Aplicación práctica
Usted, como responsable de tratamiento de datos de su empresa, acaba de darse cuenta de que se han seguido utilizando datos ilícitamente de un antiguo cliente cuando este ha solicitado reiteradamente y por vía formal la eliminación de sus datos de la base de datos de la empresa. ¿Qué tipo de infracción se estaría cometiendo? ¿De qué cuantía podría ser la sanción?
SOLUCIÓN
Cuando se tratan datos reiteradamente de forma ilícita a pesar de haber sido solicitado el cese del tratamiento de estos datos, se está incurriendo en una infracción muy grave. Por ello, las sanciones pueden ir desde los 300001 hasta los 600000 €.
5. Normativas más frecuentemente utilizadas para la gestión de la seguridad física
Las normas y recomendaciones referentes a la gestión de la seguridad física se encuentran en la novena sección de la norma ISO/IEC 27002 (09-Seguridad Física y del Entorno), que se ha visto anteriormente. En este apartado se analizará con más profundidad y dando más detalle a las recomendaciones que se proporcionan en dicha sección.
Este punto de la norma se divide en dos partes, atendiendo a los tipos de medidas que se especifican en ellas:
1 Áreas seguras.
2 Seguridad de los equipos.
Áreas seguras
Las medidas a tomar en áreas seguras que se especifican en la norma tienen como objetivo evitar el acceso físico no autorizado y los daños o intromisiones en las instalaciones y a la información de la organización.
Los servicios de procesamiento y tratamiento de la información deben estar ubicados en áreas seguras y protegidas con un perímetro de seguridad definido por barreras y controles de entradas. La protección de dichos servicios debe ser proporcional con los riesgos identificados.
En cuanto a áreas seguras se establecen las siguientes medidas:
1 Perímetro de seguridad física: los perímetros de seguridad deben utilizarse para proteger las áreas que contengan información y recursos para su procesamiento. Son ejemplos de perímetros de seguridad: paredes, tarjetas de control de entrada a puertas, puestos manuales de recepción, etc.
2 Controles físicos de entrada: las áreas de seguridad deben protegerse con controles de entrada adecuados que garanticen solo la entrada de personal autorizado. Por ejemplo, utilizar controles de autenticación como tarjetas de acceso para entrar en áreas donde se almacena o procesa información sensible.
3 Seguridad de oficinas, habitaciones y medios: debería diseñarse y aplicarse medidas de seguridad física para oficinas, habitaciones y medios. Por ejemplo, los directorios y teléfonos internos no deberían estar accesibles al público.
4 Protección contra amenazas externas e internas: se deberían asignar y aplicar medidas de protección física contra daños por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre. Por ejemplo, poner extintores ubicados en zonas de alto riesgo de incendio.
5 Trabajo en áreas seguras: se deberían diseñar y establecer directrices para trabajar en áreas seguras. Por ejemplo, no permitir equipo fotográfico, de vídeo, etc., en el recinto excepto si se recibe una autorización para ello.
6 Áreas aisladas de carga y descarga: deben estar controlados los puntos de acceso, como áreas de entrega y carga, y otras zonas por donde personas no autorizadas pueden llegar a ingresar al local. Por ejemplo, el acceso al área de carga y descarga desde fuera del edificio debería estar restringido al personal identificado y autorizado.
Seguridad de los equipos
El objetivo de las medidas vinculadas a la seguridad de los equipos consiste en evitar cualquier pérdida, daño, robo o deterioro de los activos y la interrupción de las actividades de la organización.
Estas medidas deben tener en cuenta la protección del equipo tanto de amenazas físicas como ambientales:
1 Ubicación y protección del equipo: el equipo debe ubicarse en espacios que reduzcan las amenazas y peligros ambientales y los riesgos de accesos no autorizados. Por ejemplo, utilizar membranas de protección del teclado en oficinas industriales.
2 Servicios públicos de soporte: el equipo debe protegerse de posibles fallos de alimentación y otras interrupciones causadas por fallos de suministro. Por ejemplo, colocar sistemas de alimentación interrumpida (SAI) para mantener la electricidad cuando haya fallos en el suministro.
3 Seguridad del cableado: el cableado debe estar protegido de los daños que pueda sufrir. Por ejemplo, los cables de alimentación deben estar separados de los cables de comunicaciones para evitar interferencias.
4 Mantenimiento de los equipos: los equipos deben mantenerse correctamente para asegurar su continua disponibilidad e integridad. Por ejemplo, solo el personal de mantenimiento autorizado debe realizar las reparaciones y dar servicio al equipo.
5 Seguridad de los equipos fuera de las instalaciones: deben aplicarse medidas específicas de seguridad en aquellos equipos que se utilicen fuera de las instalaciones, teniendo en cuenta los riesgos que conlleva. Por ejemplo, debería tenerse contratado un seguro adecuado para proteger al equipo fuera de las instalaciones (por si hay robos, daños, etc.).
6 Seguridad de la reutilización o retirada de los equipos: antes de determinar la finalización de su uso, la información de los equipos debe pasar unos controles para asegurarse de que esta ha sido borrada o sobrescrita sin posibilidad de recuperación.
7 Retirada de propiedades de la organización: el equipo, información, software o cualquier otro activo propiedad de la información no se debe retirar sin autorización previa.
Nota
Las principales amenazas que se prevén en la seguridad física son: los desastres naturales, los incendios accidentales, las amenazas ocasionadas por el hombre y los sabotajes internos y externos deliberados.
Actividades
8. Las medidas de seguridad para proteger a los equipos son fundamentales para prevenir riesgos de daño o accesos no autorizados. Ponga ejemplos (aparte de los mencionados en el apartado) de medidas de seguridad que usted aplicaría para el mantenimiento de los equipos.
Aplicación práctica
Usted, como responsable de seguridad de su empresa, está diseñando las distintas medidas que deben aplicarse en las áreas seguras. ¿Qué finalidad tienen estas medidas? Proponga tres medidas para mantener la seguridad en estas áreas.
SOLUCIÓN
Las medidas de seguridad de las áreas seguras tienen como objetivo evitar el acceso físico no autorizado y los daños o intromisiones en las instalaciones y a la información de la organización.
Tres posibles medidas para mantener esta seguridad podrían ser el mantenimiento de un perímetro de seguridad, el establecimiento de controles de entrada y el aislamiento de las zonas de carga y entrega respecto a las áreas seguras.
6. Resumen
La información es un activo muy valioso en cualquier organización y más en un mundo globalizado