Se me ha ido al privado, perdona Ruben.
Ruben escribió:
> Hola Lista:
> ...
> El caso es que estoy viendo que, de repente, han aparecido un
> montón de "consultoras" o "auditoras", ...
> ...Y después
> hacen "auditorías" externas cada 2 años, cuándo el caso lo requiere;
> pero como el documento de seguridad lo han redactado ellos... Pues
> claro, "se pasan" las auditorías.
Yo nunca me fiaría de una consultora/asesoría que se audita a sí misma.
Si se trata de "hacer el paripé" la ley permite que la auditoría sea
interna, con lo que no hay ningún motivo o necesidad de contratar a esa
"fiable" auditora/consultora.
> El caso es que la ley es muy muy difusa al respecto; ...
Como todas las leyes...
para concretar un poco existe el reglamento de desarrollo de la LOPD,
normalmente llamado RDLOPD o RPD.
> Existen tres niveles de "riesgo", bajo, medio y alto; a medida
> que
> sube el nivel, te exigen más cosas; pero, por ejemplo, no definen que
> si tu tienes un servidor con salida a internet, haya que plantear un
> sistema de firewall, o que cuándo apliques un cifrado, tenga que ser
> de nnn bytes, etc etc etc.... Vamos, que la ley es un texto muy
> genérico, pero que no dice nada concreto.
En la web de la agencia de protección de datos tienes una "guía de
implantación" que incluye un modelo de documento de seguridad.
La ley solo se ocupa de la protección de DCPs (datos de carácter
personal) y el resto de tu seguridad le da igual.
Si quieres normativa sobre seguridad existe la ISO-27000 (en teoría de
obligado cumplimiento en las administraciones).
Respecto al cortafuegos la ley no habla de la seguridad de tu red, solo
de la seguridad de tus ficheros. Al respecto tienes que verificar la
identidad del usuario antes de que acceda. Eso lo puedes hacer a través
del usuario del sistema, a través de un usuario en la aplicación, a
través del usuario de VPN...
Aunque a primera vista no lo parezca es bueno que la ley sea ambigua,
porque modificar una ley orgánica no es fácil ni productivo, y las
tecnologías cambian muuuuy rápido (y más comparado con la velocidad de
abogados y justicia).
Así que la ley te dice, por ejemplo, "hay que tener copia de seguridad
semanal" y tu haces la copia como te dé la gana. En linux la puedes
hacer con software privativo, con rsync, con dd, con tar...
En definitiva para una pyme con archivos de nivel básico, te sirve la
guía de la agencia y no necesitas más.
> ¿Algunos en la lista teneis experiencia en cuánto a implantar el
> tema
> de LOPD con máquinas linux?
Sip. Es sencillo. En general es sencillo adaptarse a la norma. Las
únicas complicaciones las he tenido en centros con datos de salud y
sistemas poco preparados.
> ¿Alguna web con ejemplos de documentos de
> seguridad hechos?.. Algo aparte del texto de la ley, que ya lo tengo
> muy visto ;)
Como ya te he dicho, en la agencia hay un documento modelo.
No puedo pasarte documentos de empresas, por motivos obvios :-)
Si estás muy interesado, en la web http://servi3.com en la sección
descargas tienes algunas guías de descarga pública.
Interesante el documento "Servi3-LOPD_y_Seguridad-Presentacion.pdf".
<publicidad>
Además en la sección formación hay un curso -de pago- para la adecuación
a la LOPD durante el cual se facilitan un montón de documentos de
ejemplo, claúsulas, contratos... además de realizar tu propio documento
de seguridad durante el curso.
</publicidad>
> Muchas gracias, y saludos :)
De nada
Saludos
Güimi
http://guimi.net
--
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
