Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico.
1. SEGURIDAD EN UN SISTEMA INFORMTICO.
1. Introduccin. 1.1. Definiciones muy Bsicas. 2. Conceptos Bsicos sobre Seguridad Informtica. 2.1. Qu es la Seguridad Informtica? 2.2. Qu debemos proteger? 2.3. De qu nos debemos proteger? 2.4. Cmo nos debemos proteger? 3. Anlisis de Riesgos. 3.1. Amenaza o Riesgo 3.2. Cmo evaluar los riesgos? 3.3. Qu riesgos hay que evaluar? 4. Polticas de Seguridad. 4.1. Caractersticas de una buena poltica de seguridad. 4.2. Componentes de una buena poltica de seguridad. 5. Legislacin aplicable. Joaqun J. Domnguez Torrecilla Pgina 1. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. 1. Introduccin. Estamos en plena revolucin tecnolgica. Cada da, los sistemas de informacin estn ms presentes en nuestras actividades cotidianas, dndoles soporte. Hoy disponemos de sistemas que nos permiten procesar gran cantidad de informacin en muy poco tiempo; que nos intercomunican con el resto del mundo, facilitando nuestras relaciones sociales y comerciales; que nos permiten realizar gran cantidad de tareas en tiempo rcord, aumentando nuestra productividad... Esta revolucin tecnolgica afecta a todos los aspectos de nuestras vidas: la educacin, el comercio, las relaciones personales, las finanzas, los transportes, la medicina, el ocio, etc... El punto dbil de esta evolucin, est en los sistemas informticos que dan soporte a todas las nuevas funcionalidades. Si no funcionan correctamente, se pierden sus funcionalidades... y estamos hablando de educacin, comercio, medicina... Por este motivo podemos afirmar que la revolucin tecnolgica nos hace dependientes de los sistemas informticos. Sin ellos, nuestra vida se parara. Ya sabemos todos lo que ocurre cuando una sucursal bancaria pierde el enlace con su central... no se puede realizar ninguna operacin bancaria en ella! Esta nueva situacin hace que la Seguridad Informtica cobre un papel especialmente relevante, pues debemos garantizar el correcto funcionamiento de nuestros sistemas informticos para poder garantizar as el correcto funcionamiento de nuestra sociedad. Joaqun J. Domnguez Torrecilla Pgina 2. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. 1.1. Definiciones muy bsicas. Un Sistema Informtico es un complejo conjunto formado por hardware, software y por un equipo humano que lo gestiona. Su objetivo es el de constituir un sistema de informacin que d soporte a determinadas actividades o negocios. El hardware puede ser de muy diverso tipo: ordenadores, pantallas, impresoras, escners, dispositivos de comunicaciones, etc... Hay software de tres clases: software de base o software de sistema, aplicaciones y datos. Muchos sistemas informticos estn compuestos por diversos subsistemas, separados geogrficamente, pero interconectados entre s. Y en cualquier caso nunca trabajan en solitario, intercambian informacin con otros sistemas informticos. La Seguridad Informtica se encarga de proteger a los sistemas informticos de cualquier ataque o accidente que les pueda perjudicar. Evidentemente la seguridad total de un sistema es una utopa. No puede existir ningn sistema 100% seguro, pero debemos trabajar para que el porcentaje de seguridad sea lo suficientemente alto... Cunto es lo suficientemente alto? Pues en cada caso depender de las necesidades especficas de cada sistema. Joaqun J. Domnguez Torrecilla Pgina 3. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. 2. Conceptos Bsicos sobre Seguridad Informtica. 2.1. Qu es la Seguridad Informtica? La seguridad de un sistema informtico consiste en garantizar las siguientes cuestiones: 1. Integridad: Los recursos del sistema slo pueden ser modificados por los agentes autorizados. 2. Disponibilidad: El sistema informtico debe estar disponible siempre para los agentes autorizados. 3. Confidencialidad: El acceso a los recursos del sistema es exclusivo para los agentes autorizados. Para determinar si un agente est o no autorizado para realizar una determinada tarea dentro del sistema, se necesitan servicios de seguridad aadidos: 1. Autenticacin: Identificacin de los agentes. 2. Control de Acceso: Identifica qu puede hacer cada agente en el sistema. 3. No Repudio: El emisor de un mensaje, no puede negar que lo ha enviado, y el receptor no puede negar que lo ha recibido. 4. Auditora: Registrar y analizar las acciones ejecutadas por cada agente del sistema. 2.2. Qu debemos proteger? Un buen principio para disear la seguridad de la organizacin es conocerla en profundidad. El primer paso para elaborar el anlisis de riesgo es concretar qu es lo que se quiere proteger, identificando todos los recursos susceptibles de sufrir una violacin de seguridad. Algunos autores incluyen slo los recursos ms obvios como el hardware, el software o los datos, pero se olvidan de otros, tan importantes como esos: las personas que los generan y mantienen, que pueden ser tambin vulnerables, mediante la ingeniera social, y servir de puente para el acceso no autorizado al sistema informtico o la obtencin de datos. As pues la IETF, en su RFC-1244 y en la posterior RFC-2196, establece los siguientes grupos de recursos a proteger: 1. Hardware: Procesadores, tarjetas, teclados, terminales, estaciones de trabajo, ordenadores personales, impresoras, unidades de disco, lneas de comunicaciones, servidores, terminales, cableado de red, routers... 2. Software: Programas fuente, programas objeto, utilidades, programas de diagnstico, sistemas operativos, programas de comunicaciones... 3. Datos: Durante la ejecucin, almacenados en lnea, archivados fuera de lnea, copias de seguridad, registros de auditoras, bases de datos, en trnsito a travs de medios de comunicacin... Joaqun J. Domnguez Torrecilla Pgina 4. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. 4. Personal: Usuarios, administradores, personas destinadas al mantenimiento del hardware... 5. Documentacin: De programas, hardware, sistemas, procedimientos administrativos, locales... 6. Recursos: Papel, formularios, cintas, medios pticos... 2.3. De qu nos debemos proteger? Nos debemos proteger de cualquier ataque que pueda causar daos al sistema. Dicho ataque ser producido por algn agente. 1. Los agentes pueden ser de diverso tipo: 1.1. Personas: Empleados, ex-empleados, curiosos, piratas, terroristas, intrusos remunerados, etc... 1.2. Amenazas lgicas: Software defectuoso, herramientas de seguridad, puertas traseras, bombas lgicas, canales ocultos, virus, gusanos, caballos de Troya, programas conejo 1 , tcnicas salami 2 , etc... 1.3. Catstrofes: Inundaciones, incendios, explosiones de gas, terremotos, huracanes, tsunamis, etc... 2. Por otra parte, los ataques pueden ser tambin de diverso tipo: 2.1. Interrupcin o denegacin del servicio: Provocan que algn recurso quede no disponible o incluso inutilizado. 2.2. Interceptacin o acceso indebido: Consigue interceptar o capturar un recurso o tener acceso a l. 2.3. Modificacin o destruccin: Consigue acceder a un recurso y modificarlo o borrarlo. 2.4. Fabricacin: Consigue generar recursos falsos, similares a los atacados. 2.4. Cmo nos podemos proteger? Implementar tcnicas de proteccin sin orden ni concierto, no lleva a ninguna parte. Seguro que dejaramos muchos agujeros de seguridad que haran intiles nuestros esfuerzos en proteger el sistema. Como siempre en cualquier mbito de la ingeniera, la proteccin del sistema se debe afrontar partiendo de un anlisis previo exhaustivo, que pueda servir de base para establecer posteriores normas de seguridad. 1 Programa Conejo: Es un programa cuya nica finalidad es reproducirse indefinidamente, hasta colapsar los recursos del sistema. 2 Tcnicas Salami: Consisten en el robo de cantidades muy pequeas cada vez, que acaban siendo considerables. Son especialmente peligrosas en entornos bancarios. Joaqun J. Domnguez Torrecilla Pgina 5. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. De esta manera, para proteger nuestro sistema debemos actuar en dos fases: 1. Realizar un Anlisis de Riesgos: Debe ser exhaustivo, identificando y estudiando los posibles riesgos a los que est expuesto nuestro sistema. 2. Elaborar una Poltica de Seguridad adecuada: Consiste en un conjunto de normas destinadas a proteger nuestro sistema. Joaqun J. Domnguez Torrecilla Pgina 6. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. 3. Anlisis de Riesgos. El primer paso para la proteccin de nuestro sistema es el anlisis de riesgos. Consiste en realizar un anlisis exhaustivo de las posibles amenazas que ponen en peligro nuestro sistema. Para cada una de ellas, habr que identificarla, calcular su probabilidad de suceso, valorar su impacto y recomendar una accin. Veamos esto detalladamente... 3.1. Amenaza o Riesgo. Un Riesgo o Amenaza se caracteriza por su naturaleza, la probabilidad de que suceda y el impacto o coste producido cuando sucede. Dicho coste, dependiendo del caso, se podr medir en dinero, en prestigio e imagen de marca, en vidas humanas... (Ver la Figura-1.1). Figura-1.1: Amenaza, probabilidad e impacto. Normalmente, no es posible eliminar ni la probabilidad ni el impacto de un riesgo, pero si es posible reducirlos. Una Contramedida (o medida) intenta minimizar, en lo posible, la probabilidad y/o el impacto de una amenaza, tal y como se muestra en la Figura-1.2. Figura-1.2: Efecto de las Medidas contra un Riesgo. La Evaluacin de Riesgos trata de identificar los riesgos, cuantificar su probabilidad e impacto y analizar las medidas que los eliminen (lo que generalmente suele ser imposible), o que disminuyan la probabilidad de que ocurran los hechos, o que mitiguen el impacto 3 . 3 [PIAT-98, 395] Joaqun J. Domnguez Torrecilla Pgina 7. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) RIESGO O AMENAZA PROBABILIDAD Probabilidad de que suceda dicha amenaza. 0 <= p i <= 1 IMPACTO Coste que se produce cuando sucede la amenaza. Se puede medir en dinero, vidas humanas, prestigio... Tiene una Produce un MEDIDAS PROBABILIDAD IMPACTO Minimizan y / o de un Riesgo Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. La Evaluacin de Riesgos juega un papel de vital importancia en la Seguridad Informtica, puesto que es una manera de identificar, medir y minimizar los riesgos que sufrimos. Si bien, esta tarea no es sencilla y se nos plantean, fundamentalmente, dos cuestiones que habremos de resolver: 1. Cmo evaluar los riesgos? 2. Qu riesgos evaluar? Veamos estas dos cuestiones por separado... 3.2. Cmo Evaluar los Riesgos? El problema de la seguridad no se reduce a identificar un posible riesgo y disear un sistema para eliminarlo o amortiguarlo, esto no basta. Debemos pensar que las medidas deben considerarse como inversiones en seguridad, pero cul es la rentabilidad de una medida determinada? Por otra parte, no ser ms cara la medida que el riesgo? Cunto nos cuesta una amenaza? y la medida que la contiene? Queda patente, que debemos, en lo posible, cuantificar esta situacin. Por todo esto, necesitamos un mtodo mediante el cual podamos cuantificar el riesgo, cuantificar su coste real y cuantificar la rentabilidad de una determinada medida. El mtodo que proponemos consiste en crear, para un riesgo dado, un Escenario de Anlisis de Riesgo. En l iremos definiendo y calculando ciertas cuestiones. Al final, estaremos en condiciones de proponer una actuacin determinada. 1. En primer lugar, se debe identificar el riesgo, esto es, debemos explicar la naturaleza de dicho riesgo o amenaza. 2. Identificar los controles existentes para dicha amenaza. Los controles son los sistemas o los mtodos en uso que pueden evitar dicha amenaza. 3. Analizar las debilidades de dichos controles. 4. Plantear el escenario de la amenaza, esto es, describir cmo se sucede el fallo. 5. Estimar la probabilidad de suceso del riesgo. 6. Estimar el impacto del riesgo. 7. Calcular el coste de la amenaza, ponderando el impacto del riesgo por su probabilidad de suceso. 8. Disear una medida que contrarreste, total o parcialmente, dicha amenaza. 9. Estimar el impacto de la medida, esto es, cmo la medida influye en el impacto y en la probabilidad del riesgo. 10. Estimar el coste de la medida, esto es, cunto nos va a costar implantar dicha medida. 11. Calcular el coste de la amenaza + medida. Se sumar lo que nos cuesta la amenaza, si se aplica la medida, ms lo que nos cuesta la medida. 12. Se presentan las conclusiones y recomendaciones que incluirn la decisin tomada. Joaqun J. Domnguez Torrecilla Pgina 8. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. En este ltimo aspecto, en el de las conclusiones y recomendaciones, debemos aclarar que, en vista del anlisis de un riesgo, podemos elegir entre tres decisiones posibles: Asumir el riesgo. Consiste en asumir que existe dicha amenaza y no hacer nada al respecto, an conociendo su existencia. La eleccin de esta opcin, debe hacerse a un nivel adecuado en la organizacin y con plena conciencia del riesgo que se asume. No debe elegirse nunca esta opcin por falta de capacidad de decisin o por falta de informacin. Generalmente slo se asume un riesgo cuando su coste es pequeo y el coste de la medida es mucho mayor. Implantar una medida que contenga a dicha amenaza, ya sea reduciendo la probabilidad de que sta ocurra, o disminuyendo su impacto. Transferir el riesgo a un tercero, por ejemplo, contratando un seguro. Esta opcin nos puede resarcir econmicamente, pero, por ejemplo, si nuestra organizacin pierde datos importantes, stos no se recuperarn aunque el seguro nos pague la indemnizacin. A continuacin, en la pgina siguiente, veremos un ejemplo de un escenario de anlisis de un riesgo concreto: Joaqun J. Domnguez Torrecilla Pgina 9. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. ESCENARIO DE ANLISIS DE RIESGO Amenaza Daos causados maliciosamente por un operador al ordenador central. Controles existentes Siempre estn presentes dos operadores Revisin del historial previo antes de contratar a los operadores Debilidades del control La estabilidad psicolgica de los operadores no es establecida con regularidad de manera precisa y formal Escenario Un operador se desestabiliza psicolgicamente y destruye el ordenador central, mientras el otro operador ha abandonado temporalmente la sala, o bien, es capaz de convencer al otro operador para causar el dao juntos Probabilidad de que ocurra < 1 por 10.000 en un ao (por operador) Impacto de la amenaza 360.000 (Se ha tenido en cuenta el coste de la mquina, el coste de la operacin de reemplazo, y el coste derivado del tiempo de inoperatividad) Coste de la amenaza 36 Anuales (= 360.000 / 10.000) (Por operador) Medida Realizar revisiones psicolgicas anuales a los operadores con acceso al ordenador central. Impacto de la medida El impacto de la amenaza no vara. Se supone que se reduce la probabilidad de suceso hasta prcticamente cero. Coste de la medida 300 anuales por operador (Se ha tenido en cuenta, el coste del gabinete psicolgico ms el coste de las horas del operador dedicadas a la revisin). Coste de amenaza + medida 300 - 36 = 264 anuales (por operador) Conclusiones No es aceptable el incremento de coste de la medida. Es menos rentable aplicar la medida que asumir el riesgo. Adicionalmente, el efecto de este tipo de pruebas anuales sobre la moral de los empleados es un motivo serio de preocupacin. Por lo que se recomienda asumir el riesgo. En este caso, hemos podido observar como a veces es ms rentable asumir un riesgo que tomar medidas contra l. De todas formas, hay que hacer hincapi en que en esta tcnica, la cuestin primordial radica en estimar la probabilidad y el impacto del riesgo correctamente. Joaqun J. Domnguez Torrecilla Pgina 10. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. 3.3. Qu Riesgos hay que Evaluar? Para evaluar los riesgos en un sistema de informacin, hay que considerar, entre otros factores, el tipo de informacin almacenada, procesada y transmitida, la criticidad de las aplicaciones, la tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento. Para ello existen listas estndar de las que podemos extraer los riesgos aplicables a nuestro caso. El problema sigue siendo la adaptacin de los puntos a cada caso, y asignar el peso que puede tener cada uno de los puntos. Desde la perspectiva de la seguridad informtica es necesario revisar si se han considerado y evaluado las amenazas de todo tipo: errores y negligencias en general, desastres naturales, fallos de instalaciones, o bien fraudes o delitos, y que pueden traducirse en daos a personas, datos, programas, redes, instalaciones, u otros activos, lo que llegara a suponer un peor servicio a usuarios internos y externos, e incluso prdida irreversible de datos, y hasta el fin de la actividad de la entidad en los casos ms graves. Para ello es necesario evaluar las vulnerabilidades que existen, ya que la cadena de proteccin se podr romper con mayor probabilidad por los eslabones ms dbiles, que sern los que preferentemente intentarn usar quienes quieran acceder de forma no autorizada. Joaqun J. Domnguez Torrecilla Pgina 11. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. 4. Polticas de Seguridad. Empecemos por dar una definicin formal... Las polticas de seguridad consisten en una serie de reglas y normas de procedimiento, que conforman un mecanismo destinado a eliminar, o al menos controlar, los riesgos a los que se enfrentan los sistemas de informacin (y por tanto las instituciones o particulares que hacen uso de ellos). El objetivo de una poltica de seguridad es definir cmo se va a proteger una organizacin ante los posibles ataques, tanto internos como externos. Tiene dos partes: 1. Poltica general: define el enfoque general. Se basa en un anlisis de vulnerabilidad previo, donde se identifican las amenazas y se clasifican por su posible incidencia en el funcionamiento de la organizacin. 2. Reglas especficas: definen las caractersticas y acciones concretas, para cada servicio o sistema, orientadas a cumplir los objetivos de la poltica general. La informacin bsica para definir una buena poltica de seguridad est en el RFC-2196 4 . En este documento se definen dos aspectos importantes: por una parte, cules son las caractersticas de una buena poltica de seguridad, y por otra, cules son sus componentes. Profundicemos en esto... 4.1. Caractersticas de una buena poltica de seguridad. Una poltica de seguridad debe cumplir determinadas caractersticas para ser eficiente. Las ms importantes son las siguientes: 1. Factible: Se tiene que poder poner en prctica mediante procedimientos concretos de administracin de sistemas, mediante la publicacin de guas sobre el uso aceptable de los recursos informticos, o mediante otros mtodos prcticos apropiados. No debe ser una entelequia, debe ser implementable. 2. De obligado cumplimiento: Se debe obligar su cumplimiento mediante herramientas de seguridad, donde sea posible, y mediante sanciones, donde la prevencin no sea posible tcnicamente. 3. No debe tener agujeros, y si los tiene hay que poder detectarlos. 4. Debe definir claramente las reas de responsabilidad de los usuarios, los administradores y la direccin. Tiene que haber un responsable para todas las situaciones posibles. 4 RFC-2196: http://www.rfc.net/rfc2196.html http://www.ietf.org/rfc/rfc2196.txt Joaqun J. Domnguez Torrecilla Pgina 12. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. 4.2. Componentes de una buena poltica de seguridad. Una poltica de seguridad, para ser eficiente, debe contener distintos componentes. Esto variar de una organizacin a otra (sobre todo en funcin de su tamao), pero bsicamente podemos distinguir los siguientes componentes bsicos: 1. Gua de compra de hardware y software, donde se especifiquen las funciones relacionadas con la seguridad requeridas o deseadas. 2. Una poltica de privacidad que asegure un nivel mnimo de privacidad en cuanto a acceso a correo electrnico, ficheros de usuario, ficheros de traza, etc. 3. Una poltica de acceso que defina los niveles de seguridad, los derechos y privilegios, caractersticas de las conexiones a las redes internas y externas, mensajes de aviso y notificacin, etc. 4. Una poltica de responsabilidad que defina las responsabilidades de los usuarios, y del personal tcnico y de gestin. Debe definir los procedimientos de auditora y de gestin de incidentes (a quin avisar, cundo y cmo, etc.) 5. Una poltica de autenticacin que establezca un esquema de claves o palabras de paso (passwords), que especifique modelos para la autenticacin remota o el uso de dispositivos de autenticacin. 6. Una declaracin de disponibilidad, que aclare las expectativas de los usuarios en cuanto a la disponibilidad de los recursos. Debe definir temas como la redundancia, la recuperacin ante intrusiones, informacin de contacto para comunicar fallos en los sistemas y/o en la red, etc. 7. Una poltica de mantenimiento que describa cmo se lleva a cabo el mantenimiento interno y externo, si se permite mantenimiento remoto y/o mantenimiento por contratas externas, etc. 8. Una poltica de comunicacin de violaciones que defina qu tipos de amenazas, y cmo y a quin se deben comunicar. 9. Informacin de apoyo que indique a los usuarios, personal tcnico y administracin cmo actuar ante cualquier eventualidad, cmo discutir con elementos externos los incidentes de seguridad, qu tipo de informacin se considera confidencial o interna, referencias a otros procedimientos de seguridad, referencias a legislacin de la compaa y externa, etc. Joaqun J. Domnguez Torrecilla Pgina 13. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/) Introduccin a la Seguridad en los Sistemas Informticos. 1. Seguridad en un Sistema Informtico. 5. Legislacin Aplicable A la hora de definir la seguridad de un sistema, hay que tener muy presente cul es la legislacin actualmente en vigor en Espaa, ya que va a delimitar las responsabilidades civiles e incluso penales de nuestras actuaciones. El mbito legal actual est formado por las siguientes leyes: 1. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal 5 . 2. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y Comercio Electrnico 6 . 3. Real Decreto-Ley 14/1999, de 17 de septiembre, de Firma Electrnica 7 . Adems, existe una norma ISO internacional, que no es de obligado cumplimiento, pero si aporta mucho prestigio a quien consigue cumplirla. Es la siguiente: Norma Internacional ISO 17799 8 (Information technology -- Code of practice for information security management 9 ), que regula los siguientes aspectos: Poltica de seguridad Asignacin de responsabilidades Educacin y capacitacin en seguridad Comunicacin de incidencias Aspectos de la gestin de continuidad de negocio Proteccin de datos de carcter personal y de la intimidad Salvaguarda de los registros de una organizacin Derechos de propiedad intelectual. 5 LOPD: http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=1999/23750 6 Ley 34/2002: http://www.boe.es/g/es//bases_datos/doc.php?coleccion=iberlex&id=2002/13758&codmap= 7 RD 14/1999: http://64.233.183.104/search?q=cache:ABkPfc5Lzu0J:www.boe.es/boe/dias/1999/09/18/pdfs/A33593- 33601.pdf+Real+Decreto-Ley+14/1999&hl=es&ct=clnk&cd=1&lr=lang_es 8 ISO-17799: Puede ampliar la informacin en http://es.wikipedia.org/wiki/ISO/IEC_17799 9 Cdigo de procedimientos para la gestin de la seguridad en los sistemas de informacin. Joaqun J. Domnguez Torrecilla Pgina 14. Este obra est protegida por una licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported. (http://creativecommons.org/licenses/by-nc-sa/3.0/)