SAD07. - Legislación y Normas Sobre Seguridad

28/6/22, 12:55 SAD07.- Legislación y normas sobre seguridad.
Legislación y normas sobre seguridad.
Caso práctico
Los sistemas informáticos son capaces de manejar
grandes volúmenes de información, lo cual tiene
muchas ventajas pero también inconvenientes
importantes. Hoy en día, las redes comerciales valoran
en gran medida los datos informatizados, porque con
un pequeño esfuerzo pueden llegar a millones de
potenciales clientes. Con un pequeño porcentaje de
éxito en sus campañas comerciales pueden hacer un
gran negocio.
Por ello, el proceso de los datos personales que se

informatizan debe estar sujeto a leyes para evitar que
Jonny Goldstein (CC BY) se cometan delitos.
Juan, Vindio y Laro, han realizado un curso sobre protección de datos para
aplicarlo en BK Sistemas Informáticos. Veamos cómo puede afectar la
legislación a una empresa pequeña como la de nuestro caso práctico.
En esta unidad conocerás las leyes que regulan la protección de datos para las
transacciones informáticas. Se comienza estudiando la legislación reguladora: Reglamento
General de Protección de Datos (RGPD) y se nombran algunos de sus artículos más
importantes. También se habla de la Agencia Española de Protección de Datos (AEPD) y de
cómo debe ser la actuación de las personas que manejan datos personales y de la Ley
Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD)
Puesto que las transacciones electrónicas o los negocios a través de Internet son muy
numerosos también se estudia la Ley sobre los Servicios de la Sociedad de la Información y
Comercio Electrónico (LSSI o LSSICE).
Otro de los puntos de la unidad es el que trata las normas ISO relativas a la seguridad de la
información y de como es el proceso que se sigue para implementarlas en un sistema real.
Por último se aborda el tema de los organismos encargados de la gestión de incidencias,

los CERT y se ejemplifica en tres de los más importantes en España.
Ministerio de Educación y Formación Profesional (Dominio público)
https://www.adistanciafparagon.es/pluginfile.php/9415/mod_resource/content/2/SAD07_v1/ArchivosUnidad/Moodle/SAD07_completa_offline/SA… 1/26
Materiales formativos de FP Online propiedad del Ministerio de

Educación y Formación Profesional.
Aviso Legal
1.- Legislación sobre protección de datos.
Caso práctico
—María, deberíamos hacer algo para poder asegurar
los datos de nuestros clientes.
—¿Es que se pueden perder?
—Me refiero a protegerlos, a que nadie pueda

acceder a ellos.
—¿Pero quién va a hacer eso, Juan?
—Todos los datos de nuestros clientes son

confidenciales. Tanto nuestros clientes como nuestros
usuarios tienen derecho a la privacidad. Está
Nate Steiner (CC0) legislado, y si no cumplimos dicha legislación, nos
pueden sancionar.
Un dato, según la RAE es:
Antecedente necesario para llegar al conocimiento exacto de algo o para

deducir las consecuencias legítimas de un hecho.
Documento, testimonio, fundamento.
Información dispuesta de manera adecuada para su tratamiento por un

ordenador.
El aumento desmesurado en el uso de

sistemas electrónicos, así como el desarrollo
de las comunicaciones a nivel global, ha
conseguido casi una completa interconexión
entre cualquier lugar del mundo. Esto, unido a
la aparición de aplicaciones y sistemas que
utilizan datos personales de los usuarios, ha
hecho imprescindible la aparición de normas
Pixabay (Dominio público) que regulen su funcionamiento, entre ellas,
normas legales, regidas por cada uno de los
países.
Por todo ello, cualquiera de los organismos, sean empresas o instituciones públicas que
traten datos personales, estarán obligados a garantizar el derecho a la protección de datos.
Por tal motivo, a nivel europeo, se ha creado una legislación reguladora que establece las
pautas para hacer un buen uso de los datos personales, así como de la transmisión de la
información de forma segura. Esta legislación establece los derechos y deberes tanto de
personas, empresas como de organismos públicos.
Con la nueva normativa , se introduce un estándar único europeo de protección de datos .

Esto supone beneficios para:
1.- Las empresas
No tendrán que enfrentarse a distintas leyes en los países de la Unión Europea
cuando realicen tratamientos de datos personales.
2.- Los consumidores
Verán sus derechos (consentimiento expreso, derecho al olvido, etc.) protegidos

de igual forma en toda la UE.
En general, el cumplimiento y aplicación de la nueva normativa proporciona las siguientes

ventajas:
Demostrar respeto por los clientes, su privacidad y sus derechos como

consumidores.
Mostrar transparencia y respeto por el resto del comercio al acatar las

reglas del juego.
Evitar sanciones y problemas con terceros.
Mejorar la imagen institucional al ser más confiables.
En 2016, la Unión Europea aprobó el Reglamento

General de Protección de Datos Personales
(RGPD), que entró en vigor en los países miembros
el 25 de mayo de 2018.
En España, esta normativa ha sido adaptada y

ampliada por medio de la Ley Orgánica 3/2018
de Protección de Datos y Garantía de los
Derechos Digitales (LOPDGDD), teniendo por
objetivo reforzar los derechos de los ciudadanos y
favorecer la creación de nuevos modelos de
negocio que aprovechan los avances tecnológicos
como Big Data o el Internet de las Pixabay (Dominio público)
Cosas (IoT). Además, facilita el desarrollo de los

nuevos servicios digitales, como el Cloud Computing, a través de la certificación de
servicios en la nube, regulando los contratos y facilitando el cambio de proveedor.
Es importante resaltar que LOPDGDD deroga la anterior Ley de Protección de Datos

de 1999 (LOPGD).
La Agencia Española de Protección de Datos (AEPD) es el organismo oficial español que

vela por el cumplimiento de la nueva legislación sobre la protección de datos
Para saber más

En el siguiente enlace podrás acceder al texto completo publicado por la UE
relativo a la RGPD
Reglamento de protección de las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre circulación de estos datos
Debes conocer
En el siguiente enlace podrás ver, según la AEPD, cuáles son los derechos
de un usuario según la LOPDGDD y los deberes de las empresas,
organizaciones y administraciones públicas:
Ejerce tus derechos
Cumple tus deberes
También hay que destacar el nuevo reglamento de 23 de

julio de 2014, aprobado por el Parlamento Europeo, relativo a
la identificación electrónica y los servicios de confianza
para las transacciones electrónicas en el mercado único
europeo.
A este sistema europeo de reconocimiento de identidades

electrónicas también se le conoce con el nombre de eIDAS .
Se trata de una norma de aplicación en el ámbito de la Unión

Europea, estableciendo:
1.- Las condiciones en las que los Estados Miembros

deberán reconocer los medios de identificación
electrónica de las personas físicas y jurídicas
https://ec.europa.eu/ (CC BY-SA)
pertenecientes a un sistema de identificación electrónica
notificado de otro Estado miembro.
2.- Las normas para los servicios de confianza, en particular para las
transacciones electrónicas.
3.- El marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos
de tiempo electrónicos, los documentos electrónicos, los servicios de
entrega electrónica certificada y los servicios de certificados para la autenticación de
sitios web.
Todo este reglamento se basa en un conjunto de nodos de interoperabilidad (nodos eIDAS)

que conectan las infraestructuras nacionales de identificación electrónica entre sí.
Para saber más

En el siguiente enlace podrás acceder al texto completo publicado por la UE
relativo al eIDAS
Reglamento de identificación electrónica y de los servicios de confianza para

las transacciones electrónicas
También puedes obtener más información sobre el nodo eIDAS español en

los siguientes enlaces:
Nodo eIDAS español
Preguntas frecuentes sobre eIDAS (pdf - 0,45 MB)
En España la Ley 59/2003, de 19 de diciembre, recoge la legislación básica sobre firma
electrónica . Básicamente, esta normativa establece el funcionamiento de las autoridades
certificadoras de confianza en España.
Según esta Ley, una firma electrónica reconocida debe cumplir las siguientes
propiedades o requisitos:
Identificar al firmante.
Verificar la integridad del documento firmado.
Garantizar el no repudio en el origen.
Contar con la participación de un tercero de confianza.
Estar basada en un certificado electrónico reconocido.
Debe de ser generada con un dispositivo seguro de creación de firma.
Sin embargo, para que una firma electrónica reconocida sea equivalente a la manuscrita,
debe además estar basada en un Certificado Reconocido . El certificado debe haber sido
reconocido por el Ministerio de Industria y Comercio como habilitado para crear firmas
reconocidas y debe estar listado en su página web como tal.
Para saber más

Puedes ver todos los certificados reconocidos por el MITyC en la dirección:
Prestadores de servicios electrónicos de confianza cualificados
Debes conocer
En el siguiente enlace puedes encontrar toda la información oficial
relacionada con la legislación de la firma electrónica:
Base legal de la Firma Electrónica
Autoevaluación
El Reglamento General de Protección de Datos (RGPD)
Es un reglamento que solamente se debe aplicar en algunas regiones.
Es una normativa que no está aprobada todavía.
Es una norma que se debe cumplir en toda España.
Es una ley que se debe cumplir en todo el Mundo.
Incorrecto. Es un reglamento que debe cumplirse en todos los países

miembros de la UE.
Incorrecto. Se aprobó en mayo de 2016 y se comenzó a aplicar en mayo

de 2018.
Muy bien! Debe cumplirse en toda España y en todos los países

miembros de la UE.
Incorrecto. Su ámbito de aplicación es todos los países miembro de la

UE.
Solución
1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto
1.1.- RGPD y LOPDGDD. Tratamiento de

los datos.
La LOPDGDD y el RGPD son las normas que velan por la protección de los datos de
carácter personal, es decir, por la privacidad de las personas ya sean clientes, empleados o
proveedores.
La aplicación de la LOPDGDD y del RGPD, se encuentra con el inconveniente de que las

personas responsables de aplicarla, en muchas ocasiones, no saben cómo hacerlo o qué
datos son los que están sujetos a ella. Lo que debe quedar muy claro es lo siguiente:
Estas normas deben cumplirse siempre que como empresa tratemos datos
personales, aunque solo sean correos electrónicos o números de teléfono. La
mayoría de empresas tratan con datos de clientes, proveedores y empleados
por lo que, esta normativa siempre será de aplicación.
Pero, ¿quienes han de cumplir estas leyes? Las empresas, sociedades, comunidades,
asociaciones y autónomos que:
Estén establecidos en la UE, independientemente de si el tratamiento se

hace o no en la UE.
Ofrecen bienes o servicios a personas que se encuentren en la UE.
Monitorizan el comportamiento de personas que se encuentren en la UE.
Y ¿qué son los datos personales? ¿Qué se entiende por tratamiento de datos personales?
Según el RGPD un dato personal es:
"Toda información sobre una persona física identificada o identificable. Se

considerará persona física identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante
un identificador, como por ejemplo un nombre, un número de identificación,
datos de localización, un identificador en línea o uno o varios elementos
propios de la identidad física, fisiológica, genética, psíquica, económica,
cultural, o social de dicha persona".
También son datos personales los datos de contactos con otras empresas,
aunque quedan fuera del ámbito personal los datos corporativos: marcas,
CIF, información corporativa, etc.
El RGPD define tratamiento como:
"Cualquier operación o conjunto de operaciones realizadas sobre datos

personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización,
estructuración, conservación, adaptación o modificación, extracción,
consulta, utilización, comunicación por transmisión, difusión, o cualquier
otra forma de habilitación de acceso, cotejo o interconexión, limitación,
supresión o destrucción".
En otras palabras, un dato personal es

cualquier dato que identifique o que pueda ser
asociado a una persona identificada o
identificable.
Los datos personales son tanto aquellos que

nos identifican (nombre, apellidos, DNI), como
los que tienen que ver con nuestra situación
laboral, financiera o de salud . También se
incluyen ahora los datos biométricos y los
biológicos , es decir, cualquier información
con la que se nos identifique o se nos pueda
identificar. Algunos como los relativos a salud,
ideología, religión,origen racial, vida
sexual y comisión de infracciones penales
y administrativas, están
especialmente protegidos en el RGPD y la
Pixabay (Dominio público) LOPDGDD.
Un aspecto muy importante a tener en cuenta es el siguiente: un dato personal no deja de

serlo por estar en ficheros separados ni cuando están seudonimizados, entendiendo por
seudonimizada a "aquella información que, sin incluir los datos denominativos de un
sujeto, permiten identificarlo mediante información adicional, siempre que esta figure
por separado y esté sujeta a medidas técnicas y organizativas destinadas a
garantizar que los datos personales no se atribuyan a una persona física identificada
o identificable".
Por tanto, se podría decir que, con independencia del formato, todos los ficheros que
contengan datos personales o información seudonimizada están sujetos al RGPD y a la
LOPDGDD.
Por otra parte, cuando desde cualquier organización se recogen datos de los usuarios
(encuestas, registros, matrículas), el usuario debe dar su consentimiento de forma libre,
específica e informada mediante una declaración firmada o alguna acción afirmativa, como
por ejemplo, un botón "Aceptar registro de información" en una web. Además, en todo
momento debe tener conocimiento de quién recoge esos datos y con qué fin. El usuario
podrá revocar el consentimiento, si le parece oportuno, estando el responsable de los datos
obligado a seguir una serie de normas para llevar a cabo dicha petición.
Hay que destacar que los ficheros son propiedad de los destinatarios de los
datos personales (empresas, autónomos u organismos públicos). Sin embargo,
los datos almacenados en tales ficheros son siempre propiedad del
https://www.adistanciafparagon.es/pluginfile.php/9415/mod_resource/content/2/SAD07_v1/ArchivosUnidad/Moodle/SAD07_completa_offline/S… 10/26
interesado, siendo éstos los únicos que pueden decidir sobre su

tratamiento, modificación o cancelación.
Debes conocer
Dentro de una empresa u organismo público propietario del fichero, se
pueden encontrar hasta cinco figuras importantes:
Responsable del tratamiento.

Encargado del tratamiento.
Delegado de protección de datos (DPO).
Responsable de privacidad.
Persona autorizada para el tratamiento de los datos personales.
Para conocer en detalle cada una de estas figuras, puedes descargar la guía
proporcionada a continuación:
Ganar en competitividad cumpliendo el RGPD: una guía de aproximación

para el empresario (pdf - 4,60 MB)
El objetivo de esta guía es evitar que sean vulnerados la privacidad y los

derechos de los individuos sobre sus datos personales, provocando,
entre otras, situaciones de invasión de la vida privada, vigilancia, extorsión,
suplantación, discriminación, vergüenza o peligro. Para ello, la guía se
desarrolla en torno a las siguientes preguntas:
¿Qué derechos reconoce el RGPD?

¿Cómo afecta el RGPD a mi empresa?
¿Qué medidas de seguridad debo tomar?
¿Qué pasa si no cumplo?
Y ¿qué puede ocurrir si no se cumple con

la normativa?
Lógicamente puede acarrear sanciones. El

RGPD define las sanciones en el Capítulo
VIII, artículos desde el 77 hasta el 84.
Según la gravedad del asunto, la sanción
puede llegar hasta el 4% de la facturación
del ejercicio anterior.
La LOPDGDD, en su Título IX de Régimen Pixabay (Dominio público)
sancionador, clasifica las infracciones

como:
1.- Leves. Detalladas en el artículo 74.
2.- Graves. Detalladas en el artículo 73.
3.- Muy graves. Detalladas en el artículo 72.
Siendo tratadas las sanciones y medidas correctivas en su artículo 76.
En cuanto a la Garantía de los Derechos Digitales , toda la información relacionada con

los derechos digitales que la LOPDGDD añade al RGPD, se pueden encontrar en el Título
X de la citada LOPDGDD.
Para saber más

Puedes descargarte la LOPDGDD a través del siguiente enlace:
Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos

Digitales (pdf - 1,24 MB)
A continuación puedes ver un artículo sobre las políticas de seguridad de los

empleados:
Cortafuegos Humano: Activando las políticas de seguridad
En los siguientes enlaces podrás ver guías, herramientas generadas por la
AEPD y una charla sobre la protección de datos:
Guías
Herramientas
Charla
Autoevaluación
Un billete simple de metro o autobús:
Se podría considerar un dato personal.
No es un dato personal.
Nunca podría ser dato personal.
Es un dato personal no sujeto a la LOPDGDD.
Incorrecto. No tiene ningún dato que identifique a la persona que lo lleva.
Muy bien! No tiene nada que identifique de manera única a una persona.
Incorrecto. Si escribimos un nombre se podría identificar a alguien.
Incorrecto. No es un dato personal.
Solución
1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto
2.- Legislación sobre los servicios de la

sociedad de la información y comercio
electrónico.
Caso práctico
—Vindio, me ha comentado Laro que tenemos que
agregar nuevos datos a nuestra web.
—Pues sí Félix, ten en cuenta que estamos

recopilando información a través del formulario y
puede que algún cliente decida que no quiere que
tengamos sus datos.
—¿Sí?. No tenía ni idea.
—Sí, debemos posibilitar que cualquier persona que

Alain Bachellier (CC BY-NC-SA)
nos ha proporcionado datos, tenga la posibilidad de

revocar ese permiso y para ello tenemos que facilitarles el medio a través de
nuestra web.
La LSSI, Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la Información y

de Comercio Electrónico (LSSICE), regula el régimen jurídico de los servicios de la
sociedad de la información y de la contratación por vía electrónica.
Cabe destacar que la legislación de esta materia puede verse modificada debido a la
tramitación de la Propuesta de Reglamento de privacidad electrónica (ePrivacy) de la
Unión Europea. Con esta propuesta, la Unión Europea pretende formular una política de
privacidad obligatoria que tenga validez en todos los Estados miembro.
Actualmente, bajo esta ley, están sujetas todas aquellas actividades en las que:
Intervengan medios
electrónicos.
Se reciba una
compensación económica.
La
actividad sea a distancia.
La aplicación de la LSSI supone imponer una serie de obligaciones, tanto a las empresas
que prestan servicios en Internet como a las que venden productos. Para ello, se distingue
entre:
Prestadores de servicios de intermediación
Dentro de esta categoría están las empresas que brindan conexión a Internet a sus
Pixabay (Dominio público)
clientes (ISP), los prestadores de servicios de alojamiento de datos y los buscadores y

proveedores de enlaces.
Empresas
A esta categoría pertenecen todas las empresas que realizan actividades económicas
a través de Internet, ya sea a particulares o a otras empresas.
Ciudadanos
Aquí están incluidos todas las personas físicas que utilicen la red para fines
comerciales o lucrativos.
Por tanto, esta normativa afecta a empresas y autónomos, ubicados en España, que
utilicen las redes para alguna actividad económica o lucrativa . Un ejemplo de actividad de
este tipo podría ser: sitios de descarga de software, en los que el único contacto es una
dirección web y las transferencias monetarias en contraprestación del servicio.
Debes conocer
Todos los usuarios de servicios relacionados con Internet y categorizados tal
y como se ha expuesto con anterioridad, tienen una serie de obligaciones. En
el siguiente enlace, además de tener acceso a toda la información práctica
sobre la LSSICE y a sus preguntas más frecuentes, también puedes ver
cuáles son las obligaciones de los proveedores, de las empresas y de los
ciudadanos :
Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico
Para saber más

En los siguientes enlaces puedes obtener más información sobre ePrivacy:
ePrivacy: ¿qué novedades trae el nuevo Reglamento de la UE?
ePrivacy: Respeto de la vida privada y la protección de los datos personales

en el sector de las comunicaciones electrónicas
La LSSICE regula también las comunicaciones comerciales ya sea por Internet, correo
electrónico, SMS, redes sociales u otros medios, indicando que si se lanzan
comunicaciones con publicidad, los mensajes deben estar identificados, cumpliendo una
serie de requisitos:
Identificación del remitente.
Incluir una palabra que pueda identificar el mensaje. Por ejemplo, usando

palabras como publi o publicidad .
Facilitar al remitente la opción de dejar de recibir este tipo de mensajes.
El mayor de los problemas que se le plantea a los juristas con la aplicación de esta ley en
este tipo de comunicaciones, es el SPAM. Sobre todo, cómo distinguir el spam de los
envíos comerciales que sí tienen consentimiento. Para ello, esta ley en su apartado 21.1,
no permite el envío de mensajes comerciales que no hubieran sido solicitados o a los que
no se hubiera dado el consentimiento por parte del receptor .
Por otra parte, si se tiene una página web o un blog, con fines comerciales o si en ella se
incluye publicidad de terceros para financiación o se toma algún dato personal de los
usuarios (por ejemplo, el correo electrónico o usuario y contraseña) para enviarles un
boletín o suscribirse a algún servicio, hay que tener muy presente que no solo se debe
cumplir con la LSSICE, sino que también hay que cumplir con el RGPD y la LOPDGDD.
En el caso de que un portal o una tienda online, se debe incluir la

siguiente información, generalmente en un aviso legal o similar:
Denominación social, NIF, domicilio social, correo electrónico de contacto

y datos de inscripción registral.
Cuando existan o sean necesarios
Códigos de conducta a los que se está adheridos, datos de colegiación o

titulación académica.
Si se venden productos
Los precios de los productos, especificando impuestos y gastos de envío.
Para saber más

En el siguiente enlace puedes ver, de forma resumida, las principales leyes
que afectan a las Pymes y autónomos desde el punto de vista de la seguridad
de la información:
Leyes en ciberseguridad que afectan a tu empresa
El artículo 22 de la LSSICE es el que regula la utilización de las cookies en las

páginas web. Las cookies son unos ficheros de texto que se almacenan en los
navegadores de los usuarios y sirven para facilitar el acceso y registro de los usuarios en
una web y recabar información estadística o de uso de los servicios. Por ejemplo, las
cookies permiten mostrar al usuario las páginas en su idioma, analizar sus preferencias,etc.
Algunas, incluso tienen un tiempo de vida limitado. De todas, formas, cualquier usuario
puede desactivarlas en los navegadores o eliminarlas.
En definitiva, si una página web utiliza cookies ya sean propias o de terceros, siempre se
debe pedir el consentimiento previo del usuario. Por ello, es una buena práctica incluir la
política de cookies o un apartado en el Aviso Legal.
Debes conocer
En los siguientes enlaces puedes obtener más información sobre todo lo
relacionado con las Cookies:
Guía sobre el uso de Cookies (pdf - 4,22 MB)
¿Qué debe aparecer en la política de cookies de mi web?
¿Qué son las cookies? ¿Cómo nos aplica su Ley?
Entre Cookies y Privacidad
Adicionalmente, hay que tener presente la necesidad de informar de una serie de puntos
cuando se tiene un sitio web a través del cual se pueden contratar servicios online. Esta
información hay que darla previa al contrato:
Los trámites a seguir por el usuario para «celebrar» el contrato.
Si se almacenará el documento electrónico y si estará disponible posteriormente para

su descarga por parte del cliente.
Los medios técnicos disponibles para corregir datos erróneos durante la contratación.
Las lenguas en las que podrá formalizarse el contrato.
Las condiciones generales a que debe sujetarse el contrato.
Autoevaluación
La Ley LSSI:
Se aprobó en 2002.
Se aprobó en 1999 con la anterior ley de protección de datos.
Se revisó en 2002.
Se aprobó en 2018 y la LOPDGDD en 2002.
Muy bien! Se puede deducir del enunciado Ley 34/2002.
Incorrecto. Se aprobó más tarde.
Incorrecto. Se aprobó en 2002.
Incorrecto. La LOPDGDD es posterior a la LSSI.
Solución
1. Opción correcta
2. Incorrecto
3. Incorrecto
4. Incorrecto
3.- Normas ISO sobre gestión de

seguridad de la información.
Caso práctico
—Laro, ¿cuál ha sido el motivo de cambiar la web?
—Para que cumplamos la Ley, María.
—¿Por qué no lo habíamos pensado antes?
—Pues no sé que decirte. Lo que sí te puedo decir es

que no habría pasado si tuviésemos nuestra instalación
certificada con ISO.
—¿ISO?
—Sí, son normas que certifican que se cumple con la

Alain Bachellier (CC BY-NC-
SA)
calidad.
La definición de la palabra ISO para la RAE significa "igual". Las normas ISO pretenden
normalizar, igualar, estandarizar comportamientos o características en distintos ámbitos .
Las normas ISO que regulan la gestión de la información son las que se agrupan bajo el
estándar ISO/IEC 27000. Están publicados por la Organización Internacional para la
Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). Estas normas
contienen:
Los procedimientos adecuados para las medidas preventivas del hombre, de

las
organizaciones y de los sistemas tecnológicos que permitan resguardar y
proteger la información buscando mantener la confidencialidad, la
disponibilidad
e integridad de la misma para desarrollar, implementar y
mantener
especificaciones para los Sistemas de Gestión de la Seguridad de la Información
(SGSI).
De manera similar a otras normas ISO, la 27000 es realmente una serie de estándares con
un rango de numeración que va desde 27000 al 27019 y desde 27030 al 27044. Entre
estas normas se pueden destacar las siguientes:
La norma UNE ISO/IEC 27001
Es la norma principal de la serie y contiene los requisitos del sistema de
gestión de seguridad de la información. Especifica un sistema de gestión

de seguridad de la información certificable. La certificación de un SGSI es
un proceso mediante el cual una entidad de certificación externa,
independiente y acreditada audita el sistema, determinando su
conformidad con la ISO/IEC 27001, su grado de implantación real y su
eficacia y, en caso positivo, emite el correspondiente certificado.
Conjunto de controles de seguridad para sistemas de información

genéricos orientados, inicialmente, al comercio electrónico. La norma UNE
ISO/IEC 27002 aporta un conjunto de 133 controles y de
recomendaciones, dirigido a los responsables de promover, implantar y
mantener la seguridad, con el fin de conseguir un código de buenas
prácticas para la gestión de la seguridad de la información.
Describe el proceso de especificación y diseño desde la concepción hasta

la puesta en marcha de planes de implementación, así como el proceso de
obtención de aprobación por la dirección para implementar un SGSI.
Para saber más

En el siguiente enlace podrás acceder a los contenidos de las normas
ISO27000.
ISO27000
Debes conocer
A través del siguiente enlace puedes descargarte una guía sobre SGSI:
Guía de apoyo a un SGSI (pdf - 0,34 MB)
Autoevaluación
Las normas ISO:
Son normas de seguridad.
Son normas de calidad.
Son normas de seguridad del correo electrónico.

Son normas de integridad.
Incorrecto. Hay una parte que son de seguridad pero no todas.
Muy bien! Son normas de calidad para muchos campos, no sólo

seguridad informática.
Incorrecto. Son normas de calidad para muchos más campos.
Incorrecto. La integridad es una cualidad de los sistemas seguros.
Solución
1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto
3.1.- PDCA.
La implantación de las normas ISO está basada en el ciclo PDCA, también conocido
como "Círculo de Deming" o "Círculo de Gabo" . Este proceso se divide en cuatro pasos:
Planificar.
Hacer.
Verificar.
Actuar.
El primero de los pasos (planificar-P) es que le debe requerir más tiempo porque en él se
pretende:
Identificar lo que se quiere mejorar.

Recopilar datos del proceso que se quiere mejorar.
Analizar los datos recogidos.
Establecer los objetivos de mejora.
Detallar los resultados esperados.
Definir los procesos necesarios conseguir los
objetivos.
El segundo paso (hacer-D) debe implementar los

procesos diseñados, si es posible debería hacerse
en un entorno de prueba para poder verificar sus
resultados antes de implantarlo en el sistema real.
El tercer paso (verificar-C) es la parte en el que se

debe comprobar que las medidas adoptadas han
surtido efecto. Para ello se debe volver a recopilar
datos y monitorizar el comportamiento del sistema.
El último paso (actuar-A) es la actitud que se

debe tomar después de extraer las conclusiones Karn G. Bulsuk (CC BY)
tras los tres primeros pasos y dependerá de lo que
haya ocurrido. En caso de haber ocurrido algún mal funcionamiento, se deberá repetir el
ciclo de nuevo. Si el funcionamiento ha sido correcto, se instalarán las modificaciones en el
sistema de manera definitiva.
Para saber más

En el siguiente enlace puedes ver asuntos relacionados con la navegación
segura por Internet:
Navegación segura y privada para ti y tu empresa. Parte I
Navegación segura y privada para ti y tu empresa. Parte II
También puedes ver un vídeo sobre PDCA en el siguiente enlace:
Casos Prácticos en PDCA
4.- Organismos de gestión de incidencias.
Caso práctico
—Juan, Vindio y Laro, estamos muy
contento de todo el trabajo que habéis
realizado. Pero, aún así, creo que seguimos
siendo vulnerables a que un intruso pueda
dañar nuestro sistema.
—Ya, Félix, pero de eso nunca se está a

salvo del todo. Siempre hemos dicho que
ningún sistema es 100% seguro. Los
sistemas son más o menos fiables, pero Let Ideas Compete (CC BY-NC-ND)
seguros no hay ninguno.
—Hace unos días le comenté a María que hay muchas personas que velan
por la seguridad. Estas personas siempre están informadas de las incidencias
que se dan en los sistemas.
—¿Cómo? Explícame con detalle eso que me estás diciendo, Juan.
—Existen organismos que se encargan de recoger esas incidencias, estudiar

las causas que las originan y proponer soluciones.
—Eso me consuela, aunque sea un poco.
Una incidencia es cualquier anomalía que pudiera afectar a la seguridad de los datos
personales. La incidencia en sí, puede no producir daño sobre los mismos. Cuando ocurre
una incidencia en un sistema es necesario comunicársela a algún centro de gestión de
incidencias. De este modo se puede resolver el problema producido o facilitar la resolución
del mismo en algún incidente futuro.
En España existen varios centros de gestión de incidencias (CERT). Estos organismos

gestionan las incidencias tecnológicas producidas en los sistemas donde se ha producido.
Algunos de estos centros destacables son:
CCN-CERT: Capacidad de Respuesta a incidentes de Seguridad de la

Información del Centro Criptológico Nacional (CCN), dependiente del
Centro Nacional de Inteligencia (CNI).
INCIBE-CERT: Apoyo preventivo y reactivo en materia de seguridad en

tecnologías de la información y la comunicación tanto a entidades como a
ciudadanos.Pertenece al Instituto Nacional de Tecnologías de la
Comunicación. Tiene vocación de servicio público sin ánimo de lucro y
ofrece ayuda gratuita.
IRIS-CERT: Centro de gestión de incidentes de la red IRIS. RedIRIS es la

red académica y de investigación española que proporciona servicios
avanzados de comunicaciones a la comunidad científica y universitaria
nacional.
Concretamente, a través del CCN-CERT se puede llevar a cabo un registro de incidentes

utilizando una herramienta llamada LUCÍA (Listado Unificado de Coordinación de Incidentes
y Amenazas). También INCIBE-CERT ofrece un servicio de respuestas a incidentes.
En Europa existe un grupo que interconecta varios CERT de diferentes países, se

denomina EGC GROUP y su misión es coordinarse en la respuesta a incidentes que
puedan afectar a los países miembros. En su sitio web puedes ver, para cada uno de los
países que conforman dicho grupo, quienes son los organismos encargados del registro de
incidentes.
Para saber más

En el siguiente enlace puedes ver un vídeo sobre el CCN-CERT:
CCN-CERT
También puedes acceder a los sitios web de CCN-CERT y de INCIBE-CERT

para el registro de incidencias a través de los siguientes enlaces:
LUCÍA
Servicio de respuesta a incidentes de INCIBE-CERT

SAD07. - Legislación y Normas Sobre Seguridad

Cargado por

Copyright:

Formatos disponibles

SAD07. - Legislación y Normas Sobre Seguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

SAD07. - Legislación y Normas Sobre Seguridad

Cargado por

Copyright:

Formatos disponibles

28/6/22, 12:55 SAD07.- Legislación y normas sobre seguridad.

Legislación y normas sobre seguridad.

Por ello, el proceso de los datos personales que se

Por último se aborda el tema de los organismos encargados de la gestión de incidencias,

Ministerio de Educación y Formación Profesional (Dominio público)

Materiales formativos de FP Online propiedad del Ministerio de

1.- Legislación sobre protección de datos.

—¿Es que se pueden perder?

—Me refiero a protegerlos, a que nadie pueda

—¿Pero quién va a hacer eso, Juan?

—Todos los datos de nuestros clientes son

Un dato, según la RAE es:

Antecedente necesario para llegar al conocimiento exacto de algo o para

Documento, testimonio, fundamento.

Información dispuesta de manera adecuada para su tratamiento por un

El aumento desmesurado en el uso de

Con la nueva normativa , se introduce un estándar único europeo de protección de datos .

1.- Las empresas

2.- Los consumidores

Verán sus derechos (consentimiento expreso, derecho al olvido, etc.) protegidos

En general, el cumplimiento y aplicación de la nueva normativa proporciona las siguientes

Demostrar respeto por los clientes, su privacidad y sus derechos como

Mostrar transparencia y respeto por el resto del comercio al acatar las

Evitar sanciones y problemas con terceros.

Mejorar la imagen institucional al ser más confiables.

En 2016, la Unión Europea aprobó el Reglamento

En España, esta normativa ha sido adaptada y

Cosas (IoT). Además, facilita el desarrollo de los

Es importante resaltar que LOPDGDD deroga la anterior Ley de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) es el organismo oficial español que

Para saber más

Reglamento de protección de las personas físicas en lo que respecta al

Ejerce tus derechos

Cumple tus deberes

También hay que destacar el nuevo reglamento de 23 de

A este sistema europeo de reconocimiento de identidades

Se trata de una norma de aplicación en el ámbito de la Unión

1.- Las condiciones en las que los Estados Miembros

Todo este reglamento se basa en un conjunto de nodos de interoperabilidad (nodos eIDAS)

Para saber más

Reglamento de identificación electrónica y de los servicios de confianza para

También puedes obtener más información sobre el nodo eIDAS español en

Nodo eIDAS español

Preguntas frecuentes sobre eIDAS (pdf - 0,45 MB)

Verificar la integridad del documento firmado.

Garantizar el no repudio en el origen.

Contar con la participación de un tercero de confianza.

Estar basada en un certificado electrónico reconocido.

Debe de ser generada con un dispositivo seguro de creación de firma.

Para saber más

Prestadores de servicios electrónicos de confianza cualificados

Base legal de la Firma Electrónica

Es un reglamento que solamente se debe aplicar en algunas regiones.

Es una normativa que no está aprobada todavía.

Es una norma que se debe cumplir en toda España.

Es una ley que se debe cumplir en todo el Mundo.

Incorrecto. Es un reglamento que debe cumplirse en todos los países

Incorrecto. Se aprobó en mayo de 2016 y se comenzó a aplicar en mayo

Muy bien! Debe cumplirse en toda España y en todos los países