Читать книгу Gestión de servicios en el sistema informático. IFCT0509 - Ester Chicano Tejada - Страница 33

Como ya se ha mencionado anteriormente, el responsable del fichero y el encargado del tratamiento deben adoptar las medidas técnicas y organizativas necesarias que garanticen la seguridad de los datos personales.

En virtud de esto, se definió el Real Decreto 1720/2007, de 21 de diciembre, en el que se establecen las medidas de seguridad que deben realizarse para garantizar la privacidad de los datos y evitar el acceso a los mismos de usuarios no autorizados.

El Real Decreto 1720/2007 obliga al responsable del fichero o del tratamiento a elaborar un documento de seguridad que recoja las medidas de seguridad vigentes. Estas medidas serán de obligado cumplimiento para el personal con acceso a los sistemas de información.

Se puede redactar un único documento de seguridad para todos los ficheros o tratamientos o bien realizar documentos individualizados.

Según el tipo de datos que contengan los ficheros, se deben cumplir más o menos requisitos para garantizar la integridad y confidencialidad de seguridad. Por lo tanto, se establecen tres niveles de seguridad a aplicar al documento, dependiendo de la naturaleza de los datos:

Nivel básico

Aplicable a todos los ficheros que incluyan datos de carácter personal.

Nivel medio

Se deben aplicar las medidas de nivel medio y las de nivel básico. Unos ejemplos de datos personales con nivel medio de seguridad son: información financiera, información de seguros y planes de seguros, comisión de infracciones penales, comisión de infracciones tributarias, etc.

Nivel alto

Se aplican las medidas de nivel básico y medio, además de las de nivel alto a los ficheros que contengan datos relativos a: ideología, religión, origen racial, salud, vida sexual, datos recabados para fines policiales sin consentimiento del afectado y ficheros que contengan datos referentes a actos de violencia de género.

Medidas de seguridad de los datos

El documento de seguridad debe incluir una serie de medidas exigibles a los ficheros y a los tratamientos automatizados. Estas medidas se distinguen atendiendo al nivel de seguridad que contengan:

1 Medidas de nivel básico:Definir y establecer las funciones y obligaciones de cada usuario que tenga acceso a los datos personales, con las autorizaciones correspondientes.Establecer un procedimiento de notificación y gestión de las incidencias para poder realizar un seguimiento de las mismas.Mantener controles de acceso para que solo accedan a los datos aquellas personas que estén autorizadas. Estos controles estarán establecidos por el responsable del fichero o tratamiento.Los soportes y documentos que contengan datos personales deben estar identificados e inventariados.Establecer las medidas necesarias para que haya una correcta identificación y autenticación de todo el que acceda a los datos personales.Establecer procedimientos de actuación para que semanalmente (como mínimo) se realicen copias de respaldo, excepto que no se haya producido ninguna variación de los datos durante esa semana.Establecer procedimientos de recuperación de los datos.Cada seis meses, el responsable del fichero debe verificar la correcta definición, funcionamiento y aplicación de los procedimientos de copias de seguridad y de recuperación de datos.Los dispositivos de almacenamiento de documentos no automatizados que contengan datos personales deben tener mecanismos que obstaculicen su apertura e impidan el acceso de personas no autorizadas.Mientras la documentación no esté archivada en los dispositivos de almacenamiento, la persona al cargo de la misma debe custodiarla e impedir accesos no autorizados.

2 Medidas de nivel medio:Designar uno o varios responsables de seguridad.Realizar auditorías internas y externas al menos cada dos años. Estas auditorías deben ser analizadas por el responsable de seguridad competente.Establecer sistemas de registros de entrada y salidas de soportes.Establecer un mecanismo que limite la posibilidad de intentos reiterados de acceso no autorizado al sistema de información.Solo el personal autorizado en el documento de seguridad podrá acceder a los lugares donde se encuentren los equipos físicos que den soporte a los sistemas de información.Registrar los procedimientos realizados de recuperación de datos en el registro de incidencias.

3 Medidas de nivel alto:Identificar los soportes mediante sistemas de etiquetado comprensibles y con significado. La distribución de los soportes debe hacerse cifrando los datos para que la información no pueda ser accesible o manipulada.Conservar una copia de seguridad de los datos y de los procedimientos de recuperación de los mismos. Se debe conservar una copia de seguridad de los datos en un lugar distinto de donde estos se encuentran.En cada intento de acceso se deben almacenar, por lo menos: la identificación del usuario, fecha y hora en que se realizó, fichero al que se accedió, tipo de acceso y si se ha autorizado o denegado el acceso. Si el acceso se ha autorizado, también se deben guardar los datos identificativos del usuario.Conservar los datos de acceso registrados durante, por lo menos, dos años.Revisar una vez al mes la información de control registrada y elaborar un informe de las revisiones realizadas. Estas revisiones serán efectuadas por el responsable de seguridad.No será necesario el registro de accesos cuando el responsable del tratamiento o fichero sea una persona física o cuando este garantice que únicamente él tiene acceso y trata los datos personales.Los ficheros no automatizados deben almacenarse en áreas en las que el acceso esté protegido con puertas de acceso con sistemas de apertura mediante llave o dispositivo equivalente. Estas áreas permanecerán cerradas cuando no sea necesario el acceso a los documentos.Las copias o la reproducción de los documentos solo pueden realizarse bajo el control del responsable de seguridad. Se deberá proceder a la destrucción de las copias o reproducciones desechadas.Cuando se traslade físicamente la documentación de un fichero no automatizado se deben adoptar medidas para impedir el acceso o manipulación de la información trasladada.