Consultas Online
Consulta formulada por:
¿Quién debe ser el encargado de instalar y modificar las claves de los ordenadores? ¿alguna normativa regula el tema del acceso a los ordenadores?
28.06.07
Soy en secretario y el informático de la asociación y me gustaría preguntar quién debe asumir la tarea de instalar las claves de acceso en los ordenadores y cambiarlas periódicamente.
En uno de los puestos informatizados, el empleado es reacio a darme las claves del ordenador y de esta forma no podré repararle el ordenador cuando me pase el parte de averías.
Dicha persona dice que lo que quiere es proteger los ficheros de datos personales que tiene a su cargo, pero según mi opinión, lo que quiere proteger son sus asuntos particulares.
¿Existe alguna normativa que regule este tipo de situaciones? La Agencia de Protección de Datos no contempla nada de esto.
Saludos y muchas gracias.
Respuestas
Aportada por:
Consultor TIC www.dotware.es
Trabaja en:
Asesor particular
28.06.07
Hablo de memoria, y ésta no es mi especialidad, pero la LOPD si contempla quiénes son los responsables de la gestión de contraseñas, permisos, etc.
Seguro que alguien experto en estos asuntos podrá contestar con más precisión.
Saludos,
Francisco
Aportada por:
Consultor en TIC's y Social Media http://JesusManzano.es
Trabaja en:
Asesor particular
28.06.07
Hola Francisco
Deberíamos conocer cuál es el sistema operativo que utilizan los ordenadores a los que tú debes de darles soporte. En la mayoría de los casos, salvo que sea Windows 98, Me o similar, puedes disponer de una cuenta privilegiada de administrador que será la que debas de usar para hacer las configuraciones de aplicaciones y del propio ordenador.
Debes modificar las cuentas de los usuarios para que tengan derechos limitados. De este modo los datos personales están a salvo de otros usuarios y tu puedes cumplir con la labor de administrar el equipo.
En cuanto a la LOPD decirte que en ningún caso debes acceder a
la información personal que el usuario guarda en el ordenador, por ejemplo su buzón de correo o documentos, a menos que concurran dos situaciones:
1. Que tengáis realizada una auditoria de la LOPD e inscritos ante la Agencia de Protección de Datos los ficheros con datos de carácter personal, en el que también se incluyen los archivos relacionados con el correo electrónico, documentos de candidatos, contratos con terceros, y un largo etc. En este caso en el Documento de Seguridad debe figurar que tipo de accesos puedes hacer tu y como se registran.
2. La otra opción que te permitiría acceder a los datos de carácter personal de un usuario sería que él hubiera firmado un acuerdo por el que reconoce y acepta que en los ordenadores no puede haber datos de ese tipo, por normativa de AIDEMAR.
Si tienes problemas para configurar una cuenta de administrador en Windows 2000, XP o Vista puedes recabar ayuda volviendo a preguntar en este foro o consultando guías rápidas. Te adjunto un vínculo a una tabla en la que podrás ver las diferencias entre las distintas cuentas:
http://www.microsoft.com/spain/windowsxp/using/setup/getstarted/configaccount.mspx
Espero haberte sido de ayuda
Aportada por:
Responsable de informàtica i gestión interna de Arrels Fundació
Trabaja en:
Asesor particular
28.06.07
Cada entidad debería tener unas medidas de seguridad concretas que debería de definir los responsables de los sistemas de información (vulgarmente llamados “informáticos”) y, por supuesto, debería de ser aprobado por la dirección.
Las contraseñas las deberían tener única y exclusivamente cada usuario y debería de existir una cuenta de administrador en cada equipo para tareas de mantenimiento. La periodicidad corresponde determinarla a entidad y ser compatible con la LOPD, si se da el caso.
Para poder llevar a cabo tareas de administración y mantenimiento (copias de seguridad, actualizaciones de software, etc.), las personas responsables de estas tareas deberían tener acceso a todos los ficheros. Si por alguna razón, se determina que esos archivos deberían estar protegidos y que los informáticos no deberían de poder acceder, una opción seria encriptar volúmenes o ficheros ya sea por el sistema operativo (si nos lo permite), o bien, con herramientas de terceros (por ejemplo, http://www.truecrypt.com).
Saludos
Ferran Busquets
Opinión anónima
28.06.07
Como norma se debe de tener una cuenta administrador y las cuentas de usuario con sus debidos privilegios dependiendo de su labor, adesarrollar, por cada ordenador.
Desde todo punto de vista la contraseña de usuario, la debe de tener unicamente el usuario, y cada usuario es responsable de ella.
Y las cuentas de administrador, deben de estar acargo del departamento soporte tecnico, o de la persona encargada de de dar el soporte, ya que el(los) necesitaran instalar software, o modificar alguna que otra configuracion.
Con respecto a LOPD, no puedo darte mayor detalle, ya que desconosco , pero puedes consultar el siguiente link https://www.agpd.es/index.php?idSeccion=127
Y por supuesto que cada Institucion deberia de tener medidas de seguridad concretas, que deberan estar definidas por el personal Informatico, y aprobadas por la Institucion. Para ello recomiendo tomar en cuenta las siguientes iso ISO/IEC 17799, ISO/IEC 27001
Aportada por:
Rincón Solidario
Trabaja en:
Asesor particular
29.06.07
Yo creo más bien que es una cosa que se debe regular internamente, más que buscar una legislación.
Establecer responsabilidades y tareas…
Aportada por:
Director de SinergiaTIC, antiguo autor de TecnolONGia.org y siempre tratando de ayudar a reducir la distancia entre las TIC y las ONG
Trabaja en:
Asesor particular
02.07.07
Hola Francisco,
Algunos compañeros ya te han aportado información interesante, así que me limitaré a intentar complementar lo que ya han dicho.
De entrada, yo diría que es importante tener claro que el ordenador, como herramienta de trabajo, es algo que pertenece a vuestra asociación como tal, y no a ninguno de sus socios y/o empleados. Por lo tanto, todas las personas que por la razón que sea necesiten usar la herramienta, deben poder hacerlo. En una primera aproximación es algo que debería responder al sentido común y a la responsabilidad de cada cual en el buen uso de las cosas, nada más.
Si esto no es suficiente, entonces lo lógico es que exista una cierta normativa interna de funcionamiento, como sugería Miguel Ángel en una respuesta anterior, en la que se detalle cuáles són los “deberes y derechos” de los usuarios de los ordenadores, en función de sus tareas y responsabilidades. Pero, en cualquier caso, yo no mezclaría el tema de la LOPD, porque os vais a complicar la vida para resolver algo que en principio es mucho más sencillo.
Con lo anterior no quiero decir que no tengáis que cumplir la LOPD, ojo, sino que, simplemente, no la uséis como referencia para resolver este asunto. Es más, si las objeciones que la persona te comenta son fundamentadas, entonces debéis pensar en realizar todo el proceso de registro de dichos ficheros ante la Agencia de Protección de Datos, nombrar un responsable de seguridad, redactar el documento de seguridad preceptivo, implementar las políticas y los protocolos correspondientes, etc.
Por lo demás, como bien decía Ferran, a efectos de garantizar el doble uso (actividad habitual y mantenimiento informático) buena parte del tema puede resolverse usando tú la cuenta de administrador del equipo y el usuario una cuenta personal (con los derechos que consideréis oportunos).
Finalmente, sólo una pequeña aclaración a raíz de una respuesta anterior. La LOPD legisla sobre la información estructurada de personas físicas que cualquier organización pueda gestionar en virtud de su actividad. Siendo así, la LOPD no tiene nada que ver con la información privada que un trabajador pueda tener en su ordenador de trabajo. Cualquier conflicto entre organización y trabajador por una presunta vulneración de la intimidad de éste último debería tratarse en el marco jurídico del Estatuto del Trabajador, nunca de la LOPD.
Espero que esta información te sea de utilidad.
Un abrazo,
Jaume Albaigès
jalbaiges @ tecnolongia.org
Blog sobre TIC y ONL: http://www.tecnolongia.org