Servicios de protección de datos en Coslada

¿QUÉ MEDIDAS DE SEGURIDAD DEBEN TENER LOS LOCALES, DEPARTAMENTOS Y DISPOSITIVOS DE ALMACENAMIENTO?

4.- PROCEDIMIENTO DE SEGURIDAD EN LOCALES, DEPARTAMENTOS Y DISPOSITIVOS FÍSICOS

Para evitar accesos de personas no autorizadas a la información se deben establecer medidas de seguridad física en función de la tipología de datos a tratar. Estas medidas deben evitar pérdidas, daños, robos u otras circunstancias que constituir una amenaza para los activos de la organización, o bien, que puedan provocar la interrupción de las actividades.

Las llaves que permiten la apertura de los dispositivos no deben dejarse puestas, además las puertas o ventanas no deberán permanecer abiertas cuando termine la jornada laboral y no quede ninguna persona dentro de la organización.

4.1 Locales de la organización.
4.2 Departamentos donde se encuentra la información.
4.3 Dispositivos locales de la organización.
4.4 Control de llaves.
4.5 Dispositivos físicos de almacenamiento del servidor.

4.1 Locales de la organización.

En los locales se pueden establecer algunas de estas medidas de seguridad:

• Instalación de vallado perimetral.
• Instalación de puertas Blindadas.
• Instalación de rejas en las ventanas o cristales de seguridad.
• Instalación de sistemas de alarma sonora.
• Instalación de sistemas de alarma con videovigilancia controlados por la dirección de la empresa.
• Instalación de sistemas de alarma con videovigilancia conectados a una central receptora de alarmas. En estos últimos casos se debe elegir un proveedor con las licencias necesarias para instalar estos servicios expedidas por la administración pública competente en la materia.
• Instalación de sistemas de control de acceso automatizados.
• Establecimiento de sistemas de control de acceso mediante huella, identificación facial, tarjeta identificativa o un pin personal. El establecimiento de controles biométricos debe estar y ponderada, y sólo debe usarse si no existen medidas que permitan el grado de control deseado menos intrusivas para la privacidad. Por ejemplo, en una empresa con muchos trabajadores pudiera ser admisible un control mediante la identificación de la huella porque se hubieran dado casos de suplantación de identidad, es decir, que unos trabajadores fichen por otros que se hubieran ausentado de su puesto de trabajo.
• Control de acceso mediante la lectura de matrículas utilizando dispositivos automatizados. Puede que al centro de trabajo sólo queramos permitir que accedan determinados vehículos autorizados.
• Control de acceso mediante vigilantes de seguridad o personal autorizado por la empresa.

4.2 Departamentos donde se encuentra la información.

Las áreas donde se encuentre información sensible o máxima confidencialidad deben dotarse de puertas con sistemas de apertura con llave, contraseña, identificación y autenticación automatizada u otro similar. No obstante, conviene en general dotar de algunos de estos sistemas a cada departamento con independencia de la categoría de datos personales que se traten. Si existen usuarios en la organización con distintos permios de acceso a la información, por ejemplo, cuando se marchan las personas que trabajaban en el departamento laboral, se deberá cerrar con llave, salvo que se quede alguno de los usuarios autorizados quien deberá velar por la seguridad de la información en todo el departamento.

Los sistemas de control de acceso deben considerar diferentes categorías de personal:

• Aquellos usuarios que trabajan habitualmente.
• El personal de soporte que debe acceder periódicamente.
• Otro personal de servicios auxiliares que requieran acceder ocasionalmente.

El archivo definitivo de documentación u otras dependencias donde se almacenen datos confidenciales, que no requieran de accesos reiterados del personal deberán estar provistos de sistemas de apertura con llave o similar.

Además, se recomienda que los departamentos donde se realicen operaciones de tratamiento propios, estén separados físicamente de aquellas que realizan terceros.

Climatización y limpieza de los departamentos donde se encuentra la información. Los equipos informáticos tienen un mejor rendimiento a una temperatura ambiente de entre 21ºC y 23ºC, y de humedad relativa entre el 40 % y el 60 %, ambas variables medidas a un metro del suelo.

El sobrecalentamiento de los equipos puede provocar fallos graves en el sistema e incluso inutilizarlos.

Un nivel de humedad óptimo permitirá proteger los sistemas informáticos de la corrosión, la cual aparece con humedades altas, también ayuda a evitar fallos y errores de funcionamiento temporal causadas por las descargas estáticas que suelen aparecen con condiciones de humedad más bajas.

Se recomienda filtrar el aire para que haya menos partículas en suspensión que puedan penetrar en los equipos. Para evitar el fallo de los equipos por intermitencias provocadas la suciedad conviene que una persona cualificada limpie los equipos con una periodicidad variable, dependiendo de si se utilizan de ventiladores, o filtros anti-polvo, aunque lo habitual será de hacerlo como mínimo 1 vez al año.

4.3 Dispositivos locales de la organización.

Con carácter general los armarios, cajoneras, archivadores u otros dispositivos deben incorporar mecanismos de apertura y cierre con cerradura o contraseña. En ocasiones pudiera ser admisible que no se hubieran dotado de mecanismos de apertura siempre que la información almacenada no fuera sensible y que hubiera al menos un usuario autorizado presente obligándose a custodia la información y que la dimensión del departamento no fuera demasiado grande.

Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.

Para evitar los riesgos por agua, los equipos informáticos se deberían situar en un lugar elevado para evitar el contacto directo con el agua en caso de que se produzcan derrames o inundaciones.

Es importante contar con un sistema que corte el suministro eléctrico cuando los sistemas informáticos estén afectados por el fuego o el agua.

4.4 Control de llaves.

Las llaves que dan acceso a las sedes, departamentos y dispositivos deben estar controladas por una o varias personas de la empresa designadas para ello. El responsable de este control hará entrega de las llaves únicamente a los usuarios con permiso de acceso.

Para facilitar esta tarea se pueden utilizar sistemas de control de llaves mediante dispositivos que permiten facilitar las llaves a las personas autorizadas. Existen distintos modelos, los más simples son mecánicos, de manera que se le asigna una clavija única al usuario con la cuál puede obtener la llave de su departamento o de su armario. Otros son más completos y seguros, disponen de varios armarios de acero donde se encuentran las llaves. Estos últimos están dotados de un mecanismo de apertura personalizado mediante pin, tarjeta, huella, … e integran un software que permite desbloquear sólo las llaves a las que tiene acceso el usuario, y además registrar los accesos, obteniendo datos del usuario, la fecha y hora de recogida y entrega de llaves.

Una de las empresas comercializadoras de este sistema es http://keyvigilant.com/

4.5 Dispositivos físicos de almacenamiento del servidor.

El servidor y las conexiones de las comunicaciones deberá estar protegido en un rack adecuado, con llave y con protecciones ignífugas. Este rack debe incorporar sistemas de alimentación ininterrumpida (SAI) y estar debidamente climatizado con unos parámetros ambientales adecuados de temperatura y de humedad:

• Control de la temperatura: Los equipos y dispositivos informáticos generan calor durante su funcionamiento, luego es necesario mantener una temperatura óptima para evitar el sobrecalentamiento.
• Control de la humedad. No son adecuados ambientes muy secos, ni muy húmedos, el primero puede producir electricidad estática y el segundo condensación, y en ambos casos se dificulta el funcionamiento de los equipos.

Se debe evitar ubicar el servidor al descubierto para aprovechar el aire acondicionado del departamento, puesto que podrían originarse daños por condensación.

Existen sistemas de detección temprana y de extinción de incendios que están dotados de sensores que permiten monitorizar el aire existente dentro del armario y que tienen un sistema de alarma que avisan de la existencia de fuego. Se debe tener precaución en elegir el agente extintor, pues este no debe afectar a la electrónica.

Para proteger el servidor del contacto con el agua, además de situar el servidor en un lugar elevado, también se pueden adquirir un rack resistente al agua.

A continuación, se relacionan un conjunto de procedimientos de seguridad que contienen medidas que se pueden desarrollar, ampliar o reducir según las necesidades de la empresa. Se pueden tomar como referencia para proteger los ficheros y así poder cumplir con lo señalado en el art. 32 de Reglamento General de Protección de datos (RGPD), que versa sobre la seguridad del tratamiento de datos. Pulse en cada una de ellas para obtener más información.

Procedimientos de Seguridad. Introducción

1. Procedimientos de gestión de usuarios y control de acceso.
2. Procedimientos de gestión de contraseñas.
3. Procedimientos de gestión de soportes.
4. Procedimientos de seguridad en locales, departamentos y dispositivos físicos.
5. Procedimientos de ficheros temporales y copias de trabajo de documentos.
6. Procedimientos de gestión de telecomunicaciones.
7. Procedimientos de trabajo fuera de los locales.
8. Procedimientos de protección en equipos, redes y aplicaciones informáticas.
9. Procedimientos de gestión de copias de seguridad.
10. Procedimientos de gestión de incidencias.