¿Cómo definir una política de seguridad en materia de protección de datos?
Abogado – Colegiado 2453 Ilustre Colegio de Abogados de Girona
Especialista en protección de datos por AENOR
Integrante del equipo de Salud, Ética y Compliance (SEC)
Para los profesionales del derecho han finalizado las vacaciones estivales e inicia el nuevo año, y es que para nosotros el año laboral empieza en el mes de septiembre y finaliza en el de agosto, y durante esos, a veces, largos meses estamos concentrados en nuestro trabajo, que no es sólo redactar escritos, sino también encontrarlos en nuestros ordenadores, en nuestros programas de gestión, y luego en papel, aunque los tiempos cambian y estamos en la era de las nuevas tecnologías, continuamos «cogidos» por el papel.
Sea como sea, debemos de tener en cuenta que la documentación que nos notifican por medios electrónicos, la que remitimos al procurador debe de integrarse en un sistema de gestión de la información que preserve la confidencialidad, proteja los datos personales y dé confianza a nuestros clientes, dispongamos con prontitud de la información; y todo ello, desde la seguridad e integración en los procesos organizativos y la estructura de nuestro despacho, y siempre de acorde con las necesidades y capacidad del mismo.
El propósito de establecer, implementar, mantener y mejorar constantemente nuestro sistema de gestión de la información es conocer, gestionar y minimizar los riesgos de seguridad.
Uno de los primeros objetivos es conocer nuestras brechas de seguridad, y para ello debemos conocer cuáles son los mecanismos de acceso a los dispositivos, servicios y aplicaciones, garantizando la autenticación del usuario.
Debemos establecer y documentar un procedimiento para habilitar, revocar las credenciales y los permisos de acceso, y es que el usuario identifica y la contraseña autentica, por lo que aquellas contraseñas que sean deficiente (ejemplo: nombre de hijos, mascota, fecha de nacimiento o matrimonio de padres, de hijos o de nosotros mismos, un número previsible como 1234567, número del DNI, días de la semana o del mes, etc.) o que estén mal custodiadas (ejemplo: en un Post-it en la pantalla del ordenador, en una libreta al acceso de cualquier empleado, en una tarjeta de visita, compartir contraseñas con otros empleados para poder acceder a sus dispositivos, etc.) favorecerán el acceso y en consecuencia el uso no autorizado a los datos.
Frente a ello, deben de garantizarse unas buenas prácticas para fortalecer nuestras contraseñas; y así, actualizarlas periódicamente, no utilizar las contraseñas que se nos remiten por defecto, sino cambiarlas, memorizarlas, y es que no tenemos porque no usar una contraseña fuerte de difícil memorización, ciertamente accedemos a multitud de dispositivos y servicios que nos solicitan la contraseña.
Esto no está reñido con el hecho de que podamos memorizar un grupo de contraseñas a partir de la reglas mnemotécnicas asociativas, un ejemplo sería señorcarabebamg, y la contraseña: SrCaRaBeBaMg_50 (elementos químicos de la tabla periódica), y ¿qué hacer cuando debamos actualizarla? pues, o bien cambiar los elementos químicos (señorconina: SrCoNiNa_28) o cambiar la regla mnemotécnica.
La política de contraseñas debe estar documentada, al alcance de todos los empleados (principio de disponibilidad), y debe, sobre todo, cumplirse, por lo que deberemos auditar periódicamente el cumplimiento de la política de contraseñas, para asegurar que el sistema de gestión de la seguridad de la información consigue los resultados previstos, prevenir o minimizar los efectos no deseados y evaluar la eficacia de las acciones preventivas y correctivas para tratar los riesgos.
En cuanto a los controles de la política de contraseñas podemos clasificarlos en dos niveles:
- Básico, en el que el esfuerzo y los recursos necesarios para implantarlo son asumibles. Es el uso de la lógica y de las herramientas de seguridad que incorporan nuestros sistemas y aplicaciones, o bien que exige nuestra política de seguridad; y así:
- Documentar el historial de contraseñas para no repetir la contraseña, al menos las últimas cuatro.
- Diferenciar la anterior de la posterior.
- Fijar una duración máxima o vencimiento de la contraseña para su cambio, por ejemplo tres meses o mensualmente.
- No contener el login o usuario de acceso.
- No repetir la contraseña
- Establecer una longitud mínima y unos parámetros (ejemplo: que sea alfanumérica, que contenga una o dos mayúsculas.
- Avanzado, en el que tanto el esfuerzo como los recursos necesarios requieren de software específico, unas veces ya incorporado a nuestros programas de gestión, otras veces externo de creación, notificación de vencimiento, sincronizador de contraseñas, liberando al usuario de tener que recordar múltiples contraseñas. Se pueden precisar mecanismos de recuperación ante fallos.
Y sobre todo no facilitar la contraseña bajo ningún caso a personal externo o interno, y cuanto menos por teléfono o email, si el técnico en informática desea realizar instalaciones de programas en nuestro dispositivo seremos nosotros, en cualquier caso, quienes escribamos la contraseña.
Dejo aquí un enlace bajo el título: Política de seguridad de protección de datos realizado para el presente artículo sobre protección de datos y política de seguridad de la información, para que los lectores de este blog pueden utilizarlo http://prezi.com/jznparbsnrc1/?utm_campaign=share&utm_medium=copy