Medidas de Seguridad aplicables ante el robo al Fiscal de Anticorrupción de Murcia.

Ayer se podía leer en todos los medios de comunicación la noticia sobre el robo del ordenador personal del Fiscal Anticorrupción de Murcia, dicho equipo estaba en su casa, donde se produjo el robo. Algunos nos han preguntado qué medidas de seguridad debía tener implantadas el Fiscal para disponer de esa información en su domicilio.

Ordenador portatilEl Reglamento 1720/2007 de Protección de Datos de Carácter Personal establece las medidas de seguridad mínimas que deben aplicarse para tratar información que pueda contener datos personales. Se clasifican en 3 niveles acumulativos (básico, medio y alto), atendiendo a la naturaleza de la información tratada y a la necesidad de una menor o mayor garantía de confidencialidad, integridad y disponibilidad de la información y seguridad de los datos.

En el caso de datos de nivel alto, las medidas a adoptar ante la salida de equipos informáticos de la sede de trabajo son las siguientes:

  • Inventariado previo de los equipos que salgan de las instalaciones y responsable del mismo.
    • Ningún soporte no autorizado (inventariado) puede utilizarse para copiar información con datos personales. De esta forma se mantiene un control de los soportes susceptibles de contener información sensible y las medidas de seguridad que se les aplican.
  • Autorización para trabajar fuera de la sede junto a la autorización para la salida del equipo. Esta autorización podrá ser puntual, para un soporte y un momento concreto, o habitual, para una salida periódica.
    • Nadie que no tenga una autorización por el responsable debería poder sacar soportes con información.
  • Registro de salida del equipo informático, determinando el tipo de soporte, fecha y hora, tipo de información que contienen, forma de salida y persona responsable que deberá estar debidamente autorizada.
    • Esto permite conocer quién se hizo responsable durante el transporte y custodia del equipo o soporte con la información y cuándo salió.
  • Cifrado de datos.
    • Los soportes que contengan datos personales deben estar cifrados de forma que si caen en manos no autorizadas no puedan tener acceso real a la información, manteniendo la confidencialidad.
  • Realización de copias de seguridad como mínimo semanalmente, conservando una de ellas en un lugar diferente a la sede de trabajo.
    • Al disponer de copias de seguridad, mantenemos la disponibilidad de la información, aún en caso de pérdida o deterioro.
  • Establecer una contraseña compleja en el equipo que deberá ser modificada periódicamente.
    • La contraseña de acceso al equipo y/o la información, evita el acceso no permitido y por lo tanto preserva la confidencialidad de la información, y evita pérdidas de integridad (modificaciones por terceros).

Aplicando estas medidas al caso concreto que indicamos al principio del artículo, su implantación efectiva permitiría saber cuándo salió la información de la fiscalía y que información contenía, así como quién fue el responsable de sacar la información. Igualmente, aunque no impediría la pérdida del portátil, si que limitaría sus repercusiones al dificultar el acceso mediante una contraseña compleja, y aún si se hubiere conseguido el acceso al mismo, al estar cifrada la información, se mantendría la confidencialidad. Las copias de seguridad adecuadas y periódicas permitirían por su parte que la pérdida del equipo no suponga una pérdida real de información al poder ser recuperada de las copias.

Hoy en día existen otras medidas no reguladas, como el borrado remoto (posible solo si el dispositivo cuenta con conexión a internet) que hacen que sea todavía más seguro mantener información confidencial en equipos informáticos fuera de las instalaciones del responsable. Igualmente cabe pensar que el equipo que se utilice sea del propio trabajador y no de la entidad dónde trabaja (BYOD, del inglés Bring Your Own Device). En este caso el trabajador deberá acordar con la entidad la implantación de unas medidas de seguridad que garanticen la integridad, seguridad y confidencialidad de la información. Dicho acuerdo es aconsejable que esté documentado, de forma que se limiten y designen las responsabilidades sobre la custodia de la información. Estas medidas son similares a las citadas anteriormente.

Si quieres conocer más acerca de las medidas aplicables no dudes en contactar con nosotros.

Artículo redactado por el departamento de consultoría de Legitec.

2 comentarios de “Medidas de Seguridad aplicables ante el robo al Fiscal de Anticorrupción de Murcia.

  1. Javier dice:

    Buenos días. Me gustaría conocer de quién podría ser la responsabilidad, de la empresa o del trabajador, si este último se ausenta de su puesto de trabajo para realizar unas gestiones laborales, que la han sido previamente encomendadas según indicaciones por escrito y a la vuelta se ha producido el hurto de su portátil por parte de un tercero ajeno a la empresa que se hace pasar por un cliente para acceder a las oficinas y una vez dentro de las mismas sustraer los objetos personales del trabajador.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

LEGITEC moderará sus comentarios y podrá o no dar respuesta a los mismos. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico info@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.