Implantar un SGSI

¿Cómo se implanta un Sistema de Gestión de Seguridad de la Información?
La norma ISO 27001 es un modelo para poder establecer, implementar, monitorear, revisar, mantener y mejorar un SGSI para cualquier tipo de organización. El SGSI estará influido por las necesidades de cada empresa, sus objetivos, sus requisitos de seguridad, sus procesos, sus empleados, su tamaño, sus sistemas de soporte y su estructura, por lo que cada SGSI se confeccionará de la forma más adecuada para cada empresa, pero siempre respetando las normas y el modelo de la ISO 27001.
La norma ISO 27001 sigue el denominado CICLO DEMING del Plan, Do, Check, Act:
   PLAN (PLANIFICAR): Es el establecimiento del SGSI: en esta primera fase se trata de determinar el alcance del SGSI (si se va a aplicar a todos los procesos internos de la empresa o sólo a algunos), identificar los activos de información (software, hardware, personal, servicios que se prestan, etc…) y valorar su importancia en la empresa, analizar y evaluar los riesgos que pueden afectar a esos activos (virus informáticos, falta de formación del personal, averías de ordenadores, incendios, inundaciones, etc…), y qué se puede hacer para controlar esos riesgos en la medida de la posible.
    DO (HACER): Es la implementación del SGSI: Consiste en llevar a la realidad las medidas y acciones a aplicar para hacer posible el control de los riesgos a que está sometida la información de la empresa (por ejemplo: instalación de antivirus, plan de formación para los trabajadores en materia de seguridad de la información, implantación de un buen sistema de copias de seguridad, etc…).
    CHECK (VERIFICAR): Es la fase de monitoreo y revisión, por la cual la empresa establece procedimientos y rutinas para poder revisar el desenvolvimiento y la eficacia de ese sistema de medidas de seguridad implantado.
       ACT (ACTUAR):  Es la fase de mejora continua, donde se toman las acciones oportunas para reaccionar ante incidentes de seguridad y tomar también acciones preventivas.

SGSI e ISO 27001

¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?.
Es una parte más del sistema de gestión general de cualquier empresa, pero centrado en mejorar la seguridad de la información. Se trata de definir y establecer un sistema que determine qué hay que proteger  en una empresa (archivos en papel, ordenadores, routers, formación de los trabajadores…)  y por qué; de qué hay que protegerlo (incendios, inundaciones, robos, virus informáticos, desinformación de los empleados…) y cómo debe protegerse (instalación de contraseñas en ordenadores, antivirus, controles de acceso físicos, formación para los empleados…).
Este sistema se articulará por medio de una serie de normas y de procedimientos concretos y detallados.
¿Por qué  implantar un Sistema de Gestión de Seguridad de la Información en mi empresa?
La información (ya sea en formato papel o en cualquier ordenador) que se maneja hoy día en cualquier empresa, organismo o entidad, tiene una importancia vital para el funcionamiento de la misma. La pérdida, por ejemplo, de una base de datos en una empresa, podría dejar paralizada su actividad, impidiendo que se sigan prestando los correspondientes servicios a sus clientes.
Evitar, en la medida de lo posible este tipo de situaciones (así como cualquier pérdida de información debida a desastres naturales o de otra índole, ataques de terceros a través de los sistemas informáticos e internet, etc…), saber cómo actuar cuando sucedan y tener una capacidad de respuesta ante las mismas, son las razones fundamentales por las que se debe implantar un Sistema de Gestión de Seguridad de la Información.
¿Qué es la ISO/IEC 27001?
Es la norma internacional que da las instrucciones y define los pasos para llevar a cabo ese Sistema de Gestión de Seguridad de la Información (SGSI), y sirve para la evaluación de la conformidad, es decir: para obtener un Certificado de una entidad debidamente autorizada sobre la idoneidad de ese SGSI, al igual que ocurre con el sistema de gestión de calidad certificable según la norma ISO 9001, popularmente más conocida.

Borrado de imágenes-LOPD

Son muchos los locales donde existen cámaras de videovigilancia que registran imágenes del personal, proveedores, usuarios, clientes y cualesquiera otras personas que acceden a los mismos.
En este artículo se analiza el plazo de conservación durante el que se han de conservar las imágenes y la forma en que se ha de proceder a su cancelación.
Para ello, hemos de atender al Informe emitido por la Agencia Española de Protección de Datos en el año 2009 con el número 472, del que destacamos lo siguiente:
1   –      Debe señalarse, sobre el período de conservación de las imágenes, que según el artículo 6 de la Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia, que “Los datos serán cancelados en el plazo máximo de un mes desde su captación.”
     – Establece el artículo 4.5 de la Ley Orgánica 15/1999 que  “Los datos serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.” Dicha previsión se reitera en el artículo 8.6 del Reglamento de desarrollo de la Ley Orgánica. El criterio de la Agencia, atendiendo a dicho principio, ha sido entender que las imágenes grabadas, para cumplir con la finalidad de seguridad, deben de conservarse como máximo durante un mes, una vez cumplida dicha finalidad, éstas deben de cancelarse. Por lo que dicho plazo sigue vigente tras la entrada en vigor del Reglamento dado que no se opone a las previsiones contenidas en el mismo.
–     – Los datos serán cancelados en el plazo máximo de un mes desde su captación, lo que quiere decir es que una vez transcurrido dicho plazo las imágenes deberán de ser canceladas, lo que implica el bloqueo de las mismas pues así lo establece, la Ley Orgánica 15/1999 que en el artículo 16.3 señala que “la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión”.
      – El Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre, define en su artículo 5.1. b) la cancelación como “Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.”
      – En cuanto al modo de llevar a cabo el bloqueo, se señalaba en informe de la Agencia de 5 de junio de 2007 que “deberá efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en el centro consultante, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedaría enteramente restringido a las personas a las que se ha hecho referencia.”
    – Sobre el plazo de conservación de las imágenes bloqueadas, “resulta imposible establecer una enumeración taxativa de los mismos, debiendo, fundamentalmente, tenerse en cuenta, como ya se ha indicado con anterioridad, los plazos de prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula al consultante con su cliente, así como los derivados de la normativa tributaria o el plazo de prescripción de tres años, previsto en el artículo 47.1 de la propia Ley Orgánica 15/1999 en relación con las conductas constitutivas de infracción muy grave.