Factores Humanos Organizativos De La SI
Páginas: 6 (1252 palabras)
Publicado: 8 de abril de 2015
Seguridad de la
información: factores
humanos y organizativos
Protección de Datos:
sección coordinada por la
Agencia de Protección de
Datos de la Comunidad de
Madrid
José Ramón
de Lorza
Consultor
Agencia de Protección de
Datos de la Comunidad
de Madrid
C
uando se aborda la seguridad de
la información suele hacerse
desde planteamientos únicamente técnicos basándola en la
seguridad de lospropios sistemas de información, en el hardware, software y en los locales o instalaciones del tratamiento. Lo cierto es que focalizar el asunto de la seguridad en estos medios resulta
a todas luces insuficiente. Como todos ustedes saben, la seguridad es un proceso
–en continúo cambio y avance- y no un producto que se pueda adquirir en el mercado.
En todo tratamiento de información, en
mayor o menormedida, en una u otra fase
del mismo, hay intervención humana. Bien
sea durante el diseño de la aplicación, en
el suministro de la información a los sistemas, en la aportación de instrucciones al
sistema, en el manejo y uso de la información o en cualquier otra fase del tratamiento. Y es aquí donde, aunque se olvide con
demasiada frecuencia, hay que poner
atención pues en otro caso, todas lasinversiones realizadas en medidas de seguridad lógicas y físicas pueden resultar
inútiles o, cuando menos, verse socavada
la efectividad de aquéllas medidas.
Aquí se va a poner énfasis en la seguridad aplicada a los datos de carácter personal
pues si bien es cierto que no toda información constituye datos de carácter personal no
julio/agosto 2010 156
lo es menos que éstos se encuentran presentes encasi toda actividad empresarial, administrativa o de otra índole. Al fin y al cabo, las
empresas, las organizaciones, las administraciones públicas, etc., tienen clientes o administrados y la información relativa a ellos sí
constituyen datos de carácter personal.
Hay que tener en cuenta que los riesgos y amenazas de seguridad se actualizan constantemente y hay que analizar,
constantemente, cuáles sonesos riesgos
y las amenazas, las vulnerabilidades y las
probabilidades de que tales riesgos y
amenazas se materialicen.
Desde esta perspectiva de la protección de datos de carácter personal, la regulación legal existente, concretamente el
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
de Desarrollo de la Ley Orgánicas de Protección de Datos, exige no sólo medidasde seguridad lógicas –de los sistemas- y
físicas –de los locales, instalaciones, etc.sino también de tipo organizativo, lo que, a
su vez, supone implicar en ellas también al
factor humano. El factor humano es el eslabón más débil de la cadena de seguridad.
Resulta a todas luces insuficiente aplicar todo tipo de medidas de seguridad a
los sistemas, sean éstas de la naturaleza
que sean, si quientiene acceso a estos,
protección de datos
normas y d-tic
que no deben acceder a ella. Una impresora ubicada en un lugar de paso, de acceso
público o semipúblico incluso, y en la cual
se imprimen documentos que se recogen
de ella bastante tiempo después de haber
sido generados, constituye una amenaza
de seguridad. Lo mismo cabe decir de un
monitor ubicado con la pantalla frente a un
espejo o frentea una ventana en la que se
refleja la imagen del monitor o en un lugar
donde puede ser vista por quien no debe
tener acceso a esa información.
quien los maneja habitualmente, no aplica pautas de comportamiento acordes
con la seguridad. Y esto requiere, no sólo
concienciar al personal, sino que éste
haga suyas una serie de medidas de
actuación y comportamientos que aseguren y hagan efectivas lasmedidas de
seguridad de los sistemas. Es necesario
también tomar medidas organizativas
sobre quién, cuándo y cómo tiene acceso
a la información. A qué tipo de información tiene acceso y para qué y cómo se
gestionan los distintos dispositivos. Igualmente medidas relativas a cómo y dónde
se instalan los distintos dispositivos de
entrada y salida de la información (impresoras, monitores, etc.),...
información: factores
humanos y organizativos
Protección de Datos:
sección coordinada por la
Agencia de Protección de
Datos de la Comunidad de
Madrid
José Ramón
de Lorza
Consultor
Agencia de Protección de
Datos de la Comunidad
de Madrid
C
uando se aborda la seguridad de
la información suele hacerse
desde planteamientos únicamente técnicos basándola en la
seguridad de lospropios sistemas de información, en el hardware, software y en los locales o instalaciones del tratamiento. Lo cierto es que focalizar el asunto de la seguridad en estos medios resulta
a todas luces insuficiente. Como todos ustedes saben, la seguridad es un proceso
–en continúo cambio y avance- y no un producto que se pueda adquirir en el mercado.
En todo tratamiento de información, en
mayor o menormedida, en una u otra fase
del mismo, hay intervención humana. Bien
sea durante el diseño de la aplicación, en
el suministro de la información a los sistemas, en la aportación de instrucciones al
sistema, en el manejo y uso de la información o en cualquier otra fase del tratamiento. Y es aquí donde, aunque se olvide con
demasiada frecuencia, hay que poner
atención pues en otro caso, todas lasinversiones realizadas en medidas de seguridad lógicas y físicas pueden resultar
inútiles o, cuando menos, verse socavada
la efectividad de aquéllas medidas.
Aquí se va a poner énfasis en la seguridad aplicada a los datos de carácter personal
pues si bien es cierto que no toda información constituye datos de carácter personal no
julio/agosto 2010 156
lo es menos que éstos se encuentran presentes encasi toda actividad empresarial, administrativa o de otra índole. Al fin y al cabo, las
empresas, las organizaciones, las administraciones públicas, etc., tienen clientes o administrados y la información relativa a ellos sí
constituyen datos de carácter personal.
Hay que tener en cuenta que los riesgos y amenazas de seguridad se actualizan constantemente y hay que analizar,
constantemente, cuáles sonesos riesgos
y las amenazas, las vulnerabilidades y las
probabilidades de que tales riesgos y
amenazas se materialicen.
Desde esta perspectiva de la protección de datos de carácter personal, la regulación legal existente, concretamente el
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
de Desarrollo de la Ley Orgánicas de Protección de Datos, exige no sólo medidasde seguridad lógicas –de los sistemas- y
físicas –de los locales, instalaciones, etc.sino también de tipo organizativo, lo que, a
su vez, supone implicar en ellas también al
factor humano. El factor humano es el eslabón más débil de la cadena de seguridad.
Resulta a todas luces insuficiente aplicar todo tipo de medidas de seguridad a
los sistemas, sean éstas de la naturaleza
que sean, si quientiene acceso a estos,
protección de datos
normas y d-tic
que no deben acceder a ella. Una impresora ubicada en un lugar de paso, de acceso
público o semipúblico incluso, y en la cual
se imprimen documentos que se recogen
de ella bastante tiempo después de haber
sido generados, constituye una amenaza
de seguridad. Lo mismo cabe decir de un
monitor ubicado con la pantalla frente a un
espejo o frentea una ventana en la que se
refleja la imagen del monitor o en un lugar
donde puede ser vista por quien no debe
tener acceso a esa información.
quien los maneja habitualmente, no aplica pautas de comportamiento acordes
con la seguridad. Y esto requiere, no sólo
concienciar al personal, sino que éste
haga suyas una serie de medidas de
actuación y comportamientos que aseguren y hagan efectivas lasmedidas de
seguridad de los sistemas. Es necesario
también tomar medidas organizativas
sobre quién, cuándo y cómo tiene acceso
a la información. A qué tipo de información tiene acceso y para qué y cómo se
gestionan los distintos dispositivos. Igualmente medidas relativas a cómo y dónde
se instalan los distintos dispositivos de
entrada y salida de la información (impresoras, monitores, etc.),...
Leer documento completo
Regístrate para leer el documento completo.