Professional Documents
Culture Documents
ndice
El marco legal. Realizaremos una breve introduccin al marco legal relativo a las tecnologas de
la informacin y la seguridad, entre las que se incluye la LOPD.
Normativas relevantes. Conoceremos las normativas ms relevantes relativas a las tecnologas
de la informacin y que afectan a las organizaciones.
Qu normativa aplica a mi organizacin? Analizaremos qu debemos tener en cuenta a la
hora de decidir qu normativa aplica a nuestra organizacin.
10
Es una ley que afecta a todas las organizaciones, puesto que todas ellas, de una u otra forma,
cuentan con informacin de carcter personal. Su mbito, por tanto, es muy amplio.
Su cumplimiento tiene implicaciones desde el punto de vista jurdico, organizativo y
tcnico. Es decir, cuando una organizacin tiene que cumplir esta ley es necesario implantar un
conjunto de medidas, tanto desde el punto de vista jurdico como organizativo y tcnico. Esto
supone un importante esfuerzo en recursos y, en ocasiones, en inversin para las organizaciones.
Su aplicacin, mantenimiento y cumplimiento se lleva a cabo mediante la Agencia Espaola
de Proteccin de Datos, que cuenta con una enorme capacidad de actuacin.
Cuenta con un reglamento de desarrollo de la ley donde se especifica el conjunto de medidas
jurdicas, organizativas y tcnicas que es necesario aplicar en funcin del nivel de los datos a
proteger. Dicho reglamento actualmente cuenta con 158 artculos.
El incumplimiento de la ley puede acarrear importantes sanciones que van desde los 600
hasta los 600.000 euros. La aplicacin de estas sanciones y la cuanta de las mismas es una
poderosa razn para tomarse muy en serio esta ley. De forma general las administraciones no
estn sujetas a sanciones econmicas, sino de tipo administrativo.
La secuencia y la evolucin de la LOPD ha sido la siguiente:
12
Como podemos ver, cada ley orgnica de proteccin de datos de carcter personal lleva
incorporado su reglamento de desarrollo de las medidas de aplicacin necesarias para cumplir con
la ley. El reglamento, en el caso de la LOPD, es fundamental puesto que en l se detallan y
establecen las medidas de tipo jurdico, tcnico y organizativo que deben aplicar las organizaciones
y las empresas para con cumplir con la ley. El reglamente dice qu hacer y cmo hacerlo.
2.8.1.- Adecuacin y cumplimiento de la LOPD
Centrndonos en la propia adecuacin, podemos seguir los siguientes pasos para conseguirla de la
manera menos costosa posible. Se deben seguir las siguientes recomendaciones:
Establecer y determinar todos los datos de carcter personal que se encuentran en nuestra
organizacin, as como los niveles de sta en relacin con la LOPD.
Priorizar dichas medidas, teniendo en cuenta el coste, las sanciones, los recursos
necesarios, etc.
Realizar una pre adaptacin de nuestra organizacin para conseguir reducir la lista de
medidas a aplicar y su coste en tiempo, recursos y dinero.
13
La responsabilidad y la productividad,
La imagen y la competitividad,
La capacidad para superar contingencias y la continuidad del negocio
15
Calidad y diferenciacin.
Servicios externos. Es decir, garantas y nivel de servicio para aquellos servicios que
ofrecemos al exterior. Por ejemplo, el servicio de transportes de RPIDO S.A. Los servicios
externos que ofrece una organizacin son crticos, puesto que del buen funcionamiento de
estos depende parte de la imagen que damos a los clientes.
Servicios de terceros. Este apartado se refiere a aquellos servicios que nos prestan otras
empresas y son fundamentales para nuestro funcionamiento. Un ejemplo podra ser el
servicio de que nos ofrece un proveedor o los servicios de apoyo a la gestin econmica y
tributara que recibimos de una gestora o asesora.
17
18
Ejemplo 1:
Son las once de la maana. En RAPIDO S.A. Isabel y sus compaeros tienen bastante fro. Parece
que la calefaccin no funciona bien. Deciden conectar un calefactor que han trado de casa a uno
de los enchufes donde estn conectados varios ordenadores e impresoras. Un rato despus se
produce una sobrecarga en la red, pero no se corta la luz sino que los cables comienzan a
calentarse hasta que, justo al lado de una de las estanteras repletas de documentos e informacin
en papel, comienza a fundirse el cableado y aparece una pequea llama.
Los empleados han salido a tomar caf y en esa zona de la empresa no hay nadie en ese
momento. Mientras desayunan en la cafetera que hay enfrente de RAPIDO S.A., una de ellas se
da cuenta de que hay humo saliendo del primer piso de la empresa, justo encima de los almacenes.
Cuando intentan llegar a la oficina ya es tarde, todo est en llamas.
Ejemplo 2:
Julio sabe que le van a despedir porque no est haciendo las cosas bien y cree que Carlos
sospecha que fue l quien provoc que el servidor del programa de gestin de almacenes se
estropeara. Pero no se va a ir sin ms ya que no le parece justo que le despidan por bajarse unas
pelculas. l piensa que no le hace dao a nadie y no pasa nada porque se retrasen un poco los
pedidos, as que decide dar donde ms duele.
Para ello, planea desactivar las copias de seguridad del servidor un par de semanas antes de que
escinda su contrato y luego difundir un virus en todos los ordenadores de la empresa (incluido el
servidor) de esos que borran los discos duros y los dejan irrecuperables
Estos ejemplos ilustran algunas de las formas en las que se puede poner en peligro la continuidad
de una organizacin. Desde luego que hay muchas ms, hasta el punto de que sera imposible
describirlas todas, pero lo fundamental a la hora de afrontar la continuidad de la actividad es saber
a qu tipo de riesgos estamos expuestos, cules son los ms importantes, qu impacto pueden
causar en nuestra organizacin y en cunto tiempo debemos recuperarnos para que las
consecuencias sean lo menos desastrosas posibles.
4.- La seguridad de la informacin desde el punto de vista de las amenazas.
Las amenazas tecnolgicas son y seguirn siendo las principales protagonistas debido en parte, a
la gran cantidad de amenazas TIC existentes. Adems, cada ao su nmero aumenta y cada vez
son ms sofisticadas.
19
Subculturas. Hackers, phreakers, hacktivistas, etc. Son el origen de muchas amenazas TIC y es
necesario conocer su existencia.
Malware. Virus, troyanos, ad-ware, keyloggers, etc. Es la base de mltiples tcnicas y amenazas.
Algunos de ellos llevan con nosotros desde el nacimiento de los ordenadores hasta la actualidad.
Ingeniera social. Spam, fraude bancario, robo de identidad, etc. Se ha convertido en una de las
amenazas principales del uso de las tecnologas de la informacin e internet. Es la base para
mltiples delitos e incidentes de seguridad.
El enemigo est dentro. Hasta hace poco se consideraba que la mayora de las amenazas
provenan del exterior de las organizaciones pero cada vez se producen ms incidentes de
seguridad cuyo origen es la propia organizacin.
Estos cuatro grupos no son ms que una de las mltiples formas en las que podemos agrupar las
amenazas TIC que existen en la actualidad.
4.1.1.- Subculturas
Siempre han existido personas que desean ir ms all y ampliar su conocimiento sobre un tema
concreto. En la tecnologa esto ha sido llevado al extremo, dando lugar a la aparicin de un
conjunto de subculturas centradas, en su mayor parte, en aprovechar al mximo la tecnologa,
conocerla, explotarla y llevarla al lmite.
Las subculturas no son peligrosas, pero los conocimientos y las actividades que desarrollan en
ocasiones acaban usndose para un fin daino o fraudulento. Sin embargo, generalmente se las ha
relacionado con un uso delictivo o fuera de la ley y siempre han estado en el punto de mira de la
polica y de otros cuerpos de seguridad. Actualmente, el mayor problema de estas subculturas es
que algunos de sus miembros terminan en grupos criminales y sus conocimientos en manos poco
adecuadas.
Las subculturas habitualmente se centran en un uso concreto y especfico de la tecnologa. En el
caso de los hackers, suelen estar asociados con el acceso no autorizado a los sistemas. Los
phreakers tenan como objetivo la manipulacin de las redes telefnicas, o los spammers, que son
los culpables de que nuestro buzn de correo electrnico se llene de mensajes que no deseamos ni
hemos solicitado.
Ejemplo:
Un grupo de hackers logr infiltrarse en el conocido LHC, Gran Colisionador de Hadrones. Este
grupo, que se autodenomina el Equipo Griego de Seguridad, se burl en su mensaje de la
debilidad del LHC, y tilda de colegiales a los tcnicos responsables de proteger la seguridad
informtica de la instalacin donde se inici, lo que muchos consideran el experimento cientfico
ms ambicioso de la historia
20
21
Se trataba de personas cuyo principal objetivo era ampliar sus conocimientos y avanzar en
la tecnologa informtica.
Ya existan antes de los ordenadores y fueron las redes telefnicas las que dieron lugar a un
grupo, conocido como phreakers, que en muchos casos, conocan mejor la tecnologa que
haba detrs de las lneas telefnicas que los propios ingenieros que las haban diseado.
Desde que la tecnologa existe siempre ha habido subculturas asociadas a ella. Han ido
apareciendo distintos grupos amantes de sta y de sus posibilidades y siempre en busca de
nuevas fronteras.
Por qu lo hacan?
Simplemente porque era un reto y conseguirlo era el objetivo. Les motivaba la satisfaccin
de conseguir acceder a un sistema no autorizado o crear un nuevo malware capaz de
infectar otros ordenadores. Muchos de los accesos no autorizados a sistemas que se daban
entonces terminaban con un mensaje que dejaba el intruso al administrador del sistema
para decirle que haban sido capaces de burlar su seguridad y que tenan un problema que
deban solucionar.
En muchos casos, tambin se trataba de ir contra las normas, de romper las reglas. Esta
rebelda es propia de los jvenes, que se sienten capaces de hacer cualquier cosa. Muchos
de los personajes que estaban detrs de los incidentes de seguridad en aquella poca eran
jvenes en plena adolescencia.
Por qu lo hacen?
Hace un tiempo, para crear un virus o acceder a un sistema sin autorizacin era necesario
poseer muchos y muy tcnicos conocimientos. Por ello, pocas personas estaban dispuestas
a pasar decenas o cientos de horas delante del ordenador para conseguir sus metas.
Por otro lado, haba relativamente pocas herramientas disponibles y no estaban al alcance
de cualquiera. Localizarlas era difcil y su manejo complejo. Con la informacin relacionada
ocurra lo mismo, puesto qu haba pocos manuales o tutoriales, lo que exiga ser muy
autodidacta.
No existan las redes de banda ancha, por lo que las comunicaciones eran mucho ms
limitadas que en la actualidad. Descargarse informacin o herramientas poda ser costoso
en tiempo y dinero.
En la actualidad.
23
Es posible causar mucho dao con muy poco esfuerzo. sta es una gran preocupacin de
las organizaciones. Prueba de ello es que muchos de los incidentes actuales que se
producen en las organizaciones tienen como origen los propios empleados.
En muchas ocasiones nos convertimos en una amenaza o un riesgo sin saberlo. Es el caso de los
miles de ordenadores que son secuestrados y utilizados para enviar spam, puntos de propagacin
de malware, etc
Situaciones como stas son llevadas al extremo por organizaciones criminales hasta el punto de
que cuentan con redes de ordenadores zombi que son usados para mltiples propsitos sin que
sus usuarios se percaten de esto.
Antes, el objetivo a atacar no eran tanto las personas como los sistemas y, ms
concretamente, aquellos sistemas situados en las universidades, las grandes empresas y
las instalaciones militares. Estos eran los grandes objetivos, ya que se trataba de entornos
que se suponan muy seguros y de difcil acceso, lo que los converta en un reto para todos
aquellos que queran tener prestigio entre la comunidad hacker.
Por otro lado, cuando se producan incidentes de seguridad masivos, como la propagacin
de un virus, stos no tenan objetivos concretos y no estaban pensados para un tipo de
vctima sino para un tipo de sistema a infectar. El objetivo eran los sistemas de los usuarios
o de las empresas y otras organizaciones.
El dao ocasionado con los incidentes de seguridad era bajo. Por un lado, eran pocas las
empresas y organizaciones que disponan de ordenadores conectados a internet y no
existan las redes de banda ancha. En realidad, no se buscaba causar dao, sino ms bien
sorprender y, en muchos casos, realizar una demostracin de los conocimientos que posea
la persona que haba producido el incidente.
24
Han proliferado las redes de banda ancha y el nmero de usuarios conectados a internet ha
crecido hasta alcanzar los cientos de millones.
Hay millones de sistemas conectados a internet. No slo estn las universidades, las
grandes empresas y las instalaciones militares, sino tambin los usuarios en sus casas, que
se han convertido en el grueso principal.
Los ataques se han vuelto sectorizados, buscan un tipo de usuario o un perfil, no ya tanto un
sistema. Aunque s es cierto que los sistemas Windows siguen siendo los preferidos.
Los incidentes provocados tienen un objetivo definido: en la mayora de los casos se trata
de la bsqueda de beneficio econmico.
25
26
5.2.3.- El proveedor
Es fundamental insistir en que hay que contar con asesoramiento profesional en todas las fases del
proceso y, una vez terminado ste, tambin lo necesitaremos durante la gestin de todo lo que se
ha implementado. La gestin de la seguridad es un proceso continuo, no podemos implementar un
conjunto de medidas y olvidarnos. Es necesario mantener y gestionar lo implementado.
5.3.- Medidas de seguridad bsicas
Necesitamos tres elementos antes de comenzar a implementar mecanismos y medidas de
seguridad en las organizaciones: motivacin y objetivo, hoja de ruta y proveedor. Conocerlos nos va
a ayudar a elegir el mejor camino a seguir a la hora de realizar dicha implementacin.
Vamos a tratar de establecer un conjunto de medidas que pueden considerarse de obligada
implementacin y uso en cualquier organizacin, estas medidas, son bsicas y las deberan
implementar todas las organizaciones.
5.3.1.- Copias de seguridad.
La realizacin de copias de seguridad est considerada la medida de Seguridad de la Informacin
por excelencia y es totalmente bsica y crtica.
Existen muchos tipos de backup. Hoy en da son muy interesantes los servicios de backup remoto
para las organizaciones, puesto que permiten recuperarse de una prdida o dao de los datos que
se encuentran en las propias instalaciones de la organizacin.
Lo fundamental de las copias de seguridad no es tanto dnde y cmo se realizan, sino la
periodicidad con la que stas se llevan a cabo.
Es importante que las copias de seguridad se hagan con el menor intervalo de tiempo posible,
inclusive en tiempo real; es decir, siempre que se produzca un cambio en la informacin que
queremos proteger de forma que la copia est lo ms actualizada posible.
28
29