MANUAL INTERNO DE SEGURIDAD
1. ANÁLISIS DE RIESGOS Y MEDIDAS DE SEGURIDAD.
1.1 ANÁLISIS DE RIESGOS
La aprobación del RGPD supone un cambio de paradigma en lo que respecta a la forma de gestionar internamente la protección de datos de cualquier empresa. En el anterior modelo normativo, el derivado de la Directiva 95/46/CE, la LOPD 15/1999 y su reglamento (RDLOPD), se establecían unas medidas de seguridad exigibles en base al nivel de seguridad de los datos personales tratados por los responsables y encargados del tratamiento.
En el modelo derivado del RGPD, las empresas deben realizar un análisis detallado de los riesgos derivados de estos tratamientos, y gestionar estos riesgos estableciendo las medidas de seguridad que determinen necesarias y razonables para el tratamiento de esos riesgos. Y ETTS lo ha llevado a cabo.
Además, el análisis de riesgos permite determinar si es recomendable, necesario u obligatorio designar en la empresa a un Delegado de Protección de Datos (DPD) así como determinar si es obligatorio realizar una Evaluación de Impacto de Protección de Datos (EIPD) sobre determinados tratamientos que supongan un elevado riesgo para los derechos y libertades de las personas.
El proceso de gestión de riesgos en materia de protección de datos se ha estructurado en las siguientes fases:
- Identificación del riesgo
- Evaluación del riesgo
- Tratamiento del riesgo
Una vez identificado y evaluado el riesgo, su tratamiento se han planteado cuatro posibilidades:
- Aceptarlo
- Transferirlo
- Mitigarlo
- Evitarlo
El objetivo del tratamiento del riesgo es el de situarlo en un nivel aceptable para el Responsable o Encargado del Tratamiento.
Si un riesgo no es lo suficientemente crítico para el Responsable, la medida de control puede ser aceptar el riesgo; es decir, ser consciente de que el riesgo existe y monitorizarlo. En cambio, si el riesgo representa una amenaza importante para la seguridad de la información se puede tomar la decisión de transferir, mitigar o evitar ese riesgo.
Al transferir un riesgo hacemos responsable a un tercero de administrar la posibilidad de que se produzca un impacto negativo (de que se materialice el riesgo). Generalmente, se transfiere un riesgo mediante seguros, garantías y/o contratos. Cuando se mitiga un riesgo se reduce la probabilidad de que éste ocurra y/o se atenúan sus consecuencias.
Finalmente, se evita un riesgo cuando se elimina la amenaza que lo causa. Esto puede llevarse a cabo protegiendo, más y mejor, los principales objetivos del tratamiento de datos personales de los posibles impactos negativos, así como modificando la planificación temporal o el alcance del tratamiento de datos personales para que el riesgo no se produzca.
Esta gestión de riesgos debe mantener el equilibrio entre los costes que tiene la actividad de control de los mismos, la importancia del tratamiento de datos para los procesos del Responsable o el Encargado y el nivel de criticidad del riesgo.
1.1.1 GESTIÓN DE RIESGOS Y DETERMINACIÓN DE LA APLICACIÓN DE MEDIDAS DE SEGURIDAD.
El Art. 32 del RGPD prevé que teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Responsable y el Encargado del Tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Y con este ánimo ETTS ha adoptado:
-
- Técnicas de seudonimización y cifrado de datos personales;
- Medidas que garanticen la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- Implantación de procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas que permitan garantizar la seguridad del tratamiento.
- Actuaciones periódicas de evaluación/análisis de riesgos presentes en el tratamiento;
Para ello se identifica la siguiente clasificación:
-
- Controles preventivos: acciones o medidas encaminadas a evitar y/o prevenir errores, omisiones e irregularidades en la intervención del usuario con el manejo del sistema de información y documentación en papel. Se convierten en la aplicación de medidas que permiten una actuación previa a la materialización del riesgo.
- Controles detectivos: detectan las vulnerabilidades del sistema y medidas aplicadas con posterioridad a su materialización. El control detectivo por excelencia es la auditoría. En cierta forma, sirven para evaluar la eficiencia de los controles preventivos.
- Controles correctivos: aquellos orientados a mitigar las consecuencias producidas por la materialización de las causas del riesgo en cualquiera de las áreas de tratamiento en las que se hayan materializado.
En función del tratamiento y sus riesgos asociados, se aplicarán unas u otras medidas de seguridad para aceptar, mitigar, transferir o eliminar el riesgo.
Se han propuesto, como medidas básicas para tratar los riesgos, las siguientes:
1.2 CONTROLES PREVENTIVOS
NORMATIVA DE SEGURIDAD DEL PERSONAL:
-
- Establecimiento de una normativa interna de seguridad, conocida por el personal interno y/o externo, que permite conocer y aplicar las medidas y procedimientos de seguridad.
CONTROL DE ACCESO
-
- El personal solamente tiene acceso a los recursos e informaciones necesarias para el desarrollo de sus funciones.
SISTEMAS DE IDENTIFICACIÓN Y AUTENTICACIÓN
-
- Uso de nombre de usuario y contraseña para el acceso a los sistemas de información.
- Claves de acceso individualizas y confidenciales.
- Acceso a las aplicaciones según el perfil autorizado a cada usuario.
- Modificación periódica de claves de acceso, mínimo una vez al año.
- Almacenamiento ininteligible de contraseñas.
GESTIÓN DE SOPORTES Y DOCUMENTOS.
-
- Medios para la identificación del tipo de datos que contienen los soportes de almacenamiento.
- Sistema de etiquetado.
- Inventario de soportes: altas y bajas de soportes.
- Previa autorización para la salida de soportes y documentos, fuera de locales del Responsable del Tratamiento.
- Soportes desechados o reutilizados: Sistema de destrucción de soportes que impida cualquier intento de recuperación posterior.
- Traslado de soportes requiere la adopción de medidas que impidan la sustracción, perdida o acceso indebido.
- Etiquetado que identifique la fecha de creación, destino y tipo de datos contenidos, comprensible para el personal autorizado.
- La distribución de los soportes se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que la información no sea accesible o manipulada durante su transporte.
COPIAS DE RESPALDO Y RECUPERACIÓN DE DATOS.
-
- Proceso de respaldo y de recuperación que permita recuperar y reconstruir los datos en caso de fallo del sistema informático.
- Designación de persona o entidad externa encargada.
- Realización mínima semanal.
- Para la correcta configuración del procedimiento de copias de seguridad, no se utilizan datos reales. En caso que fuera necesario, se realizará una copia de los datos previamente, y se adoptarán las medidas necesarias para no afectar a la confidencialidad, integridad y seguridad de los datos personales.
- Se conserva una copia de seguridad y respaldo en lugar diferente de donde se realizan y se encuentren los equipos informáticos que los tratan, utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.
- En el caso de tratarse de datos de categorías especiales, se mantiene una copia de seguridad fuera de las instalaciones de la empresa.
COORDINACIÓN DE PROTECCIÓN DE DATOS
Se ha designado un Coordinador de Protección de Datos, encargado de la llevanza y control del cumplimiento de la normativa en materia de protección de datos.
TELECOMUNICACIONES
Los datos que sean transmitidos a través de redes públicas o inalámbricas de comunicaciones electrónicas, en particular aquellos de categorías especiales de datos, se cifran para garantizar que la información sea inteligible y no se manipule por terceros durante la transmisión.
CONSERVACIÓN DE LOS DATOS
Se establecen periodos de conservación de los datos en función de la categoría del dato y sus finalidades. Así mismo, se establecen los mecanismos mediante los que se eliminarán los datos una vez haya vencido el plazo para su conservación, tanto para soporte electrónico como soporte papel.
DESTRUCCIÓN O BORRADO Y ADOPCIÓN DE MEDIDAS PARA EVITAR ACCESO A LA INFORMACIÓN
Los datos son destruidos o borrados de forma segura, en particular, cuando se desechan equipos o soportes (HDD, dispositivos USB, CD, etc.) por lo que, con anterioridad al reciclado o eliminación de los mismos, se ha procedido a su formateo, borrado y destrucción segura, de forma que sea imposible la recuperación de los datos almacenados en los mismos.
1.3 CONTROLES DETECTIVOS
IDENTIFICACIÓN Y AUTENTICACIÓN
Se ha establecido un mecanismo que limita la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
COPIAS DE RESPALDO Y RECUPERACIÓN DE DATOS
ETTS verifica cada 6 meses la correcta realización, funcionamiento y de recuperación de las copias de seguridad.
AUDITORÍA
Periódicamente, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someten a una auditoría interna o externa que verifica el cumplimiento de lo previsto en la normativa.
-
- Auditoría extraordinaria: En caso de cambios sustanciales en el sistema de información y de forma complementaria a las Evaluaciones de Impacto.
- El informe de auditoría se pronuncia sobre:
-
-
- Adecuación de las medidas y controles al RGPD y normativa nacional de aplicación.
- Identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.
- Incluir datos, hechos y observaciones en que se basen los dictámenes alcanzados
- Recomendaciones propuestas.
-
-
- Elevación de conclusiones a ETTS para la adopción de las medidas necesarias para la implantación de las mejoras.
REGISTRO DE INCIDENCIAS
-
- Implantado un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal.
- El contenido del Registro es:
-
-
- Tipo de incidencia,
- Momento en que se ha producido, o detectado,
- Persona que realiza la notificación,
- Destinatario de la comunicación,
- Efectos derivados de la incidencia,
- Medidas correctoras aplicadas.
-
REGISTRO DE ACCESOS
-
- De cada acceso a los datos de carácter personal especialmente protegidos en soporte informático se registra:
-
-
- Identificación del usuario.
- Fecha y hora en que se realizó.
- Dato accedido.
- Tipo de acceso.
- Si ha sido autorizado o denegado. En caso de ser autorizado, se guarda la información que permite identificar el registro accedido.
-
-
- No está permitida la desactivación de los registros de acceso instalados. Los datos contenidos en el registro se conservarán como mínimo 2 años.
- El Registro es controlado por el Responsable del Tratamiento, su Responsable de Sistemas/IT, su Coordinador de Protección de Datos o, en su caso, Delegado de Protección de Datos.
- Los registros y la información contenida se revisan periódicamente, elaborando el correspondiente informe de las revisiones realizadas y los problemas detectados.
1.4 CONTROLES CORRECTIVOS
COPIAS DE RESPALDO Y RECUPERACIÓN DE DATOS
-
- Procedimientos para la recuperación de los datos que garantizan en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
REGISTRO DE INCIDENCIAS
-
- Se incluyen en el Registro de Incidencias los procedimientos de recuperación de los datos, indicando:
-
-
- Persona que ejecutó el proceso,
- Datos restaurados,
- En su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.
-
-
- Se requiere de la autorización de ETTS para ejecución de los procedimientos de recuperación de los datos.
1.5 MEDIDAS APLICABLES A TRATAMIENTOS EN PAPEL
CRITERIOS DE ARCHIVO | El archivo de soportes o documentos se realiza de acuerdo con criterios que garantizan la correcta conservación de los documentos, localización y consulta de información, así como posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. |
DISPOSITIVOS DE ALMACENAMIENTO | Los armarios, archivadores u otros elementos en los que se almacena documentación en papel con datos de carácter personal se encuentran en áreas en las que el acceso está protegido con puertas dotadas de sistemas de apertura mediante llave. Las áreas permanecen cerradas cuando no es preciso el acceso a los documentos incluidos en el fichero. |
CUSTODIA DE LOS SOPORTES | Cuando la documentación con datos personales está fuera del lugar de almacenamiento ore star en revisión /tramitación, ya sea previo o posterior a su archivo, el usuario que se encuentra al cargo de la misma la custodia e impide en todo momento el acceso a ella por persona no autorizada. |
DESTRUCCIÓN DE SOPORTES | La destrucción de las copias o reproducciones se realiza utilizando una destructora de papel y/o mediante la contratación de una empresa externa que se encarga de estas labores, y que emite un certificado acreditando la destrucción. |
ACCESO A LA DOCUMENTACIÓN | El acceso a la documentación en soporte papel se limita exclusivamente al personal autorizado. |
TRASLADO DE DOCUMENTACIÓN | Siempre que se procede al traslado físico de la documentación se adoptan las medidas dirigidas a impedir el acceso o manipulación de la información. |