sygilo

Transcripción

sygilo

PROTECCIÓN DE DATOS
FORMACIÓN PARA EL
PERSONAL DE SEGURIDAD
DE LOS REGISTROS
“SYGILO”
Enero 2010
COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA
CENTRO DE FORMACIÓN “Carlos Hernández Crespo”
C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid
Formación responsable seguridad. SYGILO
2-56
Centro de Formación
INDICE
1.- INICIO - INTRODUCCIÓN A SYGILO..................................................................................... 5
2.- FICHEROS LOPD.................................................................................................................... 7
2.1 Consulta de Ficheros. ......................................................................................................... 7
2.2 Consulta de Sistemas. ........................................................................................................ 9
3.- DOCUMENTO DE SEGURIDAD. .......................................................................................... 11
Funciones y Obligaciones....................................................................................................... 12
Control de acceso lógico......................................................................................................... 13
Control de acceso físico.......................................................................................................... 14
Revisiones del documento de Seguridad. .............................................................................. 15
3.1 Documento de Seguridad en el Registro con Sygilo. ....................................................... 15
3.1.1 Personal Asociado..................................................................................................... 15
3.1.2. Doc. De Seguridad. .................................................................................................. 21
3.1.2.1. Documento de Seguridad. ................................................................................ 21
3.1.2.2 Anexo I: Ficheros. ............................................................................................... 23
3.1.2.3 Anexo II: Notificaciones LOPD............................................................................ 23
3.1.2.4 Anexo III: Funciones............................................................................................ 23
3.1.2.5 Anexo IV: Acceso datos. ..................................................................................... 25
3.1.2.6 Anexo V: Acceso Físico. ..................................................................................... 28
3.1.2.7 Anexo VI: Revisiones .......................................................................................... 29
3.1.2.7 Anexo VI: Revisiones .......................................................................................... 30
3.1.2.8 Anexo VII: Documentos de Apoyo. ..................................................................... 33
3.1.3 Diario de Trabajo. ...................................................................................................... 34
4.- PROCEDIMIENTO DE GESTIÓN. (2ª Fase) ........................................................................ 37
4.1 Registro de Incidencias..................................................................................................... 37
4.1.1 Incidencias................................................................................................................. 37
A) Notificar incidencia de seguridad. .................................................................................. 37
B) Registrar la incidencia.................................................................................................... 38
C) Resolver la incidencia. ................................................................................................... 38
D)
Revisar incidencias y emitir informe. ..................................................................... 38
4.1.2 Registro de Incidencias en el Registro y con Sygilo. ................................................ 38
4.2 Gestión ARCO. ................................................................................................................. 40
4.3 Inventario de Soportes...................................................................................................... 43
4.3.1. Soportes: Identificar, inventariar, almacenar y destruir/reutilizar. ............................ 43
a) Identificación................................................................................................................... 43
b) Inventariar....................................................................................................................... 43
c) Almacenar....................................................................................................................... 43
d) Destruir/Reutilizar. .......................................................................................................... 44
4.3.2. Inventario de Soportes en el Registro con Sygilo. ................................................... 44
4.4 Autorizaciones de Soportes. ............................................................................................. 45
4.4.1. Autorizaciones de Soportes en el Registro con Sygilo............................................. 46
5.- AUDITORIAS. ........................................................................................................................ 48
3-56
4-56
1.- INICIO - INTRODUCCIÓN A SYGILO.
SYGILO es la aplicación que se ha creado para que los registros puedan cumplir, de una forma
más sencilla, la normativa relativa a Protección de Datos. Para acceder a ella iremos por la
INTRANET colegial, en ella pinchar sobre “PROTECCIÓN DE DATOS” y podremos encontrar
toda la normativa, documentación y la aplicación Sygilo objeto del presente manual.
Al entrar a la aplicación desde la intranet, el registro verá en la parte izquierda de la pantalla un
menú de opciones con las que debe trabajar para el cumplimiento de la LOPD.
Podremos observar una pantalla central en la que se nos muestran las estadísticas de los
ficheros declarados por el registro. Tenemos dos pestañas, una para los ficheros privados y otra
para los ficheros de carácter público, aunque estos a día de hoy no se declaran.
5-56
6-56
2.- FICHEROS LOPD.
2.1 Consulta de Ficheros.
En una primera fase, se deben declarar los Ficheros con datos de carácter personal, para ello
pulsaremos sobre la opción “FICHEROS LOPD”. Podremos consultar los ficheros de carácter
personal de nuestro registro y el estado en el que se encuentran.
Antes de enviar los ficheros declarados a la Agencia, el Colegio comunicará al Registrador
mediante correo electrónico los cambios producidos en la declaración de sus ficheros. El
registrador entrará por el apartado de “NOTIFICACIONES Æ CAMBIOS DECLARACIÓN,”
pudiendo ver todos aquellos ficheros que están en el “Estado” “Pte. Aceptación Modificación” y
pulsar sobre el botón
contrario.
para poder ver los datos que se van a declarar salvo que se indique lo
7-56
Una vez confirmados, los ficheros declarados son enviados por el Colegio a la Agencia de
Protección de Datos para que sean registrados en el Registro General de Protección de Datos
(RGPD).
Una vez registrados los ficheros en la Agencia, se recibirán las “Notificaciones” de las
inscripciones de éstos por correo electrónico al Registrador. El Registrador, deberá aceptar
firmando estas comunicaciones de inscripción con su firma electrónica en un plazo de 10 días.
En caso contrario, transcurrido dicho periodo, se aplicará el “silencio administrativo” y se
considerarán aceptadas. Al aceptar estas comunicaciones, deberán imprimirse y adjuntarse en
formato papel al “Documento de Seguridad”. Finalmente, comentar que al ser “aceptadas”
quedarán grabadas automáticamente en Sygilo, concretamente, en el apartado de “Documento
de Seguridad”.
No obstante, en el caso de que el Registrador no esté de acuerdo, podrá interponer recurso de
Reposición ante la Agencia en un mes, o dos meses para interponer recurso ContenciosoAdministrativo ante la sala de lo Contencioso-Administrativo competente.
Para “Aceptar” la comunicación de inscripción en la Agencia de Protección de Datos
seleccionaremos la opción “Aceptaciones” del apartado de “Notificaciones”. Al seleccionar dicha
opción, nos permitirá ver en pantalla las “Notificaciones pendientes de aceptar”, en la parte
inferior de la pantalla tendremos el botón para “Aceptar”.
El
Registrador
pulsará
“Aceptar” con su certificado de
firma y una vez llevada a cabo
la firma la aplicación nos
mostrará el mensaje de que
ha finalizado la aceptación.
8-56
2.2 Consulta de Sistemas.
Por otro lado, podremos ver los diferentes programas de carácter informatizado o “sistemas”
que tenemos en el registro y que contienen datos de carácter personal, y el nivel de seguridad
que tiene cada uno de ellos.
Por defecto, la aplicación nos muestra una serie de “sistemas”. No obstante, podremos dar de
alta otros que necesite el registro. Para dar de alta pulsaremos al botón “Añadir”.
9-56
Pulsar
para dar de alta
el sistema que deseemos. Accedemos
a una pantalla con tres pestañas, son
obligatorias de cumplimentar las
casillas en amarillo. Una vez
rellenadas
las
casillas
pulsar
para
nuevamente
grabar. Tendremos dado de alta el
sistema lo que afectará directamente
al “Diario de Trabajo”. Es decir, a las
obligaciones a la hora de trabajar en
la aplicación para adecuarnos a la
normativa de Protección de Datos.
Los sistemas que tengamos dados de alta afectan directamente al “Diario de Trabajo” y por lo
tanto en los “Indicadores”, es decir, a las obligaciones a la hora de trabajar en la aplicación para
adecuarnos a la normativa de Protección de Datos.
10-56
3.- DOCUMENTO DE SEGURIDAD.
El “Documento de Seguridad” se podría definir como “las medidas de índole técnica y
organizativas necesarias para garantizar la protección, confidencialidad e integridad que exige
la LOPD”.
El Documento de Seguridad es un documento elaborado por el Responsable de Seguridad y de
obligado cumplimiento para todo el personal en aquello que afecte.
El contenido principal queda estructurado como sigue:
•
•
Funciones y obligaciones del personal.
Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los
niveles de seguridad exigidos por este documento. Concretamente:
o
o
o
Medidas comunes a ficheros automatizados y no automatizados.
Medidas específicas a ficheros automatizados.
Medidas específicas a ficheros no automatizados.
Aquí explicaremos un poco más en detalle los datos que tenemos que incluir en nuestro
Documento de Seguridad. Dependiendo del nivel de seguridad de los ficheros, como ya se ha
explicado antes, el documento debe incluir lo siguiente:
Nivel básico:
•
•
•
•
•
Aspectos generales. Es decir, ámbito de aplicación y especificación detallada de los
recursos que se protegen. Por ejemplo, especificaremos las bases de datos a las que
se refiere el Documento.
Medidas que se establecen para garantizar el nivel de seguridad exigido. Por
ejemplo, detallaremos los sistemas de contraseña y su cambio periódico, la protección
física de los accesos a los servidores, etc.
Funciones y obligaciones del personal. Por ejemplo, explicaremos las limitaciones de
un usuario para acceder a la base de datos.
Estructura de los ficheros y descripción de los Sistemas de Información que los
tratan. Por ejemplo, el tipo de datos que contiene la base de datos y la descripción de
los programas que usan para acceder a ella.
Detallar los procedimientos de notificación, gestión y respuesta ante incidencias.
Por ejemplo, habrá un procedimiento donde se detalle cómo proceder ante una
incidencia detectada en la base de datos. Como ya se ha comentado, es necesario
mantener un registro de incidencias, que deberá contener:
o
o
o
o
o
•
Tipo de Incidencia.
Momento en que se ha producido.
Persona que realiza la notificación.
A quién se le comunica.
Efectos derivados de la incidencia.
Detallar procedimiento de copias de seguridad y de recuperación de la misma en
caso de ser necesario.
11-56
Nivel Medio:
Además de los contenidos del documento para el nivel básico, para el nivel medio deberá
también incluir:
•
•
Identificación del Responsable o Responsables de Seguridad.
Plan de auditoria bianual.
Recordemos que para el nivel medio se nos exige un control de entrada/salida de los soportes.
Este registro debe incluir:
•
•
•
•
•
•
•
Tipo de soporte.
Fecha y hora.
Emisor y destinatario.
Número de soportes.
Tipo de información que contienen.
Forma de envío.
Persona autorizada responsable de la recepción y entrega, respectivamente.
Nivel Alto:
El documento de Seguridad para los ficheros de nivel alto deberá contener los mismos campos
que para los niveles básicos y medio, aunque evidentemente con las particularidades respecto a
la protección de ficheros de este nivel.
Una de las obligaciones sobre los ficheros de nivel alto la llevanza del registro de los accesos a
estos ficheros. Este registro debe ser conservado al menos durante 2 años, y contendrá los
siguientes campos:
•
•
•
•
•
Quién es el usuario.
Fecha y hora de acceso.
A qué fichero accedió.
Tipo de acceso.
Resultado del intento (permitido-denegado).
Funciones y Obligaciones.
RESPONSABLE FICHERO: El Registrador es el responsable último de los Ficheros, tanto
automatizados como no automatizados, que contienen datos de carácter personal, y decide sobre
su finalidad, contenido, uso y tratamiento.
RESPONSABLE SEGURIDAD: Cuyas funciones serán las de coordinar y controlar las medidas
definidas en el presente documento. El Responsable de Seguridad es el propio Registrador o
quien éste haya designado para tales funciones, el nombramiento se reflejará como en el
documento de seguridad.
OPERADORES, TÉCNICOS Y ADMINISTRADORES DEL SISTEMA: Son los encargados de
administrar o mantener el entorno operativo de la información contenida en los Ficheros y del
acceso a los mismos. Asimismo, se encargan de la custodia de soportes, incluyéndose a todas
las personas involucradas en los tratamientos de datos (Operadores del Registro,
Administradores, Operadores de explotación…) que generan, tratan o gestionan soportes (por
ejemplo, las cintas o discos de la copias de seguridad).
USUARIO DEL FICHERO o personal que usualmente utiliza el archivo físico (tomos, libros
auxiliares y legajos del Registro) o el sistema informático de acceso al Fichero.
12-56
ENCARGADO DEL TRATAMIENTO: Cuya función será tratar los datos por cuenta del
Responsable del Fichero. Tratamiento conforme a las instrucciones especificadas por éste en el
contrato de prestación de servicios que les vincula.
En el ANEXO IV relativo a “Funciones y Obligaciones” se nombran las diferentes personas con
atribuciones de responsabilidad y seguridad sobre los ficheros que contienen datos de carácter
personal.
Constituye una obligación del personal adscrito al Registro, tanto interno como externo, notificar
al Responsable de Fichero o de Seguridad las incidencias de seguridad de las que tengan
conocimiento respecto a los recursos protegidos.
Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos
personales que conozcan en el desarrollo de su trabajo (Art.10 LOPD). Este compromiso será
asumido mediante la firma del correspondiente documento de confidencialidad.
El incumplimiento de estos principios determinará la adopción por el Registrador de las medidas
preventivas, correctivas o disciplinarias que resultaran precisas y podrá acarrear las
correspondientes sanciones en función de la normativa aplicable.
Control de acceso lógico.
Las principales funciones del Control de Acceso Lógico son:
•
•
•
•
Controlar los accesos a la información teniendo en cuenta las políticas de distribución
de la información y de autorizaciones.
Evitar accesos no autorizados a los sistemas de información, estableciendo
procedimientos formales para controlar la asignación de los derechos de acceso a los
sistemas y a los servicios.
Detectar actividades no autorizadas.
Garantizar la seguridad de la información cuando se usan dispositivos de informática
móvil y teletrabajo.
Para evitar que programas o personal no autorizado usen los recursos:
1. Se deben emplear controles de acceso lógico a los programas y aplicaciones, es decir,
las aplicaciones deben estar desarrolladas de tal manera que prevean el acceso no
autorizado a la información a la que tienen acceso.
2. El identificador del usuario es único por persona y tiene asociado una contraseña o
password. Los identificadores se deberán inscribir en el Documento de Seguridad.
3. Varios usuarios no pueden, en principio, compartir el mismo identificador. En el
supuesto de que las cuentas o identificadores fuesen comunes, debe justificarse y
registrarse su existencia.
4. Limitar el acceso del usuario únicamente a los recursos que requiere para desarrollar su
trabajo.
5. Se debe contar con procedimientos de registro de altas, bajas y cambios de usuarios
con acceso a los sistemas.
6. Crear y mantener perfiles de seguridad para todos los usuarios en base en sus roles y
responsabilidades.
7. Solicitar a todos los usuarios firmar un acuerdo de uso apropiado antes de que tengan
acceso al equipo, red y sus recursos. Esto es la Firma de Normas de Uso y Buenas
Prácticas.
8. Los derechos de acceso de usuarios deben ser revisados periódicamente.
9. La pantalla de acceso al sistema debe notificar al usuario e incluso a los atacantes que
el sistema está siendo vigilado y que cualquier actividad no autorizada será castigada.
10. No proporcionar ningún tipo de información referente al equipo, red o institución antes
de que el usuario se autentique en el sistema.
13-56
11. Instruir a los usuarios para que no divulguen información a cualquier persona que la
solicite, salvo en los casos estipulados en la actividad propia del registro.
12. Instalar mecanismos que limiten el número de intentos fallidos para autenticarse en el
sistema.
13. Limitar los lugares desde donde el usuario puede conectarse.
14. Los usuarios deben entrar a la red y sus recursos empleando su clave de acceso
propia.
15. Emplear autenticación para llevar un registro de accesos a sistemas críticos o a
ficheros con datos de carácter personal de nivel alto, con identificación de usuario,
fecha y hora del acceso, fichero al que se ha accedido, tipo de acceso, autorizado o
denegado y si ha sido autorizado guardar clave del registro o información que permita
identificarlo.
16. Deshabilitar cuentas de usuario después de un periodo establecido por inactividad y
eliminarlas después de un periodo más largo establecido (mínimo 2 años). El borrado o
eliminación de las cuentas de usuario son responsabilidad del Responsable de
Seguridad que solicitará, previa autorización del Responsable del Fichero (Registrador),
la eliminación o borrado al administrador..
17. Establecer una longitud mínima de passwords (contraseña), así como la combinación
de letras (mayúsculas y minúsculas), números y signos. (Es recomendable, al menos, 8
caracteres en la password)
18. La primera contraseña será asignada por el Administrador de Seguridad, y obligará a
ser cambiada por el propio usuario en la primera conexión.
19. La contraseña o password sólo es conocida por el propio usuario.
20. Cambiar las contraseñas periódicamente, al menos una vez al año.
21. Cambiar las passwords por omisión de las instalaciones de sistemas operativos,
software y aplicaciones.
22. Tener un histórico de contraseñas para no reutilizar una contraseña.
23. Las contraseñas se deben almacenar cifradas.
24. Las aplicaciones no muestran las contraseñas cuando se teclean.
25. Emplear medidas de seguridad lógica adoptados para la defensa de ataques externos,
tales como antivirus, firewall, etc… como parte de la solución de seguridad.
Control de acceso físico.
Es necesario tener medidas para evitar accesos no autorizados y daños contra los locales y la
información.
Dentro de la oficina del registro tendremos una zona de acceso público y una zona de acceso
privado o área privada que comprenderá el área de trabajo y un “área restringida”. De estas dos
últimas zonas son objeto de control y ambas se diferencia por:
•
•
La zona o área de trabajo: el acceso a la misma estará limitado al personal autorizado.
Este control debe estar constituido, al menos, por una separación física entre la zona
pública del Registro y la zona privada del Registro donde se ubican los puestos de
trabajo, el archivo, etc.
Las zonas o áreas restringidas: Están incluidas dentro de la zona privada, llevarán unas
medidas se seguridad adicionales ya que se debe controlar y, opcionalmente, registrar
el acceso del personal autorizado. Son, por ejemplo, los armarios de comunicaciones, la
zona de Archivo del Registro.
Si se da a una persona permiso al área restringida se supone que tiene acceso al área de
trabajo, por lo que no haría falta indicarlo en el documento de seguridad dos veces, se pondría
la superior.
14-56
Revisiones del documento de Seguridad.
El Documento de Seguridad deberá mantenerse en todo momento actualizado y deberá ser
revisado siempre que se produzcan cambios relevantes en el sistema de información, en
su organización, en el contenido de la información incluida en los ficheros o tratamientos o como
consecuencia de los controles periódicos realizados. Asimismo, deberá adecuarse en todo
momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter
personal.
El “Responsable de Seguridad” podrá proponer los cambios que estime oportunos con el fin de
mejorar la seguridad y operación de los sistemas. El “Responsable del Fichero/Tratamiento”
deberá aprobar los cambios, así como, la mejor forma de comunicar las modificaciones al
personal que pueda verse afectado.
3.1 Documento de Seguridad en el Registro con Sygilo.
3.1.1 Personal Asociado.
En el apartado “Personal Asociado” deberemos dar de alta a todos los trabajadores del registro
con la fecha desde que causaron alta en el mismo y la fecha de baja cuando los trabajadores ya
no trabajen en el registro por baja, excedencias… los datos del Registrador con su NIF o CIF si
es Comunidad de Bienes, y la relación de empresas externas con su NIF/CIF que trabajen para
el registro en alguna cuestión específica, por ejemplo la empresa de “Soporte del Colegio”.
Para llevar a cabo dicha tarea, deberemos ir por “DOCUMENTO SEGURIDAD Æ PERSONAL
ASOCIADO”.
Una vez en “PERSONAL ASOCIADO”, si no apareciera automáticamente nuestro registro,
deberemos seleccionar la “Organización” a la que pertenecemos, y a continuación, la “Unidad”.
Para hacer efectiva la búsqueda pulsaremos sobre el botón
.
Obtendremos una pantalla de resultado como la que a continuación mostramos:
para acceder a la siguiente pantalla,
Una vez en dicha pantalla, pulsaremos sobre el botón
en la que debemos trabajar. Para dar de alta a un trabajador del registro pulsaremos sobre la
opción “Añadir”.
15-56
Al pulsar “Añadir”, accederemos a la siguiente pantalla donde debemos indicar si el personal
que deseamos dar de alta es “Personal Interno” o por el contrario es “Personal Externo”.
La opción “Personal Interno” la utilizaremos para dar de alta todos los trabajadores del registro,
así como la fecha en la que fueron dados de alta en el registro, o en los casos que sea
procedente la fecha que causaron baja.
Igualmente, rellenaremos los datos del Registrador o la Comunidad de Bienes a la que
pertenece, debiendo rellenar los datos relativos al NIF o CIF, dato obligatorio para este
supuesto y para el de “Soporte del Colegio”, aunque este último es personal externo.
Por otro lado, indicaremos “Personal Externo” para dar de alta en la aplicación a todas las
empresas externas que tenga contratado el registro para la gestión de cualquier materia, (por
ejemplo “Gestoría”…). En nuestro caso, al ser personal del registro, seleccionaremos la opción
“Personal Interno”.
16-56
Tras indicar que lo que deseamos dar de alta es “Personal Interno”, la aplicación nos muestra la
siguiente pantalla, que consta de dos pestañas, para que procedamos a introducir los datos.
Las casillas que nos muestra en color amarillo son de obligado cumplimiento. Rellenaremos las
casillas, tal y como muestra la imagen:
Una vez cumplimentada dicha pestaña procederemos a rellenar los datos relativos a la pestaña
“Datos contratos”. Si quisiéramos “Guardar” los datos introducidos, sin previamente
cumplimentar dicha pestaña, la aplicación nos mostraría la siguiente llamada de atención y no
nos permitiría continuar.
En la pestaña “Datos Contratos”, marcaremos lo que sea pertinente, tal y como nos muestra la
siguiente pantalla. Tras introducir los datos, pulsaremos “Guardar” y nos mostrará una pantalla
donde se indicará “Datos actualizados”, es decir, que han quedado grabados en la aplicación.
Al pulsar “Aceptar”, podremos observar como han quedado grabados los datos introducidos.
17-56
Si lo que deseamos es dar de alta “Personal Externo”, bastará con marcar dicha opción y la
aplicación nos mostrará la siguiente pantalla que consta de tres pestañas.
En primer lugar, seleccionaremos en “Seleccionar Personal Tipificado” solo aquellas empresas
que aparezcan en la relación (actualmente las principales empresas de software y ESABE). A
continuación, cumplimentaremos los datos de la primera pestaña que, como en el supuesto del
“personal interno”, los campos de color amarillo son obligatorios. En el caso de “Colegio de
Registradores” el CIF se cumplimentará automáticamente.
18-56
A continuación, rellenaremos los datos relativos a la pestaña “Datos Contratos”:
Finalmente, cumplimentaremos los datos relativos a “Cláusulas contratos”:
NOTA: El personal externo sin acceso a datos no tiene que firmar las normas de uso y buenas
prácticas.
Una vez cumplimentadas todas las pestañas con todos sus datos, pulsaremos “Guardar” para
archivar dichos datos en la aplicación.
Terminada la operación de introducir el personal interno y externo del registro procederemos a
emitir el informe de la relación de todos ellos, dicho informe deberemos imprimirlo y guardar con
toda la documentación que obliga el documento de seguridad.
Lo más práctico es que exista un ejemplar impreso del documento de seguridad, que los datos
estén actualizados siempre en SYGILO y que siempre estemos en disposición de imprimir una
copia del documento de seguridad.
Para poder obtener el mismo, pulsaremos sobre el botón “Informe” que nos encontramos en la
parte superior derecha.
19-56
20-56
3.1.2. Doc. De Seguridad.
Al pulsar sobre la opción “Doc. De Seguridad”, la aplicación nos mostrará una pantalla como la
siguiente:
Esta misma, en la parte central, nos muestra un índice de los diferentes aspectos que
tendremos que cumplimentar, imprimir y archivar como “documento de seguridad del registro”.
A continuación analizaremos como trabajar en cada punto.
3.1.2.1. Documento de Seguridad.
El primer aspecto que nos encontramos es el apartado “Documento de Seguridad”.
Al pulsar sobre el mismo, vemos que en la pantalla se nos muestran varios tipos de
documentos, por un lado la “Portada del documento de Seguridad”, el “Documento de
Seguridad Registros”, “Normas de uso y buenas prácticas” y dos modelos para la aceptación
de las mismas. Todos ellos deberemos imprimirlos, para ello pulsaremos sobre el icono
que aparece en la parte derecha de la pantalla en cada uno de los “Nombres del
documento”.
21-56
Por ejemplo, si hacemos clic sobre el primero, obtendremos la siguiente imagen, pulsaremos
sobre “Abrir” o “Guardar”, obteniendo como resultado un fichero “pdf” con la portada del
“Documento de Seguridad” de nuestro registro. Deberemos imprimir dicha página:
Deberemos llevar a cabo el mismo proceso para generar y poder imprimir el “Documento de
Seguridad del Registro.
22-56
3.1.2.2 Anexo I: Ficheros.
El siguiente apartado relativo al “Anexo I: Ficheros” deberemos imprimir todas las solicitudes de
inscripción de los ficheros, incluidos los públicos, que nos muestra la aplicación en rojo. Para
poder imprimir los mismos, trabajaremos de la misma forma que en el apartado anterior.
3.1.2.3 Anexo II: Notificaciones LOPD.
Todas las notificaciones que el registro recibe de la “Agencia de Protección de Datos” quedan
archivadas en este apartado. Dichas notificaciones contendrán el código de inscripción que le
ha sido asignado al fichero que ha sido inscrito en el Registro General de Protección de Datos.
Todas las notificaciones las deberemos imprimir (salvo la de los ficheros públicos que aún no
existen), para ello trabajaremos de la forma habitual.
3.1.2.4 Anexo III: Funciones.
Este apartado nos muestra todo el personal asociado al registro, así como la/s función/es que
se le permite desempeñar. Deberemos ver uno a uno cada función. Tenemos dos nuevas
23-56
funciones, aunque no obligatorias, que son la de “Suplentes para autorizar entrada y salida de
los soportes” y “Suplentes para recuperar copia de seguridad”.
Para dar de alta las funciones y obligaciones es necesario que tengamos dado de alta todo el
personal asociado al registro. Para comenzar a seleccionar funciones al personal pulsaremos
“Actualizar”, accederemos a una pantalla donde podremos elegir la función y asociarla al
personal correspondiente.
Al pulsar
“Actualizar”
accederemos a
la siguiente
pantalla.
Abrir el despegable
“Función” y seleccionar
la deseada, las casillas
“Descripción” y
“Personal” se
complementarán
24-56
Seleccionar la/s
persona/s que llevan
a cabo la función
indicada, pulsar
“Añadir” o “Añadir
todos” y nos
mostrará la/s
persona/s
seleccionadas en la
casilla inferior.
Una vez que hayamos cumplimentado todas las funciones deberemos “Guardar” y a
continuación, imprimiremos el “Informe” que archivaremos junto al resto de papeles que integran
el “Documento de Seguridad del Registro”.
Siempre que haya un cambio, volver a imprimir el documento ya que siempre deberá estar
actualizado.
3.1.2.5 Anexo IV: Acceso datos.
Tenemos dos formas de trabajar, por “ficheros” o por “personas”. La recomendación depende
del personal del Registro. Si son Registros con mucha gente (número superior al de ficheros) es
conveniente hacerlo por ficheros, pero si son Registros pequeños (número inferior al de
ficheros) es más sencillo hacerlo por Personal.
Para el supuesto de hacerlo por ficheros, haremos clic sobre “Fichero”, a continuación
seleccionaremos uno en concreto, por ejemplo “Nóminas”, e indicaremos persona por persona
todas aquellas que se les permita utilizar dicho fichero. Para grabar la información pulsaremos
en “Guardar”. Repetiremos la operación para cada uno de los ficheros que tengamos
declarados. Al finalizar, pulsaremos en “Volver” y generaremos el “Informe”, el cual deberemos
imprimir y archivar de la forma habitual.
A modo de ejemplo acompañamos las siguientes pantallas:
25-56
Pulsar en “Ficheros”
para acceder a la pantalla
en que debemos indicar a
qué datos tiene acceso
cada persona asociada al
registro.
Elegir el “Ficheros de
datos” al que deseamos
asociar el “grupo” de trabajo
y las “personas” asociadas
al registro que tiene acceso
a esos datos.
Cuando no aparezca
previamente seleccionado, elegir
el “Grupo” de trabajo que, dentro
del fichero elegido, vamos
asociar el personal pertinente.
26-56
Cumplimentar la
casilla
“Departamento”
Seleccionar
en
la
casilla
“Personal” los trabajadores o
empresas externas que se les
permite el acceso a datos para el
“Fichero” y “Grupo” previamente
seleccionados. Pulsar “Añadir”.
Acabada la selección, pulsar
“Guardar”, la aplicación nos
mostrará el mensaje “Datos
actualizados” pulsar “Aceptar”.
Habrán quedados archivados
los datos. Pulsar “Volver” para
acceder a la página inicial.
Resultado final de nuestra operación.
Repetir esta operación las veces que
sean necesarios conforme a los
ficheros que se usen en el registro y
grupos.
NOTA PARA LOS REGISTROS MERCANTILES:
Los ficheros de “Facturación de Servicios Interactivos”, “Facturación de Servicios Presenciales” y
“Usuarios de Servicios Presenciales”, por defecto, les muestra que el “GRUPO” es “Registro de la
Propiedad”, por lo que hay que modificarlo a “Registro Mercantil”.
27-56
3.1.2.6 Anexo V: Acceso Físico.
Deberemos indicar que “ubicación” tiene cada una de las personas que tienen acceso a las
instalaciones del registro, pudiendo añadir comentarios. Si el registro no tiene ninguna
restricción se considerará que todo el registro es “zona restringida”.
Para comenzar a introducir datos pulsaremos “Actualizar” y accederemos a la pantalla donde
añadiremos el personal asociado activo y su ubicación en el registro.
Abrir el despegable “Ubicación” y elegir entre las dos
opciones, bien “Área de Trabajo” o “Área Restringida”.
Al seleccionar una de ellas se complementará
automáticamente la casilla “Descripción”
y nos
aparecerán la relación del personal asociado al registro
para que seleccionemos aquellas que tienen acceso físico
en el registro en la ubicación indicada.
28-56
Seleccionar la/s persona/s para dicha
ubicación y pulsar “Añadir” o “Añadir
todos”.
Terminada nuestra selección pulsar
“Guardar”, volveremos a la pantalla
inicial donde podremos ver el resultado.
Al finalizar, igual que en el resto de los supuestos, pulsaremos “Volver” para poder generar el
“Informe” que debemos imprimir y archivar con el resto de la documentación.
29-56
3.1.2.7 Anexo VI: Revisiones
En el documento de seguridad se hacen varias revisiones, generalmente de carácter trimestral.
Por ejemplo, la “Comprobación de la lista de usuarios para acceder a los sistemas”.
Para empezar a indicar en la aplicación que se ha llevado a cabo una revisión, pulsaremos
sobre el botón “Actualizar”.
Abrir el despegable “Revisión” para
indicar el tipo de revisión que se ha
llevado a cabo. Al seleccionar el tipo
de revisión la aplicación,
automáticamente, indica el tiempo de
“periodicidad”.
30-56
A continuación, pinchar en el icono
que aparece en la casilla “Fecha”
para indicar la fecha en la que se ha
llevado a cabo la revisión.
Es obligatorio rellenar el
campo “Observaciones”.
A continuación, seleccionar el
fichero que ha sido revisado y
pulsar “Añadir”.
31-56
Al finalizar, pulsar “Guardar”, la
aplicación nos mostrará el mensaje
“Datos actualizados” y nos
posicionará en la pantalla principal
donde podremos observar el resultado
de nuestra operación.
Finalmente, deberemos imprimir el “Informe” que nos mostrará todas las revisiones y que
deberemos archivar con el resto de documentación del “Documento de Seguridad”.
32-56
3.1.2.8 Anexo VII: Documentos de Apoyo.
En esta opción se podrá agregar normativa autonómica o cualquier otro documento que el
registrador quiera incorporar al documento de seguridad.
Pulsar la opción “Documentos”,
accederemos a la siguiente
pantalla.
Para adjuntar cualquier documento
pulsar la opción “Añadir”,
accederemos a la siguiente pantalla.
Cumplimentar las casillas indicando:
“Nombre” del documento, adjuntar el
fichero (máx 4Mb) y “Descripción”.
33-56
3.1.3 Diario de Trabajo.
El “Diario de Trabajo” lleva el control y la gestión de las tareas del registro que en su adecuación
a la normativa de Protección de Datos se han llevado ya a cabo o quedan pendientes aún, por
lo que las tareas pasan de “Pendientes” a “Completadas”.
La aplicación, por defecto, nos muestra todas las tareas “pendientes” que tenga el registro. La
forma más práctica de trabajar en el “Diario de Trabajo” es por “Tareas del Diario”, por ello
abriremos el despegable de “Tareas del Diario” y seleccionaremos la tarea con la que
deseemos trabajar.
Para seleccionar una tarea
debemos abrir el despegable
“Tareas
del
Diario”,
seleccionar la tarea pertinente y
para que nos
pulsar
muestra
en
pantalla,
exclusivamente,
los
datos
relativos a dicha tarea.
Tras seleccionar y filtrar por la tarea con la que deseamos trabajar, obtendremos una pantalla
como la que aparece a continuación. En cada tarea pendiente observamos que además de
indicarnos la tarea, la aplicación nos muestra lo que denomina “Detalle” para indicarnos dentro
de esa tarea qué es lo que concretamente tenemos que modificar.
34-56
Cuando deseemos cambiar el “Estado” de una tarea de “Pendiente” a “Completada”, deberemos
trabajar conforme a las siguientes pantallas.
Pulsar sobre el botón
de la
casilla
“Fecha
Resolución”,
seleccionaremos la fecha en que
se ha resuelto la tarea pendiente.
Igualmente, es obligatorio cumplimentar
la casilla “Observaciones”, dando una
breve explicación de lo que se ha
llevado a cabo para solucionar dicha
tarea.
35-56
Marcar “Seleccionar
todas” o sólo aquella/s
tarea/s que se hayan
resuelto.
Pulsar
para cambiar el Estado a
“Completada”.
La aplicación, tras pulsar
“Guardar” nos muestra la
pantalla de las “Tareas
Completadas” .
36-56
NOTA: Al dar por completada las “Tareas” en el “Diario de Trabajo” también quedan
completadas en el “Doc. de Seguridad”, tal y como apreciamos en la siguiente pantalla:
4.- PROCEDIMIENTO DE GESTIÓN. (2ª Fase)
En el procedimiento de Gestión deberemos de hacer un estudio detallado de varios aspectos
diferentes, los mismos son:
•
•
•
Registro de Incidencias.
Gestión Arco.
Gestión de Soportes.
o Inventario Soportes.
o Autorizaciones Soportes.
4.1 Registro de Incidencias.
4.1.1 Incidencias.
El “Procedimiento de Gestión de Incidencias” detalla las acciones a seguir cuando se produce
una incidencia, concretamente, reflejará su grabación en el registro de incidencias así como el
flujo de trabajo para su resolución y posterior análisis.
A) Notificar incidencia de seguridad.
Todos los usuarios de sistemas tienen la obligación de mantener el equipo de trabajo en
buenas condiciones de uso. Un usuario en el uso cotidiano de los sistemas de información
puede sufrir incidencias relacionadas con:
•
•
CONFIDENCIALIDAD: El usuario autorizado, tiene la certeza o sospecha que alguna de
sus contraseñas de acceso han dejado de ser “secretas” o que alguien se ha apropiado
de información sensible o confidencial.
INTEGRIDAD: Son las relacionadas con las pérdidas, modificaciones de datos o daños
en los mismos de forma maliciosa o accidental.
37-56
•
DISPONIBILIDAD: Asegurar el acceso de los usuarios a los sistemas que contienen los
datos. Si los sistemas no están operativos durante un periodo de tiempo prolongado, se
deberá notificar al personal de soporte la misma o grabarla en el registro de
incidencias.
En caso de producirse una incidencia relacionada con la confidencialidad, integridad o
disponibilidad de los datos, que ponga en peligro la seguridad de los mismos contenidos en
un fichero, provocando la pérdida, destrucción o modificación de los mismos, este hecho
será comunicado por la persona que la detecte al Responsable de Seguridad.
B) Registrar la incidencia.
El Responsable de Seguridad o persona designada para atender las incidencias de
seguridad registran la misma, haciendo constar en el registro los siguientes datos:
•
•
•
•
•
•
Tipo y descripción de la incidencia.
Nombre del fichero o nombre del sistema.
Momento en que se ha producido o detectado.
Nombre de la persona que realiza la notificación.
Nombre de la persona a quien se comunica.
Efectos que se hubieran derivado de la misma.
C) Resolver la incidencia.
El Responsable de Seguridad procede a la resolución de la incidencia o a dar las
instrucciones precisas para ello, incluyendo las medidas correctoras aplicadas en el registro
de incidencias.
Si para la resolución de la incidencia fuese necesaria la restauración de datos de una
copia de seguridad de ficheros que contengan datos de carácter personal de nivel
medio o alto, será necesaria la autorización del “Responsable del
Fichero/Tratamiento”.
Al registrar la incidencia, además, se anotarán:
o
o
o
Proceso de recuperación de datos utilizado.
Nombre de la persona que ejecutó el proceso de recuperación de datos.
Datos restaurados, y en su caso, los que han sido recuperados manualmente.
D) Revisar incidencias y emitir informe.
Trimestralmente, el Responsable de Seguridad, revisará las incidencias relacionadas con
seguridad de información.
Para aquellas incidencias que se repitan con cierta frecuencia, se propondrán medidas para
solucionarlas y se realiza un seguimiento de su puesta en funcionamiento.
4.1.2 Registro de Incidencias en el Registro con Sygilo.
Una incidencia es un hecho que repercute directamente a la confidencialidad, integridad o
disponibilidad de los datos, poniendo en peligro la seguridad de éstos y provocando su
posible pérdida, destrucción o modificación.
Cuando se produce una incidencia en el registro que afecta a “Protección de Datos”
deberemos registrar dicha incidencia. Esa incidencia puede ser comunicada por dos vías:
38-56
•
Llamando al “Colegio de Registradores”: En este caso se comunicará la incidencia a
soporte que la dará de alta. Generalmente se usa cuando los programas son
colegiales.
•
Utilizando el “Registro de Incidencias” de Sygilo: Opción que se deberá utilizar en el
caso de que la incidencia sea una incidencia de seguridad o no se haya comunicado
a Soporte del Colegio, por hacer referencia a aplicaciones no colegiales o por ser
incidencias que no se comunican a Soporte Colegio (p.e. robos, inundaciones…).
Esta última opción es el objeto de nuestro análisis.
Pulsar el botón “Añadir” para
poder acceder a la pantalla
en la que registraremos la
incidencia.
Abrir el despegable
“Incidencia” y
seleccionar la que sea
pertinente.
Cumplimentar el resto de
la pantalla,
especialmente indicar los
“Efectos de la
Incidencia” y las
“Medidas Correctoras
aplicadas”. Finalmente,
sólo marcaremos la
opción “Recuperación
de datos” en caso de
tener que recuperar la
base de datos.
Terminaremos pulsando
el botón “Guardar”. La
aplicación nos indica que
se han actualizado los
datos.
La aplicación habrá actualizado los datos y nos
muestra la incidencia en la página principal.
39-56
4.2 Gestión ARCO.
De acuerdo con la normativa vigente de Protección de Datos, todos los usuarios tienen derecho
de “Acceso”, “Rectificación”, “Cancelación” y “Oposición” de sus datos, esto es conocido como
“Derechos ARCO”. Si nos plantean cualquiera de ellos en nuestro registro tendremos que dejar
constancia de dicha petición en Sygilo. Para ello iremos por: “PROCED. GESTIÓN Æ GESTIÓN
ARCO”.
Una vez en la pantalla anterior, pulsar la opción
de “Alta de la Solicitud”.
, accederemos a la pantalla
En “Estado de la Solicitud”
seleccionaremos la opción
“Solicitud Recibida”
Cumplimentar todas las casillas de
“Organización”
y
“Unidad”
(registro). Continuaremos con la
casilla
“Tipo
de
Solicitud”
(ACCESO,
RECTIFICACIÓN,
CANCELACIÓN U OPOSICIÓN).
Indicar la “Fecha de la Solicitud”,
“Fecha de Vencimiento”.
En “Resolución” al estar dando de
alta la solicitud, es “Sin Resolver”.
Dicha situación irá cambiando según
avancemos en el procedimiento.
Cumplimentar los “Datos del
Solicitante”
con
sus
datos
personales,
indicando
especialmente, si es “extranjero”, el
“email”, y la “descripción de la
solicitud”,
pudiendo
aportar
“documentos”. También se indicará
si se actúa como “representante
legal” porque, en ese caso
rellenaremos los datos del mismo.
Al finalizar pulsar “Guardar”, para
grabar la solicitud.
40-56
Permite MODIFICAR la solicitud.
Permite BORRAR la solicitud.
Permite CONSULTAR la solicitud.
Utilizaremos la opción “Modificar Datos de la Solicitud” para modificar cualquiera de los campos
cumplimentados en el alta, para añadir documentos (tanto acreditativos como los que
acompañen a la solicitud) y, finalmente, para cambiar las distintas fases o estado por las que
pase la solicitud y su resolución.
DIFERENTES ESTADOS DE LA SOLICITUD:
1.-Solicitud recibida: Llega la petición derecho
ARCO.
2.-Solicitud incompleta datos: La petición es
incompleta, se solicitan los datos que faltan.
3.-Solicitud esperando datos: Petición paralizada
a espera de que lleguen los datos que faltan.
4.-Solicitud correcta: La petición reúne todos los
requisitos.
5.-Solicitud tramitada: Se tramita la solicitud.
6.-Solicitud enviada: Se envía los datos
solicitados al solicitante.
DIFERENTES ESTADOS DE RESOLUCIÓN:
1.- APROBADA: Se resuelve a favor del solicitante.
2.- DENEGADA: Se resuelve en contra del solicitante.
3.- SIN RESOLVER: Cuando la solicitud es recibida en el
registro, hasta su tramitación se encuentra en este estado.
41-56
OBSERVACIONES DE LA RESOLUCIÓN:
Pondremos los comentarios pertinentes a la
resolución tomada, por ejemplo si es tramitada y
aprobada como se ha resuelto la solicitud, en
nuestro caso se envía la información solicitada.
Finalmente, pulsar el botón “ACTUALIZAR” para
grabar los cambios efectuados.
Una vez acabada toda la tramitación de un expediente de este tipo deberemos emitir un
Informe. Para ello, en la página donde hemos llevado acabo las modificaciones y hemos dado
por finalizado el proceso, tenemos la opción de emitir el Informe.
Pinchar en “Informe” creará un fichero de
extensión PDF con toda la información de esta
incidencia. Imprimir y archivar.
42-56
4.3 Inventario de Soportes.
4.3.1. Soportes: Identificar, inventariar, almacenar y destruir/reutilizar.
Los soportes que contengan datos de carácter personal, tanto de fichero automatizados como
no automatizados, deben de ser etiquetados para su identificación, inventariado y
almacenados en un lugar con acceso restringido, al que sólo podrán acceder las personas
con autorización.
Las personas con autorización son:
o
o
o
Los usuarios del fichero, los mismos aparecerán detallados en la relación de
usuarios con autorización del fichero.
Las personas implicadas en las salidas y entradas de soportes, reflejados en el
correspondiente registro o autorización.
Los Operadores, Técnicos y Administradores del Sistema encargados de la
custodia o generación de los soportes.
Si fuese imposible el cumplimiento de etiquetado de los soportes se reflejará en el “Documento
de Seguridad”.
a) Identificación.
El encargado de la custodia de los soportes deberá etiquetar los soportes con los
datos que él considere. Es aconsejable indicar, como mínimo, en el etiquetado de los
soportes los siguientes datos:
1.- Identificación.
2.-Tipo de información que contiene.
3.- Fecha de generación o Periodicidad de generación.
Cuando la información que contienen los ficheros de “nivel alto” el sistema de
etiquetado debe ser comprensible, únicamente, para aquellos con autorización al
acceso de estos ficheros.
b) Inventariar.
Se llevará a cabo por el “Responsable de Seguridad” y deberá tener en cuenta los
siguientes datos:
1.- Identificación.
2.-Tipo de información que contiene.
3.- Fecha de generación o Periodicidad de generación.
4.-Tipo de Soporte o documento.
5.- Nº de Soportes o documentos.
6.- Fecha de alta.
7.- Fichero asociado.
8.- Destrucción o Reutilización.
9.- Fecha de destrucción/reutilización.
c) Almacenar.
Para garantizar la seguridad de almacenamiento de los soportes se llevarán a cabo
por el Responsable las siguientes acciones:
o
Cuando no se estén usando los soportes deben de estar almacenados en una
zona restringida de acceso exclusivo al personal autorizado.
43-56
o
Si los soportes contienen datos de carácter personal de nivel alto y confidencial
deberán almacenarse en un armario ignífugo restringido al personal autorizado,
para el caso de que no puedan ser almacenados fuera del Registro, que sería
lo aconsejable, en este caso junto con las copias se acompañarán las
instrucciones para llevar a cabo la recuperación de los datos o con los datos de
la empresa que las tuviera.
d) Destruir/Reutilizar.
Cuando los soportes que contienen datos de ficheros automatizados de nivel básico
van a ser destruidos o reutilizados, se tomarán las medidas oportunas de destrucción
o borrado, de modo que se evite el acceso a la información que dichos ficheros
contienen.
4.3.2. Inventario de Soportes en el Registro con Sygilo.
Para inventariar soportes que se utilicen en el registro utilizando Sygilo deberemos
posicionarnos en “PROCED. GESTIÓN Æ INVENTARIO SOPORTES”.
Pulsar sobre “Añadir” para acceder a la pantalla que nos permite dar de alta dichos soportes.
Cumplimentar los datos de
las casillas en color amarillo
es de carácter obligatorio, el
resto es opcional.
Asociaremos el soporte que
estamos dando de alta a los
ficheros declarados y/o al
sistema que afecten.
Para asociar los ficheros o
sistemas nos posicionamos
sobre ellos y pulsar sobre
“Añadir” o “Añadir todos”
según el caso.
Pulsar “Guardar”.
44-56
Deberemos repetir la operación tantas veces como soportes tengamos en el registro y solo de
aquellos que vayan a salir físicamente de éste (discos duros, portátiles, cintas…).
Una vez finalizado el proceso de inventariar nuestros soportes, pulsamos “volver” para acceder
a la pantalla principal. En la misma pulsaremos “Informe” para emitir el mismo, imprimirlo y
archivarlo.
4.4 Autorizaciones de Soportes.
La SALIDA de los soportes y documentos de cualquier tipo DEBEN SER AUTORIZADOS POR
EL RESPONSABLE DEL FICHERO y aparecer dicha autorización en el documento de
Seguridad.
Idéntica AUTORIZACIÓN se necesita para el almacenamiento de datos personales en
dispositivos portátiles o tratamiento de los mismos si se van a sacars fuera del registro.
Si los datos de carácter personal van a ser objeto de traslado fuera del registro se adoptarán las
medidas necesarias para evitar la sustracción, pérdida o acceso indebido a la información
durante su transporte.
Además, si los datos de carácter personal son de “nivel alto” deberán estar cifrados o cualquier
otro sistema de forma que cualquier acceso a los datos sea inteligible.
En cuanto a los dispositivos portátiles, se intentará el cifrado de los datos y si ello no fuera
posible se hará constar en el Documento de Seguridad.
45-56
4.4.1. Autorizaciones de Soportes en el Registro con Sygilo.
Una vez dados de alta los soportes, deberemos dar las autorizaciones que afecten a los
mismos. Para ellos iremos por “PROCED. GESTIÓN Æ AUTORIZACIONES SOPORTES”:
Las casillas de color amarillo son
obligatorias.
El
“Tipo
de
Autorización” y “Periodicidad
de la Autorización” se eligen de
un despegable, el resto son a
rellenar por el usuario.
La aplicación nos muestra
en el apartado “Lista de
Soportes Afectados” todos
los que hemos dado de alta
en la aplicación. Deberemos
posicionarnos
sobre
el
soporte que afecta y pulsar
“Añadir”, o si afectase a
todos “Añadir todos”.
46-56
Una vez finalizado el procedimiento de
“autorización” pulsar “Guardar” para archivar
en la aplicación los datos.
Finalizado el proceso pulsar
“Volver” para acceder a la pantalla
principal donde nos mostrará la/s
autorización/es que acabamos de
dar de alta. Debemos, a
continuación, pulsar en “Informe”
para que la aplicación genere el
mismo. Tras ello, imprimir y archivar.
47-56
5.- AUDITORIAS.
Antes de hacer la auditoria desde soporte LOPD nos indicarán los siguientes pasos:
1.- Informar del “Proyecto LOPD”.
2.- Revisar el “Documento de Seguridad”.
3.- Actualizar los “Sistemas” del Registro.
4.- Nombrar los “Suplentes” de ciertos cargos.
5.- Cumplimentar la casilla de “Datos Contratos” del “Personal Interno”.
6.- Comprobar el “Diario de Trabajo”.
7.- Comprobar los “Indicadores”. (Si está revisado el “Documento de Seguridad” nos
facilitará la auditoria, debido a que nos quita bastante trabajo).
Comprobado todo lo anterior, desde Soporte procederán a dar el “Alta de la Auditoria”.
Nosotros desde el registro entraremos por “AUDITORIA Æ MODIFICACIÓN”, accediendo a
una pantalla como la que mostramos a continuación:
Comprobar que
es nombre de
nuestro registro.
Nos mostrará que es una
“Auditoria Remota” y el
nombre de nuestro registro.
La casilla “Valor” y en la casilla
“Completada” pondrá “0” porque no
hemos empezado la auditoría.
Con este botón de la casilla
“Acción” empezará la auditoria.
, accederemos a la siguiente pantalla donde comenzaremos la auditoria
Al pulsar el botón
del registro. Antes de comenzar diremos que en la pantalla podremos encontrar 3 elementos de
“ayuda”, que son: “Ver requisitos”, “Ver preguntas adicionales” y “Ayuda”.
48-56
En “Ver requisitos” nos
mostrará el artículo de la ley
relativo a esta parte de la
auditoria.
En “Ver preguntas adicionales”
tendremos
un
comentario,
concretamente, es una aclaración a
la pregunta que nos plantean.
En “Ayuda” podremos encontrar lo
que hay que verificar en la pregunta
que estamos posicionados en la
auditoria, así como lo que hay que
hacer en relación a la misma, es
decir, es una ayuda a la hora de
contestar.
Dicho lo anterior, analizaremos la pantalla que la aplicación nos muestra en la auditoria:
Este número nos indica que este requisito tiene
una pregunta, pero que está sin responder. Es
decir, nos indica que llevamos “0” respuestas de
“1” posible.
En
“Listado
de
requisitos”
nos
muestra el requisito,
el artículo que regula
dicho requisito. En
relación al requisito
donde
estemos
posicionados (color
azul) tendremos la
pregunta asociada en
la casilla “Pregunta”.
En “Respuesta” seleccionar lo que sea pertinente para nuestro registro. Las
opciones que tenemos en la aplicación y sus consecuencias son:
1.-SI.- Se cumple el requisito de la auditoria en su totalidad.
Obligatoriamente, rellenaremos la casilla “OBSERVACIONES AUDITOR”
con un comentario, en caso contrario no nos dejará grabar. (Aumenta
nuestro porcentaje de cumplimiento en la auditoria).
2.-NO.- No se cumple el requisito en absoluto. Comentario opcional. Implica
una tarea en el “Plan de acción” de nuestra auditoria.
3.-EN PARTE.- Se cumple en parte el requisito. Obligatorio poner
comentario. Implica una tarea en el “Plan de acción” de nuestra auditoria.
4.-NO APLICA.- Para que la aplicación haga caso omiso a esta pregunta y
no nos la compute.
5.-SIN RESPONDER.- No se sabe respuesta. Por ejemplo, sería el
supuesto de tener que preguntar a una empresa externa cualquier
aspecto del acceso lógico de su aplicación.
Una vez explicada la pantalla de trabajo, pasaremos a profundizar algo más sobre los distintos
supuestos que se nos pueden plantear. Partimos de un ejemplo en que la respuesta es “NO”, ó
“NO APLICA”.
49-56
Tras seleccionar “NO”, como no es
obligatorio cumplimentar la casilla
observaciones,
tendremos
que
pulsar en “Guardar y Siguiente”
para archivar los datos.
Consecuencia, en la lista de
requisitos nos muestra que una
pregunta respondida de una (1/1)
En el supuesto de la respuesta sea “SI” o “EN PARTE”, como hemos indicado anteriormente,
hemos de seleccionar la respuesta y añadir un comentario en la casilla “OBSERVACIONES
AUDITOR” ya que en caso contrario la aplicación al pulsar en “Guardar y Siguiente” no nos
dejará grabar y nos mostrará un mensaje de error.
Casilla obligatoria en las respuestas “SI” o
“EN PARTE”. En caso de no cumplimentar
la casilla “observaciones”, la aplicación nos
mostrará el siguiente mensaje de error.
50-56
A lo largo de la Auditoría podremos encontrarnos supuestos donde un aspecto se compone de
más de una pregunta con su respuesta.
En este caso, llevamos “1” respuesta de
las “5” preguntas que integran el bloque
relativo al artículo 93. La auditoria de este
artículo estará acabada cuando tengamos
(5/5)
Finalmente, habrá supuestos de “NO APLICA” que serán aquellos donde la pregunta no nos
afecta, por lo menos actualmente, de tal forma que indicaremos a la aplicación que no la tenga
en cuenta marcando la opción “No aplica”. A continuación, pulsar “Guardar y Siguiente”.
51-56
Contestaremos todas las preguntas, y cuando lleguemos al final la aplicación mostrará el
mensaje, en azul, “Auditoria Completada”. El personal de soporte nos indicará que la Auditoria
se para momentáneamente para que el personal de registro puede emitir su informe provisional
y poder cotejar los datos que han resultado de sus respuestas de las pregunta.
A continuación, el personal de soporte LOPD nos indicará que vayamos por AUDITORIAS Æ
CONSULTA. El objetivo de la misma será sacar un Informe Provisional de nuestra Auditoria
con el fin de que revisemos las respuestas que hemos indicado. En dicho informe provisional no
nos aparecerán los comentarios sólo las respuestas.
52-56
Pulsar en
para emitir el “Informe
Respuestas Auditoria” y que podamos
comprobar nuestras respuestas.
Una vez comprobadas las respuestas en el “Informe Provisional” podremos encontrarnos dos
posibilidades:
1.- Que haya alguna opción no correcta o incompleta.- En este supuesto se procederá a
solventar dicha situación.
2.- Que todo esté correcto.- En este supuesto se procederá a pulsar la opción “Dar por
completada la Auditoria” de la siguiente pantalla.
Pulsaremos en
cuando hayamos comprobado nuestras
respuestas y estemos de acuerdo con
todas ellas, de esta forma finaliza la
auditoría.
Nos mostrará el mensaje para pulsar
“Aceptar”.
53-56
Soporte LOPD nos dará por “Revisada” nuestra Auditoria, pudiendo generar el “Informe
Definitivo de la Auditoria”, para ello nos indicarán que vayamos por AUDITORIA Æ
CONSULTA.
AUDITORIAÆCONSULTA,
observamos que el “Estado”
de la Auditoria de nuestro
registro es “Revisada”. Para
poder
generar
nuestro
“INFORME DE AUDITORIA”
pulsar en
Pinchar en el icono
para poder generar
nuestro “Informe Auditoria”. El informe se
debe imprimir y archivar con toda la
documentación.
Pulsar “Abrir” obtendremos el
“Informe
Auditoría”
que
tendremos que imprimir y
archivar.
.
54-56
Finalmente, se le indicará desde soporte al usuario que acceda a “MEDIDAS DE SEGURIDAD
Æ ALTA Y MODIFICACIÓN”, para poder ver su “PLAN DE ACCIÓN”, el cual consiste en poder
ver las preguntas de la auditoria que las respuestas dadas no cumplen con la normativa de
Protección de Datos. Nos servirá de guía para corregir esta situación.
Podremos
observar
el
“Requisito”, “La medida a
adoptar”, “el fichero” a que
afecta y “el estado”. Para la
modificación de cualquiera de
ellos pulsaremos sobre
Podremos ver la pregunta de
la auditoria que nos hicieron,
así como la solución para su
corrección.
Para indicar que la medida de acción se está llevando a
cabo o ha finalizado será obligatorio cumplimentar las
casillas “Fecha de inicio”, “Fecha fin”. Indicar el
“Responsable de la Implantación” y cambiar el “Estado
de la medida” con las siguientes opciones: PENDIENTE
que es el que partimos, INICIADA pero no acabada,
FINALIZADA, DESCARTADA, DUPLICADA. Para
grabar pulsar sobre
55-56
Una
vez
indicadas
las
casillas
anteriormente expuestas, pulsar “Medida”
y la aplicación nos sitúa en la pantalla
principal con el nuevo “Estado”.
Podríamos resumir la auditoria en cuatro fases que son:
1.- Actualizar sistemas, suplentes, modificar el personal interno, indicadores y diario de
trabajo.
2.- Hacer auditoria.
3.- Revisar auditoria.
4.- Plan de acción.
56-56

sygilo

Transcripción

Documentos relacionados

siria jordania días