5 buenas y sencillas prácticas en materia de Protección de Datos
A pesar de que pueda parecer complejo, cumplir con la norma en materia de protección de datos en lo que a temas técnicos se refiere, puede ser más simple de lo que parece. Vamos a intentar resumir en un breve esquema algunas buenas prácticas relacionadas con el cumplimiento LOPD. Evidentemente no son todas las medidas de seguridad posibles, pero si que relacionamos las más simples de implementar en cualquier entidad. Dejamos para otra entrada las relacionadas con las telecomunicaciones u otros sistemas más complejos de gestión.
- Un usuario, una contraseña. Aunque simple, esta es una premisa que no siempre se cumple. No es raro ver organizaciones con una contraseña por departamento de la que todos los usuarios tienen conocimiento. El hecho de no disponer de una contraseña por usuario, dificulta la trazabilidad en caso de incidencia, al no distinguirse los usuarios en los diferentes logs de actividad. Huelga decir que se contraviene el espíritu de la norma:“Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado….”
Es corriente también encontrarse con contraseñas que perduran en el tiempo y no tienen establecidos procedimientos de caducidad. Un protocolo aceptable (a concretar en cada caso) sería el de establecer un tiempo máximo de 45 días para el cambio de contraseñas. No hay que olvidar tampoco la calidad de las mismas: no han de ser fácilmente deducibles, alfanuméricas, al menos 8 caracteres, etc.
- Copias de seguridad. A estas alturas, todavía muchas estructuras no disponen de un adecuado sistema de copia de seguridad. ¿Cual es la mejor solución? Sin duda, la que mejor se adapte a cada entidad. En algunos casos, una copia disco a disco será suficiente, en otros será conveniente contar con algún sistema de backup externo. Eso depende de cada caso en concreto. Las indicaciones generales serían: fácil sistema de recuperación en caso de incidencia (es para lo que sirven), gestión simple y posibilidad de registro de la actividad.
- ¿Internet? Si, pero… Siempre están los peros. No se concibe hoy día una empresa sin actividad a través de la red: accesos a bancos y cajas, correo electrónico, web corporativa. El conceder permisos a los usuarios o no para el acceso a las diferentes redes, es una potestad del responsable de fichero, quién ha de evaluar cada perfil y determinar las necesidades. Posiblemente no todos los usuarios tengan porqué tener acceso a Internet. Otro aspecto a controlar, es el acceso a los diferentes servicios de la red. Es conveniente determinar que servicios o webs son de utilidad para la empresa y nuestros usuarios y de estar forma establecer una plantilla de conexiones adecuada. Podemos limitar a ciertos bancos o a estamentos oficiales el acceso de un usuario, que por sus labores tenga que usar estos servicios, pero no permitirle acceso a otras webs (periódicos, redes sociales, etc) .
- Permisos de usuario. No todos los usuarios tienen que tener acceso a todo. Desde almacén no tienen porqué tener acceso a los datos de contabilidad o desde administración no tienen porqué tener acceso a los datos de RRHH. Esto tan sencillo no siempre se cumple. Es importante hacer una labor de revisión de los perfiles y sus permisos para poder determinar que accesos les son necesarios o no.
-
Dispositivos extraíbles. Otro gran agujero de seguridad, junto con el correo electrónico. La posibilidad de almacenar información en soportes extraíbles y portátiles, es un aspecto que la entidad ha de valorar con mucho cuidado. Permitir el uso de estos dispositivos, puede suponer dejar al alcance del usuario la posibilidad de copiar completamente nuestro servidor o nuestros datos en un soporte que cabe en un bolsillo. La gestión de los permisos de usuario , sus accesos al servidor o a la aplicación que gestione nuestros datos, se ha de realizar con extremo cuidado para evitar salidas de datos no deseadas. De igual forma, hemos de controlar el correo electrónico, pues la posibilidad de enviar ficheros adjunto, permite que la salida de datos se puede dar de forma sencilla.
Artículos relacionados
abril 14th, 2010 at 10:58
Estoy siempre de acuerdo en implantar medidas de seguridad en las empresas. De hecho, es uno de mis argumentos de venta.
Pero las medidas deben ser proporcionadas a la información que protegen y, por encima de todo, ágiles. No pueden entorpecer el funcionamiento de la empresa.
Para la mayor parte de los usuarios de PYMES que solo acceden a documentos públicos o de muy poca importancia y que no guardan en sus equipos datos de terceros, cambiar la contraseña cada 45 días me parece una barbaridad. Y si el nivel de la contraseña es alto, un problema.
Creo que hay que ser más exigente cuando los datos lo merecen, y mucho más permisivo cuando no es así. El resto del post me parece muy bien, pero creo que con lo de las contraseñas te has pasado bastante porque no es operativo.
Más vale que las medidas sean más sencillas y se cumplan a que sean “extraseguras” y todo el mundo se las salta porque son un latazo.
abril 14th, 2010 at 11:17
Ante todo, muchas gracias por tu comentario Fernando.
Como indicamos en el post el tiempo de cambio de las contraseñas, tendrá que estar acorde con la sensibilidad de los datos a tratar y la estructura. En estas cosas, como en todo, cada cual tiene su libro de estilo y si bien está claro que no se puede poner un tiempo de cambio de 30 días para la agenda corporativa.. no está de más ser proteccionista en estos temas.
En todo caso, la valoración de la política la ha de realizar la estructura.
Saludos.