22 Bases de datos automatizadas Identificación y autenticación 1. Identificación personalizada de usuarios para acceder a los sistemas de información y verificación de su autorización, a través de sistemas de validación o autenticación de usuarios como por ejemplo: el Directorio Activo. 2. Mecanismos de identificación y autenticación a través de sistemas que emplean contraseñas para su autenticación. La asignación y caducidad de estas debe estar definida siguiendo las directrices establecidas en el Manual del Sistema de Administración de Riesgos de Seguridad de la Información – SARSI/SGSI. Telecomunicaciones 1. Acceso a datos mediante redes seguras, mediante la utilización de VPN o herramientas de acceso remoto contratadas por la Cooperativa. TABLA III: Medidas de seguridad para datos privados según el tipo de bases de datos Bases de datos no automatizadas y automatizadas Auditoría 1. Auditoría ordinaria (interna o externa) por lo menos una al año. 2. Auditoría extraordinaria por modificaciones sustanciales en los sistemas de información. 3. Informe de detección de deficiencias y propuesta de correcciones. 4. Análisis y conclusiones del responsable de seguridad y del Responsable del Tratamiento. Responsable de seguridad 1. Designación de uno o varios Administradores de las bases de datos. 2. Designación de uno o varios encargados del control y la coordinación de las medidas del Manual del Sistema de Administración de Riesgos de Seguridad de la Información – SARSI/SGSI y de la Ley 1581 de 2012 de Protección de Datos Personales. 3. Prohibición de delegación de la responsabilidad asumidas por el Responsable del Tratamiento en los Administradores de las bases de datos. Manual Interno de Seguridad 1.Controles periódicos de cumplimiento. Control de acceso 1. Acceso solo para personal autorizado por el propietario de los datos. 2. Mecanismo de identificación de acceso, como por ejemplo a través del directorio activo, sistemas biométricos, reconocimiento facial, tarjeta de proximidad, etc. 3. Registro de accesos de usuarios no autorizados mediante la revisión de log en los sistemas de control de acceso.
RkJQdWJsaXNoZXIy MTE2ODQ5Nw==