Fundamentos de hardware 1 ASIR / I.E.S.

Leonardo da Vinci, Albacete

ngel Villodre

Los niveles de seguridad de la LOPD

La Ley Orgnica 15/1999 de 13 de Diciembre, de Proteccin de Datos y en adelante LOPD regula el marco legal y el consiguiente desarrollo normativo de la proteccin de datos de carcter personal en Espaa con especial atencin a los derechos fundamentales del honor y la intimidad personal y familiar. Establece, por tanto, en lo concerniente a este tipo de datos y ficheros los derechos que los ciudadanos tienen sobre ellos y los deberes que han de cumplir quienes los crean o los consultan, con independencia del soporte en el que estos ficheros estn basados. Para ello, la LOPD clasifica los ficheros de datos de carcter personal en tres niveles de seguridad dependiendo tanto de la sensibilidad de la informacin recogida y consultada como de su medio de obtencin. Estos niveles son acumulativos: cada nivel incorpora sus medidas propias de seguridad ms las del anterior.

El nivel de seguridad bsico

El Documento de Seguridad
Este nivel de seguridad se encuentra recogido en los artculos 8 a 14 del RD 994/1999 por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carcter personal y pertenecen a este nivel de seguridad todos los ficheros automatizados1. Todo fichero debe tener un responsable del fichero de datos. El nivel de seguridad bsico es el pilar fundamental de toda la estructura de seguridad que establece la LOPD y su Reglamento de desarrollo. El primer paso que establece la legislacin es elaborar un Documento de Seguridad donde se tendrn que describir las medidas de seguridad que la Empresa haya tomado para el tratamiento sus ficheros de datos de carcter personal y que se encuentra orientado tanto a la Empresa2, como a los usuarios de los ficheros como a la posible intervencin de la Autoridad pblica. Este documento comprende seis apartados de inclusin obligatoria: 1 - Una relacin del mbito de aplicacin del mismo enumerando ficheros, equipamiento informtico utilizado para su tratamiento, aplicaciones informtica, red de comunicaciones y locales donde ser de aplicacin la normativa. 2 - Las medidas, normas y procedimientos de seguridad de acceso para el nivel de seguridad exigido. Aqu el documento debe indicar los procedimientos y normas de acceso fsico a los locales y de acceso lgico al sistema informtico. Dentro de estas ltimas, debe mencionar las medidas de seguridad contra ataques y vulnerabilidades de este como cortafuegos, cifrado de datos o antivirus; as como de

Fundamentos de hardware 1 ASIR / I.E.S. Leonardo da Vinci, Albacete

ngel Villodre

la relacin de permisos necesarios para emplear los sistemas de tratamiento de datos. 3 - La relacin completa de funciones y obligaciones del personal que accede a los ficheros de datos junto a sus niveles de autorizacin y permisos. Es muy importante que esta relacin est actualizada para reflejar los cambios de personal y se recomienda aadir una lista completa de todos los usuarios que acceden a los ficheros como Anexo al Documento de Seguridad. 4 - La estructura de los ficheros de datos de carcter personal y descripcin de los sistemas de informacin que los tratan, que normalmente consta de una parte expositiva y de otra ms concreta que se inserta como un Anexo al Documento de Seguridad en la que se especifican los nombres de las aplicaciones informticas que se emplean y la estructura de las tablas de las BBDD. 5 - Terminada la exposicin de todos los aspectos descriptivos y funcionales del acceso y modificacin de los ficheros de datos carcter personal, se pasan a describir los procedimientos de notificacin, gestin y respuesta ante incidencias donde la Empresa debe definir cmo debe responder el personal ante las incidencias que puedan surgir en los datos, en los sistemas informticos y en los locales donde se realiza el tratamiento de los ficheros. 6 - Por ltimo es necesario especificar los procedimientos de copias de respaldo y recuperacin de datos. Es necesario, por tanto, especificar en el Documento de Seguridad cundo, cmo y qu datos se respaldan as como los medios empleados para ello y el proceso de restauracin de copias. El Documento de Seguridad debe mantenerse constantemente actualizado y deber ser revisado siempre que se produzcan cambios relevantes en los sistemas de informacin o incluso en la propia organizacin de la empresa. Este documento deber ser distribuido, total o parcialmente, a todo el personal de la Empresa para su conocimiento y a disposicin de la Agencia Espaola de Proteccin de Datos, quien adems proporciona modelos de Documentos de seguridad.

Funciones y obligaciones del personal

El Reglamento establece que las funciones y obligaciones de cada una de las personas con acceso a los datos de carcter personal y a los sistemas de informacin que los tratan deben estar claramente definidas y documentadas. Esto se consigue en la prctica mediante el establecimiento de privilegios y permisos informticos para actualizar, modificar, agregar o suprimir datos de carcter personal as como quienes puedan autorizar la exportacin de los ficheros. Para ello, adems del preceptivo Documento de Seguridad, la Empresa suele distribuir un Manual de Tratamiento de Datos de carcter personal.

Fundamentos de hardware 1 ASIR / I.E.S. Leonardo da Vinci, Albacete

ngel Villodre

Registro de incidencias
El procesamiento de las incidencias consistir en un registro en el que se haga constar, de forma individualizada para cada suceso: Tipo de incidencia Momento en que se ha producido Persona que realiza la notificacin Persona a quien se le comunica Efectos que se hubieran derivado de la incidencia

El propsito de este registro es establecer por un lado un mecanismo fiable de notificacin y registro de incidencias y por el otro proporcionar un medio de estudio y aprendizaje para que la Empresa adopte las medidas necesarias para prevenir los daos y vulneraciones a los ficheros de datos. Esto se suele implementar mediante un software informtico de auditora de seguridad y un sistema de registro de notificaciones y actuaciones.

Identificacin y autentificacin3
Es necesario reconocer la identidad del usuario mediante un proceso de identificacin y comprobar la veracidad de la misma mediante otro de autentificacin para proporcionar el acceso a su nivel correspondiente de seguridad, normalmente empleando los mecanismos de cuentas y permisos del sistema operativo. El Reglamento establece que cuando el mecanismo de autenticacin se base en la existencia de contraseas existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad y se exige que los requisitos de complejidad y cambio peridico de las mismas figuren en el Documento de Seguridad. Tambin se admiten otros medios de identificacin, como los biomtricos basados en parmetros fsicos del usuario o en tarjetas inteligentes que contienen certificados digitales de seguridad.

Control de acceso
El responsable del fichero debe establecer unos mecanismos para evitar que un usuario pueda acceder a datos o recursos sobre los que no est autorizado. El Reglamento no determina qu mecanismos ni mtodos deben emplearse, pero lo habitual es emplear las herramientas basadas en listas de control de acceso de los propios sistemas operativos.

Gestin de soportes
El Reglamento establece que los soportes informticos que contengan datos de carcter personal debern permitir identificar el tipo de informacin que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el Documento de Seguridad. Slo el responsable del fichero podr autorizar la salida fsica de los soportes fuera de los locales de la Empresa o su exportacin por cualquier otro medio.

Fundamentos de hardware 1 ASIR / I.E.S. Leonardo da Vinci, Albacete

ngel Villodre

Copias de respaldo y recuperacin

Una competencia principal del responsable del fichero consiste en establecer un procedimiento de copias de respaldo de los datos de carcter personal con al menos una frecuencia semanal ms un proceso de recuperacin de las mismas que garantice la reconstruccin de los datos al estado anterior de la prdida junto a los mecanismos de verificacin de los procedimientos anteriores.

Fundamentos de hardware 1 ASIR / I.E.S. Leonardo da Vinci, Albacete

ngel Villodre

El nivel de seguridad medio

El nivel de seguridad medio comprende todas las medidas incluidas en el nivel bsico visto anteriormente ms las que especifica el Reglamento en los artculos 15 a 22 y que afectan a varias reas tratadas en el nivel anterior junto a otros requisitos nuevos propios de este nivel.

El Documento de Seguridad
A lo descrito en el nivel de seguridad bsico, el Reglamento aade el siguiente contenido al Documento de Seguridad: La identificacin del o los responsables de seguridad. Los controles peridicos para verificar el cumplimiento de lo dispuesto en el Documento de Seguridad. Las medidas de seguridad para la reutilizacin/destruccin segura de soportes.

El responsable de seguridad
Fija el Reglamento que el responsable del fichero designar uno o varios responsables de seguridad, que se encargarn del cumplimiento de las medidas, reglas y normas de seguridad establecidas por el responsable del fichero. Suele ser una persona con conocimientos de informtica o, en las organizaciones de mayor tamao, una labor coordinada de varios responsables de seguridad de los mbitos jurdico, informtico y gestin de la calidad dentro de la Empresa. Deben figurar en el Documento de Seguridad, adems de quines son los responsables de seguridad, sus obligaciones y funciones de forma detallada.

Auditora
En este nivel el Reglamento introduce la figura de la auditora, que interna o externa, debe verificar el cumplimiento de los procedimientos de seguridad de datos al menos cada dos aos. Adems, el informe de auditora debe dictaminar sobre el grado de adecuacin y cumplimiento de las medidas de seguridad proponiendo medidas correctoras en las reas donde sea necesario. Dicho informe ser analizado por el responsable de seguridad, quien a su vez elevar las conclusiones extradas al responsable del fichero para que adopte las medidas adecuadas. Todos estos informes, junto al de auditora, quedan a disposicin de la AEPD.

Identificacin y autentificacin
En esta apartado es obligatorio establecer un mtodo de identificacin inequvoco y personalizado a cada usuario que intente acceder a los sistemas de informacin y se limitarn los intentos de accesos no autorizados al sistema,

Fundamentos de hardware 1 ASIR / I.E.S. Leonardo da Vinci, Albacete

ngel Villodre

bloqueando si es preciso las cuentas de usuario involucradas en los mismos. Estas medidas deben recogerse en el Documento de Seguridad.

Control de acceso fsico

Adems, el Reglamento fija que debe haber un control de acceso fsico a las instalaciones del Centro de Procesamiento de Datos o equivalente de la Empresa, debiendo quedar reflejado en el Documento de Seguridad qu personas tienen acceso fsico a las instalaciones.

Gestin de soportes
Recogido en el artculo 20 del Reglamento, deber de implantarse un

sistema de registro de entrada de soportes informticos que permita, directa e indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el nmero de soportes, el tipo de informacin que contienen, la forma de envo y la persona responsable de la recepcin que deber estar debidamente autorizada. Por lo que, en el registro de entrada de soportes informticos donde se encuentren almacenados datos de carcter personal de nivel medio, debern constar: a) Tipo de soporte. b) Fecha y hora. c) Emisor. d) Nmero de soportes. e) Tipo de informacin que contienen. f) Forma de envo. g) Persona responsable de la recepcin que deber estar autorizada. Y en el correspondiente registro de salida: a) Tipo de soporte. b) Fecha y hora. c) Emisor. d) Nmero de soportes. e) Tipo de informacin que contienen. f) Forma de envo. g) Persona responsable del envo que deber estar autorizada.
Todos estos registros y el procedimiento de gestin de entrada y salida de los soportes deben quedar reflejados en el Documento de Seguridad junto a un modelo de las autorizaciones correspondientes. Las autorizaciones ya emitidas deben ser almacenadas junto al resto de documentacin relativa a los ficheros. Muy importante

Fundamentos de hardware 1 ASIR / I.E.S. Leonardo da Vinci, Albacete

ngel Villodre

es el apartado 3 del artculo 20 de adopcin de medidas para impedir cualquier recuperacin de informacin de un soporte que vaya a ser desechado.

Registro de incidencias
En el artculo 21 se aade la obligacin de consignar en el registro de incidencias, para este nivel de seguridad, los procesos realizados para la recuperacin de los datos indicando la persona que ejecut la misma, los datos restaurados y si procede, qu datos han tenido que ser restituidos manualmente. Ser necesaria la autorizacin por escrito del responsable de los ficheros para llevar a cabo operaciones de recuperacin de datos.

Prueba con datos reales

Las pruebas que se realicen antes o despus de la implantacin o modificacin de los sistemas de informacin que traten con ficheros de carcter personal no se realizarn con datos reales salvo que pueda asegurarse el conjunto de medidas aplicables al nivel de seguridad correspondiente.

Fundamentos de hardware 1 ASIR / I.E.S. Leonardo da Vinci, Albacete

ngel Villodre

El nivel de seguridad medio

Este nivel de seguridad corresponde a los datos de carcter personal ms sensibles y relevantes a la intimidad de la persona tales como la salud, las creencias religiosas y polticas o la filiacin sindical. Para ello, las medidas destinadas a proteger estos datos pueden resumirse en tres aspectos: La utilizacin de mecanismos de encriptacin y cifrado de los datos. El registro, control y almacenamiento de logs de accesos a los ficheros. El almacenamiento de copia de seguridad en ubicacin distinta.

Distribucin de los soportes

En el artculo 23 se obliga al cifrado de los datos de carcter personal de nivel alto durante las operaciones de distribucin de soportes, sea cual sea el supuesto de dichas operaciones de distribucin (operaciones de mantenimiento en los locales, actualizacin de los sistemas de informacin o distribucin autorizada de los datos) con el fin de que no pueda manipularse la informacin durante el transporte.

Registro de accesos
Esta es, con diferencia, la medida ms problemtica de adoptar en todo el proceso de adaptacin de los sistemas de informacin a la LOPD. Y es que en el artculo 24 del Reglamento se recoge la necesidad de establecer un registro individual para cada acceso a los datos donde figure: a) La identificacin del usuario, b) Fecha y la hora en que se realiz el acceso, c) Fichero accedido, d) Tipo de acceso: autorizado o denegado, e) Y en el caso que el acceso haya sido autorizado, ser preciso guardar la informacin que permita identificar el registro accedido dentro de cada fichero. Los mecanismos del registro de accesos estn bajo el control y la responsabilidad directa del responsable de seguridad competente. Estos registros deben almacenarse durante al menos dos aos y el responsable de seguridad debe revisarlos peridicamente y elaborar un informe donde recopile las revisiones y los problemas encontrados al menos una vez al mes, informe que debe aadirse al Documento de Seguridad. El volumen de datos que generan estos registros junto a la capacidad de proceso necesario para manejarlo supone un fuerte gasto econmico y de gestin enorme paras las Empresas que deben asumirlo, y sin embargo todas estas medidas son completamente obligatorias para este nivel de seguridad.

Fundamentos de hardware 1 ASIR / I.E.S. Leonardo da Vinci, Albacete

ngel Villodre

Copias de respaldo y recuperacin

El Reglamento en el artculo 25 introduce una medida fundamental para seguridad de los datos: el almacenamiento y conservacin de las copias de respaldo en lugar distinto al de los sistemas de informacin para que en caso de incidencia grave o muy grave4 stas no se vean afectadas. Esta obligacin se suele implementar contratando los servicios de almacenamiento de seguros de terceros, como las cmaras acorazadas de los bancos o los depsitos seguros de empresas especializadas.

Transmisin de datos por redes de telecomunicaciones

El reglamento, finalmente, determina en el artculo 26 que la transmisin de datos de carcter personal de nivel alto a travs de redes de telecomunicaciones se realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulada por terceros. Esto se consigue en la prctica mediante el establecimiento de privilegios y permisos informticos para actualizar, modificar, agregar o suprimir datos de carcter personal as como quienes puedan autorizar la exportacin de los ficheros adicionales a los que implementan los sistemas operativos informticos. Estas medidas acostumbran a quedar reflejadas en el Manual de Tratamiento de Datos de Carcter Personal de la Empresa si lo hay.

Fundamentos de hardware 1 ASIR / I.E.S. Leonardo da Vinci, Albacete

ngel Villodre

Notas al pie
Fichero automatizado: la LOPD lo define como todo conjunto organizado de datos de carcter personal, cualquiera que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y acceso. Empresa: en toda la literatura relativa a proteccin de datos, el trmino global Empresa abarca a la organizacin o conjunto de organizaciones responsables de los ficheros de datos de carcter personal, con total independencia de su personalidad jurdica o fsica. Es decir, se har referencia a la Empresa como responsable de los mencionados ficheros sin tener en cuenta de si se trata realmente de una empresa privada, Administracin pblica o incluso una persona fsica. Autentificacin: autentificacin y autenticacin son palabras completamente sinnimas segn la RAE, siendo autentificacin un trmino ms moderno y ms empleado actualmente que autenticacin. Incidencias graves o muy graves: son calificadas de graves los accesos fsicos no autorizados a los sistemas de informacin haya o no manipulacin de los mismos, por ejemplo, y muy graves las catstrofes naturales, los incendios o los robos deliberados en los sistemas de informacin.

Bibliografa
Texto consolidado de la Ley Orgnica 15/1993, de 13 de Diciembre, de proteccin de datos de carcter personal y Reglamento de Desarrollo de la LOPD aprobado mediante RD 1720/2007 Agencia Espaola de Proteccin de Datos Texto consolidado del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carcter personal aprobado mediante Real Decreto 994/1999 Agencia Espaola de Proteccin de Datos. La proteccin de datos personales. Soluciones en entornos Microsoft. Versin 2.0 Microsoft Ibrica S.A. con la colaboracin de la Agencia Espaola de Proteccin de Datos. Autores: J.M. Alonso, J.L. Garca, Antonio Soto, David Suz, Jos Helguero, M Estrella Blanco, Miguel Vega y Hctor Snchez.

10