FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática

5/14/2018 FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática - slidepdf.com

http://slidepdf.com/reader/full/fdeh-ut43-la-aplicacion-de-los-niveles-de-seguridad-de-la-lopd-en-la-informatica 1/10

Fundamentos de hardware1º ASIR / I.E.S. Leonardo da Vinci, Albacete Ángel Villodre

1

Los niveles de seguridad de la LOPD

La Ley Orgánica 15/1999 de 13 de Diciembre, de Protección de Datos y en

adelante LOPD regula el marco legal y el consiguiente desarrollo normativo de la

protección de datos de carácter personal en España con especial atención a los

derechos fundamentales del honor y la intimidad personal y familiar.

Establece, por tanto, en lo concerniente a este tipo de datos y ficheros los

derechos que los ciudadanos tienen sobre ellos y los deberes que han de cumplir

quienes los crean o los consultan, con independencia del soporte en el que estos

ficheros estén basados.

Para ello, la LOPD clasifica los ficheros de datos de carácter personal en tres

niveles de seguridad dependiendo tanto de la sensibilidad de la información

recogida y consultada como de su medio de obtención. Estos niveles son

acumulativos: cada nivel incorpora sus medidas propias de seguridad más las del

anterior.

El nivel de seguridad básico

El Documento de Seguridad

Este nivel de seguridad se encuentra recogido en los artículos 8 a 14 del RD

994/1999 por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros

automatizados que contengan datos de carácter personal y pertenecen a este nivel deseguridad todos los ficheros automatizados1. Todo fichero debe tener un

responsable del fichero de datos.

El nivel de seguridad básico es el pilar fundamental de toda la estructura de

seguridad que establece la LOPD y su Reglamento de desarrollo. El primer paso que

establece la legislación es elaborar un Documento de Seguridad donde se tendrán

que describir las medidas de seguridad que la Empresa haya tomado para el

tratamiento sus ficheros de datos de carácter personal y que se encuentra orientado

tanto a la Empresa2, como a los usuarios de los ficheros como a la posible

intervención de la Autoridad pública.

Este documento comprende seis apartados de inclusión obligatoria:

1º - Una relación del ámbito de aplicación del mismo enumerando ficheros,

equipamiento informático utilizado para su tratamiento, aplicaciones informática, red

de comunicaciones y locales donde será de aplicación la normativa.

2º - Las medidas, normas y procedimientos de seguridad de acceso para el

nivel de seguridad exigido. Aquí el documento debe indicar los procedimientos y

normas de acceso físico a los locales y de acceso lógico al sistema informático. Dentro

de estas últimas, debe mencionar las medidas de seguridad contra ataques y

vulnerabilidades de este como cortafuegos, cifrado de datos o antivirus; así como de

http://creativecommons.org/licenses/by-sa/3.0/




2

la relación de permisos necesarios para emplear los sistemas de tratamiento de

datos.

3º - La relación completa de funciones y obligaciones del personal que accede

a los ficheros de datos junto a sus niveles de autorización y permisos. Es muy

importante que esta relación esté actualizada para reflejar los cambios de personal yse recomienda añadir una lista completa de todos los usuarios que acceden a los

ficheros como Anexo al Documento de Seguridad.

4º - La estructura de los ficheros de datos de carácter personal y

descripción de los sistemas de información que los tratan, que normalmente

consta de una parte expositiva y de otra más concreta que se inserta como un Anexo

al Documento de Seguridad en la que se especifican los nombres de las aplicaciones

informáticas que se emplean y la estructura de las tablas de las BBDD.

5º - Terminada la exposición de todos los aspectos descriptivos y funcionales

del acceso y modificación de los ficheros de datos carácter personal, se pasan adescribir los procedimientos de notificación, gestión y respuesta ante incidencias

donde la Empresa debe definir cómo debe responder el personal ante las incidencias

que puedan surgir en los datos, en los sistemas informáticos y en los locales donde se

realiza el tratamiento de los ficheros.

6º - Por último es necesario especificar los procedimientos de copias de

respaldo y recuperación de datos. Es necesario, por tanto, especificar en el

Documento de Seguridad cuándo, cómo y qué datos se respaldan así como los

medios empleados para ello y el proceso de restauración de copias.

El Documento de Seguridad debe mantenerse constantemente actualizadoy deberá ser revisado siempre que se produzcan cambios relevantes en los

sistemas de información o incluso en la propia organización de la empresa.

Este documento deberá ser distribuido, total o parcialmente, a todo el personal

de la Empresa para su conocimiento y a disposición de la Agencia Española de

Protección de Datos, quien además proporciona modelos de Documentos de

seguridad.

Funciones y obligaciones del personal

El Reglamento establece que las funciones y obligaciones de cada una de las

personas con acceso a los datos de carácter personal y a los sistemas de información

que los tratan deben estar claramente definidas y documentadas.

Esto se consigue en la práctica mediante el establecimiento de privilegios y

permisos informáticos para actualizar, modificar, agregar o suprimir datos de carácter

personal así como quienes puedan autorizar la exportación de los ficheros. Para ello,

además del preceptivo Documento de Seguridad, la Empresa suele distribuir un

Manual de Tratamiento de Datos de carácter personal.





3

Registro de incidencias

El procesamiento de las incidencias consistirá en un registro en el que se haga

constar, de forma individualizada para cada suceso:

• Tipo de incidencia• Momento en que se ha producido• Persona que realiza la notificación• Persona a quien se le comunica• Efectos que se hubieran derivado de la incidencia

El propósito de este registro es establecer por un lado un mecanismo fiable de

notificación y registro de incidencias y por el otro proporcionar un medio de estudio y

aprendizaje para que la Empresa adopte las medidas necesarias para prevenir los

daños y vulneraciones a los ficheros de datos. Esto se suele implementar mediante

un software informático de auditoría de seguridad y un sistema de registro de

notificaciones y actuaciones.

Identificación y autentificación 3

Es necesario reconocer la identidad del usuario mediante un proceso de

identificación y comprobar la veracidad de la misma mediante otro de

autentificación para proporcionar el acceso a su nivel correspondiente de seguridad,

normalmente empleando los mecanismos de cuentas y permisos del sistema

operativo. El Reglamento establece que cuando el mecanismo de autenticación se

base en la existencia de contraseñas existirá un procedimiento de asignación,

distribución y almacenamiento que garantice su confidencialidad e integridad yse exige que los requisitos de complejidad y cambio periódico de las mismas figuren

en el Documento de Seguridad. También se admiten otros medios de identificación,

como los biométricos basados en parámetros físicos del usuario o en tarjetas

inteligentes que contienen certificados digitales de seguridad.

Control de acceso

El responsable del fichero debe establecer unos mecanismos para evitar que un

usuario pueda acceder a datos o recursos sobre los que no esté autorizado. El

Reglamento no determina qué mecanismos ni métodos deben emplearse, pero lo

habitual es emplear las herramientas basadas en listas de control de acceso de lospropios sistemas operativos.

Gestión de soportes

El Reglamento establece que los soportes informáticos que contengan datos

de carácter personal deberán permitir identificar el tipo de información que

contienen, ser inventariados y almacenarse en un lugar con acceso restringido al

personal autorizado para ello en el Documento de Seguridad. Sólo el responsable del

fichero podrá autorizar la salida física de los soportes fuera de los locales de la

Empresa o su exportación por cualquier otro medio.





4

Copias de respaldo y recuperación

Una competencia principal del responsable del fichero consiste en establecer

un procedimiento de copias de respaldo de los datos de carácter personal con al

menos una frecuencia semanal más un proceso de recuperación de las mismas que

garantice la reconstrucción de los datos al estado anterior de la pérdida junto a los

mecanismos de verificación de los procedimientos anteriores.





5

El nivel de seguridad medio

El nivel de seguridad medio comprende todas las medidas incluidas en el nivel

básico visto anteriormente más las que especifica el Reglamento en los artículos 15 a

22 y que afectan a varias áreas tratadas en el nivel anterior junto a otros requisitosnuevos propios de este nivel.

El Documento de Seguridad

A lo descrito en el nivel de seguridad básico, el Reglamento añade el siguiente

contenido al Documento de Seguridad:

• La identificación del o los responsables de seguridad.

• Los controles periódicos para verificar el cumplimiento de lo dispuesto en el

Documento de Seguridad.

• Las medidas de seguridad para la reutilización/destrucción segura desoportes.

El responsable de seguridad

Fija el Reglamento que el responsable del fichero designará uno o varios

responsables de seguridad, que se encargarán del cumplimiento de las medidas,

reglas y normas de seguridad establecidas por el responsable del fichero. Suele ser

una persona con conocimientos de informática o, en las organizaciones de mayor

tamaño, una labor coordinada de varios responsables de seguridad de los ámbitos jurídico, informático y gestión de la calidad dentro de la Empresa.

Deben figurar en el Documento de Seguridad, además de quiénes son los

responsables de seguridad, sus obligaciones y funciones de forma detallada.

Auditoría

En este nivel el Reglamento introduce la figura de la auditoría, que interna o

externa, debe verificar el cumplimiento de los procedimientos de seguridad de datos

al menos cada dos años. Además, el informe de auditoría debe dictaminar sobre elgrado de adecuación y cumplimiento de las medidas de seguridad proponiendo

medidas correctoras en las áreas donde sea necesario. Dicho informe será analizado

por el responsable de seguridad, quien a su vez elevará las conclusiones extraídas al

responsable del fichero para que adopte las medidas adecuadas. Todos estos

informes, junto al de auditoría, quedan a disposición de la AEPD.

Identificación y autentificación

En esta apartado es obligatorio establecer un método de identificación

inequívoco y personalizado a cada usuario que intente acceder a los sistemas deinformación y se limitarán los intentos de accesos no autorizados al sistema,





6

bloqueando si es preciso las cuentas de usuario involucradas en los mismos. Estas

medidas deben recogerse en el Documento de Seguridad.

Control de acceso físico

Además, el Reglamento fija que debe haber un control de acceso físico a las

instalaciones del Centro de Procesamiento de Datos o equivalente de la Empresa,

debiendo quedar reflejado en el Documento de Seguridad qué personas tienen

acceso físico a las instalaciones.

Gestión de soportes

Recogido en el artículo 20 del Reglamento, deberá de implantarse un

sistema de registro de entrada de soportes informáticos que permita, directa

e indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, elnúmero de soportes, el tipo de información que contienen, la forma de envío y

la persona responsable de la recepción que deberá estar debidamente

autorizada.

Por lo que, en el registro de entrada de soportes informáticos donde

se encuentren almacenados datos de carácter personal de nivel medio,

deberán constar:

a) Tipo de soporte.

b) Fecha y hora.c) Emisor.

d) Número de soportes.

e) Tipo de información que contienen.

f) Forma de envío.

g) Persona responsable de la recepción que deberá estar autorizada.

Y en el correspondiente registro de salida:

a) Tipo de soporte.

b) Fecha y hora.

c) Emisor.

d) Número de soportes.

e) Tipo de información que contienen.

f) Forma de envío.

g) Persona responsable del envío que deberá estar autorizada.

Todos estos registros y el procedimiento de gestión de entrada y salida de los

soportes deben quedar reflejados en el Documento de Seguridad junto a un modelo

de las autorizaciones correspondientes. Las autorizaciones ya emitidas deben seralmacenadas junto al resto de documentación relativa a los ficheros. Muy importante





7

es el apartado 3 del artículo 20 de adopción de medidas para impedir cualquier

recuperación de información de un soporte que vaya a ser desechado.

Registro de incidencias

En el artículo 21 se añade la obligación de consignar en el registro deincidencias, para este nivel de seguridad, los procesos realizados para la recuperación

de los datos indicando la persona que ejecutó la misma, los datos restaurados y si

procede, qué datos han tenido que ser restituidos manualmente. Será necesaria la

autorización por escrito del responsable de los ficheros para llevar a cabo

operaciones de recuperación de datos.

Prueba con datos reales

Las pruebas que se realicen antes o después de la implantación o modificación

de los sistemas de información que traten con ficheros de carácter personal no se

realizarán con datos reales salvo que pueda asegurarse el conjunto de medidas

aplicables al nivel de seguridad correspondiente.





8

El nivel de seguridad medio

Este nivel de seguridad corresponde a los datos de carácter personal más

sensibles y relevantes a la intimidad de la persona tales como la salud, las creencias

religiosas y políticas o la filiación sindical. Para ello, las medidas destinadas aproteger estos datos pueden resumirse en tres aspectos:

• La utilización de mecanismos de encriptación y cifrado de los datos.

• El registro, control y almacenamiento de logs de accesos a los ficheros.

• El almacenamiento de copia de seguridad en ubicación distinta.

Distribución de los soportes

En el artículo 23 se obliga al cifrado de los datos de carácter personal de

nivel alto durante las operaciones de distribución de soportes, sea cual sea el

supuesto de dichas operaciones de distribución (operaciones de mantenimiento en

los locales, actualización de los sistemas de información o distribución autorizada de

los datos) con el fin de que no pueda manipularse la información durante el

transporte.

Registro de accesos

Esta es, con diferencia, la medida más problemática de adoptar en todo el

proceso de adaptación de los sistemas de información a la LOPD. Y es que en el

artículo 24 del Reglamento se recoge la necesidad de establecer un registro

individual para cada acceso a los datos donde figure:

a) La identificación del usuario,b) Fecha y la hora en que se realizó el acceso,c) Fichero accedido,d) Tipo de acceso: autorizado o denegado,e) Y en el caso que el acceso haya sido autorizado, será preciso guardar lainformación que permita identificar el registro accedido dentro de cada fichero.

Los mecanismos del registro de accesos están bajo el control y la

responsabilidad directa del responsable de seguridad competente. Estos registros

deben almacenarse durante al menos dos años y el responsable de seguridad deberevisarlos periódicamente y elaborar un informe donde recopile las revisiones y los

problemas encontrados al menos una vez al mes, informe que debe añadirse al

Documento de Seguridad.

El volumen de datos que generan estos registros junto a la capacidad de

proceso necesario para manejarlo supone un fuerte gasto económico y de gestión

enorme paras las Empresas que deben asumirlo, y sin embargo todas estas medidas

son completamente obligatorias para este nivel de seguridad.





9

Copias de respaldo y recuperación

El Reglamento en el artículo 25 introduce una medida fundamental para

seguridad de los datos: el almacenamiento y conservación de las copias de

respaldo en lugar distinto al de los sistemas de información para que en caso de

incidencia grave o muy grave4 éstas no se vean afectadas.

Esta obligación se suele implementar contratando los servicios de

almacenamiento de seguros de terceros, como las cámaras acorazadas de los bancos

o los depósitos seguros de empresas especializadas.

Transmisión de datos por redes de telecomunicaciones

El reglamento, finalmente, determina en el artículo 26 que la transmisión de

datos de carácter personal de nivel alto a través de redes de telecomunicaciones

se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que

garantice que la información no sea inteligible ni manipulada por terceros.

Esto se consigue en la práctica mediante el establecimiento de privilegios y

permisos informáticos para actualizar, modificar, agregar o suprimir datos de carácter

personal así como quienes puedan autorizar la exportación de los ficheros

adicionales a los que implementan los sistemas operativos informáticos. Estas

medidas acostumbran a quedar reflejadas en el Manual de Tratamiento de Datos de

Carácter Personal de la Empresa si lo hay.





10

Notas al pie

Fichero automatizado: la LOPD lo define como “todo conjunto organizado de datos de carácter

personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y

acceso.”

Empresa: en toda la literatura relativa a protección de datos, el término global “Empresa” abarcaa la organización o conjunto de organizaciones responsables de los ficheros de datos de carácter

personal, con total independencia de su personalidad jurídica o física. Es decir, se hará referencia a la

Empresa como responsable de los mencionados ficheros sin tener en cuenta de si se trata realmente de

una empresa privada, Administración pública o incluso una persona física.

Autentificación: autentificación y autenticación son palabras completamente sinónimas según la

RAE, siendo autentificación un término más moderno y más empleado actualmente que autenticación .

Incidencias graves o muy graves: son calificadas de graves los accesos físicos no autorizados a

los sistemas de información haya o no manipulación de los mismos, por ejemplo, y muy graves las

catástrofes naturales, los incendios o los robos deliberados en los sistemas de información.

Bibliografía

Texto consolidado de la Ley Orgánica 15/1993, de 13 de Diciembre, de protección de datos de

carácter personal y Reglamento de Desarrollo de la LOPD aprobado mediante RD 1720/2007 – Agencia

Española de Protección de Datos

Texto consolidado del Reglamento de Medidas de Seguridad de los ficheros automatizados que

contengan datos de carácter personal aprobado mediante Real Decreto 994/1999 – Agencia Española de

Protección de Datos.

La protección de datos personales. Soluciones en entornos Microsoft. Versión 2.0 – Microsoft Ibérica

S.A. con la colaboración de la Agencia Española de Protección de Datos. Autores: J.M. Alonso, J.L. García,

Antonio Soto, David Suz, José Helguero, Mª Estrella Blanco, Miguel Vega y Héctor Sánchez.


Documents

FdeH - UT4.3 La aplicación de los niveles de seguridad de la LOPD en la informática