El artículo 88.4.b) del RLOPD estable entre las medidas de seguridad a llevar a cabo en entidades con ficheros de nivel medio y/o alto de seguridad, la realización de controles periódicos de verificación. Textualmente el citado artículo dice:
4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:
b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
Ante esta obligación legal surgen algunas preguntas, ¿en qué consisten estos controles periódicos? ¿Cómo deben llevarse a cabo? ¿qué pasa si no los ejecuto?.
Esta obligación consiste, básicamente, en una revisión del cumplimiento de la aplicación de las medidas, procedimientos y estándares que con anterioridad hemos incluido en el documento de seguridad, y que tienen como finalidad garantizar el nivel adecuado de protección de los ficheros, tal como es exigido en el RLOPD.
Aunque el reglamento no establece la frecuencia en que estos controles se deben llevar a cabo, es obvio que los mismos deben estar coordinados con la auditoría obligatoria bienal, de tal forma que la ejecución de los mismos y la ejecución correcta de los procedimientos, nos ayuden a pasar con éxito la citada auditoría bienal.
Citemos algunos de los controles de verificación que deberíamos tener incorporados a nuestro check list de comprobación y verificación:
1.- Registro de incidencia.
2.- Revisión de informes semestrales de incidencias.
3.- Inventario de hardware.
4.- Inventario de software.
5.- Inventario de ficheros y sus posibles variaciones de contenidos así como finalidad.
6.- Cumplimiento de la política de seguridad exigida.
7.- Configuración y puesta al día del sistema de información. Tanto automatizado como no automatizado.
8.- Comprobación del nivel de seguridad asignado a los ficheros.
9.- Verificación del listado de usuarios: altas/bajas/modificaciones. Comprobación de los niveles de acceso adecuados asignados a los mismos.
10.- Verificación del registro de salidas y entradas de soportes. Ejecución, control y puesta al día del mismo.
11.- Verificación de los proveedores y prestadores de servicio que tratan con nuestra entidad. Alta/baja/modificación de los mismos, su correcta regulación con contrato de art. 12 y 83, dependiendo de si acceden o no a datos; nivel de cumplimiento de los mismos, ante la obligación impuesta por el reglamento d velar por el cumplimiento de los encargados.
12.- Procedimientos de autenticación e identificación. Contraseñas aplicadas, nivel de seguridad de las mismas, frecuencia de cambios.
13.- Procedimiento de envíos de ficheros. En el nivel alto de seguridad, los mismos solo se pueden efectuar de forma cifrada.
14.- Política de backup y copias respaldo. Política de recuperación ante desastres y de continuidad de la actividad. Copia externa de seguridad, exigible en nivel alto.
15.- Verificación de informática móvil y teletrabajo, así como conexiones remotas para los usuarios autorizados. Cifrado de contenidos en estos dispositivos y medidas de seguridad adicionales.
16.- Revisión de la política de uso de medios tecnológicos aplicadas a los usuarios del sistema; actualización de la misma.
17.- Atención a los cambios normativos y jurisprudencia aplicables.
Estos podrían ser algunos de los controles que podríamos incluir, con sus respectivos subapartados, a fin de comprobar y asegurar el correcto nivel de seguridad aplicado a los ficheros.
Y, para concluir, hay que recordar que el artículo 88.4.b) que da lugar a la ejecución de estos controles de verificación, están incluidos en el Título VIII del Reglamento, por lo que el incumplimiento de esta medida de seguridad, a tenor del artículo 44.3.h) tendrá la consideración de infracción grave, castigable con multa de 40.000€ a 300.000€ por no «mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.»
Comentarios
Aún no hay comentarios.