Seguridad de la Información

El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos. Está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada. La finalidad del mismo es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Un Incidente de Seguridad de la Información es la violación o amenaza inminente a la Política de Seguridad de la Información de la organización de forma implícita o explícita.

Algunos ejemplos de estos incidentes, en los que además pueden verse afectados datos personales, son::

• Un acceso no autorizado.
• El robo de contraseñas.
• El robo de información.
• El borrado de información de terceros.
• Alteración accidental de datos o registros en las aplicaciones que tratan información.
• El abuso y/o mal uso de los servicios informáticos internos o externos de una organización.
• Pérdida de dispositivos móviles (portátiles, smartphones o tabletas) y dispositivos externos de almacenamiento (pendrives, CD/DVD, etc.)

La seguridad es responsabilidad de todos. Si detectas que en tu puesto de trabajo ha podido ocurrir un incidente de seguridad, notifícalo rápidamente a tus superiores (o responsable de seguridad) para que actúen con diligencia y puedan tomar las acciones de notificación y respuesta oportunas

• No compartir ni difundir contraseñas. Y cambiarlas periódicamente.
• No compartir ni difundir números de cuenta ni claves bancarias.
• No compartir ni difundir datos personales, propios ni ajenos.
• No compartir ni difundir información confidencial
• Estar alerta ante los correos electrónicos, sms, wathsapp y cualquier mensaje recibido, valorando su seguridad.
• Hacer un uso responsable de Internet y evitar en todo momento el acceso a enlaces sospechosos, a sitios web de dudosa reputación, descargar aplicaciones desde sitios no oficiales, así como ejecutar archivos inusuales
• Leer atentamente y hacer caso de los mensajes de seguridad informática.
• Consultar con el CSI ante la menor duda sobre seguridad de la información.

• Si no conoces al remitente, no te suena el asunto o es algo muy llamativo. Si es demasiado bueno para ser cierto, no dudes, no es cierto.
• Si, pareciendo de un remitente conocido, la petición te hace desconfiar, debo confirmar telefónicamente o con un correo a dicho remitente su validez.
• Presta atención a la redacción, y sospecha si existen expresiones sin sentido y errores ortográficos o gramaticales
• Si solicita envío de claves personales, claves bancarias o cualquier otro dato de carácter confidencial.
• Si incluye un enlace aparentemente fiable, pero al poner el cursor sobre el mismo para ver a qué dirección nos lleva (puede verse en la barra inferior del cliente de correo)  no corresponde a la web oficial. Por ejemplo, si nos proporciona un enlace “Recuperar tu cuenta de BBVA”, pero al comprobar el enlace es: bbva.blackmanba.com/recupera.htlm, cuidado es un fraude, si es del bbva irá al dominio bbva.es
• En caso de que el correo sea sospechoso no debo abrir ningún archivo, ir a ningún enlace y debo eliminar el correo de inmediato.

Debes situar y orientar las pantallas de los equipos y dispositivos de manera que se preserve la información manejada respecto a terceras personas.

Es muy importante que bloquees los equipos informáticos y dispositivos móviles cuando no estés trabajando con ellos, o estén desatendidos al objeto de impedir la visualización de los datos cuando abandones temporalmente tu puesto de trabajo.

Puedes realizar esta tarea mediante la aplicación de un protector de pantalla o funciones de bloqueo del equipo o dispositivo. Para desactivar la pantalla protectora debes introducir la contraseña utilizada para el inicio de sesión en el mismo.

Sé precavido en la utilización de dispositivos móviles como teléfonos, tablets o portátiles. No debes conectarte a redes Wi-Fi públicas o abiertas, así como dejar a la vista dispositivos que contengan datos personales.

• La del CCN-CERT, del Centro Criptológico Nacional (https://www.ccn-cert.cni.es/)
• La del Instituto Nacional de Ciberseguridad (https://www.incibe.es/)

Un dato de carácter personal es cualquier información numérica, alfabética, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables, tanto la relativa a su identidad (como nombre y apellidos, domicilio, filiación, una fotografía o video, etc…) como a su características personales (fecha de nacimiento, edad o estado civil), su situación académica y profesional (estudios, trabajo) o su información económica (datos bancarios, ingresos).

Ejemplos de datos de carácter personal son las direcciones postales, las cuentas de correo electrónico, el DNI, las altas y bajas médicas, la información financiera y fiscal o la afiliación política.

Se debe tener especial cuidado en el acceso y tratamiento de datos de categorías especiales o información sensible. Estos datos son los relativos a: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos relativos a la salud, vida sexual u orientación sexual, datos genéticos o datos biométricos, datos sobre colectivos vulnerables; y requieren de una mayor protección pues los incidentes con estos datos pueden causar un gran perjuicio para los derechos y libertades de las personas.

Los datos relativos a una persona jurídica (domicilio, denominación social, CIF, etc.) no tienen la consideración de datos de carácter personal, por lo tanto, no le será de aplicación el Reglamento de Protección de Datos.

Al hablar de tratamiento de datos personales se hace referencia a cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias

El Reglamento General de Protección de Datos incluye la obligación de respetar el principio de minimización de datos, que implica:

• Solo se pueden recoger los datos personales que se vayan a tratar; ni más ni menos, solo los que sean estrictamente necesarios.
• Solo pueden recogerse cuando vayan a ser tratados. Es decir, no pueden recogerse datos de los usuarios, pacientes…. para utilizarlos meses después.
• Los datos recogidos únicamente podrán tratarse para la finalidad que se haya declarado. Si se usan para cualquier otro fin, puede ser denunciado y duramente penalizado.

Las organizaciones deben garantizar que los datos personales se tratan con la mayor protección de la intimidad (por ejemplo, recoger solo los datos necesarios, un plazo de conservación corto, accesibilidad limitada), de forma que por defecto los datos personales no sean accesibles a un número indefinido de personas («protección de datos por defecto»).

Para que eso sea posible las organizaciones tienen que aplicar medidas técnicas y organizativas antes de comenzar a recoger y tratar datos personales, ya en las primeras fases del diseño (por ejemplo, seudonimización de información de identificación, cifrado de información,…), de forma que se garantice la intimidad y los principios de protección de datos desde el primer momento («protección de datos desde el diseño»).

El Comité de Seguridad de la información (puedes enviar tu consulta a través de su formulario de contacto), o  el Delegado de Protección de Datos (DPD) del IACS.

Debes cumplir con las normativas de protección de datos personales, en concreto, el Reglamento Europeo 2016/679 General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD).

Sólo puedes tratar los datos estrictamente necesarios para el desarrollo de mis funciones laborales. Esto implica no copiar, descargar, modificar o transmitir otros datos personales a los que se pueda tener acceso de manera accesoria. Antes de utilizar o solicitar datos personales, pregúntate si realmente necesitas todos ellos.

Debes garantizar una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

Los datos se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se han obtenido, y posteriormente se suprimirán o, en caso de ser necesario su mantenimiento, permanecerán bloqueados a exigencia de posibles responsabilidades derivadas del tratamiento.

Tienes la obligación de cumplir con el deber de confidencialidad y de secreto profesional respecto de los datos personales e información corporativa propia o de terceros que conozcas en el ejercicio de tus funciones, así como el deber de guardarlos.

Debes cerrar siempre tu sesión en la fotocopiadora, impresora o fax que utilices cuando termines de imprimir y en ningún momento dejar información impresa o a disposición de terceros en los mismos o en las salas donde estén ubicados.

Si trabajas en zonas de acceso público, debes extremar la precaución con la información que manejas ya que se debe evitar el acceso de personas no autorizadas a los datos personales, así como su exposición a terceros (pantallas electrónicas desatendidas, documentos en papel al acceso público, soportes con datos personales, etc.).

Puedo compartir la información con el profesor de forma anonimizada, es decir, sin mostrar datos personales que identifiquen a los alumnos de forma concreta o proporcionarle la información en términos generales o estadísticos al objeto de que pueda conocer las características de la audiencia sin asociar dicha a información a un alumno concreto.

Si el profesor es personal externo a la organización y necesita acceder a datos personales de los alumnos del curso para la gestión e impartición del mismo, le puedo proporcionar los datos que sean necesarios para esta finalidad siempre y cuando esté contemplado en el contrato de encargo de tratamiento suscrito con el profesor.

Si el profesor es personal externo a la organización y no es un encargado del tratamiento, para poder comunicarle los datos de los alumnos, éstos deben ser informados previamente y consentir, de forma inequívoca y expresa, la cesión de los mismos.

Siempre debes custodiar los documentos en papel que contengan datos de carácter personal o información confidencial y proceder a su archivo (cajones o armarios) bajo llave u otro medio que garantice su seguridad cuando dejen de utilizarse.

En el caso de que los documentos contengan datos personales de categoría especial deberán ser almacenados en lugar seguro con acceso restringido (armarios o dependencias con cerradura en salas separadas de zonas comunes con llave). La custodia de llaves deberá realizarla el personal autorizado.