Legislación

Como en el mundo real, romper la seguridad informática de una empresa para robar sus datos es un delito perseguido por la ley. También el desarrollo de Internet ha impulsado la aparición de leyes completamente nuevas, como la que regula el comercio electrónico.

LOPD 

La Ley Orgánica de Protección de Datos de Carácter Personal (LO 15/1999, de 13 de diciembre) establece las bases para proteger el tratamiento de los datos de carácter personal de las personas físicas. Estos datos pueden estar en cualquier tipo de soporte, digitalizado o no. 

 La ley establece cómo se pueden tomar los datos, qué tipo de almacenamiento protegido necesitan y qué derecho y obligaciones tiene el ciudadano sobre esos datos suyos en manos de terceros.

El Real Decreto 1720/2007, de 21 de diciembre, desarrolla la LOPD para ficheros
(automatizados y no automatizados). Define tres tipos de medidas en función de la
sensibilidad de los datos tratados:


 Niveles de seguridad de LOPD


 Nivel básico:

Cualquier fichero de datos de carácter personal. Las medidas de seguridad con estos datos son:

– Identificar y autenticar a los usuarios que pueden trabajar con esos datos.

– Llevar un registro de incidencias acontecidas en el fichero.

– Realizar copia de seguridad como mínimo semanalmente. 



 Nivel medio:  

Cuando los datos incluyen información sobre infracciones administrativas o penales, informes financieros y de gestión tributaria y datos sobre la personalidad del sujeto. Las medidas de seguridad incluyen las del nivel básico más:

– Al menos una vez cada dos años una auditoría externa verificará los procedimientos de seguridad.

– Debe existir control de acceso físico a los medios de almacenamiento de los datos.



 Nivel alto: 

Son los datos especialmente protegidos: ideología, vida sexual, origen racial, afiliación sindical o política, historial médico, etc. Las medidas de seguridad amplían las de nivel medio:

– Cifrado de las comunicaciones.

– Registro detallado de todas las operaciones sobre el fichero, incluyendo usuario, fecha y hora, tipo de operación y resultado de la autenticación y autorización.
 

Seguridad Física/Lógica Activa/Pasiva

SEGURIDAD ACTIVA Y PASIVA

Seguridad activa, cuyo fin es evitar daños a los sitemas informáticos.

• El empleo de contraseñas adecuadas.
• La encriptación de datos.
• El uso de software de seguridad informática.

 La seguridad activa intenta protegernos de los ataques mediante la adopción de medidas que protejan los activos de la empresa.

Seguridad pasiva, cuyo fin es minimizar los efectos o desastres causados por un accidente, un usuario o malware.

• Realización de copias de seguridad de los datos.
• El uso de hardware adecuado frente accidentes y averías.

 La seguridad pasiva son todos los mecanismos que, cuando sufrimos un ataque, nos permiten recuperarnos razonablemente bien. Por ejemplo, las baterías ante una caída de tensión o la copia de seguridad cuando se ha estropeado la información de un disco. 

SEGURIDAD FÍSICA Y LÓGICA

Seguridad física, cubre todo lo referido a los equipos informáticos.


Las amenazas contra la seguridad física son:

• Desastres naturales (Incendios, inundaciones, hundimientos, terremotos). Los tenemos en cuenta a la hora de ubicar el emplazamiento del centro de proceso de datos (CPD), donde alojamos los principales servidores de la empresa, pero aunque tengamos el mejor sistema de extinción de incendios o la sala esté perfectamente sellada, siempre deberíamos tener un segundo CPD para que la actividad no pare.

 

• Robos. Nuestros equipos, y sobre todo la información que contienen, resultan valiosos para otros individuos u organizaciones. Debemos proteger el acceso a la sala del CPD mediante múltiples medidas de seguridad: vigilantes, tarjetas de acceso, identificación mediante usuario y contraseña, etc.

• Fallos de suministro. Los ordenadores utilizan corriente eléctrica para funcionar y necesitan redes externas para comunicar con otras empresas y con los clientes. Estos servicios los contrataremos con determinados suministradores, pero debemos estar preparados para las ocasiones en que no puedan proporcionarlo: unas baterías o un grupo electrógeno por si falla la corriente, una segunda conexión a Internet como línea de backup —incluso podemos optar por una solución inalámbrica— para estar protegidos ante un corte en la calle.

Seguridad lógica, se refiere a las distintas aplicaciones que ejecutan los equipos.



Las amenazas contra la seguridad lógica son:

•  Virus troyanos y malware en general. Como ocurre con el spam en el correo electró-nico, el malware es software no deseado y que debemos eliminar.

 

• Pérdida de datos. Un defecto en el código fuente de una aplicación, o una configuración defectuosa de la misma, puede ocasionar modificaciones inexplicables en la información almacenada, incluso la pérdida de datos. Para reducir este riesgo, las empresas prueban muy bien una aplicación antes de decidir utilizarla y, sobre todo, realizan copias de seguridad en varios puntos del procesamiento de la información para poder recuperarse sin perderlo todo.

 

• Ataques a las aplicaciones de los servidores. Los hackers intentarán entrar a por los datos aprovechando cualquier vulnerabilidad del sistema operativo o de las aplicaciones que ejecutan en esa máquina (por eso conviene tener instalado el software mínimo imprescindible).

La Criptografía

La palabra criptografía viene del griego cripto (que significa <ocultar>) y graphos (que significa <escribir>). Se podría traducir por: Cómo escribir mensajes ocultos.

La criptografía consiste en tomar el documento original y aplicarle un algoritmo cuyo resultado es un nuevo documento. Ese documento está cifrado, no sé puede entender nada al leerlo directamente. Ya podemos envíar tranquilamente el documento al destinatario que sabrá aplicar el algoritmo para recuperar el documento original.