Este documento describe los elementos clave de una política de seguridad de archivos, incluyendo la asignación de responsabilidades, la evaluación de riesgos, el desarrollo de un programa de protección de información, la comunicación del proceso y las pruebas periódicas. Además, destaca la obligatoriedad legal de tener una política de seguridad de archivos que cumpla con la legislación española sobre protección de datos.
2. Politica de copia de seguridad
• Documento normalmente escrito que describe
los compromisos y obligaciones a realizar en el
tema de seguridad de archivos.
• Esta política de seguridad puede variar mucho
de una empresa a otra.
3. Obligatoriedad de una política de
seguridad de archivos.
Razones de la obligatoriedad
• Fiscales y laborales.
• LOPD Nivel medio Real Decreto 1720/2207,
4. Politica de seguridad
¿Qué debe de constar en un plan de seguridad
de archivos?
• Asignar responsabilidades.
• Evaluar riesgos.
• Desarrollar un programa de protección de la
información.
• Comunicar el proceso.
• Ejecutar y probar el proceso.
5. Politica de seguridad
Asignar responsabilidades
Varia según la empresa.
Es una tarea de la dirección, con independencia
del tamaño de la empres debe de quedar claro
que responsabilidades y tareas tiene cada
trabajador.
6. Politica de seguridad
Evaluar el riesgo de almacenamiento
Se debe realizar un análisis de riesgos de todo el
proceso.
Análisis de costes y beneficios.
Identificar los datos sensibles.
7. Politica de seguridad
Desarrollar un programa de actuación en la
protección de la información.
• Adoptar un método de seguridad.
• Autorización.
• Cifrado.
• Auditoría
•Elección del sistema técnico, soporte y proceso.
•Custodia de las copias de seguridad.
8. Politica de seguridad
Comunicar el proceso.
• Sistema de información a los trabajadores.
• Formación.
Una alternativa a los soportes físicos es utilizar sistema en línea
9. Politica de seguridad
Ejecutar y probar el proceso
• Se tiene que probar que el proceso funciona y
hacer pruebas de supuestas perdidas de
información
11. Funciones y obligaciones del personal
• Todas las personas, los usuarios, que intervengan en el
tratamiento de los datos deben tener definidas sus
funciones, y hay que reflejarlas en el documento de
seguridad, al igual que los perfiles de usuario que
utilicen..
• Además, la empresa, como responsable del fichero,
debe definir en este documento qué funciones de
control o autorizaciones ha delegado y a quien lo ha
hecho, y debe informar al personal de las normas de
seguridad que afecten a sus funciones y de las
consecuencias de incumplirlas (y dejar constancia de
que lo ha hecho
12. Registro de incidencias
Hay que establecer un procedimiento de
notificación y gestión de las incidencias, y
documentarlo. En este registro debe constar:
• Tipo de incidencia (he borrado la copia de
seguridad por error).
• Cuándo se ha producido o detectado
• Quién la notifica y a quién lo hace
• Qué efectos ha tenido y qué medidas correctoras
se han adoptado
13. Control de acceso
• Es obligatorio establecer un control de acceso a
los ficheros. La opción más lógica es establecer
los accesos mediante permisos por usuario y
asociarlos a contraseñas. Cada usuario podrá
acceder únicamente a los datos necesarios para
realizar sus funciones, y hay que establecer
mecanismos de seguridad para evitar que suceda
lo contrario. Sólo aquellas personas autorizadas
en el documento de seguridad (normalmente el
responsable de seguridad) podrán conceder,
alterar o anular estos permisos de acceso.
14. Gestión de soportes y documentos
• Los soportes y documentos deberán permitir identificar el tipo de
información que contienen y ser inventariados. En el caso del DVD,
escribiendo copia de seguridad de tal fecha y tal información.
• Las copias de seguridad también deben estar protegidas, de forma que
sólo las personas autorizadas para ello en el documento de seguridad
puedan acceder a los datos.
• Toda salida de documentación o soportes debe estar autorizada y
reflejarse en el documento de seguridad.
• Si se traslada documentación con datos personales, hay que tomar
medidas que eviten su perdida, sustracción o acceso indebido durante el
transporte.
• Hay que asegurarse de destruir o borrar cualquier documento o soporte
cuando se vaya a desechar, de forma que no se pueda luego recuperar la
información.
15. Copias de respaldo y recuperación
Es obligatorio realizar copias de seguridad de los datos
• Como mínimo se deben realizar semanalmente, salvo que
no se hayan producido modificaciones en los datos.
• Hay que establecer procedimientos que garanticen la
recuperación de los datos en caso de pérdida, que deben
garantizar la vuelta al estado en el que se encontraban
antes de dicha perdida
• Cada seis meses hay que comprobar las copias y la
recuperación de las mismas. Ver que se hacen bien, que
copian lo que deben y comprobar que se restauran
correctamente.
• Si se van a cambiar o modificar los sistemas de gestión,
habrá que realizar una copia de seguridad previa.