Вы находитесь на странице: 1из 6

Unidad 1.

Conceptos bsicos de la seguridad informtica

tImpacto: la empresa podra llegar a la quiebra, puesto


que no dispone de datos de clientes ni de proveedores,
ni tampoco de las facturas ya realizadas.
tVulnerabilidad: se genera por el hecho de no tener instalado un antivirus.

Unidad 1. Conceptos
bsicos de la seguridad
informtica

En consecuencia, puesto que el impacto es mayor, el riesgo


aumenta.

Materiales y recursos
Para llevar a cabo las actividades y ejercicios propuestos se
necesita:

Cuando el impacto se incrementa, aunque la vulnerabilidad


sea la misma, existe ms riesgo. Por ejemplo, aunque nuestro porttil personal y el ordenador que controla el piloto
automtico de un avin tengan la misma vulnerabilidad, el
riesgo que est corriendo la empresa de aviacin es mucho
mayor que la nuestra.

t0SEFOBEPSDPOBDDFTPB*OUFSOFU
t-QJ[ZQBQFM

Actividades

3. Analiza si aumenta o disminuye el riesgo en caso de


que se instale un cortafuegos y se mantenga un antivirus actualizado en el porttil del director de SiTour.

1. Asocia los mecanismos con los objetivos de la seguridad informtica.


Segn se ha estudiado en la unidad, los objetivos de la seguridad informtica son cuatro: confidencialidad, integridad,
disponibilidad y no repudio. Existen numerosos mecanismos
para conseguir estos objetivos, entre los que destacan las
leyes de proteccin de datos, la autenticacin, la autorizacin, la encriptacin, etctera. En la siguiente tabla se relacionan los mecanismos con los objetivos correspondientes.
Mecanismos

Si se dispone de un antivirus actualizado y de un cortafuegos, las vulnerabilidades disminuyen, por lo que el riesgo
es menor.
Es decir, cuanto menos vulnerable sea el equipo, menor
riesgo habr.
4. Supn que en el ordenador porttil con cmara web
integrada que tienes en tu habitacin, no tiene cortafuegos activo, no hay instalado un antivirus y lo tienes
siempre conectado a Internet. Un desconocido toma el
control de tu porttil y te das cuenta porque te encuentras la cmara web encendida y t no la has conectado.

Objetivos

Autenticacin

No repudio

Autorizacin

Condencialidad

Auditora

Disponibilidad

Encriptacin

Condencialidad e integridad

Copias de seguridad

Disponibilidad

Imgenes de respaldo

Disponibilidad

Antivirus

Integridad y disponibilidad

Cortafuegos

Integridad

Servidores proxy

Integridad

Firma electrnica
y certicados

No repudio y condencialidad

LOPD

Condencialidad

Analiza activos, vulnerabilidades y riesgos, y detalla


cules podran ser los daos producidos y el impacto
de los mismos.
tActivos: el porttil, as como los programas y datos que
hay en l.
tVulnerabilidades: el hecho de tener conectado el ordeOBEPSB*OUFSOFUZTJOEJTQPOFSEFBOUJWJSVTOJDPSUBGVFgos supone una vulnerabilidad para el equipo.
tDaos: el atacante desconocido podra, por ejemplo, eliminar cualquier dato del disco duro o realizar operacioOFTJMFHBMFTEFTEFUVPSEFOBEPS5BNCJOQPESBHSBCBS
con la cmara lo que ocurre en tu habitacin y publicarlo
EFTQVTFO*OUFSOFU
tImpacto: es muy alto, ya que las consecuencias pueden
ser importantes.
tRiesgos: tambin son altos, ya que el equipo es muy
vulnerable y el impacto muy alto.

Tabla 1.1. Relacin de mecanismos y objetivos.

2. Analiza si aumenta o disminuye el riesgo en caso


de que el dao sufrido por SiTour sea, adems de la
prdida de datos de los clientes, la prdida de facturas
y datos de proveedores. Identifica previamente activos,
daos, impactos y vulnerabilidades.

5. Imagina ahora que la persona que ha tomado el control de tu ordenador no hace nada en tu ordenador y t
no te das cuenta de esta situacin. Un da te dejas conectado tu DNI electrnico en el lector del ordenador.

&ODBTPEFRVFMBFNQSFTB4J5PVSUBNCJOUVWJFSBMPTEBUPT
de las facturas y de los proveedores (adems de los datos de
los clientes) solamente en el porttil del director:
tActivos: los datos de los clientes y proveedores, el equipo porttil y las facturas.
tDaos: la prdida de los datos de facturas de proveedores y clientes.
11

Analiza los posibles riesgos y el impacto de los mismos.


tImpacto:FMBUBDBOUFQPESBmSNBSPQFSBDJPOFTFO*OUFSnet con tu nombre. Podra, por ejemplo, rmar contratos,
acceder a datos bancarios o solicitar tu vida laboral. Para
ello, tambin tendra que conocer tu contrasea, pero
con un poco de tiempo, empeo y conocimientos podra
conseguirla.

Unidad 1. Conceptos bsicos de la seguridad informtica

QBSB8JOEPXT91 UFOESBNPTFTUBWVMOFSBCJMJEBEFOOVFTUSP
sistema para siempre.

tRiesgos: en este caso el impacto de los daos producidos


es mucho mayor y, aunque la vulnerabilidad sea la misma, esto signica que el riesgo que estamos corriendo es
mucho mayor.

8. Analiza el artculo del primer apartado de la unidad


e identifica el tipo de atacante del que hablan y el tipo
de ataque que realiza.

6. Que clasificacin de las que hemos estudiado en la


Tabla 1.6 han dado a la vulnerabilidad que se comenta
en el Sabas que? de esta misma pgina?

En el titular de la noticia se habla de un hacker, pero despus se dice que se trata de un grupo organizado dedicado
a vulnerar la seguridad de sistemas... con el fin de utilizar la informacin para fines ilegtimos. Es decir, en realidad se trata de un cracker, porque intentar obtener algn
beneficio de sus acciones.

Para saber qu tipo de clasificacin tiene el boletn MS09027 hay que acceder a l poniendo en el navegador boletn MS09-027. En el ttulo del artculo se indica su clasificacin que, en este caso, es crtica.
7. Busca una de las ltimas vulnerabilidades publicadas
por Microsoft que afecte a uno de sus sistemas operativos.
Haz un informe con los siguientes puntos:
tla descripcin de la vulnerabilidad,
tBRVTPGUXBSFBGFDUB
tRVDMBTJmDBDJOMFIBEBEP.JDSPTPGU 
tRVJNQBDUPQPESBUFOFS TJFOUVPQJOJOBGFDUBB
nuestros sistemas (los de clase),
tRV NFEJEBT UFOFNPT RVF UPNBS QBSB DPSSFHJS FTUB
vulnerabilidad.

En cuanto al tipo de ataque, dada la magnitud de las acciones, probablemente se hayan utilizado varios (en realidad
muchos) de los tipos explicados en la unidad, pero en el
texto no se detalla el procedimiento seguido para llevarlo
a cabo.
9. Analiza cules de las pautas no cumple el sistema
que tienes en tu casa.
Los alumnos deben analizar las circunstancias en que se
encuentran los ordenadores de sus casas y comprobar cules, de las recomendaciones explicadas, cumplen.

Cada alumno puede buscar una vulnerabilidad diferente.


Despus se puede hacer una puesta en comn en la que
cada alumno haga un resumen y una exposicin de la vulnerabilidad elegida.

Se podra aadir una segunda parte a esta actividad que


consistira en analizar el coste (en esfuerzo de instalacin y
configuracin, econmico, de conocimientos, etctera) que
supondra cumplir las pautas que an no se han activado.

5PNBSFNPTDPNPFKFNQMPFMCPMFUOEFTFHVSJEBEEF.JDSPsoft MS09-001, en el que se define una actualizacin de


seguridad que afecta al mdulo SMB de varias versiones de
Windows y que permite a un atacante ejecutar un cdigo
dentro del ordenador atacado y, en consecuencia, admite la
instalacin de programas, creacin de usuarios, etctera.

10. Dadas las siguientes situaciones, identifica el tipo


de infraccin que SiTour est cometiendo. Para ello consulta el artculo 43 de la LOPD:
t4J5PVSSFBMJ[BFMFOWPEFPGFSUBTZQSPNPDJPOFTTJO
solicitar la creacin del chero de datos de sus clientes.
t4J5PVSOPFTUSFBMJ[BOEPDPQJBTEFTFHVSJEBEEFMmchero de datos.
t4J5PVSSFBMJ[BMBSFDPHJEBEFEBUPTBTVTDMJFOUFTTJO
informarles de la nalidad del chero.

El protocolo SMB lo utilizan los equipos de Microsoft para


compartir archivos e impresoras en la red.
t$MBTJmDBDJOcrtica.
t"GFDUBB Windows Server 2000, 2003 y 2008, Windows
7JTUBZ8JOEPXT91
t*NQBDUPSuponiendo que nuestra red est protegida del
exterior, un usuario de la red local podra ejecutar un cdigo determinado, crearse cuentas de usuario e instalar
programas en todos los ordenadores de la red. En el caso
de un instituto esto no representara un impacto muy
alto, porque la informacin y los programas que hay en
los equipos de las aulas de un instituto no son crticos.
Sin embargo, si el instituto tuviera un servidor desde el
que gestionaran de forma centralizada las cuentas de los
usuarios, las chas de los alumnos y otros datos crticos,
sera necesario solventar esta vulnerabilidad lo antes posible, porque el impacto sera mayor (por ejemplo, un
da entero sin poder utilizar ningn ordenador del instituto).
t.FEJEBT B UPNBS Microsoft recomienda a sus clientes
que apliquen inmediatamente la actualizacin.

En el artculo 44 de la LOPD se identifican los tipos de


infraccin, se especifican una serie de infracciones y se
catalogan como leves, graves o muy graves. Los alumnos
deberan investigar en el artculo e identificar si las infracDJPOFT DPNFUJEBT QPS 4J5PVS FO MPT DBTPT EFTDSJUPT TPO
leves, graves o muy graves:

Se puede recordar a los alumnos la importancia del soporte


EF.JDSPTPGUBVOTJTUFNBPQFSBUJWPFM41EF8JOEPXT91 
por ejemplo, no soluciona esta vulnerabilidad, lo que significa que si desde Microsoft hubieran retirado el soporte
12

t&OFMDBTPEFOPTPMJDJUBSMBDSFBDJOEFMmDIFSPEFEBUPT 
dentro del punto 2 de infracciones leves (art. 44), en el
apartado c) se indica: no solicitar la inscripcin del chero de datos de carcter personal en el registro... cuando
no sea constitutivo de infraccin grave. Si no se cumple
ninguno de los supuestos descritos en el apartado 3, esta
situacin se clasicar como una infraccin leve.
t&ODVBOUPBOPIBDFSDPQJBTEFTFHVSJEBEEFMmDIFSPEF
datos de carcter personal, como ya se ha especicado
en el Caso prctico 9, el nivel de seguridad de los datos
RVF4J5PVSEFTFBSFDPHFSFTCTJDP1BSBFTUFOJWFM VOB
de las medidas de seguridad que hay que llevar a cabo es
realizar copias de seguridad, como mnimo una vez por
semana. En el apartado h) del punto 3 del mismo artculo se especica mantener los cheros... sin las debidas

Unidad 1. Conceptos bsicos de la seguridad informtica

condiciones de seguridad. En consecuencia, se trata de


una infraccin grave.
t'JOBMNFOUF QPSSFBMJ[BSMBSFDPHJEBEFEBUPTTJOJOGPSNBSB
los clientes de la nalidad, en el apartado d) del punto 2 del
artculo 44, se indica: proceder a la recogida de datos...
de los propios sin proporcionarles la informacin que seala el artculo 5... . El artculo 5 especica de qu deben ser informados los afectados. Entre esa informacin
consta el objetivo de la recogida de datos. As pues, se
trata de una infraccin leve.

3. Comprueba la seguridad de las contraseas que habitualmente utilizas en el comprobador de contraseas de


Microsoft: http://www.microsoft.com/latam/athome/
security/privacy/password_checker.mspx.
Accedemos a la pgina web indicada en el enunciado. Como
ejemplo, tomaremos una contrasea de 6 dgitos y la Escribiremos. El resultado es el que se muestra en la siguiente Figura:

11. Las infracciones de la actividad anterior tienen


asignada una sancin econmica en el artculo 45 de la
LOPD. Bscala e indica cul es en cada caso.
El artculo 45 de la LOPD especifica que las sanciones econmicas de las infracciones sern:
t*OGSBDDJPOFTMFWFTBQFTFUBT
t*OGSBDDJPOFTHSBWFTBQFTFUBT
t*OGSBDDJPOFTNVZHSBWFTBQFsetas.

Fig. 1.1. Comprobador de contraseas de Microsoft.

Podemos comprobar que el programa considera la contrasea poco segura.

En consecuencia, las sanciones que corresponden a las


situaciones planteadas en la actividad anterior son:

A continuacin, probaremos la seguridad de una contrasea


de trece caracteres alfanumricos, en los que se combinen
caracteres en maysculas, letras en minsculas, nmeros
y caracteres especiales. El resultado es una contrasea
segura, como ilustra la Figura 1.2.

t1SJNFSDBTPBQFTFUBT
t4FHVOEPDBTPBQFTFUBT
t5FSDFSDBTPBQFTFUBT
(Hay que tener en cuenta que la ley es anterior al euro.)

Comprueba tu aprendizaje
1. Analiza los perjuicios que puede ocasionarte la conexin a una red Wi-Fi que no pide ningn tipo de contrasea.
Al conectarnos a una red Wi-Fi sin ningn tipo de contrasea nos exponemos a que la persona que paga la conexin
nos espe. Por ejemplo, si consultramos el saldo del nuestra
cuenta bancaria en la red, el espa podra ver el nombre de
usuario y contrasea que utilizamos para acceder al banco y,
posteriormente, podra entrar en nuestra cuenta y saquearla.

Fig. 1.2. Resultado de la comprobacin de una contrasea segura.

2. Analiza la seguridad que tendran las claves formadas exclusivamente por nmeros.

4. Escribe en un papel tu nombre, apellidos, nmero


de telfono mvil, nmero fijo, fecha de nacimiento,
direccin postal, nombre de familiares y mascotas y
nombres de usuario para el equipo de tu casa, el correo electrnico y otros servicios a los que accedes por
Internet. Intercambia tu papel con el de un compaero
e intenta, haciendo combinaciones de estos datos, descubrir sus contraseas.

Si solamente se utilizan nmeros en la creacin de contraseas, la cantidad de combinaciones posibles se reduce


drsticamente y, en consecuencia, el tiempo necesario para
descifrarlas. La siguiente tabla ilustra el estudio de probabilidades y el tiempo estimado para descifrar una contrasea mediante algoritmos de fuerza bruta.
N. dgitos

Probabilidades

Muchas veces evitamos memorizar contraseas complicadas usando datos ms o menos personales (el telfono, la
fecha de nacimiento, etctera) para formar las contraseas
pero, en realidad, esto supone una grave vulnerabilidad en
la seguridad de la contrasea.

Tiempo

100

Un suspiro

10 000

Un suspiro

1 milln

Un suspiro

Mil millones

1,8 minutos

5. En esta actividad vamos a trabajar con Chrome, navegador gratuito diseado por la compaa Google. En
caso de que no lo tengas descrgatelo de Internet. Vete

Tabla 1.2. Comparativa de seguridad en contraseas numricas.

13

Unidad 1. Conceptos bsicos de la seguridad informtica

t6UJMJ[BSDPOUSBTFBT
t6TPEFTJTUFNBTUPMFSBOUFTBGBMMPT FMFDDJOEFMTJTUFNB
de cheros del sistema operativo adecuado.
t&NQMFBSmSNBTZDFSUJmDBEPTEJHJUBMFT
t6TBSBOUJWJSVT
t5FOFSVODPSUBGVFHPTBDUJWBEP
t$POUBSDPOTFSWJEPSFTQSPYZT
t6UJMJ[BSMJTUBTEFDPOUSPMEFBDDFTP

a la pgina de Gmail, es decir, al correo electrnico de


Google, y busca en ella el certificado que utiliza Gmail.
Debemos acceder a la pgina de Gmail y comprobar el certificado, que se encuentra cerca de la esquina derecha, representado por un candado. Si hacemos clic sobre l aparecer
el certificado (Fig. 1.3).

Lgica pasiva:
tRealizar copias de seguridad para poder restaurar la informacin en caso de prdida.
tUso de conjunto de discos redundantes.
7. Indica los pasos que debemos realizar para conseguir
mejorar la seguridad informtica.
En el epgrafe 4.4 del libro del alumno (Pautas de proteccin para nuestro sistema), se dan algunas ideas para
resolver esta cuestin. Los alumnos deben indicar, como
mnimo, los puntos que se especifican en este apartado, y
pueden ampliar la respuesta con otras medidas y consejos
RVFFODVFOUSFOFOMJCSPTPFO*OUFSOFU

Fig. 1.3. Certicado de Gmail.

6. Rellena la siguiente tabla:


Mecanismos de Seguridad
Fsica
activa

Fsica
pasiva

Lgica
activa

Lgica
pasiva

8. Imagina que la empresa en la que eres responsable


de seguridad sufre un ataque a travs del servidor Web
utilizando una vulnerabilidad conocida. Qu medidas
tomaras?
Lo ms complejo en esta situacin es detectar cul es la
vulnerabilidad que han aprovechado los atacantes para provocar el dao.

Mecanismos de seguridad
Fsica activa:
t&WJUBSTJUVBSFMDFOUSPEFQSPDFTBNJFOUPEFEBUPTDFSDB
de zonas donde se manejen o almacenen sustancias inamables o explosivos.
t&WJUBSMBVCJDBDJOEFMPTDFOUSPTEFDMDVMPFOMBTQMBOtas bajas de los edicios, para protegerlos de la posible
entrada de aguas superciales.
t&WJUBS DPMPDBS MPT DFOUSPT EF DMDVMP DFSDB EF MVHBSFT
con gran radiacin de seales electromagnticas, pues
pueden interferir en el correcto funcionamiento de los
equipos informticos y del cableado de red.
t*NQFSNFBCJMJ[BSMBTQBSFEFTZUFDIPTEFM$1%ZTFMMBSMBT
puertas, para evitar la posible entrada de agua proveniente de las plantas superiores.
t1SPUFHFS MPT DFOUSPT EF DMDVMP NFEJBOUF QVFSUBT DPO
medidas biomtricas, cmaras de seguridad, vigilantes
jurados, etctera, para evitar la entrada de personal no
autorizado.
Fsica pasiva:
t&MNPCJMJBSJPEFMPTDFOUSPTEFDMDVMPEFCFTFSJHOGVHP
t4JTUFNBTBOUJJODFOEJPT EFUFDUPSFTEFIVNP SPDJBEPSFTEF
gas, extintores, etctera para sofocar un incendio en el
menor tiempo posible y as evitar que se propague, ya que
esto podra ocasionar numerosas prdidas materiales.
Lgica activa:
t$JGSBS MB JOGPSNBDJO BMNBDFOBEB FO MPT TPQPSUFT QBSB
que, en caso de robo, no sea legible.
14

Una vez se ha averiguado y sabemos a qu programa pertenece, debemos acceder a la pgina web de la compaa y
comprobar que la empresa est al tanto de esta vulnerabilidad.
Como en el enunciado se nos especifica que es conocida,
debemos proceder siguiendo las indicaciones que nos facilite la compaa. Lo ms usual es que exista un parche
para solucionarlo, que simplemente tendremos que instalar
en nuestro sistema.
/P FTU EF NT SFDPSEBS RVF FM BENJOJTUSBEPS EFM TJTtema debe estar al da de las listas de noticias en las que
las empresas publican sus propias vulnerabilidades y sus
correspondientes soluciones. En este caso, si hubiramos
instalado el parche antes del ataque, no hubiramos sido
tan vulnerables.
Por ejemplo, si utilizamos el servidor web Apache, como
responsables del departamento de seguridad deberamos
estar suscritos a su lista de correo de seguridad (security@
apache.org) y una o varias personas del departamento
deberan leer los correos, analizar si las vulnerabilidades
afectan o no a nuestro sistema y tomar medidas en caso de
que sea necesario.
De esta manera, el departamento hubiera podido conocer la
vulnerabilidad el mismo da que fue publicada por Apache.
9. Pon un ejemplo de sistema en el que los riesgos
estn asociados a impactos altos y otro ejemplo en el
que estn asociados a mayor probabilidad de vulnerabilidades.

Unidad 1. Conceptos bsicos de la seguridad informtica

da para recibir en tu correo electrnico una noticia


cada da sobre problemas de seguridad que afecten a
cualquier sistema. Elige una noticia que afecte a un
sistema que conozcas y haz un resumen del problema
de seguridad en tu cuaderno.

En general, los impactos ms altos se asocian a sistemas


de los que dependen vidas humanas, as que un ejemplo de
este tipo seran los equipos que controlan el trfico areo.
Aunque tengan un nivel de vulnerabilidad bajo su impacto
es muy alto, porque un fallo en estos equipos podra provocar, por ejemplo, un choque entre aviones.
Un caso de riesgos provocados por alta vulnerabilidad es
la prdida de datos en el hogar. Por ejemplo, si en casa
tenemos un ordenador en el que guardamos las fotos de
nuestras vacaciones y es el mismo desde el que nos conecUBNPTTJOBOUJWJSVTB*OUFSOFUZBMFNVMF QPEFNPTQFSEFS
las fotos si entra un virus que formatea el disco duro.

Estar suscrito a esta lista permite informarse de algunas


noticias de seguridad que afectan a los programas y sistemas operativos ms importantes.
En cuanto a la segunda parte de esta actividad, cada
alumno deber elegir una noticia de la lista que en ese
momento tenga publicada Hispasec.
Un complemento a esta actividad podra ser que un alumno
leyera su resumen y que, despus, el resto de compaeros
comentaran y discutieran la noticia.

En este caso, el impacto no es muy alto, porque solo se


perderan fotos personales. El riesgo, pues, viene provocado
fundamentalmente por la vulnerabilidad del equipo, que no
tiene instalado antivirus y es el que utilizamos para instalar
programas y abrir ficheros de dudosa procedencia (no de la
pgina oficial).

14. Busca informacin sobre las listas Robinson y averigua en qu consisten, cmo funcionan, quin puede
entrar a formar parte de ellas y cul es el procedimiento para que una persona sea incluida en ellas.

10. Busca una noticia en un peridico sobre seguridad


informtica e identifica los tipos de atacantes y los tipos de ataques. Crees que el ataque se pudo llevar a
cabo debido a una mala planificacin de la seguridad?

En la seccin Qu es? de la pgina www.listarobinson.es


se puede encontrar gran parte de la informacin solicitada.
Se trata de un servicio de exclusin publicitaria gestionado por la Federacin de Comercio Electrnico y Marketing
Directo, creado de acuerdo con la LOPD. Es, pues, una base
de datos comn en la que los ciudadanos pueden inscribirse
para ser excluidos de determinados procesos publicitarios
que lleven a cabo las empresas. Estas, antes de realizar
una campaa publicitaria dirigida a personas que no sean
sus clientes, tienen la obligacin de consultar esta base de
datos.

Para localizar una noticia sobre seguridad podemos acceder a Google noticias http://news.google.com/nwshp?hl
=es&tab=wn y buscar la palabra hacker.
Es una gran motivacin para los alumnos constatar que los
conocimientos en informtica les permiten hacer y controlar muchas cosas. Sera bueno que cada uno eligiera una
noticia diferente para que despus puedan comentar entre
todos las ms impactantes.
11. Infrmate en la pgina de Microsoft sobre la vulnerabilidad MS07-041 que afecta al servidor Web de
Microsoft Internet Information Server.
&TUBWVMOFSBCJMJEBEBGFDUBBTFSWJEPSFTXFC**4 *OUFSOFU
*OGPSNBUJPO4FSWFS
WJOTUBMBEPTTPCSFFMTJTUFNBPQFSBUJWP8JOEPXT91CJUT41
Un posible atacante podra utilizar esta vulnerabilidad para
obtener el control completo sobre la mquina afectada.
12. Busca un boletn de seguridad de Microsoft en el
que se publique una vulnerabilidad de Windows 7. Escribe en tu cuaderno un resumen, cmo ha sido clasificado, a qu sistemas afecta, si crees que nos afectara y
cmo pueden protegerse los equipos afectados de esta
vulnerabilidad.
Sera interesante que los alumnos buscaran boletines diferentes. Un ejemplo sera el MS09-056, en el que se habla de
una vulnerabilidad clasificada como importante en WinEPXT$SZQUP"1* RVFQFSNJUJSBBVOBUBDBOUFPCUFOFSFM
certificado de un usuario y suplantar su identidad. Afecta a
.JDSPTPGU8JOEPXT 91 7JTUBZ ZB8JOEPXT4FSWFS
2003 y 2008.
Microsoft recomienda instalar la actualizacin correspondiente para solucionar el problema.

Cualquier persona puede inscribirse en la lista, solo tiene


que rellenar un formulario en el que debe indicar sus datos
y las direcciones y medios a travs de los cuales no desea
recibir publicidad.
15. En el Caso prctico 9 vimos el procedimiento que
seguido por SiTour para almacenar y gestionar los datos
de sus clientes segn la normativa vigente. Una vez que
ha realizado todo este proceso, SiTour enva a SiCon,
una empresa de construccin con la que tiene acuerdos
comerciales, los datos de su fichero de clientes pero no
informa a estos del envo. Responde a las siguientes
preguntas:
tCul es el organismo que se ocupa de controlar y
multar estas infracciones?
t{&ORVMFZTFSFDPHFOMBTTBODJPOFTBBQMJDBS
t{$VMFTMBHSBWFEBEEFMBJOGSBDDJORVFFTUDPNFtiendo?
t{2VNVMUBQVFEFOUFOFS
Nota: Es la primera vez que se sanciona a estas empresas y el volumen de datos afectados no es muy alto,
por lo que las sanciones a aplicar sern las mnimas
posibles.
t-B"HFODJBEFQSPUFDDJOEFEBUPT
t&OMBMFZEFQSPUFDDJOEFEBUPT MFZPSHOJDB
t&MBQBSUBEPC
EFMQVOUPEFMBSUDVMPTFFTQFDJmDB
que la comunicacin o cesin de los datos de carcter

13. Accede a la pgina de Hispasec Sistemas http://


www.hispasec.com/index_html y suscrbete a Una al
15

Unidad 1. Conceptos bsicos de la seguridad informtica

personal, fuera de los casos en que estn permitidas


supone una falta muy grave. Puesto que el artculo 27
establece que en caso de cesin de datos es necesario
informar al afectado, esto supone una infraccin muy
grave.
t-BTTBODJPOFTQBSBFTUFUJQPEFJOGSBDDJOQVFEFOWBSJBS
de 50.000.000 a 100.000.000 de pesetas. Puesto que se
especica en el ejercicio que la sancin debe ser la mnima, esta ser de 50.000.000 de pesetas.
16. Terminado este curso y con la formacin adquirida,
decides montar una empresa en Internet que se va a
dedicar a ofrecer un disco duro on-line. Necesitas de
cada usuario: nombre, apellido, telfono y direccin de

16

correo electrnico. En qu afectan estos datos a la formacin de tu empresa? Qu medidas de seguridad tendrs que tomar cuando almacenas esta informacin?
Al pedir informacin personal a los clientes, tenemos la
obligacin de solicitar la creacin de un fichero de datos de
carcter personal.
Puesto que la informacin obtenida (nombre, apellidos,
telfono y direccin de correo electrnico) no est especialmente protegida ni son datos relativos a la salud, deberemos aplicar un nivel de seguridad bsico, y las medidas
que tendremos que establecer son las mnimas (consultar
5BCMBEFMMJCSPEFMBMVNOP