La LOPD en mi empresa(ii)

Errores comunes

Errores que encontramos a menudo, en la implantación de la LOPD:

1. En la inscripción de ficheros:

  • Declarar ficheros análogos a los ficheros físicos del sistema, o nombres de aplicaciones… (ficheros como: oracle, db2, nominas.exe…). Cuando lo que debe declararse son ficheros lógicos (trabajadores, por ejemplo).
  • Duplicidad de ficheros: encontramos muchas veces que se declaran ficheros por duplicado para referirse a los mismos datos. Bien sea porque lo tratan distintas aplicaciones, se les da un uso distinto… Si se trata de la misma colección de datos a nivel lógico, deben ser un único fichero.
  • Los niveles de seguridad no concuerdan. El nivel de seguridad del fichero, debe ser el máximo nivel de seguridad de los datos contenidos en él.

2. Sobre el Documento de Seguridad

Algunos de los más comunes cometidos cuando se elabora este documento:

  • Se elabora un documento que no lee nadie, o como mucho, queda a disposición del personal de Informática (siendo que los datos personales son tratados, normalmente, por la mayor parte del personal).
  • La información escrita no casa con la realidad, es decir, aparecen escritas medidas de seguridad o procedimientos que nunca se han llegado a implantar.
  • Se escribe en un lenguaje técnico complejo que el personal no comprende o rechaza. Entendamos a quién va dirigido dicho documento; si un trabajador del departamento financiero encuentra 10 siglas complejas sobre tecnología, esto le complicará la lectura, o directamente la rechazará entendiendo que “eso no va con él”.
  • Se incluye demasiada información lo que hace que se desvelen detalles técnicos a personal que no los requieren. Aunque tratemos las copias de respaldo y recuperación, no es necesario que describamos el procedimiento técnico en el mismo documento, pudiendo establecer una referencia o anexo para de esta manera: evitar dar más información a quien no la necesite, para protegerla por un lado y para simplificar la lectura por otro.

3. Auditoría

Entre los errores más comunes que se cometen a este respecto:

  • No realizar la auditoría. La ley es clara, especifica que dicho proceso debe hacerse, cada dos años (desde la realización de la última auditoría), o bien, cuando se sufren cambios importantes.
  • Como no se tratan datos de nivel medio o alto, no hacer auditoría ni una revisión cuando cambian nuestros datos o sistemas. El que no estemos obligados a realizar auditoría para revisar el cumplimiento del Regalmento de Medidas de Seguridad, no nos exhime de su cumplimiento.
  • Dar información ficticia para el proceso. El equipo de auditoría, sea interno o externo, dispone de tanta información como les facilitemos. Limitar o manipular ésta, como es lógico, sólo conducirá a una evaluación errónea de la situación, con los riesgos que esto implica.
  • Realizar la auditoría, pero una vez llegados los informes, estos acaban “en un armario”. De nada sirve el proceso de auditoría si no se evalúan dichos informes y se toman las medidas correctoras necesarias (normalmente, contando con ayuda del equipo auditor).
  • 4. ¿En qué nos puede ayudar Chase The Sun?

    Chase The Sun se dedica a diversos campos de la Seguridad Informática incluyendo el Cumplimiento Normativo. Con extensa experiencia en el campo de Protección de Datos, ayudamos continuamente a nuestros clientes en labores de consultoría (qué deben hacer para cumplir la normativa, o para adaptarse mejor a ella) y auditoría (revisión del estado, recomendaciones para el cumplimiento).
    Puede utilizar nuestro formulario para solicitar más información:

    5. Sobre el Autor

    Jesús Arnáiz es Consultor de Seguridad en Chase The Sun S.L., entre otros ha trabajado en proyectos de Auditoría y Consultoría de Seguridad, Pruebas de Intrusión/Hacking Ético, Análisis Forense y Cumplimiento Normativo (LOPD, SOX, ENS…).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*