Skip to content

Seguridad de la información y robo del portátil del Fiscal Anticorrupción de Murcia.

Artículo publicado en Legitec.

Ayer se podía leer en todos los medios de comunicación la noticia sobre el robo del ordenador personal del Fiscal Anticorrupción de Murcia, dicho equipo estaba en su casa, donde se produjo el robo. Algunos nos han preguntado qué medidas de seguridad debía tener implantadas el Fiscal para disponer de esa información en su domicilio.

El Reglamento 1720/2007 de Protección de Datos de Carácter Personal establece las medidas de seguridad mínimas que deben aplicarse para tratar información que pueda contener datos personales. Se clasifican en 3 niveles acumulativos (básico, medio y alto), atendiendo a la naturaleza de la información tratada y a la necesidad de una menor o mayor garantía de confidencialidadintegridad y disponibilidad de la información y seguridad de los datos.

En el caso de datos de nivel alto, las medidas a adoptar ante la salida de equipos informáticos de la sede de trabajo son las siguientes:

  • Inventariado previo de los equipos que salgan de las instalaciones y responsable del mismo.
    • Ningún soporte no autorizado (inventariado) puede utilizarse para copiar información con datos personales. De esta forma se mantiene un control de los soportes susceptibles de contener información sensible y las medidas de seguridad que se les aplican.
  • Autorización para trabajar fuera de la sede junto a la autorización para la salida del equipo. Esta autorización podrá ser puntual, para un soporte y un momento concreto, o habitual, para una salida periódica.
    • Nadie que no tenga una autorización por el responsable debería poder sacar soportes con información.
  • Registro de salida del equipo informático, determinando el tipo de soporte, fecha y hora, tipo de información que contienen, forma de salida y persona responsable que deberá estar debidamente autorizada.
    • Esto permite conocer quién se hizo responsable durante el transporte y custodia del equipo o soporte con la información y cuándo salió.
  • Cifrado de datos.
    • Los soportes que contengan datos personales deben estar cifrados de forma que si caen en manos no autorizadas no puedan tener acceso real a la información, manteniendo la confidencialidad.
  • Realización de copias de seguridad como mínimo semanalmente, conservando una de ellas en un lugar diferente a la sede de trabajo.
    • Al disponer de copias de seguridad, mantenemos la disponibilidad de la información, aún en caso de pérdida o deterioro.
  • Establecer una contraseña compleja en el equipo que deberá ser modificada periódicamente.
    • La contraseña de acceso al equipo y/o la información, evita el acceso no permitido y por lo tanto preserva la confidencialidad de la información, y evita pérdidas de integridad (modificaciones por terceros).

Aplicando estas medidas al caso concreto que indicamos al principio del artículo, su implantación efectiva permitiría saber cuándo salió la información de la fiscalía y que información contenía, así como quién fue el responsable de sacar la información. Igualmente, aunque no impediría la pérdida del portátil, si que limitaría sus repercusiones al dificultar el acceso mediante una contraseña compleja, y aún si se hubiere conseguido el acceso al mismo, al estar cifrada la información, se mantendría la confidencialidad. Las copias de seguridad adecuadas y periódicas permitirían por su parte que la pérdida del equipo no suponga una pérdida real de información al poder ser recuperada de las copias.

Hoy en día existen otras medidas no reguladas, como el borrado remoto (posible solo si el dispositivo cuenta con conexión a internet) que hacen que sea todavía más seguro mantener información confidencial en equipos informáticos fuera de las instalaciones del responsable. Igualmente cabe pensar que el equipo que se utilice sea del propio trabajador y no de la entidad dónde trabaja (BYOD, del inglés Bring Your Own Device). En este caso el trabajador deberá acordar con la entidad la implantación de unas medidas de seguridad que garanticen la integridad, seguridad y confidencialidad de la información. Dicho acuerdo es aconsejable que esté documentado, de forma que se limiten y designen las responsabilidades sobre la custodia de la información. Estas medidas son similares a las citadas anteriormente.

Artículo redactado con mi compañera María Herrera, de quién aprendí todos los aspectos legales de la protección de datos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s