Jose Pons. Experto en Implantación LOPD y Auditorias de Seguridad RMS.

a

Servicios de Adaptación e Implantación a la Ley Orgánica de Protección de Datos LOPD y Auditorias de Seguridad. Soluciones a los imperativos legales obligatorios de adaptación de tu empresa o despacho profesional a la Ley de Protección de Datos. Tu adaptación LOPD en manos de profesionales, cumple al 100% con lo establecido por la Ley. Servicios de calidad a través de la red.

as

LOPD. El Protocolo de Seguridad. Registro de Incidencias.

 

El registro de incidencias es parte integrante de los registros y procedimientos que contendrá el Protocolo de Seguridad. Con dicho registro se implantará un procedimiento de notificación gestión y respuesta de ante las incidencias.

El registro deberá contener los siguientes datos; identificación del tipo de incidencia detectada, el momento en que se ha producido, el nombre de la persona que realiza la notificación, a quien se le comunica, los efectos que se hayan derivado de la misma y las medidas correctoras aplicadas para solucionar la incidencia.

Son incidencias de seguridad, cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal del responsable del fichero, tales como el incumplimiento de la normativa desarrollada en el Protocolo de Seguridad.

Se le comunicará al usuario en el momento de su entrada en la empresa, mediante el Manual de uso de los Sistemas de Información, que como persona que tiene acceso a los datos de carácter personal, deberá comunicar al Responsable de Seguridad de cualquier anomalía o incidencia que se produzca en el tratamiento de los datos, y que pudiera afectar a la seguridad de los mismos, que constituya o pueda constituir un riesgo o inseguridad para la confidencialidad e integridad de los datos de carácter personal que contengan. Se les indicará mediante éste documento del procedimiento a seguir ante la detección  de virus informáticos.

El procedimiento de notificación vendrá ejecutado por los usuarios de las bases de datos, quienes están obligados a informar de cualquier incidencia de seguridad de los datos personales, así como evitar entrar en sitios web que puedan provocar por sus características situaciones de bloqueo, riesgo o contaminación.

El usuario solicitará al Responsable de Seguridad un acuse de recibo en el que se haga constar que ha recibido la notificación de la incidencia con indicación de todos los datos incluidos en el mismo.

El Responsable de Seguridad ante la notificación de la incidencia procederá de inmediato a tomar las medidas de bloqueo del sistema, para analizar la incidencia producida y dar solución a la misma. Informará de todos los pormenores al Responsable del Fichero, quien tomará las decisiones pertinentes en cada momento y autorizará en caso necesario la recuperación de los datos de los ficheros afectados.

 

Aquí puedes contactar conmigo para: Solicitar Información 

Jose Pons. Experto en Implantación LOPD y Auditorias de Seguridad RMS.

a

Servicios de Adaptación e Implantación a la Ley Orgánica de Protección de Datos LOPD y Auditorias de Seguridad. Soluciones a los imperativos legales obligatorios de adaptación de tu empresa o despacho profesional a la Ley de Protección de Datos. Tu adaptación LOPD en manos de profesionales, cumple al 100% con lo establecido por la Ley. Servicios de calidad a través de la red.

as

LOPD. Protocolo de Seguridad. Registros y Procedimientos.

 

Otra de las partes importantes que componen el Protocolo de Seguridad es la referida a los registros y procedimientos a crear e implantar en la empresa que garanticen la seguridad de los datos y prevengan los accesos no autorizados.

Registro de Soportes. La Ley Orgánica de Protección de Datos 15/1999 define a los sistemas de información como el conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.

Se establecerá un registro de entrada de soportes y un registro de salida de soportes que formarán parte del Protocolo de Seguridad.

La empresa dispondrá de un sistema de registro de entrada de soportes informáticos que identifique el tipo de soporte, fecha y hora del emisor, número de soportes, el tipo de información que contiene, el medio utilizado para el  envío, e identificación de la persona que realiza la recepción del mismo, que deberá estar debidamente autorizada por el responsable del fichero.

De igual forma se establecerá un sistema de registro de salida de soportes informáticos, que permita conocer el tipo de soporte, la fecha y hora, el destinatario, número de soportes, el tipo de información que contiene y la identificación de la persona debidamente autorizada responsable de la entrega.

Cuando por operaciones de mantenimiento o de trabajos en el exterior, el soporte informático tenga que salir fuera de los locales del responsable del fichero, se adoptarán las medidas de seguridad necesarias, que impidan la recuperación posterior de la información que contiene por parte de personas no autorizadas.

Recordar, que estas operaciones de mantenimiento son realizadas por empresas externas a nuestra organización, con lo cual se identificarán como encargados del tratamiento, con los que deberemos suscribir un contrato del servicio, que garantice la confidencialidad de los datos así como los accesos no autorizados, tal como abordamos en capítulos anteriores.

Todos los soportes que salgan de los locales del responsable del fichero, deberán estar protegidos por contraseña o por cualquier otro mecanismo que garantice en todo momento que la información no sea inteligible y que impidan su manipulación o accesos no autorizados durante el transporte.

Cuando los soportes vayan a ser desechados, el responsable de seguridad adoptará las medidas necesarias para impedir cualquier tipo de recuperación posterior de la información que contiene, procediendo a darlo de baja del inventario de soportes informáticos.

Es conveniente formatear cualquier tipo de soporte antes de ser desechado.

Periódicamente se realizarán los controles necesarios para verificar el cumplimiento de los procedimientos implantados en la empresa, que forman parte del Protocolo de Seguridad.

Aquí puedes contactar conmigo para: Solicitar Información 

Jose Pons. Experto en Implantación LOPD y Auditorias de Seguridad RMS.

a

Servicios de Adaptación e Implantación a la Ley Orgánica de Protección de Datos LOPD y Auditorias de Seguridad. Soluciones a los imperativos legales obligatorios de adaptación de tu empresa o despacho profesional a la Ley de Protección de Datos. Tu adaptación LOPD en manos de profesionales, cumple al 100% con lo establecido por la Ley. Servicios de calidad a través de la red.

as

Protocolo de Seguridad. Medidas de Índole Técnicas, Organizativas y de Seguridad
Los Encargados del tratamiento.

a

Como parte del Protocolo de Seguridad de la empresa y dentro de las medidas de índole Técnica, Organizativas y de Seguridad, procederemos a identificar a los encargados del tratamiento (o también llamados terceros).

Los encargados del tratamiento, son todas aquellas empresas o profesionales, que prestan sus servicios para la empresa, y que de alguna forma o en cualquier momento puedan tener acceso a los datos del responsable del tratamiento como consecuencia de los servicios prestados a éste.

Se realizará con cada uno de los encargados del tratamiento un contrato del servicio prestado, que garantice el acceso o uso indebido de los datos de carácter personal que pueda conocer como consecuencia del servicio contratado.

Los encargados del tratamiento únicamente podrán utilizar los datos para el encargo recibido por parte del responsable de los ficheros lo cual deberá reflejarse en el contrato del servicio prestado y contratado entre el encargado y el responsable del tratamiento.

Los encargados del tratamiento, deberán garantizar por medio del contrato firmado con el responsable de los ficheros, que tomará las medidas de seguridad necesarias en su empresa que garanticen los accesos o usos no autorizados por parte de su personal. Estas deberán formar parte de su Protocolo de Seguridad.

A modo indicativo; como más comunes, entre muchos otros, son encargados del tratamiento, las asesorías, que tienen acceso a los datos del personal, las empresas de informática, cuyos técnicos pueden tener acceso en algún momento a la información contenida en los discos duros de los equipos, las empresas de software, que pueden tener acceso a los datos por medio de conexiones de mantenimiento de los programas.

Al termino de la relación mantenida entre el responsable de los ficheros y el encargado del tratamiento, éste último, deberá devolver los datos a los que tuvo acceso al responsable de los ficheros, o proceder a su eliminación de sus bases de datos.

Ambas partes son responsables de que esto ocurra.

Aquí puedes contactar conmigo para: Solicitar Información 

A.E. Gestión Empresarial. Expertos en Implantación LOPD y Auditorias de Seguridad RMS.

a

Servicios de Adaptación e Implantación a la Ley Orgánica de Protección de Datos LOPD y Auditorias de Seguridad. Soluciones a los imperativos legales obligatorios de adaptación de tu empresa o despacho profesional a la Ley de Protección de Datos. Tu adaptación LOPD en manos de profesionales, cumple al 100% con lo establecido por la Ley. Servicios de calidad a través de la red.

as

Medidas de Orden Técnico, Organizativas y de Seguridad

a

En el marco de las Medidas de índole Técnica, Organizativas y de Seguridad a implantar en la empresa y definidas en el Protocolo de Seguridad, se procederá a identificar todos los soportes que intervengan en la gestión de datos, tales como equipos informáticos, impresoras, scanners, fax, discos duros, equipos multifunción, smartphones, destructoras de documentos, etc.

Se enumerarán e identificarán cada uno de los elementos, indicando si su acceso es en modo local o a través de la red.

La impresión de documentos en el ámbito laboral es uno de los puntos fundamentales para una correcta política en materia de la confidencialidad. En virtud de la LOPD, la empresa está obligada a adoptar las medidas necesarias para mantener la privacidad de los documentos impresos, que todos los empleados deben de conocer, respetar y cumplir.

La disposición en la empresa de estos dispositivos, estará de forma estratégica para garantizar y  evitar la visualización de la información por parte de personas no autorizadas. Por lo tanto la retirada de documentos de la impresora deberá realizarla el usuario cuanto antes cuidando que no queden documentos en las bandejas de salida.

Para evitar que la información impresa no necesaria vaya a parar a las papeleras o depositada en contenedores de las vías públicas, es recomendable una destructora de documentos que garantice la confidencialidad de la información que contengan.

Como parte integrante de las medidas Técnicas, Organizativas y de Seguridad, realizaremos la identificación de todas las bases de datos que contengan datos personales, que previamente habremos inscrito en la Agencia Española de Protección de Datos tal como aborde en el apartado de Inscripción de Ficheros.

En el mismo describiremos el nombre de los ficheros, la estructura de los mismos, su procedencia, la finalidad y usos previstos, que tipo de datos contienen, y el nivel de seguridad aplicado.

Aquí puedes contactar conmigo para: Solicitar Información 

A.E. Gestión Empresarial. Expertos en Implantación LOPD y Auditorias de Seguridad RMS.

a

Servicios de Adaptación e Implantación a la Ley Orgánica de Protección de Datos LOPD y Auditorias de Seguridad. Soluciones a los imperativos legales obligatorios de adaptación de tu empresa o despacho profesional a la Ley de Protección de Datos. Tu adaptación LOPD en manos de profesionales, cumple al 100% con lo establecido por la Ley. Servicios de calidad a través de la red.

as

LOPD. Protocolo de Seguridad. Identificación Usuarios.

La Identificación de Usuarios es otro de los apartados que conforman el Protocolo de Seguridad. Estos, son pieza primordial en el acceso y utilización de los datos de carácter personal, debiendo tener únicamente acceso a la información del área que requieran sus funciones definidas por el Responsable de Seguridad, quien generara claves de acceso a datos por cada usuario, y cuidará del control e identificación de los accesos no autorizados.

En primer lugar este apartado contendrá una relación de todos los usuarios activos de la empresa, identificando el domicilio del centro de trabajo donde realizan su actividad.

En el marco de las Medidas de índole Técnica, Organizativas y de Seguridad a implantar en la empresa y definidas en el Protocolo de Seguridad, se generará una ficha de Identificación por cada usuario, la cual contendrá, los datos referidos al mismo, sus funciones dentro de la empresa, cargo que desempeña y si es personal con accesos a datos autorizado.

Se identificará el programa de correo electrónico que utiliza, se le entregará el documento de conocimiento de la ley, y se indicará si tiene firmado el documento de compromiso de confidencialidad.

Cuando un usuario deje de trabajar en la empresa, el Responsable de Seguridad procederá a la anulación de las claves de acceso generadas.

Al iniciar el usuario su incorporación a la empresa, se le informará mediante el documento de conocimiento de la Ley, de la obligación del secreto profesional y de las consecuencias que causarían un uso indebido o fraudulento de los datos que pueda conocer por razón de las funciones propias de su trabajo encomendadas para la empresa  a la que presta sus servicios.

En todos los casos el usuario firmará el documento de Compromiso de Confidencialidad, cuyas obligaciones y efectos permanecen aun después de finalizar la relación laboral. Este quedará incorporado al Protocolo de Seguridad formando parte de las Medidas de índole Técnica, Organizativas y de Seguridad contenidas en el mismo.

Con respecto a la utilización en las empresas de equipos informáticos por parte de los usuarios, ésta deberá generar el documento Reglas de Uso, donde se indicarán al usuario al iniciar su incorporación a la empresa, las medidas implantadas en cuanto al uso de medios informáticos, informando de la existencia de un control de los medios que se aplican en orden a comprobar el uso correcto de los mismos y la efectiva utilización laboral de los medios informáticos, sin perjuicio de la aplicación de otras medidas de carácter preventivo como la exclusión de determinadas conexiones.

Este documento de Reglas de Uso será de obligada lectura y el usuario procederá a su firma en prueba del conocimiento de la existencia del mismo. Se le entregará un duplicado del documento.

Aquí puedes contactar conmigo para: Solicitar Información 

A.E. Gestión Empresarial. Expertos en Implantación LOPD y Auditorias de Seguridad RMS.

a

Servicios de Adaptación e Implantación a la Ley Orgánica de Protección de Datos LOPD y Auditorias de Seguridad. Soluciones a los imperativos legales obligatorios de adaptación de tu empresa o despacho profesional a la Ley de Protección de Datos. Tu adaptación LOPD en manos de profesionales, cumple al 100% con lo establecido por la Ley. Servicios de calidad a través de la red.

as

LOPD. Protocolo de Seguridad. Identificación de la Empresa.

a

La identificación de la empresa o profesional, es otro de los apartados que conforma el Protocolo de Seguridad, que contendrá la descripción de su actividad económica, domicilio, Cif, número de las inscripciones de ficheros realizadas y el nivel de seguridad aplicado.

En el caso de tener instaladas cámaras de seguridad, identificación del archivo generado y tipo de soporte utilizado.

Cuando la empresa tenga varios domicilios de trabajo, se procederá de igual manera a su identificación, indicando la forma utilizada para el acceso a los datos, si es en modo local o por medio de redes de comunicaciones, indicando el tipo de seguridad aplicado para la protección de  accesos no autorizados.

Se nombrará un Comité de Coordinación de Seguridad de los datos personales, que junto con el responsable de los ficheros, garantizarán la aplicación y supervisión de todas las normas y procedimientos contenidos en el Protocolo de Seguridad, así como de las medidas técnicas, organizativas y de seguridad indicados en el mismo.

El comité de coordinación lo formarán el Responsable de los Ficheros, el Responsable de Seguridad y el Responsable de Copias de Seguridad de los datos. En profesionales independientes o pequeñas empresas, por lo general el responsable de los ficheros, es quien compone la totalidad del comité de coordinación.

En su caso se identificará quienes componen el Comité de Coordinación de Seguridad de los datos personales, con identificación del Responsable de Seguridad y Responsable de Copias de Seguridad, ambos nombrados por el Responsable de los ficheros. Matizar que dicha designación no supone una delegación de responsabilidades, que en todo caso recaerá siempre en el Responsable de los Ficheros.

El Responsable de Seguridad velará en todo momento del cumplimiento de los procedimientos y normas contenidos en el Protocolo de Seguridad, que garanticen el nivel de seguridad exigido así como los accesos no autorizados. Se encargará de la supervisión del personal y de la difusión entre el mismo de las normas y procedimientos que les afecta en el desempeño de las funciones asignadas en su puesto de trabajo con respecto al acceso y utilización de los datos de carácter personal.

El Responsable de las Copias de Seguridad, tiene bajo su tutela la realización semanal de las copias de seguridad externas de los ficheros. Dada la importancia de los datos, y como responsables de los mismos, mi recomendación es realizar una copia diaria.

Es una práctica muy habitual el no realizar copias de seguridad de los datos, lo que provoca un incumplimiento de las normas descritas en el Protocolo de Seguridad, comprometiendo gravemente la continuidad de la empresa.

Identificaremos la periodificación que tienen las copias de seguridad y el tipo de soporte o software externo utilizado para la realización de las mismas, debiendo estar el acceso a los datos protegidos mediante contraseña o debidamente encriptados, que garanticen en todo caso los accesos no autorizados.

Aquí puedes contactar conmigo para: Solicitar Información