del nivel de seguridad de las medidas aplicables y sobre todos los ficheros o tratamientos existentes), analizar los informes de auditoría que verifiquen el cumplimiento de la normativa vigente en materia de protección de datos de carácter personal y de lo dispuesto en el documento de seguridad, que deberán realizarse, al menos, cada dos años, y elevar las conclusiones al responsable de fichero o tratamiento para que se adopten las medidas correctoras y/o complementarias adecuadas.
- Estar al tanto de las modificaciones que puedan producirse en la normativa legal y reglamentaria vigente en materia de protección de datos, con objeto de adecuar en todo momento el contenido del documento de seguridad a lo dispuesto en ella.
- Difundir el contenido de la normativa recogida en el documento de seguridad y de la
normativa legal y reglamentaria vigente en materia de protección de datos, y de
sus novedades, entre el personal de la organización con acceso a datos de carácter personal, encargándose
también de la organización y de que se lleve a cabo la impartición de la
formación al personal que sea necesaria.
- Definir y potenciar una estrategia para concienciar al personal afectado de la organización de la importancia de garantizar la seguridad y confidencialidad de la información sensible y, especialmente, en lo que respecta a la protección de datos de carácter personal.
Asimismo, el responsable/s de seguridad asumirá/n las siguientes
funciones de control o autorizaciones expresamente delegadas por el responsable
del fichero o tratamiento:
- Autorizar el almacenamiento de datos personales en dispositivos portátiles o su tratamiento fuera de los locales de la organización, o del encargado del tratamiento.
- Verificar, al menos cada seis meses, la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
- Autorizar la salida fuera de las instalaciones de la organización de aquellos equipos informáticos, tanto puestos de trabajo como servidores, que formen parte del parque informático y que sea necesario mantener o reparar en empresas externas contratadas para tal fin.
- En el caso de disponerse de ficheros o tratamientos a los que sean de aplicación las medidas de seguridad de nivel medio y/o alto, autorizar la ejecución de los procedimientos de recuperación de datos consecuencia de las incidencias producidas que impliquen la realización de este tipo de procesos.
La designación del responsable/s de seguridad debe ser una designación formal, por lo que debe existir un documento de nombramiento o designación para ello, y debe/n estar convenientemente identificado/s en el documento de seguridad.
b.1.3) Comisión de seguridad: órgano que recomiendo constituir con el objetivo de lograr la efectiva coordinación y control del cumplimiento del sistema de protección de
datos implantado en la organización.
Como tal, propongo que esté integrada por el responsable o responsables de seguridad designado/s y los responsables de Áreas/Departamentos que conformen la estructura organizativa de la organización.
Sus principales funciones y obligaciones serían las siguientes:
- Asegurarse de que los datos de carácter personal contenidos en los ficheros y/o objeto de tratamiento sean adecuados, pertinentes y no excesivos en relación a la finalidad que se persigue.
- Asegurarse de que no se utilicen los datos de carácter personal recabados y contenidos en los ficheros y/o objeto de tratamiento para fines incompatibles con la finalidad para la que se recogen y/o tratan.
- Encargarse de que se suministre a los afectados la información requerida por la normativa en el momento de recabar sus datos de carácter personal que formarán parte de los ficheros y/o tratamientos, estableciendo y/o revisando los medios que se utilicen para ello, y, en general, de que se cumplan las condiciones exigibles en el momento de la recogida de los datos y antes de iniciar su tratamiento.
- Asegurarse de que se solicite de forma adecuada el consentimiento de los afectados para el tratamiento o cesión de sus datos de carácter personal, salvo que éste no sea exigible. Todo ello de conformidad con la normativa vigente.
- Asegurarse de que se establecen los mecanismos necesarios para que los datos de carácter personal contenidos en los ficheros y/o que son objeto de tratamiento sean exactos y permanentemente puestos al día.
- Asegurarse de que los datos de carácter personal contenidos en los ficheros son cancelados cuando estos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados, sin perjuicio de su conservación en los supuestos y condiciones indicados en la normativa vigente.
La comisión de seguridad mantendría las reuniones que sean
necesarias para cumplir con las funciones y obligaciones que tiene encomendadas. La convocatoria de dichas reuniones recaería sobre el responsable o responsables de seguridad, bien por iniciativa propia o
bien a solicitud de uno o varios responsables de Áreas/Departamentos, y convocaría a aquellos asistentes que sea preciso en función del alcance
organizativo concreto de los asuntos a tratar en la reunión.
Para facilitar el seguimiento de los acuerdos y medidas adoptados en cada reunión, el responsable o responsables de seguridad levantarían las correspondientes actas de las mismas.
Al no ser la constitución de este órgano exigible por la normativa legal y reglamentaria vigente, no sería preciso que existiera una designación formal de sus miembros. No obstante, mi recomendación es que exista un documento de nombramiento o designación para cada uno de sus integrante, y, en cualquier caso, que estén convenientemente identificados en el documento de seguridad.
b.1.4) Responsables Áreas/Dptos.: además de las funciones y obligaciones que les corresponderían como
integrantes de la comisión de seguridad, propongo que los responsables de Áreas/Departamentos tengan las siguientes funciones y obligaciones específicas principales en el
ámbito organizativo bajo su responsabilidad:
- Solicitar la creación, modificación o supresión de ficheros con datos de carácter personal en su ámbito organizativo de responsabilidad y, en el caso de creación, establecer la finalidad perseguida con la creación de los ficheros con datos de carácter personal, que deberá ser explícita, legítima y acorde con la actividad desarrollada por la organización.
Tras la creación de un fichero con datos de carácter personal y cuando éste afecte a una única área o departamento, propongo que el responsable de Área/Departamento que solicita su creación sea designado como gestor de ese fichero y, por tanto, asuma para dicho fichero, junto con el responsable o responsables de seguridad, las funciones y obligaciones indicadas anteriormente parala
comisión de seguridad, mientras que cuando un fichero con datos de carácter personal afecte a varias áreas o Departamentos
se designe como gestor de ese fichero a la comisión de seguridad.
Para los gestores de ficheros no suelo recomendar que exista un documento de nombramiento o designación formal para ello, pero sí deberían estar convenientemente identificados en el documento de seguridad.
- Asegurarse, antes de solicitar el acceso a datos o recursos de personas individuales o pertenecientes a otras organizaciones que vayan a actuar como encargado de tratamiento de ficheros o tratamientos bajo su ámbito organizativo de responsabilidad, de que el contrato de servicios se encuentra debidamente firmado y de que éste incluye las cláusulas pertinentes sobre protección de datos de carácter personal.
- Autorizar en primera instancia las solicitudes realizadas por el personal asignado a su área o departamento para la generación de ficheros temporales con datos de carácter personal desde los sistemas de información corporativos, asegurándose de que las personas solicitantes lo precisan para el desarrollo de las funciones que tienen encomendadas.
- Autorizar en primer instancia la ejecución de pruebas con datos reales sobre ficheros con datos de carácter personal dentro de su ámbito organizativo de responsabilidad.
- Solicitar la ejecución de los procesos de restauración de datos de carácter personal contenidos en ficheros dentro de su ámbito organizativo de responsabilidad.
- Solicitar el almacenamiento de datos personales en dispositivos portátiles o su tratamiento fuera de los locales de la organización, o del encargado del tratamiento, que afecten a ficheros dentro de su ámbito organizativo de responsabilidad.
- Asegurarse de que en el transporte de soportes y documentos se adoptan las medidas de seguridad pertinentes encaminadas a evitar su sustracción, pérdida o acceso indebido.
- Velar por el cumplimiento de lo dispuesto en el documento de seguridad y en la normativa asociada entre el personal asignado a su Área/Departamento.
Asimismo, propongo que los responsables de Área/Departamento asuman las siguientes funciones de control o autorizaciones expresamente delegadas por el responsable del fichero o tratamiento:
- Establecer los criterios para el acceso autorizado a datos y recursos conforme a las funciones asignadas a los usuarios con acceso a datos de carácter personal pertenecientes a su Área/Departamento.
- Autorizar la salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control de la organización y siempre que dicha salida no se encuentre debidamente autorizada en el documento de seguridad.
b.1.5) Administradores de SS.II.: Se trata de las personas debidamente autorizadas y encargadas de administrar o mantener el entorno operativo de
los ficheros automatizados.
Mi propuesta consiste en que sus principales funciones y obligaciones sean las siguientes:
- Conceder, alterar o anular el acceso autorizado sobre los datos y recursos
correspondientes a sistemas de tratamiento automatizados, conforme a los
criterios que se establezcan por los responsables de Áreas/Dptos.
- Informar al responsable/s de seguridad de los cambios que se produzcan en los recursos informáticos de la organización, para que se mantenga actualizado el inventario de recursos protegidos.
- Solicitar la ejecución de pruebas con datos reales sobre ficheros con datos de carácter personal tratados por sistemas bajo su responsabilidad.
- En general, realizar cuantas tareas de asesoramiento, control,
verificación, implantación y administración relativas a los sistemas
automatizados les sean encomendadas por el responsable/s de
seguridad con objeto de garantizar la protección de los datos de carácter personal manejados por la
organización.
Los administradores de los sistemas de información deben estar convenientemente identificados en el documento de seguridad.
b.1.6) Usuarios: entendidos como tales todas las personas con acceso a datos de carácter personal o recursos, y,
por tanto, tanto todo el personal propio que acceda o pueda acceder a ellos
(responsable/s de seguridad, responsables de Áreas/Dptos., administradores
de SS.II., usuarios finales, etc.), como el personal externo a la organización que pudiera
tener acceso a los mismos (personal de encargados de tratamiento).
Las funciones y obligaciones más importantes que entiendo deben recaer sobre los usuarios con acceso a datos de carácter o recursos son las siguientes:
- Están obligados a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrollan.
- Notificar las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según el procedimiento establecido en el documento de seguridad.
- Guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo, esta obligación subsistirá aún después de finalizar su relación con la organización.
- Cada usuario será responsable de la confidencialidad de su contraseña de acceso a los sistemas de información, y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder inmediatamente a su cambio.
- Garantizar que la información que muestra el puesto de trabajo que tiene asignado no pueda ser vista por personas no autorizadas.
- Dejar el puesto de trabajo que tiene asignado en un estado que impida la visualización de los datos protegidos cuando lo abandone, bien temporalmente o bien al finalizar su jornada de trabajo.
- Solicitar la autorización del responsable/s de seguridad o de administradores de SS.II. autorizados para cambiar la configuración del puesto de trabajo que tiene asignado (sistema operativo, aplicaciones, conexiones, etc.) y siempre y cuando sea necesario para el desempeño de sus funciones.
- Custodiar la documentación con datos de carácter personal que se encuentre a su cargo mientras ésta esté en proceso de revisión o trámite, evitando en todo momento que pueda ser accedida por personas no autorizadas.
- Garantizar que los documentos con datos de carácter personal que imprima no puedan ser retirados de la impresora por personas no autorizadas a acceder a la información que contienen.
- Generar ficheros temporales con datos de carácter personal o copias de trabajo de documentos únicamente en el caso de que sea necesario para el desarrollo de las funciones que tiene encomendadas. En el caso de ficheros temporales y por motivos de seguridad, el usuario debe solicitar dicha generación al responsable de Área/Dpto. a que esté asignado, y no debe ubicar estos ficheros en unidades de disco locales u otras ubicaciones a las que pudieran tener acceso usuarios no autorizados. Asimismo, es responsabilidad del usuario que solicita o crea el fichero temporal o la copia de trabajo de documentos, su borrado físico o destrucción, respectivamente, una vez haya dejado de ser útil para la finalidad para la que se generó.
- Utilizar los medios puestos a disposición por parte de la organización para el desecho de cualquier documento o soporte informático con datos de carácter personal.
- Solicitar al responsable de Área/Dpto. a que esté asignado la necesidad de envío hacia fuera de los locales bajo el control de la organización de soportes y/o documentos con datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, siempre y cuando dicha salida no se encuentre expresamente autorizada en el documento de seguridad.
- Registrar tanto la salida como la recepción, hacia o desde fuera de la organización, de los envíos de soportes y/o documentos que contengan datos de carácter personal de nivel medio y/o alto.
- Utilizar los recursos informáticos y de comunicaciones proporcionados por la organización (ordenadores, servicios de comunicaciones, correo electrónico, Internet y demás medios informáticos y de comunicaciones) conforme a lo establecido en la normativa interna sobre el uso de los mismos.
Recordar que la normativa vigente exige que exista una relación de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos, y que ésta se mantenga permanentemente actualizada.
b.2) Elaborar e implantar una normativa de usos de recursos informáticos y de comunicaciones:
Mi segunda recomendación consiste en elaborar e implantar, como complemento al documento de seguridad, una normativa interna sobre el uso de los recursos informáticos y de comunicaciones de la organización, cuyo principal objetivo sería garantizar la calidad de los servicios en lo que estos se ven involucrados y regular el uso de los mismos, tanto por parte del personal interno, como, si es el caso, por parte del personal externo que pudiera utilizarlos.
Sobre este tema ya escribí un post para aportar un enfoque práctico: objetivos que entiendo deben perseguirse con la implantación en las organizaciones de una normativa de este tipo y aspectos que considero más relevantes contemplar en ella y para su efectiva implantación, por lo que, sin más, indico el enlace al mismo:
"La normativa interna de uso de recursos informáticos y de comunicaciones (III)".
b.3) Definir una estrategia de comunicación, sensibilización y formación, y llevarla a la práctica:
Tal y como he venido insistiendo, la comunicación, sensibilización y formación del personal sobre la importancia de garantizar la seguridad y confidencialidad de la información sensible para la organización y, especialmente, sobre lo que respecta a la protección de los datos de carácter personal, es fundamental, tanto para alcanzar el citado fin, como para hacerles partícipes en la mejora continua en materia de seguridad.
Por ello, propongo que sea/n el responsable/s de seguridad los encargados de definir y elaborar un Plan de comunicación, sensibilización y formación del personal en materia de protección de datos de carácter personal y sobre el ámbito concreto de la adecuación de la organización a la LOPD.
En mi opinión, dicho plan debe considerar la impartición de diferentes tipos de sesiones en función del perfil de los asistentes a las mismas (por ejemplo: dirección, mandos intermedios, responsable/s de seguridad, administradores SS.II y usuarios finales).
Posteriormente, se elabora y prepara la documentación correspondiente a los diferentes tipos de sesiones identificadas y, finalmente, se imparten las mismas (presencialmente y/o on-line).
Propongo también que la documentación de la formación se deje on-line a disposición de los asistentes y recomiendo también dejar a su disposición una serie de instrucciones (elaboradas también específicamente para cada uno de los perfiles involucrados) con un resumen de los aspectos más importantes a tener en cuenta.
Hay que tener muy presente aquello de que "La seguridad no es un producto, es un proceso" y, por tanto, que no bastará con impartir una serie de sesiones iniciales, sino que este plan debe estar "vivo", adaptándolo permanente a la evolución de la organización con implicaciones en la seguridad, de la normativa legal y reglamentaria en esta materia y de las amenazas a las que está expuesta la información, a la implantación de nuevas medidas de seguridad para subsanar deficiencias del sistema y/o para complementar las existentes, etc., y, además, que deberá considerar la comunicación, sensibilización y formación de las nuevas incorporaciones.
b.4) Obtener el compromiso de los usuarios:
Finalmente, recomiendo obtener el compromiso del personal para el cumplimiento de lo establecido en el documento de seguridad y normativa interna asociada mediante la firma por su parte de los correspondientes anexos al contrato de trabajo.
Pues bien, esto es así porque las personas que dirigen las organizaciones:
2.- Como consecuencia, no le prestan ninguna atención y, por tanto, no le dedican los recursos humanos y materiales necesarios (sólo quieren "cubrir el expediente" en la medida de que se trate de un requerimiento legal y sólo por temor a sanciones económicas y/o a que se divulgue la existencia de fallos de seguridad, o sólo lo hacen cuando al final sí que pasa algo y sólo hasta que se les pasa el susto).
- Bruce Schneier -
"Dime y lo olvido, enséñame y lo recuerdo, involúcrame y lo aprendo".
- Benjamín Franklin -
a) Qué dice el citado artículo 89 del RDLOPD:
"1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.
También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.".
b) Recomendaciones para su efectiva implantación:
b.1) Establecer una estructura organizativa y de control sólida:
Creo que hay muchas maneras de que las cosas se hagan mal o de que directamente no se hagan en una organización, pero resulta obvio que las más seguras para que esto ocurra son: no encomendar una tarea a nadie o encomendársela a todos, ya que en el primer caso nadie se sentirá responsable de llevarla a cabo, mientras que en el segundo esa responsabilidad quedará perfectamente "diluida", lo que hará que en la práctica esta segunda opción no se diferencie absolutamente en nada de la primera.
Como digo caben otras muchas posibilidades: no definir las responsabilidades de cada uno a la hora de llevar a cabo la tarea, encargársela a una o varias personas que no cuenten con el respaldo de la dirección para ello, que no estén motivadas o no tengan los conocimientos suficientes para ejecutarla, encomendársela a un número de personas insuficiente en organizaciones grandes y/o complejas, etc.
Por tanto, la primera de las recomendaciones consiste en definir e implantar en la organización una estructura organizativa y de control sólida en materia de protección de datos de carácter personal. Lógicamente, esta estructura organizativa dependerá en gran medida de la problemática concreta de la organización en esta materia y del propio organigrama de la misma, pero una primera aproximación para una organización de tamaño medio o grande podría ser la siguiente:
A este nivel de responsabilidad las funciones y obligaciones que creo más relevantes, para las que se contará con el asesoramiento del responsable/s de seguridad que se designe/n (ver punto siguiente), son las siguientes:
- Determinar la estrategia y las políticas de seguridad de la información generales.
- Velar por que se adopten las medidas necesarias para que el personal con acceso a datos de carácter personal o recursos conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
Aunque esta medida es sólo exigible para ficheros o tratamientos a los que les sean de aplicación las medidas de seguridad de nivel medio y/o alto, mi recomendación consiste en llevarla a cabo para todos los ficheros o tratamientos existentes en la organización, es decir, sobre todos ellos, con independencia del nivel de las medidas de seguridad que les sean de aplicación e incluso si únicamente se dispone de ficheros o tratamientos a los que les sean de aplicación las medidas de nivel básico.
En cuanto al número y perfiles del responsable/s de seguridad, mis recomendaciones son las siguientes:
- Designación diferenciada conforme al sistema de tratamiento empleado, es decir, designar al menos uno para tratamientos automatizados y, al menos, otro para tratamientos no automatizados. El número concreto de unos y otros dependerá de factores tales como: la sensibilidad de la información tratada mediante uno y otro sistema, la complejidad y volumen de los tratamientos efectuados, etc.
Dicho lo anterior, en la práctica y pensando en designar dos responsables de seguridad, uno para tratamientos automatizados y otro para los no automatizados, recomiendo, si los hubiera, que el primero de ellos sea el Responsable de SS.II. de la organización, mientras que el segundo podría ser el responsable del Área/Dpto. jurídico o el responsable del Área/Dpto. de organización (aunque estas figuras sólo suelen encontrarse en grandes organizaciones) o, en su defecto, el responsable de calidad, el responsable administrativo, el responsable de RR.HH., etc.
Propongo que sus principales funciones y obligaciones sean la siguientes:
- Elaborar las notificaciones correspondientes a la creación, modificación y supresión de ficheros que contengan datos de carácter personal a
- Mantener actualizado el inventario de recursos protegidos.
- Mantener actualizada la relación de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
- Establecer los mecanismos para evitar que un usuario pueda acceder a recursos no autorizados y, en el caso de ficheros y tratamientos automatizados, evitar que lo pueda hacer con derechos distintos de los autorizados.
- Autorizar tanto las solicitudes de pruebas con datos reales como las solicitudes de generación de ficheros temporales con datos de carácter personal desde los sistemas de información corporativos, asegurándose tanto de que es viable aplicar como de que se aplicarán efectivamente las medidas de seguridad exigibles al nivel de seguridad correspondiente a los datos involucrados.
- En el caso de disponerse de ficheros o tratamientos a los que sean de aplicación las medidas de seguridad de nivel alto, revisar con la periodicidad que se determine la información de control sobre los registros de accesos y elaborar un informe de las revisiones realizadas y los problemas detectados.
- En el caso de disponerse de ficheros o tratamientos automatizados a los que sean de aplicación las medidas de seguridad de nivel alto y si es necesario, habilitar los mecanismos pertinentes, ya sea hardware o software, para cifrar los datos de carácter personal.
- Realizar las revisiones extraordinarias oportunas para la verificación de lo dispuesto en la normativa vigente en materia de protección de datos y en el documento de seguridad, ante cualquier circunstancia que así lo aconseje.
- En el caso de disponerse de ficheros o tratamientos a los que sean de aplicación las medidas de seguridad de nivel medio y/o alto (aunque, como ya se ha dicho, recomiendo que la auditoría se haga en cualquier caso, con independencia del nivel de seguridad de las medidas aplicables y sobre todos los ficheros o tratamientos existentes), analizar los informes de auditoría que verifiquen el cumplimiento de la normativa vigente en materia de protección de datos de carácter personal y de lo dispuesto en el documento de seguridad, que deberán realizarse, al menos, cada dos años, y elevar las conclusiones al responsable de fichero o tratamiento para que se adopten las medidas correctoras y/o complementarias adecuadas.
- Estar al tanto de las modificaciones que puedan producirse en la normativa legal y reglamentaria vigente en materia de protección de datos, con objeto de adecuar en todo momento el contenido del documento de seguridad a lo dispuesto en ella.
- Definir y potenciar una estrategia para concienciar al personal afectado de la organización de la importancia de garantizar la seguridad y confidencialidad de la información sensible y, especialmente, en lo que respecta a la protección de datos de carácter personal.
- Verificar, al menos cada seis meses, la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
- Autorizar la salida fuera de las instalaciones de la organización de aquellos equipos informáticos, tanto puestos de trabajo como servidores, que formen parte del parque informático y que sea necesario mantener o reparar en empresas externas contratadas para tal fin.
- En el caso de disponerse de ficheros o tratamientos a los que sean de aplicación las medidas de seguridad de nivel medio y/o alto, autorizar la ejecución de los procedimientos de recuperación de datos consecuencia de las incidencias producidas que impliquen la realización de este tipo de procesos.
La designación del responsable/s de seguridad debe ser una designación formal, por lo que debe existir un documento de nombramiento o designación para ello, y debe/n estar convenientemente identificado/s en el documento de seguridad.
Como tal, propongo que esté integrada por el responsable o responsables de seguridad designado/s y los responsables de Áreas/Departamentos que conformen la estructura organizativa de la organización.
Sus principales funciones y obligaciones serían las siguientes:
- Asegurarse de que los datos de carácter personal contenidos en los ficheros y/o objeto de tratamiento sean adecuados, pertinentes y no excesivos en relación a la finalidad que se persigue.
- Encargarse de que se suministre a los afectados la información requerida por la normativa en el momento de recabar sus datos de carácter personal que formarán parte de los ficheros y/o tratamientos, estableciendo y/o revisando los medios que se utilicen para ello, y, en general, de que se cumplan las condiciones exigibles en el momento de la recogida de los datos y antes de iniciar su tratamiento.
- Asegurarse de que se solicite de forma adecuada el consentimiento de los afectados para el tratamiento o cesión de sus datos de carácter personal, salvo que éste no sea exigible. Todo ello de conformidad con la normativa vigente.
- Asegurarse de que se establecen los mecanismos necesarios para que los datos de carácter personal contenidos en los ficheros y/o que son objeto de tratamiento sean exactos y permanentemente puestos al día.
- Asegurarse de que los datos de carácter personal contenidos en los ficheros son cancelados cuando estos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados, sin perjuicio de su conservación en los supuestos y condiciones indicados en la normativa vigente.
Para facilitar el seguimiento de los acuerdos y medidas adoptados en cada reunión, el responsable o responsables de seguridad levantarían las correspondientes actas de las mismas.
Al no ser la constitución de este órgano exigible por la normativa legal y reglamentaria vigente, no sería preciso que existiera una designación formal de sus miembros. No obstante, mi recomendación es que exista un documento de nombramiento o designación para cada uno de sus integrante, y, en cualquier caso, que estén convenientemente identificados en el documento de seguridad.
- Solicitar la creación, modificación o supresión de ficheros con datos de carácter personal en su ámbito organizativo de responsabilidad y, en el caso de creación, establecer la finalidad perseguida con la creación de los ficheros con datos de carácter personal, que deberá ser explícita, legítima y acorde con la actividad desarrollada por la organización.
Tras la creación de un fichero con datos de carácter personal y cuando éste afecte a una única área o departamento, propongo que el responsable de Área/Departamento que solicita su creación sea designado como gestor de ese fichero y, por tanto, asuma para dicho fichero, junto con el responsable o responsables de seguridad, las funciones y obligaciones indicadas anteriormente para
Para los gestores de ficheros no suelo recomendar que exista un documento de nombramiento o designación formal para ello, pero sí deberían estar convenientemente identificados en el documento de seguridad.
- Asegurarse, antes de solicitar el acceso a datos o recursos de personas individuales o pertenecientes a otras organizaciones que vayan a actuar como encargado de tratamiento de ficheros o tratamientos bajo su ámbito organizativo de responsabilidad, de que el contrato de servicios se encuentra debidamente firmado y de que éste incluye las cláusulas pertinentes sobre protección de datos de carácter personal.
- Autorizar en primera instancia las solicitudes realizadas por el personal asignado a su área o departamento para la generación de ficheros temporales con datos de carácter personal desde los sistemas de información corporativos, asegurándose de que las personas solicitantes lo precisan para el desarrollo de las funciones que tienen encomendadas.
- Autorizar en primer instancia la ejecución de pruebas con datos reales sobre ficheros con datos de carácter personal dentro de su ámbito organizativo de responsabilidad.
- Solicitar la ejecución de los procesos de restauración de datos de carácter personal contenidos en ficheros dentro de su ámbito organizativo de responsabilidad.
- Solicitar el almacenamiento de datos personales en dispositivos portátiles o su tratamiento fuera de los locales de la organización, o del encargado del tratamiento, que afecten a ficheros dentro de su ámbito organizativo de responsabilidad.
- Asegurarse de que en el transporte de soportes y documentos se adoptan las medidas de seguridad pertinentes encaminadas a evitar su sustracción, pérdida o acceso indebido.
- Velar por el cumplimiento de lo dispuesto en el documento de seguridad y en la normativa asociada entre el personal asignado a su Área/Departamento.
Asimismo, propongo que los responsables de Área/Departamento asuman las siguientes funciones de control o autorizaciones expresamente delegadas por el responsable del fichero o tratamiento:
- Establecer los criterios para el acceso autorizado a datos y recursos conforme a las funciones asignadas a los usuarios con acceso a datos de carácter personal pertenecientes a su Área/Departamento.
- Autorizar la salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control de la organización y siempre que dicha salida no se encuentre debidamente autorizada en el documento de seguridad.
Mi propuesta consiste en que sus principales funciones y obligaciones sean las siguientes:
- Informar al responsable/s de seguridad de los cambios que se produzcan en los recursos informáticos de la organización, para que se mantenga actualizado el inventario de recursos protegidos.
- Solicitar la ejecución de pruebas con datos reales sobre ficheros con datos de carácter personal tratados por sistemas bajo su responsabilidad.
Los administradores de los sistemas de información deben estar convenientemente identificados en el documento de seguridad.
- Están obligados a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrollan.
- Notificar las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según el procedimiento establecido en el documento de seguridad.
- Guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo, esta obligación subsistirá aún después de finalizar su relación con la organización.
- Cada usuario será responsable de la confidencialidad de su contraseña de acceso a los sistemas de información, y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder inmediatamente a su cambio.
- Garantizar que la información que muestra el puesto de trabajo que tiene asignado no pueda ser vista por personas no autorizadas.
- Dejar el puesto de trabajo que tiene asignado en un estado que impida la visualización de los datos protegidos cuando lo abandone, bien temporalmente o bien al finalizar su jornada de trabajo.
- Solicitar la autorización del responsable/s de seguridad o de administradores de SS.II. autorizados para cambiar la configuración del puesto de trabajo que tiene asignado (sistema operativo, aplicaciones, conexiones, etc.) y siempre y cuando sea necesario para el desempeño de sus funciones.
- Custodiar la documentación con datos de carácter personal que se encuentre a su cargo mientras ésta esté en proceso de revisión o trámite, evitando en todo momento que pueda ser accedida por personas no autorizadas.
- Garantizar que los documentos con datos de carácter personal que imprima no puedan ser retirados de la impresora por personas no autorizadas a acceder a la información que contienen.
- Generar ficheros temporales con datos de carácter personal o copias de trabajo de documentos únicamente en el caso de que sea necesario para el desarrollo de las funciones que tiene encomendadas. En el caso de ficheros temporales y por motivos de seguridad, el usuario debe solicitar dicha generación al responsable de Área/Dpto. a que esté asignado, y no debe ubicar estos ficheros en unidades de disco locales u otras ubicaciones a las que pudieran tener acceso usuarios no autorizados. Asimismo, es responsabilidad del usuario que solicita o crea el fichero temporal o la copia de trabajo de documentos, su borrado físico o destrucción, respectivamente, una vez haya dejado de ser útil para la finalidad para la que se generó.
- Utilizar los medios puestos a disposición por parte de la organización para el desecho de cualquier documento o soporte informático con datos de carácter personal.
- Solicitar al responsable de Área/Dpto. a que esté asignado la necesidad de envío hacia fuera de los locales bajo el control de la organización de soportes y/o documentos con datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, siempre y cuando dicha salida no se encuentre expresamente autorizada en el documento de seguridad.
- Registrar tanto la salida como la recepción, hacia o desde fuera de la organización, de los envíos de soportes y/o documentos que contengan datos de carácter personal de nivel medio y/o alto.
- Utilizar los recursos informáticos y de comunicaciones proporcionados por la organización (ordenadores, servicios de comunicaciones, correo electrónico, Internet y demás medios informáticos y de comunicaciones) conforme a lo establecido en la normativa interna sobre el uso de los mismos.
Recordar que la normativa vigente exige que exista una relación de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos, y que ésta se mantenga permanentemente actualizada.
b.2) Elaborar e implantar una normativa de usos de recursos informáticos y de comunicaciones:
Mi segunda recomendación consiste en elaborar e implantar, como complemento al documento de seguridad, una normativa interna sobre el uso de los recursos informáticos y de comunicaciones de la organización, cuyo principal objetivo sería garantizar la calidad de los servicios en lo que estos se ven involucrados y regular el uso de los mismos, tanto por parte del personal interno, como, si es el caso, por parte del personal externo que pudiera utilizarlos.
Sobre este tema ya escribí un post para aportar un enfoque práctico: objetivos que entiendo deben perseguirse con la implantación en las organizaciones de una normativa de este tipo y aspectos que considero más relevantes contemplar en ella y para su efectiva implantación, por lo que, sin más, indico el enlace al mismo:
"La normativa interna de uso de recursos informáticos y de comunicaciones (III)".
b.3) Definir una estrategia de comunicación, sensibilización y formación, y llevarla a la práctica:
Tal y como he venido insistiendo, la comunicación, sensibilización y formación del personal sobre la importancia de garantizar la seguridad y confidencialidad de la información sensible para la organización y, especialmente, sobre lo que respecta a la protección de los datos de carácter personal, es fundamental, tanto para alcanzar el citado fin, como para hacerles partícipes en la mejora continua en materia de seguridad.
Por ello, propongo que sea/n el responsable/s de seguridad los encargados de definir y elaborar un Plan de comunicación, sensibilización y formación del personal en materia de protección de datos de carácter personal y sobre el ámbito concreto de la adecuación de la organización a la LOPD.
Posteriormente, se elabora y prepara la documentación correspondiente a los diferentes tipos de sesiones identificadas y, finalmente, se imparten las mismas (presencialmente y/o on-line).
Propongo también que la documentación de la formación se deje on-line a disposición de los asistentes y recomiendo también dejar a su disposición una serie de instrucciones (elaboradas también específicamente para cada uno de los perfiles involucrados) con un resumen de los aspectos más importantes a tener en cuenta.
b.4) Obtener el compromiso de los usuarios:
Finalmente, recomiendo obtener el compromiso del personal para el cumplimiento de lo establecido en el documento de seguridad y normativa interna asociada mediante la firma por su parte de los correspondientes anexos al contrato de trabajo.
Comentarios
Publicar un comentario