Procedimientos de seguridad LOPD en el despacho de abogados


Índice

Décimoprimera entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados en la que les comentaré lo relativo a los procedimientos de seguridad a implantar en el despacho de abogados.

Procedimientos de seguridad en el despacho de abogados

Identificación y autenticación de usuarios

Unos de los procesos a implementar en el despacho jurídico es el de la identificación y autenticación de usuarios en aquellos sistemas de información desde los que se gestionen datos personales. Este procedimiento recoge las reglas a aplicar en la administración de usuarios con acceso a los sistemas de información, con objeto de establecer mecanismos que eviten el acceso no autorizado a la información personal.

Inventario de usuarios y niveles de acceso

  1. Los Responsables Delegados de Ficheros y las personas en quien estos deleguen serán los únicos con competencia para conceder, alterar o anular los accesos autorizados a los sistemas de información.
  2. El Responsable de Seguridad en colaboración con los Responsables Delegados de Ficheros o en su caso directamente los Responsables Delegados de Ficheros, establecerán una segmentación de los accesos para cada uno de los sistemas de información mediante la definición de perfiles de usuarios, donde se especifiquen las opciones de accesos permitidos y el tipo de acceso requerido y si se le permite actualización de datos o solo consulta.
  3. Cada uno de los usuarios estará asignado a un perfil por cada sistema al que tenga acceso, de manera que exclusivamente tenga acceso autorizado a los recursos que precisa para desempeñar su función.
  4. Cada acceso autorizado a los sistemas de información deberá estar identificado unívocamente con el usuario correspondiente.
  5. Existirá un registro actualizado de los usuarios con acceso autorizado para cada sistema de información que deberá contemplar al menos la siguiente información: nombre de usuario, identificador de usuario y perfil de usuario.
  6. El Responsable de Seguridad revisará periódicamente el registro de usuarios y facilitará al Responsable Delegado del Fichero un listado con las altas, bajas y modificaciones en los derechos de acceso producidas en el último periodo. El Responsable de Seguridad incorporará dicho listado en los informes periódicos que genera y reporta a cada Responsable Delegado de Fichero.

Política de contraseñas

  1. Todos los usuarios con acceso a un sistema de información dispondrán de una única autorización de acceso compuesta de identificador de usuario y contraseña o en su caso certificado digital.
  2. En los sistemas de información se deberá habilitar un mecanismo que exija al menos una vez al año el cambio de la contraseña para cada autorización de acceso. Si bien lo recomendable sería realizar el cambio de contraseñas cada 180 días como máximo.
  3. La longitud de las contraseñas será igual o superior a 6 caracteres. El sistema de información, si lo permite, obligará al uso de esta longitud mínima de contraseña.
  4. Las contraseñas estarán constituidas por combinación de caracteres alfabéticos y numéricos y no harán referencia a ningún concepto, objeto o idea reconocible. Por tanto, se deberá evitar utilizar en las contraseñas fechas significativas, días de la semana, meses del año, nombres de personas, teléfonos, etc.
  5. El sistema inhabilitará, siempre que tecnológicamente lo permita, los intentos reiterados mediante identificadores o contraseñas incorrectas. El número máximo de intentos permitidos será 5.
  6. En el caso de que el nivel de seguridad sea de nivel medio el sistema limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
  7. La cuenta de acceso a un sistema correspondiente a un usuario será bloqueada cuando se detecte un periodo de inactividad en acceso mayor a 180 días, siempre que tecnológicamente sea posible.
  8. El sistema almacenará mediante algoritmos de cifrado las contraseñas al objeto de garantizar la confidencialidad e integridad de las mismas.

Registro de acceso a la información

  1. Los mecanismos que permitirán el registro del acceso a los datos serán competencia directa del Responsable de Seguridad, sin que se deba permitir en ningún caso, la desactivación de los mismos.
  2. De acuerdo con el artículo 103.6 del Real Decreto 1270/2007 no será necesario el registro de acceso en el caso que el Responsable Delegado del Fichero o del tratamiento garantice que únicamente él tiene acceso y por lo tanto sea el único que puede tratar los datos.

Administración de usuarios y gestión de bajas

El objeto de este procedimiento es describir cómo se realiza la administración de los usuarios con acceso a los sistemas de información y a los ficheros no automatizados del despacho jurídico.

La responsabilidad de facilitar autorizaciones de acceso a los sistemas o ficheros con datos de carácter personal recaerá en los Responsables Delegados de Ficheros.

El procedimiento de administración de usuarios contemplará y normalizará las siguientes acciones:

  1. Alta como usuario de la red local del despacho jurídico sin derechos de acceso a sistemas ni a ficheros con datos de carácter personal ubicados en servidores de ficheros y en aplicaciones.
  2. Alta de usuario en un sistema con derechos de acceso a ficheros con datos de carácter personal ubicados en servidores de red o en las Aplicaciones.
  3. Modificación de derechos de acceso en un sistema o en el acceso a aplicaciones con datos de carácter personal. Implica altas, bajas o modificaciones sobre los derechos de acceso que ya tiene el usuario.
  4. Baja de usuario en un sistema o en su acceso a los ficheros con datos ubicados en servidores de red.
  5. Solicitud de nueva contraseña: por olvido de ésta por parte del usuario o por haber caducado la misma.
  6. Concesión de autorización de acceso a ficheros no automatizados.

El procedimiento de gestión de bajas del personal contemplará y normalizará las siguientes acciones:

  1. Baja total de usuario. Implicará la anulación de todos sus derechos de acceso tanto a ficheros automatizados como no automatizados y la eliminación como usuario de la red.

A continuación se recoge la descripción del procedimiento diferenciando entre los procedimientos de administración de usuarios y de gestión de bajas del personal.

Procedimiento de administración de usuarios

  1. Al surgir la necesidad de administración de usuarios se generará la solicitud correspondiente y se autorizará para que se puedan realizar las modificaciones oportunas.
  2. Se actuará, si procede, dando de alta o de baja al usuario en los sistemas y habilitando, anulando o modificando los derechos de acceso de usuario a los sistemas automatizados y no automatizados que correspondan a la solicitud aprobada.
  3. En el caso de ficheros automatizados, se actuará pidiendo el alta o baja como usuario de la red local del despacho jurídico y sus servicios correspondientes (correo, Intranet, Internet, etc) y habilitando, anulando o modificando los derechos de acceso a los ficheros con datos de carácter personal ubicados en servidores y aplicaciones.
  4. Cuando la solicitud contemple la baja total de un usuario, se procederá a darle de baja como usuario de los sistemas de información a los que tenga acceso y como usuario de la red, además de anularle los accesos a todos los sistemas de ficheros automatizados y a ficheros no automatizados.
  5. En el caso de alta en la red local del despacho jurídico o en las aplicaciones, se asignará una cuenta de usuario según las normas establecidas en la política de contraseñas. La contraseña asignada se almacenará de forma ininteligible en los sistemas de información.
  6. Se le hará llegar al usuario el identificador de usuario y la contraseña. El envío se realizará por medio de un mecanismo que garantice la confidencialidad e integridad de la cuenta de usuario.
  7. El usuario comprobará que la contraseña ha llegado en las condiciones que garantizan su confidencialidad.

Procedimiento de gestión de bajas del personal

Mediante este procedimiento se normalizará la comunicación y gestión de las bajas del personal como usuarios de los sistemas de información y la eliminación de los derechos de accesos a los lugares restringidos del despacho jurídico y los ficheros no automatizados. Implicará la anulación de todos sus derechos de acceso y la eliminación como usuario de la red corporativa.

  1. Una vez se haya tenido constancia de que se ha producido una petición de baja de una persona en el despacho jurídico, el Responsable Delegado del Fichero o el Responsable de Seguridad cursará la baja de la persona en los sistemas de información y en la red local propiedad del despacho jurídico.
  2. Se anularán los derechos de acceso de las personas que causen baja a los sistemas correspondientes y se les eliminará como usuarios de la red.
  3. Se adoptarán las medidas oportunas para asegurar la anulación de los derechos de acceso a las zonas restringidas y a los ficheros no automatizados.
  4. Periódicamente el Responsable de Seguridad elaborará un informe con las bajas producidas y se comprobarán con las bajas realmente producidas en los sistemas de información y accesos. Dicho informe se comunicará al Responsable Delegado del Fichero.

Ficheros temporales

Este apartado define la normativa a aplicar para el tratamiento de ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares, de forma que se asegure la privacidad y seguridad de los datos de carácter personal contenidos en los sistemas de información o en los soportes no automatizados del despacho jurídico.

  1. El despacho sólo permitirá la creación de ficheros temporales o copias de documentos que contengan datos de carácter personal en dos situaciones:
    • Ficheros temporales o copias de documentos creados por usuarios autorizados.
    • Ficheros temporales generados automáticamente en procesos internos de los sistemas de información.
  1. Los usuarios únicamente podrán generar ficheros temporales cuando éstos sean necesarios para el trabajo a desempeñar y deberán seguir las siguientes normas:
    • Estos ficheros nunca deberán ser ubicados en unidades locales de los equipos informáticos sin las debidas medidas de seguridad, siendo los servidores de ficheros el lugar idóneo para ubicar temporalmente este tipo de ficheros.
    • La persona que esté utilizando las copias de documentos deberá custodiarla e impedir que pueda ser accedida por cualquier persona que no esté autorizada.
    • No se permitirá la salida de estos ficheros o documentos fuera de las dependencias del despacho jurídico sin la debida autorización del Responsable Delegado del Fichero.
    • Una vez que estos ficheros temporales o copias de trabajo hayan dejado de ser útiles para la finalidad con la que se crearon, serán borrados o destruidos por el usuario que los creó.
  2. Ficheros temporales creados automáticamente en procesos internos de los sistemas de información.
    • Estos ficheros son generados automáticamente en procesos internos de las aplicaciones cuya ejecución puede estar programada periódicamente o realizarse con carácter esporádico. Tanto en un caso como en otro, los procesos deberán estar diseñados para que los ficheros temporales creados durante su ejecución se eliminen a la finalización de los mismos.
    • Si por causas accidentales, el proceso fallara durante su ejecución, los ficheros temporales permanecerían creados hasta que se analice y conozca la causa que motivó el fallo. Posteriormente se procederá al borrado de los ficheros temporales existentes.
  3. En todo caso, los ficheros temporales que se creen, tendrán las mismas medidas de seguridad que correspondan a los ficheros maestros de los que proceden sus datos.

Seguridad en redes de comunicación

Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

En el caso de que sea necesario aplicar medidas de seguridad de nivel medio, se deberá garantizar la confidencialidad e integridad de la información circulante a través de las distintas redes, cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros durante la transferencia de datos personales.

Control de acceso

Unos de los procesos a implementar en el despacho jurídico es el del control de acceso a los lugares del despacho donde se almacenan datos personales. Este procedimiento contiene la normativa a aplicar para el acceso de personas a los locales y dependencias donde se almacenen los datos automatizados o no automatizados.

Los ficheros automatizados se almacenarán en sistemas de información o en servidores que deberán estar ubicados en lugares seguros y que no tengan acceso libre. A estos lugares se les denomina normalmente Centro de Procesos de Datos (CPD).

Los ficheros no automatizados se almacenarán en armarios, archivadores u otros elementos que deberán encontrarse en zonas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro elemento equivalente.

Las zonas donde se ubiquen los ficheros automatizados (CPD) como no automatizados deberán permanecer cerradas cuando no sea preciso su acceso.

Autorización de acceso

  1. La concesión de autorización de acceso corresponderá al Responsable Delegado del Fichero o a la persona en la que éste delegue.
  2. Las autorizaciones tendrán carácter individual y se concederán a aquellas personas que por razón de su trabajo necesiten acceder a los ficheros, bien sea de forma permanente o durante un periodo de tiempo determinado. Habrá dos tipos de autorización:
    • Permanente: sin límite en el tiempo.
    • Temporal: con fecha de caducidad.
  3. Solamente al personal autorizado le estará permitido acceder y permanecer de forma continua en las dependencias de los Centros de Procesos de Datos donde se ubiquen ficheros con datos de carácter personal.
  4. Solamente al personal autorizado le estará permitido acceder y consultar la información en ficheros no automatizados.
  5. Solamente al personal autorizado le estará permitido realizar copia o reproducción de los documentos y ficheros no automatizados.
  6. Los centros de proceso de datos dispondrán, siempre que sea posible, de un área intermedia para la entrega de equipos, material, listados, etc., de modo que para ello no se precisará autorización de acceso.
  7. Las visitas de corta duración tendrán carácter excepcional y no requerirán autorización formal. Sin embargo, habrán de comunicarse y justificarse previamente al responsable o persona en quien éste delegue. El visitante estará acompañado en todo momento durante su estancia.

Modificaciones de las autorizaciones de acceso

  1. El Responsable Delegado del Fichero o la persona en quien éste delegue se encargará de que exista una relación actualizada de personas autorizadas.
  2. Para los centros de proceso de datos donde exista un sistema de control de acceso, deberá tenerse especial cuidado en dar de baja de dicho sistema a las personas que habiendo estado autorizadas, ya no necesiten el acceso al mismo.
  3. Cuando una persona cause baja en el acceso al centro de proceso de datos, deberá devolver los elementos de identificación o de acceso.

Gestión del control de acceso

  1. Todas las puertas de acceso a los centros de proceso de datos deberán estar permanentemente cerradas. Las personas autorizadas accederán única y exclusivamente a través de la puerta habilitada para tal fin.
  2. Los ficheros ubicados en un sistema de tratamiento no automatizado estarán ubicados en armarios, archivadores o salas donde las puertas de acceso deberán permanecer cerradas. Solamente las personas autorizadas podrán acceder a la documentación.
  3. En el caso que por las características del local no se pudiera asegurar que los sistemas de tratamiento automatizados o no automatizados estén en lugar diferenciado y bajo llave, todo el lugar se convertirá en centro de proceso de datos y en dispositivo de almacenamiento seguro, por lo que la puerta de entrada al local será el punto de acceso.
  4. Para acceder, el personal autorizado deberá pasar previamente por los sistemas de control de acceso físico habilitados.

Vigilancia de las personas en lugares con acceso restringido

  1. Los visitantes de corta duración, que no dispongan de autorización formal (por escrito) de entrada a lugares restringidos, estarán acompañados en todo momento por una persona perteneciente al despacho.
  2. Cuando se detecte la presencia de una persona no autorizada en las dependencias restringidas o indicios de que se ha producido un acceso no autorizado, se deberá reportar este hecho como incidencia de seguridad.

Copia o reproducción de documentos

  1. La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado.
  2. Deberá procederse a la destrucción de las copias o reproducciones desechadas siguiendo el procedimiento de desechado y reutilización de soportes.

Acceso a la documentación con datos de nivel alto

Los ficheros almacenen datos de carácter personal de nivel alto deberán seguir las siguientes normas:

  1. El acceso a la documentación se limitará exclusivamente al personal autorizado.
  2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos y archivos electrónicos que puedan ser utilizados por más de una persona.
  3. Se mantendrá un registro con datos de los dos últimos años donde por cada persona que acceda se registrará la siguiente información:
  1. Nombre de la persona o usuario que accede.
  2. Fecha y hora en que realizó el acceso y si éste se realizó con éxito.
  3. Fichero accedido.
  4. Tipo de acceso (lectura, copia o reproducción, borrado).

Almacenamiento de ficheros no automatizados

Los archivos y documentos que contengan datos de carácter personal o información sensible propiedad del despacho jurídico deberán estar almacenados en lugares tales como armarios o archivadores que deberán tener mecanismos que obstaculicen su apertura, por ejemplo una cerradura con llave u otro mecanismo.

Si los documentos contienen datos sobre los que hay que aplicar un nivel de seguridad medio, deberán estar además en áreas donde el acceso esté protegido mediante puerta de acceso que tenga algún sistema de apertura. Estas áreas restringidas deberán estar permanentemente cerradas y solamente accederá a ellas el personal autorizado por el responsable del fichero.

Si por las características de las oficinas del despacho jurídico, no se dispusiera de una habitación donde se pudieran almacenar los archivos y documentos de nivel medio, éstos permanecerían almacenados en archivadores que estarían cerrados con llave y todo el local del despacho jurídico, donde se encuentre esta documentación, se convertiría en área de acceso restringido.

Gestión de soportes y documentos

Otro de los procesos a implementar en el despacho jurídico es el de la gestión de soportes y documentos que contienen datos personales. Los soportes informáticos y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y sólo deberán ser accesibles por el personal autorizado para ello.

Cuando las características físicas del soporte imposibiliten su inventariado se hará constar en el anexo correspondiente del documento de seguridad.

Autorización para la gestión de soportes

  1. Existirá una relación de personas autorizadas a identificar, inventariar y desechar soportes que contengan datos de carácter personal.

Etiquetado de soportes con datos personales

  1. Cualquier soporte que sea susceptible de contener datos de carácter personal y que vaya a ser utilizado en dependencias del despacho jurídico deberá ser debidamente etiquetado e inventariado.
  2. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

 

Inventario de soportes con datos personales

  1. El inventario de soportes que contengan datos de carácter personal estará catalogado y almacenado en un lugar con acceso restringido al personal autorizado.
  2. Existirá un inventario de soportes que facilite su control, almacenamiento y localización. En este inventario se registrarán los siguientes datos:
Para soportes automatizados
    • Código del soporte
    • Información del contenido:
  1. Nombre de la máquina o del sistema (respaldos) u otra información que identifique el contenido (descripción).
  2. Breve descripción de los datos almacenados.
  3. Nivel de los datos de carácter personal (el del nivel más alto del conjunto de datos de carácter personal contenidos).
  • Tipo de soporte (cinta, cartucho, disco, etc.).
  • Numero de soportes que forma el juego
  • Lugar donde se almacena (dependencia, armario, estante, etc.).
  • Fecha de alta o creación.
  • Fecha de baja o de caducidad.
Para soportes no automatizados
  • Código del juego de soportes.
  • Información del contenido:
  1. Descripción.
  2. Nivel de los datos de carácter personal (el del nivel más alto del conjunto de datos de carácter personal contenidos).
  • Lugar donde se almacena (dependencia, armario, estante, etc.).
  • Fecha de alta o creación.
  • Fecha de baja o de caducidad.
  1. Cuando un soporte se prepare para ser reutilizado, la información que contiene será eliminada siguiendo la Normativa de Desechado de Soportes. Además el soporte será eliminado del inventario.
  2. Cuando un soporte vaya a ser desechado, se borrará la información contenida y se destruirá físicamente siguiendo la Normativa de Desechado de Soportes. Además el soporte será eliminado del inventario.

Desechado y reutilización de soportes

Este procedimiento define la normativa a aplicar en el despacho jurídico al objeto de destruir toda la información de carácter personal contenida en soportes automatizados y no automatizados cuya vigencia haya caducado.

Los motivos de su caducidad pueden ser muy variados: la información se dispone repetida en otros soportes alternativos, la información se almacenaba con carácter puntual y para un uso esporádico, la información ha quedado desactualizada, la información ha caducado, la información ha llegado al final de los criterios de archivo (legales o criterios propios establecidos por el despacho) etc.

  1. Cuando la información que contenga un soporte ya no sea necesaria para el fin para el que se guardó, el soporte será desechado o, en su caso, preparado para ser reutilizado.
  2. El soporte no podrá ser reutilizado y habrá de ser obligatoriamente desechado si se da alguna una de estas circunstancias:
    • Cuando haya finalizado la vida útil del soporte.
    • Si el tipo de soporte no permite el borrado de la información que contiene.
    • Si se trata de soporte en formato no automatizado.
  3. Cuando un soporte se prepare para ser reutilizado, se destruirá la información contenida en él aplicando el sistema de borrado adecuado:
  • Para soportes magnéticos: formateado en profundidad (utilizando la opción que proporciona el fabricante para el borrado de los datos).
  • Para soportes ópticos (CD-RW, regrabable): borrado completo del soporte.
  1. Cuando un soporte vaya a ser desechado, se procederá de esta manera:
  • En primer lugar, siempre que el tipo de soporte lo permita, se destruirá la información contenida aplicando el sistema adecuado.
  • A continuación se procederá a la destrucción física de la información utilizando dispositivos desmagnetizadores o cualquier otro medio mecánico.
  • En caso de formato no automatizado se deberán tomar las medidas en su destrucción que eviten el acceso a la información contenida en el mismo o su posible recuperación posterior, preferiblemente mediante destructoras de documentos.
  1. Las únicas personas autorizadas para desechar o reutilizar un soporte que contenga datos de carácter personal serán las mismas que estén autorizadas a identificar e inventariar este tipo de soportes.

Custodia de soportes

En tanto los documentos con datos personales no se encuentren archivados en los dispositivos de almacenamiento indicados en los procesos de almacenamiento de ficheros automatizados y de ficheros no automatizados, por estar en proceso de tramitación o traslado, las personas que se encuentren a su cargo deberán custodiarlos e impedir el acceso a personas no autorizadas.

Los soportes deberán permitir identificar el tipo de información que contienen, ser inventariados e impedir de forma suficiente su libre acceso. Tanto el citado acceso como su almacenamiento se corresponderán con el nivel de seguridad correspondiente a los datos personales que contengan.

El inventario de soportes distinguirá entre soportes automatizados y soportes en formato papel y podrá encontrarse en formato papel o en un fichero digital. En cualquier caso el inventario de soportes será únicamente accesible por el responsable de seguridad o persona en quien delegue dicha función.

Criterios de acceso

El archivo de los soportes y documentos se realizará de acuerdo con los criterios previstos en la legislación vigente. Estos criterios deberán garantizar:

  • La correcta conservación de los documentos.
  • La localización y consulta ágil de la información de la información.
  • Posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, y en su caso, el derecho al olvido y el derecho a la portabilidad.
  • La puesta en marcha de las medidas de seguridad de la información aplicables al nivel de seguridad de los datos personales contenidos en el documento.

En los casos en que no haya una legislación aplicable o los documentos no se encuentren bajo la normativa de regulación documental, el Responsable Delegado del Fichero establecerá los criterios y procedimientos de actuación que deberán seguirse.

Copias de seguridad

Mediante este procedimiento se define la operativa a realizar para la obtención de las copias de respaldo, de recuperación de datos de carácter personal y los procedimientos de revisión semestrales.

Procedimiento de realización de copias de respaldo

El procedimiento para la obtención de copias de respaldo del resto de la información se basa en la ejecución de los planes establecidos para cada espacio de almacenamiento y/o soportes que contengan documentos con datos de carácter personal. No es necesaria la realización de copias de respaldo para copias temporales de los citados documentos.

Obtener copias de respaldo y registrar soportes

  1. La ejecución de los procesos de copias de respaldo se realizará cuando los sistemas de información no estén operativos. En el caso de aplicaciones que tengan que funcionar las 24 horas, se realizará cuando menos afecten al rendimiento del sistema de información. En este caso será necesario dotar a los sistemas de los mecanismos necesarios para poder realizar las copias de respaldo con el sistema funcionando.
  2. Se dotarán de mecanismos de salvaguardia de los datos actualizados entre dos copias de seguridad, de forma que en caso de desastre del sistema se pueda recuperar hasta la última transacción realizada de forma correcta.
  3. Al menos una vez al mes se realizará una copia de todos los datos y sistemas que deberán incluir el Sistema Operativo, las bases de datos de usuarios y el aplicativo, de forma que se pueda recuperar el entorno completo en caso de desastre.
  4. El Responsable de Seguridad seleccionará los soportes a utilizar de acuerdo con el sistema de rotación establecido, y procederá a realizar las copias de respaldo él mismo o a través de personal debidamente autorizado. En el caso que los servicios de sistemas de información estén hospedados o subcontratados a una empresa externa, será ésta la encargada de realizar el proceso de copia siguiendo el procedimiento definido por el responsable de seguridad o del fichero.
  5. Una vez obtenidas las copias de respaldo, se actualizará el registro de soportes aplicando la procedimentación habilitada de Identificación de Soportes.

Almacenar copias de respaldo

Al menos semanalmente se realizará una copia de seguridad de todos los archivos automatizados que contengan datos de carácter personal a no ser que durante este periodo de tiempo no se haya producido ninguna modificación o actualización de los datos.

Se establecerán dos procedimientos dependiendo del nivel de actualización de los datos que en cualquier caso deberán asegurar la correcta recuperación de los datos actualizados:

  1. En el caso de sistemas con datos que se actualicen diariamente, se deberá realizar una copia de seguridad siguiendo el siguiente procedimiento:
  • La copia del día actual permanecerá en los dispositivos de copia para que se pueda realizar el proceso de salvaguardia y se etiquetará con el día de la semana que corresponda.
  • Las copias de días anteriores se almacenarán en lugar distinto donde residen los servidores propiedad del despacho jurídico, y preferiblemente en armarios ignífugos.
  • La copia del viernes se etiquetará como copia semanal y se sustituye cada 4 semanas.
  • La copia del último viernes de cada mes se etiquetará como copia mensual y se almacenará como copia mensual. Sustituirá a la copia del mismo mes del año anterior.
  • Una vez cerrado el año, se realizará una copia que se etiquetará como copia anual y se almacenará durante 5 años en lugar distinto donde residen los servidores propiedad del despacho jurídico, y preferiblemente en armarios ignífugos.
  1. En el caso de sistemas con datos que no se actualicen diariamente, se deberá realizar una copia de seguridad siguiendo el siguiente procedimiento:
  • Cuando se hayan modificado los datos, se procederá a realizar una copia de seguridad en los dispositivos de copia designados por el Director de Sistemas de Información y se etiquetarán con la fecha del día de la copia de seguridad.
  • Una vez cerrado el año, se realizará una copia que se etiquetará como copia anual y se almacenará durante 5 años en lugar distinto donde residen los servidores propiedad del despacho jurídico, y preferiblemente en armarios ignífugos.
  • Las copias se almacenarán en lugar distinto donde residen los servidores propiedad del despacho, y preferiblemente en armarios ignífugos.

PROCEDIMIENTO DE RECUPERACIÓN DE DATOS

Este procedimiento contempla la recuperación de ficheros con datos de carácter personal desde copias de respaldo ante una incidencia cuya resolución requiere dicha recuperación.

Comunicar la necesidad de recuperación de datos

  1. Ante una necesidad de recuperación de datos, el usuario comunicará la necesidad de recuperación de datos al Responsable de Seguridad.
  2. En caso de ficheros de nivel medio o alto, la recuperación de datos se reportará como incidencia según lo establecido en el procedimiento de notificación y gestión de incidencias.

Analizar necesidad de recuperación de datos

  1. El Responsable delegado del Fichero conjuntamente con el Responsable de Seguridad, analizará la necesidad de recuperación y decidirá, si es preciso, qué ficheros y datos se recuperan, en qué momento, a partir de qué copias de respaldo y si es necesario grabar datos manualmente, para garantizar la reconstrucción del estado de los sistemas al momento en el que se produjo la incidencia que ocasionó la pérdida o inconsistencia de los datos.
  2. Una vez decidida la recuperación a realizar, en caso de ficheros de nivel medio o alto, el Responsable de Seguridad solicitará la autorización pertinente al Responsable Delegado de Fichero.

Autorizar recuperación de datos

  1. Solamente si el fichero es de nivel medio o alto, el Responsable Delegado de Fichero o personas en quien deleguen, autorizarán formalmente (por escrito u otro medio en el que quede constancia de la autorización) al Responsable de Seguridad la ejecución de los procesos de recuperación de ficheros mediante un comunicado, con fecha y hora, donde se especificarán los ficheros a recuperar.

Recuperar datos

  1. Se procederá a la recuperación física de los ficheros requeridos, utilizando para ello los mecanismos que se tenga habilitados para estos casos.
  2. Se podrá requerir la participación de los usuarios cuando haya que grabar datos manualmente.

Cerrar incidencia de recuperación de datos

  1. En caso de ficheros de nivel medio y una vez recuperados los datos correspondientes, el Responsable de Seguridad registrará las acciones asociadas a la incidencia de seguridad (acciones de recuperación y los datos que han sido recuperados) y posteriormente cerrará la incidencia.

Régimen de trabajo fuera de los locales del despacho

Este procedimiento es de aplicación tanto a los ficheros automatizados como en los ficheros en soporte papel o no automatizados cuando se realice tratamiento fuera de los locales del despacho y de los locales de terceros contratados para realizar en todo o en parte el tratamiento de los datos personales.

El Responsable Delegado del Fichero deberá autorizar este procedimiento indicando el período de validez. Si este período es permanente lo hará constar en la autorización que realice.

Salida de soportes fuera de los locales del despacho

  1. La persona autorizada a utilizar soportes fuera de los locales del despacho jurídico, comunicará al Responsable de Seguridad y al Responsable Delegado del Fichero la necesidad de sacar soportes fuera de los locales de la organización para la realización de un trabajo.
  2. La persona, debidamente autorizada, utilizará por motivos de trabajo los soportes, que pueden ser automatizados (CD, portátiles, smartphones, pen-drive, discos duros, etc.) y no automatizados (papel), fuera de los locales de la organización.

Registro de uso fuera de los locales

  1. El Responsable de Seguridad anotará en el registro de control de soportes usados fuera de los locales del Responsable.

Medidas de seguridad de los soportes utilizados fuera de los locales

  1. Dependiendo del contenido de los soportes a utilizar se deberán adoptar las medidas para mantener la seguridad requerida hasta el lugar de trabajo fuera de los locales que irán dirigidas a impedir el acceso o manipulación de la información durante el traslado por parte de terceros no autorizados.

Finalización de uso fuera de los locales de la organización

  1. Una vez finalizada la necesidad de trabajo fuera de los locales de la organización, la persona autorizada comunicará al Responsable de Seguridad y al Responsable del Fichero la finalización de dicha necesidad.
  2. El Responsable de Seguridad actualizará el registro de control de soportes usados fuera de la organización.

Traslado de la documentación

En todos los casos se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

Para el traslado de documentación sobre los que sea necesario aplicar medidas de seguridad de nivel medio o alto, se deberán adoptar medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

Por tanto el traslado de documentación se deberá realizar utilizando sobres cerrados, sistema de valija, cartera o maletín con llave. Como medida alternativa se podrán utilizar carpetas que permitan su cierre, siendo las personas que realicen el transporte responsables de su custodia y por tanto deberán conocer las obligaciones derivadas de la Ley de Protección de Datos conforme a la custodia de la documentación durante el traslado.

Recomendaciones

Le recomiendo que sea sistemático en la implantación de estos procesos en su despacho jurídico y riguroso en la aplicación y el seguimiento del cumplimiento de dichos procesos. Además deberá concienciar al personal de su despacho de la importancia que tiene para la seguridad de la información seguir estos procedimientos, y de las graves consecuencias tanto para el personal como para el despacho en caso de que se dé una incidencia grave sin haber adoptado unas medidas de seguridad adecuadas.

Limite al máximo los riesgos derivados de la pérdida, sustracción o manipulación accidental o intencionada de documentos, de forma eficiente y con el menor coste posible, en tiempo y en dinero.

La seguridad de la información, personal o no, en su despacho jurídico es fundamental.

Les espero en la próxima entrega: “Obligaciones de protección de datos del personal del despacho

 

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

uno × 2 =