Tema 1 Introducción A La Seguridad de La Información Basado en El Curso de INTECO

Ciclo de Grado Medio Sistemas Microinformticos y Redes
MODULO: Seguridad Informtica

TEMA: Introduccin a la seguridad de la informacin
ndice
1.- Introduccin a la Seguridad de la Informacin.

2.-La Seguridad desde el punto de vista legal.
3.- La Seguridad desde el punto de vista de negocio.
4.-La Seguridad desde el punto de vista de las amenazas.
5.- Soluciones para las organizaciones.

1.- Introduccin a la Seguridad de la Informacin.

En la actualidad se estn produciendo importantes cambios en nuestra sociedad relacionados con
las tecnologas de la informacin que afectan a todos los mbitos de la sociedad, como el
econmico, el tecnolgico o el normativo. Estos cambios tambin han modificado el concepto de
Seguridad de la Informacin.
Posiblemente el cambio ms fundamental que ha sufrido el concepto de Seguridad de la
Informacin tiene que ver con el hecho de que la Seguridad, tal y como la entendamos hasta hace
unos aos, ha cambiado por completo. En la actualidad ya no concebimos la Seguridad como un
concepto solamente tcnico sino que tambin tenemos en cuenta sus aspectos organizativos,
jurdicos o normativos, entre otros.
1.1.- Conceptos generales sobre seguridad
Seguramente muchas veces hemos escuchado noticias relacionadas con ataques de hackers,
robos de informacin a grandes compaas, desastres naturales que han hecho desaparecer
decenas de empresas de un slo golpe, virus o gusanos capaces de paralizar miles de ordenadores
o un adolescente que trabaja desde su habitacin y consigue acceder a los ordenadores de un
gobierno.
Cuando salen a la luz este tipo de informaciones, la mayora solemos asociarlas a situaciones
aisladas, cosas que pasan fuera de nuestro entorno pero que a nosotros no nos van a ocurrir. Sin
embargo, ste es un pensamiento que no puede estar ms alejado de la realidad.
Los problemas derivados de la falta de Seguridad de la Informacin estn por todas partes, mucho
ms cerca de lo que pensamos. Adems, no solamente tienen que ver con incidentes como los
mencionados anteriormente, sino con otros factores cotidianos que pueden afectarle mucho ms de
lo que, a simple vista, puede parecer.
Para explicar los conceptos de seguridad, tomaremos como ejemplo una empresa de transporte de
paquetera. RAPIDO S.A. dispone de varios ordenadores en su oficina.
Uno de ellos lo utiliza el gerente, Carlos . Otros dos ordenadores estn destinados a financiero,
contabilidad y recursos humanos. Existe otro equipo para el almacn. Esto hace un total de 4
ordenadores de sobremesa.
Adems, y debido a que Carlos viaja habitualmente para aumentar la cartera de clientes y
supervisar la actividad de su empresa sobre el terreno, dispone tambin de un porttil y un telfono
mvil que parece una agenda electrnica (los llamados smartphones).
A esto, tenemos que sumar el hecho de que todos los ordenadores que hay en la empresa estn
conectados entre s mediante una red local, que a su vez est conectada a internet. Con esta
informacin podemos hacernos una idea general de la infraestructura TIC con la que cuenta
RAPIDO S.A.
1.2.- Enfoques de seguridad
1.2.1.- El enfoque de la seguridad informtica
La Seguridad Informtica suele ser la forma ms habitual con la que nos referimos a todo aquello
que tiene que ver con la seguridad de los ordenadores y los sistemas; es decir, es un concepto
fundamentalmente tcnico.
Ejemplo:
Nuestra empresa RAPIDO S.A. dispone de una empresa que le da servicio y soporte informtico.
INFOVER S.A. Un da, Juan el comercial y gerente de INFOVER visita a Carlos el gerente de
2

RAPIDO para explicarle las ventajas de disponer el nuevo antivirus bidireccional de alto
rendimiento en los ordenadores de la empresa. Cuando Juan termina , Carlos le pregunta
Cunto cuesta?.
En todo esto falta algo tan importante como saber para qu necesita Carlos esa herramienta con el
coste que ello supone y sobre todo, qu beneficios va a aportar a su negocio, a su actividad, a su
nivel de facturacin y a sus clientes?.
Por otro lado, a pesar de que se hace hincapi en proteger los sistemas, por lo general, dicha
proteccin se realiza sin unos criterios adecuados, que permitan establecer dnde debemos aplicar
medidas de seguridad y por qu hay que aplicarlas?
En este sentido, debemos recalcar que la seguridad en exceso, implantada incorrectamente o en
lugar equivocado, puede ser tan malo como no disponer de ella.
1.2.2.- Enfoque de la seguridad TIC
Este nuevo concepto de seguridad no slo trata de proteger el ordenador como elemento central de
una infraestructura tecnolgica, sino que tambin hace especial hincapi en las infraestructuras de
comunicaciones y ampla el mbito de proteccin a los dispositivos mviles y, en general, a
cualquier dispositivo capaz de almacenar, transmitir o tratar informacin. Pero, adems, abarca la
proteccin de elementos no fsicos, como son los servicios. Ejemplos de esto pueden ser el correo
electrnico y la navegacin web.
La Seguridad TIC lleva asociada aspectos no slo tcnicos sino tambin organizativos y jurdicos.
La seguridad TIC tiene en cuenta leyes y normas que establecen criterios y medidas de seguridad
no slo desde un punto de vista tcnico, sino tambin organizativo o legal.
Cmo afecta las Seguridad TIC a nuestra empresa?
Carlos gerente de RAPIDO S.A, se percat de la importancia de tener un sitio web con la finalidad
de dar a conocer su empresa. Por ello, contrat los servicios de INFOVER S.A., que le desarroll
una pequea pgina web con la informacin bsica sobre su compaa en internet.
Por otro lado, decidi comenzar a utilizar el correo electrnico como medio de comunicacin con
sus clientes y proveedores. Tambin lo utiliz como medio de difusin y realizacin de pequeas
campaas de marketing para dar a conocer sus productos, sus promociones y sus servicios tanto a
sus clientes actuales como a posibles clientes. Despus de 5 aos utilizando estas herramientas,
su pgina web y el correo electrnico se han convertido en servicios fundamentales para la
actividad de RAPIDO S.A. Ahora ya no puede prescindir de ellos o al menos no durante mucho
tiempo (aunque se produzca un problema o una incidencia). Pero al igual que estos servicios ya
son parte fundamental de RAPIDO S.A., por desgracia tambin los son el spam o los ataques que
se producen contra su pequea web.
1.2.3.- Enfoque de la seguridad de la Informacin.
Cuando protegemos un ordenador, un dispositivo mvil, una infraestructura de comunicaciones o
un servicio, en realidad lo que estamos protegiendo es la informacin que es almacenada, enviada,
transmitida y modificada en dichos servicios, infraestructuras o dispositivos.
Ejemplo.
Hace pocos das se produjo un pequeo incendio en el almacn de RAPIDO S.A. ocasionado por
unas cajas que estaban situadas muy cerca de una toma elctrica no protegida a la que estaban
conectados varios aparatos elctricos, incluyendo el ordenador del almacn. Un
sobrecalentamiento de la lnea de alimentacin provoc que las cajas comenzaran a quemarse.

Afortunadamente, el operario del almacn estaba trabajando en ese momento y rpidamente apag
el fuego con el extintor del almacn.
Hubo suerte pero an as el incendio caus varios daos. Por un lado, se estrope parte de la
mercanca de un cliente. Adems, la sobrecarga de la lnea averi el ordenador del almacn con lo
que durante varios das no se pudo acceder a la informacin del inventario, lo que supuso
importantes retrasos en los envos y la recepcin del material.
Despus de este incidente, Carlos , el gerente de RAPIDO S.A., se dio cuenta que no poda
arriesgarse a tener la informacin del inventario en un nico ordenador. Adems, cay en la cuenta
de que no tena copia de seguridad ni equipo de respaldo ya que no haba contratado estos
servicios con INFOVER S.A. a pesar de que Juan, le haba avisado del riesgo que corran sin ellos.
Como vemos, en el tercer enfoque sobre Seguridad ya no se trata de proteger infraestructuras,
ordenadores u otros dispositivos, sino de la proteccin de la informacin, independientemente de su
formato, localizacin, naturaleza, etc.
Ya no se trata de un ordenador averiado sino de cunto tiempo podra funcionar mi empresa si se
pierde la informacin del inventario?, cmo podra evitarse? o, en caso de no poder evitarse,
cmo podra recuperarme de esa prdida y en cunto tiempo volvera a estar en funcionamiento
mi empresa?.
Cuando hablamos de Seguridad de la Informacin no tenemos por qu referirnos a incidentes
relacionados con el malware, el robo de informacin u otros incidentes de tipo tecnolgico, sino que
la informacin puede verse afectada tambin por un incendio, una inundacin, un empleado
descontento, etc.
La Seguridad de la Informacin tiene en cuenta la proteccin de la informacin desde tres puntos
de vista: tcnico, organizativo y legal. Por tanto, estamos protegiendo la informacin pero, adems,
lo hacemos desde tres facetas distintas, y para ello, necesitamos a su vez implementar medidas de
tipo tcnico, organizativo y legal.
1.3.- Qu es la seguridad de la informacin?
La informacin es lo que se conoce como un activo. Un activo es un elemento que tiene valor para
una organizacin o empresa.
La informacin, adems, puede ser un activo tangible o intangible. Es decir, no solamente
tenemos que pensar en informacin almacenada en los ordenadores o en un disco duro. La
informacin tambin podemos encontrarla en formato papel, en una cinta magntica, en un CD o en
una nota colocada encima de la pantalla de nuestro ordenador.
Pero, por qu es valioso un activo para una organizacin? La respuesta est en la propia
organizacin. Si nos fijamos en una organizacin cualquiera, vemos que la informacin que es
importante para una organizacin es relevante para su actividad ya que en torno a ella se crean y
desarrollan un conjunto de procesos y tareas. Sin la informacin, esos procesos y tareas no sirven
de nada y no es posible llevarlos a cabo adecuadamente.
Ejemplo de activo de informacin
Nos encontramos de nuevo en RAPIDO S.A. Carlos, como cada fin de mes, realiza una revisin
general de toda la actividad de la compaa. Para ello, necesita informacin sobre las cifras de
ventas, nmero de pedidos, nmero de nuevos clientes, pagos pendientes, nmero de pedidos a
proveedores, coste de los mismos, etc. La lista es interminable. Sin esa informacin, que se
encuentra almacenada en los diferentes sistemas y aplicaciones de la empresa, Carlos no puede
conocer la marcha de su negocio. El tipo de activo de informacin que estamos describiendo es
4

fundamental para la direccin o gerencia de una compaa y engloba toda la informacin de esa
empresa.
Tambin, los datos de facturacin de RAPIDO S.A. de los clientes que tiene la empresa y que
necesita para poder emitir facturas, albaranes, recibos y llevar a cabo un adecuado control de las
ventas y de la contabilidad.
1.3.1.- Naturaleza de la informacin y otras caractersticas.
La informacin puede tener una naturaleza electrnica (como la almacenada en ordenadores,
CD_Roms, tarjetas de memoria, etc.) o puede estar en soporte papel (albaranes, facturas, listados
de clientes, etc).
Asimismo, hay que ser conscientes de que la informacin tiene un ciclo de vida, es decir, durante el
tiempo que la informacin es utilizada pasa por un conjunto de fases: se crea, se difunde, se
transmite, se copia, se modifica, se almacena y, a partir de un momento determinado, deja de ser
til o se convierte en informacin obsoleta, lo que supone su archivado o destruccin, con lo que
llegamos al final de su ciclo de vida.
A partir de todo lo anterior, estamos en disposicin de definir, de una forma comprensible, qu es la
Seguridad de la informacin.
La Seguridad de la Informacin es la proteccin de tres aspectos o facetas de la informacin, que
son las siguientes:
Confidencialidad: consiste en evitar que personas, programas o sistemas no autorizados puedan
acceder a ella sin autorizacin.
Integridad: es la caracterstica de la informacin relativa a su fiabilidad. Su proteccin consiste en
que la informacin no sea alterada o modificada sin autorizacin.
Disponibilidad: este aspecto hace referencia a que la informacin est accesible, es decir,
disponible para su utilizacin cuando sea necesaria.
Por tanto, la Seguridad de la Informacin tiene que establecer las medidas necesarias que permitan
proteger la confidencialidad, la integridad y la disponibilidad de la informacin.
Ejemplo sobre la confidencialidad
RAPIDO S.A. cuenta con varios departamentos (contabilidad, logstica, almacn...). Toda la
informacin de las distintas reas se almacena en un servidor central, que no es ms que un
ordenador con capacidad suficiente para ese propsito. El hecho de que toda la informacin est
localizada en un sistema central no implica que todas las personas que se conecten a este sistema
desde su puesto de trabajo deban tener acceso al completo de la informacin.
El acceso a la informacin debe regirse en funcin de roles y permisos. Por ejemplo, Manuel, que
trabaja en el almacn con un ordenador desde el que gestiona las entradas y salidas del almacn,
no tiene que tener acceso a los datos de contabilidad general de la compaa ni a los datos de
nminas. Su rol y los permisos que tiene asignados le deben dejar realizar su funcin y acceder
slo a la informacin que necesita para desempear su trabajo.
Ejemplo sobre la integridad
Es fin de mes y se deben revisar todos los datos relevantes de facturacin y contabilidad de la
empresa. Pero esa maana hay un problema con la luz y se producen varios apagones.
Afortunadamente los cortes no daan ningn equipo. Carlos entra de nuevo en su ordenador para
5

acceder a la ltima hoja Excel de facturacin, sobre la que estaba trabajando, para llevar a cabo el
cierre del mes. No puede abrir el fichero! Aparece un mensaje indicando que el fichero est
corrupto.
Los apagones han daado este fichero y posiblemente alguno ms, lo que compromete la
integridad de los datos.
Ejemplo sobre la disponibilidad
Mientras desayuna, Carlos escucha en la televisin que se est produciendo una infeccin masiva
en miles de ordenadores de un nuevo tipo de gusano o virus. La noticia le resulta curiosa pero no
se imagina que su empresa pueda verse afectada.
Termina de desayunar y, como cada da, se dirige a su empresa, entra en su despacho y cuando
abre la sesin en su ordenador para comenzar a trabajar, algo no va bien. De repente, empieza a
pensar en lo que ha odo en las noticias. Recuerda que el da anterior un empleado de contabilidad
le pas unos datos a travs de una unidad USB procedente de su casa porque haba estado
trabajando con esos datos en su ordenador personal durante el fin de semana.
Carlos no se lo puede creer: A ver si ese virus del que o hablar en la tele me ha infectado el
ordenador del despacho!, piensa. Pero lo peor es que sus empleados comienzan a notar los
mismos efectos en sus ordenadores. Parece que lo que sea que ha entrado, ha conseguido infectar
todos los equipos de la empresa. No pueden utilizar los ordenadores y, por tanto, no tienen acceso
a la informacin que necesitan para trabajar. Resultado: la informacin no est disponible.
Carlos se pone muy nervioso: Hoy tena que procesar varios pedidos importantes, qu hago?.
Afortunadamente, cuenta con una empresa de soporte y les llama rpidamente para que resuelvan
el problema.
Los ejemplos que hemos visto nos muestran que lo ms importante que posee una organizacin
son sus activos de informacin, y por tanto, es el activo ms importante a proteger. Siempre
podremos sustituir otros activos, pero la informacin es un activo realmente difcil de sustituir y en
muchas ocasiones, imposible.
1.4.- Por qu es necesaria la Seguridad de la informacin?
Nos apoyamos en nuestra empresa ficticia, con un ejemplo sobre los riesgos e incidentes que se
pueden dar y que pueden afectar a la Seguridad de la Informacin.
Ejemplo de riesgos.
Imaginemos una maana de invierno en la que Carlos, nuestro gerente, se dirige a su empresa.
Hace mal tiempo y se estn produciendo nevadas en la zona lo que, en principio, no debera
suponer un problema para RAPIDO S.A.
Como casi todos los das l es el primero en llegar a la empresa. Se dirige a su despacho sin
observar nada raro y trata de encender su ordenador, pero no funciona porque se ha ido la luz. En
ese momento, Carlos piensa en el problema que se avecina y en lo fcil que hubiera sido
solucionarlo con el SAI (Sistema de Alimentacin Ininterrumpida) que le haba ofrecido en su da
Juan. Si le hubiera hecho caso ahora podra, al menos, encender el ordenador y no tendra que
enfrentarse al problema de disponibilidad de la informacin que tiene delante de l. Los empleados
no pueden acceder a sus ordenadores donde est almacenada la informacin y, por tanto, no
pueden realizar su trabajo de forma normal. Adems, como es lgico, el resto de elementos
electrnicos necesarios para el desarrollo de su actividad, tales como impresoras, faxes, etc.
tampoco funcionan.
El nerviosismo de Carlos aumenta y se dirige al stano para comprobar que los fusibles estn bien
y no se ha estropeado nada ms. Pero, para su sorpresa, el stano se ha inundado y el agua le

llega por los tobillos. Lo peor de todo es que el agua ha entrado en los armarios y en las cajas
donde Carlos almacena parte de la documentacin de la empresa en formato papel.
Este ejemplo es muy til para comprender que siempre hay riesgos pero, sobre todo, que en
ocasiones no sabemos dnde pueden estar y, mucho menos, cmo nos pueden afectar.
La Seguridad de la Informacin nos ayuda a identificar los riesgos y las amenazas a las que est
expuesta nuestra organizacin, en qu medida nos pueden afectar y cmo podemos minimizarlas.
Y, en el caso de que se produzca algn desastre, nos ayuda a establecer pautas y procedimientos
para reducir sus consecuencias.
Otro ejemplo de riesgo
Ejemplo - Distracciones en horario laboral
Manolo es el contable de RAPIDO S.A. y, por tanto, est bajo la supervisin directa de Carlos, el
gerente. Manolo tiene la costumbre de leer en internet la prensa cada maana, mientras revisa
facturas y verifica las cuentas del banco.
Mara es una compaera de Manolo a la que no le gusta leer el peridico pero, en cambio, le
encanta comunicarse con sus amigos. Por eso, lo primero que hace por las maanas es abrir su
programa de mensajera instantnea mediante el cual est en contacto con sus amigos e incluso
con alguno de sus compaeros de trabajo.
Susana, otra empleada, no puede vivir sin la msica y, en ocasiones, descarga canciones de
internet en el ordenador de la empresa.
Carlos, el gerente, conoce a la perfeccin estos tiempos muertos de sus empleados. Sin embargo,
como su rendimiento es muy bueno en trminos generales, no tiene quejas porque entiende que
todo el mundo necesita sus pequeos momentos de distraccin. Lo que ocurre es que teme que
esos pequeos descansos puedan ir en aumento y alguno de sus empleados acabe perdiendo ms
tiempo del debido. Por otro lado, considera que, en ocasiones, esas actividades ldicas pueden ser
peligrosas para los ordenadores y otras infraestructuras y teme que algn da pueda entrar algo
en los ordenadores.
La Seguridad de la Informacin tambin es un camino para identificar malos hbitos y usos
inadecuados de los recursos de la organizacin, y buscar la manera de implementar buenas
prcticas y hbitos ms correctos y responsables.
Otro ejemplo de riesgo (La LOPD)
El gerente Carlos est barajando las posibilidades que puede ofrecerle internet. Considera que una
forma de mantener informados a sus clientes, e incluso a posibles clientes, de la actividad de la
empresa puede ser realizando un envo de correo electrnico. Habla con Susana, que es la
encargada de la relacin con los clientes y tiene todos los contactos, y le pide que escriba un
sencillo correo electrnico. ste ser enviado de forma masiva a todos los contactos de la agenda.
Unos das despus, llama una persona a la empresa con cierto tono de indignacin, preguntando:
Cmo es posible que tengan mis datos de contacto si yo no recuerdo habrselos dado?.
Susana le pide excusas y le indica que ha debido ser un error y que no volver a ocurrir. Le cuenta
lo sucedido a Carlos y ste se queda intranquilo porque ha odo hablar de la LOPD. Sabe que
algunas empresas han sido sancionadas, o incluso clausuradas, por motivos similares al que acaba
de ocurrir en su empresa.
Por ello, decide ponerse en contacto con un asesor legal que le informe sobre la normativa legal
que debe cumplir su empresa en materia de proteccin de datos. Quiere saber cmo evitar
situaciones como la que acaba de ocurrir y qu consecuencias exactas podra causarle.
Durante la conversacin con el asesor, Carlos encuentra respuesta a sus preguntas a la vez que se
informa de otros aspectos desconocidos hasta ese momento para l. Por ejemplo, no saba que
7

existe una ley relacionada con la actividad comercial a travs de internet. Esto le pone sobre alerta
ya que, desde hace un tiempo, RAPIDO S.A. ofrece en la pgina web la posibilidad de contratar
servicios online.
Asimismo, el asesor le comenta el caso de una empresa que tuvo problemas con un ex empleado
descontento. ste emiti una denuncia a la Agencia Espaola de Proteccin de Datos en relacin
con los currculum vitae que llegaban a la empresa y que luego eran almacenados sin ningn tipo
de control. Esto ocasion a esa empresa una inspeccin y una consiguiente sancin.
Como vemos en el ejemplo, Carlos se ha dado cuenta de algo que hasta el momento haba
obviado. Ahora conoce que existe un conjunto de normativas que su empresa debe cumplir, no slo
de cara a sus empleados, sino tambin a clientes y posibles clientes.
Poco a poco, Carlos ha conseguido implementar medidas de Seguridad de la Informacin en su
empresa, tratando siempre de mantener los costes lo ms bajos posible. Esto ha sido viable
implantando estas medidas de forma gradual y priorizando las necesidades. Si es bueno para la
empresa, tiene que ser bueno para sus clientes.
Desde hace un tiempo, aprovecha las mejoras introducidas en RAPIDO S.A como un elemento
diferenciador respecto a sus competidores e incluso es capaz de ofrecer garantas a sus clientes y
proveedores. Asimismo, ha incluido informacin sobre las medidas implementadas y la adecuacin
a la LOPD en su pgina web para mostrar ese aspecto de calidad de su pequea empresa.
Es ms, pretende poder iniciar en breve la implantacin de un sistema de calidad y certificarlo para
obtener el sello de Empresa certificada en calidad. Esto le podra dar acceso a concursos de la
administracin pblica y la posibilidad de trabajar con grandes entidades que exigen este tipo de
criterios para la contratacin de otras empresas.
Como vemos en este ejemplo, en ocasiones tenemos tambin una componente de obligacin,
puesto que existen normativas y legislacin que en ocasiones obligan a las organizaciones a
considerar e implantar medidas de seguridad con el objetivo de proteger cierto tipo de informacin,
en base a una ley. Este es el caso de la LOPD (Ley Orgnica de Proteccin de Datos) o la LSSI
(Ley de Servicios de la Sociedad de la Informacin).
La Seguridad de la Informacin es universal y aplicable en cualquier actividad, organizacin,
proceso o actividad y en definitiva, all donde exista informacin que tenga importancia para una
organizacin o para una actividad.
2.- La seguridad de la informacin desde el punto de vista legal.
La Seguridad de la Informacin puede ser aplicada desde varios puntos de vista, y concretamente
son tres: desde el punto de vista legal, tcnico y organizativo. Vamos a conocer el primero de estos
enfoques, es decir, la Seguridad de la Informacin desde el punto de vista legal.
En este apartado, veremos los siguientes bloques que describimos a continuacin:
El marco legal. Realizaremos una breve introduccin al marco legal relativo a las tecnologas de
la informacin y la seguridad, entre las que se incluye la LOPD.
Normativas relevantes. Conoceremos las normativas ms relevantes relativas a las tecnologas
de la informacin y que afectan a las organizaciones.
Qu normativa aplica a mi organizacin? Analizaremos qu debemos tener en cuenta a la
hora de decidir qu normativa aplica a nuestra organizacin.

La LOPD. Antecedentes. Como normativa de referencia, nos centraremos en esta ley
comenzando con un breve repaso de su historia y fechas relevantes.
El nuevo reglamento LOPD. Estudiaremos el nuevo reglamento de la LOPD, sus novedades y lo
que supone para las organizaciones.
Adecuacin y cumplimiento. Veremos los conceptos y cuestiones relativas a la adecuacin de
las organizaciones a la LOPD y a su cumplimiento.
2.1.- El marco legal
Las leyes lo que tratan es de establecer un marco comn para todos, con unas reglas bsicas, pero
sobre todo, con un conjunto de pautas que es necesario cumplir por las distintas organizaciones,
empresas y ciudadanos.
Hoy en da, es innegable que vivimos en la Sociedad de la Informacin y, por ello, necesitamos un
marco legal que la regule.
La normativa legal relacionada con las tecnologas de la informacin (como la LOPD) permite no
slo regular sino que, adems, es una herramienta fundamental para impulsar y potenciar la
Sociedad de la Informacin, con todos los beneficios que ello conlleva.
Las tecnologas de la informacin han posibilitado la aparicin de mltiples formas con las que
manipulamos y tratamos la informacin y adems, lo hacemos a una velocidad enorme, lo que en
ocasiones puede suponer un riesgo para la seguridad.
Por otro lado, nos damos cuenta de que cada vez hay ms informacin disponible y mucha de esa
informacin puede ser sensible tanto para las organizaciones como para los ciudadanos. Todo ello
est conformando un escenario completamente nuevo y cambiante al que se enfrentan los
legisladores puesto que, de alguna forma, todo ello debe estar reflejado o contemplado en las leyes
y regulaciones existentes.
Ejemplo de cmo compartimos y utilizamos la informacin.
Como cualquier otro da en RAPIDO S.A., Mara realiza su trabajo delante de su ordenador, que
est conectado a internet, algo que ella aprovecha para mantenerse en contacto con sus amigos y
compaeros de trabajo. Es una actividad que no debera realizar en su horario de trabajo, pero lo
hace pensando que puede compaginarla perfectamente con sus tareas laborales. Por ello, se
conecta a una red social y en ella publica informacin de sus amigos, de su trabajo e incluso de sus
relaciones personales.
La informacin que muestra no tiene un fin concreto mas all de contar a sus amigos lo que hace
en su rutina diaria y en su tiempo libre. Sin embargo, en ocasiones la informacin que publica
puede llegar a considerarse de carcter confidencial por su empresa.
Puede que esa informacin no sea relevante o bien puede que s. En alguna ocasin, incluso ha
usado internet para enviar algn documento de su empresa (modelos de contrato, algn currculum
vitae, etc.) a una amiga que trabaja en otra compaa. De vez en cuando, comparten informacin
de forma inocente para ayudarse entre s, sin saber que es muy posible que estn incumpliendo
alguna ley o que incluso su empresa podra llegar a ser sancionada por ello.
2.2.- Normativas relevantes para las TIC
Cules son las normativas que en Espaa est destinada a regular y legislar las actividades de los
ciudadanos, las empresas, las administraciones y otras organizaciones respecto al uso que se hace
de la informacin?
9

Podemos clasificar estas normativas en dos grandes grupos:

Por un lado, estn las leyes que ya existan y se han ido adaptando a la llegada de las tecnologas
de la informacin. Hablamos de normativas que incorporan los nuevos aspectos de la Sociedad de
la Informacin en todo aquello que las compete. Por ejemplo, la Ley de Propiedad Intelectual.
Por otro lado, tenemos leyes de ms reciente creacin que nacen precisamente de las nuevas
necesidades detectadas en la Sociedad de la Informacin desde el punto de vista legislativo. Por
ejemplo, la Ley de Servicios de la Sociedad de la Informacin y Comercio Electrnico.
Algunas de las ms relevantes son:
La Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de carcter personal
(LOPD)
La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y Comercio
Electrnico
La Ley 59/2003, de 19 de diciembre, de Firma Electrnica
Ley 11/2007, de 22 de junio, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos.
Adems de stas hay otras leyes, pero las que aqu se indican son de especial importancia debido
a las implicaciones que tienen para el desarrollo e impulso de la Sociedad de la Informacin.
2.3.- La LOPD
La Ley Orgnica de Proteccin de Datos de carcter personal es una normativa de referencia para
todas las empresas y organizaciones puesto que trata sobre la proteccin de los datos de carcter
personal que son aquellos relativos a las personas fsicas o terceros fsicos, es decir, a los
ciudadanos.
Desde el momento que una organizacin tiene empleados o miembros, stas necesitan unos datos
bsicos relativos a estas personas, y por tanto, estn tratando datos de carcter personal.
Por otro lado, su incumplimiento conlleva a las empresas y organizaciones, que no sean
administracin pblica, sanciones que pueden variar desde los 600 euros hasta los 600.000 euros,
lo que supone un importante argumento de peso para que traten de cumplirla. Las administraciones
pblicas, como norma general, no estn sujetas a sanciones de tipo econmico, sino de carcter
administrativo.
2.4.- La LSSI-CE
La Ley de Servicios de la Sociedad de la Informacin y el Comercio Electrnico es tambin
conocida como la Ley de Internet. Esta ley tiene como mbito el comercio electrnico y los servicios
de internet cuando estos forman parte de una actividad econmica.
La LSSI es una ley muy importante puesto que hace referencia al comercio electrnico, y esta es
una de las actividades ms importantes, desde el punto de vista econmico, relacionadas con las
tecnologas de la informacin y con la generacin de confianza entre los usuarios para potenciar el
uso de estas tecnologas en todo tipo de transacciones e intercambios comerciales con los
beneficios que ello supone para la sociedad en su conjunto.
10

2.5.- La Ley de Firma Electrnica.
Es fundamental en el impulso del uso de las tecnologas de la informacin puesto que proporciona
los pilares legales fundamentales para hacer realidad la firma electrnica y, por tanto, posibilitar as
la realizacin de todo tipo tramites, transacciones o intercambios comerciales de forma
completamente electrnica pero, sobre todo, con mucha mayor seguridad e integridad.
La Ley de Firma Electrnica ha sido fundamental, para el desarrollo del DNI electrnico, puesto que
sin ella solo sera un dispositivo que permite realizar la firma e identificarnos, pero la firma que
pudiramos realizar con l, no tendra ninguna validez desde el punto de vista legal.
2.6.- La Ley de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos.
Esta ley tiene por objeto establecer el marco y los mecanismos necesarios para facilitar y promover
el acceso de los ciudadanos a la eAdministracin (Administracin electrnica) de forma que los
tramites que se ofrecen a travs de las oficinas de cualquier administracin estn disponibles de
forma electrnica a travs de Internet.
2.7.- Qu normativa debo aplica a mi organizacin?
Ahora que sabemos que existe un conjunto de normativas relevantes para las organizaciones y por
tanto, tambin para mi organizacin, debemos dar el siguiente paso que consiste en saber cul
de todas las normativas existentes aplica a mi organizacin?
Ejemplo Qu normativa aplica a mi empresa?
Carlos, gerente de RAPIDO S.A., se plante contratar los servicios de un asesor en temas legales
para conocer el estado de su empresa en cuanto a la normativa vigente. Haba odo que el
incumplimiento de la LOPD lleva asociadas importantes multas que en ocasiones han provocado el
cierre de alguna empresa debido a la cuanta de las sanciones.
Recordemos la primera entrevista con el asesor en la que Carlos se percat de que la LOPD no es
lo nico importante, sino que hay otras normativas a tener en cuenta y, por ello, el trabajo que se le
presentaba por delante iba a ser laborioso.
El asesor le explic que, por un lado, debera cumplir con la LOPD, lo cual ya supona un
importante esfuerzo, pero tambin debido a su actividad en internet mediante su pgina web y los
servicios que en ella ofrece, tendra que tener en cuenta la LSSI-CE y seguramente alguna
normativa ms.
2.7.1.- Una sencilla hoja de ruta
Para saber qu normativa debemos cumplir y cul no nos afecta debemos hacernos varias
preguntas:
A qu sector pertenece mi organizacin? No es lo mismo que mi organizacin desarrolle su
actividad en el sector sanitario que en el sector alimenticio o que en el sector de la Administracin,
por ejemplo. Tanto la informacin como las leyes que apliquen al respecto sern distintas.
Qu tipo de datos hay en mi organizacin? En las organizaciones tratamos muchos tipos de
datos como, por ejemplo, financieros, econmicos, laborales, de carcter personal, etc. Los datos
que tratamos sern uno de los factores que determinarn qu normativa nos aplica.
Qu tipo de actividades desarrolla mi organizacin y qu tipo de servicios ofrece? Las
distintas actividades de mi organizacin y los servicios que ofrece suponen un conjunto de
procesos, actividades, tecnologas, sistemas, etc. Por ejemplo, debemos contemplar el envo de
11

correos electrnicos, compartir informacin, disponer de un portal en internet para comercio
electrnico u ofrecer servicios para tramitacin electrnica. Todo ello tiene implicaciones de cara a
la normativa que ser necesario cumplir.
2.8.- Introduccin a la LOPD y el nuevo RLOPD
Esta ley nace de la necesidad de proteger a los ciudadanos y a las personas del abuso y uso
inadecuado que, en ocasiones, realizan las organizaciones de sus datos de carcter personal.
Se define dato de carcter personal como toda informacin numrica, alfabtica, grfica,
fotogrfica, acstica o de cualquier otro tipo susceptible de recogida, registro, tratamiento o
transmisin concerniente a una persona fsica identificada o identificable.
Informacin como nombre y apellidos, matrcula del coche, datos biomtricos, correo electrnico,
estudios, enfermedades y trabajo, se consideran datos personales puesto que permiten identificar a
una persona. Por tanto, la LOPD es una ley que protege nuestra intimidad y permite que
dispongamos de derechos sobre el uso que las organizaciones y las empresas hacen de nuestros
datos.
Algunas de las caractersticas ms relevantes de esta ley son:
Es una ley que afecta a todas las organizaciones, puesto que todas ellas, de una u otra forma,
cuentan con informacin de carcter personal. Su mbito, por tanto, es muy amplio.
Su cumplimiento tiene implicaciones desde el punto de vista jurdico, organizativo y
tcnico. Es decir, cuando una organizacin tiene que cumplir esta ley es necesario implantar un
conjunto de medidas, tanto desde el punto de vista jurdico como organizativo y tcnico. Esto
supone un importante esfuerzo en recursos y, en ocasiones, en inversin para las organizaciones.
Su aplicacin, mantenimiento y cumplimiento se lleva a cabo mediante la Agencia Espaola
de Proteccin de Datos, que cuenta con una enorme capacidad de actuacin.
Cuenta con un reglamento de desarrollo de la ley donde se especifica el conjunto de medidas
jurdicas, organizativas y tcnicas que es necesario aplicar en funcin del nivel de los datos a
proteger. Dicho reglamento actualmente cuenta con 158 artculos.
El incumplimiento de la ley puede acarrear importantes sanciones que van desde los 600
hasta los 600.000 euros. La aplicacin de estas sanciones y la cuanta de las mismas es una
poderosa razn para tomarse muy en serio esta ley. De forma general las administraciones no
estn sujetas a sanciones econmicas, sino de tipo administrativo.
La secuencia y la evolucin de la LOPD ha sido la siguiente:
Ley Orgnica 5/1992, de 29 de octubre, de Regulacin del Tratamiento Automatizado de

Datos de carcter personal. Conocida como LORTAD. Real Decreto 1332/1994 de 20 de junio,
por el que se desarrollan determinados aspectos de la Ley Orgnica 5/1992, de 29 de octubre.
La Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin Datos de carcter personal.
Conocida como LOPD.
12

Real Decreto 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de
seguridad de los ficheros automatizados que contengan datos de carcter personal.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo
de la Ley Orgnica 15/1999 de 13 de diciembre. RLOPD 2007, conocido tambin como Nuevo
Reglamento de la LOPD.
Como podemos ver, cada ley orgnica de proteccin de datos de carcter personal lleva
incorporado su reglamento de desarrollo de las medidas de aplicacin necesarias para cumplir con
la ley. El reglamento, en el caso de la LOPD, es fundamental puesto que en l se detallan y
establecen las medidas de tipo jurdico, tcnico y organizativo que deben aplicar las organizaciones
y las empresas para con cumplir con la ley. El reglamente dice qu hacer y cmo hacerlo.
2.8.1.- Adecuacin y cumplimiento de la LOPD
Centrndonos en la propia adecuacin, podemos seguir los siguientes pasos para conseguirla de la
manera menos costosa posible. Se deben seguir las siguientes recomendaciones:
Contar con profesionales desde el inicio del proceso.
Determinar la normativa que aplica a nuestra organizacin.
Establecer y determinar todos los datos de carcter personal que se encuentran en nuestra
organizacin, as como los niveles de sta en relacin con la LOPD.
Determinar las medidas de tipo jurdico, organizativo y tcnico que es necesario

implementar.
Priorizar dichas medidas, teniendo en cuenta el coste, las sanciones, los recursos
necesarios, etc.
Realizar una pre adaptacin de nuestra organizacin para conseguir reducir la lista de
medidas a aplicar y su coste en tiempo, recursos y dinero.
Obtener la nueva lista de medidas optimizada y de nuevo priorizar. Si es posible reducir an

ms la lista, realizar el proceso de pre adaptacin cuantas veces sea necesario.
Finalmente, con la lista definitiva de medidas, priorizar y comenzar a implementar.
3.- La seguridad de la informacin desde el punto de vista del negocio.

3.1.- Qu puede aportar la Seguridad de la Informacin a nuestra organizacin?
La Seguridad de la Informacin no es competencia exclusiva de los responsables de sistemas de
una organizacin sino que todos los miembros de una organizacin tienen parte de responsabilidad
en mantener un adecuado nivel de seguridad.
Los aspectos fundamentales que podemos mejorar en nuestra organizacin con la Seguridad de la
Informacin son tres.
13

La responsabilidad y la productividad,
La imagen y la competitividad,
La capacidad para superar contingencias y la continuidad del negocio
3.1.1.- Responsabilidad y productividad en la empresa.

La responsabilidad y la productividad son aspectos bsicos de una organizacin que afectan a
todos sus miembros, desde el director o responsable final hasta el ltimo miembro de la
organizacin.
Ejemplo:
Todas las maanas, al llegar a la oficina, lo primero que hace Julio, empleado de RAPIDO S.A., es
encender su ordenador. Pone en marcha varios programas que necesita para trabajar pero tambin
abre un programa de mensajera instantnea y accede a sus pginas web favoritas de noticias y
deportes. Por otro lado, al poco tiempo de incorporarse a la empresa, se instal un programa de
intercambio de ficheros de P2P para poder bajarse pelculas y dems archivos, aprovechando la
infraestructura con la que cuenta la empresa.
En general, se suele pensar que este tipo de cosas no hacen dao a la empresa, pero si lo
analizamos con ms detalle, este tipo de actividades pueden suponer riesgos para la
seguridad.
3.1.2.- Imagen y competitividad
La imagen que proyecta una organizacin al exterior es uno de los aspectos que ms tratan de
cuidar actualmente todas las organizaciones.
Para las empresas, una imagen externa poco cuidada puede significar prdida de clientes y de
negocio.
La imagen que proyectamos al exterior es un elemento que nos permite diferenciarnos del resto de
organizaciones o empresas. Aqu entrara en juego el concepto de competencia y la capacidad que
tiene una organizacin para conseguir diferenciarse del resto, proyectando una imagen ms solida
y competitiva.
Ejemplo:
Cuando Julio lleg a RAPIDO S.A. le dijo al gerente, Carlos, que crea necesario cambiar el
software de gestin para conseguir mejorar todo lo relativo a los transportes, cuestin con la que
Carlos estuvo de acuerdo. Hace ya aos que usaban el mismo programa y tena ciertas carencias,
as que el gerente encarg a Julio la migracin al nuevo programa y la gestin del mismo.
Dos meses despus, Julio consigui migrar al nuevo programa, Celestino 2.0, que, se supone, es la
mejor aplicacin del mercado. Por ello, han tenido que realizar una importante inversin. Sin
embargo, parece ser que el programa no funciona todo lo bien que debiera. Con la compra del
nuevo programa, Julio tambin adquiri un nuevo servidor donde aprovech para instalar un
programa P2P, lo que le permiti beneficiarse de una mayor potencia y rapidez en la descarga de
archivos
El resultado fue que la red local de RAPIDO S.A. funciona muy lenta. Las descargas que Julio
realiza indebidamente de pelculas y msica la colapsan.
La consecuencia de cara a sus clientes es que RAPIDO S.A. ha comenzado a ser menos eficiente,
menos puntual con la entregas, acumula retrasos, pierde pedidos Todo ello es debido a los
14

problemas con el nuevo software. Los clientes empiezan a cansarse, por lo que la competencia le
est comiendo terreno.
Como podemos ver, los problemas provocados por un empleado, la mala gestin de los recursos y
el uso incorrecto de stos est provocando muchos problemas a RAPIDO S.A.
3.1.3.-Contingencias y continuidad de negocio.
Si una organizacin no puede llevar a cabo su actividad, cada hora que pasa inactiva le ocasiona
prdidas econmicas, dao de imagen o de otro tipo.
El ejemplo del punto anterior, nos ilustra un caso en el que una organizacin depende en gran
medida de una herramienta informtica para desarrollar una de sus actividades o servicios bsicos.
Si cualquiera de los activos de una organizacin se ve afectado por un incidente de seguridad, esto
puede afectar a la actividad, y por tanto, a la continuidad tanto del negocio como de la propia
organizacin.
3.2.- Responsabilidad y productividad en la empresa.
La Seguridad de la Informacin nos proporciona una herramienta bsica, con la que podemos
mejorar nuestra organizacin desde los siguientes puntos de vista:
Hbitos, buenas prcticas y responsabilidad
Conciencia corporativa
Medios e infraestructuras
3.2.1.- Hbitos, buenas prcticas y responsabilidad.
Es fundamental fomentar los buenos hbitos entre todos los miembros de una organizacin.
Adems, es necesario contar con polticas de seguridad que no son ms que un conjunto de
pautas escritas que deben conocer todos los trabajadores sobre qu se puede y qu no se puede
hacer o sobre cmo realizar determinadas tareas. Asimismo, es interesante elaborar una pequea
gua de buenas prcticas que conozcan todos los trabajadores. Finalmente, se debe fomentar la
responsabilidad de todos y cada uno de los empleados.
Ejemplo:
Julio lee todas las maanas las noticias en su ordenador mientras trata de poner en orden el
software de transporte. En realidad no pierde mucho tiempo pero s se distrae de su principal
actividad. Es una cuestin de hbitos.
Por otro lado, una compaera de Julio, Isabel, la secretaria del gerente de RPIDO S.A., tiene en
su ordenador cientos de documentos importantes y correos electrnicos.
Juan instal hace tiempo un programa para hacer copias de seguridad pero Isabel no lo usa. Nunca
se acuerda de hacerlo y, adems, dice que es muy lento y no est dispuesta a esperar 3 minutos
cada da a que el programa haga la copia. Pero es que Isabel va ms all porque ni siquiera cierra
con llave el cajn de su mesa cuando se va. Es una cuestin de buenas prcticas y
responsabilidad.
15

3.2.2.- Conciencia corporativa
El papel que debe interpretar el responsable tampoco es siempre fcil de llevar a cabo. En
ocasiones, el poder nos hace creer que estamos por encima de los dems y de las polticas de
seguridad o las buenas prcticas que tratamos de implantar en nuestra empresa.
Tan importante como que existan buenas prcticas y que se cumplan un conjunto de polticas de
seguridad es que la propia direccin est implicada. Esto significa que todos los miembros de la
organizacin, empezando por el director, se tomen muy en serio las polticas y buenas prcticas
que se supone deben cumplir todos.
Ejemplo:
Carlos, gerente de RAPIDO S.A., tiene varios ordenadores en su despacho, como ya hemos dicho
en alguna ocasin. Uno de ellos es un ordenador de sobremesa y otro es un porttil con el que viaja
de vez en cuando para ver a clientes o verificar entregas. Carlos sabe que en su empresa, cuando
una persona se incorpora por primera vez, recibe un documento de confidencialidad y otro en el
que aparece la poltica de la empresa. En uno de sus apartados se prohbe el uso de las
infraestructuras para actividades que no sean las exclusivamente relacionadas con el trabajo. Sin
embargo, Carlos es el primero que ha roto esa regla puesto que tiene un programa de P2P en su
ordenador y se descarga de vez en cuando pelculas y otras cosas que luego se lleva a casa en su
disco USB externo.
Un buen da, Isabel entr en el despacho de su jefe y vio que se haba dejado el ordenador
encendido. Sinti curiosidad as que, como la sesin estaba abierta, pudo ver que tena
descargando varios archivos. A Isabel le sorprendi que reprobase esa conducta en los empleados
pero l si la llevase a cabo.
Una vez que se filtr que Carlos usaba un programa de P2P, los empleados dejaron de tomarse en
serio las buenas prcticas y la poltica de seguridad que deban cumplir. Si mi jefe lo hace, yo no
voy a ser menos, pensaban.
3.2.3.- Medios e infraestructuras.
Podemos disponer de un conjunto de polticas de seguridad muy bien planteadas, podemos
adems contar con un documento de buenas prcticas que todos deben conocer y podemos tener
todos muy claro cul es nuestra responsabilidad y nuestro deber en el trabajo. Sin embargo, todo
eso no sirve de nada si no contamos con unas infraestructuras y medios de seguridad mnimos y
adecuados.
Ejemplo:
Recordemos a Mara Tomate, otra de las empleadas de RPIDO S.A. Es muy eficiente trabajando
pero suele desesperarse puesto que tiene que borrar varias decenas de correos de spam que le
llegan a su buzn diariamente. Esto se debe a que Carlos, su jefe, no tiene contratado un servicio
antispam para su empresa y sus empleados sufren las consecuencias.
Todos los ordenadores que hay en RPIDO S.A. tienen instalado un antivirus pero la solucin es
muy antigua, su licencia ha caducado y sera necesario algo ms completo que incluyera
cortafuegos y aplicaciones similares. Por ahora, los empleados de RPIDO S.A. cruzan los dedos
cada da para que nada infecte sus ordenadores y pierdan toda la informacin que tienen.
3.2.4.- Imagen y competitividad.
La imagen, es un aspecto cada vez ms fundamental de las organizaciones que tratan, por todos
los medios, de mantener una imagen fuerte, slida, competitiva y de gran calidad. La imagen que
16

quiera proyectar una organizacin depende de muchos factores, pero en general, un incidente de
seguridad en una organizacin puede terminar causando un importante dao de imagen.
La imagen tambin tiene que ver con la calidad o el nivel de servicio, es decir, si nuestros servicios
son de calidad y somos capaces de ofrecer garantas, esto tambin mejorar enormemente nuestra
imagen.
Vamos a tratar dos conceptos relacionados con la imagen de las organizaciones y la forma en que
sta puede resultar daada.
Garanta y nivel de servicio.
Calidad y diferenciacin.
3.2.4.1.-Garanta y nivel de servicio.

Cuando contratamos un servicio de telefona mvil, nos gustara que el servicio estuviera disponible
todo el tiempo para poder realizar llamadas en cualquier momento. Si la cobertura es mala o cada
poco no disponemos de cobertura, entonces tenemos un problema de garanta puesto que es muy
posible que al contratar el servicio se nos haya garantizado un mnimo.
Ejemplo:
Iigo es uno de los comerciales de RPIDO S.A. Su labor consiste en la fidelizacin de clientes,
captacin de nuevos y mantenimiento de los existentes. Para ello, Iigo confa en el excelente
servicio que RPIDO S.A. da a sus clientes en el transporte de mercancas pero desde que Julio
comenz a hacerse cargo del sistema de gestin de transportes, las cosas no van bien, los clientes
no estn satisfechos y, por ello, le est costando mucho realizar su labor de fidelizacin, ya que no
puede ofrecer garantas sobre el servicio que comercializa RPIDO S.A.
Otro factor importante que est minando la confianza de Iigo en los servicios que vende es que
cada vez llaman ms clientes descontentos por los continuos retrasos e incluso por la entrega de
las mercancas en malas condiciones. Ahora ni siquiera puede garantizar un nivel de servicio
adecuado a sus necesidades.
Adems, es interesante diferenciar entre aquellos servicios que ofrecemos al exterior de aquellos
que son internos o aquellos que nos proporciona una tercera empresa.
Servicios internos. Es decir, garantas y nivel de servicio a nivel interno en nuestra

organizacin. Por ejemplo, del servicio de gestin de almacn que en RPIDO S.A. permite
a su vez que puedan cargarse los camiones y conocer el estado de las existencias que hay
en el almacn.
Servicios externos. Es decir, garantas y nivel de servicio para aquellos servicios que
ofrecemos al exterior. Por ejemplo, el servicio de transportes de RPIDO S.A. Los servicios
externos que ofrece una organizacin son crticos, puesto que del buen funcionamiento de
estos depende parte de la imagen que damos a los clientes.
Servicios de terceros. Este apartado se refiere a aquellos servicios que nos prestan otras
empresas y son fundamentales para nuestro funcionamiento. Un ejemplo podra ser el
servicio de que nos ofrece un proveedor o los servicios de apoyo a la gestin econmica y
tributara que recibimos de una gestora o asesora.
17

3.2.4.2.- Calidad y diferenciacin
La calidad es una caracterstica que todos deseamos en cualquier servicio o producto. Cuanta ms
alta sea, mejor debera ser el producto o servicio, aunque tambin estos se vern encarecidos. Lo
fundamental de la calidad es poder ofrecer algo que realmente cumpla su funcin con unos niveles
mnimos de seguridad, usabilidad, funcionalidad, accesibilidad, etc. y que, adems, sea mejor que
lo que ofrece la competencia, en caso de competir con otras organizaciones.
3.3.- Contingencia y continuidad
La capacidad para superar contingencias es un aspecto fundamental para cualquier organizacin.
Muestra de ello son los acontecimientos de los ltimos aos como desastres naturales, incidentes
provocados, etc. que, lamentablemente, son ms frecuentes cada da.
3.3.1.- Capacidad para superar contingencia.
Cuando nos preparamos para superar contingencias, queremos reducir al mnimo las interrupciones
de la actividad de nuestra organizacin, para de esta forma, continuar siendo productivos o no
permitir que los servicios que ofrecemos se vean afectados.
Ejemplo:
Julio fue el responsable de que el servidor donde se encuentra instalado el software de gestin de
transportes de RAPIDO S.A. se estropeara, debido a la instalacin de intercambio de ficheros que
puso. Carlos, al enterarse del desastre, saba que el tiempo contaba y cada minuto que no
funcionaba el software representaba importantes retrasos.
Por ello, recordemos, contact con su empresa de soporte y le cont lo sucedido a Juan. ste le
dijo que el problema era enorme y que, con el software daado, la continuidad del negocio se
planteaba dudosa.
Sin embargo, Juan tena una solucin: haba instalado un software para realizar un backup remoto
de los datos que manejaba el programa de gestin de transporte y slo fue necesario reinstalar el
servidor y poner en marcha de nuevo el programa para que todo volviera a la normalidad.
Gracias a esto, se utiliz la copia de seguridad que se haca a diario (la ltima, justo antes de que
entrara el virus) y, en apenas cuatro horas, el problema qued completamente solucionado.
Ejemplo 2:
Un da cualquiera, el gerente estaba fuera de la oficina, de viaje visitando a unos clientes. Mientras
tanto, haba nevado fuertemente en la comarca donde se encuentran las oficinas de RAPIDO S.A.
A media maana, como consecuencia de la nevada, se produjo un corte de luz que afect a toda la
empresa. Llamaron a Carlos al mvil y pens: Vaya! Esto no estaba previsto. Afortunadamente
el corte dur apenas media hora. No obstante, llam a su empresa de soporte para comentarle el
problema. La solucin que sta dio fue instalar un SAI (Sistema de Alimentacin Ininterrumpida) en
las instalaciones de RAPIDO S.A.
Ejemplo 3:
En otra ocasin, un virus, que se propagaba a travs de los USB, haba infectado RAPIDO S.A.
Segn las noticias, la situacin era grave ya que muchas empresas y particulares estaban
infectados. Carlos avis a Juan , que qued en acudir lo antes posible para tratar de solucionar el
problema. Pero, claro, no era el nico cliente de Juan que tena percances. Por ello no pudo acudir
hasta pasadas unas horas para ponerlo todo de nuevo en marcha y desinfectar los ordenadores.
18

Seguramente ya se habrn dado cuenta de varias cuestiones que estn directamente relacionadas
con el hecho de que una organizacin pueda o no superar contingencias. Por ejemplo, cundo
podr venir la empresa de soporte?, en cunto tiempo me podrn solucionar el problema y qu
consecuencias tendr para mi organizacin?, cul es la contingencia ms grave que puede afectar
a mi actividad y qu necesito para estar preparado ante algo as?, es mi proveedor de soporte
tcnico capaz de solucionar el problema?, puede hacer frente al problema mi organizacin sin
ayuda externa?, etc.
3.3.2. Continuidad de negocio / actividad
No solamente ocurren contingencias o incidentes que se pueden solucionar de forma relativamente
sencilla, tambin hay otros para los que no solemos estar tan preparados y que pueden tener
consecuencias mucho ms graves. Veamos algunos ejemplos.
Ejemplo 1:
Son las once de la maana. En RAPIDO S.A. Isabel y sus compaeros tienen bastante fro. Parece
que la calefaccin no funciona bien. Deciden conectar un calefactor que han trado de casa a uno
de los enchufes donde estn conectados varios ordenadores e impresoras. Un rato despus se
produce una sobrecarga en la red, pero no se corta la luz sino que los cables comienzan a
calentarse hasta que, justo al lado de una de las estanteras repletas de documentos e informacin
en papel, comienza a fundirse el cableado y aparece una pequea llama.
Los empleados han salido a tomar caf y en esa zona de la empresa no hay nadie en ese
momento. Mientras desayunan en la cafetera que hay enfrente de RAPIDO S.A., una de ellas se
da cuenta de que hay humo saliendo del primer piso de la empresa, justo encima de los almacenes.
Cuando intentan llegar a la oficina ya es tarde, todo est en llamas.
Ejemplo 2:
Julio sabe que le van a despedir porque no est haciendo las cosas bien y cree que Carlos
sospecha que fue l quien provoc que el servidor del programa de gestin de almacenes se
estropeara. Pero no se va a ir sin ms ya que no le parece justo que le despidan por bajarse unas
pelculas. l piensa que no le hace dao a nadie y no pasa nada porque se retrasen un poco los
pedidos, as que decide dar donde ms duele.
Para ello, planea desactivar las copias de seguridad del servidor un par de semanas antes de que
escinda su contrato y luego difundir un virus en todos los ordenadores de la empresa (incluido el
servidor) de esos que borran los discos duros y los dejan irrecuperables
Estos ejemplos ilustran algunas de las formas en las que se puede poner en peligro la continuidad
de una organizacin. Desde luego que hay muchas ms, hasta el punto de que sera imposible
describirlas todas, pero lo fundamental a la hora de afrontar la continuidad de la actividad es saber
a qu tipo de riesgos estamos expuestos, cules son los ms importantes, qu impacto pueden
causar en nuestra organizacin y en cunto tiempo debemos recuperarnos para que las
consecuencias sean lo menos desastrosas posibles.
4.- La seguridad de la informacin desde el punto de vista de las amenazas.
Las amenazas tecnolgicas son y seguirn siendo las principales protagonistas debido en parte, a
la gran cantidad de amenazas TIC existentes. Adems, cada ao su nmero aumenta y cada vez
son ms sofisticadas.
19

Actualmente se habla ya de una industria del malware. Se trata de profesionales dedicados a la
creacin de todo tipo de software malicioso que posteriormente es utilizado para realizar fraudes
bancarios, estafas, robos de datos y otros delitos.
4.1.- Qu puede amenazar nuestra organizacin?
Veamos algunos conceptos sobre los tipos de amenazas que existen y que vamos a ver a lo largo
de este curso.
Subculturas. Hackers, phreakers, hacktivistas, etc. Son el origen de muchas amenazas TIC y es
necesario conocer su existencia.
Malware. Virus, troyanos, ad-ware, keyloggers, etc. Es la base de mltiples tcnicas y amenazas.
Algunos de ellos llevan con nosotros desde el nacimiento de los ordenadores hasta la actualidad.
Ingeniera social. Spam, fraude bancario, robo de identidad, etc. Se ha convertido en una de las
amenazas principales del uso de las tecnologas de la informacin e internet. Es la base para
mltiples delitos e incidentes de seguridad.
El enemigo est dentro. Hasta hace poco se consideraba que la mayora de las amenazas
provenan del exterior de las organizaciones pero cada vez se producen ms incidentes de
seguridad cuyo origen es la propia organizacin.
Estos cuatro grupos no son ms que una de las mltiples formas en las que podemos agrupar las
amenazas TIC que existen en la actualidad.
4.1.1.- Subculturas
Siempre han existido personas que desean ir ms all y ampliar su conocimiento sobre un tema
concreto. En la tecnologa esto ha sido llevado al extremo, dando lugar a la aparicin de un
conjunto de subculturas centradas, en su mayor parte, en aprovechar al mximo la tecnologa,
conocerla, explotarla y llevarla al lmite.
Las subculturas no son peligrosas, pero los conocimientos y las actividades que desarrollan en
ocasiones acaban usndose para un fin daino o fraudulento. Sin embargo, generalmente se las ha
relacionado con un uso delictivo o fuera de la ley y siempre han estado en el punto de mira de la
polica y de otros cuerpos de seguridad. Actualmente, el mayor problema de estas subculturas es
que algunos de sus miembros terminan en grupos criminales y sus conocimientos en manos poco
adecuadas.
Las subculturas habitualmente se centran en un uso concreto y especfico de la tecnologa. En el
caso de los hackers, suelen estar asociados con el acceso no autorizado a los sistemas. Los
phreakers tenan como objetivo la manipulacin de las redes telefnicas, o los spammers, que son
los culpables de que nuestro buzn de correo electrnico se llene de mensajes que no deseamos ni
hemos solicitado.
Ejemplo:
Un grupo de hackers logr infiltrarse en el conocido LHC, Gran Colisionador de Hadrones. Este
grupo, que se autodenomina el Equipo Griego de Seguridad, se burl en su mensaje de la
debilidad del LHC, y tilda de colegiales a los tcnicos responsables de proteger la seguridad
informtica de la instalacin donde se inici, lo que muchos consideran el experimento cientfico
ms ambicioso de la historia
20

4.1.2.-Malware
Actualmente el nmero de virus, troyanos, keyloggers, gusanos y otros tipos de malware es
enorme, se manejan cifras superiores a los 2 millones y medio de especmenes. Con el paso del
tiempo, el malware se ha ido especializando y hoy en da podemos encontrarlo destinado al fraude
bancario, al robo de datos, a la monitorizacin de la actividad de un usuario, etc. El malware cada
vez se vuelve ms sofisticado y ms especializado.
Ejemplo:
Las estadsticas dicen que 1 de cada 12 correos est infectado por el virus Mydoom. El Centro de
Alerta Temprana sobre Virus y Seguridad Informtica (CAT) ha elevado a extremo el nivel de
peligrosidad del gusano Mydoom que contina su expansin masiva por internet. En un da y
medio, logr provocar en Espaa ms de 372.000 infecciones. Este cdigo malicioso ya ocupa el
sexto puesto del ranking histrico de incidencias
4.1.3.- Ingeniera social
La ingeniera social es tan antigua como el hombre, no es algo nuevo y no tiene que ver
necesariamente con la tecnologa. Hacemos uso de ella constantemente: para convencer a un
amigo de algo, para ligar o para conseguir que nos den vacaciones en el trabajo. La ingeniera
social forma parte de nuestra caja de herramientas personal.
La base sobre la que opera la ingeniera social es la capacidad que tenemos para comunicarnos.
Ahora ms que nunca podemos hacerlo de mil formas distintas gracias a los ordenadores e
internet. En malas manos, la ingeniera social es un arma muy poderosa que es utilizada
generalmente para conseguir informacin. En el caso de internet, la ingeniera social hace un uso
cada vez mayor de la tecnologa para cometer fraudes bancarios, estafas, suplantaciones de
identidad y robos de informacin, entre otros.
4.1.4.- El enemigo est dentro.
Hasta hace poco, la seguridad se centraba en proteger nuestras organizaciones de las amenazas
externas pero, en la actualidad, un porcentaje muy importante de los incidentes de seguridad que
afectan a las empresas tiene su origen en el interior de las mismas.
La fuga de informacin, la venganza personal o el robo de propiedad intelectual se han convertido
en incidentes de seguridad muy habituales en las empresas que cada vez generan mayor
preocupacin por las consecuencias que pueden tener para las organizaciones.
4.2.- Anatoma de las amenazas
La mejor forma de comprender cmo han cambiado las cosas es hacindonos una idea del antes y
otra del momento actual de las amenazas, centrndonos en dos aspectos fundamentales: quines
estn detrs de las amenazas? y por qu lo hacen?
4.2.1.- El antes de las amenazas
Retrocedemos en el tiempo 10 o 20 aos para echar un vistazo al origen de muchas amenazas de
aquella poca.
21

Quines eran?
Se trataba de personas cuyo principal objetivo era ampliar sus conocimientos y avanzar en
la tecnologa informtica.
Ya existan antes de los ordenadores y fueron las redes telefnicas las que dieron lugar a un
grupo, conocido como phreakers, que en muchos casos, conocan mejor la tecnologa que
haba detrs de las lneas telefnicas que los propios ingenieros que las haban diseado.
Desde que la tecnologa existe siempre ha habido subculturas asociadas a ella. Han ido
apareciendo distintos grupos amantes de sta y de sus posibilidades y siempre en busca de
nuevas fronteras.
Por qu lo hacan?
Simplemente porque era un reto y conseguirlo era el objetivo. Les motivaba la satisfaccin
de conseguir acceder a un sistema no autorizado o crear un nuevo malware capaz de
infectar otros ordenadores. Muchos de los accesos no autorizados a sistemas que se daban
entonces terminaban con un mensaje que dejaba el intruso al administrador del sistema
para decirle que haban sido capaces de burlar su seguridad y que tenan un problema que
deban solucionar.
Se trataba de una bsqueda de conocimiento y una forma de aprendizaje. Esa es la cultura

del hacker. La palabra hacker se refiere a toda persona que tiene un gran inters por la
tecnologa y trata de aprender todo lo posible, ampliando sus posibilidades y sus lmites.
En muchos casos, tambin se trataba de ir contra las normas, de romper las reglas. Esta
rebelda es propia de los jvenes, que se sienten capaces de hacer cualquier cosa. Muchos
de los personajes que estaban detrs de los incidentes de seguridad en aquella poca eran
jvenes en plena adolescencia.
Por otro lado, la bsqueda de conocimiento, tambin incorporaba una necesidad de

reconocimiento personal. En muchas ocasiones, esa inquietud ha sido el camino utilizado
para que algunos de los ms famosos hackers de la historia hayan terminado entre rejas.
Y ahora, quines estn detrs de las amenazas?
Lamentablemente, las organizaciones criminales han pasado a sustituir a aquellos hackers

por algo mucho ms siniestro y peligroso. Hoy en da los grupos de delincuencia organizada
han encontrado en internet una nueva frontera para cometer delitos.
Las organizaciones y las empresas se han convertido en nuevos focos de incidentes de

seguridad poniendo a sus propios empleados en el punto de mira. Se ha acuado la
expresin el enemigo est dentro para referirse a este fenmeno.
22

Mucho ms grave que lo anterior es la llegada de los delincuentes sexuales y mafias

organizadas en la Red, que estn poniendo de manifiesto lo peligroso que puede llegar a
ser que nuestros datos personales estn en internet sin la adecuada proteccin, bien sea a
travs de redes sociales o de otros medios de comunicacin.
Por qu lo hacen?
Su principal motivacin es el beneficio econmico. Poco ms se puede decir ya que este

aliciente es universal.
La bsqueda de satisfaccin sexual tambin se ha convertido en una de las motivaciones

ms peligrosas.
En ltimo lugar tenemos la venganza, el chantaje y el dao de imagen entre otros.
4.3.- Todos podemos ser una amenaza

Vamos a realizar de nuevo un viaje en el tiempo para entender cmo eran antes las cosas y cmo
son ahora desde el punto de vista del objetivo de las amenazas.
El antes
Volvamos la mirada atrs y retrocedamos en el tiempo para observar cules eran los objetivos de
las amenazas de aquel entonces.
Hace un tiempo, para crear un virus o acceder a un sistema sin autorizacin era necesario
poseer muchos y muy tcnicos conocimientos. Por ello, pocas personas estaban dispuestas
a pasar decenas o cientos de horas delante del ordenador para conseguir sus metas.
Por otro lado, haba relativamente pocas herramientas disponibles y no estaban al alcance
de cualquiera. Localizarlas era difcil y su manejo complejo. Con la informacin relacionada
ocurra lo mismo, puesto qu haba pocos manuales o tutoriales, lo que exiga ser muy
autodidacta.
No existan las redes de banda ancha, por lo que las comunicaciones eran mucho ms
limitadas que en la actualidad. Descargarse informacin o herramientas poda ser costoso
en tiempo y dinero.
En la actualidad.
Ya no es imprescindible poseer conocimientos especficos. Cualquier persona puede

acceder a guas muy completas que explican paso a paso todo lo necesario.
23

Existen cientos de herramientas disponibles, incluso es posible encontrar constructores o

generadores de malware, que son herramientas para crear desde un virus a un troyano y de
forma totalmente a la carta. Incluso es posible contratar a organizaciones o personas
especializadas en desarrollarlos, como si de cualquier programa o aplicacin se tratara.
Es posible causar mucho dao con muy poco esfuerzo. sta es una gran preocupacin de
las organizaciones. Prueba de ello es que muchos de los incidentes actuales que se
producen en las organizaciones tienen como origen los propios empleados.
En muchas ocasiones nos convertimos en una amenaza o un riesgo sin saberlo. Es el caso de los
miles de ordenadores que son secuestrados y utilizados para enviar spam, puntos de propagacin
de malware, etc
Situaciones como stas son llevadas al extremo por organizaciones criminales hasta el punto de
que cuentan con redes de ordenadores zombi que son usados para mltiples propsitos sin que
sus usuarios se percaten de esto.
4.4.- Todos somos un objetivo.

Como venimos haciendo, repasemos la situacin anterior y la que tenemos en la actualidad.
El antes
Antes, el objetivo a atacar no eran tanto las personas como los sistemas y, ms
concretamente, aquellos sistemas situados en las universidades, las grandes empresas y
las instalaciones militares. Estos eran los grandes objetivos, ya que se trataba de entornos
que se suponan muy seguros y de difcil acceso, lo que los converta en un reto para todos
aquellos que queran tener prestigio entre la comunidad hacker.
Por otro lado, cuando se producan incidentes de seguridad masivos, como la propagacin
de un virus, stos no tenan objetivos concretos y no estaban pensados para un tipo de
vctima sino para un tipo de sistema a infectar. El objetivo eran los sistemas de los usuarios
o de las empresas y otras organizaciones.
El dao ocasionado con los incidentes de seguridad era bajo. Por un lado, eran pocas las
empresas y organizaciones que disponan de ordenadores conectados a internet y no
existan las redes de banda ancha. En realidad, no se buscaba causar dao, sino ms bien
sorprender y, en muchos casos, realizar una demostracin de los conocimientos que posea
la persona que haba producido el incidente.
24

En la actualidad.
Han proliferado las redes de banda ancha y el nmero de usuarios conectados a internet ha
crecido hasta alcanzar los cientos de millones.
Hay millones de sistemas conectados a internet. No slo estn las universidades, las
grandes empresas y las instalaciones militares, sino tambin los usuarios en sus casas, que
se han convertido en el grueso principal.
Los ataques se han vuelto sectorizados, buscan un tipo de usuario o un perfil, no ya tanto un
sistema. Aunque s es cierto que los sistemas Windows siguen siendo los preferidos.
Los incidentes provocados tienen un objetivo definido: en la mayora de los casos se trata
de la bsqueda de beneficio econmico.
El gran nmero de ordenadores de usuarios existente se ha convertido en una plataforma

para realizar ataques una vez que han sido infectados. En muchas ocasiones, el usuario
que es vctima ni siquiera lo sabe.
5.- Soluciones para las organizaciones

Uno de los activos ms importantes que posee una organizacin es la informacin. Si las
tecnologas de la informacin son utilizadas correctamente, son mayores las ventajas y beneficios
que aportan estas tecnologas a los usuarios y las organizaciones que los riesgos que conllevan.
Es fundamental conocer qu ofrece el mercado de la Seguridad a las empresas, qu productos y
servicios tenemos disponibles y, tan importante como esto, qu pasos debemos dar para comenzar
a implementar medidas de seguridad en las empresas.
5.1.- El mercado de la Seguridad de la informacin.
Cualquier organizacin que desee implementar seguridad necesita contar con servicios, productos
y asesoramiento profesional.
Los tipos de empresas y organizaciones que podemos encontrar en el mercado, podemos
clasificarlas de la siguiente forma:
Fabricantes. Empresa que disea, produce y comercializa productos hardware o software. La
comercializacin suele realizarla a travs de mayoristas.
Mayoristas. Empresa que dispone de un almacn de productos de fabricantes. Vende a travs de
su propio canal (distribuidores o integradores) y suele tener un mbito de actuacin regional o
nacional.
Integradores. Empresa que ofrece, adems del producto de seguridad, una serie de servicios
asociados que van desde la instalacin hasta la puesta en marcha y el posterior servicio tcnico
postventa.
25

Distribuidores. Empresa que vende directamente a otras empresas o a usuarios finales. Suele
tener un mbito geogrfico local o regional, aunque tambin hay algunos de mbito nacional.
Consultoras de negocio. Empresa dedicada al apoyo, consejo y asesoramiento empresarial
dentro del mbito de la seguridad de los sistemas de informacin en reas tales como el
cumplimiento de la LOPD, planes de contingencia, planes de continuidad, etc.
Consultoras tecnolgicas. Empresa que ofrece servicios de asesoramiento dedicados al mbito
tecnolgico en general o de seguridad en particular.
Hoy en da es realmente complicado distinguir entre unos y otros puesto que en realidad muchas
empresas que operan en este mercado lo hacen en varios mbitos a la vez.
Adems de las empresas, en el mercado de la seguridad hay otro tipo de organizaciones que
promueven indirectamente el sector. Son los denominados actores proactivos, que son
organizaciones cuyo objetivo fundamental es promover e impulsar el mercado de las tecnologas de
la informacin y la comunicacin.
5.1.1.- Soluciones de seguridad.
Lo que cualquier organizacin quiere conseguir del mercado de la seguridad son soluciones que le
permitan alcanzar un nivel de seguridad adecuado. Estas soluciones se pueden conseguir en forma
de productos y servicios, que pueden ir por separado o juntos. De hecho, cuando los productos y
los servicios se comercializan juntos, al paquete resultante se le denomina solucin.
Los productos y los servicios pueden agruparse para formar un paquete o suite,
5.1.2.- Categoras de productos y servicios.
Una forma de afrontar el reto que supone encontrar la solucin adecuada es crear categoras de
productos y servicios, definindolas y describindolas funcionalmente de forma que cada una
agrupe los productos que tienen caractersticas y funcionalidades similares o que estn enfocados
al mismo problema de seguridad. El mismo planteamiento se aplica a los servicios.
Estas categoras las podemos clasificar de la siguiente forma:
Antifraude. Son herramientas destinadas a proteger ante todo tipo de fraude electrnico o fraude
en internet, como es el caso del fraude bancario, la suplantacin de identidad y otros.
Antimalware. Son herramientas destinadas a la proteccin de nuestros sistemas (servidores,
puesto de trabajo, porttiles, PDAs, etc.) frente al software malicioso que puede afectar a nuestros
sistemas como son virus, troyanos, gusanos y otros.
Gestin y control de acceso. Son herramientas que permiten llevar a cabo la identificacin y el
control de acceso en las organizaciones as como la gestin de las identidades
Cortafuegos / VPN. Son herramientas destinadas a proteger la red y los sistemas de los accesos
no autorizados frente a todo tipo de ataques provenientes de internet y de las redes a las que nos
encontramos conectados.
26

Gestin de incidentes. Son servicios destinados a ayudar a las organizaciones a gestionar los
incidentes de seguridad, evitando que stos vuelvan a producirse o mitigando las consecuencias de
los mismos.
Pruebas y auditora tcnica. Son servicios destinados a la realizacin de auditoras de seguridad
en las organizaciones con el fin conocer el nivel de seguridad de una organizacin.
Formacin. Son servicios destinados a la formacin tanto de profesionales como de usuarios de
empresa en general en el mbito de la seguridad.
Antes de adquirir un producto o un servicio, debemos tener en cuenta varias cuestiones y una de
ellas es decidir dnde podemos y necesitamos aplicar seguridad en nuestra organizacin.
NOTA: El mdulo bsicamente se basa en conocer las herramientas ms comunes de cada una de
estas categoras y saber implementarla.
5.2.- Cmo implementar seguridad?
Cuando las organizaciones comienzan con la tarea de implementar seguridad suelen encontrarse
con un problema fundamental: dnde necesito implementar seguridad en mi organizacin? y
cmo debo hacerlo? Hay muchos enfoques y planteamientos pero lo que realmente quieren las
empresas es que el proceso sea lo ms sencillo y rpido posible, que tenga el menor coste, o mejor
an, que suponga una mejora y un retorno de la inversin realizada y no sea nicamente un gasto.
5.2.1.- Motivacin y objetivo.
Cul es el motivo y el objetivo para implementar seguridad en mi organizacin?. Este aspecto es
bsico y si no lo tenemos claro, es mejor no hacer nada.
Hay muchos motivos para comenzar a implementar seguridad en una organizacin y bsicamente
son tres.
.- Queremos cumplir con la legislacin.
La administracin obliga a las organizaciones que se adapten a la LOPD.
.- Queremos mejorar nuestro negocio.
Certificar una empresa en calidad y seguridad puede permitirle competir en otros mercados
y conseguir contratos con la administracin.
.- Queremos protegernos de las amenazas existentes.
Todos los das aparecen noticias relacionadas con el phishing, el robo de datos a las
empresas, etc.
5.2.2.- Hoja de ruta.

Una vez que contamos con la motivacin y el objetivo, podremos establecer qu camino debemos
seguir para conseguirlo y cul ser nuestra pauta de referencia.
27

.- Cmo cumplir con la legislacin.
Existe un reglamento de medidas de seguridad, que es una gua para saber qu tiene que
hacer y qu medidas tiene que implementar en su organizacin.
.- Aplicando seguridad al negocio.
Para certificar una empresa en calidad y seguridad, es necesario aplicar varias normas que
son una especie de guas muy elaboradas donde se indica todo lo necesario para realizar la
adecuacin de la empresa y enfrentarse a una certificacin.
.- Proteger nuestra empresa.
Las medidas a implantar va ha depender de las amenazas de las que deseemos
protegernos.
5.2.3.- El proveedor
Es fundamental insistir en que hay que contar con asesoramiento profesional en todas las fases del
proceso y, una vez terminado ste, tambin lo necesitaremos durante la gestin de todo lo que se
ha implementado. La gestin de la seguridad es un proceso continuo, no podemos implementar un
conjunto de medidas y olvidarnos. Es necesario mantener y gestionar lo implementado.
5.3.- Medidas de seguridad bsicas
Necesitamos tres elementos antes de comenzar a implementar mecanismos y medidas de
seguridad en las organizaciones: motivacin y objetivo, hoja de ruta y proveedor. Conocerlos nos va
a ayudar a elegir el mejor camino a seguir a la hora de realizar dicha implementacin.
Vamos a tratar de establecer un conjunto de medidas que pueden considerarse de obligada
implementacin y uso en cualquier organizacin, estas medidas, son bsicas y las deberan
implementar todas las organizaciones.
5.3.1.- Copias de seguridad.
La realizacin de copias de seguridad est considerada la medida de Seguridad de la Informacin
por excelencia y es totalmente bsica y crtica.
Existen muchos tipos de backup. Hoy en da son muy interesantes los servicios de backup remoto
para las organizaciones, puesto que permiten recuperarse de una prdida o dao de los datos que
se encuentran en las propias instalaciones de la organizacin.
Lo fundamental de las copias de seguridad no es tanto dnde y cmo se realizan, sino la
periodicidad con la que stas se llevan a cabo.
Es importante que las copias de seguridad se hagan con el menor intervalo de tiempo posible,
inclusive en tiempo real; es decir, siempre que se produzca un cambio en la informacin que
queremos proteger de forma que la copia est lo ms actualizada posible.
28

5.3.2.- Actualizacin y parcheo de sistemas operativos y aplicaciones.
Los programadores no son infalibles y tampoco lo son las herramientas que usan para construir los
programas, por lo que todos los sistemas operativos y herramientas que usamos contienen errores
de programacin. Estos fallos pueden ser aprovechados para entrar en nuestros sistemas, robar
informacin, realizar fraude on-line, etc.
5.3.3.- Suites de seguridad.
Son soluciones integrales que aportan proteccin frente a mltiples amenazas en una nica
solucin.
Las suites de seguridad suelen incorporar como herramienta bsica un cortafuegos para proteger
nuestro ordenador de ataques desde internet e incluso herramientas especficas contra el spam o el
fraude.
5.3.4.- Polticas y buenas prcticas
Tambin es necesario implementar medidas de tipo organizativo y jurdico. La seguridad se puede
entender como si se tratara de una cebolla. No se trata de implementar una medida de seguridad
definitiva, sino muchas all donde hagan falta. Lo recomendable es que cada medida que
implementemos acte como una de las capas que recubre la cebolla. Cuantas ms capas haya,
ms difcil ser comprometer la seguridad, puesto que las amenazas y los ataques debern sortear
ms obstculos para lograr penetrar.
En resumen, por un lado tenemos un componente de la seguridad basado en los hbitos y en
nuestra responsabilidad para hacer las cosas bien y, por otro, tenemos el deber de cumplir con
aquellas directrices que nos marca la organizacin en la que trabajamos. En una organizacin es
fundamental fomentar las buenas prcticas y los hbitos correctos y, por otro, implementar diversas
polticas de seguridad de forma que el trabajador conozca qu debe y qu no debe hacer.
29

Tema 1 Introducción A La Seguridad de La Información Basado en El Curso de INTECO

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tema 1 Introducción A La Seguridad de La Información Basado en El Curso de INTECO

Uploaded by

Copyright:

Available Formats

Ciclo de Grado Medio Sistemas Microinformticos y Redes

MODULO: Seguridad Informtica

1.- Introduccin a la Seguridad de la Informacin.

Ciclo de Grado Medio Sistemas Microinformticos y Redes

1.- Introduccin a la Seguridad de la Informacin.

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Podemos clasificar estas normativas en dos grandes grupos:

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ley Orgnica 5/1992, de 29 de octubre, de Regulacin del Tratamiento Automatizado de

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Contar con profesionales desde el inicio del proceso.

Determinar la normativa que aplica a nuestra organizacin.

Determinar las medidas de tipo jurdico, organizativo y tcnico que es necesario

Obtener la nueva lista de medidas optimizada y de nuevo priorizar. Si es posible reducir an

Finalmente, con la lista definitiva de medidas, priorizar y comenzar a implementar.

3.- La seguridad de la informacin desde el punto de vista del negocio.

Ciclo de Grado Medio Sistemas Microinformticos y Redes

3.1.1.- Responsabilidad y productividad en la empresa.

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Garanta y nivel de servicio.

3.2.4.1.-Garanta y nivel de servicio.

Servicios internos. Es decir, garantas y nivel de servicio a nivel interno en nuestra

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Se trataba de una bsqueda de conocimiento y una forma de aprendizaje. Esa es la cultura

Por otro lado, la bsqueda de conocimiento, tambin incorporaba una necesidad de

Y ahora, quines estn detrs de las amenazas?

Lamentablemente, las organizaciones criminales han pasado a sustituir a aquellos hackers

Las organizaciones y las empresas se han convertido en nuevos focos de incidentes de

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Mucho ms grave que lo anterior es la llegada de los delincuentes sexuales y mafias

Su principal motivacin es el beneficio econmico. Poco ms se puede decir ya que este

La bsqueda de satisfaccin sexual tambin se ha convertido en una de las motivaciones

En ltimo lugar tenemos la venganza, el chantaje y el dao de imagen entre otros.

4.3.- Todos podemos ser una amenaza

Ya no es imprescindible poseer conocimientos especficos. Cualquier persona puede

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Existen cientos de herramientas disponibles, incluso es posible encontrar constructores o

4.4.- Todos somos un objetivo.

Ciclo de Grado Medio Sistemas Microinformticos y Redes

El gran nmero de ordenadores de usuarios existente se ha convertido en una plataforma

5.- Soluciones para las organizaciones

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

5.2.2.- Hoja de ruta.

Ciclo de Grado Medio Sistemas Microinformticos y Redes

Ciclo de Grado Medio Sistemas Microinformticos y Redes

You might also like