Página 19 de 27 TABLA III: Medidas de seguridad para datos privados según el tipo de bases de datos Bases de datos no automatizadas y automatizadas Auditoría 1. Auditoría ordinaria (interna o externa) por lo menos una vez por semestre. 2. Auditoría extraordinaria por modificaciones sustanciales en los sistemas de información. 3. Informe de detección de deficiencias y propuesta de correcciones. 4. Análisis y conclusiones del responsable de seguridad y del Responsable del Tratamiento. Responsable de seguridad 1. Designación de uno o varios Administradores de las bases de datos. 2. Designación de uno o varios encargados del control y la coordinación de las medidas del Manual de Administración de Riesgos de Seguridad de la Información – SARSI y de la Ley 1581 de 2012 de Protección de Datos Personales. 3. Prohibición de delegación de la responsabilidad asumidas por el Responsable del Tratamiento en los Administradores de las bases de datos. Manual Interno de Seguridad 1. Controles periódicos de cumplimiento. Control de acceso 1. Acceso solo para personal autorizado por el propietario de los datos. 2. Mecanismo de identificación de acceso, como por ejemplo a través del directorio activo, sistemas biométricos, reconocimiento facial, tarjeta de proximidad, etc. 3. Registro de accesos de usuarios no autorizados mediante la revisión de log en los sistemas de control de acceso. Identificación y autenticación 1. Mecanismo que limite el número de intentos reiterados de acceso no autorizados. 2. Mecanismos de cifrado de datos para la transmisión. Incidentes 1. Registro de los procedimientos de recuperación de los datos, persona que los ejecuta, datos restaurados y datos grabados manualmente. 2. Autorización del Responsable del Tratamiento para la ejecución de los procedimientos de recuperación. Almacenamiento de documentos 1.Dispositivos de almacenamiento con mecanismos que impidan el acceso a personas no autorizadas, por ejemplo a través de llaves o sistemas con tarjetas de proximidad. Copia o reproducción 1.Solo por usuarios autorizados por el propietario de los datos. 2. Destrucción que impida el acceso o recuperación de los datos mediante técnicas de borrado seguro.
RkJQdWJsaXNoZXIy MTE2ODQ5Nw==