Seguritecnia 358

81 SEGURITECNIA Noviembre 2009 Eventos tivos, del tamaño y la estructura, del grado de madurez de la organización, rentabilidad, esfuerzo en la implemen- tación y tamaño del sistema a cons- truir”. Según Chicoy, el SGSI debe tener como propósito mantener y mejorar los procesos de una organización en relación con la seguridad de los activos de información, propios o cedidos por otras organizaciones, garantizando el cumplimiento de los requisitos de ges- tión de la seguridad establecidos en la norma ISO 27001. Esta norma tiene contenidos relativos a “la responsabi- lidad de la Dirección”, que ha de llevar a cabo auditorías internas del SGSI o la revisión del sistema. Asimismo, la base de la seguridad se debe asentar en tres principios: el de la “confidencialidad” de la información frente a individuos o entidades no au- torizados, “integridad” de los documen- tos y “disponibilidad” por parte del per- sonal autorizado para ello. El control y protección de los do- cumentos es la esencia de este tipo de sistemas de seguridad, y por ello “la organización debe comprometerse con su revisión, la instalación, manteni- miento y mejora”, manifestó. El responsable de Plus-Quam explicó también los aspectos a considerar para la creación de un SGSI. El primero ha de ser definir el alcance del sistema, seguido del establecimiento de una política de seguridad, seguir una me- todología de evaluación del riesgo e identificar y sopesar las opciones de protección frente a los peligros. Otros aspectos a tener en cuenta menciona- cos, gasolineras o polígonos industria- les, entre otros. Este experto de Valvonta explicó nuevamente algunas de las caracte- rísticas de la LOPD, la Instrucción de la AEPD y el informe sobre cámaras IP de la Agencia. Entre el contenido que re- coge este documento, Carrasco des- tacó: “respecto a la seguridad privada, se instalan las cámaras con la configu- ración que viene por defecto. Hay que encriptarlas para que haya seguridad y no transmitir por defecto”. En la segunda parte de su interven- ción, Carrasco dirigió la atención a la utilidad de las imágenes recogidas a través de videocámaras en los proce- sos penales y civiles en España. Esas captaciones tienen que seguir unos re- quisitos como tener un origen legítimo o contar con permisos administrati- vos. En caso de la aceptación por parte de un juez de unas imágenes como prueba válida en un proceso, también se observan algunas particularidades. “Hay que aportar al juicio las imáge- nes que sean fundamentales, no todo el contenido de la grabación. Además, si esas captaciones se consideran bue- nas como prueba, se entregarán copias a las partes afectadas”, señaló Carrasco. Unas copias para las que se exige pro- tección a todos los niveles, a través de una firma, encriptación o bloqueo. El representante de Valvonta tam- bién enumeró aspectos que deberían evitarse, como dar publicidad a las imá- genes antes de que un juez las vea, te- ner sistemas que no se puedan encrip- tar o establecer procesos de visualiza- ción sin control, entre otras. Seguridad de la Información José Antonio Chicoy , subdirector ge- neral de Organización y Calidad del Grupo Plus-Quam, habló sobre el “De- sarrollo e implantación de un Sistema de Gestión de la Seguridad de la Infor- mación (SGSI)”. Este experto explicó el objeto, los riesgos y el modelo para de- sarrollar un sistema que proteja los da- tos de una compañía. Su implantación “depende de las necesidades y obje- obligado a informar sobre derechos cuyo ejercicio no es posible”. Pero, “si sólo se captan imágenes en tiempo real y no hay fichero, no se pueden ejercer derechos como el de rectifica- ción”, argumentó. Prueba del delito La segunda intervención de la jornada corrió a cargo de Ignacio Carrasco , so- cio consultor de Valvonta, empresa pa- trocinadora de este encuentro junto con Plus-Quam y Axxon. Durante su ponencia, titulada “La grabación de imágenes de videovigilancia como elemento crítico ante la LOPD y como prueba de delito”, recuperó la idea de que la aparición de las nuevas tecno- logías ha generado un aumento de la información que se maneja y que hay que proteger. La legislación actual res- pecto a la protección de datos es ne- cesaria porque “ha habido un avance en la situación técnica, un abarata- miento de las instalaciones de CCTV, un aumento de los bienes a proteger, un exceso de información, un manejo de la opinión pública y estamos en una sociedad garantista con los dere- chos individuales”. Sobre los instaladores de sistemas de vigilancia que afectan a la identi- dad de las personas, Carrasco recordó que sólo pueden instalar estos dispo- sitivos las empresas autorizadas por el Ministerio del Interior. Hay, no obs- tante, algunas instituciones, lugares y organizaciones a las que se atribuyen excepciones, como las Fuerzas y Cuer- pos de Seguridad del Estado, los ban- Ignacio Carrasco, de Valvonta. José Antonio Chicoy, de Plus-Quam.