Aprender jugando.

Habitualmente, no se si os pasa a vosotros, acabo cansado y aburrido cuando miro mi lector de feeds, siempre hay muchas noticias repetidas, copiadas, etc… pero de vez en cuando hay alguna a la que prestas más atención. Eso me suele pasar con los casos prácticos que con cierta periodicidad plantea la página de Security Art Work.

Como ya nos decían desde pequeñitos, no hay mejor manera de aprender que tomándolo como un juego, y eso es lo que hacemos, retarnos a nosotros mismos, y esperar los comentarios de otras personas para ver donde hemos fallado o qué se nos ha escapado.

Ayer, leyendo el nuevo reto, me sentí bastante cómodo, ya que se plantea un tema que me toca muy de cerca al estar muy ligado con la actividad que realizo cada día, así que me decidí a jugar!!

Os dejo aquí el enlace al caso planteado, y empiezo a dar mi opinión. Esta relación no pretende ser una guía completa, si no una serie de medidas básicas. Contadme que os parece, que veis, que se me ha escapado….

Primero, definiremos bien el escenario, no sea que hayamos entendido algo mal y nos condicione la "auditoría".

La empresa Plásticos Cremallera contrata a Atmedsa para que preste el servicio de Vigilancia de la Salud en la empresa. El despacho del médico está contiguo al del señor Botón. El caso es reciente y se auditará en base al RD 1720/2007.

Por nuestra amistad con el señor Botón, además de comentarle los problemas que hay en relación al escenario planteado, le vamos a comentar a grandes rasgos, algunos aspectos generales de la LOPD que debe tener solventados para superar la auditoría con éxito.

Inscripción de ficheros en la AEPD
Creación de un Documento de Seguridad
Identificación del responsable de seguridad
Identificación y registro de soportes
Registro de incidencias
Registro de E/S de soportes y autorizaciones

Ahora, entraremos más en detalle basándonos en las circunstancias que nos relatan:

1.- La sala en la que pasa consulta el médico residente está justamente al lado de la del señor Botón. Queremos creer que la pared está lo suficientemente insonorizada de forma que no se oiga lo que acontece en la consulta de "nuestro" médico, y así mantener la confidencialidad y el deber de secreto en la relación médico-paciente.

2.- La información que recoge el médico es de nivel alto, y por supuesto, no debe ser accedida por el Señor Botón, de forma que la custodia de las llaves debe ser realizada exclusivamente por el médico. Entendemos que a la sala anexa no tiene acceso el señor Botón, de no ser así, deberíamos evitarlo, por ejemplo con una puerta con cerradura.

3.- Si bien el ordenador nos indica que está en la zona usuarios, recomendamos encarecidamente que Atmedsa proporciones a su médico todo el material informático, y que de la misma forma se encargue de la gestión de su información, copias, etc...

4.- El acceso al ordenador debe ser exclusivo del médico.

5.- Sería recomendable que el ordenador que utiliza nuestro médico, en caso de ser de sobremesa, tuviera mecanismos de cifrado de datos, para protegerlos en caso de un posible robo. Recordar que en caso de ser un portátil la medida es obligatoria.

6.- En el momento en el que los datos "circulan" por Internet entendemos que están convenientemente cifrados, por ejemplo mediante una VPN.

7.- La empresa del señor Cremallera únicamente deberá recibir de la parte médica los certificados de APTITUD laboral, en ningún momento análisis clínicos ni nada por el estilo.

8.- Como conocemos a Atmedsa y sabemos que son unos grandes profesionales, nunca enviarán una factura detallando las pruebas realizadas a cada paciente, ya que esto puede dar una noción de la patología del trabajador.

9.- Por si aún no nos había quedado claro, Atmedsa es una gran empresa, y en el momento que recogen los datos de salud de los trabajadores se les informa del tratamiento que se va a realizar, así como se contempla una posible cesión de datos en el caso de que fuese necesario contactar con un médico especialista, o realizar alguna prueba complementaria de la que no disponga Atmedsa, por ejemplo unas placas RX.

10.- Suponemos que el médico dispone de una impresora propia, ya que de estar compartida deberíamos implementar un mecanismo a fin de que sólo él pueda recoger sus copias, por ejemplo un PIN que al introducirlo empiece a imprimir la documentación que ha enviado.

11.- El reciclaje de papel por parte del médico, se hará, o bien con una destructora de papel, o bien en cajas que protejan el acceso a los papeles depositados, con el consiguiente contrato de encargado de tratamiento y confidencialidad con la empresa encargada de recoger las cajas.
y por el momento esto es todo, con estas recomendaciones creemos que Cremalleras superará la auditoría con suma facilidad .......................

CITA DEL DÍA: "Confianza no es sinónimo de seguridad"

2 comentarios:

Anónimo dijo...

No existen datos de nivel alto; son las medidas de seguridad las que son de nivel alto.
Hoy día cualquiera hace protección de datos...

Anónimo dijo...

Yo creo que esa expresión está suficientemente extendida en este mundillo, y resume perfectamente lo que quiere decir.