Contacto
91 896 07 03 - 645 785 425
lopd@adaptacionlopdonline.com
Consultores
Vaya al Contenido

Medidas de seguridad a aplicar a nuestros ficheros

Cumplimiento normativo online
Publicado de en LOPD · 14 Mayo 2017
Tags: seguridadficheros
Medidas para proteger los datosDespués de conocer el ciberataque a nivel mundial que se produjo el pasado viernes por el que miles de equipos han resultado infectados por el virus “Wanna Cry”, incluso que equipos informáticos de grandes compañías han resultado afectados, todos debemos ser conscientes de que somos vulnerables y que en Internet, la seguridad al cien por cien, no existe.

Si te conectas a la red tu equipo está expuesto a múltiples peligros pero puedes protegerte y evitar ser víctima de los ciberdelincuentes y, además, cumplir la ley.

¿QUÉ PUEDO HACER PARA PROTEGER MIS EQUIPOS Y MI INFORMACIÓN?
Si has realizado tu adaptación al cumplimiento de la LOPD con nosotros, ya conoces las medidas a aplicar en tu entidad para cumplir lo estipulado por el RLOPD 1720/2007 y proteger tu información. Puedes consultar estas guías en tu carpeta de adaptación, en la Sección 2, “Obligaciones del Responsable de Seguridad”, “Medidas de seguridad a implantar para la protección de datos de carácter personal de nivel básico, medio y alto” y en “Manuales LOPD”, “Cursos”, “Responsables”, “Manual de medidas técnicas y organizativas”.
 
A modo de resumen y para refrescar los conocimientos sobre medidas de seguridad que debemos aplicar para la protección de los datos que tratamos, incluimos a continuación los dos cuadros-resumen de las principales medidas a tomar para proteger los ficheros que tratamos, según lo establecido por el Reglamento de Desarrollo de la LOPD, tanto para ficheros automatizados como para los no automatizados.

RESUMEN DE MEDIDAS APLICABLES A FICHEROS AUTOMATIZADOS

Art. 89: Funciones y obligaciones del personal (B). Facilita a tus empleados las normas de seguridad que afecten al desarrollo de sus actividades (Formación, Políticas de Seguridad, Compromisos de confidencialidad).
Art. 90: Registro de incidencias (B). Establece el procedimiento para la notificación y gestión de las incidencias y que todo el personal lo conozca.
Art. 91: Control de acceso (B). Gestiona las cuentas de usuario, protege carpetas y archivos, concede permisos de acceso o restríngelos. Controla que cada usuario sólo acceda a los recursos que necesita para realizar su labor profesional.
Art. 92: Gestión de soportes (B). Mantén al día el Inventario de soportes.
Art. 93: Identificación y autenticación (B). Controla el uso de las contraseñas. Que sean robustas, que permitan identificar de forma inequívoca y personalizada a cada usuario.
Art. 94: Copias de respaldo y recuperación (B). Controla que, como mínimo, todas las semanas se haga copia de seguridad. Si existe la necesidad, la periodicidad puede ser mayor (diaria). Mantén una copia de seguridad actualizada fuera de las instalaciones (en nivel alto es obligatorio; en el resto, es recomendable).
Art. 95: Responsable de seguridad (M). Nombra uno o varios responsables que te ayuden a mantener tu adaptación actualizada.
Art. 96: Auditoría (M). Para los niveles medio y alto, es obligatoria la realización de auditorías bienales. Puede ser interna o externa.
Art. 97: Gestión de soportes (M). Mantén al día los Registros de entrada/salida de documentos y otros soportes.
Art. 98: Identificación y autenticación (M). Activar las directivas de bloqueo de cuentas (duración del bloqueo, restablecimiento de la cuenta, umbral de bloqueos)
Art. 99: Control de acceso físico (M). Establecer el protocolo por el que sólo las personas autorizadas accedan a los locales donde se encuentren físicamente los equipos informáticos.
Art. 100: Registro de incidencias (M). Establecer los procedimientos para identificar a quien realice las tareas de recuperación de la información.
Art. 101: Gestión y distribución de soportes (A). Identificar los soportes y gestionar el inventario. Cifrado de carpetas. Certificados personales.
Art. 102: Copias de respaldo y recuperación (A). Mantener una copia de seguridad fuera de las instalaciones. Cifrado de copias.
Art. 103: Registro de accesos (A). Si existe un software específico para el manejo de las bases de datos, activar y gestionar el registro de accesos. Si no existe, deben activarse las directivas de Windows para auditar los accesos de los usuarios a los archivos, carpetas o impresoras.
Art. 104: Telecomunicaciones (A). Los mensajes de correo que contengan datos personales de nivel alto deben ser cifrados en origen.

RESUMEN DE MEDIDAS APLICABLES A FICHEROS NO AUTOMATIZADOS
 
Arts. 89, 90, 91 y 92 (B): Ver en el cuadro anterior.
Art. 106: Criterios de archivo (B). Organizar el archivo de documentos de forma que  garanticen su localización y consulta y permitan el ejercicio de derechos a los interesados.
Art. 107: Dispositivos de almacenamiento (B). Los dispositivos deberán contar con medidas de seguridad que obstaculicen su apertura.
Art. 108: Custodia de los soportes (B). Establecer los protocolos para la custodia de los soportes que no se encuentren en sus dispositivos de archivo.
Art. 109: Responsable de seguridad (M). Nombrar uno o varios responsables de seguridad para la gestión y el control de los ficheros no automatizados.
Art. 110: Auditoría (M). Realizar las auditorías bienales también para los ficheros no automatizados.
Art. 111: Almacenamiento de la información (A). Los armarios, archivadores, etc., deberán situarse en recintos cerrados y a los que sólo tengan acceso las personas autorizadas.
Art. 112: Copia o reproducción (A). Sólo las personas autorizadas podrán realizar la copia o reproducción de documentos que contengan datos de nivel alto.
Art. 113: Acceso a la documentación (A). Establecer mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por varios usuarios.
Art. 114: Traslado de la documentación (A). Impedir el acceso a la información cuando se traslade físicamente documentación que contenga datos personales de nivel alto.

OTRAS MEDIDAS QUE TAMBIÉN TE EXPLICAMOS
Borrado de archivos temporales de Windows. Borrado de archivos temporales de Internet. Borrado seguro de archivos. Borrado y desecho de dispositivos. Instalación de antivirus y antimalware. Activación de cortafuegos. Instalación de destructoras de papel.

Te pedimos que revises las guías y manuales de los que dispones para protegerte y proteger tu información y, que si tienes dudas al respecto, contactes con nosotros para que las revisemos.


HAZ TU CONSULTA
Si quieres, podemos agendar una consulta para resolver tus dudas. Ponemos a tu disposición nuestra experiencia para que comprendas qué es el RGPD y cómo debes afrontar el cambio.
RECIBE TU OFERTA
Te proporcionaremos un informe de carencias en cuanto al cumplimiento de estas normativas, junto a una oferta de servicios totalmente personalizada y adaptada a tus necesidades. Sin compromiso.
AMYPC
¿Necesitas ayuda?

91 896 07 03
645 785 425

Pedro L. Cuevas Pérez pertenece a la APEP
Regreso al contenido