En relación con las políticas a implantar en nuestra organización, ya hemos contemplado algunas de las medidas técnicas y organizativas que deberíamos tener en cuenta, y a modo de resumen, tenemos:
Medidas Técnicas
- Pseudonimización de la información
- Cifrado de la información y de las comunicaciones.
- Credenciales de acceso físico y/o de acceso lógico.
- Mecanismos de atribución y control de permisos a usuarios.
- Empleo de antivirus y cortafuegos.
- Respuestas ante brechas de seguridad.
- Políticas de protección de seguridad de la red.
- Copias de seguridad, retención de copias de seguridad.
- Clasificación, conservación y recuperación de la información.
- Seguridad de los datos en el manejo de los medios de almacenamiento.
- Medidas de seguridad en locales (alarmas, videovigilancia,etc).
Además de estas medidas técnicas, también debemos implantar una serie de medidas organizativas, como por ejemplo:
Medidas organizativas
- formación del personal en materia de protección de datos de carácter personal, y formación en las aplicaciones implicadas en el tratamiento.
- uso y actualización de credenciales de acceso físico y lógico. Protocolo.
- copias de seguridad y respaldo. Protocolo.
- actualización y supresión de datos. Protocolo.
- registro de incidencias.
- registro de activos implicados en los tratamientos.
- DPD. Delegado de Protección de Datos.
- Designación de un responsable de seguridad.
- Realización periódica de auditorias.
- EIPD. Evaluación de Impacto Protección de Datos.
- Implantación de políticas de privacidad y protección de datos.
- TID
- uso correo electrónico
- uso de internet
- escritorios limpios
- destrucción de documentos
- eliminación de equipos
- evaluación de adquisiciones
- ingeniería social
- protección de contraseñas.
Es muy importante tener en cuenta:
Violaciones de seguridad de datos de carácter personal
Del mismo modo que es importante implantar las medidas técnicas y organizativas adecuadas, es necesario que cuando se produzca una violación de seguridad DE LOS DATOS DE CARÁCTER PERSONAL, como por ejemplo, el robo o acceso indebido a los datos personales:
- se notifique a la Agencia Española de Protección de Datos, en un término de 72 horas, acerca de dichas violaciones de seguridad
- se incluya toda la información necesaria para el esclarecimiento de los hechos, que hubieran dado lugar al acceso indebido a los datos personales.
- que la notificación se realice por medios electrónicos, a través de la sede electrónica de la Agencia Española de Protección de Datos, en la dirección: https://sedeagpd.gob.es
REVISAR
Luego que hayamos implantado las medidas técnicas y organizativas adecuadas, debemos proceder a su revisión de forma periódica:
- Es importante que las medidas de seguridad, tanto técnicas como organizativas, se revisen de forma periódica.
- También es importante establecer que esta revisión pueda realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual. Es decir, hay que establecer la forma de realizar la revisión.
Debes considerar que cualquier incidente de seguridad informática que le haya ocurrido a cualquier conocido, te puede ocurrir a ti.
Es por eso debes tomar todas las medidas necesarias para evitarlos.
