El Archivo del Email en las Administraciones Públicas

La importancia de archivar tu correo: Parte II

A continuación se presentan los niveles medio y alto de la seguridad para el archivo del email en las administraciones públicas:

• NIVEL BÁSICO

Para todas las administraciones públicas y empresas.

– Registro de incidencias

Incorporar un procedimiento de incidencias o problemas que afecten al contenido personal en los correos electrónicos, donde se tenga información relevante de suceso como el tipo de incidencia, hora, la persona que la notifica, a quien se le comunica, los efectos que ha causado y las medidas correctivas que se aplicaron.

– Control de acceso

Sólo el personal autorizado podrá acceder al almacenamiento del correo electrónico, por lo que es obligatorio poseer un perfil de usuarios y su tipo de acceso; Además todo el personal que pueda conceder, alterar o anular el acceso debe ser identificado por el departamento de seguridad de la empresa.

– Gestión de Soportes y documentos

Identificar donde se almacenan los correos electrónicos (discos duros, cintas, pendrives) e inventariar su contenido para uso único del personal autorizado de la seguridad de la empresa; Cualquier movimiento, salida o eliminación de estos medios debe estar previamente autorizado.

– Identificación y autenticación

Cada usuario autorizado deberá estar identificado y autenticado de manera personalizada y privada para asumir el acceso al correo electrónico.

– Copias de respaldo y recuperación

La administración deberá encargarse de realizar copias de seguridad mínimo semanalmente con procedimientos preparados para recuperar datos en cado de una pérdida o destrucción de la información; Para esto, cada 6 meses será necesario revisar el funcionamiento, aplicación e integridad de la realización de copias de seguridad y recuperación.

• NIVEL MEDIO

Para todas las empresas y administraciones donde sus correos contengan datos de infracciones administrativas o penales, empresas dedicadas a solvencia patrimonial y créditos de personas o cobro de deudas: Administraciones tributarias, entidades financieras, entidades gestoras y servicios comunes de la seguridad social y las mutuas de accidentes de trabajo y enfermedades de la seguridad social.

Para este nivel es necesario agregar todos los requisitos del nivel básico y lo aquí descrito:

– Responsable de seguridad.

Un encargado o varios de coordinar y controlar las medidas de seguridad para el correo electrónico.

– Auditoría

Realizar una auditoría interna o externa al menos cada 2 años que verifique el cumplimiento de la seguridad en los sistemas de información, tratamiento y almacenamiento.

– Gestión de soportes

Establecer un sistema de registros de entrada que permita conocer el tipo de soporte, fecha y hora, emisor, número de soportes, tipo que información que tienen, forma de envío y la persona responsable; Además de otro sistema de registros de salida que permita conocer de manera directa o indirecta estos elementos.

– Identificación y autenticación

La administración debe usar un sistema que limite de manera repetitiva intentar acceder de manera autorizada al correo electrónico.

– Control de acceso físico

Sólo el personal autorizado debe puede tener acceso a los lugares y a los sistemas físicos donde se almacena el correo electrónico.

– Registro de incidencias

Además del registro del nivel básico deberá agregarse procedimientos para recuperar datos, indicando la persona que lo realizó, que datos se restauraron y que datos fueron necesarios guardar manualmente para su recuperación.

• NIVEL ALTO

Para todas las empresas y administraciones que contengan datos sobre ideología, afiliaciones sindicales, religión, origen, salud, vida sexual o datos derivados de actos de violencia de género.

Para este nivel es necesario agregar todos los requisitos del nivel básico, medio y lo aquí descrito:

– Gestión y distribución de soportes

Se usarán sistemas de etiquetado e identificación con significado que permitan al personal de acceso autorizado identificar el contenido del correo electrónico y dificultar la identificación a terceros; Para distribuir los datos se usará cifrado o cualquier otro mecanismo que la información no es accesible o manipulable durante su transporte.

– Copias de respaldo y recuperación

Conservar una copia de respaldo del correo electrónico y de los procedimientos para realizar recuperación en lugares físicos distintos para evitar posibles pérdidas de ambos.

– Registro de accesos

Cada vez que alguien quiera acceder al correo electrónico de la empresa se guardará como mínimo el usuario, fecha y hora, archivo, tipo de acceso y si el acceso fue autorizado o denegado; Estos mecanismo deberán estar controlados por el responsable de seguridad encargado de revisar al menos una vez al mes la información de los registros de acceso y elaborar un informe de la revisión y problemas detectados.

– Telecomunicaciones

El envío y acceso de correo electrónico deberá cifrarse o usar otro mecanismo para asegurar la integridad de la información y que no sea manipulada por terceros.

Además, si existe personal ajeno será necesario que cumpla con estas condiciones.

Conservación documentación contable

Cabe destacar que además de estas condiciones es necesario que si la administración envía o recibe facturas, pedidos, documentación o justificantes los conserve de manera ordenada durante seis años, de acuerdo al artículo 30 del Código de Comercio; Mientras que la Ley General Tributaria prescribe que el almacenamiento de estos documentos será de cuatro años.

A su vez es necesario conservar los recibos de salarios por cinco años, documentos de cotización y las altas y bajas de seguridad social por email bajo el artículo 3 de la Orden del Modelo de Recibo Individual de Salarios y a su vez no conservar durante cuatro años la documentación o los registros informáticos que se hayan transmitido bajo el artículo 21 de la Ley sobre Infracciones y Sanciones en el Orden Social.

Por último es vital conservar la documentación contractual, todos aquellos correos enviados o recibidos donde se llegó a un acuerdo entre dos partes y mantenerla hasta que duren las obligaciones contenidas en ella. Todas en base al Esquema Nacional de Seguridad constituido en los requisitos mínimos para proteger de manera adecuada la información, integridad, disponibilidad, autenticidad y conservación de los datos en este medio electrónico.