La seguridad informática no sólo es un asunto de tecnología. También depende de la organización de la empresa y de las condiciones reglamentarias y legales que definen su contexto.
1. Todo puede vigilarse salvo la vida privada
La ley "Informática y Libertad" garantiza la confidencialidad de las informaciones de carácter personal: «El responsable del tratamiento deberá aplicar las medidas técnicas y de organización apropiadas para proteger los datos de carácter personal frente a la destrucción accidental o ilícita, la pérdida accidental, la alteración, la difusión o el acceso no autorizado - sobre todo cuando el tratamiento incluye transmisiones de datos en una red -, así como frente a cualquier otra forma de tratamiento ilícito».
2. La cibervigilancia no se hace sin previa declaración
En efecto, cualquier tipo de vigilancia del SI que suponga la supervisión de los comportamientos de los usuarios (filtrado de URL por ejemplo) implica la declaración previa a la CNIL así como la información a los usuarios, principalmente mediante una carta (aunque dicha carta no tiene valor jurídico).
3. Hay que conservar todo rastro de lo que entra y sale de la red
La empresa debe estar en disposición de rastrear los flujos de información que entran y salen de su red; ya sea por obligaciones reglamentarias, como en el caso de la trazabilidad de informaciones financieras para las empresas que cotizan en bolsa (SOX o LSF), o bien para demostrar que la máquina que ha servido de ayuda para un ataque ha sido previamente pirateada.
4. La seguridad informática es responsabilidad del gerente de empresa
De igual forma que la seguridad de los locales o de las personas, la seguridad del SI se encuentra bajo la responsabilidad de los gerentes de la empresa, ya que serán éstos a los que se denunciará en caso de infringir la ley. Esto significa que el hecho de estar en conformidad con el reglamento es una preocupación de la Dirección General.
1. Todo puede vigilarse salvo la vida privada
La ley "Informática y Libertad" garantiza la confidencialidad de las informaciones de carácter personal: «El responsable del tratamiento deberá aplicar las medidas técnicas y de organización apropiadas para proteger los datos de carácter personal frente a la destrucción accidental o ilícita, la pérdida accidental, la alteración, la difusión o el acceso no autorizado - sobre todo cuando el tratamiento incluye transmisiones de datos en una red -, así como frente a cualquier otra forma de tratamiento ilícito».
2. La cibervigilancia no se hace sin previa declaración
En efecto, cualquier tipo de vigilancia del SI que suponga la supervisión de los comportamientos de los usuarios (filtrado de URL por ejemplo) implica la declaración previa a la CNIL así como la información a los usuarios, principalmente mediante una carta (aunque dicha carta no tiene valor jurídico).
3. Hay que conservar todo rastro de lo que entra y sale de la red
La empresa debe estar en disposición de rastrear los flujos de información que entran y salen de su red; ya sea por obligaciones reglamentarias, como en el caso de la trazabilidad de informaciones financieras para las empresas que cotizan en bolsa (SOX o LSF), o bien para demostrar que la máquina que ha servido de ayuda para un ataque ha sido previamente pirateada.
4. La seguridad informática es responsabilidad del gerente de empresa
De igual forma que la seguridad de los locales o de las personas, la seguridad del SI se encuentra bajo la responsabilidad de los gerentes de la empresa, ya que serán éstos a los que se denunciará en caso de infringir la ley. Esto significa que el hecho de estar en conformidad con el reglamento es una preocupación de la Dirección General.
