//
you're reading...
Guía sobre protección de datos

Documento de seguridad y Check list de control para nivel medio/alto de seguridad.


El artículo 88.4.b) del RLOPD estable entre las medidas de seguridad a llevar a cabo en entidades con ficheros de nivel medio y/o alto de seguridad, la realización de controles periódicos de verificación. Textualmente el citado artículo dice:

4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:

b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento

Ante esta obligación legal surgen algunas preguntas, ¿en qué consisten estos controles periódicos? ¿Cómo deben llevarse a cabo? ¿qué pasa si no los ejecuto?.

Esta obligación consiste, básicamente, en una revisión del cumplimiento de la aplicación de las medidas, procedimientos y estándares que con anterioridad hemos incluido en el documento de seguridad, y que tienen como finalidad garantizar el nivel adecuado de protección de los ficheros, tal como es exigido en el RLOPD.

Aunque el reglamento no establece la frecuencia en que estos controles se deben llevar a cabo, es obvio que los mismos deben estar coordinados con la auditoría obligatoria bienal, de tal forma que la ejecución de los mismos y la ejecución correcta de los procedimientos, nos ayuden a pasar con éxito la citada auditoría bienal.



Citemos algunos de los controles de verificación que deberíamos tener incorporados a nuestro check list de comprobación y verificación:

1.- Registro de incidencia.

2.- Revisión de informes semestrales de incidencias.

3.- Inventario de hardware.

4.- Inventario de software.

5.- Inventario de ficheros y sus posibles variaciones de contenidos así como finalidad.

6.- Cumplimiento de la política de seguridad exigida.

7.- Configuración y puesta al día del sistema de información. Tanto automatizado como no automatizado.

8.- Comprobación del nivel de seguridad asignado a los ficheros.

9.- Verificación del listado de usuarios: altas/bajas/modificaciones. Comprobación de los niveles de acceso adecuados  asignados a los mismos.

10.- Verificación del registro de salidas y entradas de soportes. Ejecución, control y puesta al día del mismo.

11.- Verificación de los proveedores y prestadores de servicio que tratan con nuestra entidad. Alta/baja/modificación de los mismos, su correcta regulación con contrato de art. 12 y 83, dependiendo de si acceden o no a datos; nivel de cumplimiento de los mismos, ante la obligación impuesta por el reglamento d velar por el cumplimiento de los encargados.

12.- Procedimientos de autenticación e identificación. Contraseñas aplicadas, nivel de seguridad de las mismas, frecuencia de cambios.

13.- Procedimiento de envíos de ficheros. En el nivel alto de seguridad, los mismos solo se pueden efectuar de forma cifrada.

14.- Política de backup y copias respaldo. Política de recuperación ante desastres y de continuidad de la actividad. Copia externa de seguridad, exigible en nivel alto.

15.- Verificación de informática móvil y teletrabajo, así como conexiones remotas para los usuarios autorizados. Cifrado de contenidos en estos dispositivos y medidas de seguridad adicionales.

16.- Revisión de la política de uso de medios tecnológicos aplicadas a los usuarios del sistema; actualización de la misma.

17.- Atención a los cambios normativos y jurisprudencia aplicables.

Estos podrían ser algunos de los controles que podríamos incluir, con sus respectivos subapartados, a fin de comprobar y asegurar el correcto nivel de seguridad aplicado a los ficheros.

Y, para concluir, hay que recordar que el artículo 88.4.b) que da lugar a la ejecución de estos controles de verificación, están incluidos en el Título VIII del Reglamento, por lo que el incumplimiento de esta medida de seguridad, a tenor del artículo 44.3.h) tendrá la consideración de infracción grave, castigable con multa de 40.000€ a 300.000€ por no “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.”

 

Anuncios

Comentarios

Aún no hay comentarios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Estadística del blog

  • 116,240 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: