MEDIDAS DE SEGURIDAD Identificacin y Autenticacin: 1.- Tener una lista Actualizada de usuarios que utilicen el sistema 2.

- Procedimientos de identificacin y autenticacin informticos: a) Contraseas: procedimiento de creacin, asignacin, conservacin y cambio peridico b) Identificacin de usuario, de manera inequvoca y personalizada c) Limitacin de acceso incorrecto reiterado Control de Acceso: 1.- Los usuarios tendrn nicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento 2.- Debern implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario 3.- Control de acceso fsico a servidores y CPD 4.- De cada acceso se guardarn: identificacin usuario, fecha y hora, fichero accedido, tipo de acceso y su autorizacin o denegacin, guardando la informacin que permita identificar registro accedido 5.- Los mecanismos de acceso estarn bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivacin

Gestin de Soportes: 1.- Identificacin, inventariado y almacenamiento 2.- Autorizacin necesaria para salida de soportes 3.- Cifrado de soportes en caso de operaciones externas de mantenimiento 4.- Medidas y procedimientos para la destruccin de soportes 5.- Registro de Entrada de Soportes 6.- Registro de Salida de Soportes

Ficheros Temporales: Aplicacin de mismo nivel de seguridad que fichero origen (art.7). Registro de Incidencias: 1.- Contenido mnimo: tipo de incidencia, momento en que se produce, efectos producidos,

MEDIDAS DE SEGURIDAD persona que comunica, medidas adoptadas (art.10). 2.- Contenido adicional: Procedimiento de restauracin de datos, datos restaurados y datos grabados manualmente (art.21.1) Procedimientos de Copias de Respaldo y Recuperacin datos: 1.- Debern garantizar la restauracin de los datos al momento anterior a producirse la prdida (art.14.2). 2.- Realizacin de copias de backup al menos con una frecuencia semanal (art.14.3). 3.- Necesaria autorizacin para la ejecucin de procedimientos de restauracin de datos (art.21.2). 4.- Almacenamiento externo de copias y procedimientos de restauracin de datos (art.25). Pruebas con datos reales: Aplicacin de mismas medidas segn nivel de seguridad de los datos (art.22). Actualizacin y Auditoria: 1.- Revisin y actualizacin del Documento de Seguridad en funcin de cambios relevantes en la Organizacin (art.8.3). 2.- Auditoria cada 2 aos. Conservacin de Informe a disposicin AEPD (art.17). 3.- Revisin peridica de la informacin de control de los accesos informticos a ficheros y aplicaciones (art.24.5). Medidas especficas para datos en soporte papel: 1.- Control de acceso a la documentacin. 2.- Medidas de conservacin y almacenamiento. 3.- Procedimientos y mecanismos de destruccin que impidan posterior recuperacin de la informacin que contienen.

e) Definiciones:

El Reglamento 994/1999 incorpora una serie de definiciones sobre los conceptos en los que se basan las medidas de se

Sistemas de informacin: Son el conjunto de equipos, programas, ficheros automatizados y soportes empleados para tratamiento de datos.

Usuario: Sujeto o proceso autorizado para acceder a los datos o recursos. Toda persona autorizada que accede a los d funciones laborales. Recurso: Cualquier componente del sistema de informacin, materiales (equipos) o inmateriales (carpetas de red).

Accesos autorizados: Autorizaciones concedidas a un usuario para la utilizacin de los diversos recursos. Comprend lgicos (equipos/red) y accesos fsicos.

Identificacin: procedimiento de reconocimiento de la identidad de un usuario. Puede ser fsica (a travs de datos bio (nombre de usuario).

Autenticacin: procedimiento de comprobacin de la identidad de un usuario. El uso de contraseas asociadas a nom considera jurdicamente vlido a los efectos de cumplir con los requisitos de identificacin y autenticacin.

Control de acceso: mecanismo que, en funcin de la identificacin ya autenticada, permite acceder a datos y/o recurs

Contrasea: Informacin confidencial, constituida por una cadena de caracteres, que puede ser usada en la autentica

 Incidencia: Cualquier anomala que afecte o pueda afectar a la seguridad de los datos (lgica y fsica).

Soporte: objeto fsico susceptible de ser tratado en un sistema de informacin y sobre el cual se pueden grabar o recu

Responsable de seguridad: Persona o personas a las que el Responsable del Fichero ha asignado formalmente la func controlar las medidas de seguridad aplicables. Copia de respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperacin.

2.- Plazos de implantacin de las Medidas de Seguridad.

El Reglamento establece, en su Disposicin Transitoria nica, los plazos para la implantacin de estas medidas de seg lmite mximo para su adecuacin en funcin del nivel de seguridad de los ficheros de datos; as: - Nivel Bsico: 26 de marzo de 2000. - Nivel Medio: 26 de junio de 2000. - Nivel Alto: 26 de junio de 2002.

Adems, se estableca un plazo de 3 aos para la adecuacin de los sistemas de informacin que no permitan tecnolg concretas medidas de seguridad. Este plazo tambin ha quedado vencido.

Actualmente, cualquier empresa puede poner en marcha las medidas de seguridad para ficheros de nivel bsico y ciert medio, sin que ello suponga realizar fuertes inversiones econmicas, puesto que:

1.- Los equipos informticos incorporan unidades/hardware que permiten la generacin de copias de seguridad (por e o DVDRW).

2.- Pueden adoptarse normas y procedimientos de calidad para la utilizacin de sistemas informticos, gestin de inci entrada y salida de soportes informticos, etc...

3.- Los sistemas operativos y aplicaciones informticas nos permiten la configuracin de herramientas de control de a seguridad, implantacin de perfiles y sistemas de autenticacin de usuarios. En la pgina web de Microsoft TechNet se encuentran recursos tcnicos y documentos que proporcionan informacin configuracin de las herramientas del panel de control en entornos operativos Windows; as como una gua para la Proteccin de Datos en entornos Windows.

3.- Medidas aplicables a los diferentes Niveles de Seguridad.

El Reglamento establece en los arts.5, 6 y 7 medidas de seguridad que se aplican independientemente del nivel de segu tratados. Estas medidas son las siguientes: a) Acceso a travs de redes de telecomunicaciones (art.5).

El Reglamento establece que las medidas de seguridad exigibles para el acceso a travs de redes de telecomunicacione nivel equivalente al correspondiente a los accesos en modo local.

As, en funcin del nivel de seguridad, debern adoptarse medidas de seguridad que garanticen la disponibilidad de la informacin) as como medidas de identificacin y autenticacin inequvoca y personalizada para los accesos que real de redes de telecomunicaciones. b) Rgimen de trabajo fuera de los locales de la ubicacin del fichero (art.6).

Establece el Reglamento que deber estar expresamente autorizado por el responsable del fichero la ejecucin de trata fuera de la ubicacin principal, garantizndose en todo momento el mismo nivel de seguridad. c) Ficheros Temporales (art.7).

Se establece que los ficheros temporales debern cumplir el mismo nivel de seguridad que el fichero del tienen origen destruccin o borrado seguro cuando haya dejado de ser necesario para la finalidad que motiv su creacin.

Para la LOPD, tendrn la consideracin de ficheros temporales las extracciones puntuales de datos que se realicen de l carcter personal para atender o dar cumplimiento a determinadas finalidades concretas y comunes de gestin y admin el responsable del fichero.