Se tienen que diseñar las adecuadas políticas de acceso para evitar intrusiones no autorizadas a terminales físicos donde se almacena información o permiten el acceso a la misma, ya que su falta de control puede permitir accesos a información delicada incluyendo datos de carácter personal.
Un ejemplo podemos verlo en el Procedimiento Nº PS/00076/2011 , iniciado tras denunciarse ante la Agencia Española de Protección de Datos (AEPD) que desde dos terminales ubicados en el muelle de recepción de mercancías de una conocida cadena de hipermercados se podían visualizar los análisis clínicos de trabajadores de la empresa.
La inspección de la AEPD comprobó que para al iniciar los equipos “es necesario suministrar un código de usuario y una contraseña, no obstante se observa que el usuario lo proporciona el Sistema por defecto, y la contraseña es la misma que el código de usuario proporcionado”.
Tras acceder a los ordenadores “Se visualiza un escritorio con varios iconos entre los que se encuentra el denominado “Mi PC”, se selecciona dicha opción visualizándose entre otros el archivo de almacenamiento denominado Administracion, que contiene 27 carpetas, entre las que se encuentran las denominadas: “Servicio Médico” y “Personal Todos”. Dentro de las carpetas se almacenaban archivos en formato PDF con los resultados de analíticas de empleados de Centro.
La empresa alegó que “los dos ordenadores en los que produjo el error de seguridad, ubicados en el muelle de recepción de mercancías, no forman parte del sistema de información destinado a tratar datos de carácter personal en la empresa. La función de estos equipos es la mera gestión de las mercancías y esta es la razón por la que los equipos no se incluyeron en los procesos de auditoría (…) Obviamente ya se ha reconocido en este escrito la responsabilidad por el error cometido, pero quiere insistirse en que el error no consiste en la falta de implementación de medidas de seguridad, sino en que los equipos informáticos cuyas funciones eran ajenas al sistema de tratamiento de datos personales permitían el acceso a dicho sistema. En consecuencia, no estaban protegidos. (…)
La AEPD responde: “Esa es precisamente la causa de la infracción cometida, que los ordenadores no estaban protegidos, carecían de medidas de seguridad por lo que permitían el acceso a la información a terceros no autorizados”.
Y por tanto el Director de la AEPD RESUELVE:
PRIMERO: IMPONER a la entidad XXX S.A, por una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 20.000 € (veinte mil euros)http://www.ayudaleyprotecciondatos.es/2013/11/19/revisa-configuracion-todos-equipos/
No hay comentarios:
Publicar un comentario