Curso Inteco Seguridad

(1)

Módulo 1: Conceptos básicos sobre seguridad de la

información

La seguridad de la información cuenta con

La seguridad de la información cuenta con numerosos vocablos que no son de usonumerosos vocablos que no son de uso cotidiano y que

cotidiano y que dificultan a veces el dificultan a veces el entendimiento de los conceptos. Ventendimiento de los conceptos. Vamos a clarificaramos a clarificar en primer lugar estos términos para que los distintos aspectos que se van a tratar sean en primer lugar estos términos para que los distintos aspectos que se van a tratar sean fácilmente comprensibles.

fácilmente comprensibles.

Las secciones de este capítulo son: Las secciones de este capítulo son:



 Conceptos básicos.Conceptos básicos. 

 Evaluación.Evaluación.

Conceptos básicos

¿Qué entendem

¿Qué entendemos por seguridad de os por seguridad de la información?la información?

ara comprender qué es la seguridad de

ara comprender qué es la seguridad de la información! en primer la información! en primer lugar! debemoslugar! debemos conocer que la información en este área es referida a los activos de información " es conocer que la información en este área es referida a los activos de información " es decir! los datos por supuesto! pero también los equipos! las

decir! los datos por supuesto! pero también los equipos! las aplicacionesaplicaciones! las personas!! las personas! que se utili#an para crear! gestionar! trasmitir y destruir la

que se utili#an para crear! gestionar! trasmitir y destruir la información$! que tienen uninformación$! que tienen un valor para la

valor para la organi#acorgani#ación.ión.

En las comple%as organi#aciones de &oy en d'a! se

En las comple%as organi#aciones de &oy en d'a! se recogen! gestionan y transmitenrecogen! gestionan y transmiten multitud de datos a

multitud de datos a través de diferentes medios! a muc&a través de diferentes medios! a muc&a gente! y todas las accionesgente! y todas las acciones relacionadas con ello pueden necesitar protección.

relacionadas con ello pueden necesitar protección. (o se debe c

(o se debe confundir la seguridaonfundir la seguridad de la informaciód de la información con la seguridad n con la seguridad informática yainformática ya que la seguridad de la

que la seguridad de la información abarca muc&as más áreas mientras que la información abarca muc&as más áreas mientras que la seguridadseguridad informática se encarga de la protección de las

informática se encarga de la protección de las infraestructuras )*C que soportan elinfraestructuras )*C que soportan el negocio. or tanto la seguridad de

negocio. or tanto la seguridad de la información abarca la seguridad informática.la información abarca la seguridad informática. La seguridad de la información! por tanto! se puede definir como la protección de la La seguridad de la información! por tanto! se puede definir como la protección de la confidencialidad

confidencialidad! integridad y ! integridad y disponibilidad de los activos de información seg+n seadisponibilidad de los activos de información seg+n sea necesario para alcan#ar los ob%etivos de negocio de la

necesario para alcan#ar los ob%etivos de negocio de la organi#aorgani#ación.ción. Estos tres parámetros básicos de la

Estos tres parámetros básicos de la seguridad se definen como:seguridad se definen como: Confdencialidad:

Confdencialidad:

A la

A la información sólo pueden acceder las información sólo pueden acceder las personas autorizadas para ello.personas autorizadas para ello.

Integridad: Integridad:

La información ha de

La información ha de estar completa y correcta en todo momento.estar completa y correcta en todo momento.

Disponibilidad: Disponibilidad:

La información está lista para acceder a

(2)

,ependiendo de los modelos utili#ados o de las

,ependiendo de los modelos utili#ados o de las necesidadenecesidades del s del negocio! también sonnegocio! también son parámetros a tene

parámetros a tener en cuenta:r en cuenta: Autencidad

Autencidad

La información es lo que dice ser o

La información es lo que dice ser o el transmisor de la información es quien dice serel transmisor de la información es quien dice ser..

Trazabilidad Trazabilidad

Poder asegurar en todo moment

Poder asegurar en todo momento quién hizo qué y o quién hizo qué y en cuando lo hizo.en cuando lo hizo.

En cualquier organi#ación e-isten datos de clientes o usuarios! esta información necesita En cualquier organi#ación e-isten datos de clientes o usuarios! esta información necesita protección:

protección:



 Si accediera a ella alguien de Si accediera a ella alguien de la competencia podrÍa ulizarla para conseguir ene!ciosla competencia podrÍa ulizarla para conseguir ene!cios

económicos" o ien denunciar a la organización ante la Agencia de Protección de #atos económicos" o ien denunciar a la organización ante la Agencia de Protección de #atos para que se le impusiera una multa si se demuestra que se $ulneró la Ley de Protección para que se le impusiera una multa si se demuestra que se $ulneró la Ley de Protección de #atos de %arácter Per

de #atos de %arácter Personal" o pulicarla en la sonal" o pulicarla en la prensa para da&ar la imagen de laprensa para da&ar la imagen de la organiz

organización. 'n ación. 'n fallo de con!dencialidad puede ser fallo de con!dencialidad puede ser tremendamentremendamente da&ino.te da&ino.



 Si la Si la información se corrompe" se podr(an en$iar cartas o información se corrompe" se podr(an en$iar cartas o facturas errónefacturas erróneas a as a loslos

clientes" con la confusión y las que)as de los afectados que acarrear(a" más el traa)o y clientes" con la confusión y las que)as de los afectados que acarrear(a" más el traa)o y el empo que har(a

el empo que har(a que emplear para corregir los que emplear para corregir los errores y restaurerrores y restaurar a ar a su estadosu estado correcto la información. *ue la

correcto la información. *ue la información permanezinformación permanezca Íntegra en todo momento esca Íntegra en todo momento es más importante de lo que a primera $ista pueda parecer.

más importante de lo que a primera $ista pueda parecer.



 Si el equipo en el Si el equipo en el que reside esta informque reside esta información se estropea y no se puede acceder a ación se estropea y no se puede acceder a ella"ella"

simplement

simplemente no e no se puede funcionarse puede funcionar" no se " no se puede dar ser$icio" lo puede dar ser$icio" lo que implica que seque implica que se de)a de ganar dinero y en casos e+tremos se puede perder" si el cliente decide de)a de ganar dinero y en casos e+tremos se puede perder" si el cliente decide marcharse y adquirir el ser$icio

marcharse y adquirir el ser$icio en otro pro$eedoren otro pro$eedor. 'n . 'n fallo de disponiilidad enefallo de disponiilidad ene siempre un impacto económico directo en la

siempre un impacto económico directo en la organizorganización" por ación" por le$e que sea" ya que le$e que sea" ya que sese de)a de traa)ar

de)a de traa)ar" hay una " hay una parte de la organización que ha parte de la organización que ha parado" por lo que parado" por lo que ha de)adoha de)ado de generar ene!cio.

(3)

¿Qué es un fallo de seguridad?

¿Qué es un fallo de seguridad? n fallo de

n fallo de seguridad es cualquier incidente que la compromete! es decir seguridad es cualquier incidente que la compromete! es decir que pone enque pone en peligro cualquiera d

peligro cualquiera de los parámetros ce los parámetros con los que se on los que se valora la seguridavalora la seguridad: lad: la confidencialidad

confidencialidad! la ! la disponibilidad o la integridad de disponibilidad o la integridad de la información. Con la la información. Con la actualactual comple%idad de los sistemas de información! con una

comple%idad de los sistemas de información! con una econom'a y un comercio que seeconom'a y un comercio que se basan en inte

basan en intercambios y comunrcambios y comunicaciones a lo laicaciones a lo largo y anc&o rgo y anc&o del mundo! con del mundo! con un n+meroun n+mero creciente de usuarios que no sólo se

creciente de usuarios que no sólo se conectan desde dentro sino también desde fuera deconectan desde dentro sino también desde fuera de la organi#ación! es fácil &acerse una idea del

la organi#ación! es fácil &acerse una idea del reto que presenta evitar que sucedan cosasreto que presenta evitar que sucedan cosas como:

como:



 ,allos en las comunicaciones.,allos en las comunicaciones. 

 ,allos en el suministro eléctrico.,allos en el suministro eléctrico. 

 ,allos humanos de ,allos humanos de usuarios internos" usuarios e+ternos" administradores"usuarios internos" usuarios e+ternos" administradores"

programadores" etc. programadores" etc.



 ,allos en los sistemas de información- redes" aplicaciones" equipos" etc.,allos en los sistemas de información- redes" aplicaciones" equipos" etc. 

 irus informácos" gusanos" troyanos" etc. que inundan la red.irus informácos" gusanos" troyanos" etc. que inundan la red. 

 Accesos no autorizados a los sistemas o la información.Accesos no autorizados a los sistemas o la información. 

 /ncumplimiento de una ley o /ncumplimiento de una ley o un reglamento.un reglamento.

Los fallos de seguridad son ocasionados muc&as veces por la

Los fallos de seguridad son ocasionados muc&as veces por la errónea percepción de queerrónea percepción de que si la seguridad física

si la seguridad física está ra#onablemente aseguradestá ra#onablemente asegurada! no tiene a! no tiene por qué &aber problemas.por qué &aber problemas. / que protegiendo +nicamente las aplicaciones y las bases de

/ que protegiendo +nicamente las aplicaciones y las bases de datos ya está garanti#adadatos ya está garanti#ada la seguridad. Con esos supuestos se de%an desprotegidas muc&as áreas de la

la seguridad. Con esos supuestos se de%an desprotegidas muc&as áreas de la organi#a

organi#ación! muc&os activos de ción! muc&os activos de información que pueden ser información que pueden ser fácilmente da0ados ofácilmente da0ados o destruidos! ya que no se &an

destruidos! ya que no se &an tenido en cuenta todos los aspectos de tenido en cuenta todos los aspectos de la seguridad de lala seguridad de la información: la seguridad f'sica! la

información: la seguridad f'sica! la seguridad lógica y las medidas organi#ativas.seguridad lógica y las medidas organi#ativas.

¿Qué son los Sistemas de Gestión de la Seguridad de la Información (

¿Qué son los Sistemas de Gestión de la Seguridad de la Información (SGSI)?SGSI)?

1asta a&ora lo más com+n &a

1asta a&ora lo más com+n &a sido ir parc&eando los agu%eros de seguridad con sido ir parc&eando los agu%eros de seguridad con medidasmedidas puntuales! desc

puntuales! descoordinadas y oordinadas y poco proporcionapoco proporcionadas al riesgo que das al riesgo que reducen. 2e trareducen. 2e trata deta de medidas cuya implantación y efectividad no son llevadas a

medidas cuya implantación y efectividad no son llevadas a cabo y controladas decabo y controladas de manera planificada. El resultado es obvio! se

manera planificada. El resultado es obvio! se siguen manteniendo altos niveles de riesgosiguen manteniendo altos niveles de riesgo frente a las

frente a las amena#asamena#as.. )

)odos estos incidentes que odos estos incidentes que amena#an la seguridad de la amena#an la seguridad de la información requieren! cada d'ainformación requieren! cada d'a más! de sistemas de gestión acordes con el valor de la propia información y de los

más! de sistemas de gestión acordes con el valor de la propia información y de los sistemas informáticos que los tratan. Las directrices! procedimientos y

sistemas informáticos que los tratan. Las directrices! procedimientos y controles decontroles de seguridad que se utili#an para gestionar esta seguridad es

seguridad que se utili#an para gestionar esta seguridad es lo que conocemos por 2istemalo que conocemos por 2istema de 3estión de 2eguridad de la *nformación o 232*.

de 3estión de 2eguridad de la *nformación o 232*. ,e una manera más estricta!

,e una manera más estricta! un 2istema de 3estión de 2eguridad de un 2istema de 3estión de 2eguridad de la *nformación esla *nformación es aquella parte del sistema general de

aquella parte del sistema general de gestión de una organi#ación que comprende:gestión de una organi#ación que comprende:



 la pol(ca.la pol(ca. 

(4)



 los los procedimientprocedimientos.os. 

 los procesos ylos procesos y 

 los recursos necesarios"los recursos necesarios" para implantar la ges

para implantar la gestión de la seguridatión de la seguridad de la informacd de la información.ión. Con un sistema de gestión de

Con un sistema de gestión de seguridad de la información nos aseguraremos de cubrirseguridad de la información nos aseguraremos de cubrir todos los aspectos de

todos los aspectos de seguridad tomando medidas encaminadas a reducir paulatinamenteseguridad tomando medidas encaminadas a reducir paulatinamente los riesgos a los

los riesgos a los que la organi#ación se enfrente.que la organi#ación se enfrente. 4 pesar de lo que puede parecer en un

4 pesar de lo que puede parecer en un principio! la definición e implantación de principio! la definición e implantación de unun 232* no deber'a ser ni

232* no deber'a ser ni un coste ni un un coste ni un esfuer#o relevantes! má-ime teniendo en cuentaesfuer#o relevantes! má-ime teniendo en cuenta los beneficios que conlleva. n 232*

los beneficios que conlleva. n 232* debe a%ustarse tanto a los debe a%ustarse tanto a los requisitos del negociorequisitos del negocio como a los recursos disponibles y

como a los recursos disponibles y debe solucionar los problemas que tiene planteados eldebe solucionar los problemas que tiene planteados el negocio pero siempre dentro de lo

negocio pero siempre dentro de lo ra#onable en cuanto a esfuer#os y costes.ra#onable en cuanto a esfuer#os y costes. Como cualquier sistema de gestión! el

Como cualquier sistema de gestión! el 232* debe ayudar a conseguir los 232* debe ayudar a conseguir los ob%etivos de laob%etivos de la organi#a

organi#ación! no convertirse en ción! no convertirse en un impedimento para ello.un impedimento para ello. n 232* contiene en primer

n 232* contiene en primer lugar! las pautas que se van a seguir lugar! las pautas que se van a seguir en la organi#aciónen la organi#ación para garanti#a

para garanti#ar la seguridad de la infor la seguridad de la información y las responrmación y las responsabilidades de csabilidades de cada cual alada cual al respecto.

respecto.

El 232* recoge los ob%etivos que se pretenden obtener y los medios con que se va a El 232* recoge los ob%etivos que se pretenden obtener y los medios con que se va a contar para ello. ara determinar

contar para ello. ara determinar ambas cosas! se reali#a un análisis de ambas cosas! se reali#a un análisis de riesgos que da lariesgos que da la medida de &asta qué punto los

medida de &asta qué punto los activos están e-puestos a que les ocurran fallos activos están e-puestos a que les ocurran fallos dede seguridad y cuál ser'a el

seguridad y cuál ser'a el impacto en caso de que lleguen a impacto en caso de que lleguen a ocurrirocurrir..

Con esa información se establece el punto de partida! cual es el estado en el que está la Con esa información se establece el punto de partida! cual es el estado en el que está la seguridad y se decide cual se

seguridad y se decide cual se pretende conseguirpretende conseguir! así como ! así como cual es el ob%etivo para cual es el ob%etivo para unun periodo de tiempo d

periodo de tiempo determinado. eterminado. 4 4 partir de a&'! se departir de a&'! se deciden las accciden las acciones a tomar paraiones a tomar para reducir esos riesgos al nivel que se decidido que sea el ob%etivo. or e%emplo! si se &a reducir esos riesgos al nivel que se decidido que sea el ob%etivo. or e%emplo! si se &a averiguado que un determinado servidor es un activo

averiguado que un determinado servidor es un activo e-puesto a un gran riesgo y e-puesto a un gran riesgo y debedebe estar funcionando 56 &oras al d'a! para reducir el riesgo de que se pare! puede ser estar funcionando 56 &oras al d'a! para reducir el riesgo de que se pare! puede ser necesario instalar un 24* o

necesario instalar un 24* o incluso una l'nea alternativa de incluso una l'nea alternativa de suministro eléctrico! reali#ar suministro eléctrico! reali#ar un mantenimiento e-&austivo mensual! instalar un equipo duplicado de manera que si un mantenimiento e-&austivo mensual! instalar un equipo duplicado de manera que si falla uno el otro siga funcionando! etc.

falla uno el otro siga funcionando! etc.

Las acciones que se tomen deben documentarse dentro del 232*!

Las acciones que se tomen deben documentarse dentro del 232*! mediantemediante procedimientos y pla

procedimientos y planes para su nes para su e%ecución.e%ecución.

or tanto definiremos un 2istema de 3estión de 2eguridad de la información "232*$ or tanto definiremos un 2istema de 3estión de 2eguridad de la información "232*$ como la manera en la

como la manera en la que una organi#aciónque una organi#ación conoceconoce los los riesgosriesgos a los que está sometida a los que está sometida

su

suinformacióninformación y los y los gestionagestiona mediante una mediante una sistemáticasistemática definida! documentada y definida! documentada y

conocida por todos!

(5)

Módulo 2: La seguridad y su justificación desde el

punto de vista del negocio

Los motivos por los que la seguridad debe formar parte de la agenda de cualquier Los motivos por los que la seguridad debe formar parte de la agenda de cualquier organi#a

organi#ación! independientemente de su sector ción! independientemente de su sector económico o de su económico o de su tama0o! son muc&ostama0o! son muc&os y variados! algunos de los cuales se

y variados! algunos de los cuales se pueden leer en la pueden leer en la prensa con muc&a frecuencia:prensa con muc&a frecuencia: fraudes electrónicos! casos de p&ising en la banca! filtraciones no

fraudes electrónicos! casos de p&ising en la banca! filtraciones no deseadas dedeseadas de información o de datos personales! cortes en las

información o de datos personales! cortes en las comunicacioncomunicaciones! etc.es! etc.

Los per%uicios que ocasionan los incidentes de seguridad son! cuando menos! Los per%uicios que ocasionan los incidentes de seguridad son! cuando menos! incómodos y en

incómodos y en muc&os casos económicamente gravosos: paradas de producción!muc&os casos económicamente gravosos: paradas de producción! pérdidas de clie

pérdidas de clientes! pérdida de rentes! pérdida de reputación! etc.putación! etc. 2eg+n el +ltimo Estudio sobre

2eg+n el +ltimo Estudio sobre sector de la seguridad )*C en sector de la seguridad )*C en Espa0a del *()EC/! másEspa0a del *()EC/! más del

del 778 de las 9E2 &an tenido incid778 de las 9E2 &an tenido incidencias de seguridad: troyaencias de seguridad: troyanos informáticosnos informáticos "77!;8$! virus "65!78$ y

"77!;8$! virus "65!78$ y recepción de correo no deseado "6<!;8$.recepción de correo no deseado "6<!;8$. ara decirlo de una manera

ara decirlo de una manera breve! =se puede permitir la breve! =se puede permitir la organi#aorgani#ación no proteger sución no proteger su información>.

información>.

En respuesta a esta pregunta en este

En respuesta a esta pregunta en este módulo se van a ver módulo se van a ver los siguientes contenidos:los siguientes contenidos:



 *mportancia de la seguridad para el *mportancia de la seguridad para el negocio.negocio. 

 ?eneficios.?eneficios. 

 Evaluación.Evaluación. 



Importancia de la seguridad para el negocio



 En un país en En un país en el que todavía &acen falta el que todavía &acen falta planes de concienciación y campa0as deplanes de concienciación y campa0as de promoción para in

promoción para informati#ar a las 9E2! formati#ar a las 9E2! y la implantación de y la implantación de las medidas delas medidas de seguridad establecida

seguridad establecidas por la s por la L/, dista muc&o a+n de L/, dista muc&o a+n de &aber sido llevada a&aber sido llevada a cabo en el <@@8! =qué

cabo en el <@@8! =qué puede impulsar a una organi#ación a implantar unpuede impulsar a una organi#ación a implantar un 2istema de 3estión de 2eguridad de la

2istema de 3estión de 2eguridad de la *nformación>*nformación> 

 Las 9E2 tienen que enfrentarse como siempre a Las 9E2 tienen que enfrentarse como siempre a las limitaciones delas limitaciones de presupuesto! y

presupuesto! y a la falta de cona la falta de conocimientos y de cocimientos y de concienciación a oncienciación a la &ora dela &ora de afrontar nuevos retos. El &ec&o de que la seguridad de la información tenga un afrontar nuevos retos. El &ec&o de que la seguridad de la información tenga un importante componente tecnológic

importante componente tecnológico agrava estas limitaciones! ya que o agrava estas limitaciones! ya que se percibese percibe como un área e-tra0a que se

como un área e-tra0a que se de%a en manos de e-pertos! &abitualmente a%enos yde%a en manos de e-pertos! &abitualmente a%enos y que no conocen el negocio y

que no conocen el negocio y las implicaciones que tiene su traba%o en las implicaciones que tiene su traba%o en dic&odic&o negocio.

negocio. 

 La seguridad de la información sin La seguridad de la información sin embargembargo! es un o! es un tema directamentetema directamente relacionado con la supervivencia del negocio y con el

relacionado con la supervivencia del negocio y con el aseguramiento de losaseguramiento de los ingresos. ara un banco sería dramático que le

ingresos. ara un banco sería dramático que le fallaran sus sistemas informáticosfallaran sus sistemas informáticos por unos minuto

por unos minutos! pero tienen la cas! pero tienen la capacidad de evpacidad de evitarlo! y en su caitarlo! y en su caso! deso! de solucionarlo. ara una 9E! un simple f

solucionarlo. ara una 9E! un simple fallo de energía de unas &oras puedeallo de energía de unas &oras puede ocasionar un trastorno importante!

(6)

económicas

económicas! ya que ! ya que se podría parar la se podría parar la actividad y se perderían encargos o ventas.actividad y se perderían encargos o ventas. En caso de desastre "incendio o r

En caso de desastre "incendio o robo! no &ace falta pensar en obo! no &ace falta pensar en ataques terroristasataques terroristas o &uracanes$ puede significar incluso el cierre

o &uracanes$ puede significar incluso el cierre a corto pla#o del a corto pla#o del negocio.negocio. 

 uesto que! a pesar de nuestro uesto que! a pesar de nuestro retraso tecnológico! &oy el ordenador ya &aretraso tecnológico! &oy el ordenador ya &a sustituido a la máquina de escribir y el correo electrónico se impone al sustituido a la máquina de escribir y el correo electrónico se impone al tradicional! los problemas asociados a estos avances también &an llegado. tradicional! los problemas asociados a estos avances también &an llegado. (uevas tecno

(uevas tecnologías "informática móvil! relogías "informática móvil! redes inalámbricasdes inalámbricas! memorias 2?! etc.! memorias 2?! etc.$$ van incorporándose progresivamente a los negocios debido

van incorporándose progresivamente a los negocios debido a sus evidentesa sus evidentes venta%as! pero llevan apare%ados riesgos que no se consideran. 2i además la venta%as! pero llevan apare%ados riesgos que no se consideran. 2i además la empresa tiene empleados! su negocio corre

empresa tiene empleados! su negocio corre un riesgo a+n un riesgo a+n mayormayor.. 

 Como se mencionaba en la *ntroducción! al menos el 77 8 de las empresas &aComo se mencionaba en la *ntroducción! al menos el 77 8 de las empresas &a tenido alg+n incidente de seguridad relevante. Es decir! que el riesgo

tenido alg+n incidente de seguridad relevante. Es decir! que el riesgo e-iste! y noe-iste! y no es en absoluto despreciable. 4de

es en absoluto despreciable. 4demás &ay que tener en más &ay que tener en cuenta que! a pesar de quecuenta que! a pesar de que los ataques a sistemas informáticos reciben en muc&os casos una tr

los ataques a sistemas informáticos reciben en muc&os casos una tremendaemenda publicidad! e-is

publicidad! e-iste un considerabte un considerable porcenta%e de inle porcenta%e de incidentes con origecidentes con origen interno! esn interno! es decir! ocasion

decir! ocasionados por alg+n empleado y que! a ados por alg+n empleado y que! a pesar de no contar &abitualmentepesar de no contar &abitualmente con una gran difusión! son potencialmente mas da0inos por

con una gran difusión! son potencialmente mas da0inos por el conocimiento deel conocimiento de primera mano que

primera mano que tienen los que lotienen los que los generan. Es ds generan. Es decir! puecir! pueden entrar en loseden entrar en los sistemas con facilidad! saben dónde está la información más

sistemas con facilidad! saben dónde está la información más +til o que +til o que puede serpuede ser utili#ada para &acer da0o a

utili#ada para &acer da0o a la organi#aciónla organi#ación! o ! o simplemente sacan informaciónsimplemente sacan información que en caso de pérdida o

que en caso de pérdida o filtración puede ocasionar problemas.filtración puede ocasionar problemas.

  

 Los incidentes! desde una simple infección por virus Los incidentes! desde una simple infección por virus a una venta de informacióna una venta de información interna a la

interna a la competencia o a un desastre como el competencia o a un desastre como el incendio del Aindsincendio del Aindsor! tienen unor! tienen un coste económico directo que &ay que valorar: tiempos

coste económico directo que &ay que valorar: tiempos de parada! activosde parada! activos da0ados o perdidos! cese del lucro entrante! sanciones administrativas o da0ados o perdidos! cese del lucro entrante! sanciones administrativas o

contractuales! etc. Los costes indirectos pueden ser incluso más graves: pérdidas contractuales! etc. Los costes indirectos pueden ser incluso más graves: pérdidas de clientes a medio pla#o! pérdida

de clientes a medio pla#o! pérdida de reputación! etc.de reputación! etc. 

 El cumplimiento de la El cumplimiento de la legislación "principalmente la L/,$ está propagando lalegislación "principalmente la L/,$ está propagando la idea de que la información debe ser protegida so pena de incurrir en faltas que se idea de que la información debe ser protegida so pena de incurrir en faltas que se pagan con mu

pagan con multas bastante eleltas bastante elevadas. vadas. 99a que el princa que el principio es el mismo! deipio es el mismo! detectartectar qué es importante "para la

qué es importante "para la L/, los datos personales! para la organi#ación elL/, los datos personales! para la organi#ación el fic&ero de clientes! por e%emplo$!

fic&ero de clientes! por e%emplo$! se podría aprovec&ar esta preocupación parase podría aprovec&ar esta preocupación para e-tender la protección al resto

e-tender la protección al resto de los activos de información de los activos de información de la empresa.de la empresa. 

 2iempre e-iste el! por supuesto %ustificado! temor 2iempre e-iste el! por supuesto %ustificado! temor de los costes de afrontar de los costes de afrontar esteeste tipo de proyectos. 1ay que tener muy presente que ninguna ley ni norma va a tipo de proyectos. 1ay que tener muy presente que ninguna ley ni norma va a e-igir un nivel de

e-igir un nivel de seguridad por encima de los que seguridad por encima de los que las necesidades y los recursoslas necesidades y los recursos disponibles en la

disponibles en la organi#aorgani#ación requiera! porque ción requiera! porque lógicamente! las necesidades delógicamente! las necesidades de seguridad "y el presupuesto! no lo vamos a negar$ de la asesoría que lleva la seguridad "y el presupuesto! no lo vamos a negar$ de la asesoría que lleva la contabilidad no son comparables a las de

contabilidad no son comparables a las de la 4gencla 4gencia Espacial Europea! poria Espacial Europea! por e%emplo.

e%emplo. 

 Contar con un sistema de Contar con un sistema de gestión permite ordenar las actividades de lagestión permite ordenar las actividades de la organi#a

organi#ación y dirigirlas ción y dirigirlas &acia el ob%etivo que &acia el ob%etivo que la empresa busca. Esto a veces sela empresa busca. Esto a veces se ve como un impedimento para el desarrollo de las actividades de la

ve como un impedimento para el desarrollo de las actividades de la organi#a

(7)

requieren los tiempos y las

requieren los tiempos y las particularidades del sector económico en el que separticularidades del sector económico en el que se encuentre la organi#ación. 2in embarg

encuentre la organi#ación. 2in embargo! lo o! lo que se pretende con un sistema deque se pretende con un sistema de gestión es precisamente evitar que tengamos que reaccionar ante &ec&os que gestión es precisamente evitar que tengamos que reaccionar ante &ec&os que podrían &aber sido

podrían &aber sido previstos y geprevistos y gestionados adecstionados adecuadamente anteuadamente antes de que llegas de que llegaranran a ser un problema. Evitar problemas es una manera muy barata de a&orrar

a ser un problema. Evitar problemas es una manera muy barata de a&orrar costes. Como tantos otros aspectos de la

costes. Como tantos otros aspectos de la gestión de cualquier organi#acióngestión de cualquier organi#ación! la! la clave está en adoptar una solución proporcionada a las

clave está en adoptar una solución proporcionada a las necesidadenecesidades del negocio.s del negocio.

eneficios

E-isten numerosas e importantes ra#ones para afrontar el

E-isten numerosas e importantes ra#ones para afrontar el desarrollo y la implantacióndesarrollo y la implantación de un 2istema de 3estión

de un 2istema de 3estión de la 2eguridad:de la 2eguridad:



 !educción de costes"!educción de costes" Esta debería ser una de las principales motivaciones para Esta debería ser una de las principales motivaciones para llevar a cabo la implantación de un 232*! ya que incide directamente sobre la llevar a cabo la implantación de un 232*! ya que incide directamente sobre la rentabilidad económica de una organi#ación

rentabilidad económica de una organi#ación. (o suele . (o suele serlo porque lo que serlo porque lo que se vese ve en un principio es

en un principio es el coste del mismo! el coste del mismo! sin embargo! en un breve pla#o! se puedesin embargo! en un breve pla#o! se puede observar como el 232* evita

observar como el 232* evita varias situaciones que suponen un coste! a vecesvarias situaciones que suponen un coste! a veces importante. 4l detecta

importante. 4l detectar los r los principales focos de fallos y principales focos de fallos y errores! y eliminarlos oerrores! y eliminarlos o reducirlos &asta donde es posible! se evitan costosos incidentes de seguridad! reducirlos &asta donde es posible! se evitan costosos incidentes de seguridad! que &asta entonces se asumían como cosas que pasan. 4 veces se evitan que &asta entonces se asumían como cosas que pasan. 4 veces se evitan incidentes que &ubieran ocurrido de no &aber

incidentes que &ubieran ocurrido de no &aber tomado las medidas a tiempo! ytomado las medidas a tiempo! y eso es difícil de cuantificar! pero no por ello es menos real. 4 veces los

eso es difícil de cuantificar! pero no por ello es menos real. 4 veces los beneficios sur

beneficios surgen de manegen de manera imprevista! como la ra imprevista! como la reducción de preducción de primas de segurosrimas de seguros en algunas póli#as debido a la

en algunas póli#as debido a la %ustificación de la protección de los %ustificación de la protección de los activosactivos asegurados.

asegurados. 

 #ptimi$ar los recursos y las inversiones en tecnolog%a"#ptimi$ar los recursos y las inversiones en tecnolog%a"Con un 232* lasCon un 232* las decisiones se tomarán en base a información fiable

decisiones se tomarán en base a información fiable sobre el estado de lossobre el estado de los sistemas de información y a

sistemas de información y a los ob%etivos de la los ob%etivos de la organi#organi#ación. 1abrá unaación. 1abrá una motivación de negocio detrás de estas decisiones! por lo

motivación de negocio detrás de estas decisiones! por lo que la dirección podráque la dirección podrá comprenderlas y apoyarlas de manera más consciente. La organi#ación de%ará de comprenderlas y apoyarlas de manera más consciente. La organi#ación de%ará de depender e-clusivame

depender e-clusivamente de la nte de la e-periencia o pericia del responsable dee-periencia o pericia del responsable de informática! o más peligroso a+n! del proveedor &abitual de informática! a la informática! o más peligroso a+n! del proveedor &abitual de informática! a la &ora de valorar las

&ora de valorar las distintas opciones de compra.distintas opciones de compra. 

 &rotección del negocio"&rotección del negocio" Con un 232* en marc&a se evitan interrupciones en el Con un 232* en marc&a se evitan interrupciones en el flu%o de ingresos! ya que

flu%o de ingresos! ya que se está asegurando de una manera efica# lase está asegurando de una manera efica# la disponibilidad de los activos de información y! por lo tanto!

disponibilidad de los activos de información y! por lo tanto! de los servicios quede los servicios que la organi#ación ofrece. Esto en cuanto a la

la organi#ación ofrece. Esto en cuanto a la actividad cotidiana! pero también seactividad cotidiana! pero también se está preparado para recuperarse ante incidentes más o menos graves e

está preparado para recuperarse ante incidentes más o menos graves e inclusoincluso garanti#ar la continuidad del negocio! afrontando un desastre sin

garanti#ar la continuidad del negocio! afrontando un desastre sin que peligre elque peligre el negocio a largo pla#o.

negocio a largo pla#o. 

 Mejora de la competitividad"Mejora de la competitividad" Cualquier me%ora en la Cualquier me%ora en la gestión de la organi#acióngestión de la organi#ación redunda en beneficio de la eficacia

redunda en beneficio de la eficacia y la eficiencia de y la eficiencia de la misma! &aciéndola másla misma! &aciéndola más competitiva. 4

competitiva. 4demás &ay que considerar el impacto que demás &ay que considerar el impacto que suponen el aumento desuponen el aumento de la confian#a de los clientes en

la confian#a de los clientes en nuestro negocio! la diferenciación frente a losnuestro negocio! la diferenciación frente a los competidores y una me%or preparación para asumir

(8)



 Cumplimiento legal y reglamentario"Cumplimiento legal y reglamentario" Cada ve# son Cada ve# son más numerosas las leyes!más numerosas las leyes! reglamentos y normativas que tienen implicaciones en la

reglamentos y normativas que tienen implicaciones en la seguridad de laseguridad de la

información. 3estionando de manera coordinada la seguridad tenemos un marco información. 3estionando de manera coordinada la seguridad tenemos un marco donde incorporar los nuevos requisitos y poder demostrar ante

donde incorporar los nuevos requisitos y poder demostrar ante los organismoslos organismos correspondiente

correspondientes el cumplimiento de s el cumplimiento de los mismos.los mismos. 

 Mantener y mejorar la imagen corporativa"Mantener y mejorar la imagen corporativa" Los clientes percibirán la Los clientes percibirán la organi#a

organi#ación como una ción como una empresa responsable! comprometida con la me%ora empresa responsable! comprometida con la me%ora dede sus procesos! productos y servicios. ,ebido a la

sus procesos! productos y servicios. ,ebido a la e-posición de cualquiere-posición de cualquier organi#a

organi#ación a un ción a un fallo de seguridad que pueda acabar en fallo de seguridad que pueda acabar en la prensa! este puntola prensa! este punto puede ser un

puede ser un catali#ador de escatali#ador de esfuer#os! ya que fuer#os! ya que nadie quiere que nadie quiere que su marca quedesu marca quede asociada a un problema de seguridad o

asociada a un problema de seguridad o una multa por incumplimiento! por lasuna multa por incumplimiento! por las repercusiones que acarrea.

repercusiones que acarrea.

2eg+n uno de los +ltimos

2eg+n uno de los +ltimos estudios llevados a cabo! los costes asociados a los estudios llevados a cabo! los costes asociados a los incidentesincidentes de seguridad van aumentando progresivamente . En Estados nidos! país donde se llevó de seguridad van aumentando progresivamente . En Estados nidos! país donde se llevó a cabo el estudio! en el a0o 5@@B se estimó el coste de un incidente por

a cabo el estudio! en el a0o 5@@B se estimó el coste de un incidente por cada registrocada registro comprometido en unos 5@5! mientras que en a0o

(9)

ás cerca geográficamente &ablando! está un estudio británico seg+n el cual ás cerca geográficamente &ablando! está un estudio británico seg+n el cual elel porcenta%e de em

porcenta%e de empresas pequepresas peque0as "F@ perso0as "F@ personas$ que tuvieronas$ que tuvieron un incidente de sn un incidente de seguridadeguridad el pasado a0o fue del

el pasado a0o fue del 6F8! con un coste medio del 6F8! con un coste medio del peor de ellos entre peor de ellos entre <<.G<<.G@@ y 5;.5@@@@ y 5;.5@@ euros. 2eg+n este mismo estudio el

euros. 2eg+n este mismo estudio el 758 de la empresas medianas "H5F@ personas$! se758 de la empresas medianas "H5F@ personas$! se vieron afectadas por incidentes que les costaron de

vieron afectadas por incidentes que les costaron de <@@.@@@ a 5@@.@@@ euros de media<@@.@@@ a 5@@.@@@ euros de media para el peor de

para el peor de ellos.ellos.

2i tenemos en cuenta que el n+mero y la gravedad de los incidentes no &ace más que 2i tenemos en cuenta que el n+mero y la gravedad de los incidentes no &ace más que crecer

crecer! es fácil ! es fácil &acerse una idea del problema económico que puede suponer &asta el&acerse una idea del problema económico que puede suponer &asta el más aparentemente fácil de resolver y

más aparentemente fácil de resolver y por qué cada ve# es por qué cada ve# es más necesario evitar quemás necesario evitar que ocurran! es decir! implantar un 2istema de 3estión de

ocurran! es decir! implantar un 2istema de 3estión de 2eguridad de la *nformación.2eguridad de la *nformación.

Módulo ': Marco legal y jur%dico de la seguridad"

(ormativas de seguridad

,esde la publicación del la Ley

,esde la publicación del la Ley /rgánica de rotección de ,atos de Carácter ersonal/rgánica de rotección de ,atos de Carácter ersonal en el a0o <DDD

en el a0o <DDD &asta la Ley de 4cceso Electrónico de los Ciudadanos a los 2ervicios&asta la Ley de 4cceso Electrónico de los Ciudadanos a los 2ervicios +blicos del a0o 5@@7! &ay una serie de leyes que! de una manera u otra! están

+blicos del a0o 5@@7! &ay una serie de leyes que! de una manera u otra! están relacionadas con la seguridad de la información! además de

relacionadas con la seguridad de la información! además de numerosas regulacionnumerosas regulacioneses sectoriales en diversos ámbitos:

sectoriales en diversos ámbitos: financiero! telecomunicacionfinanciero! telecomunicaciones! agrario! etc.es! agrario! etc. Los contenidos de este módulo son:

Los contenidos de este módulo son:



 Legislación espa0ola.Legislación espa0ola. 

 Iegulaciones sectoriales.Iegulaciones sectoriales. 

 ,elitos tecnológicos.,elitos tecnológicos. 

 Evaluación.Evaluación.

Legislación espa)ola

(10)

Ley Orgánica !"## de $rotección de %atos de &arácter $ersonal

Ley Orgánica !"## de $rotección de %atos de &arácter $ersonal Esta ley se complementa con el

Esta ley se complementa con el reglamento estipulado en el Ieal ,ecreto I,reglamento estipulado en el Ieal ,ecreto I, <75@J5@@7.

<75@J5@@7.

El ob%etivo de esta

El ob%etivo de esta Ley es garanti#ar y Ley es garanti#ar y protegerproteger! en lo ! en lo concerniente al tratamiento de losconcerniente al tratamiento de los datos personales "automati#ado

datos personales "automati#ados o no$! s o no$! las libertades p+blicas y los las libertades p+blicas y los derec&osderec&os fundamentales de las personas físicas

fundamentales de las personas físicas yy! especialmente! de su ! especialmente! de su &onor e intimidad &onor e intimidad personalpersonal y familiar.

y familiar.

Los derec&os recogidos en la L/, son: Los derec&os recogidos en la L/, son:



 Las personas de las que se almacena datos de carácter personal" enen una serie deLas personas de las que se almacena datos de carácter personal" enen una serie de

derechos amparados por esta derechos amparados por esta ley-#erecho de

#erecho de

información-%uando alguien proporciona sus datos dee ser informado de que $an a ser %uando alguien proporciona sus datos dee ser informado de que $an a ser almacenados.

almacenados.

#erecho de acceso" cancelación" rec!cación y

#erecho de acceso" cancelación" rec!cación y oposición-

oposición-La persona puede $er la información que se dispone de él" puede camiar esos datos La persona puede $er la información que se dispone de él" puede camiar esos datos para ue sean correctos y e+actos" cancelar la información que se almacene de él y para ue sean correctos y e+actos" cancelar la información que se almacene de él y oponerse a que se almacene.

oponerse a que se almacene.

Ley '"** de ser+icios de la sociedad de la información y de comercio electrónico

(LSSI)

Esta Ley se encarga de regular las

Esta Ley se encarga de regular las obligaciones de los prestadores de servicios y losobligaciones de los prestadores de servicios y los servicios que prestan. Entre las obligaciones que estipula la

servicios que prestan. Entre las obligaciones que estipula la Ley están:Ley están:



 Los prestadores de ser$icios deen facilitar sus datos de Los prestadores de ser$icios deen facilitar sus datos de contacto.contacto. 

 #een colaorar con las autoridades" reteniendo los datos de #een colaorar con las autoridades" reteniendo los datos de cone+ión y trá!cocone+ión y trá!co

durante 01 meses. durante 01 meses.



 Los que alergan datos proporcionados por un Los que alergan datos proporcionados por un cliente" no serán responsales por lacliente" no serán responsales por la

información almacenada a peción del desnatario" siempre información almacenada a peción del desnatario" siempre

que-o

o 2o tengan conocimiento efec$2o tengan conocimiento efec$o de que o de que la ac$idad o la ac$idad o la informaciónla información

almacenada es il(cita o de que lesiona ienes o

almacenada es il(cita o de que lesiona ienes o derechos de un terceroderechos de un tercero susceples de indemnización" o

susceples de indemnización" o

o

o Si lo enen" act3en con diligencia para rerar los datos o hacer imposile elSi lo enen" act3en con diligencia para rerar los datos o hacer imposile el

acceso a ellos. acceso a ellos.

Cuando transmitan información de terceros! los proveedores de servicio no

Cuando transmitan información de terceros! los proveedores de servicio no tendrántendrán responsabilida

responsabilidad al d al respecto si:respecto si:



 2o modi!can la información.2o modi!can la información. 

(11)



 Actualizan correctamente la información.Actualizan correctamente la información. 

 2o ulizan su posición con el !n 2o ulizan su posición con el !n de otener datos sore la ulización de lade otener datos sore la ulización de la

información" y información" y



 4eran la inform4eran la información que hayan almacenado o hacen imposile el acceso ación que hayan almacenado o hacen imposile el acceso a ella" ena ella" en

cuanto sepan que ha sido rerada del lugar de la red en que se

cuanto sepan que ha sido rerada del lugar de la red en que se encontrencontraa" o que unaa" o que un triunal u órgano administra$o competen

triunal u órgano administra$o competente ha ordenado rerarla o impedir te ha ordenado rerarla o impedir que seque se acceda a ella.

acceda a ella.

Ley '"**', general de telecomunicaciones

Ley '"**', general de telecomunicaciones El ob%eto de esta

El ob%eto de esta ley es la ley es la regulación de las telecomunicaciones. Entre los ob%etivos deregulación de las telecomunicaciones. Entre los ob%etivos de esta Ley están:

esta Ley están:



 ,omentar la competencia.,omentar la competencia. 

 5aranz5aranzar el cumplimiento de las oligaciones de ser$icio p3lico ar el cumplimiento de las oligaciones de ser$icio p3lico en la e+plotación deen la e+plotación de

redes y la prestación de ser$icios

redes y la prestación de ser$icios de comunicaciones electrónicas.de comunicaciones electrónicas.



 Promo$er el desarrollo del sector de Promo$er el desarrollo del sector de las telecomunicaciones.las telecomunicaciones. 

 6acer posile el 6acer posile el uso e!caz de los uso e!caz de los recursos limitados de telecomunicaciones.recursos limitados de telecomunicaciones. 

 #efen#efender los der los interesintereses de es de los usuarios.los usuarios. 

 ,omentar,omentar" en la " en la medida de lo medida de lo posile" la neutralidad tecnológica en la posile" la neutralidad tecnológica en la regulación.regulación. 

 Promo$er el desarrollo de la industria Promo$er el desarrollo de la industria de productos y ser$icios de de productos y ser$icios de telecomunicacionestelecomunicaciones.. 

 %ontriuir al desarrollo del %ontriuir al desarrollo del mercado interior de ser$icios de comunicacionesmercado interior de ser$icios de comunicaciones

electrónicas en la 'nión 7uropea. electrónicas en la 'nión 7uropea.

Ley !#"**' de -irma electrónica

Esta Ley regula la firma electrónica! su eficacia %urídica y la prestación de servicios de Esta Ley regula la firma electrónica! su eficacia %urídica y la prestación de servicios de certificación.

certificación.

La firma electrónica es el

La firma electrónica es el con%unto de datos en forma electrónica! consignados %unto acon%unto de datos en forma electrónica! consignados %unto a otros o asociados con ellos! que pueden ser

otros o asociados con ellos! que pueden ser utili#ados como medio de identificación delutili#ados como medio de identificación del firmante.

firmante.

La firma electrónica reconocida tendrá! respecto de los

La firma electrónica reconocida tendrá! respecto de los datos consignados en formadatos consignados en forma electrónica! el mismo valor que

electrónica! el mismo valor que la firma manuscrita en la firma manuscrita en relación con los consignados enrelación con los consignados en papel! por lo que

papel! por lo que tanto su generatanto su generación como su ución como su utili#ación deben setili#ación deben ser cuidadosamer cuidadosamentente controladas para evitar problemas.

controladas para evitar problemas.

./%/L "##0 Ley de $ropiedad Intelectual

La propiedad intelectual de una obra literaria! artística o científica corresponde al autor La propiedad intelectual de una obra literaria! artística o científica corresponde al autor y le da la plena disposición y el derec&o e-clusivo a la e-plotación de la obra. Las obras y le da la plena disposición y el derec&o e-clusivo a la e-plotación de la obra. Las obras pueden esta

pueden estar e-presadas en r e-presadas en cualquier medio o scualquier medio o soporte! tangible o oporte! tangible o intangible!intangible! actualmente conocido o que se invente en el

(12)



 Los liros" folletos" impresos" epistolarios" escritos" discursos y alocuciones"Los liros" folletos" impresos" epistolarios" escritos" discursos y alocuciones"

conferencias" informes forenses" etc. conferencias" informes forenses" etc.



 Los proyectos" planos" maquetas y dise&os de oras arquitectónicas y de Los proyectos" planos" maquetas y dise&os de oras arquitectónicas y de ingenier(a.ingenier(a. 

 Los grá!cos" mapas y dise&os Los grá!cos" mapas y dise&os rela$rela$os a os a la topogra8a" la geogra8a y" en general" a lala topogra8a" la geogra8a y" en general" a la

ciencia. ciencia.



 Las oras fotográ!cas.Las oras fotográ!cas. 

 Los programas de ordenador.Los programas de ordenador. 4l amparo de esta

4l amparo de esta LeyLey! las organi#aciones protegen su conocimiento y las obliga a! las organi#aciones protegen su conocimiento y las obliga a respetar el de las demás. El otro punto relevante en el ámbito de la

respetar el de las demás. El otro punto relevante en el ámbito de la seguridad de laseguridad de la información es la obligación de contar

información es la obligación de contar +nicamente con softKare original "propietario o+nicamente con softKare original "propietario o libre$! ya que la

libre$! ya que la utili#ación de softKare sin licencia sería utili#ación de softKare sin licencia sería una infracción de la Ley.una infracción de la Ley.

Ley 1"** de $ropiedad Industrial

Ley 1"** de $ropiedad Industrial Es la que r

Es la que regula los derec&os sobre:egula los derec&os sobre:



 Las marcas.Las marcas. 

 Los nomres comerciales.Los nomres comerciales.

El organismo que se encarga de mantener el registro

El organismo que se encarga de mantener el registro de marcas es la /ficina de marcas es la /ficina de atentesde atentes y arcas. ara tener derec&os de

y arcas. ara tener derec&os de propiedad sobre una marca &ay que registrarla enpropiedad sobre una marca &ay que registrarla en dic&a /ficina.

dic&a /ficina.

Ley "**1, de acceso electrónico de los ciudadanos a los Ser+icios $23licos

Ley "**1, de acceso electrónico de los ciudadanos a los Ser+icios $23licos Los puntos más destacables de la Ley

Los puntos más destacables de la Ley son:son:



 Los ciudadanos $erán reconocidos nue$os derechos en sus relaciones con Los ciudadanos $erán reconocidos nue$os derechos en sus relaciones con laslas

administraciones p3licas. administraciones p3licas.



 Se creará la !gura del Se creará la !gura del #efenso#efensor del 'suario.r del 'suario. 

 Los trámites y Los trámites y gesones podrán hacerse desde cualquier lugar" en cualquier momento.gesones podrán hacerse desde cualquier lugar" en cualquier momento. 

 La administración será más fácil" más ágil y más e!caz.La administración será más fácil" más ágil y más e!caz. 

 Los ciudadanos pasan a tomar la Los ciudadanos pasan a tomar la inicia$a en sus relaciones con la administración.inicia$a en sus relaciones con la administración. Contará con un Esquema (acional de 2eguridad y

Contará con un Esquema (acional de 2eguridad y otro de *nteroperabilidad! para queotro de *nteroperabilidad! para que los servicios ofrecidos cuenten con un mínimo nivel

los servicios ofrecidos cuenten con un mínimo nivel de seguridad y las distintasde seguridad y las distintas administraciones puedan comunicarse con fluide#.

administraciones puedan comunicarse con fluide#.

!egulaciones sectoriales

(13)

4gricultura

En el sector agrícola

En el sector agrícola encontramos el Ieglamento "CE$ (o 6GFJ5@@F de la encontramos el Ieglamento "CE$ (o 6GFJ5@@F de la Comisión deComisión de 55 de mar#o de 5@@F sobre la 2eguridad de la *nformación de los 2istemas de

55 de mar#o de 5@@F sobre la 2eguridad de la *nformación de los 2istemas de *nformación de los

*nformación de los /rganismo/rganismos agadores.s agadores. Este reglamento establece que los

Este reglamento establece que los organismoorganismos pagadores deberán basar la s pagadores deberán basar la seguridad deseguridad de sus sistemas de información en los

sus sistemas de información en los criterios establecidos en una versión aplicable de unacriterios establecidos en una versión aplicable de una de las normas

de las normas siguientes! que go#an de aceptación internacional:siguientes! que go#an de aceptación internacional:



 9rganización /nt9rganización /nternacional de 2ormalización 0::;;<2orma ritánica ::;;- ernacional de 2ormalización 0::;;<2orma ritánica ::;;- %ode of%ode of

pracce for /nforma

pracce for /nformaon Security on Security =anagement >/S9</7% 1:??1@.=anagement >/S9</7% 1:??1@.



 undesamt fuer Sicherheit undesamt fuer Sicherheit in der in der /nforma/nformaonstechniB- /CD5onstechniB- /CD5rundschutzhanduch >/Crundschutzhanduch >/C

Protecon =anual@. Protecon =anual@.



 /nforma/nformaon Systems Audit and %ontrol ,oundaon- o)e$os de control en on Systems Audit and %ontrol ,oundaon- o)e$os de control en el ámitoel ámito

de la información y las tecnolog(as a!nes >%9/C@. de la información y las tecnolog(as a!nes >%9/C@.

Las medidas de seguridad deberán estar adaptadas a la

Las medidas de seguridad deberán estar adaptadas a la estructura administrativa! alestructura administrativa! al personal y al en

personal y al entorno tecnológico dtorno tecnológico de cada ore cada organismo pagadoganismo pagador. Er. El esfuer#o financiel esfuer#o financiero yro y tecnológico deberá ser proporcional a los riesgos reales.

tecnológico deberá ser proporcional a los riesgos reales.

5anca

Basilea II Basilea II

El Comité de

El Comité de ?asilea fue creado en <D76. 4ctualmente lo componen representante?asilea fue creado en <D76. 4ctualmente lo componen representantes des de los bancos centrales de

los bancos centrales de ?élgica! Canadá! rancia! 4leman?élgica! Canadá! rancia! 4lemania! *talia! ia! *talia! Mapón! Lu-emburgMapón! Lu-emburgo!o! aíses ?a%os! Espa0a! 2uecia! 2ui#a! Ieino nido y EE.

aíses ?a%os! Espa0a! 2uecia! 2ui#a! Ieino nido y EE.

La directiva ?asilea ** pretende alinear el cálculo de los requerimientos de capital de los La directiva ?asilea ** pretende alinear el cálculo de los requerimientos de capital de los bancos con

bancos con las me%ores y málas me%ores y más avan#adas s avan#adas prácticas de gesprácticas de gestión de los riesgos tión de los riesgos "riesgo de"riesgo de mercado! riesgo de crédito y

mercado! riesgo de crédito y riesgo operacional$ para contribuir a una riesgo operacional$ para contribuir a una mayor estabilidadmayor estabilidad del sistema financiero internacional! de manera que en

del sistema financiero internacional! de manera que en función del resultado del análisisfunción del resultado del análisis de riesgos se fi%en

de riesgos se fi%en los requerimientos de capital mínimo! adecuados a las los requerimientos de capital mínimo! adecuados a las característicascaracterísticas y circunstancias de cada entidad. Esta directiva e-ige transparencia en la

y circunstancias de cada entidad. Esta directiva e-ige transparencia en la informacióninformación facilitada por la entidad! por lo que los mecanismos de generación y transmisión de la facilitada por la entidad! por lo que los mecanismos de generación y transmisión de la información deben ser seguros.

información deben ser seguros.

MIFID MIFID

La ,irectiva sobre ercados de *nstrumentos inancieros! conocida por sus siglas en La ,irectiva sobre ercados de *nstrumentos inancieros! conocida por sus siglas en inglés como **,"arNets in inancial *nstruments ,irective$!

inglés como **,"arNets in inancial *nstruments ,irective$! introducirá unintroducirá un mercado +nico y un régimen

mercado +nico y un régimen regulatorio com+n para los servicios financieros en los regulatorio com+n para los servicios financieros en los 5757 estados miembros de la nión Europea.

estados miembros de la nión Europea.

Establece la necesidad de que las entidades adopten medidas ra#onables para garanti#ar Establece la necesidad de que las entidades adopten medidas ra#onables para garanti#ar la continuidad y la regularidad de la reali#ación de los servicios y actividades de

la continuidad y la regularidad de la reali#ación de los servicios y actividades de inversión. 4 ta

inversión. 4 tal fin! l fin! se deben emplear sistemas! recursos y se deben emplear sistemas! recursos y procedimientos adecuadprocedimientos adecuados yos y proporcionados.

(14)

Seguros

,entro del sector asegurador se encuentra el proyecto 2olvencia **!

,entro del sector asegurador se encuentra el proyecto 2olvencia **! que tiene comoque tiene como ob%etivo revisar el marco europeo de

ob%etivo revisar el marco europeo de supervisión prudenciasupervisión prudencial de l de las compa0ías delas compa0ías de seguros.

seguros.

2olvencia ** debe servir para

2olvencia ** debe servir para dinami#ar y sistemati#ar de una manera dinami#ar y sistemati#ar de una manera más &omogénea ymás &omogénea y rigurosa el cálculo! medición y

rigurosa el cálculo! medición y la gestión de riesgos dentro de la gestión de riesgos dentro de las compa0íaslas compa0ías

aseguradoras! y a partir de a&í facilitar la aplicación de un modelo de gestión global más aseguradoras! y a partir de a&í facilitar la aplicación de un modelo de gestión global más eficiente.

eficiente.

*elitos tecnológicos

%e-inición y tipos de

%e-inición y tipos de delitos tecndelitos tecnológicosológicos

Con la e-presión delito tecnológico se define a todo acto ilícito penal llevado a cabo a Con la e-presión delito tecnológico se define a todo acto ilícito penal llevado a cabo a través de medios informáticos y

través de medios informáticos y que está íntimamente ligado a los que está íntimamente ligado a los bienes %urídicosbienes %urídicos relacionados con las tecnologías de la información o

relacionados con las tecnologías de la información o que tiene como fin que tiene como fin estos bienes.estos bienes. La clasificación de

La clasificación de dic&os delitos que &ace dic&os delitos que &ace la ?rigada de la ?rigada de *nvestigación )*nvestigación )ecnológica! laecnológica! la nidad de la olicía

nidad de la olicía (acional destinada a responder a los retos que (acional destinada a responder a los retos que plantean las nuevasplantean las nuevas formas de delincuencia es:

formas de delincuencia es:



 Ataques que se producen contra el derecho a Ataques que se producen contra el derecho a la inmidad. #elito de descurimiento yla inmidad. #elito de descurimiento y

re$elación de secretos mediante el apoderamiento y

re$elación de secretos mediante el apoderamiento y difusión de datos difusión de datos reser$adosreser$ados registr

registrados en !cheros o soportes informácos. >ArEculos del 0;: al 1?0 ados en !cheros o soportes informácos. >ArEculos del 0;: al 1?0 del %ódigodel %ódigo Penal@.

Penal@.



 /nfracciones a la Propiedad /ntelectual a tra$és de la /nfracciones a la Propiedad /ntelectual a tra$és de la protección de los derechos deprotección de los derechos de

autor

autor. 7specialmente la . 7specialmente la copia y copia y distriución no autorizada de distriución no autorizada de programas de ordenadorprogramas de ordenador y tenencia de medios para

y tenencia de medios para suprimir los disposi$os ulizados para proteger dichossuprimir los disposi$os ulizados para proteger dichos programas. >ArEculos 1:? y otros del %ódigo Penal@.

programas. >ArEculos 1:? y otros del %ódigo Penal@.



 ,alsi!cación de documentos. 7ntendiendo document,alsi!cación de documentos. 7ntendiendo documento como o como todo soporte material quetodo soporte material que

e+prese o incorpore datos" aunque se e+ende tamién a la

e+prese o incorpore datos" aunque se e+ende tamién a la falsi!cación de moneda y afalsi!cación de moneda y a las tar)etas de déito y

las tar)etas de déito y crédito. Ccrédito. Camién pertenece a este grupo la amién pertenece a este grupo la faricación ofaricación o tenencia de programas de ordenador para la comisión

tenencia de programas de ordenador para la comisión de delitos de falsedad.>ArEculosde delitos de falsedad.>ArEculos FGH y siguientes del %ódigo Penal@.

FGH y siguientes del %ódigo Penal@.



 Saota)es informáSaota)es informácos. #elito de cos. #elito de da&os mediante la destrucción o da&os mediante la destrucción o alteración de datos"alteración de datos"

programas o documentos electrónicos contenidos en

programas o documentos electrónicos contenidos en redes o sistemas informácos.redes o sistemas informácos. >ArEculo 1HI y otros del

>ArEculo 1HI y otros del %ódigo Penal@.%ódigo Penal@.



 ,raudes informá,raudes informácos. #elitos de estafa a tra$és de la cos. #elitos de estafa a tra$és de la manipulación de datos omanipulación de datos o

programas par

programas para la otención de un luca la otención de un lucro il(cito. >ArEculos 1IG y ro il(cito. >ArEculos 1IG y ss. del %ódigo [email protected]. del %ódigo Penal@.



 Amenazas. 4ealizadas por cualquier medio de comunicación. >ArEculos 0H; y ss. delAmenazas. 4ealizadas por cualquier medio de comunicación. >ArEculos 0H; y ss. del

%ódigo Penal@. %ódigo Penal@.



 %alumnias e in)urias. %uando se propaguen por cualquier medio de e!cacia seme)ante%alumnias e in)urias. %uando se propaguen por cualquier medio de e!cacia seme)ante

a la imprenta o la radiodifusión. >ArEculos 1?J y

(15)



 Pornogra8a infanl. 7+isten $arios delitos en este ep(grafe-Pornogra8a infanl. 7+isten $arios delitos en este

ep(grafe-o

o La inducción" promoción" fa$orecimiento o facilitación de la prostución deLa inducción" promoción" fa$orecimiento o facilitación de la prostución de

una persona menor de edad o incapaz. >arEculo 0G:@ una persona menor de edad o incapaz. >arEculo 0G:@

o

o La producción" $enta" distriución" e+hiición" por cualquier La producción" $enta" distriución" e+hiición" por cualquier medio" de materialmedio" de material

pornográ!co en cuya elaoración hayan sido ulizados menores de edad pornográ!co en cuya elaoración hayan sido ulizados menores de edad oo incapaces" aunque el material tu$iere su origen

incapaces" aunque el material tu$iere su origen en el e+tran)ero o fuereen el e+tran)ero o fuere desconocido. >arEculo 0G;@.

desconocido. >arEculo 0G;@.

o

o La facilitación de las La facilitación de las conductas anteriorconductas anteriores >7l es >7l que facilitare la producción"que facilitare la producción"

$enta" distriución" e+hiición...@. >arEculo 0G;@. $enta" distriución" e+hiición...@. >arEculo 0G;@.

o

o La posesión de dicho material para la realización de dichas conductas.> arEculoLa posesión de dicho material para la realización de dichas conductas.> arEculo

0G;@. 0G;@.

1ay que tener en

1ay que tener en cuenta que además nuestro Código enal recoge directivas europeas ycuenta que además nuestro Código enal recoge directivas europeas y establece penas importantes por comportamientos tales como las del 4rtículo <D7! penas establece penas importantes por comportamientos tales como las del 4rtículo <D7! penas de prisión de seis meses a dos a0os para quien por cualquier medio o procedimiento y de prisión de seis meses a dos a0os para quien por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo! accediera sin

vulnerando las medidas de seguridad establecidas para impedirlo! accediera sin autori#ación a datos o programas informáticos contenidos en un

autori#ación a datos o programas informáticos contenidos en un sistema informático osistema informático o en parte del mismo

en parte del mismo o las recogidas en el 4rtículo 5G6:o las recogidas en el 4rtículo 5G6:



 Pena de prisión de seis meses a dos a&os por Pena de prisión de seis meses a dos a&os por intromisión en datos o programas sinintromisión en datos o programas sin

autorización. autorización.



 Pena de prisión de seis meses a tres a&os por ostaculizar o interrumpir elPena de prisión de seis meses a tres a&os por ostaculizar o interrumpir el

funcionamiento de un sistema de información a)eno. funcionamiento de un sistema de información a)eno.



 Se impondrán penas superiores y" en todo caso" la pena Se impondrán penas superiores y" en todo caso" la pena de multa proporcional alde multa proporcional al

per)uicio ocasionado" cuando se comete el

per)uicio ocasionado" cuando se comete el delito en el marco delito en el marco de una organizaciónde una organización criminal o se

criminal o se hayan ocasionado da&os de especial gra$edad o afectado a los hayan ocasionado da&os de especial gra$edad o afectado a los interesintereseses generales.

generales.

&on+enio so3re ci3erdelincuencia

El OConvenio sobre CiberdelincuenciaO del Conse%o de Europa! se firmó

El OConvenio sobre CiberdelincuenciaO del Conse%o de Europa! se firmó el 5; deel 5; de

noviembre del 5@@< en ?udapest. 2iguiendo dic&o convenio!en nuestro Código enal se noviembre del 5@@< en ?udapest. 2iguiendo dic&o convenio!en nuestro Código enal se recogen los siguientes delitos:

recogen los siguientes delitos:



 #elitos contra la con!dencialidad" la integridad y la disponiilidad de los datos y#elitos contra la con!dencialidad" la integridad y la disponiilidad de los datos y

sistemas

sistemas informácosinformácos..



 Acceso il(cito a Acceso il(cito a sistemas informsistemas informácos.ácos. 

 /ntercep/nterceptación il(cita tación il(cita de datos informácos.de datos informácos. 

 /nterf/nterferencia en los erencia en los datos que ocasionen da&os" orrado" alteración o supresión dedatos que ocasionen da&os" orrado" alteración o supresión de

estos. estos.



 Auso de disposi$os que faciliten la Auso de disposi$os que faciliten la comisión de delitos.comisión de delitos. 

 #elitos #elitos informáinformácos.cos. 

 ,alsi!cación informá,alsi!cación informáca que produzca la aca que produzca la alteración" orrado o supresión de datoslteración" orrado o supresión de datos

informá