Consultas Online
Consulta formulada por:
Cumplimiento con la Ley de protección de datos
25.10.06
Nos gustaría cumplir con la Ley de protección de datos en nuestra fundación y queremos saber qué sistemas de datos podemos utilizar para almacenar los datos personales cuando dichos datos salen en papel, CD, DVD.
¿Cómo se puede controlar estos datos frente a los técnicos de la entidad? ¿por donde tenemos que empezar para tratar estos datos de forma correcta?
Muchas gracias.
Respuestas
Opinión anónima
25.10.06
Hola;
Espero ayudarte un poco. Yo entiendo en principio que tu cuestión va sobre todo por cómo tratar la información en papel que generáis y tratáis habitualmente en la Fundación, o que en cualquier caso, la gestionáis a través de soportes físicos tales como el CD y/o el DVD. Y es que lo cierto es que yo también entiendo que la SEGURIDAD FÍSICA es demasiado importante como para ignorarla, y que la SEGURIDAD FÍSICA es muchas veces un aspecto olvidado con demasiada frecuencia a la hora de hablar de la PROTECCIÓN DE DATOS. De ahí que el nuevo Reglamento de la LOPD que entrará en vigor en breve se dice que incidirá un poco más en este asunto.
Por eso lo primero que se me ocurre decirte (y otros compañeros te irán completando mucho más la información desde otros puntos de vista) es que si bien soportes del tipo que hablas no hay que eliminarlos, también es cierto que entiendo que es conveniente sustituirlos en la medida de lo posible. ¿Por qué? Porque el PAPEL puede ser fotocopiado o robado fácilmente, igual que un CD o DVD. De hecho los datos más afectados por la falta de seguridad (en más del 90% casos) corresponde al manejo de datos en SOPORTE TRADICIONAL. Por eso entiendo que lo primero que habréis de hacer es evaluar los riesgos, identificar los peligros, evaluar la vulnerabilidad y probabilidad de ocurrencia de los mismos, y finalmente, establecer los pertinentes controles preventivos y de recuperación expresamente para este tipo de soportes.
La Norma ISO 17999:2000 , que es un CODIGO DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN, dice por ejemplo en su PUNTO 7.3.1 que “cuando no se estén usando, los PAPELES y SOPORTES INFORMÁTICOS se deberían guardar en locales cerrados y/o en los tipos de mobiliario de seguridad adecuados, especialmente fuera de las horas de trabajo”. Y que también “se deberían proteger los puntos de entrada y salida de correo así como las máquinas de fax y télex no atendidas” – PUNTO 7.3.1.d. Y que“las fotocopiadoras se deberían cerrar ( o protegerse por medios similares contra su uso no autorizado) fuera de las horas de trabajo” PUNTO 7.3.1.e. Además de que “se debería sacar inmediatamente de las impresoras la información sensible o clasificada” PUNTO 7.3.1.f.
A la hora de ELIMINAR SOPORTES…: (PUNTO 8.6.2) se dice cómo se deberían eliminar los soportes de forma segura y sin peligro cuando no se necesiten más. Y cómo es cierto que podría filtrarse a personas externas información sensible si los SOPORTES se eliminan sin precauciones, debiéndose establecer Procedimientos formales para minimizar este riesgo con la ELIMINACIÓN SEGURA DE LOS SOPORTES. Así, En el “Listado” de “qué elementos requieren una eliminación segura”, el primero que se incluye son precisamente los DOCUMENTOS SOBRE PAPEL; luego los registros de voz; el papel carbón; informes; cintas de impresora de un solo uso; cintas magnéticas; discos o casetes extraíbles; soportes de almacenamiento óptico; listados de programas; datos de pruebas; documentación de los sistemas…
De hecho, “Muchas organizaciones ofrecen servicios de recogida y eliminación de papel, equipos y soportes, por lo que debería cuidarse la selección de los proveedores adecuados según su experiencia y lo satisfactorio de los controles que adopten” PUNTO 8.6.2
Opinión anónima
25.10.06
Por otro lado, “Se deberían establecer Procedimientos de utilización y almacenamiento de la información de forma coherente con su clasificación para protegerla de: su mal uso o divulgación no autorizada, y de acuerdo con su SOPORTE (documentos, sistemas informáticos, redes, ordenadores portátiles, correo, correo de voz, transmisiones de voz en general, multimedia, servicios y equipos postales, máquinas de fax …) PUNTO 8.6.3 Estos PROCEDIMIENTOS de utilización y almacenamiento de información deberían cubrir los siguientes tipos de actividad de tratamiento de información: (PUNTO 5.2.2) COPIA; ALMACENAMIENTO; TRANSMISIÓN POR CORREO, FAX Y CORREO ELECTRÓNICO; TRANSMISIÓN ORAL, INCLUIDA TELEFONÍA MÓVIL; DESTRUCCIÓN.
No olvidéis por otro lado que habréis de definir NORMAS Y CONTROLES relativos a la posible SALIDA / ENTRADA FÍSICA DE SOPORTES de información (impresos, cintas y disquetes, CDs, etc.), así como de los RESPONSABLES de cada operación. Por eso es importante que defináis PERÍMETROS DE SEGURIDAD con las correspondientes barreras y controles de entrada. De hecho su protección física deberá de impedir accesos no autorizados, daños y cualquier otro tipo de INTERFERENCIAS.
Un saludo, y espero haber aportado algo.
Opinión anónima
25.10.06
Lo que hay que realizar es un seguimiento de los soportes de almacenamietno y tener restringuido los datos personales a un administrador de base de datos.