Este artículo fue publicado por primera vez por ITK SECURITY.
Última actualización antes de 7 meses a través de Patrick Ruppelt¿Ley de Seguridad Informática?
La Ley de Seguridad Informática no existe
Por qué muchas empresas no se ocupan del tema de la protección de datos no es tan difícil de entender como podría parecer a primera vista. Hay que escarbar laboriosamente en diversos textos legales e instrucciones antes de -con suerte- llegar a una conclusión.
Este breve libro blanco no pretende ser exhaustivo, ni proporcionar al lector profundos conocimientos técnicos, ni siquiera analizar nuevos precedentes jurídicos. Más bien pretende presentar de forma legible qué directrices pueden tener autoridad y qué conclusiones puedes extraer de ellas como empresario. Y deberías hacerlo.
Si lo solicitas, estaremos encantados de enviarte gratuitamente el libro blanco completo.
Si echas un vistazo somero al marco jurídico, te darás cuenta rápidamente de que, de hecho, la Ley de Seguridad Informática no existe. Por tanto, derivamos las normas correspondientes de otros ámbitos de la jurisprudencia o nos remitimos a normas individuales que aparecen en el contexto de temas más amplios. En primer lugar, nos gustaría mencionar la Ley de Control y Transparencia en los Negocios (KonTraG), la Ley Federal de Protección de Datos (BDSG), así como las Leyes de Sociedades Anónimas y de Sociedades de Responsabilidad Limitada (AktG y GmbHG). No es necesario hablar ahora de las consecuencias jurídicas de incumplir los propios deberes: Las multas y las penas de prisión no son inusuales.
Cabe mencionar en este punto que el Código Civil (BGB) también puede adquirir relevancia, por ejemplo, cuando se trata de negligencia concurrente en el sentido del artículo 254 GBG.
Seguridad informática
...¿y quién es responsable?
De acuerdo con la norma BSI de Protección Básica
La seguridad informática aborda la cuestión de lo que debe garantizarse para mantener los procesos empresariales y evitar daños. Esto incluye, en particular, cuestiones sobre
- de disponibilidad constante,
- confidencialidad y
- la integridad
de datos. Las razones para ello son múltiples. La protección primaria de los datos de la empresa puede tener un trasfondo jurídico, económico o financiero.
Existen normas claras para tipos especiales de empresas, como las sociedades anónimas. Ahora, sin embargo, el gerente de una GmbH también tiene que "actuar con la diligencia de un ordenado empresario" (art. 43.1 GmbHG). Y la jurisprudencia actual hace el resto. En resumen: el empresario es responsable de todos los daños que podrían haberse evitado introduciendo un concepto de seguridad de los datos.
Precaución también por parte del proveedor: los proveedores de servicios informáticos son igualmente responsables si ofrecen "copias de seguridad" como servicio y no llevan a cabo el mantenimiento y el control.
¿Y eso significa que el aseguramiento es voluntario?
Y quien no lo haga: ¿está actuando ilegalmente?
Del negocio, la falacia y el fin de la diversión.
Al final, es una cuestión de responsabilidad, de prueba, de evidencia. El comerciante, así como el empresario en general, deben asegurarse de que pueden cumplir todas sus obligaciones como corresponde en cada momento.
El quid de la cuestión es precisamente éste: no hay ninguna ley que diga que los datos deban conservarse en forma de "copia de seguridad legalmente autorizada". Sin embargo, existe la obligación -o, en algunos casos, simplemente la necesidad- de mantener los datos a mano. Hay una serie de casos en los que esto no es fácilmente posible, en pocas palabras lo llamamos fallo técnico, humano u organizativo. Según la jurisprudencia vigente, debe asumirse que el propio empresario es responsable de la copia de seguridad de sus datos, legalmente exigida -pero no prescrita-, por así decirlo.
Algunos ejemplos para ilustrarlo: como es bien sabido, la Agencia Tributaria establece plazos que deben cumplirse. Si no es posible facilitar cifras preparadas debido a un fallo técnico, la oficina puede legítimamente hacer una estimación. El empresario es responsable. Una amenaza similar surge si no se pueden presentar contrapruebas a los organismos de protección de los consumidores u otros demandantes.
Basilea II es cada vez más importante en tiempos de tensión financiera. Para evaluar la solvencia de una empresa, Basilea II establece implícitamente como criterio la tecnología de la información responsable. Con ello se pretende aumentar la seguridad de la inversión para prestamistas e inversores y, a su vez, se pone la responsabilidad en manos de la empresa. Los auditores corporativos adoptan el mismo enfoque. Por ejemplo, un KPMG difícilmente dará una calificación positiva a una empresa que no utilice soluciones de copia de seguridad y archivo.
Por último, pero no por ello menos importante, incluso el Tribunal Regional Superior de Hamm declaró ya en 2003: "La copia de seguridad de los datos es una cuestión de rutina en las empresas".
La copia de seguridad no es un archivo
WORM, magneto-óptica & Co.
En qué consiste realmente la seguridad de la revisión.
Cuando una copia de seguridad de datos tiene que evitar la pérdida de datos y la recuperación rápida en el sentido de la continuidad de la empresa está en primer plano, hay que hacer una demarcación comúnmente descuidada del archivo de datos.
El archivado tiene un carácter más a largo plazo. La motivación es básicamente la misma que para la copia de seguridad de datos: ya sea la administración fiscal, otros socios económicos u organismos jurídicos. Todos los documentos y datos a largo plazo deben almacenarse durante muchos años de forma completa, investigable y a prueba de manipulaciones. Esto puede llegar hasta todo el tráfico de correo electrónico de la empresa, dependiendo del tipo de actividad empresarial.
Mientras que apenas existen normas legalmente vinculantes y auténticas sobre cómo deben realizarse las copias de seguridad de los datos, existen algunas directrices para el archivado. En concreto, la BSI especifica criterios de orden al menos insuficientes para los archivos en G 2.74 de la IT-Grundschutz. Se centra en la unicidad y la auditabilidad. Por tanto, en términos de archivo de datos, puede afirmarse que los requisitos para el archivo electrónico pueden influir directamente en la elección de los medios de almacenamiento y que, por ejemplo -en contraste con la copia de seguridad de datos-, una solución en la nube en términos de archivo en almacenamiento de red no cumple los requisitos del legislador. Los contratos marco y los acuerdos especiales ya no sirven de nada en este caso. Los discos duros no son a prueba de auditorías, porque no se puede garantizar que los datos archivados no se modifiquen posteriormente.
Entre otras cosas, el llamado almacenamiento WORM, que se utiliza por ejemplo en las actuales unidades de cinta con soporte LTO5, se considera a prueba de auditorías. Los sistemas magneto-ópticos también pueden ser a prueba de auditorías. Los discos duros no lo son.
Copia de seguridad y archivo
en la práctica: sencillo y seguro
Cómo se mantiene el statu quo.
Por tanto, el más alto nivel de dirección debe especificar la gestión de la seguridad de la información, lo que incluye la protección de datos y el archivo en igual medida. Las cuestiones centrales aquí son: ¿Cómo pueden reducirse los riesgos, qué riesgos pueden transferirse y qué riesgos pueden aceptarse?
Según el Principio B 1.4 de las ETI, en primer lugar debe adoptarse un concepto de copia de seguridad de los datos. Un concepto mínimo de copia de seguridad de los datos describe en primer lugar de qué software, de qué datos del sistema y de las aplicaciones y de qué datos de registro debe hacerse una copia de seguridad. Utilizando un software especial de copia de seguridad y medios de copia de seguridad adecuados, una copia de seguridad integral sólo puede tener lugar si se lleva a cabo un control, cuidado y mantenimiento adecuados. Esto puede hacerlo el departamento informático interno o un proveedor de servicios externo. En cualquier caso, el responsable de protección de datos de la empresa debe estar implicado; incluso cuando se hagan copias de seguridad de archivos, no hay que olvidar que también puede tratarse de datos sensibles cuya confidencialidad es tan digna de protección como la de los datos originales.
El medio de copia de seguridad se selecciona según los criterios mencionados anteriormente. Para decirlo claramente: un almacenamiento descentralizado en disco duro puede ser suficiente, así como una solución en la nube, si las condiciones marco correspondientes están (pueden estar) fijadas por escrito.
Si además hay que archivar los datos de la empresa -lo que probablemente ocurra en la mayoría de las empresas-, hay que ir un paso más allá. En este caso, básicamente se puede debatir si se implantan los dispositivos técnicos adecuados o si se recurre a un proveedor de servicios que ofrezca esto como un servicio puro y sea capaz, mediante sistemas de gestión descentralizados, de proporcionar a la empresa copias a prueba de revisiones, preferiblemente en un sistema legible común como las cintas LTO, de acuerdo con el plan de archivo que se defina de todos modos.
En cualquier caso, hay que asegurarse de que la empresa tiene la posibilidad de acceder inmediatamente a su inventario de datos en cualquier momento. En el caso de una copia de seguridad, el tiempo de recuperación debe ser breve; en el caso del archivo, la atención se centra en la autenticidad, integridad y auditabilidad de las copias realizadas.
La externalización y la nube ofrecen nuevas posibilidades, pero al final sigue siendo una cuestión de confianza.
