SAD07_Contenidos_VI

Legislación y normas sobre seguridad. http://localhost:51236/temp_print_dirs/eXeTempPrintDir_UgfE9H/SA...
Legislación y normas sobre seguridad.
Caso práctico
Los sistemas informáticos son capaces de manejar
grandes volúmenes de información, lo cual tiene
muchas ventajas pero también inconvenientes
importantes. Hoy en día, las redes comerciales valoran
en gran medida los datos informatizados, porque con un
pequeño esfuerzo pueden llegar a millones de
potenciales clientes. Con un pequeño porcentaje de
éxito en sus campañas comerciales pueden hacer un
gran negocio.
Por ello, el proceso de los datos personales que se

Jonny Goldstein (CC BY) informatizan debe estar sujeto a leyes para evitar que se
cometan delitos.
Juan, Vindio y Laro, han realizado un curso sobre protección de datos para
aplicarlo en BK Sistemas Informáticos. Veamos cómo puede afectar la
legislación a una empresa pequeña como la de nuestro caso práctico.
En esta unidad conocerás las leyes que regulan la protección de datos para las
transacciones informáticas. Se comienza estudiando la legislación reguladora: Reglamento
General de Protección de Datos (RGPD) y se nombran algunos de sus artículos más
importantes. También se habla de la Agencia Española de Protección de Datos (AEPD) y de
cómo debe ser la actuación de las personas que manejan datos personales y de la Ley
Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD)
Puesto que las transacciones electrónicas o los negocios a través de Internet son muy
numerosos también se estudia la Ley sobre los Servicios de la Sociedad de la Información y
Comercio Electrónico (LSSI o LSSICE).
Otro de los puntos de la unidad es el que trata las normas ISO relativas a la seguridad de la
información y de como es el proceso que se sigue para implementarlas en un sistema real.
Por último se aborda el tema de los organismos encargados de la gestión de incidencias, los
CERT y se ejemplifica en tres de los más importantes en España.
1 de 27 27/7/22, 00:42
Materiales formativos de FP Online propiedad del Ministerio de

Educación y Formación Profesional.
Aviso Legal
2 de 27 27/7/22, 00:42
1.- Legislación sobre protección de datos.
Caso práctico
—María, deberíamos hacer algo para poder asegurar
los datos de nuestros clientes.
—¿Es que se pueden perder?
—Me refiero a protegerlos, a que nadie pueda acceder

a ellos.
—¿Pero quién va a hacer eso, Juan?
—Todos los datos de nuestros clientes son

confidenciales. Tanto nuestros clientes como nuestros
Nate Steiner (CC0) usuarios tienen derecho a la privacidad. Está legislado,
y si no cumplimos dicha legislación, nos pueden
sancionar.
Un dato, según la RAE es:
Antecedente necesario para llegar al conocimiento exacto de algo o para

deducir las consecuencias legítimas de un hecho.
Documento, testimonio, fundamento.
Información dispuesta de manera adecuada para su tratamiento por un
ordenador.
El aumento desmesurado en el uso de sistemas

electrónicos, así como el desarrollo de las
comunicaciones a nivel global, ha conseguido
casi una completa interconexión entre cualquier
lugar del mundo. Esto, unido a la aparición de
aplicaciones y sistemas que utilizan datos
personales de los usuarios, ha hecho
Pixabay (Dominio público)
imprescindible la aparición de normas que
regulen su funcionamiento, entre ellas, normas
3 de 27 27/7/22, 00:42
legales, regidas por cada uno de los países.
Por todo ello, cualquiera de los organismos, sean empresas o instituciones públicas que
traten datos personales, estarán obligados a garantizar el derecho a la protección de datos.
Por tal motivo, a nivel europeo, se ha creado una legislación reguladora que establece las
pautas para hacer un buen uso de los datos personales, así como de la transmisión de la
información de forma segura. Esta legislación establece los derechos y deberes tanto de
personas, empresas como de organismos públicos.
Con la nueva normativa , se introduce un estándar único europeo de protección de

datos. Esto supone beneficios para:
1. Las empresas: No tendrán que enfrentarse a distintas leyes en los países de la Unión
Europea cuando realicen tratamientos de datos personales.
2. Los consumidores: Verán sus derechos (consentimiento expreso, derecho al olvido,

etc.) protegidos de igual forma en toda la UE.
En general, el cumplimiento y aplicación de la nueva normativa proporciona las siguientes

ventajas:
Demostrar respeto por los clientes, su privacidad y sus derechos como

consumidores.
Mostrar transparencia y respeto por el resto del comercio al acatar las
reglas del juego.
Evitar sanciones y problemas con terceros.
Mejorar la imagen institucional al ser más confiables.
En 2016, la Unión Europea aprobó el Reglamento

General de Protección de Datos Personales (RGPD),
que entró en vigor en los países miembros el 25 de
mayo de 2018.
En España, esta normativa ha sido adaptada y

ampliada por medio de la Ley Orgánica 3/2018
de Protección de Datos y Garantía de los
Derechos Digitales (LOPDGDD), teniendo por
objetivo reforzar los derechos de los ciudadanos y
favorecer la creación de nuevos modelos de
negocio que aprovechan los avances tecnológicos
como Big Data o el Internet de las
Cosas (IoT). Además, facilita el desarrollo de los
nuevos servicios digitales, como el Cloud Pixabay (Dominio público)
Computing, a través de la certificación de servicios
4 de 27 27/7/22, 00:42
en la nube, regulando los contratos y facilitando el cambio de proveedor.
Es importante resaltar que LOPDGDD deroga la anterior Ley de Protección de Datos de

1999 (LOPGD).
La Agencia Española de Protección de Datos (AEPD) es el organismo oficial español que vela
por el cumplimiento de la nueva legislación sobre la protección de datos
Para saber más

En el siguiente enlace podrás acceder al texto completo publicado por la UE
relativo a la RGPD
Reglamento de protección de las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre circulación de estos datos
Debes conocer
En el siguiente enlace podrás ver, según la AEPD, cuáles son los derechos de
un usuario según la LOPDGDD y los deberes de las empresas, organizaciones
y administraciones públicas:
Ejerce tus derechos
Cumple tus deberes
También hay que destacar el nuevo reglamento de 23 de julio de 2014, aprobado por el
Parlamento Europeo, relativo a la identificación electrónica y los servicios de confianza
para las transacciones electrónicas en el mercado único europeo.
A este sistema europeo de reconocimiento de identidades electrónicas también se le conoce

con el nombre de eIDAS .
Se trata de una norma de aplicación en el ámbito de la Unión Europea, estableciendo:
1. Las condiciones en las que los Estados Miembros deberán reconocer los medios
5 de 27 27/7/22, 00:42
de identificación electrónica de las personas físicas y

jurídicas pertenecientes a un sistema de identificación
electrónica notificado de otro Estado miembro.
2. Las normas para los servicios de confianza, en particular
para las transacciones electrónicas.
3. El marco jurídico para las firmas electrónicas, los sellos
electrónicos, los sellos de tiempo electrónicos, los
documentos electrónicos, los servicios de
entrega electrónica certificada y los servicios de
certificados para la autenticación de sitios web.
Todo este reglamento se basa en un conjunto de nodos de

interoperabilidad (nodos eIDAS) que conectan las
infraestructuras nacionales de identificación electrónica entre sí.
https://ec.europa.eu/ (CC BY-SA)
Para saber más

En el siguiente enlace podrás acceder al texto completo publicado por la UE
relativo al eIDAS
Reglamento de identificación electrónica y de los servicios de confianza

para las transacciones electrónicas
También puedes obtener más información sobre el nodo eIDAS español en los
siguientes enlaces:
Nodo eIDAS español
Preguntas frecuentes sobre eIDAS (pdf - 0,45 MB)
En España la Ley 59/2003, de 19 de diciembre, recoge la legislación básica sobre firma

electrónica. Básicamente, esta normativa establece el funcionamiento de las autoridades
certificadoras de confianza en España.
Según esta Ley, una firma electrónica reconocida debe cumplir las siguientes propiedades
o requisitos:
Identificar al firmante.
Verificar la integridad del documento firmado.
Garantizar el no repudio en el origen.
Contar con la participación de un tercero de confianza.
6 de 27 27/7/22, 00:42
Estar basada en un certificado electrónico reconocido.

Debe de ser generada con un dispositivo seguro de creación de firma.
Sin embargo, para que una firma electrónica reconocida sea equivalente a la manuscrita,
debe además estar basada en un Certificado Reconocido. El certificado debe haber sido
reconocido por el Ministerio de Industria y Comercio como habilitado para crear firmas
reconocidas y debe estar listado en su página web como tal.
Para saber más

Puedes ver todos los certificados reconocidos por el MITyC en la dirección:
Prestadores de servicios electrónicos de confianza cualificados
Debes conocer
En el siguiente enlace puedes encontrar toda la información oficial relacionada
con la legislación de la firma electrónica:
Base legal de la Firma Electrónica
Autoevaluación
El Reglamento General de Protección de Datos (RGPD)
Es un reglamento que solamente se debe aplicar en algunas regiones.
Es una normativa que no está aprobada todavía.
Es una norma que se debe cumplir en toda España.
Es una ley que se debe cumplir en todo el Mundo.
7 de 27 27/7/22, 00:42
Incorrecto. Es un reglamento que debe cumplirse en todos los países

miembros de la UE.
Incorrecto. Se aprobó en mayo de 2016 y se comenzó a aplicar en mayo

de 2018.
Muy bien! Debe cumplirse en toda España y en todos los países miembros
de la UE.
Incorrecto. Su ámbito de aplicación es todos los países miembro de la UE.
Solución
1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto
8 de 27 27/7/22, 00:42
1.1.- RGPD y LOPDGDD. Tratamiento de

los datos.
La LOPDGDD y el RGPD son las normas que velan por la protección de los datos de
carácter personal, es decir, por la privacidad de las personas ya sean clientes, empleados o
proveedores.
La aplicación de la LOPDGDD y del RGPD, se encuentra con el inconveniente de que las

personas responsables de aplicarla, en muchas ocasiones, no saben cómo hacerlo o qué
datos son los que están sujetos a ella. Lo que debe quedar muy claro es lo siguiente:
Estas normas deben cumplirse siempre que como empresa tratemos datos
personales, aunque solo sean correos electrónicos o números de teléfono. La
mayoría de empresas tratan con datos de clientes, proveedores y empleados por
lo que, esta normativa siempre será de aplicación.
Pero, ¿quiénes han de cumplir estas leyes? Las empresas, sociedades, comunidades,
asociaciones y autónomos que:
Estén establecidos en la UE, independientemente de si el tratamiento se

hace o no en la UE.
Ofrecen bienes o servicios a personas que se encuentren en la UE.
Monitorizan el comportamiento de personas que se encuentren en la UE.
Y ¿qué son los datos personales? ¿Qué se entiende por tratamiento de datos personales?
Según el RGPD un dato personal es:
"Toda información sobre una persona física identificada o identificable. Se

considerará persona física identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante
un identificador, como por ejemplo un nombre, un número de identificación,
datos de localización, un identificador en línea o uno o varios elementos
propios de la identidad física, fisiológica, genética, psíquica, económica,
cultural, o social de dicha persona".
9 de 27 27/7/22, 00:42
También son datos personales los datos de contactos con otras empresas,
aunque quedan fuera del ámbito personal los datos corporativos: marcas,
CIF, información corporativa, etc.
El RGPD define tratamiento como:
"Cualquier operación o conjunto de operaciones realizadas sobre datos

personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización,
estructuración, conservación, adaptación o modificación, extracción,
consulta, utilización, comunicación por transmisión, difusión, o cualquier
otra forma de habilitación de acceso, cotejo o interconexión, limitación,
supresión o destrucción".
En otras palabras, un dato personal es

cualquier dato que identifique o que pueda ser
asociado a una persona identificada o
identificable.
Los datos personales son tanto aquellos que

nos identifican (nombre, apellidos, DNI), como
los que tienen que ver con nuestra situación
laboral, financiera o de salud. También se
incluyen ahora los datos biométricos y los
biológicos, es decir, cualquier información con
la que se nos identifique o se nos pueda
identificar. Algunos como los relativos a salud,
ideología, religión,origen racial, vida sexual
y comisión de infracciones penales y
administrativas, están Pixabay (Dominio público)
especialmente protegidos en el RGPD y la
LOPDGDD.
Un aspecto muy importante a tener en cuenta es el siguiente: un dato personal no deja de

serlo por estar en ficheros separados ni cuando están seudonimizados, entendiendo por
seudonimizada a "aquella información que, sin incluir los datos denominativos de un
sujeto, permiten identificarlo mediante información adicional, siempre que esta figure
por separado y esté sujeta a medidas técnicas y organizativas destinadas a
garantizar que los datos personales no se atribuyan a una persona física identificada o
identificable".
Por tanto, se podría decir que, con independencia del formato, todos los ficheros que
contengan datos personales o información seudonimizada están sujetos al RGPD y a la
LOPDGDD.
Por otra parte, cuando desde cualquier organización se recogen datos de los usuarios
10 de 27 27/7/22, 00:42
(encuestas, registros, matrículas), el usuario debe dar su consentimiento de forma libre,

específica e informada mediante una declaración firmada o alguna acción afirmativa, como
por ejemplo, un botón "Aceptar registro de información" en una web. Además, en todo
momento debe tener conocimiento de quién recoge esos datos y con qué fin. El usuario
podrá revocar el consentimiento, si le parece oportuno, estando el responsable de los datos
obligado a seguir una serie de normas para llevar a cabo dicha petición.
Hay que destacar que los ficheros son propiedad de los destinatarios de los
datos personales (empresas, autónomos u organismos públicos). Sin embargo,
los datos almacenados en tales ficheros son siempre propiedad del
interesado, siendo éstos los únicos que pueden decidir sobre su tratamiento,
modificación o cancelación.
Debes conocer
Dentro de una empresa u organismo público propietario del fichero, se pueden
encontrar hasta cinco figuras importantes:
Responsable del tratamiento.

Encargado del tratamiento.
Delegado de protección de datos (DPO).
Responsable de privacidad.
Persona autorizada para el tratamiento de los datos personales.
Para conocer en detalle cada una de estas figuras, puedes descargar la guía
proporcionada a continuación:
Ganar en competitividad cumpliendo el RGPD: una guía de aproximación

para el empresario (pdf - 4,60 MB)
El objetivo de esta guía es evitar que sean vulnerados la privacidad y los

derechos de los individuos sobre sus datos personales, provocando, entre
otras, situaciones de invasión de la vida privada, vigilancia, extorsión,
suplantación, discriminación, vergüenza o peligro. Para ello, la guía se
desarrolla en torno a las siguientes preguntas:
¿Qué derechos reconoce el RGPD?

¿Cómo afecta el RGPD a mi empresa?
¿Qué medidas de seguridad debo tomar?
¿Qué pasa si no cumplo?
11 de 27 27/7/22, 00:42
Y ¿qué puede ocurrir si no se cumple con la

normativa?
Lógicamente puede acarrear sanciones. El

RGPD define las sanciones en el Capítulo VIII,
artículos desde el 77 hasta el 84. Según la
gravedad del asunto, la sanción puede llegar
hasta el 4% de la facturación del ejercicio
anterior.
La LOPDGDD, en su Título IX de Régimen

sancionador, clasifica las infracciones como:
1. Leves. Detalladas en el artículo 74.

2. Graves. Detalladas en el artículo 73.
3. Muy graves. Detalladas en el artículo 72.
Siendo tratadas las sanciones y medidas correctivas en su artículo 76.
En cuanto a la Garantía de los Derechos Digitales, toda la información relacionada con los
derechos digitales que la LOPDGDD añade al RGPD, se pueden encontrar en el Título X de
la citada LOPDGDD.
Para saber más

Puedes descargarte la LOPDGDD a través del siguiente enlace:
Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos

Digitales (pdf - 1,24 MB)
A continuación puedes ver un artículo sobre las políticas de seguridad de los

empleados:
Cortafuegos Humano: Activando las políticas de seguridad
En los siguientes enlaces podrás ver guías, herramientas generadas por la

AEPD y una charla sobre la protección de datos:
Guías
Herramientas
Charla
12 de 27 27/7/22, 00:42
Autoevaluación
Un billete simple de metro o autobús:
Se podría considerar un dato personal.
No es un dato personal.
Nunca podría ser dato personal.
Es un dato personal no sujeto a la LOPDGDD.
Incorrecto. No tiene ningún dato que identifique a la persona que lo lleva.
Muy bien! No tiene nada que identifique de manera única a una persona.
Incorrecto. Si escribimos un nombre se podría identificar a alguien.
Incorrecto. No es un dato personal.
Solución
1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto
13 de 27 27/7/22, 00:42
2.- Legislación sobre los servicios de la

sociedad de la información y comercio
electrónico.
Caso práctico
—Vindio, me ha comentado Laro que tenemos que
agregar nuevos datos a nuestra web.
—Pues sí Félix, ten en cuenta que estamos

recopilando información a través del formulario y
puede que algún cliente decida que no quiere que
tengamos sus datos.
—¿Sí?. No tenía ni idea.

Alain Bachellier (CC BY-NC-SA)
—Sí, debemos posibilitar que cualquier persona que
nos ha proporcionado datos, tenga la posibilidad de revocar ese permiso y
para ello tenemos que facilitarles el medio a través de nuestra web.
La LSSI, Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la Información y de

Comercio Electrónico (LSSICE), regula el régimen jurídico de los servicios de la sociedad
de la información y de la contratación por vía electrónica.
Cabe destacar que la legislación de esta materia puede verse modificada debido a la
tramitación de la Propuesta de Reglamento de privacidad electrónica (ePrivacy) de la
Unión Europea. Con esta propuesta, la Unión Europea pretende formular una política de
privacidad obligatoria que tenga validez en todos los Estados miembro.
Actualmente, bajo esta ley, están sujetas todas aquellas actividades en las que:
Intervengan medios electrónicos.

Se reciba una compensación económica.
La actividad sea a distancia.
La aplicación de la LSSI supone imponer una serie de
14 de 27 27/7/22, 00:42
obligaciones, tanto a las empresas que prestan servicios en

Internet como a las que venden productos. Para ello, se
distingue entre:
Prestadores de servicios de intermediación: Dentro

de esta categoría están las empresas que brindan conexión a Internet a sus clientes
(ISP), los prestadores de servicios de alojamiento de datos y los buscadores y
proveedores de enlaces.
Empresas: A esta categoría pertenecen todas las empresas que realizan actividades
económicas a través de Internet, ya sea a particulares o a otras empresas.
Ciudadanos: Aquí están incluidos todas las personas físicas que utilicen la red para
fines comerciales o lucrativos.
Por tanto, esta normativa afecta a empresas y autónomos, ubicados en España, que
utilicen las redes para alguna actividad económica o lucrativa. Un ejemplo de actividad
de este tipo podría ser: sitios de descarga de software, en los que el único contacto es una
dirección web y las transferencias monetarias en contraprestación del servicio.
Debes conocer
Todos los usuarios de servicios relacionados con Internet y categorizados tal y
como se ha expuesto con anterioridad, tienen una serie de obligaciones. En el
siguiente enlace, además de tener acceso a toda la información práctica sobre
la LSSICE y a sus preguntas más frecuentes, también puedes ver cuáles son
las obligaciones de los proveedores, de las empresas y de los ciudadanos:
Ley de Servicios de la Sociedad de la Información y del Comercio

Electrónico
Para saber más

En los siguientes enlaces puedes obtener más información sobre ePrivacy:
ePrivacy: ¿qué novedades trae el nuevo Reglamento de la UE?
ePrivacy: Respeto de la vida privada y la protección de los datos personales en

el sector de las comunicaciones electrónicas
15 de 27 27/7/22, 00:42
La LSSICE regula también las comunicaciones comerciales ya sea por Internet, correo
electrónico, SMS, redes sociales u otros medios, indicando que si se lanzan
comunicaciones con publicidad, los mensajes deben estar identificados, cumpliendo una
serie de requisitos:
Identificación del remitente.

Incluir una palabra que pueda identificar el mensaje. Por ejemplo, usando
palabras como publi o publicidad.
Facilitar al remitente la opción de dejar de recibir este tipo de mensajes.
El mayor de los problemas que se le plantea a los juristas con la aplicación de esta ley en
este tipo de comunicaciones, es el SPAM. Sobre todo, cómo distinguir el spam de los envíos
comerciales que sí tienen consentimiento. Para ello, esta ley en su apartado 21.1, no
permite el envío de mensajes comerciales que no hubieran sido solicitados o a los que
no se hubiera dado el consentimiento por parte del receptor.
Por otra parte, si se tiene una página web o un blog, con fines comerciales o si en ella se
incluye publicidad de terceros para financiación o se toma algún dato personal de los
usuarios (por ejemplo, el correo electrónico o usuario y contraseña) para enviarles un boletín
o suscribirse a algún servicio, hay que tener muy presente que no solo se debe cumplir con
la LSSICE, sino que también hay que cumplir con el RGPD y la LOPDGDD.
En el caso de que un portal o una

tienda online, se debe incluir la
siguiente información, generalmente
en un aviso legal o similar:
Denominación social, NIF,

domicilio social, correo
electrónico de contacto
y datos de inscripción
registral.
Cuando existan o sean necesarios: Códigos de conducta a los que se está
adheridos, datos de colegiación o titulación académica.
Si se venden productos: Los precios de los productos, especificando impuestos y
gastos de envío.
16 de 27 27/7/22, 00:42
Para saber más

En el siguiente enlace puedes ver, de forma resumida, las principales leyes que
afectan a las Pymes y autónomos desde el punto de vista de la seguridad de la
información:
Leyes en ciberseguridad que afectan a tu empresa
El artículo 22 de la LSSICE es el que regula la utilización de las cookies en las páginas web.
Las cookies son unos ficheros de texto que se almacenan en los navegadores de los
usuarios y sirven para facilitar el acceso y registro de los usuarios en una web y recabar
información estadística o de uso de los servicios. Por ejemplo, las cookies permiten mostrar
al usuario las páginas en su idioma, analizar sus preferencias,etc. Algunas, incluso tienen un
tiempo de vida limitado. De todas, formas, cualquier usuario puede desactivarlas en los
navegadores o eliminarlas.
En definitiva, si una página web utiliza cookies ya sean propias o de terceros, siempre se
debe pedir el consentimiento previo del usuario. Por ello, es una buena práctica incluir la
política de cookies o un apartado en el Aviso Legal.
Debes conocer
En los siguientes enlaces puedes obtener más información sobre todo lo
relacionado con las Cookies:
Guía sobre el uso de Cookies (pdf - 4,22 MB)
¿Qué debe aparecer en la política de cookies de mi web?
¿Qué son las cookies? ¿Cómo nos aplica su Ley?
Entre Cookies y Privacidad
Adicionalmente, hay que tener presente la necesidad de informar de una serie de puntos
cuando se tiene un sitio web a través del cual se pueden contratar servicios online. Esta
información hay que darla previa al contrato:
17 de 27 27/7/22, 00:42
Los trámites a seguir por el usuario para «celebrar» el contrato.

Si se almacenará el documento electrónico y si estará disponible posteriormente para
su descarga por parte del cliente.
Los medios técnicos disponibles para corregir datos erróneos durante la contratación.
Las lenguas en las que podrá formalizarse el contrato.
Las condiciones generales a que debe sujetarse el contrato.
Autoevaluación
La Ley LSSI:
Se aprobó en 2002.
Se aprobó en 1999 con la anterior ley de protección de datos.
Se revisó en 2002.
Se aprobó en 2018 y la LOPDGDD en 2002.
Muy bien! Se puede deducir del enunciado Ley 34/2002.
Incorrecto. Se aprobó más tarde.
Incorrecto. Se aprobó en 2002.
Incorrecto. La LOPDGDD es posterior a la LSSI.
18 de 27 27/7/22, 00:42
Solución
1. Opción correcta
2. Incorrecto
3. Incorrecto
4. Incorrecto
19 de 27 27/7/22, 00:42
3.- Normas ISO sobre gestión de seguridad

de la información.
Caso práctico
—Laro, ¿cuál ha sido el motivo de cambiar la web?
—Para que cumplamos la Ley, María.
—¿Por qué no lo habíamos pensado antes?
—Pues no sé que decirte. Lo que sí te puedo decir es que

no habría pasado si tuviésemos nuestra instalación
certificada con ISO.
—¿ISO?
Alain Bachellier (CC BY-NC-SA) —Sí, son normas que certifican que se cumple con la
calidad.
La definición de la palabra ISO para la RAE significa "igual". Las normas ISO pretenden
normalizar, igualar, estandarizar comportamientos o características en distintos
ámbitos.
Las normas ISO que regulan la gestión de la información son las que se agrupan bajo el
estándar ISO/IEC 27000. Están publicados por la Organización Internacional para la
Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). Estas normas
contienen:
Los procedimientos adecuados para las medidas preventivas del hombre, de las
organizaciones y de los sistemas tecnológicos que permitan resguardar y
proteger la información buscando mantener la confidencialidad, la disponibilidad
e integridad de la misma para desarrollar, implementar y mantener
especificaciones para los Sistemas de Gestión de la Seguridad de la Información
(SGSI).
De manera similar a otras normas ISO, la 27000 es realmente una serie de estándares con un
rango de numeración que va desde 27000 al 27019 y desde 27030 al 27044. Entre estas
normas se pueden destacar las siguientes:
20 de 27 27/7/22, 00:42
La norma UNE ISO/IEC 27001
Es la norma principal de la serie y contiene los requisitos del sistema de

gestión de seguridad de la información. Especifica un sistema de gestión de
seguridad de la información certificable. La certificación de un SGSI es un
proceso mediante el cual una entidad de certificación externa,
independiente y acreditada audita el sistema, determinando su conformidad
con la ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso
positivo, emite el correspondiente certificado.
Conjunto de controles de seguridad para sistemas de información genéricos

orientados, inicialmente, al comercio electrónico. La norma UNE ISO/IEC
27002 aporta un conjunto de 133 controles y de recomendaciones, dirigido
a los responsables de promover, implantar y mantener la seguridad, con el
fin de conseguir un código de buenas prácticas para la gestión de la
seguridad de la información.
Describe el proceso de especificación y diseño desde la concepción hasta

la puesta en marcha de planes de implementación, así como el proceso de
obtención de aprobación por la dirección para implementar un SGSI.
Para saber más

En el siguiente enlace podrás acceder a los contenidos de las normas
ISO27000.
ISO27000
Debes conocer
A través del siguiente enlace puedes descargarte una guía sobre SGSI:
21 de 27 27/7/22, 00:42
Guía de apoyo a un SGSI (pdf - 0,34 MB)
Autoevaluación
Las normas ISO:
Son normas de seguridad.
Son normas de calidad.
Son normas de seguridad del correo electrónico.
Son normas de integridad.
Incorrecto. Hay una parte que son de seguridad pero no todas.
Muy bien! Son normas de calidad para muchos campos, no sólo

seguridad informática.
Incorrecto. Son normas de calidad para muchos más campos.
Incorrecto. La integridad es una cualidad de los sistemas seguros.
Solución
1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto
22 de 27 27/7/22, 00:42
3.1.- PDCA.
La implantación de las normas ISO está basada en el ciclo PDCA, también conocido
como "Círculo de Deming" o "Círculo de Gabo" . Este proceso se divide en cuatro pasos:
Planificar.
Hacer.
Verificar.
Actuar.
El primero de los pasos (planificar-P) es que le debe requerir más tiempo porque en él se
pretende:
Identificar lo que se quiere mejorar.

Recopilar datos del proceso que se quiere mejorar.
Analizar los datos recogidos.
Establecer los objetivos de mejora.
Detallar los resultados esperados.
Definir los procesos necesarios conseguir los objetivos.
El segundo paso (hacer-D) debe implementar los

procesos diseñados, si es posible debería hacerse
en un entorno de prueba para poder verificar sus
resultados antes de implantarlo en el sistema real.
El tercer paso (verificar-C) es la parte en el que se

debe comprobar que las medidas adoptadas han
surtido efecto. Para ello se debe volver a recopilar
datos y monitorizar el comportamiento del sistema.
El último paso (actuar-A) es la actitud que se debe Karn G. Bulsuk (CC BY)
tomar después de extraer las conclusiones tras los
tres primeros pasos y dependerá de lo que haya ocurrido. En caso de haber ocurrido algún
mal funcionamiento, se deberá repetir el ciclo de nuevo. Si el funcionamiento ha sido
correcto, se instalarán las modificaciones en el sistema de manera definitiva.
23 de 27 27/7/22, 00:42
Para saber más

En el siguiente enlace puedes ver asuntos relacionados con la navegación
segura por Internet:
Navegación segura y privada para ti y tu empresa. Parte I
Navegación segura y privada para ti y tu empresa. Parte II
También puedes ver un vídeo sobre PDCA en el siguiente enlace:
Casos Prácticos en PDCA
24 de 27 27/7/22, 00:42
4.- Organismos de gestión de incidencias.
Caso práctico
—Juan, Vindio y Laro, estamos muy contento
de todo el trabajo que habéis realizado. Pero,
aún así, creo que seguimos siendo vulnerables
a que un intruso pueda dañar nuestro sistema.
—Ya, Félix, pero de eso nunca se está a salvo

del todo. Siempre hemos dicho que ningún
sistema es 100% seguro. Los sistemas son
más o menos fiables, pero seguros no hay Let Ideas Compete (CC BY-NC-ND)
ninguno.
—Hace unos días le comenté a María que hay muchas personas que velan por
la seguridad. Estas personas siempre están informadas de las incidencias que
se dan en los sistemas.
—¿Cómo? Explícame con detalle eso que me estás diciendo, Juan.
—Existen organismos que se encargan de recoger esas incidencias, estudiar

las causas que las originan y proponer soluciones.
—Eso me consuela, aunque sea un poco.
Una incidencia es cualquier anomalía que pudiera afectar a la seguridad de los datos
personales. La incidencia en sí, puede no producir daño sobre los mismos. Cuando ocurre
una incidencia en un sistema es necesario comunicársela a algún centro de gestión de
incidencias. De este modo se puede resolver el problema producido o facilitar la resolución
del mismo en algún incidente futuro.
En España existen varios centros de gestión de incidencias (CERT). Estos organismos

gestionan las incidencias tecnológicas producidas en los sistemas donde se ha producido.
Algunos de estos centros destacables son:
CCN-CERT: Capacidad de Respuesta a incidentes de Seguridad de la

Información del Centro Criptológico Nacional (CCN), dependiente del Centro
Nacional de Inteligencia (CNI).
25 de 27 27/7/22, 00:42
INCIBE-CERT: Apoyo preventivo y reactivo en materia de seguridad en

tecnologías de la información y la comunicación tanto a entidades como a
ciudadanos.Pertenece al Instituto Nacional de Tecnologías de la
Comunicación. Tiene vocación de servicio público sin ánimo de lucro y
ofrece ayuda gratuita.
IRIS-CERT: Centro de gestión de incidentes de la red IRIS. RedIRIS es la

red académica y de investigación española que proporciona servicios
avanzados de comunicaciones a la comunidad científica y universitaria
nacional.
Concretamente, a través del CCN-CERT se puede llevar a cabo un registro de incidentes

utilizando una herramienta llamada LUCÍA (Listado Unificado de Coordinación de Incidentes
y Amenazas). También INCIBE-CERT ofrece un servicio de respuestas a incidentes.
En Europa existe un grupo que interconecta varios CERT de diferentes países, se denomina
EGC GROUP y su misión es coordinarse en la respuesta a incidentes que puedan afectar a
los países miembros. En su sitio web puedes ver, para cada uno de los países que
conforman dicho grupo, quienes son los organismos encargados del registro de incidentes.
Para saber más

En el siguiente enlace puedes ver un vídeo sobre el CCN-CERT:
CCN-CERT
También puedes acceder a los sitios web de CCN-CERT y de INCIBE-CERT

para el registro de incidencias a través de los siguientes enlaces:
LUCÍA
Servicio de respuesta a incidentes de INCIBE-CERT
26 de 27 27/7/22, 00:42
27 de 27 27/7/22, 00:42

SAD07_Contenidos_VI

Cargado por

Copyright:

Formatos disponibles

SAD07_Contenidos_VI

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

SAD07_Contenidos_VI

Cargado por

Copyright:

Formatos disponibles

Legislación y normas sobre seguridad. http://localhost:51236/temp_print_dirs/eXeTempPrintDir_UgfE9H/SA...

Legislación y normas sobre seguridad.

Por ello, el proceso de los datos personales que se

Materiales formativos de FP Online propiedad del Ministerio de

1.- Legislación sobre protección de datos.

—¿Es que se pueden perder?

—Me refiero a protegerlos, a que nadie pueda acceder

—¿Pero quién va a hacer eso, Juan?

—Todos los datos de nuestros clientes son

Un dato, según la RAE es:

Antecedente necesario para llegar al conocimiento exacto de algo o para

El aumento desmesurado en el uso de sistemas

legales, regidas por cada uno de los países.

Con la nueva normativa , se introduce un estándar único europeo de protección de

2. Los consumidores: Verán sus derechos (consentimiento expreso, derecho al olvido,

En general, el cumplimiento y aplicación de la nueva normativa proporciona las siguientes

Demostrar respeto por los clientes, su privacidad y sus derechos como

En 2016, la Unión Europea aprobó el Reglamento

En España, esta normativa ha sido adaptada y

Computing, a través de la certificación de servicios

en la nube, regulando los contratos y facilitando el cambio de proveedor.

Es importante resaltar que LOPDGDD deroga la anterior Ley de Protección de Datos de

Para saber más

Reglamento de protección de las personas físicas en lo que respecta al

Ejerce tus derechos

Cumple tus deberes

A este sistema europeo de reconocimiento de identidades electrónicas también se le conoce

Se trata de una norma de aplicación en el ámbito de la Unión Europea, estableciendo:

de identificación electrónica de las personas físicas y

Todo este reglamento se basa en un conjunto de nodos de

Para saber más

Reglamento de identificación electrónica y de los servicios de confianza

Nodo eIDAS español

Preguntas frecuentes sobre eIDAS (pdf - 0,45 MB)

En España la Ley 59/2003, de 19 de diciembre, recoge la legislación básica sobre firma

Estar basada en un certificado electrónico reconocido.

Para saber más

Prestadores de servicios electrónicos de confianza cualificados

Base legal de la Firma Electrónica

Es un reglamento que solamente se debe aplicar en algunas regiones.

Es una normativa que no está aprobada todavía.

Es una norma que se debe cumplir en toda España.

Es una ley que se debe cumplir en todo el Mundo.

Incorrecto. Es un reglamento que debe cumplirse en todos los países

Incorrecto. Se aprobó en mayo de 2016 y se comenzó a aplicar en mayo

Incorrecto. Su ámbito de aplicación es todos los países miembro de la UE.

1.1.- RGPD y LOPDGDD. Tratamiento de

La aplicación de la LOPDGDD y del RGPD, se encuentra con el inconveniente de que las

Estén establecidos en la UE, independientemente de si el tratamiento se

Según el RGPD un dato personal es:

"Toda información sobre una persona física identificada o identificable. Se

El RGPD define tratamiento como:

"Cualquier operación o conjunto de operaciones realizadas sobre datos

En otras palabras, un dato personal es

Los datos personales son tanto aquellos que

Un aspecto muy importante a tener en cuenta es el siguiente: un dato personal no deja de

(encuestas, registros, matrículas), el usuario debe dar su consentimiento de forma libre,

Responsable del tratamiento.

Ganar en competitividad cumpliendo el RGPD: una guía de aproximación

El objetivo de esta guía es evitar que sean vulnerados la privacidad y los