Castellano Castellano
Andorra Català
home
21 de noviembre de 2017
Servicios / Protección de Datos
 
proteccion.jpg  
 
 
Protección de Datos
La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, tiene como objetivo el garantizar y proteger las libertades y los derechos de las personas físicas, estableciendo la obligación de notificar a la Agencia de Protección de Datos la existencia y la creación de ficheros que contengan datos de carácter personal.

Adicionalmente existe un Reglamento de medidas de seguridad para los ficheros que almacenen datos de carácter personal, por el que se clasifican los ficheros en tres niveles de seguridad y que exige el cumplimiento de unas medidas de seguridad específicas en función del nivel de seguridad de cada fichero.

En la actualidad todas las empresas deben de tener declarados y protegidos los ficheros que contengan datos de carácter personal, el incumplimiento de esta Ley puede tener consecuencias que impliquen sanciones desde 601 € hasta 601.012 €

El Servicio Smartec de Adaptación a la LOPD

La propuesta y metodología que ofrece SMARTEC, para la adaptación de los sistemas de información a la Ley Orgánica de Protección de Datos según la normativa indicada, es la siguiente:

I. Diagnóstico inicial.

Esta etapa se inicia con una reunión inicial del equipo consultor designado por SMARTEC y los representantes del cliente, con objeto de realizar una presentación del proyecto y la sistemática de trabajo así como conocer a los interlocutores designados por el cliente.

El equipo consultor de realizará un análisis de la situación del cliente con respecto a los requisitos de la actual normativa de protección de datos. Para ello el equipo de consultores, mantendrá distintas entrevistas con los distintos responsables del cliente con objeto de recabar información sobre los datos personales tratados y los sistemas de información que los gestionan.

Sobre la base de esta información, el equipo consultor realizará un inventario de los ficheros que contengan datos personales y el contenido de los mismos, determinándose el nivel de seguridad aplicable (básico, medio o alto), contrastándose, si existen, con anteriores declaraciones de ficheros que hubieran podido realizarse.  Adicionalmente, se comprobarán las políticas de seguridad implantadas.

La información recogida servirá de base para la elaboración de la documentación posterior del sistema.

II. Elaboración de los documentos del Sistema de Seguridad.

En esta etapa se procederá a definir y documentar el Sistema de Seguridad de Protección de Datos, en función del nivel de seguridad que le sea de aplicación. Para ello se elaborará la siguiente documentación:

• Documento de Seguridad que incluirá, entre otros aspectos:

* Ámbito de aplicación.
* Definición de funciones y obligaciones del personal.
* Definición del Registro de incidencias.
* Normas de identificación de usuarios y control de accesos.
* Normas de gestión de soportes y copias de respaldo y seguridad.
* Implantación de las Medidas de Seguridad.

• Normas complementarias sobre la protección de la información confidencial de la empresa que circula por la red corporativa y la prevención de contenidos ilícitos y actividades no autorizadas.
• Elaboración de las normas complementarias para los usuarios de Internet y correo electrónico.

Adicionalmente, se elabora un Manual de Seguridad que incluirá los procedimientos específicos de la empresa en función de los sistemas con los que cuenta.

III. Adaptación de los controles internos al cumplimiento de la legislación de protección de datos.

En esta etapa se procederá a determinar las medidas correctoras necesarias para asegurar el cumplimiento de la Ley incluyendo:

• Adaptación de los ficheros que contengan datos personales, incluyendo su comunicación y/o modificación ante la Agencia de Protección de Datos (APD) y la solicitud de las autorizaciones necesarias para su regularización.
• Análisis de las operaciones que puedan constituir una cesión de datos personales.
• Revisión de los contratos, si existen, de cesión y adquisición de datos así como su modificación y/o nueva redacción en caso necesario.
• Asesoramiento sobre el ejercicio de los derechos de acceso de rectificación y cancelación por parte de los afectados y las obligaciones que derivan del ejercicio de tales derechos.

IV. Implantación del sistema de seguridad.

Una vez elaborados los documentos de seguridad y evaluados los sistemas de control interno, se entregarán al representante del cliente para su revisión y comentarios.

Los comentarios recibidos se analizarán y se incluirán, si procede, en el Manual de Seguridad que se entregará una vez corregido.

Adicionalmente a la documentación entregada para su revisión, SMARTEC facilitará, si procede, un informe de recomendaciones, que el cliente deberá implantar para adecuar sus sistemas a la LOPD.

Así mismo, el equipo consultor presentará los ficheros ante la Agencia de Protección de Datos entregando copia registrada con la entrada a la Agencia de Protección de Datos de los ficheros presentados al Responsable de Seguridad designado por el cliente.

Con la entrega de la edición definitiva, el equipo consultor impartirá la formación adecuada a los Responsables de Seguridad y Usuarios en la que informará sobre la aplicación del Sistema, de cara a su posterior implantación por el cliente en todos sus centros de trabajo.

El Servicio Smartec de Auditoría LOPD
El servicio de auditoría de sistemas de información que soportan datos de carácter personal, responde a la obligatoriedad legal, marcada por el Real Decreto 994/99 de 26 de junio, en el que se obliga a una auditoría, con periodicidad máxima bianual.

Los Beneficios de la Auditoría

La auditoría de sistemas de información, aparte de por la obligatoriedad legal, satisface la necesidad de conocer el estado de nuestros sistemas, porque no todos ellos han sido diseñados para ser seguros.

Gracias a la auditoría podremos conocer el estado de nuestros controles, identificando nuevas amenazas y vulnerabilidades que afectan a nuestro negocio y confirmando que dichos controles y medidas protectoras son efectivas y apropiadas.

Los Servicios de Smartec

El servicio de auditoría que presta SMARTEC, se puede desglosar en diferentes fases:

I. Análisis preliminar.
Mediante un análisis preliminar se obtiene la información necesaria para tomar la decisión sobre como proceder con la auditoría.

Se puede rechazar la realización de la auditoría si se presentan pruebas evidentes que demuestren que el resultado va a ser desfavorable, realizar el análisis detallado del sistema de control interno o rehusar el mismo e iniciar la fase de pruebas, basándose sobre la base de economía de tiempo y controles de proceso de datos existentes.

II. Análisis detallado.

Por medio de un análisis detallado, se obtendrá la información necesaria para que el auditor tenga conocimiento profundo de los controles usados en la instalación informática.

Para ello se estudiará a fondo el documento de seguridad, así como las trazas de auditoría existentes en el sistema y las políticas de seguridad.

III. Validación del sistema.

Con posterioridad al análisis detallado, se entrará en una fase de pruebas con el objetivo de conseguir evidencias suficientes para poder emitir una valoración final sobre el grado de cumplimiento de la ley de protección de datos. Se procederá a revisar, entre otros, la responsabilidad de la seguridad lógica, acceso a instalaciones, administración de contraseñas, informes de incidencias, control de acceso, planes de formación a usuarios, gestión de soportes...

IV. Informe de resultados.

Tras la realización de las pruebas correspondientes, se emitirá un informe, cuyo resultado podrá ser:

a) Favorable. Si no existen deficiencias apreciadas.
b) Favorable con faltas leves. Por lo que se deberán subsanar los errores y se revisarán nuevamente.
c) Desfavorable. Si se han encontrado suficientes fallos o transgresiones a la  ley de protección de datos que impiden una opinión favorable. En caso de volverse a auditar el sistema deberá hacerse desde el inicio.

Auditoría de los Sistemas de Información
Como valor añadido dentro del servicio, SMARTEC ofrece la posibilidad de ampliar la auditoría de los sistemas de información más allá de lo referente a la L.O.P.D., de forma que abarque todas las áreas que precisen ser auditadas, cubriendo aspectos tales como:

-Análisis de la estructura organizacional del área de sistemas de información.
-Infraestructura técnica (hardware, software, redes y telecomunicaciones.
-Seguridad de la infraestructura de red.
-Planes de contingencia.
-Calidad en el desarrollo de software.
-Evaluación de riesgos.

SMARTEC realiza estos servicios de auditoría en base a los estándares y líneas de actuación establecidos internacionalmente para la auditoría de sistemas de información.

Portfolio
Encuesta
© Copyright Smartec 2017. Todos los derechos reservados
Aviso legal | Protección de datos