La seguridad de la información en la LOPD
BIBLIOTECA VIRTUAL de Derecho, Economía y Ciencias Sociales

 

APUNTES DE AUDITORIA

Juan Carlos Mira Navarro

 

 

Esta página muestra parte del texto pero sin formato.

Puede bajarse el libro completo en PDF comprimido ZIP (305 páginas, 1,92 Mb) pulsando aquí

 

 

 

  

Unidad 4. Auditoría informática

La seguridad de la información en la LOPD

4.3.1. Introducción

La clasificación de la información debe utilizarse para facilitar la seguridad de los recursos y los datos [16]. Si es utilizada adecuadamente puede contemplarse como un medio para comunicar a todos los usuarios la protección que requiere cada uno de los datos.

Es de destacar una figura que aparece cada vez más en la documentación técnica: el responsable propietario de los ficheros. Según se va desarrollando la tecnología cada vez es más necesaria esta figura. Ya ha terminado la época en la que el responsable de informática lo era también de los ficheros.

Ahora la informática se contempla como lo que es, una simple herramienta, todo lo poderosa que se quiera, pero sólo eso. Las comunicaciones hacen posible que los responsables de cada área, verdaderos propietarios de los datos que manejan, asuman también la responsabilidad sobre éstos.

En la clasificación de la información puede ocurrir que el responsable propietario no sea único (por ejemplo cuando se trate de información almacenada en las bases de datos corporativas). La asignación de la propiedad en estos casos debe estar coordinada con la función de administración de la información.

Un aspecto importante para la seguridad de los datos es la estructura del esquema de clasificación, ya que afectará a su implantación. La estructura es específica de cada organización, existiendo varios esquemas: clasificación por niveles, por categorías, combinada, etc.

La clasificación por niveles se basa en un esquema de clasificación jerárquica en el que el nivel más bajo es, normalmente, “no clasificado” y el nivel más alto, “secreto o alto secreto”. El orden de los niveles implica la importancia relativa de los datos y los requisitos de los procedimientos de seguridad.

En algunos casos, especialmente dependencias militares, se utilizan niveles separados para datos y usuarios. El acceso a los datos se basa en el nivel asignado al usuario y en el nivel de clasificación de los datos; si el nivel del usuario no es igual, al menos, al nivel de clasificación de los datos, el acceso se deniega.

La clasificación por categorías no es jerárquica y se utiliza para grupos independientes de datos y recursos que necesitan procedimientos similares de protección. Las categorías diferentes no tienen ninguna relación ni dependencia entre ellas. Las categorías se asignan tanto a usuarios como a datos; si el usuario no tiene la misma categoría (o categorías) que los datos, el acceso es denegado.

La clasificación combinada se basa en ambas estructuras. La combinación de niveles jerárquicos y categorías no jerárquicas se representa en una tabla de seguridad. Para realizar la clasificación completa de la información se necesita tanto el nivel como la categoría.

Los criterios de clasificación deben elegirse en base a los riesgos de los datos y los recursos. Por ejemplo, una clasificación puede hacerse en base a su sensibilidad: a su destrucción, a su modificación o a su difusión.

La sensibilidad a su destrucción se refiere al borrado o a no tener disponibles los recursos, datos o programas. Toda aquella información de la organización que es necesaria para la continuación de su negocio es sensible a su destrucción. Es vital para la supervivencia del negocio de aquella que esta información esté convenientemente protegida.

Este tipo de sensibilidad afecta a la disponibilidad de la información.

Los diferentes niveles pueden ser los siguientes:

1. Los datos confidenciales son datos de difusión no autorizada. Su uso puede suponer un importante daño a la organización.

2. Los datos restringidos son datos de difusión no autorizada. Su utilización iría contra los intereses de la organización y/o sus clientes. (Datos de producción de la organización y/o de sus clientes, programas o utilidades, software, datos de personal, datos de inventarios, etc.) 3. Los datos de uso interno no necesitan ningún grado de protección para su difusión dentro de la organización. (Organigramas, política y estándares, listín telefónico interno, etc.)

4. Los datos no clasificados no necesitan ningún grado de protección para su difusión. (Informes anuales públicos, etc.)

Un tipo de datos específico que legalmente se deben proteger son los datos de carácter personal, aquellos que se refieran a la intimidad de las personas físicas. Dicha protección está regulada en la Ley Orgánica 15/1999, de 13 de diciembre de Protección de los Datos de carácter personal.

Esto, si cabe, obliga más a llevar a efecto la clasificación de los datos y conocer cuáles son de carácter personal y dentro de ellos los que la Ley denomina especialmente protegidos, pues si se implanta una seguridad generalizada vamos a aumentar sin necesidad el presupuesto de seguridad de la organización.

Para la protección jurídica de los datos de carácter personal se han ido promulgando en los países de nuestro entorno cultural y económico las denominadas leyes de protección de datos.

4.3.2. Diferentes tipos de seguridad

La seguridad de la información se puede dividir en los siguientes tipos:

Física

Lógica

Organizativo–Administrativa

Jurídica

La seguridad física, siguiendo a Ribagorda Garnacho comprende las medidas externas a los Centros de Procesos de Datos, de proteger a estos y a su entorno de amenazas físicas tanto procedentes de la naturaleza de los propios medios, como del hombre.

Entre las amenazas previsibles podemos citar: inundaciones, fuego, cortes de fluido eléctrico, interferencias, atentados, robos, hurtos, etc.

La seguridad lógica pretende proteger el patrimonio informacional que se compone tanto de las aplicaciones informáticas como del contenido de las bases de datos y de los ficheros. La protección de este tipo se puede realizar a través de contraseñas, tanto lógicas como biométricas, conocimientos y hábitos del usuario, firmas digitales y principalmente la utilización de métodos criptográficos.

La seguridad organizativo–administrativa pretende cubrir el hueco dejado por las dos anteriores y viene, cierto modo a complementarlas. Difícilmente se puede lograr de forma eficaz la seguridad de la información si no existen claramente definidas:

Políticas de seguridad.

Políticas de personal.

Políticas de contratación Análisis de riesgos.

Planes de Contingencia

La seguridad jurídica pretende, a través de la aprobación de normas legales, fijar el marco jurídico necesario para proteger los bienes informáticos.

4.3.3. Características de la información

Una definición válida de seguridad de la información podría ser que es el conjunto de sistemas y procedimientos que garantizan: la confidencialidad, la integridad y la disponibilidad de la información. Estas son las tres características que definen lo que es la seguridad de la información.

La confidencialidad pretende que la información sea conocida exclusivamente por los usuarios autorizados en la forma y tiempo determinado previamente.

La integridad pretende que la información sea creada, modificada o borrada sólo por los usuarios autorizados.

La disponibilidad pretende que la información se pueda utilizar cuando y cómo lo requieran los usuarios autorizados.

En resumen ha de ser imposible alterar los mensajes, su autoría ha de ser inequívoca y debe tener valor probatorio en caso necesario.

4. La seguridad en la nueva Ley de Protección de Datos de carácter personal

La Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los datos de carácter personal regulaba la seguridad de los datos en su artículo 9. Dicha Ley ha sido derogada por la Ley Orgánica 15/1999, de 13 de diciembre de 1999, de Protección de los Datos de carácter personal que mantiene el artículo 9 sobre la seguridad de los datos introduciendo en el mismo las modificaciones necesarias para adaptarlos a la nueva Ley.

Éstas son: la responsabilidad de adoptar las medidas de seguridad que anteriormente eran obligatorias tan sólo para el responsable del fichero y en este caso también alcanzan al encargado del tratamiento en las ocasiones que exista esta nueva figura.

Asimismo desaparece del artículo toda referencia a ficheros automatizados toda vez que ésta categoría de ficheros desaparece en la nueva ley al ser el objeto de ésta mucho más ambicioso que el de la LORTAD1.

La nueva Ley (a la que a partir de ahora denominaremos LOPD2) en su Disposición transitoria tercera regula la subsistencia de las normas preexistentes disponiendo que hasta que no se lleve a efecto la aprobación o modificación por el Gobierno de las disposiciones reglamentarias para la aplicación y desarrollo de la LOPD, prevista en la Disposición final primera, continuarán en vigor, con su propio rango, las normas reglamentarias preexistentes y en especial los tres Reales Decretos a los que nos referíamos con anterioridad, siempre y cuando no se opongan a la presente Ley.

5. Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal

Ficheros organizados serán aquellos en los que mediante alguna forma: contraseña, número, clave, nombre etc, se puede acceder directamente a un registro, expediente o carpeta.

Ficheros no organizados serán aquellos en los que lo anterior no será posible y simplemente se trata de una agrupación de información, sin ningún orden, en la cual para acceder a un expediente, hoja clínica o ficha es preciso ir examinándolos uno a uno hasta encontrarlo.

Dentro del primer grupo podemos encontrar a su vez otros tres subgrupos: ficheros automatizados, ficheros con algún grado de mecanización y ficheros convencionales.

Ficheros automatizados serán los comprendidos en la LORTAD.

Ficheros con algún grado de mecanización podrían ser los compuestos por fichas y manejados por artilugios mecánicos que facilitan su almacenamiento y posterior búsqueda.

Ficheros convencionales serían el resto de ficheros organizados entre los que podríamos encontrar: hojas clínicas, expedientes, fichas, manuales, etc.

La LOPD ha eliminado la distinción entre ficheros automatizados y convencionales y en su artículo 2 al referirse al “Ámbito de aplicación” dice: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Extiende el ámbito a todos los datos de carácter personal registrado en soporte físico que puede ser cualquiera: papel, cartón, microficha, disquete, disco duro, cartucho, etc.

1Ley Orgánica 5/1992, de 29 de octubre de Regulación del Tratamiento Automatizado de los Datos de carácter personal

2Ley Orgánica 15/1999, de 13 de enero de Protección de Datos de carácter personal

Por ello entendemos que la aplicación del Reglamento en este periodo, hasta tanto sea modificado por el Gobierno, debe hacerse con sumo cuidado por el riesgo que se corre de exigir el cumplimiento de una norma que después se demuestre que no responde al debido desarrollo de la nueva Ley con los perjuicios y daños que esto pueda ocasionar y que en algunos casos según las circunstancias que concurran pueden llegar a ser irreparables.

El Reglamento se concibe como una norma de mínimos que establece las medidas de seguridad básicas que han de cumplir todos los ficheros que contengan datos de carácter personal sin perjuicio de que se establezcan medidas especiales para aquellos ficheros que por la especial naturaleza de los datos que contienen o por sus especiales características exijan un grado de protección mayor.

Las medidas de seguridad se establecen atendiendo a la naturaleza de la información tratada en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.

Las medidas se clasifican en tres niveles: básico, medio y alto aunque sí analizamos el punto 4 del artículo 4 comprobamos que existe un nivel intermedio entre el nivel básico y el nivel medio.

Pieza clave del Reglamento es el Documento de Seguridad (art. 8) al que podemos considerar un macrodocumento que contiene aunque sea en sus aspectos mínimos:

Políticas.

Plan de Seguridad.

Plan de Contingencia.

Dentro del apartado de Políticas podemos entender que se engloban las siguientes exigencias del Documento:

Medidas, normas, procedimientos, reglas y estándares.

Funciones y obligaciones del personal.

El Plan de Seguridad comprende:

• Ámbito de aplicación con detalle de recursos protegidos.

• Estructura de los ficheros y descripción de los sistemas.

• Procedimientos de notificación, gestion y respuesta ante las incidencias.

• Actualización y adecuación legal.

El miniplan de Contingencias abarcaría: Procedimiento de realización de copias de respaldo y recuperación de los datos.

En el Reglamento aparecen dos figuras importantes para el desarrollo del mismo: una ya conocida, el responsable del fichero y otra nueva que sólo aparece en el caso de que se trate de ficheros con un nivel de seguridad medio y alto.

A continuación enumeramos las funciones de cada uno de ellos:

1. Responsable del fichero:

a) Deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el Reglamento.

b) Autorizar la ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero (art. 6).

c) Elaborará el Documento de Seguridad (art. 8).

d) Adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias a que daría lugar su incumplimiento (art. 9).

e) Se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al Sistema de Información (art. 11).

f ) Establecerá los procedimientos de identificación y autenticación para dicho acceso (art. 11).

g) Establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados (art. 12).

h) Será quien únicamente pueda autorizar la salida fuera de los locales en que esté ubicado el fichero de soportes informáticos que contengan datos de carácter personal (art. 13).

i) Verificará la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de datos (art. 14).

j ) (Medidas de seguridad de nivel medio y alto de medidas de seguridad) Designará uno o varios responsables de seguridad (art. 15).

k) Adoptará las medidas correctoras necesarias en función de lo que se diga en el informe de auditoría (art. 17).

l) Establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al Sistema de Información y la verificación de que esté autorizado (art. 18).

m) Autorizará por escrito la ejecución de los procedimientos de recuperación (art. 21).

2. Responsable de seguridad.

a) Pueden ser uno o varios.

b) Coordinará y controlará las medidas definidas en el documento de seguridad.

c) No tiene delegada la responsabilidad que le corresponde al responsable del fichero.

d) Analizará los informes de auditoría (art. 17).

e) Elevará las conclusiones del análisis al responsable del fichero (art. 17).

f ) Controlará los mecanismos que permiten el registro de accesos (art. 24).

g) Revisará periódicamente la información de control registrada (art. 24).

h) Una vez al mes elaborará un informe de las revisiones realizadas en el registro de accesos (art. 24).

4.1: Cuestionario de control interno de protección de datos

CUESTIONARIO DE CONTROL INTERNO 1. Existe un manual de procedimientos con respecto a los sistemas informáticos, sobre la protección de datos de carácter personal

2. Se aplica la metodología definida en el manual de procedimientos

3. Los procedimientos definidos son satisfactorios

4. Existen ficheros de titularidad pública. Enumérelos

5. Existen ficheros de titularidad privada. Enumérelos

6. Todos los ficheros están inscritos en el Registro General de Protección de Datos. Adjunte los documentos de inscripción de los ficheros

7. Existe comunicación o cesión de los datos

8. Los datos están actualizados. Adjunte solicitudes de cancelación o rectificación de los datos personales presentados a la empresa

9. Se cumplen las medidas de seguridad en virtud del RD 994/1999. Adjunte los documentos de seguridad

10. La empresa ha sido inspeccionada en algún momento por parte de la Agencia de Protección de Datos, a través del órgano de la Inspección

11. ¿Cuál ha sido el resultado de la inspección?

12. Existe algún seguro por los posibles incumplimientos en protección de datos

Grupo EUMEDNET de la Universidad de Málaga Mensajes cristianos

Venta, Reparación y Liberación de Teléfonos Móviles
Enciclopedia Virtual
Economistas Diccionarios Presentaciones multimedia y vídeos Manual Economía
Biblioteca Virtual
Libros Gratis Tesis Doctorales Textos de autores clásicos y grandes economistas
Revistas
Contribuciones a la Economía, Revista Académica Virtual
Contribuciones a las Ciencias Sociales
Observatorio de la Economía Latinoamericana
Revista Caribeña de las Ciencias Sociales
Revista Atlante. Cuadernos de Educación
Otras revistas

Servicios
Publicar sus textos Tienda virtual del grupo Eumednet Congresos Académicos - Inscripción - Solicitar Actas - Organizar un Simposio Crear una revista Novedades - Suscribirse al Boletín de Novedades