LOPD EN DESPACHOS DE ABOGADOS

Procedimientos de seguridad I. Identificación y autenticación de usuarios

Tribuna
Pedro-Torre-Rodriguez_EDEIMA20160302_0004_1.jpg

Como undécima entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados hoy les hablaré sobre algunos de los procedimientos de seguridad a implementar en el despacho.

Identificación y autenticación de usuarios

Unos de los procesos a implementar en el despacho jurídico es el de la identificación y autenticación de usuarios en aquellos sistemas de información desde los que se gestionen datos personales. Este procedimiento recoge las reglas a aplicar en la administración de usuarios con acceso a los sistemas de información, con objeto de establecer mecanismos que eviten el acceso no autorizado a la información personal.

INVENTARIO DE USUARIOS Y NIVELES DE ACCESO

  1. Los Responsables Delegados de Ficheros y las personas en quien estos deleguen serán los únicos con competencia para conceder, alterar o anular los accesos autorizados a los sistemas de información.
  2. El Responsable de Seguridad en colaboración con los Responsables Delegados de Ficheros o en su caso directamente los Responsables Delegados de Ficheros, establecerán una segmentación de los accesos para cada uno de los sistemas de información mediante la definición de perfiles de usuarios, donde se especifiquen las opciones de accesos permitidos y el tipo de acceso requerido y si se le permite actualización de datos o solo consulta.
  3. Cada uno de los usuarios estará asignado a un perfil por cada sistema al que tenga acceso, de manera que exclusivamente tenga acceso autorizado a los recursos que precisa para desempeñar su función.
  4. Cada acceso autorizado a los sistemas de información deberá estar identificado unívocamente con el usuario correspondiente.
  5. Existirá un registro actualizado de los usuarios con acceso autorizado para cada sistema de información que deberá contemplar al menos la siguiente información: nombre de usuario, identificador de usuario y perfil de usuario.
  6. El Responsable de Seguridad revisará periódicamente el registro de usuarios y facilitará al Responsable Delegado del Fichero un listado con las altas, bajas y modificaciones en los derechos de acceso producidas en el último periodo. El Responsable de Seguridad incorporará dicho listado en los informes periódicos que genera y reporta a cada Responsable Delegado de Fichero.

POLÍTICA DE CONTRASEÑAS

  1. Todos los usuarios con acceso a un sistema de información dispondrán de una única autorización de acceso compuesta de identificador de usuario y contraseña o en su caso certificado digital.
  2. En los sistemas de información se deberá habilitar un mecanismo que exija al menos una vez al año el cambio de la contraseña para cada autorización de acceso. Si bien lo recomendable sería realizar el cambio de contraseñas cada 180 días como máximo.
  3. La longitud de las contraseñas será igual o superior a 6 caracteres. El sistema de información, si lo permite, obligará al uso de esta longitud mínima de contraseña.
  4. Las contraseñas estarán constituidas por combinación de caracteres alfabéticos y numéricos y no harán referencia a ningún concepto, objeto o idea reconocible. Por tanto, se deberá evitar utilizar en las contraseñas fechas significativas, días de la semana, meses del año, nombres de personas, teléfonos, etc.
  5. El sistema inhabilitará, siempre que tecnológicamente lo permita, los intentos reiterados mediante identificadores o contraseñas incorrectas. El número máximo de intentos permitidos será 5.
  6. En el caso de que el nivel de seguridad sea de nivel medio el sistema limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
  7. La cuenta de acceso a un sistema correspondiente a un usuario será bloqueada cuando se detecte un periodo de inactividad en acceso mayor a 180 días, siempre que tecnológicamente sea posible.
  8. El sistema almacenará mediante algoritmos de cifrado las contraseñas al objeto de garantizar la confidencialidad e integridad de las mismas.

REGISTRO DE ACCESO A LA INFORMACIÓN

  1. Los mecanismos que permitirán el registro del acceso a los datos serán competencia directa del Responsable de Seguridad, sin que se deba permitir en ningún caso, la desactivación de los mismos.
  2. De acuerdo con el artículo 103.6 del Real Decreto 1270/2007 no será necesario el registro de acceso en el caso que el Responsable Delegado del Fichero o del tratamiento garantice que únicamente él tiene acceso y por lo tanto sea el único que puede tratar los datos.

Administración de usuarios y gestión de bajas

El objeto de este procedimiento es describir cómo se realiza la administración de los usuarios con acceso a los sistemas de información y a los ficheros no automatizados del despacho jurídico.

La responsabilidad de facilitar autorizaciones de acceso a los sistemas o ficheros con datos de carácter personal recaerá en los Responsables Delegados de Ficheros.

El procedimiento de administración de usuarios contemplará y normalizará las siguientes acciones:

  1. Alta como usuario de la red local del despacho jurídico sin derechos de acceso a sistemas ni a ficheros con datos de carácter personal ubicados en servidores de ficheros y en aplicaciones.
  2. Alta de usuario en un sistema con derechos de acceso a ficheros con datos de carácter personal ubicados en servidores de red o en las Aplicaciones.
  3. Modificación de derechos de acceso en un sistema o en el acceso a aplicaciones con datos de carácter personal. Implica altas, bajas o modificaciones sobre los derechos de acceso que ya tiene el usuario.
  4. Baja de usuario en un sistema o en su acceso a los ficheros con datos ubicados en servidores de red.
  5. Solicitud de nueva contraseña: por olvido de ésta por parte del usuario o por haber caducado la misma.
  6. Concesión de autorización de acceso a ficheros no automatizados.

El procedimiento de gestión de bajas del personal contemplará y normalizará las siguientes acciones:

  1. Baja total de usuario. Implicará la anulación de todos sus derechos de acceso tanto a ficheros automatizados como no automatizados y la eliminación como usuario de la red.

A continuación se recoge la descripción del procedimiento diferenciando entre los procedimientos de administración de usuarios y de gestión de bajas del personal.

PROCEDIMIENTO DE ADMINISTRACIÓN DE USUARIOS.

  1. Al surgir la necesidad de administración de usuarios se generará la solicitud correspondiente y se autorizará para que se puedan realizar las modificaciones oportunas.
  2. Se actuará, si procede, dando de alta o de baja al usuario en los sistemas y habilitando, anulando o modificando los derechos de acceso de usuario a los sistemas automatizados y no automatizados que correspondan a la solicitud aprobada.
  3. En el caso de ficheros automatizados, se actuará pidiendo el alta o baja como usuario de la red local del despacho jurídico y sus servicios correspondientes (correo, Intranet, Internet, etc) y habilitando, anulando o modificando los derechos de acceso a los ficheros con datos de carácter personal ubicados en servidores y aplicaciones.
  4. Cuando la solicitud contemple la baja total de un usuario, se procederá a darle de baja como usuario de los sistemas de información a los que tenga acceso y como usuario de la red, además de anularle los accesos a todos los sistemas de ficheros automatizados y a ficheros no automatizados.
  5. En el caso de alta en la red local del despacho jurídico o en las aplicaciones, se asignará una cuenta de usuario según las normas establecidas en la política de contraseñas. La contraseña asignada se almacenará de forma ininteligible en los sistemas de información.
  6. Se le hará llegar al usuario el identificador de usuario y la contraseña. El envío se realizará por medio de un mecanismo que garantice la confidencialidad e integridad de la cuenta de usuario.
  7. El usuario comprobará que la contraseña ha llegado en las condiciones que garantizan su confidencialidad.

PROCEDIMIENTO DE GESTIÓN DE BAJAS DE PERSONAL

Mediante este procedimiento se normalizará la comunicación y gestión de las bajas del personal como usuarios de los sistemas de información y la eliminación de los derechos de accesos a los lugares restringidos del despacho jurídico y los ficheros no automatizados. Implicará la anulación de todos sus derechos de acceso y la eliminación como usuario de la red corporativa.

  1. Una vez se haya tenido constancia de que se ha producido una petición de baja de una persona en el despacho jurídico, el Responsable Delegado del Fichero o el Responsable de Seguridad cursará la baja de la persona en los sistemas de información y en la red local propiedad del despacho jurídico.
  2. Se anularán los derechos de acceso de las personas que causen baja a los sistemas correspondientes y se les eliminará como usuarios de la red.
  3. Se adoptarán las medidas oportunas para asegurar la anulación de los derechos de acceso a las zonas restringidas y a los ficheros no automatizados.
  4. Periódicamente el Responsable de Seguridad elaborará un informe con las bajas producidas y se comprobarán con las bajas realmente producidas en los sistemas de información y accesos. Dicho informe se comunicará al Responsable Delegado del Fichero.

Ficheros temporales

Este apartado define la normativa a aplicar para el tratamiento de ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares, de forma que se asegure la privacidad y seguridad de los datos de carácter personal contenidos en los sistemas de información o en los soportes no automatizados del despacho jurídico.

  1. El despacho sólo permitirá la creación de ficheros temporales o copias de documentos que contengan datos de carácter personal en dos situaciones:
    • Ficheros temporales o copias de documentos creados por usuarios autorizados.
    • Ficheros temporales generados automáticamente en procesos internos de los sistemas de información.
  1. Los usuarios únicamente podrán generar ficheros temporales cuando éstos sean necesarios para el trabajo a desempeñar y deberán seguir las siguientes normas:
    • Estos ficheros nunca deberán ser ubicados en unidades locales de los equipos informáticos sin las debidas medidas de seguridad, siendo los servidores de ficheros el lugar idóneo para ubicar temporalmente este tipo de ficheros.
    • La persona que esté utilizando las copias de documentos deberá custodiarla e impedir que pueda ser accedida por cualquier persona que no esté autorizada.
    • No se permitirá la salida de estos ficheros o documentos fuera de las dependencias del despacho jurídico sin la debida autorización del Responsable Delegado del Fichero.
    • Una vez que estos ficheros temporales o copias de trabajo hayan dejado de ser útiles para la finalidad con la que se crearon, serán borrados o destruidos por el usuario que los creó.
  1. Ficheros temporales creados automáticamente en procesos internos de los sistemas de información.
    • Estos ficheros son generados automáticamente en procesos internos de las aplicaciones cuya ejecución puede estar programada periódicamente o realizarse con carácter esporádico. Tanto en un caso como en otro, los procesos deberán estar diseñados para que los ficheros temporales creados durante su ejecución se eliminen a la finalización de los mismos.
    • Si por causas accidentales, el proceso fallara durante su ejecución, los ficheros temporales permanecerían creados hasta que se analice y conozca la causa que motivó el fallo. Posteriormente se procederá al borrado de los ficheros temporales existentes.
  2. En todo caso, los ficheros temporales que se creen, tendrán las mismas medidas de seguridad que correspondan a los ficheros maestros de los que proceden sus datos.

    Seguridad en redes de comunicación

    Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

    En el caso de que sea necesario aplicar medidas de seguridad de nivel medio, se deberá garantizar la confidencialidad e integridad de la información circulante a través de las distintas redes, cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros durante la transferencia de datos personales.

    Recomendaciones

    Le recomiendo que sea sistemático en la implantación de estos procesos en su despacho jurídico y riguroso en su aplicación y seguimiento del cumplimiento de dichos procesos.

    Les espero en la próxima entrega: "Procedimientos de seguridad (Parte II)".


    ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación