Protección de Datos y Seguridad Informática: Normativa y Medidas

¿Qué es la Normativa de Seguridad?

En la sociedad actual, existen normas que regulan el funcionamiento de la mayoría de las cosas. En este tema, se tratará de dar una base mínima de conocimientos legales relacionados con la seguridad informática, además de enumerar las amenazas relacionadas:

• Ataques pasivos o activos de personas
• Desastres naturales
• Interferencias del entorno de trabajo
• Incendios: provocados o no
• Vulnerabilidades o agujeros de seguridad del sistema

La solución a este tipo de problemas pasa por la creación de un plan de seguridad a aplicar con respecto a:

• El factor humano, tanto interno como externo, de la organización
• La ubicación y equipamiento de las instalaciones físicas
• La actualización del sistema y la prohibición de todo lo que no esté permitido hacer en cada momento.

Virus: Programa cuyo objetivo es causar daños en un sistema informático y que a tal fin se oculta o disfraza para no ser detectado.

Spyware: Tipo de malware que surge a raíz de la proliferación de Internet, parecido a un troyano, para recopilar información de carácter personal o confidencial del usuario sin su consentimiento. Su objetivo es revender dicha información a terceras personas con fines económicos.

El Factor Humano

• Pasivos: Realizados por personas que quieren curiosear o fisgonear la información que almacena el sistema. Un ataque de este tipo no modifica ni destruye ningún dato.
• Activos: Realizados por personas que han planificado el ataque marcándose como objetivo modificar o alterar un sistema para obtener algún beneficio.

La Seguridad Física

Desastres naturales, Desastres por interferencias del entorno de trabajo, Incendios.

Medidas Físicas

La Seguridad Lógica

La seguridad lógica suele ser la más complicada de lograr. Consiste en aplicar muros (firewalls) y/o técnicas lógicas que protejan el acceso a los datos, dejando acceder sólo al personal autorizado en el momento adecuado y evitando así los ataques sintácticos.

Los Sistemas Operativos y las Aplicaciones

Deben estar actualizados.

La Configuración de los Sistemas

Ante posibles errores de configuración, es preferible prohibir explícitamente todo lo que no se permita hacer en el sistema.

Las Medidas de Control de Acceso

• Sistemas humanos, como la contratación de guardias de seguridad
• Sistemas biométricos, como acceso mediante huella dactilar o sistemas oculares, como reconocimiento del iris, o análisis de voz
• Sistemas electrónicos, como puede ser la instalación de cámaras de vigilancia o sensores en puntos clave conectados a una central de alarmas
• Sistemas lógicos, como puede ser la utilización de tarjetas de acceso que requieran la utilización de un PIN (es decir, un número de identificación personal que sólo el usuario conoce) o, si es a través del sistema, una contraseña o palabra de paso.

Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)

La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD), viene a sustituir a la Ley Orgánica 5/1992, de Tratamiento Automatizado de Datos de Carácter Personal (LORTAD). En ambas leyes el ente encargado de gestionar y controlar el buen funcionamiento es la Agencia de Protección de Datos. Básicamente, agrupa todos los ficheros que contengan datos de carácter personal de las empresas públicas o privadas en tres niveles: básico, medio y alto.

Reglamento de Medidas de Seguridad (RMS)

Se debe elaborar un documento de seguridad por cada fichero registrado en la APD que contenga básicamente esta información:

• Ámbito de aplicación del documento
• Medidas aplicadas para garantizar la seguridad
• Funciones y obligaciones del personal
• Diccionario de datos del fichero y lista de aplicaciones que acceden a ellos
• Gestión de incidencias de los inscritos
• Gestión de las copias de seguridad