IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Artículos y Textos Legales >
  2. Artículos >
  3. El Documento de Seguridad

Artículos - Seguridad de la Información

El Documento de Seguridad

Emilio del Peso Navarro
Abogado y Ldo. en Informática

La estancia en Segovia con motivo de nuestra participación en el X Curso de Verano de la UNED nos ha permitido escribir esta Tribuna con cierta tranquilidad.

La cercanía del hermoso pueblo La Granja de San Ildefonso, cuna de nuestros mayores, pienso que ha tenido una influencia favorable a la hora de meditar sobre estos temas.

La elección, en estos momentos, no podía ser otra que el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal aprobado por Real Decreto 994/1999, de 11 de junio (publicado en el Boletín Oficial del Estado núm. 151 de 25 de junio, cuyo texto completo se encuentra en nuestra web www.iee.es).

Después de tantos años, más de cinco, pidiendo en conferencias, seminarios y artículos su aprobación ahora que por fin se ha aprobado, lo que este hecho nos produce es preocupación.

Depende, principalmente, de la Agencia de Protección de Datos estatal que este Reglamento sea el motor de arranque de la seguridad de los sistemas de información en España o simplemente sea una norma de escaso cumplimiento a archivar en nuestras carpetas.

El Reglamento de Seguridad de la LORTAD a falta de otra cosa va a ser la referencia obligada cuando se hable de seguridad de la información ya se trate de datos de carácter personal o de cualquier otros datos. De ahí la gran responsabilidad que adquiere la Agencia de Protección de Datos.

A la hora de seleccionar la forma en que íbamos a tratar este tema hemos llegado a la conclusión de que hablar del Reglamento en su conjunto ya hemos hablado bastantes veces por lo que sería mejor comenzar haciendo un análisis pormenorizado diseccionando las partes que consideramos más importantes bien por su novedad, bien por su conflictividad o simplemente por su ámbito de aplicación generalizado.

Hay en el texto del Reglamento una pieza clave para una buena aplicación del mismo y ésta es: el documento de seguridad.

Nos encontramos con un documento de obligado cumplimiento y prácticamente el mismo para todos los niveles, pues el artículo 15 al referirse a la ampliación del documento para los niveles medio y alto sólo incorpora: identificación del responsable o responsables de seguridad, los controles periódicos que se deben realizar para verificar el cumplimiento de los dispuesto en el propio documento y las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado.

Se trata en realidad de un macrodocumento compuesto, de acuerdo con la filosofía de mínimos que se sigue en el Reglamento, de miniplanes.

Recordemos el contenido del documento que figura en el artículo 8:

  1. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  2. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
  3. Funciones y obligaciones del personal
  4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  5. Procedimiento de notificación, gestión y respuesta ante las incidencias.
  6. Los procedimientos de realización de copias y de recuperación de los datos.

Si examinamos detenidamente los diferentes puntos nos encontramos:

Los puntos b) y c) configuran lo que en el sector se conoce por Políticas de seguridad, quizás ha habido cierto temor a emplear esta palabra y se ha optado por medidas.

Los puntos a) d) y e) se pueden interpretar como partes de un Plan de Seguridad y por último el punto f) como un Plan de Contingencia, entendiéndose siempre como mínimos a partir de los cuales organización puede incorporar cuantas medidas considere oportunas.

El análisis del documento desde esta perspectiva nos da pie para resaltar el valor que para una organización tiene la existencia, por escrito, de estos tres planes.

Políticas, en una de sus acepciones, significa, orientaciones o directrices que rigen las actuaciones de una persona o entidad en un asunto o campo determinado.

Para algunos las políticas han de incluir objetivos, creencias, niveles de ética y determinación de responsabilidades.

En algunas organizaciones denominan políticas las diferentes normas generales referidas a la seguridad de la información y en otras reservan la denominación de políticas para la genérica, con una o dos páginas y denominan normas las de siguiente nivel.

Las normas, procedimientos, reglas y estándares van referidos a un entorno concreto.

Un Plan de Seguridad abarca globalmente toda la seguridad y puede comprender dentro el Plan de Contingencia que permita la supervivencia de la organización en casos extremos.

Hechas estas puntualizaciones consideramos positivo que todas estas políticas o medidas, como queramos llamarlas, y planes queden plasmadas en un documento.

(Publicado en el número 36, Septiembre de 1999, de la Revista EN LÍNEA informática)