FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática
description
Transcript of FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática
5/14/2018 FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática - slidepdf.com
http://slidepdf.com/reader/full/fdeh-ut43-la-aplicacion-de-los-niveles-de-seguridad-de-la-lopd-en-la-informatica 1/10
Fundamentos de hardware1º ASIR / I.E.S. Leonardo da Vinci, Albacete Ángel Villodre
1
Los niveles de seguridad de la LOPD
La Ley Orgánica 15/1999 de 13 de Diciembre, de Protección de Datos y en
adelante LOPD regula el marco legal y el consiguiente desarrollo normativo de la
protección de datos de carácter personal en España con especial atención a los
derechos fundamentales del honor y la intimidad personal y familiar.
Establece, por tanto, en lo concerniente a este tipo de datos y ficheros los
derechos que los ciudadanos tienen sobre ellos y los deberes que han de cumplir
quienes los crean o los consultan, con independencia del soporte en el que estos
ficheros estén basados.
Para ello, la LOPD clasifica los ficheros de datos de carácter personal en tres
niveles de seguridad dependiendo tanto de la sensibilidad de la información
recogida y consultada como de su medio de obtención. Estos niveles son
acumulativos: cada nivel incorpora sus medidas propias de seguridad más las del
anterior.
El nivel de seguridad básico
El Documento de Seguridad
Este nivel de seguridad se encuentra recogido en los artículos 8 a 14 del RD
994/1999 por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros
automatizados que contengan datos de carácter personal y pertenecen a este nivel deseguridad todos los ficheros automatizados1. Todo fichero debe tener un
responsable del fichero de datos.
El nivel de seguridad básico es el pilar fundamental de toda la estructura de
seguridad que establece la LOPD y su Reglamento de desarrollo. El primer paso que
establece la legislación es elaborar un Documento de Seguridad donde se tendrán
que describir las medidas de seguridad que la Empresa haya tomado para el
tratamiento sus ficheros de datos de carácter personal y que se encuentra orientado
tanto a la Empresa2, como a los usuarios de los ficheros como a la posible
intervención de la Autoridad pública.
Este documento comprende seis apartados de inclusión obligatoria:
1º - Una relación del ámbito de aplicación del mismo enumerando ficheros,
equipamiento informático utilizado para su tratamiento, aplicaciones informática, red
de comunicaciones y locales donde será de aplicación la normativa.
2º - Las medidas, normas y procedimientos de seguridad de acceso para el
nivel de seguridad exigido. Aquí el documento debe indicar los procedimientos y
normas de acceso físico a los locales y de acceso lógico al sistema informático. Dentro
de estas últimas, debe mencionar las medidas de seguridad contra ataques y
vulnerabilidades de este como cortafuegos, cifrado de datos o antivirus; así como de
5/14/2018 FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática - slidepdf.com
http://slidepdf.com/reader/full/fdeh-ut43-la-aplicacion-de-los-niveles-de-seguridad-de-la-lopd-en-la-informatica 2/10
Fundamentos de hardware1º ASIR / I.E.S. Leonardo da Vinci, Albacete Ángel Villodre
2
la relación de permisos necesarios para emplear los sistemas de tratamiento de
datos.
3º - La relación completa de funciones y obligaciones del personal que accede
a los ficheros de datos junto a sus niveles de autorización y permisos. Es muy
importante que esta relación esté actualizada para reflejar los cambios de personal yse recomienda añadir una lista completa de todos los usuarios que acceden a los
ficheros como Anexo al Documento de Seguridad.
4º - La estructura de los ficheros de datos de carácter personal y
descripción de los sistemas de información que los tratan, que normalmente
consta de una parte expositiva y de otra más concreta que se inserta como un Anexo
al Documento de Seguridad en la que se especifican los nombres de las aplicaciones
informáticas que se emplean y la estructura de las tablas de las BBDD.
5º - Terminada la exposición de todos los aspectos descriptivos y funcionales
del acceso y modificación de los ficheros de datos carácter personal, se pasan adescribir los procedimientos de notificación, gestión y respuesta ante incidencias
donde la Empresa debe definir cómo debe responder el personal ante las incidencias
que puedan surgir en los datos, en los sistemas informáticos y en los locales donde se
realiza el tratamiento de los ficheros.
6º - Por último es necesario especificar los procedimientos de copias de
respaldo y recuperación de datos. Es necesario, por tanto, especificar en el
Documento de Seguridad cuándo, cómo y qué datos se respaldan así como los
medios empleados para ello y el proceso de restauración de copias.
El Documento de Seguridad debe mantenerse constantemente actualizadoy deberá ser revisado siempre que se produzcan cambios relevantes en los
sistemas de información o incluso en la propia organización de la empresa.
Este documento deberá ser distribuido, total o parcialmente, a todo el personal
de la Empresa para su conocimiento y a disposición de la Agencia Española de
Protección de Datos, quien además proporciona modelos de Documentos de
seguridad.
Funciones y obligaciones del personal
El Reglamento establece que las funciones y obligaciones de cada una de las
personas con acceso a los datos de carácter personal y a los sistemas de información
que los tratan deben estar claramente definidas y documentadas.
Esto se consigue en la práctica mediante el establecimiento de privilegios y
permisos informáticos para actualizar, modificar, agregar o suprimir datos de carácter
personal así como quienes puedan autorizar la exportación de los ficheros. Para ello,
además del preceptivo Documento de Seguridad, la Empresa suele distribuir un
Manual de Tratamiento de Datos de carácter personal.
5/14/2018 FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática - slidepdf.com
http://slidepdf.com/reader/full/fdeh-ut43-la-aplicacion-de-los-niveles-de-seguridad-de-la-lopd-en-la-informatica 3/10
Fundamentos de hardware1º ASIR / I.E.S. Leonardo da Vinci, Albacete Ángel Villodre
3
Registro de incidencias
El procesamiento de las incidencias consistirá en un registro en el que se haga
constar, de forma individualizada para cada suceso:
• Tipo de incidencia• Momento en que se ha producido• Persona que realiza la notificación• Persona a quien se le comunica• Efectos que se hubieran derivado de la incidencia
El propósito de este registro es establecer por un lado un mecanismo fiable de
notificación y registro de incidencias y por el otro proporcionar un medio de estudio y
aprendizaje para que la Empresa adopte las medidas necesarias para prevenir los
daños y vulneraciones a los ficheros de datos. Esto se suele implementar mediante
un software informático de auditoría de seguridad y un sistema de registro de
notificaciones y actuaciones.
Identificación y autentificación 3
Es necesario reconocer la identidad del usuario mediante un proceso de
identificación y comprobar la veracidad de la misma mediante otro de
autentificación para proporcionar el acceso a su nivel correspondiente de seguridad,
normalmente empleando los mecanismos de cuentas y permisos del sistema
operativo. El Reglamento establece que cuando el mecanismo de autenticación se
base en la existencia de contraseñas existirá un procedimiento de asignación,
distribución y almacenamiento que garantice su confidencialidad e integridad yse exige que los requisitos de complejidad y cambio periódico de las mismas figuren
en el Documento de Seguridad. También se admiten otros medios de identificación,
como los biométricos basados en parámetros físicos del usuario o en tarjetas
inteligentes que contienen certificados digitales de seguridad.
Control de acceso
El responsable del fichero debe establecer unos mecanismos para evitar que un
usuario pueda acceder a datos o recursos sobre los que no esté autorizado. El
Reglamento no determina qué mecanismos ni métodos deben emplearse, pero lo
habitual es emplear las herramientas basadas en listas de control de acceso de lospropios sistemas operativos.
Gestión de soportes
El Reglamento establece que los soportes informáticos que contengan datos
de carácter personal deberán permitir identificar el tipo de información que
contienen, ser inventariados y almacenarse en un lugar con acceso restringido al
personal autorizado para ello en el Documento de Seguridad. Sólo el responsable del
fichero podrá autorizar la salida física de los soportes fuera de los locales de la
Empresa o su exportación por cualquier otro medio.
5/14/2018 FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática - slidepdf.com
http://slidepdf.com/reader/full/fdeh-ut43-la-aplicacion-de-los-niveles-de-seguridad-de-la-lopd-en-la-informatica 4/10
Fundamentos de hardware1º ASIR / I.E.S. Leonardo da Vinci, Albacete Ángel Villodre
4
Copias de respaldo y recuperación
Una competencia principal del responsable del fichero consiste en establecer
un procedimiento de copias de respaldo de los datos de carácter personal con al
menos una frecuencia semanal más un proceso de recuperación de las mismas que
garantice la reconstrucción de los datos al estado anterior de la pérdida junto a los
mecanismos de verificación de los procedimientos anteriores.
5/14/2018 FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática - slidepdf.com
http://slidepdf.com/reader/full/fdeh-ut43-la-aplicacion-de-los-niveles-de-seguridad-de-la-lopd-en-la-informatica 5/10
Fundamentos de hardware1º ASIR / I.E.S. Leonardo da Vinci, Albacete Ángel Villodre
5
El nivel de seguridad medio
El nivel de seguridad medio comprende todas las medidas incluidas en el nivel
básico visto anteriormente más las que especifica el Reglamento en los artículos 15 a
22 y que afectan a varias áreas tratadas en el nivel anterior junto a otros requisitosnuevos propios de este nivel.
El Documento de Seguridad
A lo descrito en el nivel de seguridad básico, el Reglamento añade el siguiente
contenido al Documento de Seguridad:
• La identificación del o los responsables de seguridad.
• Los controles periódicos para verificar el cumplimiento de lo dispuesto en el
Documento de Seguridad.
• Las medidas de seguridad para la reutilización/destrucción segura desoportes.
El responsable de seguridad
Fija el Reglamento que el responsable del fichero designará uno o varios
responsables de seguridad, que se encargarán del cumplimiento de las medidas,
reglas y normas de seguridad establecidas por el responsable del fichero. Suele ser
una persona con conocimientos de informática o, en las organizaciones de mayor
tamaño, una labor coordinada de varios responsables de seguridad de los ámbitos jurídico, informático y gestión de la calidad dentro de la Empresa.
Deben figurar en el Documento de Seguridad, además de quiénes son los
responsables de seguridad, sus obligaciones y funciones de forma detallada.
Auditoría
En este nivel el Reglamento introduce la figura de la auditoría, que interna o
externa, debe verificar el cumplimiento de los procedimientos de seguridad de datos
al menos cada dos años. Además, el informe de auditoría debe dictaminar sobre elgrado de adecuación y cumplimiento de las medidas de seguridad proponiendo
medidas correctoras en las áreas donde sea necesario. Dicho informe será analizado
por el responsable de seguridad, quien a su vez elevará las conclusiones extraídas al
responsable del fichero para que adopte las medidas adecuadas. Todos estos
informes, junto al de auditoría, quedan a disposición de la AEPD.
Identificación y autentificación
En esta apartado es obligatorio establecer un método de identificación
inequívoco y personalizado a cada usuario que intente acceder a los sistemas deinformación y se limitarán los intentos de accesos no autorizados al sistema,
5/14/2018 FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática - slidepdf.com
http://slidepdf.com/reader/full/fdeh-ut43-la-aplicacion-de-los-niveles-de-seguridad-de-la-lopd-en-la-informatica 6/10
Fundamentos de hardware1º ASIR / I.E.S. Leonardo da Vinci, Albacete Ángel Villodre
6
bloqueando si es preciso las cuentas de usuario involucradas en los mismos. Estas
medidas deben recogerse en el Documento de Seguridad.
Control de acceso físico
Además, el Reglamento fija que debe haber un control de acceso físico a las
instalaciones del Centro de Procesamiento de Datos o equivalente de la Empresa,
debiendo quedar reflejado en el Documento de Seguridad qué personas tienen
acceso físico a las instalaciones.
Gestión de soportes
Recogido en el artículo 20 del Reglamento, deberá de implantarse un
sistema de registro de entrada de soportes informáticos que permita, directa
e indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, elnúmero de soportes, el tipo de información que contienen, la forma de envío y
la persona responsable de la recepción que deberá estar debidamente
autorizada.
Por lo que, en el registro de entrada de soportes informáticos donde
se encuentren almacenados datos de carácter personal de nivel medio,
deberán constar:
a) Tipo de soporte.
b) Fecha y hora.c) Emisor.
d) Número de soportes.
e) Tipo de información que contienen.
f) Forma de envío.
g) Persona responsable de la recepción que deberá estar autorizada.
Y en el correspondiente registro de salida:
a) Tipo de soporte.
b) Fecha y hora.
c) Emisor.
d) Número de soportes.
e) Tipo de información que contienen.
f) Forma de envío.
g) Persona responsable del envío que deberá estar autorizada.
Todos estos registros y el procedimiento de gestión de entrada y salida de los
soportes deben quedar reflejados en el Documento de Seguridad junto a un modelo
de las autorizaciones correspondientes. Las autorizaciones ya emitidas deben seralmacenadas junto al resto de documentación relativa a los ficheros. Muy importante
5/14/2018 FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática - slidepdf.com
http://slidepdf.com/reader/full/fdeh-ut43-la-aplicacion-de-los-niveles-de-seguridad-de-la-lopd-en-la-informatica 7/10
Fundamentos de hardware1º ASIR / I.E.S. Leonardo da Vinci, Albacete Ángel Villodre
7
es el apartado 3 del artículo 20 de adopción de medidas para impedir cualquier
recuperación de información de un soporte que vaya a ser desechado.
Registro de incidencias
En el artículo 21 se añade la obligación de consignar en el registro deincidencias, para este nivel de seguridad, los procesos realizados para la recuperación
de los datos indicando la persona que ejecutó la misma, los datos restaurados y si
procede, qué datos han tenido que ser restituidos manualmente. Será necesaria la
autorización por escrito del responsable de los ficheros para llevar a cabo
operaciones de recuperación de datos.
Prueba con datos reales
Las pruebas que se realicen antes o después de la implantación o modificación
de los sistemas de información que traten con ficheros de carácter personal no se
realizarán con datos reales salvo que pueda asegurarse el conjunto de medidas
aplicables al nivel de seguridad correspondiente.
5/14/2018 FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática - slidepdf.com
http://slidepdf.com/reader/full/fdeh-ut43-la-aplicacion-de-los-niveles-de-seguridad-de-la-lopd-en-la-informatica 8/10
Fundamentos de hardware1º ASIR / I.E.S. Leonardo da Vinci, Albacete Ángel Villodre
8
El nivel de seguridad medio
Este nivel de seguridad corresponde a los datos de carácter personal más
sensibles y relevantes a la intimidad de la persona tales como la salud, las creencias
religiosas y políticas o la filiación sindical. Para ello, las medidas destinadas aproteger estos datos pueden resumirse en tres aspectos:
• La utilización de mecanismos de encriptación y cifrado de los datos.
• El registro, control y almacenamiento de logs de accesos a los ficheros.
• El almacenamiento de copia de seguridad en ubicación distinta.
Distribución de los soportes
En el artículo 23 se obliga al cifrado de los datos de carácter personal de
nivel alto durante las operaciones de distribución de soportes, sea cual sea el
supuesto de dichas operaciones de distribución (operaciones de mantenimiento en
los locales, actualización de los sistemas de información o distribución autorizada de
los datos) con el fin de que no pueda manipularse la información durante el
transporte.
Registro de accesos
Esta es, con diferencia, la medida más problemática de adoptar en todo el
proceso de adaptación de los sistemas de información a la LOPD. Y es que en el
artículo 24 del Reglamento se recoge la necesidad de establecer un registro
individual para cada acceso a los datos donde figure:
a) La identificación del usuario,b) Fecha y la hora en que se realizó el acceso,c) Fichero accedido,d) Tipo de acceso: autorizado o denegado,e) Y en el caso que el acceso haya sido autorizado, será preciso guardar lainformación que permita identificar el registro accedido dentro de cada fichero.
Los mecanismos del registro de accesos están bajo el control y la
responsabilidad directa del responsable de seguridad competente. Estos registros
deben almacenarse durante al menos dos años y el responsable de seguridad deberevisarlos periódicamente y elaborar un informe donde recopile las revisiones y los
problemas encontrados al menos una vez al mes, informe que debe añadirse al
Documento de Seguridad.
El volumen de datos que generan estos registros junto a la capacidad de
proceso necesario para manejarlo supone un fuerte gasto económico y de gestión
enorme paras las Empresas que deben asumirlo, y sin embargo todas estas medidas
son completamente obligatorias para este nivel de seguridad.
5/14/2018 FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática - slidepdf.com
http://slidepdf.com/reader/full/fdeh-ut43-la-aplicacion-de-los-niveles-de-seguridad-de-la-lopd-en-la-informatica 9/10
Fundamentos de hardware1º ASIR / I.E.S. Leonardo da Vinci, Albacete Ángel Villodre
9
Copias de respaldo y recuperación
El Reglamento en el artículo 25 introduce una medida fundamental para
seguridad de los datos: el almacenamiento y conservación de las copias de
respaldo en lugar distinto al de los sistemas de información para que en caso de
incidencia grave o muy grave4 éstas no se vean afectadas.
Esta obligación se suele implementar contratando los servicios de
almacenamiento de seguros de terceros, como las cámaras acorazadas de los bancos
o los depósitos seguros de empresas especializadas.
Transmisión de datos por redes de telecomunicaciones
El reglamento, finalmente, determina en el artículo 26 que la transmisión de
datos de carácter personal de nivel alto a través de redes de telecomunicaciones
se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que
garantice que la información no sea inteligible ni manipulada por terceros.
Esto se consigue en la práctica mediante el establecimiento de privilegios y
permisos informáticos para actualizar, modificar, agregar o suprimir datos de carácter
personal así como quienes puedan autorizar la exportación de los ficheros
adicionales a los que implementan los sistemas operativos informáticos. Estas
medidas acostumbran a quedar reflejadas en el Manual de Tratamiento de Datos de
Carácter Personal de la Empresa si lo hay.
5/14/2018 FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática - slidepdf.com
http://slidepdf.com/reader/full/fdeh-ut43-la-aplicacion-de-los-niveles-de-seguridad-de-la-lopd-en-la-informatica 10/10
Fundamentos de hardware1º ASIR / I.E.S. Leonardo da Vinci, Albacete Ángel Villodre
10
Notas al pie
Fichero automatizado: la LOPD lo define como “todo conjunto organizado de datos de carácter
personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y
acceso.”
Empresa: en toda la literatura relativa a protección de datos, el término global “Empresa” abarcaa la organización o conjunto de organizaciones responsables de los ficheros de datos de carácter
personal, con total independencia de su personalidad jurídica o física. Es decir, se hará referencia a la
Empresa como responsable de los mencionados ficheros sin tener en cuenta de si se trata realmente de
una empresa privada, Administración pública o incluso una persona física.
Autentificación: autentificación y autenticación son palabras completamente sinónimas según la
RAE, siendo autentificación un término más moderno y más empleado actualmente que autenticación .
Incidencias graves o muy graves: son calificadas de graves los accesos físicos no autorizados a
los sistemas de información haya o no manipulación de los mismos, por ejemplo, y muy graves las
catástrofes naturales, los incendios o los robos deliberados en los sistemas de información.
Bibliografía
Texto consolidado de la Ley Orgánica 15/1993, de 13 de Diciembre, de protección de datos de
carácter personal y Reglamento de Desarrollo de la LOPD aprobado mediante RD 1720/2007 – Agencia
Española de Protección de Datos
Texto consolidado del Reglamento de Medidas de Seguridad de los ficheros automatizados que
contengan datos de carácter personal aprobado mediante Real Decreto 994/1999 – Agencia Española de
Protección de Datos.
La protección de datos personales. Soluciones en entornos Microsoft. Versión 2.0 – Microsoft Ibérica
S.A. con la colaboración de la Agencia Española de Protección de Datos. Autores: J.M. Alonso, J.L. García,
Antonio Soto, David Suz, José Helguero, Mª Estrella Blanco, Miguel Vega y Héctor Sánchez.