¿Para qué quiero un documento de seguridad?

¿Para qué quiero un documento de seguridad?

¿Documento de seguridad yo…? ¿de verdad lo necesito?

Es muy posible que te hayas hecho esta pregunta muchas veces en caso de que sepas que es un documento de seguridad.

No son pocas las empresas que he visitado durante todos estos años con un documento de seguridad que jamás habían leído pero satisfechas de tenerlo…

¿Insólito verdad?

Voy a empezar por explicarte que NO es un documento de seguridad

  • No es una carpeta atrapapolvo.
  • No sirve en sí mismo para acreditar que cumples con la LOPD.
  • No es un documento para encajonar.

El documento de seguridad es un documento vivo donde se plasman los procedimientos y medidas de seguridad que debes adoptar para reforzar la seguridad de tu negocio, evitar daños irreparables (o al menos minimizarlos) y garantizar la confidencialidad de la información de terceros que gestionas.

Menos rollo.

¿Para qué quiero un documento de seguridad?

Para empezar, para que empieces a pensar como un profesional PRO-Evolution y dejes de ser una bella durmiente.

Y porque además:

  • Habitas en un mundo digitalizado, procesas información de diferentes fuentes: un blog, encuestas, seminarios, concursos, redes sociales, etc.
  • Recoges datos de clientes, activos y potenciales, suscriptores, seguidores de redes sociales, empleados, colaboradores, alumnos, pacientes, usuarios de tu web, etc.

Necesitas aprender a gestionar todos esos datos de manera segura, ética y responsable.

El documento de seguridad es un documento interno que debes mantener siempre actualizado.

La LOPD establece la obligatoriedad de contar con un documento de seguridad, pero siempre y cuando sea operativo y funcional y no un mero objeto decorativo.

«La elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal»- Artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal, (LOPD)

Mi empresa es muy pequeña para diseñar protocolos de seguridad

En realidad se trata de medidas de puro sentido común, medidas sencillas que tienen toda la lógica del mundo y que no le das importancia hasta que no te toca lamentarte.

¿Por ejemplo?

Una de las medidas de seguridad que van a aparecer en tu documento de seguridad es hacer copias de respaldo y guardarlas en lugar físico diferente.

Puro sentido común.

Si haces copias de seguridad, debes prevenir que esas copias no estén sujetas a las mismas contingencias que pudiera sufrir el equipo sobre el que se realizan las copias.

Imagina que el edificio sufre un incendio, un robo, una inundación. Ambos soportes sufrirían las mismas consecuencias.

Siempre puedes utilizar algunas medidas alternativas, como conservar la copia en armarios ignífugos, implantación de sistemas antiincendio, etc).

Otro ejemplo

Ese documento de seguridad, ha de ser compartido con todos los profesionales o empresas externas que intervengan en el tratamiento de información personal de tu negocio, como una gestoría, un colaborador externo, tu desarrollador web.

Y otra vez, por pura lógica y sentido común.

Si compartes información personal de clientes o empleados con otros, de nada sirve que tú te molestes en cuidarlos y protegerlos y los otros no.

Imagina que un empleado proactivo se pone a buscar direcciones de correo electrónico de páginas web y empieza a mandar correos electrónicos en masa para promocionar tu negocio.

Imagina que uno de los receptores te denuncia ante la Agencia Española de Protección de Datos. Si no le has informado a ese empleado que puede o que no puede hacer con el correo corporativo y no tienes manera de acreditar que le has informado sobre ello, tienes a big problem.

Siempre serás tú el responsable de la información que recoges y gestiones y como responsable, debes asegurarte que todas las personas o empresas a quienes les des acceso a esa información hagan un uso adecuado y conforme a tus exigencias en materia de seguridad.

Si ellos meten la pata y tú no les han indicado las medidas de seguridad que debían aplicar y como debían tratar los datos que les has confiado, sobre ti caerá toda la responsabilidad y el aparato sancionador.

Básicamente, te ayudará a trabajar mejor, a optimizar tiempo, a evitar perdidas de información, a minimizar las incidencias de seguridad, a garantizar derechos de quienes confían en ti, a blindarte legalmente frente a metidas de para ajenas a ti.

¿Y que debe incluir mi documento de seguridad?

Los apartados mínimos que debe incluir el documento de seguridad son:

  • Ámbito de aplicación: especificación detallada de los recursos protegidos;
  • Medidas, normas, procedimientos, reglas y estándares de seguridad;
  • Funciones y obligaciones del personal, estructura y descripción de los ficheros y sistemas de información;
  • Procedimiento de notificación, gestión y respuesta ante incidencias;
  • Procedimiento de copias de respaldo y recuperación de datos;
  • Medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

A partir del nivel medio de medidas de seguridad, además de los apartados anteriores:

  • Identificación del responsable de seguridad y control periódico del cumplimiento del documento
  • En caso de haber contratado la prestación de servicios por terceros para determinados ficheros en el documento de seguridad se debe hacer constar esta circunstancia, indicando una referencia al contrato y su vigencia, así como los ficheros objeto de este tratamiento.

Aquí tienes una guía de un documento de seguridad (PDF) editado por la Agencia Española de Protección de datos.

¿Que te parece estrenar tu propio documento de seguridad?

Imagen: Inkilandscape

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram

Suscríbete hoy

Convierte tu web en un

espacio confiable, seguro y 100% legal

4 respuestas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad. *

marinabrocca.com te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Marina Brocca como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: responder a los comentarios enviados a través de la web.

Legitimación: Consentimiento del interesado.

Destinatarios: Hosting: Bitlabs Ingeniería de Software, S.L. Debes saber que mi hosting es 100% español y 100% seguro.

Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en hola@marinabrocca.com así como el derecho a presentar una reclamación ante una autoridad de control.

El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no pueda atender tu solicitud.

Información adicional: Puedes consultar la información adicional y detallada sobre Protección de Datos en mi página web: marinabrocca.com, así como consultar mi política de privacidad.