En mi anterior post finalicé con el conjunto de controles de tipo físico y comenzamos en este con los de los tipos administrativos y técnicos (o lógicos, como prefiráis llamarlos).
Las medidas organizativas o también medidas administrativas, son las que tienen que ver con la gestión de la seguridad de la información, consistentes: en la asignación a las personas de responsabilidades y roles en materia de seguridad, en la promulgación de documentos, empezando por una política de seguridad de la información, en la confección de procedimientos, que suelen agruparse en un “manual de seguridad”, en la ejecución de programas de seguridad conforme a un plan establecido.
Dentro de los procedimientos que se redacten y establezcan estarán los que se refieren a las medidas de seguridad para la continuidad de las operaciones, éstas son el conjunto de controles que se aplican a las diferentes actividades de un proceso informático, como por ejemplo los procedimientos para realizar copias de seguridad de la información, para gestionar y controlar los soportes, distintas especificaciones de uso de los equipos, para el trabajo en red, etc.
También dentro de esta categoría de medidas se encuentran las encaminadas a la formación y concienciación del personal, encaminadas a inculcar una actitud mental, por la cual el individuo es consciente de la existencia de un sistema de seguridad de la información, en nuestro caso centrado en la protección de datos de carácter personal, en el que le corresponden ciertas tareas y también a alertar en cada caso sobre la responsabilidad ante el incumplimiento de las medidas establecidas. También son las medidas tomadas para la instrucción del personal en el uso de los distintos mecanismos de seguridad a utilizar.
Hemos mencionado “copias de seguridad” o “gestión y control de soportes”, no debemos confundir una medida organizativa o administrativa con el resto de medidas, las técnicas o las físicas. Por ejemplo, deberemos contar en nuestro sistema de seguridad con una medida de backup que puede consistir en la instalación de una aplicación informática y por tanto es una medida técnica, pero para usar esa medida hay que configurar la aplicación conforme a un “procedimiento de realización de copias de seguridad”, e incluso tener en cuenta procedimientos para la destrucción de las copias realizadas y para su restauración en el sistema en su caso, y esos procedimientos son medidas organizativas o administrativas.
Prácticamente todos los artículos del Título VIII del Reglamento, desde el 80 al 114 nos obligan a medidas administrativas:
- De la serie de artículos del 80 al 88, digamos que solo el 85 y el 87 pueden no implicar alguna medida de tipo administrativa u organizativa, aunque pueden establecerse procedimientos, pero lo normal será que se adopten medidas técnicas para los ficheros y datos automatizados que aseguren el que el acceso a través de redes de telecomunicaciones se realice conforme a lo establecido para los diferentes niveles de criticidad, y que los ficheros temporales y copias con datos se traten como los ficheros desde los que se originan.
A partir de aquí (del art. 88), los artículos ya se aplican en función del nivel de seguridad de los datos y de la naturaleza automatizada o no de los ficheros y tratamientos, y concretamente los de naturaleza no automatizada (del artículo 105 al 114) lógicamente solo implicarán controles administrativos y físicos.
- Los artículos 80 y 81, referidos a los niveles de seguridad y su aplicación, diría que dan lugar exclusivamente a medidas administrativas pues se trata de que en la organización se establezcan unos procedimientos para clasificar la información adecuadamente en función de su criticidad y que el resto de medidas de seguridad tengan en cuenta el grado otorgado. En consecuencia, después, la información, datos o ficheros, ha de ser etiquetada conforme su grado de clasificación de manera inequívoca y de ello tratan los artículos 92, 97 y 101 relativos a la gestión de soportes y documentos. Claro el etiquetado ha de ser adecuado al tipo de soporte y ha de realizarse conforme a un procedimiento (art. 92 puntos 1 y 5 y art. 101 punto 1).
- El artículo 82. “Encargado del tratamiento”, implica unos procedimientos muy formales, la formulación de contratos entre “responsable y encargado” y también se menciona el documento de seguridad del que posteriormente trata el artículo 88.
También el artículo 83 “Prestaciones de servicios sin acceso a datos personales”, implicará en según que circunstancias un contrato.
También dan lugar a establecer otro tipo de procedimientos en relación con las obligaciones y responsabilidades del personal, como “escoltas”, “identificación”, etc.
- El artículo 84, “delegación de autorizaciones”, no puede ser implementado más que mediante procedimientos administrativos, y lo mismo ocurre con el 86, “régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento”, y con el 88 relativo al “documento de seguridad” por tratarse de la elaboración de dicho documento.
- Todo lo relativo a funciones y obligaciones del personal que se establece en los artículos 89, 95, 105 y 109 (incluyendo aquí lo concerniente al responsable de seguridad) dan pie a controles administrativos, como segregación de funciones y formación del personal.
- Del “registro de incidencias” que tratan los artículos 90 y 100, se desprenderán controles administrativos que pueden ser reforzados con controles técnicos, y lo mismo ocurre con las medidas de “gestión de soportes y documentos” (art. 92, 97 y 101), y con las medidas de “copias de respaldo y recuperación” (art. 94 y 102).
- La auditoría, como medida de seguridad es absolutamente una medida administrativa.
- Todo lo relativo al control de “acceso lógico” (art. 91 y 103) y al control de “identificación y autenticación” (art. 93) se implementa mediante controles lógicos aunque éstos para su operación y configuración han de basarse en decisiones y en procedimientos previamente adoptados, por lo que de alguna manera también implican gestión, alguna medida administrativa.
Lo mismo ocurre con la encriptación de las telecomunicaciones (art.104).
- Por último el artículo 99, trata del control de “acceso físico”, que lógicamente se implementará en base a unas medidas físicas, pero requiere también de medidas administrativas (como por ejemplo si interviene una empresa de servicios).
Como podéis ver los controles administrativos suelen actuar como “soporte vital” de medidas de seguridad más tangibles, medidas técnicas y medidas físicas, por eso en adelante iré mezclando los controles administrativos y los de tipo técnico. Por hoy ya basta, solo os incluyo un controlito para que continuéis vuestra colección.
DOMINIO: | 1.- Funciones y obligaciones. |
CONTROL: | 1.7.- Garantías por parte de terceros implicados. |
TIPO DE CONTROL: | Medida administrativa. |
Objetivos de control: |
|
1. Asegurar que se mantiene la seguridad y lo estipulado en el “documento de seguridad” para todos los ficheros y tratamientos cuando son accedidos y manejados por un tercero en calidad de “encargado del tratamiento”. 2. Asegurar que los riesgos del acceso y manejo de datos personales por parte de terceros se consideran en el documento de seguridad del fichero o tratamiento, y a la hora de formular los requisitos de seguridad. | |
Descripción del control: |
|
En el documento de seguridad del fichero o tratamiento deberá constar:
Se elaborará (obligatoriamente) un contrato con todo tercero que en calidad de encargado del tratamiento acceda a fichero alguno o realice tratamientos por parte del responsable del fichero. En el contrato figurarán en todo caso:
Se redactará un procedimiento para asegurar que los documentos se revisan para comprobar que se cumple este control, y para verificar que están debidamente actualizados. |
|
Observaciones: |
|
Antecedentes: Artículos 82 y 105 del Reglamento de Protección de Datos. |