Académique Documents
Professionnel Documents
Culture Documents
Ciberseguridad y Legislacin
Introduccin
A lo largo de los ltimos aos hemos asistido a la evolucin de las tecnologas que han derivado en
nuevos modelos de interacciones entre las personas, las administraciones pblicas as como las
empresas. De manera que ha sido necesario adaptar y crear nuevas leyes y normativas que regulen
los diversos puntos de vistas de la ciberseguridad. Estas leyes van a ocuparse de diferentes mbitos
de la ciberseguridad, desde el tratamiento digital de la informacin, como la regulacin de las
actividades del personal y los procesos de negocios propios del sector de la organizacin a travs de
Internet.
Como resumen cualquier organizacin se ve afectada o se puede ver afectada por la siguiente
legislacin:
P g i n a 1 | 10
Seguridad Unidad 1: El Problema de la Seguridad
tramites de afiliacin a la Seguridad Social, trmites relativos a las prestaciones, publicacin
y gestin ofertas de empleo, solicitud de marca o de registro de diseo industrial entre
otras.
Ley de Proteccin de Infraestructuras Crticas (Ley PIC 8/2011) complementada por el Real
Decreto 704/2011, que pretende detectar el conjunto de infraestructuras que prestan una
serie de servicios esenciales para la sociedad y desarrollar un conjunto de planes de
proteccin orientado a crear las medidas de prevencin y proteccin necesarias para
proteger dichas infraestructuras frente a ataques contra su seguridad fsica como
ciberataques. En otras palabras se busca proteger aquellas infraestructuras que en caso de
sufrir un ciberataque o un ataque fsico causaran gran impacto en la seguridad tanto fsica
como econmica de la sociedad espaola o del buen funcionamiento del gobierno. El
impacto se mide en trminos del nmero potencial de vctimas, el impacto econmico
asociado y el impacto pblico. Dentro las infraestructuras se distinguen entre aquellas que
son crticas, ya que no existen alternativas a las mismas, como infraestructuras estratgicas
tales como redes, sistemas informticos, e instalaciones que ejecutan servicios esenciales. Si
una organizacin gestiona un infraestructura crtica ser designada como operador crtico y
se ver afectado por esta ley, teniendo que implementar planes de seguridad de operador y
planes especficos de proteccin determinados en la PIC. Ejemplos de los sectores a los que
afecta esta ley son alimentario, financiero, qumico, nuclear, comunicaciones, salud,
transporte entre otros.
Cmo se debe recabar el consentimiento de los afectados para que se puedan tratar los
datos por la organizacin. Estas personas deben ser correctamente informados tanto del
hecho de que los datos van a ser tratados por la organizacin como de sus derechos al
respecto de esta actividad: acceso, rectificacin, cancelacin y oposicin al tratamiento.
Cmo va a regular la organizacin el uso de los datos personales en cuestiones relacionadas
con la publicidad y el marketing.
En caso de transferir los datos personales fuera de Espaa cmo vamos a transferirlos
internacionalmente a terceros.
Adems establece las infracciones y sanciones que se aplican y a las que cualquier organizacin se
expone en caso de incumplir esta normativa.
Para ello se define un dato personal como cualquier informacin que identifique o que pueda estar
relacionado con una persona identificada. Un claro ejemplo de dato personal sera el DNI. Podramos
considerar con esta definicin que la talla de ropa o calzado no seran datos personales. Sin
embargo, si en nuestra base de datos almacenamos estos de datos correlacionndolos con el DNI del
usuario directamente en una tabla o indirectamente mediante un identificador de usuario, si que
pasaran a ser datos personales ya que podramos averiguar el DNI a travs de ellos.
En muchos casos gestionamos datos personales que no consideramos como tales, como por
ejemplo:
P g i n a 2 | 10
Seguridad Unidad 1: El Problema de la Seguridad
Imgenes o videos de los sistemas de vigilancia.
Agendas de contactos.
Registros de voz almacenados por telfono.
Registros informticos (logs).
Registro de matrculas de los aparcamientos automatizados.
Debemos tener en cuenta que hay datos como las matrculas o las direcciones IPs no es sencillo
identificar a una persona sin grandes esfuerzos. Sin embargo, si por ejemplo tenemos un sistema
que toma una fotografa del conductor a la vez que se escanea la matrcula de un coche s que
podran considerar datos personales.
Adems esta ley afecta a la informacin en diversos formatos as como su tratamiento automatizado
(soporte informtico), su tratamiento en papel o en ambos.
Cualquier organizacin debe tener en cuenta que los datos personales que recolecte para llevar a
cabo sus actividades profesionales deben ser los adecuados para la actividad en concreto, sin
sobrepasarse en la solicitud de informacin.
1. Identificar los datos personales que gestiona as como el formato en el que se encuentra.
2. Definir los ficheros a declarar. Un fichero ser un conjunto de datos personales en cualquier
soporte que son gestionados con una misma finalidad. Esta informacin debe ser notificada
a la Agencia Espaola de Proteccin de Datos (AEPD,
webhttps://www.agpd.es/portalwebAGPD/index-ides-idphp.php). En este caso esta
definicin es puramente informativa.
3. Definir el nivel de las medidas de seguridad informtica que se aplican a los datos. La ley
establece tres niveles de seguridad para cada tipo de datos donde se determinan un
conjunto de medidas y controles de seguridad. Los tres niveles de seguridad son los
siguientes:
P g i n a 3 | 10
Seguridad Unidad 1: El Problema de la Seguridad
a. Todos los ficheros deben aplicar las medidas y los controles de seguridad
denominados bsicos.
b. Aquellos ficheros que contengan datos que permitan realizar una evaluacin de la
personalidad de la persona o de su comportamiento, como compras frecuentes o
gustos personales, deben adems aplicar las medidas y controles de nivel medio.
c. Por ltimo, cualquier fichero que contenga informacin relacionada con la ideologa,
su afiliacin sindical, religin, creencias, origen racial, salud o vida sexual deben
aplicar las medidas de alto nivel.
4. Declara los ficheros en la Agencia Espaola de Proteccin de Datos. Este proceso se realiza
cumplimentando un formulario disponible en la sede electrnica de la web de la AEPD.
5. Redactar un documento de uso interno para la empresa donde se detalla el tratamiento de
los datos as como los controles de seguridad que aplicamos a los diversos datos. Este
documento viene definido en la Ley LOPD y existe un modelo disponible en la web de la
AEPD. Es importante mantener este documento lo ms actualizado posible as como
6. Implantacin de las medidas de seguridad recogidas en el documento anterior.
7. Preparar los procedimientos asociados a los datos personales para su acceso, rectificacin,
cancelacin u oposicin como establece la ley:
a. Es frecuente que para atender las peticiones en base a estos procedimientos se
suele ofrecer diversas formas de contacto (telfono, correo electrnico, correo
postal,) as como mensajes informativos en los diversos contextos donde
recabamos los datos como podra ser una pgina web, un sala con videovigilancia,
b. Por otra parte, es probable que tengamos que elaborar un mecanismo para recabar
el consentimiento de tratamiento de los datos para los interesados as como
clusulas de confidencialidad para el personal encargado de realizar el tratamiento
de los datos.
c. Adems hemos crear mecanismos seguros si son necesarios para que terceros
accedan a los datos personales recabados por la organizacin.
Por ltimo, en caso de un incidente informtico que involucre alguno de los datos personales
gestionados por la organizacin se debe realizar un registro de incidencias como se recoge en la
LOPD.
En 2015 la Unin Europea ha aprobado una directiva y un reglamento de proteccin de los datos
personales que se espera sea aplicado a partir de 2018. En general, con esta normativa se pretende:
P g i n a 4 | 10
Seguridad Unidad 1: El Problema de la Seguridad
El objetivo principal es unificar las diversas normativas existentes en la Unin Europea,
estableciendo un contexto nico que proteja a los datos de las empresas y los consumidores.
En caso de tener un portal para empleados (extranet o interanet) o una tienda online
debemos ofrecer un conjunto de informaciones que identifiquen a prestador de servicios:
o Denominacin social, NIF, domicilio social, correo electrnico de contacto y datos de
su inscripcin en el correspondiente registro.
o Si la actividad profesional desarrollada por la organizacin sigue algn cdigo de
conducta o es necesario seguirlo debido a su sector (medicina por ejemplo) se debe
explicitar los cdigos de conducta a los que est adheridos, los datos de colegiacin
asociados o la titulacin acadmica obtenida.
P g i n a 5 | 10
Seguridad Unidad 1: El Problema de la Seguridad
o En el caso de una tienda online adems debemos dejar muy claro el precio de los
productos que se ofrecen, los impuestos con los que se tasas as como los gastos de
envos asociados a la compra.
Si mediante la pgina web se puede contratar servicios online, tambin se debe informar de
los siguientes puntos:
o Los trmites que debe realizar el consumidor para realizar con xito la contratacin
de los mismos.
o Si tras la contratacin reflejamos el contrato mediante un documento electrnico,
este debe estar disponible para la descarga por parte del cliente que ha realizado la
contratacin.
o Los mecanismos existentes para corregir cualquier error que pueda surgir durante la
contratacin.
o Los diferentes idiomas en los que puede formalizarse la contratacin.
o Las condiciones generales a las que debe sujetarse el contrato.
El Real Decreto Ley 13/2012, conocido popularmente como ley de cookies, regular los mecanismos
de instalacin de cookies por parte de los sitios web. Bajo esta ley se clasifican las cookies en tres
grandes grupos:
Cookies tcnicas que permiten la navegacin el sitio web. Dentro de esta categora
encontraramos aquellas dedicadas a la autenticacin o el control de acceso del usuario, la
gestin de sesin, control de la carga de los servidores web, carrito de la contra, formularios
en mltiples pginas,
Cookies de personalizacin que permiten adaptar la interfaz del sitio web a las preferencias
especificadas por el usuario, estableciendo parmetros como por ejemplo el idioma, el tipo
de navegador, la configuracin regional,
Cookies de anlisis dedicadas al seguimiento y anlisis del comportamiento de los usuarios
dentro del sitio web.
De forma global, si un sitio web utiliza cookies propias debemos pedir el consentimiento del usuario
mediante un mensaje para poder instalarlas en el equipo junto con una advertencia donde se les
informe. Tambin se debe comunicar el caso de usar cookies de terceros con estos fines. Se
recomienda como buena prctica incluir un enlace a la poltica de cookies de la organizacin o al
menos un aviso legal.
P g i n a 6 | 10
Seguridad Unidad 1: El Problema de la Seguridad
Por otra parte, dentro de esta ley se recoge las obligaciones de las empresas proveedores de
servicios intermedios como los proveedores de acceso a Internet y los servidores de correo
electrnico. En ambos casos estas empresas estn obligadas a comunicar a los clientes cualquier
medida de seguridad que se apliquen sobre los servicios que proporcionan. En el caso de los
proveedores de acceso a Internet adems deben informar a los clientes sobre todos los medios
tcnicos existentes que les protegen frente las diversas amenazas de la seguridad en Internet as
como las herramientas que permiten el filtrado de contenidos no deseados. As mismo deben
informar a los clientes sobre las posibles responsabilidades que pueden incurrir por el uso de
Internet con fines ilcitos.
P g i n a 7 | 10
Seguridad Unidad 1: El Problema de la Seguridad
Reflejar en las polticas de la empresa la prohibicin del uso de software de forma ilegal as
como las sanciones asociadas por este comportamiento.
Proporcionar a los empleados de la organizacin el software necesario.
Distribuir e instalar aplicaciones mediante mecanismos automticos de control como por
ejemplo Active Directory en sistemas Windows, evitando que los usuarios instalen
aplicaciones por su cuenta.
Monitorizar el uso de la cuota de disco por parte de los usuarios y registrar los ficheros y
carpetas que ocupan gran cantidad de espacio en disco, ya que son los ms propensos a
tratarse de ficheros multimedia.
Utilizar mecanismos de bloqueo o filtrado de sitios web de descarga directa.
Restringir el uso de USB en los equipos de la red de la organizacin.
Organizar sesiones formativas para concienciar del uso de software licenciado, las
consecuencias negativas del uso de software pirata as como para informar de los diferentes
sistemas de licencias software a los empleados.
La aplicacin del Esquema Nacional de Seguridad por tanto define el siguiente proceso:
P g i n a 8 | 10
Seguridad Unidad 1: El Problema de la Seguridad
Imagen obtenida de https://administracionelectronica.gob.es/ctt/ens#.WHYmy31SUoc
Como vemos para cada uno de los pasos se han desarrollado una serie de guas que pueden
consultarse en la web del Centro Criptologco Nacional (https://www.ccn-cert.cni.es/guias/guias-
series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html)
Derecho al secreto de las comunicaciones. Existe gran debate sobre este derecho y la
privacidad del correo electrnico de los trabajadores de organizaciones. Ya en 2003
encontramos sentencias en esta aspecto que permite a los empresarios monitorizar el
correo electrnico de los trabajadores, aunque se puntualiza las circunstancias que se deben
cumplir para no vulnerar este derecho (ver el artculo
http://sociedad.elpais.com/sociedad/2013/10/09/actualidad/1381308839_163115.html)
Derecho a la vida privada. Dentro de este derecho a parte de regular el derecho a la
intimidad, la vida privada, el derecho al honor y la propia imagen nos encontramos la
limitacin del uso de la informtica. Por ejemplo no se consideran carpetas personales
aquellas que un sistema operativo crea por defecto en su instalacin, como la cuenta del
administrador de los sistemas operativos. Pero debemos tener cuidado con otras cuentas as
como su directorio de ficheros personales, ya que podramos vulnerar este derecho al
acceder a ficheros que contengan informacin personal.
Derecho fundamental a la proteccin de los datos, separando el derecho a la intimidad de la
proteccin de datos, que como ya hemos visto luego se ve reflejado en la LOPD.
Como cualquier delito, los delitos informticos se ven tambin afectados por el Cdigo Penal
(https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444) espaol. Dentro del Cdigo Penal nos
encontramos todas las actividades que se consideran delitos. En particular, e la Ley Orgnica 5/2010,
de 22 de junio, se modific el Cdigo Penal para aadir delitos asociados a la ciberseguridad. En esta
norma aparece la definicin de delito informtico como:
"En el marco de los denominados delitos informticos, para cumplimentar la Decisin Marco
2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de informacin, se
ha resuelto incardinar las conductas punibles en dos apartados diferentes, al tratarse de bienes
jurdicos diversos.
El primero, relativo a los daos, donde quedaran incluidas las consistentes en daar, deteriorar,
alterar, suprimir o hacer inaccesibles datos o programas informticos ajenos, as como obstaculizar o
interrumpir el funcionamiento de un sistema informtico ajeno.
P g i n a 9 | 10
Seguridad Unidad 1: El Problema de la Seguridad
El segundo apartado se refiere al descubrimiento y revelacin de secretos, donde estara
comprendido el acceso sin autorizacin vulnerando las medidas de seguridad a datos o programas
informticos contenidos en un sistema o en parte del mismo."
Dentro de esta reforma, a parte de la aparicin de los delitos informticos como tal (por ejemplo los
ataques de Denegacin de Servicio, las intrusiones en sistemas informticos, defraudacin
informtica, piratera informtica, ); tambin se regula la responsabilidad penal de la empresas en
base a los delitos relacionados con la ciberseguridad por delitos cometidos por sus empleados desde
las instalaciones de la empresa, por delitos cometidos por la falta implantacin de medidas de
seguridad en los sistemas informticos de la empresa o bien por el incumplimiento de la legislacin
asociada (como por ejemplo la LOPD).
Bibliografa
Cdigo de Derecho de la Ciberseguridad :
https://www.boe.es/legislacion/codigos/codigo.php?id=173&modo=1¬a=0&tab=2
Esquema nacional de seguridad: https://administracionelectronica.gob.es/ctt/ens
P g i n a 10 | 10