domingo, 6 de junio de 2010

UN POCO SOBRE PROTECCION DE DATOS


Estas afirmaciones implican una óptima dotación de recursos materiales y humanos organizados y coordinados con los mismos objetivos: El mantenimiento de la actividad empresarial y el cumplimiento de las leyes sobre la seguridad de datos de carácter personal y entornos de negocio informatizados.

El camino de la seguridad informática debe estar situado entre dos puntos totalmente opuestos que son la paranoia y el abandono, con una premisa básica, el costo de aquello que pretendemos defender nunca puede ser inferior al costo de las medidas de salvaguarda que implantemos para conseguir dicha protección.

Evidentemente para situarnos en este punto ideal necesitaremos de un análisis y gestión de riesgos (realizado a la medida de la empresa) y una vez obtenida esta información, la definición de una acertada política de seguridad documentada en el manual de políticas de seguridad.

Este es uno de los puntos de encuentro entre las normas de seguridad informática y la Ley Orgánica de Protección de Datos, ya que la creación de un documento de seguridad es una de las obligaciones de la LOPD siendo la única diferencia el objeto a proteger: En la LOPD los datos de carácter personal. En las normas de seguridad todos aquellos datos que sean confidenciales para la empresa.

A la pregunta de que debe realizar primero la empresa si la consultoría de seguridad con el objetivo de proteger la empresa o la consultoría de LOPD para cumplir la ley la respuesta es sencilla, una consultoría de LOPD bien planteada es decir realizada por consultores jurídicos y consultores técnicos en seguridad (no confundir con técnicos informáticos) es un buen inicio hacia la consultoría de seguridad. ¿Sabes que uno de los requisitos para obtener la ISO 71502 es disponer de la auditoría de la LOPD realizada? y ¿Qué dentro de la normas de seguridad se encuentran como medidas de salvaguarda los contratos de confidencialidad de los empleados, los de acceso de proveedores etc....?.

Lo que esta claro es que legalizarse en LOPD, pero sin implicarse en el proceso ó tomárselo como algo más que "un mero trámite normativo" no sirve de nada, ni aporta nada a la empresa.

Un papel fundamental es el del "Responsable de Seguridad", coordinador y gestor de toda la seguridad de la empresa. Este puesto requiere de tiempo para realizar su labor, así como de un apoyo y refuerzo permanetes, y es el catalizador interno del proceso, aunque la responsabilidad última siempre es de la empresa. Una vez dotada la empresa de políticas adecuadas y basándose en el análisis de riesgos debe decidir que medidas debe implementar y en que plazo hacerlo.

Todo el proceso debe implicar directamente a los usuarios que mediante jornadas de sensibilización y cursos de formación deben ser conscientes de la importancia de su papel en todo el proceso. Merece la pena recordar que una de las obligaciones legales de la empresa es facilitar la lectura del manual de seguridad a los usuarios, en la parte que les corresponda, quedando así claramente definidas las funciones y obligaciones del personal.

Tras la implantación de las medidas de salvaguarda, la empresa deberá crear un plan de contingencias para la continuidad del negocio, contemplando los escenarios de riesgo que se hayan analizado durante la consultoría.

El desarrollo de la consultoría de seguridad ha creado un sistema auditable. Por tanto el final natural del primer ciclo es la auditoría de todo el sistema que servirá de retroalimentación para los siguientes ciclos, donde las medidas de salvaguarda se asumen como activos de la empresa y se vuelven a analizar nuevas vulnerabilidades, estudiando a conciencia las nuevas amenazas y trasladándolas al análisis y gestión de riesgos.

Como se puede ver la seguridad es un proceso continuo donde la empresa puede alcanzar metas a corto, medio y largo plazo. Mi consejo es que: por un lado, la empresa debe cumplir las obligaciones legales (LOPD, LSSICE) encuadrándolas en un entorno más amplio y no sólo por la sanción que implica el "no cumplimiento" de las mismas; en segundo lugar, todas las acciones y recursos que la empresa ejecute, deben encontrarse en el plan de seguridad de la empresa, debidamente coordinadas y sopesadas bajo el prisma de "precio de activo a protege mayor a medida de salvaguarda a aplicar"; por último, alcanzar a medio plazo la certificación del sistema de gestión de la seguridad (UNE ISO 71502:2004) puede aportar un valor añadido hacia los clientes y la competencia, mayor o menor dependiendo de la criticidad y confidencialidad de los datos que maneje su empresa.

No hay comentarios:

Publicar un comentario