guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Medidas de seguridad de la informació...

Medidas de seguridad de la información (Protección de Datos)

Por medidas de seguridad podemos entender todas aquellas medidas que persiguen, no solo garantizar la seguridad de la información, sino también individualizar las responsabilidades en caso de vulneración.

Proteccion de Datos Personales
Protección de datos

¿Cuál es el régimen aplicable a las medidas de seguridad?

La Ley de Moore expresa que aproximadamente cada dos años se duplica el número de transistores en un microprocesador, lo que puede darnos una idea de la velocidad a la que aumenta la tecnología, y así la dificultad de su seguridad. Si bien es cierto que la garantía de la seguridad total de los datos personales es una utopía, una cultura de cumplimiento y establecimiento de medidas de seguridad reducirá notablemente los riesgos. La seguridad es, por tanto, clave para garantizar el derecho fundamental a la protección de datos.

Las medidas persiguen, no sólo garantizar la seguridad de la información, sino también permitir individualizar las responsabilidades. En este sentido, cabe recordar que los costes de implementar medidas de seguridad pueden ser mínimos comparados con los costes producidos por una vulneración, ya por sanciones o por pérdida de reputación corporativa.

Algunas de las principales fuentes que podemos utilizar para establecer un catálogo de medidas de seguridad son el Esquema Nacional de Seguridad (ENS), la ISO 27001 y los informes y recomendaciones de la Agencia Europea de Seguridad de las Redes y Sistemas de Información (en inglés, European Network and Information Security Agency, ENISA).

El ENS fue desarrollado por el Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad. Esta norma establece los principios básicos, los requisitos mínimos y las medidas de seguridad con las que tienen que cumplir los sistemas de información de las Administraciones Públicas en nuestro país.

La ISO 27001 es la principal norma internacional en materia de seguridad de la información y certificarse de acuerdo a este estándar permite establecer una metodología de gestión de la seguridad clara. En conclusión, un sistema de gestión de la seguridad de la información (SGSI) no implica solo al equipo de sistemas o de seguridad TI de una organización, sino que será una labor de los diferentes departamentos de la empresa, desde recursos humanos, sistemas, marketing, operaciones, jurídico, etc. Además, es imprescindible contar con el apoyo de la alta dirección, pues en muchas ocasiones, la implantación o mejora de un SGSI conlleva cambios en la cultura empresarial que deben ser implementados en todas las capas de ésta.

ENISA, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea, tiene como principal objetivo contribuir a la seguridad cibernética en la Unión Europea. Está centrada principalmente en seguridad en cloud y big data, infraestructuras críticas y respuesta a incidentes. Igualmente emite opiniones sobre medidas de seguridad en protección de datos.

¿Cuáles son los conceptos relacionados con las medidas de seguridad?

Como ya ha sido adelantado, en materia de seguridad de la información las medidas se organizan en torno a los conceptos de integridad, confidencialidad, disponibilidad y resiliencia. Estos conceptos están muy relacionados entre ellos y las medidas de seguridad que garanticen uno podrán también garantizar otros:

  • La confidencialidad es la cualidad de la información de estar únicamente accesible a personas o sistemas autorizados. La información se mantendrá secreta cuando se establezcan procedimientos adecuados de identificación y autentificación de usuarios, controles de acceso físico y lógico y contraseñas robustas modificadas periódicamente.
  • Relacionado con el concepto de confidencialidad, la integridad implicaría que los datos de carácter personal no se alteren y se mantengan sin modificaciones. Principalmente consiste en proteger las bases de datos mediante técnicas de cifrado, pero también administración de permisos para realizar modificaciones en el sistema informático de la organización.
  • La disponibilidad de la información refleja la capacidad de acceso a la información inmediato a aquellos que cuenten con autorización. Una medida para que la información esté siempre disponible es establecer un procedimiento de copias de respaldo y recuperación de datos. Además, un adecuado inventario de la documentación, soportes físicos y descripción del sistema de información contribuye a la correcta organización y funcionamiento empresarial.
  • La resiliencia es, por último, la capacidad de un sistema de información de continuar funcionando a pesar de todas las incidencias que pudiera sufrir. Este concepto está relacionado con los planes de continuidad de negocio. Por ejemplo, el duplicado de todos los sistemas de información de una organización en otras instalaciones o en otros servidores.

¿Cómo nos pueden ayudar las medidas de seguridad?

La informática es una ciencia que va de la mano de la protección de datos. Si bien es cierto que los juristas nos quedamos a menudo en la parte legal, un mínimo conocimiento sobre medidas de seguridad informáticas podría ayudarnos a reforzar la seguridad en nuestra organización.

Si nos queremos adentrar un poco más en la seguridad informática, debemos saber que existen protocolos de comunicación entre ordenadores que deben estar protegidos. El utilizado en la actualidad, el TCP/IP, se divide en capas y nació de un proyecto del departamento de defensa americano para conectar ordenadores entre ellos.

Para proteger esta red informática habría que empezar por la base, la protección de los cables o la red inalámbrica a través de la que circulan los datos. Se puede en segundo lugar bloquear a determinados usuarios para que no accedan a nuestra red, por ejemplo, creando un VLAN (virtual local area network), una red privada en nuestra organización, sobre la que aplicaremos cortafuegos y medidas de seguridad. A un nivel superior podemos proteger las comunicaciones, como los emails, mediante protocolos de cifrado y autenticación. El más conocido y utilizado actualmente para el envío de emails es SSL. El último nivel de protección es el más cercano al usuario, pongamos el ejemplo del protocolo "https" que permite una comunicación segura entre el servidor y el usuario.

La seguridad de las redes informáticas es competencia del personal informático, pero no por ello debemos dejar de tener unas nociones básicas. A un nivel más usuario, y relacionado con nuestras competencias como juristas, debemos garantizar la seguridad de nuestra página web corporativa o nuestro e-commerce. Para ello es importante contratar con un proveedor de hosting fiable que nos asegure que realiza actualizaciones en sus sistemas. Es importante también que el gestor interno de nuestra empresa utilice una contraseña de acceso segura y desde ordenadores de confianza, así como mantener políticas de contraseñas robustas.

A nivel ya meramente de comportamiento de usuario, es importante concienciar al personal sobre ataques maliciosos recibidos a través del correo electrónico, principal entrada de virus en las organizaciones. El INCIBE (Instituto Nacional de Ciberseguridad), sociedad estatal que trabaja para garantizar la ciberseguridad en España, publicó en 2015 un decálogo de medidas de seguridad en el correo electrónico que todos los empleados de una organización deberían tener en cuenta.

¿A qué medidas de seguridad hace referencia la normativa sobre protección de datos?

El Reglamento (UE) 2016/679, de 27 de abril de 2016, (en adelante, RGPD) parte de la necesidad de que el responsable y, en su caso, el encargado del tratamiento realice un análisis de riesgos teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En particular, en la evaluación del riesgo, el responsable y el encargado del tratamiento tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Es así que, en virtud del riesgo existente, adoptarán y aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

En concreto, en el apartado 1 del artículo 32 del RGPD, a título meramente ejemplificativo, se enumeran las siguientes medidas de seguridad:

  • a) la seudonimización y el cifrado de los datos personales;
  • b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  • d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

La Disposición Adicional 1ª de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se refiere específicamente al ENS, indicando que incluirá las medidas que deban implantarse en caso de tratamiento de datos personales, para evitar su pérdida, alteración o acceso no autorizado y prevé su adecuación a lo dispuesto en el artículo 32 del RGPD. También indica que las entidades enumeradas en el artículo 77.1 LOPDGDD impulsarán la implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado, así como que si un tercero presta un servicio en régimen de concesión, encomienda de gestión o contrato las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

Al respecto podemos señalar la resolución PS/00354/2020 de la Agencia Española de Protección de Datos, en la que se apercibe a una abogado por tirar dos bolsas de plástico repletas de documentación a la basura, en la que aparecen datos personales de distintos clientes, como escrituras, poderes notariales, sentencias, fotocopias de DNIs o testamentos. Según recoge el dictamen, no adoptar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los datos personales, así como no mantener los deberes de integridad y confidencialidad, puede llegar a constituir una “infracción grave” del RGPD, recogida en su artículo 32 RGPD.

Recuerde que...

  • Las principales fuentes para establecer un catálogo de medidas de seguridad son el ENS, la ISO 27000 y los informes y recomendaciones de ENISA.
  • En materia de seguridad de la información se organizan en torno a los conceptos de integridad, confidencialidad, disponibilidad y resiliencia.
  • En la aplicación de las medidas de seguridad técnicas y organizativas apropiadas, el responsable y, en su caso, el encargado del tratamiento tendrá en consideración los riesgos que represente el tratamiento de los datos.
Subir