Вы находитесь на странице: 1из 27

1.

SEGURIDAD Y PROTECCIÓN DE DATOS

1.1. Seguridad en las TI


1.1.1. Contexto de la seguridad de la información

La gestión de la seguridad de la información tiene como propósito proteger los activos de la organización,
considerando como activo cualquier recurso asociado con la información (datos y sistemas que los
soportan) que intervenga en los procesos de negocio de la entidad.

1.1.2. ¿Qué es la Seguridad de la Información?

La seguridad de la información es el conjunto de políticas, prácticas, procedimientos, tecnología y


organización cuyo objetivo es proteger la información de la empresa con el fin de minimizar los riesgos a los
que está expuesta, a efectos de garantizar la continuidad del negocio, minimizar las incidencias en la
organización y maximizar el retorno de inversión y las oportunidades del negocio.

La seguridad debe ser eficiente y eficaz para garantizar la protección de la información:


· Seguridad eficaz.
· Seguridad eficiente.

La seguridad de la información se basa en garantizar tres dimensiones: la confidencialidad, la integridad


y la disponibilidad:
1. CONFIDENCIALIDAD.
2. INTEGRIDAD.
3. DISPONIBILIDAD.

1.1.3. Situación ideal de la Seguridad de la Información

Solamente aquellas organizaciones con un alto grado de madurez en su proceso de gestión de la seguridad
de la información consiguen el equilibrio necesario: riesgo/coste.

Son precisamente aquellas organizaciones que implantan procesos estructurados de gestión de la


seguridad, lo que se conoce como un Sistema de Gestión de Seguridad de la Información.

1.1.4. Situación real de la seguridad de la información

La razón del desequilibrio se produce cuando sólo se invierte en tecnología de seguridad y no se


desarrollan políticas y estructuras funcionales.

La implantación de políticas y normativas impacta en toda la organización, lo que exige que se involucren
todos los empleados y colaboradores, incluyendo el necesario liderazgo de la dirección.

1.1.5. ¿En qué consiste la Gestión de la Seguridad?

La Gestión de la Seguridad de la Información debe ser un proceso formal que debe estar alineado con las
necesidades del negocio de la organización.
Página 1 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

¿Cómo alcanzar un adecuado nivel de seguridad de los activos de información de la organización?:

· Implantando un conjunto adecuado de controles: políticas, prácticas, Etc.

· Los controles deben establecerse para asegurar que se cumplen los objetivos específicos de
seguridad de la organización y consiguen mitigar los riesgos identificados.

· La gestión de la seguridad se apoya en un proceso de mejora continua que debe adaptarse a los
nuevos escenarios de riesgo tanto de la organización como de su entorno.

Se consigue el nivel adecuado de seguridad a través de la implantación de un Sistema de Gestión de la


Seguridad de la Información.

1.1.6. Decálogo de seguridad de la información

A continuación, se presentan diez principios generales que son aspectos básicos de la seguridad de la
información y que, en consecuencia, podrían incluirse en el documento de política de seguridad de cualquier
organización.

1. La Información es un recurso estratégico. La Información se considera un activo de carácter


estratégico para las organizaciones, por tanto, su protección debe considerarse como vital.

2. La Información debe ser valorada en cuanto a los daños que produciría la degradación de las
dimensiones básicas de la seguridad.
Confidencialidad.
Integridad.
Disponibilidad.

3. La Seguridad de la Información es la aplicación de medidas para garantizar y preservar la


Confidencialidad, Integridad y Disponibilidad de la Información durante todo su ciclo de vida, en
cualquier formato que se utilice y en cualquier lugar donde se encuentre.

4. Las medidas de seguridad se aplicarán en proporción a los daños que produciría la pérdida de
confidencialidad, integridad o disponibilidad. La valoración se puede realizar respecto a diferentes
criterios (cuantitativamente, cualitativamente...) pero, en todo caso, se debe determinar la
importancia de ese activo y el impacto que supone una pérdida de cualquiera de sus atributos
básicos de seguridad. La valoración dependerá del tipo de negocio de la organización. Un mismo
activo se valorará de distinta forma según su participación en los procesos de negocio. Una
empresa que ofrezca un servicio 24x7 valorará la disponibilidad como crítica, sin embargo para un
despacho de abogados la confidencialidad podrá tener mayor relevancia.

5. El acceso a la información se concederá en base a la necesidad de conocer. Para información


clasificada se deberá contar además con una habilitación personal.
Habilitación Personal: Evaluación de la fiabilidad de un usuario para manejar información sensible.
Necesidad de conocer: Determinación positiva del propietario del activo, por la que se confirma
que una persona requiere el acceso a determinada información para poder desempeñar sus
funciones.

Página 2 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
6. La Seguridad de la Información es responsabilidad de todos los miembros de la Organización, los
cuales deberán estar adecuadamente formados y concienciados.

7. Las medidas para la seguridad de la Información deben ser coordinadas e integradas con el resto
de Áreas que conforman la Seguridad de la Organización, con el fin de conformar un Sistema
Integral de Seguridad coherente y eficaz.

¿Cómo se percibe? ¿Cómo se logra?

Es necesario definir las funciones de las dos figuras más importantes de la gestión de la seguridad
de la información en la empresa:

Comité de Dirección:
· Resuelve los asuntos interdisciplinarios y apruebe las directrices y normas.
· Asesora a la Gerencia/Propiedad en relación con la planificación de la estrategia de
seguridad de la información.
· Traduce la política de seguridad en un plan de seguridad.
· Verifica la efectividad de la política de seguridad.
· Promueve la concienciación en seguridad de la Información.
· Asesora sobre recursos.

Responsable de Seguridad TIC:


· Actúa como punto focal de todos los aspectos de seguridad TI de la organización.
· Supervisión de la implantación de un plan de seguridad.
· Mantenimiento de las directrices y políticas.
· Gestión del plan de concienciación.
· Desarrollo e implantación del plan de seguridad.
· Supervisión día a día de las salvaguardas TI.
· Inicio y apoyo de la investigación de los incidentes de seguridad.

8. Los controles implantados serán compatibles con la legislación vigente vinculante a la Organización,
tanto a nivel nacional como internacional.

9. Se establecerán auditorías internas con el fin de comprobar la eficacia de las medidas


implantadas.. Es necesario definir el perfil del auditor interno para garantizar que tenga la
capacitación adecuada, sea objetivo e independiente. El equipo auditor designado para la
realización de la auditoría, ya sea personal interno o contratado a otra empresa, debe acreditar que
cumple con el perfil definido.

10. Se establecerá un Plan para gestionar la continuidad de los procesos críticos de la Organización
que permita en caso de un incidente de seguridad grave, evaluar los daños, limitar sus
consecuencias y adoptar medidas de reacción. Es necesario el desarrollo de un plan de continuidad
del negocio. Este plan debe comprender por un lado las actividades a realizar como contingencia
ante un posible desastre, y por otro lado las tareas a llevar a cabo para la restauración de la
actividad normal de la empresa después de haber conseguido superar el desastre ocurrido.

Página 3 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

1.2. Accesos al sistema


1.2.1. Arquitectura de seguridad

Todos los componentes técnicos, organizativos y procedimentales que velan por la seguridad de la
organización, conforman la arquitectura de seguridad. La conjunción y coordinación de estos elementos
permiten mitigar y garantizar la integridad y confidencialidad de la organización.

Los sistemas internos de una organización suelen ser lo suficientemente complejos y con tantas relaciones
entre ellos que es muy difícil garantizar su seguridad. Ante esta situación se recurre a otros sistemas más
sencillos, que pueden ser identificados como sistemas confiables. Entre ellos, cabe destacar los firewalls o
cortafuegos, que permiten filtrar el tipo de comunicación que se establece entre los distintos entornos.

1.2.2. Firewall o cortafuegos

Firewall (cortafuego) es un conjunto de elementos que permiten aislar una red de otra, normalmente redes
públicas, como Internet, de redes privadas. Existe la idea generalizada de que un firewall es una máquina,
aunque no debe interpretarse así.

Se trata de un conjunto de elementos, normalmente un sistema central de filtros con características


avanzadas, que es al que normalmente se le denomina firewall, apoyado por dos o más componentes que,
sin tener las mismas potencialidades, pueden implantar funciones de filtrado más básicas, normalmente
routers.

Las funcionalidades que permiten a un firewall asegurar una red es la simplificación de la gestión de la
seguridad. Al concentrar en un número reducido de dispositivos la seguridad, es más factible implantar
medidas de seguridad y controlar todos aquellos factores relevantes.

Funciones de seguridad:

· Filtrados de paquetes
Restricciones de conectividad que permiten que sólo aquellos paquetes de información que se
consideran normales y esperables pasen al siguiente nivel, descartando el resto.

· Filtrados a nivel de aplicación


Permiten que dentro de una conexión se establezca restricciones, tanto para la autenticación como
para las acciones que se pueden ejecutar con estas aplicaciones.

· Monitorización y auditorías
Los firewalls pueden ser configurados para registrar todos aquellos eventos que tienen un riesgo
asociado y, en los casos en los que exista un alto riesgo, emitir alarmas que pongan sobre aviso a
administradores y responsables del entorno.

· Respaldo y recuperación
Para la correcta explotación de un sistema informático hay una serie de tareas que se debe cubrir
en el ámbito de la seguridad. Son fundamentales la velocidad y frecuencia con que se hace copias
de seguridad y la capacidad de recuperar copias íntegras ante desastres en los sistemas.

Página 4 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Integración de los elementos
Todos estos elementos técnicos, procedimentales y organizativos, conjugados con el objetivo de
mitigar los riesgos detectados y proteger los elementos críticos, conforman la arquitectura de
seguridad en sentido amplio.

1.2.3. Otros elementos de protección

· Política antivirus
Los sistemas antivirus cada vez son más complejos permitiendo identificar virus conocidos mediante
la identificación de ciertos patrones. Al igual que los antivirus, los sistemas de detección de intrusos
se enfrentan ante el reto de identificar múltiples tipos de ataques con patrones de comportamiento
muy cambiantes.

· La firma digital
Actualmente, los aspectos que más atención captan en torno a la seguridad, son aquellos
relacionados con la criptografía y sus utilidades, los virus y los sistemas de detección de intrusos.
En España la ley sobre firma digital ha favorecido el interés y la difusión de las llamadas
infraestructuras de clave pública. Una infraestructura de clave pública PKI es un conjunto de
elementos técnicos y organizativos que permiten cubrir los principios de la seguridad y aportar
confianza a los entornos comerciales, permitiendo de una forma segura: autenticar a usuarios,
gestionar el no repudio de las operaciones y proteger las comunicaciones como principales
aplicaciones prácticas.

· Protección de comunicaciones
El principal mecanismo de protección de las comunicaciones es la utilización de sistemas de
encriptación. Los sistemas de cifrado no son sólo utilizados en la protección de las comunicaciones,
ya que juegan un papel fundamental en la autenticación de usuarios y en el no repudio de las
operaciones. Dado que Internet fue concebido como un sistema abierto, en un principio no se
incluyeron mecanismos de protección. Este hecho ha obligado al desarrollo de algoritmos de cifrado
que aplicados sobre la información transmitida la convierten en ilegible excepto para los
interlocutores que tienen las claves necesarias para la desencriptación de la información. La
autenticación es el proceso de verificar la identidad de un individuo o la pertenencia de un grupo de
individuos o funciones. Los sistemas más sencillos utilizan una combinación de usuario y palabra
clave, y alguno de los más complejos utilizan sistemas biométricos, actualmente en alza. Los
mecanismos de autorización gestionan los derechos, qué pueden hacer y qué no pueden hacer los
usuarios una vez autenticados. El no repudio es la capacidad de un sistema para demostrar que las
operaciones o transacciones han sido efectivamente ejecutadas por un individuo o entidad.

· Protocolos de seguridad
Actualmente se trabaja en la mejora y desarrollo de nuevos estándares y sistemas de seguridad,
desde el uso de protocolos seguros HTTPS, pasando por SSL o sistemas de cifrado fuerte de 128
bits o superiores.
§ SET: Visa y Mastercard para pagos seguros con tarjeta de crédito a través de la red.
§ SSL: Para intercambio de información de forma segura entre cliente y servidor.
§ OFX (Open Finantial Exchange): CheckFree, Intuit y Microsoft. Intercambio de datos financieros
entre entidades financieras, empresas o particulares.
§ OBI (Open Buying on the Internet): American Express y Supply Works. Estilo estándar para
adquisiciones a través de EDI o de Internet.

Página 5 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

1.3. Seguridad en las redes


1.3.1. Hacking. Seguridad IP

El hacking comprende técnicas informáticas que pretenden ganar el acceso a un sistema informático con el
objetivo de llevar al límite los sistemas para encontrar vulnerabilidades o información relativa a seguridad.

El hacker generalmente no accede a un sistema para adueñarse de información con ánimo de lucro. En
caso de actuar con ese fin, se denomina cracker.

Podemos definir como ataques, todas aquellas acciones que suponen una violación de la seguridad de
nuestro sistema, en términos de confidencialidad, integridad o disponibilidad.

Activa: Modifican información o generan datos falsos.

Pasiva: No alteran la funcionalidad del sistema, sólo recogen información y la transmiten.

o INTERRUPCIÓN: destrucción de un recurso del sistema o hacerlo no disponible.


o INTERCEPTACIÓN: lograr acceso a un recurso. Ataque contra la confidencialidad.
o FABRICACIÓN: inserción de objetos falsificados en un sistema.
o MODIFICACIÓN: acceso a un recurso para posteriormente manipularlo.

El protocolo IP

El protocolo de IP (Internet Protocol) es la base fundamental de Internet. El flujo de datos se divide en


datagramas (paquetes de datos) que viajan del origen al destino.

Las principales características de este protocolo son:


ü Protocolo orientado a no conexión.
ü Fragmenta paquetes si es necesario.
ü Direccionamiento mediante direcciones lógicas IP de 32 bits.
ü Etc.

La necesidad de una seguridad de red basada en el protocolo IP, es grande y continúa en aumento. En el
mundo empresarial de hoy día interconectado masivamente a Internet, Intranets, sucursales y acceso
remoto, la información sensible cruza las redes constantemente.

El reto para los administradores de red y otros profesionales de informática es asegurar que este tráfico
esté:
o A salvo de modificaciones de datos mientras está enrutado.
o A salvo de interceptación, visualización o copia.
o A salvo de ser accedido por partes no autenticadas.

Ataques a la Seguridad IP:

· Sniffing
Lectura del tráfico de la red para obtener alguna información. Generalmente utilizados para leer
correos electrónicos y obtener contraseñas que viajan en texto plano.
Página 6 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Programas como el Ethereal o el Network Monitor permiten leer los paquetes IP de la red.

· Escaneo de Puertos (Ports Scanning)


Método para descubrir canales de comunicación abiertos susceptibles de ser explotados.
Su objetivo es lograr información suficiente para luego realizar un ataque que consiga el acceso al
sistema.
Se utilizan herramientas como el Nmap o SuperScan para localizar esta vulnerabilidad.

· Troyanos
Software o programa capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a
través de la red, con el fin de recabar información o controlar remotamente a la máquina anfitriona.
Tienen dos componentes principales: el programa servidor, que se instala en el sistema de la
víctima y el programa cliente que actúa en el ordenador del atacante.
El BackOffice y el NetBus son los más famosos. También se utiliza el Poison Ivy.
No necesariamente provoca daños porque no es su objetivo.
Se alojan dentro de una aplicación, una imagen, un archivo de música u otro elemento de apariencia
inocente, que se instala en el sistema al ejecutar el archivo que lo contiene.

· Denegación de servicio – DoS (Denial Of Service)


Atentan contra la disponibilidad de sistemas y recursos, ya sea saturando las conexiones de un
servidor, consumiendo todo el ancho de banda o saturando el uso del CPU de un dispositivo.
Consigue que el sistema sea inaccesible para los usuarios.
Esta herramienta ha sido utilizada, de forma controlada, para comprobar la capacidad de tráfico que
un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempeña.
Programas como Winnuke permiten realizar ataques DOS sobre plataformas con sistema operativo
basado en Microsoft Windows.

· IP Spoofing
Suplantación de identidad. El atacante utiliza su equipo como si realmente fuera otro, a nivel de
dirección origen IP.
Existe abundante software en la Web que automatiza este tipo de ataque.

· DNS Spoofing
Manipulación de los paquetes que son enviados al servidor de DNS. Generando entradas erróneas
en el servidor DNS.
Muy utilizado para redireccionar a la victima a una web clonada, para el robo de información.
La víctima cree estar viendo la página web original cuando en realidad es la del atacante.

· Phishing: Técnicas de ataque mediante ingeniería social


El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario todos sus
datos posibles para luego ser usados de forma fraudulenta.
Suplantan la imagen de una empresa o entidad pública, para hacer creer a la víctima que realmente
los datos solicitados proceden del sitio oficial cuando en realidad no lo es.
Se consigue de varias formas, desde un simple mensaje al teléfono móvil, una llamada telefónica,
una web que simula una entidad, una ventana emergente, y la más usada y conocida, la recepción
de un correo electrónico.

Página 7 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

1.3.2. Seguridad en redes inalámbricas

Wi-Fi es una marca de la Wi-Fi Alliance, la organización comercial que adopta, prueba y certifica que los
equipos cumplen los estándares 802.11 de definición de comunicaciones wireless.

Wi-Fi es un sistema de envío de datos que utiliza ondas de radio.

Dispositivos Wi-Fi: tarjetas de Red, puntos de Acceso (AP), antenas.

Amenazas Wi-Fi: en una encuesta realizada en noviembre de 2007 con 560 entrevistas, se preguntaba a
los participantes si alguna vez habían utilizado la conexión Wi-Fi de un tercero sin su permiso. El resultado
fue el siguiente:

Errores y debilidades típicas en redes inalámbricas:

o Los errores más comunes:


Nosotros no tenemos redes Wi-Fi.
¿Quién va a querer “atacarnos”?
Los ataques de denegación de servicio son escasos ya que requieren de un hardware caro y
de difícil acceso.
Etc.

o Debilidades en Redes 802.11:


Acceso al canal de transmisión "sin cables":
Escucha de información confidencial.
Inyección de tráfico/datos no autorizada.
Ataques de negación de servicio (DoS):
Ataques contra el medio radio.
Debilidades intrínsecas del protocolo 802.11.

Elementos de Seguridad Wi-Fi

¿Cómo proteger las redes WI-Fi?:


Autenticando los usuarios/dispositivos
Cifrando las conexiones entre dispositivos.

Para evitar las amenazas antes descritas, y basados en los dos principios de seguridad anteriores, tenemos
los siguientes protocolos:

WEP: Sistema de cifrado estándar


802.1x: Sistema de autenticación de dispositivos
WPA: Sistema de cifrado que mejora el WEP
WPA-2: Mejora del WPA que sigue el estándar 802.11i.

Página 8 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
WEP (Wired Equivalent Privacy, 1997).
Se utiliza para evitar:
Capturas externas: Confidencialidad.
Accesos no autorizados: Control de Acceso.
Modificaciones de mensajes transmitidos: Integridad.

Debilidades:
Usa el algoritmo RC4 de cifrado simétrico.
No tiene protección contra la replicación de paquetes.
El algoritmo de control de integridad es débil. El cifrado es fácil de romper
Etc.

802.1x
Con el fin de solucionar los problemas del WEP surge el protocolo 802.1x, que pocas empresas utilizan
debido a su complejidad de instalación.

El protocolo 802.1x ofrece un marco en el que se lleva a cabo un proceso de autentificación del usuario,
así como un proceso de variación dinámica de claves, todo ello ajustado a un protocolo, denominado
EAP (Extensible Authentication Protocol).

Los usuarios se encuentran autentificados y con una clave única, que se va modificando de manera
automática y que es negociada por el servidor y el cliente de manera transparente para el usuario. No
tiene que acordarse de cambiar periódicamente la clave, ya lo hace el protocolo.

WPA (Wi-Fi Protected Access)


El protocolo WPA sustituyó al WEP.

Tiene las siguientes características:


Definido por la WiFi Alliance.
Busca paliar el agujero de seguridad en las redes Wi-Fi que utilizan WEP.
No se pretendía que fuese una solución a largo plazo. Fue creado como una medida intermedia para
ocupar el lugar de WEP mientras 802.11i era finalizado.
Está pensada para ser compatible con la mayoría de los dispositivos Wi-Fi diseñados para WEP.
Sigue usando RC4 como algoritmo de cifrado.

WPA-2 / 802.11i
Definido por el IEEE (802.11i) y la Wi-Fi Alliance (WPA-2).
Contempla la mayoría de los beneficios que aportaba el WPA.
Usa AES-CCMP como algoritmo de cifrado.
Usa AES-CBC-MAC como algoritmo de integridad.
Exige la renovación del hardware Wi-Fi, no es compatible con los anteriores protocolos.

1.3.3. Seguridad en redes móviles

Para garantizar la seguridad de una solución de movilidad es necesario garantizar la seguridad de todos los
elementos que conforman la cadena “extremo a extremo” de la comunicación:

Seguridad del dispositivo.


Seguridad del tramo radio.
Seguridad en la red de la operadora.
Página 9 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Seguridad en las conexiones inter-operadoras.
Seguridad en las conexiones con la Intranet empresarial.

Para una empresa, el foco a la hora de diseñar un sistema seguro en movilidad de voz o datos, debe ser:
Seguridad del dispositivo
Seguridad adicional en el tramo radio
Seguridad en las conexiones con la Intranet

A continuación se van a repasar las diferentes soluciones que existen como soluciones de movilidad.

Amenazas y riesgos en Redes Móviles

Repasamos a continuación los tipos de ataques que tienen las redes móviles:

· Intercepción
Es la capacidad de que un intruso intercepte las señales de voz y/o datos de usuario

· Suplantación de un usuario
Es la capacidad mediante la cual un intruso envía señalización o datos a la red en un intento de hacer
creer a la misma que han sido originados por otro usuario.

· Suplantación de la red
Es la capacidad mediante la cual un atacante envía señalización o datos a la víctima, intentando
hacer creer al usuario que han sido generados por la red auténtica.

· Compromiso de los elementos de autenticación de la red


El intruso dispone de un vector de autenticación comprometido: par desafío/respuesta, claves de
cifrado y claves de integridad. Estos datos pueden obtenerse comprometiendo nodos de la red o
interceptando mensajes de señalización en los nodos de enlace de la red.

· Hombre en el medio
Es la capacidad mediante la cual el intruso se interpone entre la víctima y la red, teniendo la
capacidad de interceptar, modificar, borrar, reordenar, reenviar señalización y datos entre ambas
partes.

· Localización de un usuario
El atacante obtiene la posición geográfica de un usuario en base a la información de señalización de
la red.

Página 10 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

1.4. Seguridad en Internet

1.4.1. Introducción

El comercio electrónico no está exento de ciertos problemas que dificultan su utilización, como son
principalmente los siguientes:
· La falta de seguridad, confidencialidad, fiabilidad, integridad y autenticación de los datos.
· La escasa utilización de nuevos medios de pago (dinero digital, moneda virtual, tarjetas
inteligentes), en gran parte debida a las reservas sobre su seguridad.
· La disponibilidad de infraestructuras que permitan realizar las transacciones con mayor velocidad y
seguridad.
· Etc.

1.4.2. Requisitos de seguridad en el comercio electrónico

Los principales requisitos de las transacciones comerciales son:

· Confidencialidad.

· Integridad.

· Autenticación.

· Irrefutabilidad.

Todos esos problemas se pueden resumir en dos:

· Seguridad jurídica.

· Seguridad tecnológica.

Las demandas del consumidor conducen a la necesaria regulación del comercio electrónico para dar
respuesta a las inseguridades.

1.4.3. Causas de los problemas de seguridad

Problemas

· La seguridad
La política de seguridad es un documento fundamental para permitir una actuación homogénea en
el área de seguridad.
En el diseño e implantación del conjunto de dispositivos de seguridad de la red y los sistemas, se
implantan los sistemas que dan soporte, tanto a la seguridad como a la funcionalidad del entorno.
La seguridad no lleva un desarrollo independiente, sino que está directamente relacionada con otros
componentes técnicos de la instalación: comunicaciones, servidores, base de datos, aplicaciones,
etc.
Una vez implantado el sistema es fundamental saber qué está pasando en él y tener la capacidad
Página 11 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
de reaccionar si se produce ataques. Esta es la fase de seguimiento y monitorización. La clave es
definir las variables que pueden ser consideradas de riesgos, así como definir las acciones para
responder ante situaciones.
Es necesario hacer un análisis de los puntos mejorables y de los nuevos riesgos no identificados en
fases anteriores. Esta es la fase de evaluación y adaptación. A partir de este análisis se podrán
definir nuevas medidas, adaptar las existentes y comenzar un nuevo ciclo, creando un proceso
continuo de mejora que permita cubrir la seguridad de los entornos.

· Factores destacables
Hay una serie de factores diferenciadores, que hacen que no sólo organizaciones que
tradicionalmente han prestado una gran atención a la seguridad, como entidades financieras o
gobiernos, estén preocupadas por este concepto.
Falta de conocimiento físico entre las partes.
Volatilidad de las relaciones.
Ubicuidad del acceso.
Conjunto de redes públicas interconectadas.
Complejidad técnica de las soluciones.
Continua evolución del negocio y de las tecnologías.
Importancia de la imagen de una organización por su posicionamiento en Internet.

· Tratamiento digital
Otro factor diferenciador que hace más importante la necesidad de protección de la información es
que puede ser tratada digitalmente y de forma masiva, es decir, cuando la información se
almacena en soporte físico, no existen las posibilidades de normalización y análisis que hace que un
conjunto de datos sin valor, al aglutinarse y analizarse, tengan un gran valor.

De cara a seleccionar qué medidas de seguridad son necesarias, lo primero que hay que entender
son los riesgos y pérdidas a los que nos enfrentamos en nuestro entorno.

· Implantación
Aspectos a tener en cuenta a la hora de implantar un entorno de seguridad. Para implantar un
entorno de seguridad en un comercio electrónico, debemos conjugar adecuadamente tres
componentes:
1. Tecnología.
2. Políticas y procedimientos.
3. Recursos Humanos.

· Fases de la implantación
La política de seguridad es un documento fundamental para permitir una actuación homogénea en
el área de seguridad. Para asegurar la efectividad de las políticas es fundamental que estén
promovidas por la dirección.

En el diseño e implantación del conjunto de dispositivos de seguridad de la red y los sistemas, se


implantan los sistemas que dan soporte, tanto a la seguridad como a la funcionalidad del entorno.

Una vez implantado el sistema es fundamental saber qué está pasando en él y tener la capacidad
de reaccionar si se produce ataques. Esta es la fase de seguimiento y monitorización. La clave
es definir las variables que pueden ser consideradas de riesgos, así como definir las acciones para
responder ante situaciones. Los sistemas de detección de intrusos y definición de alarmas permiten
definir eventos de riesgo, definir la emisión de alarmas y la ejecución de procesos automáticos que
den respuesta a ataques.
Página 12 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

Es necesario hacer un análisis de los puntos mejorables y de los nuevos riesgos no identificados en
fases anteriores. Esta es la fase de evaluación y adaptación. A partir de este análisis se podrán
definir nuevas medidas, adaptar las existentes y comenzar un nuevo ciclo, creando un proceso
continuo de mejora que permita cubrir la seguridad de los entornos.

· Ciclo de vida
La seguridad de un entorno no se compra y se instala, es un proceso continuo de análisis,
verificación, diseño y mejora. Hay que entender la seguridad como un conjunto de medidas que
deben cubrir los riesgos y estar en continua revisión. El error más frecuente es fortificar los accesos
más obvios y limitar la protección de otras vías.

De cara a cubrir el objetivo final se puede establecer un ciclo cuyo fin es el mantenimiento de un
nivel adecuado y homogéneo de seguridad a lo largo del tiempo, distinguiendo entre los siguientes
apartados:

Análisis de riesgos
Se hace una identificación de los recursos de la organización y del tipo de atacantes y
ataques a los que se pueden enfrentar.

Identificación de recursos
Los recursos deben identificarse con elementos técnicos y no técnicos, que comprende los
procesos de negocios de las organizaciones.

Una correcta identificación de riesgos debe cubrir aspectos materiales como: ordenadores,
sistemas de comunicación, datos; y otros aspectos intangibles como salud de los
empleados, disponibilidad, privacidad, etc.

Causas

· Causas de los problemas


Para implementar un sistema de seguridad, en primer lugar es necesario conocer las causas que
pueden originar problemas en la organización, una vez completada esta fase, se podrá planificar y
adoptar las medidas de seguridad necesarias.

Las principales causas que pueden provocar problemas de seguridad son:


Complejidad de sistemas
Personas

· Los atacantes y sus objetivos


Entre los distintos tipos de ataques están:
Pasivos, el atacante no altera la comunicación sino que monitoriza o escucha.
Activos, estos ataques implican algún tipo de modificación de flujos de datos transmitidos o la
creación de un flujo falso de datos.

· Robo o fraude
Este objetivo es el más evidente ya que puede reportar un beneficio al atacante y daño directo a la
empresa. El riesgo que ocurra está relacionado con las personas que tienen mayor conocimiento
interno de la empresa.

Página 13 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
· Interrupción-empeoramiento
Es un ataque que cada vez se da más, tanto en redes públicas como en Internet. No se busca un
beneficio directo para el atacante, sino lograr un efecto visible por parte de la empresa a sus
clientes.

· Alteración de la información
En algunos casos puede que los objetivos del atacante estén relacionados con la exactitud de la
información contenida en un sistema, por ejemplo: registro de morosos de una empresa.

· Robo de registros
Partiendo del principio “información es poder” y que la información contenida en los sistemas puede
afectar tanto a la privacidad de las personas como a los secretos industriales o información sensible
para las empresas, un objetivo claro para un atacante sería conseguir y divulgar, mediante su venta,
información que es guardada celosamente por las organizaciones.

1.4.4. Perfil del amenazante y técnicas de ataque

Entre los atacantes cabe destacar: hackers, investigadores, delincuentes, etc. Cada uno de ellos dispondrá
de medios objetivos, intereses y formas de actuar diferentes.

· Escuchas del tráfico de información.


· Ataques contra sistemas criptográficos
· Ataques contra el sistema de Autenticación.
· Robo de identidad.
· Utilización de errores en las aplicaciones.
· Análisis de tráfico.

1.4.5. Recomendaciones de seguridad como usuario de Internet

Recomendaciones de Seguridad como Usuario de Internet

· Los virus informáticos y otras amenazas contra seguridad han sido problemas muy conocidos
durante un largo periodo de tiempo.

· Mientras que los primeros virus eran diseñados para destruir y colgar ordenadores, los creadores de
hoy en día de software malicioso son con creces mucho más avanzados y tienden a tener incentivos
económicos.

· Los hackers pueden robar su información privada con propósitos económicos, o pueden monitorizar
sus hábitos de navegación en Internet para proporcionarle publicidad a medida.

Cómo ser un usuario más seguro

· Hay muchos peligros en Internet. Los usuarios de redes inalámbricas (WLAN) y Bluetooth están
más expuestos a amenazas que otros.

Página 14 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
· Los usuarios móviles deberían desactivar la conexión Bluetooth cuando no esté en uso.

· Otro peligro posible es el riesgo de pérdida física de datos. Con más gente trabajando en casa y
fuera de la oficina de la empresa, el riesgo de robo físico está creciendo.

· Los virus y vulnerabilidades ya han sido detectados en teléfonos móviles.

Proponemos algunas recomendaciones:

ü Carpetas Compartidas
Tenga cuidado de cómo su PC está configurado antes de conectar a Internet. Es vital que sea
consciente de las carpetas/recursos compartidos.

ü Instalar Software Antivirus


Es una medida de seguridad obligatoria instalar un software antivirus, así como actualizarlo
regularmente, preferiblemente automáticamente siempre que esté conectado a Internet.

ü Actualice continuamente el sistema operativo


No hay nada como un sistema operativo 100% libre de fallos. Los programadores de virus a
menudo se aprovechan de fallos de software, así que asegúrese de que todas las actualizaciones
de seguridad importantes son descargadas e instaladas continuamente.

ü Sea crítico y receloso con el Correo electrónico


Borre el e-mail si:
El remitente es desconocido.
El campo Asunto no tiene sentido.
El correo contiene un enlace, y usted no está seguro de a dónde le direccionará en Internet.
Etc-

La función Previsualizar en los clientes e-mail es un riesgo de seguridad. Debería desactivarla,


pudiendo así borrar e-mails no deseados sin ningún tipo de apertura.
Un filtro de SPAM le ahorrará un montón de tiempo con la limpieza de correos no solicitados, que a
menudo contienen software malicioso. Usted nunca debería responder a los mensajes spam.
Debería encriptar su información confidencial antes de enviarla.

ü Instale un Firewall Personal


Su ordenador tiene muchas “entradas” (puertos) para diferentes tareas. Los puertos abiertos
permiten acceso ilimitado a los recursos de su máquina. Por ejemplo, el puerto 25 se usa
normalmente para el correo y éste es el puerto más usado por los spammers.

ü Encripte la información confidencial


Almacene sus datos confidenciales de forma segura.

ü Configure su Navegador
Configure su navegador web para preguntarle si permite “contenido activo”.

ü Descubra lo menos posible sobre usted


Nunca revele información de naturaleza personal si no es absolutamente necesario.

Página 15 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
ü Haga copias de seguridad de la información relevante
El borrado de datos puede ocurrir por accidente, actividad de virus u otro código malicioso, o por
usuarios que consiguen acceso a sus datos.

ü Para los usuarios de redes inalámbricas


Los usuarios de redes inalámbricas (WLAN) deberían tomar precauciones extra para permanecer
protegidos. Una red inalámbrica es fácil y efectiva para los usuarios, pero al mismo tiempo
fácilmente accesible y por lo tanto vulnerable para intrusos y usuarios ilegítimos.

1.4.6. Malware

Hay muchas amenazas que pueden dañarle como usuario.


El malware informático es el término genérico para el código malicioso diseñado para molestar o destruir un
sistema informático.

Veamos los distintos tipos:

· Spyware
Spyware, como su nombre indica, es el software espía. Normalmente se instala en segundo plano o
incluso sin consentimiento del usuario, mientras se navega por Internet.

El Adware, también se instalan igual que el spyware, lo único que hacen es añadir publicidad mientras se
navega, se abren ventanas POPUP o incluso se cambia la página de inicio del explorador web.

· Gusano
Un gusano de red infecta otros ordenadores y se propaga automáticamente en una red
independientemente de la acción humana. El hecho de que no depende de acción humana para
propagarse, ayuda a propagarse mucho más rápido que un virus.

· Virus
Un virus informático es un programa diseñado para copiarse y propagarse a sí mismo, normalmente
adjuntándose en aplicaciones. Cuando se ejecuta una aplicación infectada, puede infectar otros archivos.

Un virus puede aparecer de diferentes formas:


o Virus de archivo:
Un virus de archivo está adjuntado a un archivo de programa, normalmente un archivo .EXE o un
.COM.

o Virus de sistema:
Virus de sistema, también conocidos como virus de arranque, a menudo están presentes en
disquetes sin el conocimiento del usuario.

o Virus dropper:
Un dropper es un programa que se crea o modifica para “instalar” un virus en el ordenador
destino.

o Virus macro:
Los virus macro pueden incluirse en todos los tipos de archivo que usen un lenguaje macro, tales
como Word, Excel, Access y Powerpoint.
Página 16 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
· Troyano
Este tipo de programas, conocidos también como RATs (Remote Administration Tool), se han
desarrollado para el control remoto de un PC o un sistema. El programa de acceso remoto deben estar
instalado en ambos PCs y su comunicación se produce generalmente vía internet o vía red.

Sin embargo un troyano tiene unas características propias que le confieren un carácter malicioso:
· Se aprovecha frecuentemente de bugs y backdoors de los sistemas informáticos, como el Back
Orifice o el BackDoor.
· Sólo una de las dos partes del programa (un troyano se instala en ambos PCs) tiene capacidad
de controlar (cliente del troyano) mientras que la otra sirve de conexión con el PC controlado
(servidor del troyano).
· Etc.

Es decir, un troyano es un programa malicioso insertado en un PC sin consentimiento de su dueño que


permite el control de ese PC por parte de una persona no autorizada, pudiéndose incluso considerar un
tipo de virus, ya que el PC atacado se “infecta” con él.

Normalmente se utilizan dos formas de engañar al usuario para que ejecute el servidor del troyano en
su PC.

1. La primera consiste en enviar el servidor renombrado y con extensión doble, aprovechando la


peculiaridad de los sistemas Windows para ocultar las extensiones conocidas (opción por defecto).

2. La segunda forma de enviar el troyano es más limpia que la primera, ya que el atacado no nota
nada raro. Este sistema consiste en adherir el troyano a un fichero real de forma que se fundan dos
ficheros en uno sólo, pero resultando los dos 100% operativos.

Soluciones anti-malware

Existen dos posibilidades de antivirus: por software o por hardware. La mejor opción está en función
del desembolso que se requiera realizar, como es lógico la mejor opción es dedicar un equipo en exclusiva
a la detección, prevención y eliminación de virus (BoxAntivirus), entre las que existen varias compañías que
disponen de este mecanismo. También se denomina a este tipo de equipos Antivirus Appliance.
La otra posibilidad, la más generalizada, es instalar el software antivirus en los equipos que deseamos
proteger. Para ello existen versiones cliente y versiones server.

Los antivirus más conocidos a nivel hardware son:


Fortigate Gateway
Mcafee WebShield
Symantec Gateway
Etc.

A continuación detallamos las versiones más utilizadas en el mercado a nivel software:


Avast!
BitDefender
Comodo Internet Security
F-Secure Anti-Virus
Etc.

Página 17 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

1.5. Registro de protección de datos

1.5.1. Documento de seguridad

Es un documento donde se recogen las medidas definidas en la entidad para garantizar lo dispuesto en
Reglamento de Seguridad.

· La normativa de seguridad plasmada en el DOCUMENTO DE SEGURIDAD es de obligado


cumplimiento para todo el personal con acceso a los datos automatizados de carácter personal y a
los sistemas de información.
· El DOCUMENTO DE SEGURIDAD debe ser accesible a cualquier persona que desee consultarlo.
· Contraseñas:
-Seguir siempre las directrices marcadas por el Departamento de Informática.
-No se accederá al sistema utilizando el identificador y la contraseña de otro usuario. Las
responsabilidades de cualquier acceso realizado utilizando un identificador determinado, recaerán
sobre el usuario al que hubiera sido asignado.
· Queda prohibido utilizar los recursos del sistema de información a los que tenga acceso para uso
privado o para cualquier otra finalidad diferente de las estrictamente laborales.
· Toda incidencia en materia de seguridad deberá comunicarse, cuanto antes, al Responsable de
Seguridad.
· No está permitido instalar “motu proprio” ningún producto informático en el sistema de información.
Todas aquellas aplicaciones necesarias para el desempeño de su trabajo serán instaladas
únicamente por el Departamento Informático.
· Salida de soportes que contengan datos de carácter personal: precisa siempre de autorización por
parte del Responsable de Seguridad.

Para evaluar de manera eficaz este punto debemos atender a los siguientes términos:
o Actualización del documento.
o Ámbito de aplicación del documento.
o Funciones y obligaciones del personal.
o Obligación de informar.

1.5.2. Responsables

· Responsable del fichero


Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la
finalidad, contenido y uso del tratamiento.
Las obligaciones y responsabilidades por el incumplimiento de la LOPD recaen sobre el Responsable
del Fichero. En caso de Inspecciones y/o Sanciones, éstas recaerán siempre, en un primer término,
sobre el Responsable del Fichero.

· Encargado de tratamiento
La persona física o jurídica o servicio que, solo o conjuntamente con otro, trate datos personales por
cuenta del responsable del fichero.

· Responsable de Seguridad
Página 18 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Persona encargada de coordinar y controlar la correcta aplicación de las medidas de seguridad sobre los
ficheros de carácter personal.
Asegurar la integridad de los datos.
Evitar cualquier pérdida o acceso no autorizado.

1.5.3. Determinación del nivel de seguridad

La LOPD establece que el Responsable del Fichero deberá adoptar las medidas necesarias de carácter
informático y organizativas para:

· Asegurar la integridad de los datos.

· Evitar: cualquier incidencia, pérdida o acceso no autorizado.

· Regulación: Art. 9 LOPD y R.D. 994/1999, de 11 de junio, por el que se aprueba el


Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos
de carácter personal.

Medidas de seguridad

Toda Entidad deberá implantar un conjunto de políticas de seguridad respecto a los datos que manejan,
para garantizar la continuidad de sus actividades ante incidencias, fallos o infracciones por parte de
terceros.

Por ello, la LOPD, a través del RD 1720/2007, obliga a todas las empresas, tanto públicas como privadas, a
aplicar una serie de medidas de seguridad que garanticen la confidencialidad, integridad y disponibilidad de
la información.

Las medidas deberán ser adoptadas e implantadas por el Responsable del Fichero y son las siguientes:

· Medidas organizativas: Destinadas a establecer procedimientos, normas, reglas y


estándares de aplicación, que garanticen la seguridad y cuyos destinatarios son los
usuarios que tratan los datos de los ficheros.

· Medidas técnicas: Destinadas principalmente a conservar la integridad física de la


información, para evitar robos, pérdidas o alteraciones no justificadas.

Página 19 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

1.6. Niveles de seguridad


1.6.1. Niveles de seguridad y tipos de ficheros

Los ficheros que contengan datos de carácter personal, son clasificados según unos niveles de seguridad
en función del grado de información sensible que contienen.

Los niveles de seguridad se aplican atendiendo al tipo de dato de carácter personal a proteger, pudiendo
ser:
· Nivel Básico
· Nivel Medio
· Nivel Alto

Se consideran dos tipos de ficheros:

· Ficheros automatizados: Conjunto de datos almacenados en dispositivos informáticos (PC’s,


lectores DVD’s, etc.)

· Ficheros No automatizados: Conjunto de datos almacenados en soportes que no requieren de


herramientas para su tratamiento, como el papel, o las radiografías.

Veamos los 3 niveles:

· Nivel Básico:

Ficheros que contengan algunos de los siguientes tipos de datos, cuando no constituyan un perfil:
§ Identificativos.
§ Características personales.
§ Circunstancias sociales
§ Académicos y profesionales
§ Etc.

· Nivel Medio:

Ficheros que contengan datos:


§ Del nivel básico, que permitan obtener un perfil de la persona (híbrido).
§ Sobre infracciones penales y administrativas.
§ Etc.

· Nivel Alto:

Ficheros que contengan datos:


§ Especialmente protegidos (Ideología, creencias, religión, origen racial, salud o vida sexual).
§ Recabados para fines policiales.

Página 20 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

1.6.2. Medidas de seguridad del nivel básico

· Nivel Básico (automatizados)

Son las medidas mínimas aplicables a todos los ficheros con datos de carácter personal.

Entre las medidas de seguridad aplicables están las siguientes:


§ Documento de Seguridad.
§ Definir las funciones y obligaciones del personal y difundirlas.
§ Crear procedimiento de notificación, registro y gestión de incidencias.
§ Etc.

· Nivel Básico (No automatizados)

Los ficheros No automatizados poseen por otro lado una serie de medidas específicas debido a su
naturaleza como son:
§ Definir unos criterios de archivo.
§ Establecer dispositivos de almacenamiento seguros.
§ Realizar una custodia diligente de los soportes durante su uso.

1.6.3. Medidas de seguridad del nivel medio

· Nivel Medio (automatizados)

Las medidas aplicables a este tipo de ficheros son aquellos que contienes datos como infracciones
administrativos o penales, de mutuas de trabajo, enfermedades, etc.

Entre las medidas de seguridad aplicables están las siguientes:


§ Definir la figura del Responsable de Seguridad y sus responsabilidades.
§ Limitar los intentos reiterados de acceso no autorizados.
§ Realizar auditorías bienales
§ Etc.

· Nivel Medio (No automatizados)

Estas medidas son de común desarrollo e implantación al de los ficheros automatizados.

Página 21 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

1.6.4. Medidas de seguridad del nivel alto

· Nivel Alto (automatizados)

Los datos personales considerados de nivel alto son aquellos que hacen referencia a origen racial,
religión, vida sexual, violencia de género etc.

Entre las medidas de seguridad aplicables están las siguientes:


§ Procedimientos de etiquetado y cifrado de soportes.
§ Transmisión de datos cifrada.
§ Etc.

· Nivel Alto (automatizados)

Las medidas de nivel alto para los ficheros No automatizados que dispone el Reglamento son las
siguientes:
§ Almacenamiento de la información con acceso protegido bajo llave.
§ Control de copias y destrucciones de la documentación.
§ Etc.

1.6.5. Cuadro Resumen

NIVEL BÁSICO NIVEL MEDIO NIVEL ALTO


Responsable El responsable del fichero
de seguridad tiene que designar a uno o
varios responsables de
seguridad

Personal Funciones y obligaciones


de los diferentes usuarios
o de los perfiles de
usuarios claramente
definidas y
documentadas.
Etc.

Incidencias Registro de incidencias: SOLO FICHEROS


tipo, momento de su AUTOMATIZADOS:
detección, persona que la
notifica, efectos y Anotar los procedimientos
medidas correctoras de recuperación, persona
Etc. que lo ejecuta, datos
restaurados, y en su caso,
datos grabados

Página 22 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

manualmente.
Etc.

Control de Relación actualizada de SOLO FICHEROS SOLO FICHEROS


acceso usuarios y accesos AUTOMATIZADOS: AUTOMATIZADOS:
autorizados.
Etc. Control de acceso físico a Registro de accesos: usuario,
los locales donde se hora, fichero, tipo de acceso,
encuentren ubicados los autorizado o denegado.
sistemas de información. Revisión mensual del registro
Etc. por el responsable de
seguridad.
Etc.

FICHEROS NO
AUTOMATIZADOS:

Control de accesos
autorizados.
Etc.
Identificación SOLO FICHEROS SOLO FICHEROS
y AUTOMATIZADOS: AUTOMATIZADOS:
autenticación
Identificación y Límite de intentos
autenticación reiterados de acceso no
personalizada. autorizado
Etc.
Gestión de Inventario de soportes. SOLO FICHEROS SOLO FICHEROS
soportes AUTOMATIZADOS: AUTOMATIZADOS:
Identificación del tipo de
información que Registro de entrada y Sistema de etiquetado
contienen, o sistema de salida de soportes: confidencial.
etiquetado. documento o soporte, Etc.
Etc. fecha, emisor/destinatario,
número, tipo de
información, forma de
envío, responsable
autorizada para
recepción/entrega.

Página 23 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

Copias de SOLO FICHEROS SOLO FICHEROS


respaldo AUTOMATIZADOS: AUTOMATIZADOS:

Copia de respaldo Copia de respaldo y


semanal. procedimientos de
Etc. recuperación en lugar
diferente del que se
encuentren los equipos.

Criterios de SOLO FICHEROS


archivo NO AUTOMATIZADOS :

El archivo de los
documentos debe
realizarse según criterios
que faciliten su consulta y
localización para
garantizar el ejercicio de
los derechos ARCO.
Almacena- SOLO FICHEROS SOLO FICHEROS
miento NO AUTOMATIZADOS: NO AUTOMATIZADOS:

Dispositivos de Armarios, archivadores, de


almacenamiento dotados documentos en áreas con
de mecanismos que acceso protegido con puertas
obstaculicen su apertura. con llave.
Custodia SOLO FICHEROS
soportes NO AUTOMATIZADOS:

Durante la revisión o
tramitación de los
documentos, la persona a
cargo de los mismos debe
ser diligente y custodiarla
para evitar accesos no
autorizados.
Copia o SOLO FICHEROS
reproducción NO AUTOMATIZADOS:

Sólo puede realizarse por los


usuarios autorizados.
Destrucción de copias
desechadas.
Auditoría Al menos cada dos años,
interna o externa.
Etc.

Página 24 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

Teleco- SOLO FICHEROS


municaciones AUTOMATIZADOS:
Transmisión de datos a través
de redes electrónicas cifrada.
Traslado SOLO FICHEROS
documen- NO AUTOMATIZADOS:
tación Medidas que impidan el
acceso o manipulación.

Página 25 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS

1.7. Derechos de los afectados


1.7.1. Concepto de afectado o interesado

Es la persona física titular de los datos de carácter personal.

En la práctica, todos los ciudadanos somos afectados o interesados en el ámbito de la LOPD.

1.7.2. Deber de ser informado

El afectado será informado, en el momento en el que facilite sus datos, del tratamiento que se va a realizar
sobre ellos. Debe ser informado:
· De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la
recogida de éstos y de los destinatarios de la información.
· Del carácter obligatorio de su respuesta a las preguntas que les sean planteadas.
· De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
· De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición (ARCO).
· De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante

1.7.3. Consentimiento

Consentimiento del afectado es aquella manifestación de voluntad, libre e inequívoca, mediante la que el
interesado consiente el tratamiento de sus datos personales.

En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de
carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento
cuando existan motivos fundados y legítimos.

Cuando los responsables de ficheros necesiten tratar con datos considerados como protegidos, si se
requerirá autorización expresa por parte del interesado, así como un documento escrito que lo acredite.
Estos datos especialmente sensibles son:

· Afiliación sindical
· Religión o creencias
· Etc.

1.7.4. Derechos de las personas

La LOPD otorga a los titulares una serie de derechos que son personalísimos, independientes entre sí y
que pueden ejercer de manera gratuita:

Página 26 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
· Impugnación de valoraciones: impugnar las evaluaciones de la personalidad que se puedan
realizar con los datos.
· Acceso: conocer los datos relativos a su persona que figuran en los ficheros de una determinada
entidad.
· Rectificación de los errores detectados en los ficheros.
· Cancelación de los datos.
· Oposición al tratamiento de los datos.
· Indemnización: cuando el titular sufra un daño en sus bienes o derechos como consecuencia del
incumplimiento de la LOPD.

Los derechos que ejerciten los titulares han de ser atendidos por el Responsable del Fichero en unos plazos
determinados:

o Acceso: en el plazo de 30 días naturales siguientes a la recepción.


o Rectificación, cancelación y oposición: en el plazo de 10 días naturales siguientes a la
recepción.

El ejercicio de los derechos de acceso, rectificación, cancelación u oposición, deberá llevarse a cabo
mediante solicitud dirigida al Responsable del Fichero y que ha de contener los siguientes requisitos:

ü Nombre, apellidos del interesado y fotocopia del DNI.


ü Petición en que se concreta la solicitud.
ü Domicilio a efectos de notificaciones, fecha y firma del solicitante.
ü Documentos acreditativos de la petición que se formula.

El hecho de no atender a un ejercicio de un derecho de acceso, rectificación, cancelación y oposición


supone que el interesado pueda ponerlo en conocimiento de la AEPD, quien dictará resolución expresa de
tutela de derechos, que podrá conllevar la imposición de una sanción.

Página 27 de 27