Seguridad IT
Seguridad IT
En este post trataremos las medidas básicas para una adecuada Seguridad IT (Tecnologías de la Información) en el ámbito empresarial.
Desglosaremos dichas medidas en cuatro temas: Hardware, Software, Redes y Cumplimiento Normativo.
Hardware
El hardware, entendido como los equipos que nos permiten acceder nuestro sistema informático y tratar la información (Ordenadores, Servidores, Smartphone, Memorias externas, etc.). Obviamente es una parte fundamental de la Seguridad IT de cualquier empresa.
Deberá ser aquel que corporativamente se haya autorizado para trabajar y que por tanto cumpla con las medidas de seguridad necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de la información tratada, así como las características técnicas necesarias para desarrollar el trabajo encomendado.
Esta declaración de intenciones deberá constar en las Políticas de Seguridad IT y protección de datos personales, aprobada por la Dirección.
Inventario
Se deberá elaborar un inventario (ref. cliente Business Adapter: carpeta 08), con el detalle del hardware que cada usuario de la empresa tenga asignado para trabajar.
También constará el hardware que sin estar asignado a un usuario, aloje o sea utilizado para tratar de alguna forma la información corporativa, como por ejemplo, servidores, impresoras terminales de punto de venta, etc.
Servidores Externos
Respecto a los Servidores externos, es decir aquellos que se contratan a proveedores y que están ubicados físicamente en un lugar distinto a las instalaciones de la empresa (ej. Servidores en la nube), será necesario analizar si el proveedor cumple con las medidas de seguridad IT y a ser posible que los servidores estén dentro del EEE.
Contrato ET
Con estos proveedores, a los que delegamos algunas funciones, como el caso expuesto del alojamiento de información, será necesario firmar con estos un contrato de Encargados del tratamiento en cumplimiento del RGPD.
Seguridad IT
La Política de Seguridad IT debe establecer varios procedimientos de actuación para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de la información tratada. Por ejemplo:
- Política de itinerancia de equipos
- Registro de entrega y recogida de dispositivos
- Política de uso de los equipos (uso personal / uso profesional / mantenimiento, etc.)
- Cifrado o encriptado de equipos
Software
El software se refiere a todos aquellos programas informáticos que junto al hardware permitan la gestión del sistema de información, desde el sistema operativo que es el más importante, hasta otros programas con distintas funcionalidades (ERP, CRM, Ofimática, Correo electrónico, etc.).
Deberá ser aquel que corporativamente se haya autorizado para cumplir con el cometido que a cada uno se le encomienda y que cumpla con las medidas de seguridad necesarias para garantizar la confidencialidad, integridad y disponibilidad de la información tratada.
Esta declaración de intenciones deberá constar en las Políticas de Seguridad IT y protección de datos personales, aprobada por la Dirección. Pero esta Política incluirá además varios aspectos:
Seguridad IT
La Política de Seguridad IT debe establecer varios procedimientos de actuación para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de la información tratada. Por ejemplo:
- Medidas de Identificación y autenticación de los Usuarios
- Política de uso del correo electrónico
- Política de uso de videoconferencias
- Política de Teletrabajo o Trabajo a Distancia
- Política de copias de seguridad
Inventario
Se deberá elaborar un inventario (ref. cliente Business Adapter: carpeta 08), con el detalle del hardware que cada usuario de la empresa podrá utilizar para desarrollar su trabajo.
También constará el software que no tiene un cometido específico necesario para el trabajo, pero si tiene una utilidad imprescindible para la seguridad de la información, (ejemplo: sistemas antivirus, antimalware, etc.).
Contrato ET
Con aquellos proveedores que presten servicios que implique un tratamiento de datos personales responsabilidad del responsable del tratamiento, será necesario firmar con estos un contrato de Encargados del tratamiento en cumplimiento del RGPD.
Redes
Las redes serían los medios por los que los diferentes equipos corporativos se interconectan de forma interna, pero también las redes necesarias para estar conectado con el exterior.
Existen muchos tipos de redes y en función del tipo de datos tratados, se recomienda un tipo de red acorde al tipo de datos o información a tratar. Cuanto más relevante sea la información más segura debe ser la red utilizada.
Inventario
Se deberá elaborar un inventario (ref. cliente Business Adapter: carpeta 08), con el detalle del sistema de redes utilizadas por la empresa.
Seguridad IT
La Política de Seguridad IT debe establecer varios procedimientos de actuación para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de la información tratada. Por ejemplo:
- Autorización para el uso de redes
- Uso de redes fuera del centro de trabajo
- Política de identificación y autenticación de los usuarios
Cumplimiento Normativo
El Reglamento General de Protección de Datos Europeo (RGPD) y la Ley Orgánica de Protección de Datos española (LOPD-GDD), deberán estar implantadas en cualquier empresa y su grado de aplicación irá en función de un análisis técnico-legal que una Consultora de protección de datos experta le realizará a su empresa.
Si buscas una empresa de protección de datos en Valencia, Business Adapter® protección de datos Valencia, es tu mejor opción. Si quieres saber lo que opinan de nosotros pincha aquí.
[su_button url=»https://businessadapter.es/contacto» target=»blank» background=»#f6f903″ color=»#181818″ size=»7″ center=»yes» icon_color=»#000000″]Quiero un presupuesto para contratar un Consultor de Protección de datos experto[/su_button]