seguridad de la información: guía de buenas prácticas para pymes

Guía de Boas Prácticas

“A seguridade da información

nas PEMES galegas”

www.infojc.com

2

Guía de boas prácticas: “A seguridade da información nas pemes galegas”

Índice

Qué ofrece esta guía de seguridade da información ............................ 4

1.1 Introdución ............................................................................................................................... 5

1.2 Cal é o obxectivo do proxecto.................................................................................................. 6

1.3 Que é unha acción de apoio e acompañamento a formación................................................. 7

Orixes e xustificación desta guía ........................................................ 10

2.1 Contexto: A seguridade da información nas PEME galegas .................................................. 11

2.1.1 Análise da implantación nas TIC .................................................................................................. 12

2.1.2 Análise da percepción das políticas sobre Seguridade da Información ....................................... 15

2.1.3 Análise da implantación da Seguridade da Información ............................................................. 18

2.2 Referencias e estudios sobre dita temática ........................................................................... 20

Boas prácticas en seguridade da información nas pemes galegas ....... 24

3.1 Area de seguridade ................................................................................................................ 25

3.1.1 Seguridade da información .......................................................................................................... 25

3.1.2 Xestión da seguridade da información ........................................................................................ 27

3.2 Área de prevención ................................................................................................................ 29

3.2.1 Exemplos de malas prácticas (a erradicar) en materia de seguridade da información nas PEMEs

galegas .................................................................................................................................................. 34

Conclusións....................................................................................... 38

4.1 Grupo Expertos ...................................................................................................................... 40

4.2 Grupo Xerentes ...................................................................................................................... 43

4.3 Grupo Usuarios Base (ou Tipo) .............................................................................................. 44

4.3 Conclusións grupos ................................................................................................................ 45

3

www.infojc.com

Anexos ............................................................................................. 48

5.1 Marco legal............................................................................................................................. 49

5.1.1 Lei Orgánica de Protección de Datos de Carácter Persoal (LOPD) ............................................... 50

5.1.2 LISSI- CE ........................................................................................................................................ 55

5.2 Glosario .................................................................................................................................. 57

5.3 Formación .............................................................................................................................. 68

5.4 Recursos web ......................................................................................................................... 71

Bibliografía ....................................................................................... 73

4


Qué ofrece esta guía de seguridade da información nas pemes galegas 1

www.infojc.com

5

www.infojc.com

1.1 Introdución

En calquera tipo de organización (Empresa, Asociación, Administración, etc.), a seguridade dos datos é

unha seria preocupación, destacando todo o relacionado coa seguridade interna da mesma, pois a

maioría dos problemas de seguridade proceden de ataques internos ou dun uso indebido por parte do

persoal da empresa (tanto da información, coma dos recursos informáticos da mesma, etc.).

A maioría dos sistemas de detección, monitorización, predición e control da seguridade teñen en conta

soamente os ataques procedentes do exterior, que aínda que numerosos, non son os que causan os

danos máis graves.

A maior parte das ferramentas de seguridade interna que se empregan:

Non son dabondo ou non se aplican de maneira axeitada (contrasinais, bloqueos,actualizacións,

etc.).

Ademais, a maioría delas son sistemas intrusivos que necesitan ser instaladas en todas as

máquinas, cun custo computacional considerable

Non teñen en conta que as persoas que actúan no espectro directivo (directores, xerentes, xefes

de departamento...), non teñen por qué ser expertos en informática (e de feito, a miúdo non o

son).

As organizacións necesitan incrementar o seu nivel de seguridade da información, xa que novas

ameazas, tanto internas como externas, poñen en perigo os seus sistemas cunha clara repercusión nos

seus procesos de negocio.

Isto obriga a introducir novas tecnoloxías e estratexias que permitan enfrontarse a estas novas ameazas,

que reducen a competitividade e a produtividade das empresas, e asegurar así unha correcta protección.

Pero a xestión de riscos das TI non debe centrarse só na seguridade (un aspecto que chama a atención

principalmente polo seu alto impacto), senón que tamén se deben contemplar outros aspectos, coma os

6


asociados á DISPOÑIBILIDADE (polas negativas consecuencias que se estenden a toda a cadea de valor), e

ao cumprimento do marco legal (LOPD/LSSI), etc.

Finalmente, hai que complementar a implantación de tecnoloxías coa adopción de procesos de xestión de

seguridade, que permitan utilizalas axeitadamente para monitorizar de forma continuada, e reaccionar

con eficacia ante os incidentes e mesmo prevelos antes de que sucedan. Debemos dispor de tecnoloxía de

seguridade proactivas (a diferenza dos modelos reactivos, que actúan xa cando o dano está feito), que

permitan ir un paso por diante das ameazas, garantindo a mellor protección posible.

Datos que corroboran a necesidade de implantación de medidas de seguridade interna:

Actualmente, segundo Verizon máis do 23% dos problemas nas organizacións proveñen de usuarios

autorizados; dos non autorizados, máis do 40% proveñen de colaboradores. Dentro da empresa, en máis

do 50% dos casos son os administradores, e nun 41% os empregados.

O informe reflicte tamén que ao redor dun 70% das empresas actualizan a súa seguridade cunha

frecuencia superior ao ano, mentres que o nivel medio dos atacantes é “básico” nun 80%, e o 52% dos

ataques teñen unha dificultade baixa. Non deixa de ser unha realidade preocupante, dado que nin os

ataques teñen que ser moi elaborados, nin o perfil dos executores moi sobresaínte, para que o resultado

teña un impacto elevado na viabilidade da actividade.

Segundo Symantec, o 99% das empresas dispoñen de antivirus, o 87% de firewall, pero só o 34% dispón

de sistemas de copia de seguridade (backup) e recuperación. O 75% non utilizan cifrado de información, e

preto do 55% non dispón de ferramentas para facer fronte a vulnerabilidades. O 35% non informa aos

empregados sobre a política de Seguridade, ou o que é peor, non conta con ningunha (arredor do 16%).

Máis do 20% apunta ao custo como un obstáculo. Un 34% argumenta a falta de tempo e coñecementos.

Se a isto lle engadimos as malas prácticas, así como as incidencias involuntarias (que tamén resultan en

buracos de seguridade), faise necesaria a elaboración desta guía, co fin de transmitir os seus resultados e

contribuír así á mellora da seguridade da información nas PEMES.

1.2 Cal é o obxectivo do proxecto

O obxectivo desta acción consiste en incrementar o nivel de seguridade da información nas PEMES

galegas, polo que primeiramente se procede a radiografar a situación do sector (obtendo e analizando os

parámetros actuais do mesmo), para de seguido pasar a determinar e propoñer as medidas precisas para

mellorar dita realidade. Todo elo desagregado en tres perfís xenéricos na empresa: Directivo, Técnico e

Usuario Tipo, para poder recoller mellor a súas demandas específicas.

Para acadalo, faise primeiro un estudio cualitativo da situación actual (revisión de documentación,

indicadores, etc., das fontes referentes na materia), complementado coas aportacións de tres grupos de

discusión (Expertos, Xerentes, Traballadores Base), que focalizarán de inicio as liñas a seguir, para logo ir

7

www.infojc.com

avaliando se o desenvolvemento da Acción se axusta ao proposto, e propoñer actualizacións que axuden

a acadar os obxectivos marcados.

Como proposta de valor engadido, realizarase a maiores un estudio cuantitativo sobre o estado xeral da

seguridade da información nas PEMES galegas, que será totalmente anónimo, estruturado en tres perfís

xenéricos (Directivo, Técnico, e Usuario Base- ou Tipo), e o máis representativo posible respecto da

realidade do noso tecido produtivo.

Agárdase que a presente guía supoña un medio sinxelo, intuitivo e fiable para mellorar a xestión da

información e a seguridade da mesma nas PEMES galegas, o cal mellorará decisivamente na súa

produtividade, e por extensión nun incremento da súa competitividade.

Faise todo elo coa expectativa final de que redunde nunha mellora global das organizacións, que mesmo

incrementarán as súas expectativas de Expansión e Internacionalización.

1.3 Que é unha acción de apoio e acompañamento a formación

Esta iniciativa encádrase dentro das Accións de Apoio e Acompañamento á Formación da Dirección Xeral

de Formación e Colocación (Consellería de Traballo e Benestar) da Xunta de Galicia, na convocatoria 2010-

2011.

Ditas accións perseguen como obxectivos xenéricos os seguintes:

Mellorar a calidade das accións formativas estendendo o subsistema de formación profesional

para o emprego cara a ámbitos en que aínda non están plenamente introducidos (especialmente

no eido das PEME)

Contribuír á adaptación e evolución das profesións e os contidos dos postos de traballo

Acadar unha mellora nas competencias e cualificacións (indispensables para manter e fortalecer

a situación competitiva das empresas e a cualificación das persoas traballadoras ocupadas e

desempregadas).

Isto abrangue dende iniciativas que desenvolven traballos de investigación e innovación (como é o caso

que nos ocupa), ata outras de información e orientación profesional dirixidas a traballadores e

traballadoras en activo ou desempregados, etc.

Son acción financiadas pola citada Consellería de Traballo e Benestar, e polo Fondo Social Europeo (FSE), e

neste caso foinos concedida a seguinte acción a InfoJC SL: “Guía de boas prácticas: a Seguridade da

Información nas PEME Galegas”.

Se desexa obter máis información ao respecto, pique aquí para consultar a orde correspondente que

regula ditas accións.

http://traballo.xunta.es/export/sites/default/Biblioteca/Documentos/Contidos_Estandar/formacion_e_cualificacions/accions_de_apoio_e_acompanamento_a_formacion/AAFF_2010_Gal.pdf

8


En resumo, o obxectivo primordial desta acción consiste en incrementar o nivel de seguridade da

información nas PEME galegas, polo que primeiramente se procede a radiografar a situación do sector

(obtendo e analizando os parámetros actuais do mesmo), para de seguido proceder a determinar e

propoñer as medidas precisas para mellorar dita realidade.

Todo elo desagregado en tres perfís concretos en cada empresa: Directivo, Técnico e Usuario Tipo, para

recoller as súas necesidades específicas, e responder así mellor ás súas demandas.

9

www.infojc.com

10


Orixes e xustificación desta guía 2

www.infojc.com

11

www.infojc.com

2.1 Contexto: A seguridade da información nas PEME galegas

No caso particular do territorio galego, convén destacar dous condicionantes principais:

A) Por unha banda, existe un déficit estrutural para a correcta xestión da Seguridade da Información nas

PEME, e é o despregue dunha Banda Larga (BL) asumible (en prezo), dispoñible (que chegue á

totalidade da demanda) e efectiva (que teña unhas características de servizo óptimas), o feito

diferencial que posibilite a redución da referida fenda.

Non hai que obviar que actualmente aínda existe (estimación) entre un 11-16 % de demanda

empresarial de BL non cuberta no territorio galego (datos 2010 do Observatorio para a Sociedade da

Información e a Modernización de Galicia, OSIMGA- e do INE), o que supón un lastre importante á hora

de competir en igualdade de condicións nesta economía global.

Iso permitiría desde, por exemplo, realizar os periódicos “backups” en liña (facer as copias de

seguridade a través da rede de datos), as pertinentes actualizacións de seguridade dos programas e

aplicacións empregados (antivirus, sistema operativo, buscadores…).

Para acadar a superación do mesmo, e poñerse á altura dos demais competidores, estase facendo un

esforzo importante tanto a nivel nacional como no relativo á Administración Autonómica (Axenda Dixital

de Galicia 2010-2014). De maneira que a finais do citado plan estímase que se estea en condicións de

superar a actual fenda dixital, e poderase dispoñer dunhas condicións mínimas de acceso ás TICs.

B) E noutro ámbito, a maior conciencia en canto ás ameazas reais de seguridade da información (que

ademais medran de xeito exponencial), pero que contrasta coa falta da adopción real de ditas políticas

de seguridade (segue faltando a implantación práctica das mesmas) A contorna galega caracterízase por

unha escasa formación e unha acusada diverxencia entre a percepción de dita temática e a aplicación

real da mesma.

Esta razón representa quizais a máis difícil de esquivar e superar, xa que por moita infraestrutura e

medios que se dispoña, se non existe conciencia social de perigo e non se adoitan as medidas de

protección oportunas, será inevitable desembocar en resultados nefastos ao realizaren prácticas de

risco. De feito, varios estudos sobre seguridade da información (ESET, PANDA, SYMANTEC, INTECO…),

12


seguen reflectindo actualmente á enxeñería social como unha das causas máis importantes de perigo

para a información sensible.

É dicir, o elo máis débil da cadea segue sendo o factor humano.

Débese distinguir entre as dúas posibilidades xerais para ver comprometida a información dunha

organización:

Por accesos externos: enténdese intencionados.

Por ataques ou condutas de risco que proveñen do interior da propia empresa (que adoita ser a

vía máis importante). De feito, máis da metade das incidencias1 se deben a esta liña, e dentro da

mesma, máis da metade das mesmas están motivadas polo ¡administrador de sistemas! (o

As razóns principais poden ser:

Por dolo: Motivacións económicas, de comportamento (celos, resentimento …)

Por ignorancia ou falta de capacitación: Combátese con formación, ademais de con a aplicación e

un estrito cumprimento das políticas e protocolos de seguridade.

2.1.1 Análise da implantación nas TIC

É un feito facilmente contrastado o peso primordial, e que vai “in crescendo” cada día que pasa, do uso

das Tecnoloxías da Información e a Comunicación (TICs) a todos os niveis da nosa sociedade: como

usuarios particulares, a nivel Administración e Institucións, e como non, a nivel empresarial.

É máis, a crise do actual modelo produtivo (baseado nos sistemas produtivos tradicionais) fai imperiosa a

reconversión do mesmo cara a outro modelo baseado no I+D+i, onde a importancia das TICs como sector

transversal faise patente a todos os segmentos: esténdese e confirma o feito de que o uso das TICs é o

medio para acadar os obxectivos, e non o mero fin dos mesmos.

Crecemento da produtividade do traballo e contribución das TICs (UE, EE.UU. e España)

1 Verizon, “Informe sobre investigacións de fendas na seguridade dos datos 2010”

13

www.infojc.com

A tendencia xeral apunta a uns mellores indicadores medios a nivel UE27 (similares en xeral coas medias

mundiais- salvo excepcións como países altamente imbuídos da Sociedade da Información, coma Xapón

…), cuns indicadores inferiores a nivel nacional, e aínda máis acusado ese desfase a nivel galego.

Mentres tanto, tamén cabe destacar que en certos indicadores non só se acada a media nacional, senón

que ata se supera a europea (uso das novas tecnoloxías por mozas entre 14-25 anos, e- administración,

etc.), o que denota a posibilidade real de equipararnos no resto de indicadores (aínda cando nalgúns o

esforzo esixido sexa longo e persistente).

Apuntar que o tecido produtivo galego caracterízase pola fragmentación (máis do 95 % das PEME son de

menos de 10 traballadores2), primando a área de servizos- onde a inmensa maioría non vai dispoñer dun

administrador de sistemas/ seguridade, por iso é polo que sexa explicable o enorme contraste no tema da

seguridade da información existente coas empresas máis grandes (con políticas xa definidas e

implantadas no tema).

Todo iso sen obviar a importancia cada vez maior do propio sector TIC, tal como testemuñan os seus

indicadores actuais (INE, OSIMGA…). De feito, no actual contexto de crise é dos poucos sectores que non

perde emprego, senón que o xera.

Así o testemuña o informe do OSIMGA, que referenda o feito de que o sector empresarial das TIC ocupa

unha posición estratéxica pola súa capacidade de xeración de emprego. O nivel de emprego no sector TIC

situouse no ano 2009 nos 16.327 traballadores/as, o que representa o 1,59% da poboación ocupada

galega. A evolución da ocupación neste sector mostra un continuo crecemento nos últimos anos.

Nº de empregados do sector TIC de Galicia

Segundo as directrices da “Axenda dixital de Galicia” (2010- 2014), dentro da Estratexia Global da actual

Administración Autonómica (Xunta de Galicia) en materia tecnolóxica, contémplase unha achega de 935

millóns (m) €, que sumados ao financiamento privado alcanzará os 1600 millóns de € totais.

2Observatorio para a Sociedade da Información e Modernización de Galicia (OSIMGA)

14


Estímase que se traducirán na creación de máis de 12.000 empregos, e en aumentar a actividade

económica en 800 millóns de €, incrementado a súa achega ao PIB do 4.8 % actual ao 6 % agardado en

2014.

De seguido menciónanse os obxectivos principais do plan de banda larga de Galicia (2010- 2013), xunto á

súa temporalización, para logo confrontalo cos obxectivos xa cumpridos.

Estes son os indicadores actuais, e a previsión de mellora dos mesmos:

Datos da cobertura de Banda Larga (BL) en Galicia (OSIMGA) 2010

Indicar o avance notable alcanzado para dotar de servizos de BL á comunidade Galega, onde só en 2010

conseguiuse facilitar o acceso a máis de 250.000 cidadáns que pola súa situación xeográfica tíñano

imposible antes (cita do OSIMGA).

Dita noticia constitúese como claro exemplo do peso do factor xeográfico sobre o devandito déficit, sendo

a principal causa da fenda dixital entre a Galicia costeira- atlántica (máis poboada) e a interior (rural).

Debido a iso, a Administración está realizando un plan con dúas vertentes principais:

Primeiro subvencionar a instalación de BL en zonas que inicialmente non dispoñían dela.

Para logo nunha segunda fase incentivar e facilitar a existencia de varias alternativas, que se

traduzan nunha maior competencia e servizos máis competitivos.

Aínda así, segue existindo un agravio comparativo no acceso á BL en España respecto de Europa, que

aínda se fai máis patente en Galicia (tal como indica o informe da Comisión do Mercado das

Telecomunicacións- CMT de decembro de 2010): presenta a comparativa das mellores ofertas a xuño de

2010 nos diferentes países da UE-27.

15

www.infojc.com

De acordo co estudo, os paquetes de banda ancha e voz a velocidade media (de 2 Mb a 10 Mb) son un

21,2% máis caros en España respecto da media das mellores ofertas europeas3 en prezos axustados por

paridade de poder adquisitivo (PPP).

As ofertas de velocidade media aglutinan o 60% do total das liñas. En España, a mellor oferta pódese

contratar por 32 € PPP, mentres que a media europea é de 26,4 € PPP.

O informe da CMT tamén compara o desembolso que supón para un usuario español contratar unha

oferta de banda ancha co operador histórico (Telefónica) con respecto ao desembolso que fan outros

usuarios do resto de Europa ao contratar cos seus respectivos operadores “incumbentes” (Deutsche

Telekom, KPN, BT, Eircom, Telecom Italia, etc). Neste apartado, a mellor oferta do incumbente español de

banda ancha máis voz no tramo de velocidade media é un 84,6% superior á media das mellores ofertas

en Europa, ao representar un desembolso de 58,7 € PPP, fronte aos 31,8 € PPP de media en Europa.

O diferencial de prezos en España entre a mellor oferta do mercado (Orange: 32 € PPP) e a do

incumbente a xuño de 2010 (58,7 € PPP) é de 26,7 € nos paquetes de velocidade de 2 a 10 Mb/s, o rango

máis representativo. Esta diferenza de prezos, que se mantivo case constante nos dous últimos anos,

impulsou a captura de clientes por parte dos operadores alternativos. Os subministradores de rede e os

operadores que compiten con Telefónica alugando parte da súa infraestrutura, suman unha cota de

mercado conxunta de case o 47% fronte ao 43% de 2008.

2.1.2 Análise da percepción das políticas sobre Seguridade da Información

En varios estudos se reflicte a relaxada percepción e a pouca importancia que lle outorgan as empresas

nacionais ao devandito ítem. Por exemplo, citar o “Estudo sobre a privacidade e a seguridade dos datos

persoais no sector sanitario español” (Inteco, 11-02-2011), dividido segundo as causas que se

argumentan para elo.

O citado estudo reflicte que aproximadamente a metade das pequenas e microempresas españolas

carecen da sensibilización, formación e concienciación necesaria para considerar a criticidade de que as

súas compañías dispoñan de medidas de resposta fronte a situacións de continxencia grave. Ao seu xuízo

estas situacións teñen unha probabilidade tan baixa de ocorrer, que non compensa investir en tales

medidas e prefiren asumir o risco (19,1%). Outro 14,2% indica que é un gasto innecesario tendo en conta

o custo do seu implantación.

3 Comisión para o Mercado das Telecomunicacións (CMT)

16


Gráfico que ilustra as principais razóns para non implantar un PCN (INTECO)

En definitiva, teñen unha percepción errónea dos riscos/ameazas que poidan sufrir e de que a

probabilidade de que aconteza unha continxencia que, de non ser atallada a tempo, pode converterse en

grave.

Citar como exemplo desta segunda vía o artigo de Kasperssky Lab (11/ 01/ 2011), onde se detallan certos

aspectos do anteriormente exposto: “… non é no exteriror onde está o elo máis vulnerable da cadea de

seguridade na contorna das tecnoloxías da información e a comunicación (TIC). Neste sentido, o talón de

Aquiles segue estando dentro das organizacións”.

“Por unha banda, están os traballadores, profesionais e executivos que non son conscientes da necesidade

de aplicar normas e precaucións. E polo outro, os empregados “infieis” ou vingativos cos seus patróns ou

xefes directos”.

De acordo coas estatísticas de Trend Arxentina:

O 60% utiliza o porto USB da súa computadora para copiar datos ao “pendrive”.

O 30% usa o webmail (correo electrónico baseado na web, como o Windows Live Hotmail, o

Gmail ou o Yahoo Mail) ou mensaxería instantánea persoal.

O resto divídese entre o correo corporativo da empresa e a impresión dos documentos.

17

www.infojc.com

Para Dimitri Bestuzhev (analista de seguridade de devandita firma), o método varía dependendo do nivel

de coñecemento técnico da persoa.

“Xeralmente, as fugas danse a través do correo electrónico ou dos programas de mensaxería instantánea,

aínda que tamén adoitan empregarse os métodos de almacenamento nos dispositivos tipo USB ou

CD/DVD”.

Bestuzhev agregou que “os datos que son roubados con maior frecuencia son aqueles que son de interese

para a competencia ou significarán unha ganancia financeira para o que os posúa. Adoitan ser cuestións

como plans de negocios, carteiras de clientes actuais ou información financeira da compañía, como os

seus investimentos, gastos, pagos, etc.”.

Citando a Microsoft, os delincuentes que operan en Internet poden usar tecnoloxía avanzada para obter

acceso ao seu equipo, ou ben recorrer a algo máis sinxelo: a enxeñería social.

A enxeñería social ofrece aos delincuentes un medio de obter acceso ao seu equipo. Polo xeral, a

finalidade da enxeñería social é instalar de forma secreta “spyware” ou algún outro tipo de software

malintencionado, para tentar convencerlle de que facilite os seus contrasinais ou outra información

confidencial de carácter persoal ou financeiro.

Os delincuentes de Internet consideran máis fácil aproveitarse da natureza humana que das

vulnerabilidades do software ou do hardware (e os feitos así o confirman).

De seguido se enumeran os principais tipos de enxeñería social4 que se presentan:

· Suplantación de identidade (“phishing”): Constitúe a forma máis frecuente de enxeñería social. Para

estafas de “phishing”, empréganse mensaxes de correo electrónico ou sitios web fraudulentos nos que se

intenta que facilite información persoal, que logo se empregará con ánimo fraudulento.

· Spear phishing: Os timadores de “spear phishing" (variante do Phising clásico) envían mensaxes de

correo electrónico que parecen auténticos a empregados ou membros dunha determinada empresa,

organismo, organización ou grupo: é polo tanto un ataque máis “dirixido”, porque leva referencias

concretas ao branco do mesmo. Podería incluír solicitudes de nomes de usuario e contrasinais, ou conter

software malintencionado, coma troianos ou virus.

· Correo electrónico engañoso: As mensaxes de correo electrónico enganoso preséntanse de distintas

maneiras: dende unha estafa na que se lle pide axuda para sacar diñeiro doutro país (a miúdo, Nixeria,

Europa do Leste, etc.), ata un aviso de que gañou algo nun sorteo...O estafador intenta que envíe cartos

ou revele información financeira que poida usarse para roubarlle cartos, a súa identidade ou ambos.

Como queda patente nos exemplos anteriores, non deixa de ser unha actualización da fraude de toda a

vida aos tempos actuais, onde a rede se erixe como medio fundamental de comunicación e de comercio.

4 Wikipedia, artigo sobre “Seguridade da información”, actualizado o 09/02/2011

18


2.1.3 Análise da implantación da Seguridade da Información

Situación a nivel Europeo

Respecto de os incidentes que afectan aos sistemas TIC das empresas nos Estados membros da EU27,

indícase5 que o 12% das empresas europeas de 10 ou máis empregados/as (UE27) experimentaron

problemas de seguridade debidos a fallos en hardware ou software.

Este dato ascende en Galicia ao 19,7% das empresas deste segmento, fronte ao 19,1% da media española.

O 5% das empresas da UE perderon ou viron modificados os seus arquivos por infeccións de virus no

sistema, aínda que o dato español está por encima da media europea cun 11,1%, só superada por

Eslovaquia e Portugal (cun 23% e un 14%, respectivamente). Este indicador sitúase en Galicia no 10,2%.

En xaneiro de 2010, a metade das empresas da UE27 xa utilizaba unha contrasinal forte ou un hardware

para a identificación de usuarios. O 62,8% das empresas galegas fronte ao 61,8% das empresas españolas

utiliza estas mesmas medidas para protexer as súas redes informáticas, o que as sitúa en cuarto lugar na

Unión Europea, segundo “Eurostat”.

Situación a nivel nacional

Para devandita análise tómanse como referencia os estudos actualizados (máis recentes) dos organismos

de referencia: ONTSI, INE…

Táboa de indicadores sintéticos sobre o estado da SI en España, Observatorio Nacional das Telecomunicacións e a SI (ONTSI)

5 Statistical Office of the European Communities (Eurostat)

19

www.infojc.com

Os anteriores indicadores son un reflexo estimado da implantación da Sociedade da información (SI) en

España, sumado a unha comparativa cos anos anteriores que permite contrastar a evolución seguida.

Táboa de datos relativos á seguridade das empresas en España, ONTSI

Afondando na situación nacional, segundo o informe de seguimento da SI 2010, ONTSI (dato tomado do

Instituto Nacional de Estatística- INE), só o 33.1 % das empresas a nivel nacional (das que dispoñen de

acceso a internet) contan cunha política de seguridade definida formalmente e revisable regularmente.

Comparativa de medidas de seguridade TIC nas empresas a nivel nacional (INE)

20


Situación a nivel autonómico

En relación coa seguridade nas TIC, o 29,1% das empresas galegas de 10 e máis asalariados/as definen

unha política propia cun plano de revisión regular, fronte ao 32,7% que rexistra a media estatal. Os

sistemas internos de seguridade máis empregados nas empresas galegas deste segmento son a

autenticación mediante contrasinal segura (61,5%) e o 'backup' de datos externos (34,1%).

2.2 Referencias e estudios sobre dita temática

De seguido se citan varios documentos e estudos que ilustran dita realidade a nivel xeral.

Informe de Principais Ameazas a nivel mundial, CISCO 2008, onde destaca que:

A preocupación principal do 33% dos profesionais de TI era a perda ou roubo de datos a través de

dispositivos USB.

O 39% dos profesionais de TI a nivel mundial estaba máis preocupado polas ameazas

provenientes dos seus propios empregados que pola dos piratas informáticos externos.

O 27% dos profesionais de TI admitiu que non coñecía as tendencias da perda de información dos

últimos anos.

Enquisa sobre preparación de PEMES en caso de desastres (2011 SMB Disaster Preparedness Survey),

Symantec, 2011 (relativa a datos de 2010), que avalía a actitude e as prácticas de pequenas e medianas

empresas (PEMEs) e dos seus clientes en relación coa preparación ante desastres. Principais conclusións:

Non é unha prioridade ata que se ven afectadas

Os custos de solucionar son superiores que os de previr

Pode verse comprometida a viabilidade da organización

As consecuencias non só son económicas, se non legais, de imaxe (reputación), etc.

A enquisa observou que o 36% das PEMES tenta establecer un plan de preparación ante desastres no

futuro. A medida que estas e outras organizacións deseñan plans, Symantec ofrece as seguintes

recomendacións:

Plan de continuidade de negocio: debería incluír a identificación de sistemas e datos crave para o

funcionamento da empresa, os seus recursos críticos.

Involucrar aos empregados: deberían formarse sobre boas prácticas en seguridade informática e

sobre o que deberían facer cando a información bórrase de forma accidental ou cando non poden

atopala con facilidade nos seus arquivos. Como as PEMEs teñen escasos recursos, todos os

empregados deberían saber como recuperar a información empresarial en caso de desastre

21

www.infojc.com

Realice probas frecuentes e actualice: para comprobar que o plan é efectivo

Unha sinxela planificación pode permitir ás PEMES protexer a súa información en caso de desastre o que,

á súa vez, axudaralles a establecer unha maior confianza cos seus clientes”.

2º Barómetro Internacional de Seguridade nas PEMES, Panda Security (xullo 2010). Do mesmo

extráense varias reflexións:

Entre o 11-13 % das compañías enquisadas non teñen instalado ningún sistema de seguridade

(apenas variación co ano 2009)

As solucións máis utilizadas son o antivirus e o “firewall”, aínda que resulta paradoxal en cambio a

baixa utilización de “antispam”.

A pesar do contexto de crise, mantense o orzamento destinado á seguridade nas PEMES, cando

non se incrementa lixeiramente.

Só o 40 % dos empregados reciben algún tipo de formación en seguridade, algúns de balde e

outros de pago “É obvio que nun escenario de control de gastos, debería reforzarse dita vía para

“previr antes que curar”.

Gráficos cos datos de formación en Seguridade en empresas,

22


Panda Security 2010

O nº de infeccións das empresas españolas é similar ao do resto de países europeos (59 %), sendo

en EE. UU. e Canada menor, mentres que en Latinoamérica increméntase notablemente (ata o 65

%).

Igualmente chama a atención o dato que recolle que un 41% das PEMEs españolas e un 31 % das

europeas non conta cunha persoa dedicada á seguridade informática.

No que se refire ás empresas que non contan cun sistema de seguridade, destacan como

argumentos principais esgrimidos os seguintes: o 43 % en España (36 % en Europa) estima que

non é necesario ou importante, cando no ano 2009 se impoñía o prezo como causa principal.

Pero aínda cabe incidir en implicar e formar a todos os estamentos da empresa, para que a

seguridade sexa unha máxima a todos os niveis.

Sen esquecer o feito de migrar dos actuais sistemas reactivos (antivirus …) a solucións máis

integrais, especializadas e proactivas, que fagan fronte ao incremento exponencial de ameazas

actuais: antivirus con tecnoloxía proactiva, sistemas baseados en SaaS (Security as a Service),

filtros antispam, protección perimetral, programas antispyware, servidores de respaldo/ NAS de

datos …

Citar como exemplo da temática o Artigo de Fortinet (CSO 04-02-2011), que ilustra a importancia das

vulnerabilidades internas debidas ao factor humano e cita varias das súas vertentes.

De seguido se enumeran as sete principais vías polas que unha rede pode verse infectada desde o seu

interior e as pautas para evitalo:

1) Os lectores USB, outros End-Points: (cámaras e marcos dixitais, reprodutores de MP3), Medios Ópticos

(CDs …), Smartphones e outros dispositivos dixitais (tabletas, PDAs…)

A ubicuidade destes lectores e a súa potencialidade para eludir as solucións “Data Leak Prevention” (DLP)

tradicionais, levou aos “hackers” a desenvolver “malware” específico que se executa de forma automática

ao conectar a chave ao porto USB (“Conficker”, “Stuxnet”…). O recomendable sería impedir que se

executen estes dispositivos automaticamente (xa incorporado en varios programas de serie), ademais de

reforzar o control e as políticas sobre o emprego dos mesmos.

2) Portátiles e Netbooks

Todas as compañías teñen información sensible que non debe saír das súas oficinas. Isto convértese nun

perigo cando a información está almacenada nun portátil non seguro. Una solución sería: Implantar un

sistema de arquivado por encriptación para os datos sensibles.

23

www.infojc.com

3) Puntos de Acceso inalámbrico (APs)

Os ataques a redes inalámbricas son comúns e causaron graves danos. Recoméndase usar o protocolo

máis seguro, xunto cun AP capaz de ofrecer autenticación e reforzar as medidas de seguridade.

4) Conexións internas: Xestión de usuarios (control de accesos)

Os empregados dunha compañía non poden acceder, accidental ou premeditadamente, a áreas da rede

corporativa ás que non deberían ter acceso. Débense cambiar as claves regularmente e cumprir coas

políticas de autenticación e acceso.

5) O troiano humano

Pode entrar na empresa camuflado baixo diversos aspectos, desde un home de negocios ata alguén cun

mono de operario, e en menos dun minuto pode infectar a rede corporativa desde a sala de servidores.

Hai que recordar aos empregados que se debe identificar a persoas alleas á organización, cumprindo a

política de control de accesos.

6) A mente prodixiosa

Ademais destas medidas para mitigar as posibles ameazas que supón a tecnoloxía dixital, non debemos

esquecer que a mente humana é unha gran base de datos. A mellor salvagarda é ser consciente e estar

alerta de calquera ameaza sempre que esteamos manexando información sensible: bloqueo de equipos

ao ausentarse, emprego de contrasinais seguras e confidenciais, etc.

7) E-mail

Os “mails” poden ser en si mesmos un foco de infección. Identificar a fonte é clave. Podemos coñecer

quen é o emisor utilizando tecnoloxía PGP ou cunhas cantas preguntas antes de enviarlle información

sensible. Débese reforzar o control dos accesos ás direccións de alias, usar filtros “antispam”, así como

recordar aos empregados as políticas de seguridade da compañía.

24


Boas prácticas en seguridade da información nas pemes galegas 3

www.infojc.com

25

www.infojc.com

3.1 Area de seguridade

3.1.1 Seguridade da información

Citando á Wikipedia, “enténdese por seguridade da información a todas aquelas medidas preventivas e

reactivas do home, das organizacións e dos sistema tecnolóxicos que permitan resgardar e protexer a

información, procurando manter a confidencialidade, a autenticidade e a integridade da mesma” (así

coma o non repudio - proba de quen e cando a recibe/envía).

Dito doutro xeito, pódese entender como seguridade un estado de calquera sistema (informático ou non)

que nos indica que ese sistema está libre de perigo, dano ou risco.

Enténdese como perigo ou dano todo aquilo que poida afectar ó seu funcionamento directo ou aos

resultados que se obteñen do mesmo. Para a maioría dos expertos o concepto de seguridade é utópico

porque non existe un sistema 100% seguro (non hai seguridade absoluta).

Por iso considérase que a seguridade é un proceso continuo de mellora, polo que as políticas e controis

establecidos para a protección da información deberán revisarse e adecuarse, de ser preciso, ante os

novos riscos que xurdan, a fin de tomar as accións que permitan reducilos e, no mellor dos casos,

eliminalos.

É importante xa que logo, resaltar a importancia que se lle dá dentro de medios gobernamentais,

políticos, empresariais ou educativos. Para que a información flúa dun lugar a outro sen inconvenientes

(ou que o faga cos permisos ou autorizacións pertinentes) existe a seguridade e custodia de datos. Para

explicar isto falarase da xestión da seguridade da información e a auditoría de sistemas.

Para que un sistema se poida definir como seguro debe ter as catro características antes referidas6:

Integridade: “A información só pode ser modificada por quen está autorizado. Isto é que non se

realicen modificacións por parte de persoas co acceso non autorizado aos datos, información ou

procesos e que non se realicen modificacións non autorizadas por persoal autorizado aos

mesmos. A información será consistente tanto interna como externamente”.

6 Wikipedia, artigo sobre “Seguridade da Información”, actualizado o 09/02/2011

26


Confidencialidade: “A información só debe ser lexible para os autorizados. Isto implica a

prevención do acceso non autorizado á información (xa sexa en forma intencional ou non)”.

Dispoñibilidade: “A información, datos ou recursos deben estar dispoñible para o persoal

adecuado cando se precisen”.

Irrefutabilidade (Non Rexeitamento ou Non Repudio): “Que non se poida negar a autoría”.

Dependendo das fontes de ameaza, a seguridade pode dividirse en dúas ramas principais7:

Seguridade lóxica: "aplicación de barreiras e procedementos que resgarden o acceso aos datos,

de modo que só se permita acceder a eles ás persoas autorizadas para facelo."

Seguridade física: “aplicación de barreiras físicas e procedementos de control, como medidas de

prevención e contramedidas ante ameazas aos recursos e á información confidencial”

Outros termos a ter en conta ó falar de seguridade informática son (METER ALGúN ICONO -Por exemplo a

presentación da casa)8:

Activo: “Recurso do sistema de información ou relacionado con este, necesario para que a

organización funcione correctamente e acade os obxectivos propostos”.

Ameaza: “É un evento que pode desencadear un incidente na organización, producindo danos

materiais ou perdas inmateriais nos seus activos”.

Impacto: “Medir a consecuencia ó materializarse unha ameaza”.

Risco: “Posibilidade de que se produza un impacto determinado nun activo, nun dominio ou en

toda a organización”.

Vulnerabilidade: “Posibilidade de ocorrencia da materialización dunha ameaza sobre un activo”.

Ataque: “Evento, exitoso ou non, que atenta contra o bo funcionamento do sistema”.

Desastre ou Continxencia: “Interrupción da capacidade de acceso á información e procesamento

da mesma”.

Destacar que risco e vulnerabilidade son conceptos diferentes, debido a que a vulnerabilidade está ligada

a unha ameaza,mentres que o risco o está a un impacto.

7 Artigo dispoñible na web http://www.segu-info.com.ar, “Seguridade Lóxica”

8 Artigo dispoñible na web http://www.monografias.com, “Seguridade da Información_Auditoría de Sistemas”

http://www.monografias.com/trabajos61/seguridad-informacion-auditoria-sistemas/seguridad-informacion-auditoria-sistemas.shtml

27

www.infojc.com

Tendo en conta o anterior, pódese resaltar que entre os activos máis importantes para unha organización

está a información e, por conseguinte, a custodia da mesma.

Esquema ónde se detallan as principais relacións entre varios conceptos da SI

3.1.2 Xestión da seguridade da información

A xestión da seguridade da Información defínese coma o “conxunto de metodoloxías, prácticas e

procedementos que buscan protexer a información como activo valioso, co fin de minimizar as ameazas e

riscos continuos aos que está exposta, a efectos de asegurar a continuidade do negocio (plan de

continuidade de negocio e/ou de recuperación ante desastres), minimizar os danos á organización e

maximizar o retorno de investimentos e as oportunidades do negocio (e no caso de cada individuo, de

protexer a identidade e a privacidade)”.

Podería resumirse como o conxunto de políticas de administración e emprego da información de xeito

seguro e controlado.

Esta xestión soe guiarse por unha serie de normas estándar (ISO, UNE, etc.) que adoitan englobarse nun

sistema de Xestión de Seguridade da Información (SGSI), sendo o máis empregado o que dicta a norma

ISO 27001.

Partindo e aplicando a soada frase de Lord Kelvin (1824-1907): "O que non se define non se pode medir. O

que non se mide, non se pode mellorar. O que non se mellora, degradase sempre", un Sistema de Xestión

da Seguridade da Información debe ter establecidos criterios de medición da eficacia e a eficiencia para

mellorar de xeito continuo e adaptarse á consecución dos obxectivos perseguidos.

28


No ámbito da seguridade da Información, o Plan de Continuidade de Negocio (INTECO) é a forma na que

calquera organización xestiona a implantación de medidas de prevención ante ameazas que poidan

afectar aos mecanismos de negocio ó desenvolvemento da mesma.

O Plan de Continuidade de Negocio debe ser apoiado dende a propia Dirección da Organización e prevé os

orzamentos e recursos necesarios (materiais, empregados, formación, etc.) para poder asegurar dita

continuidade. Así, a fórmula básica de calquera plan de continuidade contempla as seguintes actividades9:

Preparación: “Define as estratexias a seguir ante unha situación de crise, analizando plans e

procedementos de resposta, así como a forma de mitigar os riscos identificados”.

Prevención: “Debe realizarse unha labor continua de vixilancia, identificando e avaliando as

medidas xeradas para a mitigación dos riscos que se identificaron”.

Resposta: “Xestión dos recursos asignados para posibles crises”.

Recuperación: “Levar á organización á situación normal de actividade unha vez superada unha

situación de crise”.

Sendo os riscos un dos maiores problemas na seguridade, recomendase ter tres planos de actuación: un

para o peor dos casos, outro para estados intermedios e outro máis para circunstancias favorables.

Gradación dos protocolos de resposta

Localización no tempo do RTO e o MTD antes de que unha empresa sufra perdas graves

A seguinte ilustración amosa de maneira visual o concepto Tempo de Recuperación Permitido (RTO), que

é o tempo asumible sen risco para a organización; e a súa relación co Tempo Máximo Permitido de

9 Instituto Nacional das Tecnoloxías da Comunicación (INTECO), “Guía práctica para PEMEs, Como implantar un plan de

continuidade de negocio”, 2010

29

www.infojc.com

Interrupción (MTD) – que é o límite para a viabilidade da organización (considerando a ocorrencia nalgún

momento do tempo dun desastre).

Canto máis curtos son o RTO e o RPO, máis complexos e caros son os plans de continuidade de negocio

(precísanse tempos de resposta máis rápidos). Estes dous parámetros deciden tamén as diferentes

estratexias de recuperación.

Deste xeito poderase mitigar o hipotético dano que se poida provocar, pois se tomaron medidas. Non se

pode dicir que a seguridade garanta un 100% de tranquilidade (xa que cada día aparecen novas

vulnerabilidades e máis sofisticados ataques, etc.), pero o que é seguro e que propicia que os sistemas

sufran menos conflitos e estean en condicións de ser recuperados se fora preciso.

No caso de que a información confidencial dunha empresa (os seus clientes, as súas decisións, o seu

estado financeiro ou nova liña de produtos, etc.), caera en mans dun competidor e se volvera pública de

forma non autorizada, podería supoñer unha importante perda de credibilidade dos clientes (dano de

imaxe), perda de negocio, demandas legais ou ata a creba da mesma, polo que protexer a información

confidencial é un requisito do negocio, e tamén un imperativo ético e unha obriga legal.

A seguridade é un proceso continuo de mellora, por moi seguro que sexa un sistema, sempre se pode

mellorar (de maneira que nunca se debe baixar a garda).

3.2 Área de prevención

Hoxe en día, os datos da nosa empresa, a información sensible, constitúe o activo máis importante da

nosa actividade, o que nos diferenza fronte ó resto. Por iso mantelos seguros convértese nunha cuestión

de capital importancia.

Neste capítulo ofrecese información, exemplos, consellos, boas prácticas, etc., co fin de evitar

comportamentos e/ou situacións de risco que poidan comprometer a seguridade dos nosos datos ou, no

seu defecto, minimizalas no posible.

Insistir no feito de que a seguridade está a mudar, a actualizarse, motivada polas circunstancias

(dinámicas), dende un enfoque tradicional “reactivo”, a outro máis actual e “proactivo”. En xeral, pódese

resumir dicindo que este último aborda a temática dende un punto de vista integral (global, a todos os

niveis), e ten en conta tódolos actores e recursos susceptibles de ameaza, de maneira que se fundamenta

en tres grandes piares: Tecnoloxía, Procesos, e Persoas.

Tecnoloxía: emprego de ferramentas “orixinais” actualizadas (Hw/ Sw)

Procesos: políticas e procedementos de actuación definidos, claros e asumibles.

Persoas: capacitación e sensibilización de “todos” os recursos humanos no eido da seguridade.

Para esixir, primeiro hai que formar e concienciar, para que todos se “involucren”: ¡A seguridade

da información é tarefa de todos!

30


Por elo, existen distintos tipos de medidas que convén empregar para remediar dito problema: dende

ferramentas e solucións de Hardware/ Software de Control e Análise (a nivel interno), ata solucións de

protección do “perímetro” co exterior, sen esquecer o apartado referido ás políticas e procedementos

seguros.

Respecto ó primeiro caso, atopamos as solucións antivirus e antimalware en xeral (antispam,

antiphishing, etc.), as cales é absolutamente preciso ter correctamente actualizados ás versións máis

recentes. Dita política de “versións oficiais máis recentes” é extensible a calquera tipo de software ou

hardware empregado, incluíndo navegadores, solucións de ofimática, etc.

Dito isto, introducimos De seguido o concepto de seguridade perimetral, que se define como a “barreira

de protección” que hai entre a rede local da nosa empresa (LAN) e a exterior (WAN).

Actualmente, debido ó progresivo uso das TIC e ó incremento e modificación de accesos á rede, este

perímetro está cambiando continuamente e facéndose máis extenso e, polo tanto, tamén máis

vulnerable.

Esquema tipo de seguridade perimetral nunha organización

Anteriormente primaban as medidas de seguridade física, baseadas en controlar os accesos ó lugar onde

se atopaban as máquinas, pero por mor da evolución tecnolóxica dos últimos anos, as vías de acceso á

información (dispositivos, canles, etc.) diversificáronse e incrementáronse, polo que a implantación de

medidas de seguridade lóxicas foi inevitable (barreiras e procedementos que resgardan o acceso aos

datos).

Por iso, insistir de novo en que a maneira de entender a seguridade da información mudou de xeito

significativo nos últimos anos, introducindo e primando as medidas “proactivas” (evitar a aparición do

31

www.infojc.com

risco ou minimizalo no posible) sobre as anteriores medidas “reactivas” (responder unha vez aparecido o

dano). A principais medidas a adoptar poderían ser:

Uso de Routers, Firewall (devasas- “cortalumes”), DMZ (zonas desmilitarizadas)...

Uso de dispositivos de detección (IDS) e defensa (IPS) ante “intrusións” (accesos non autorizados)

Segmentación das distintas barreiras (Proxy, Firewall, Servidor de Comunicacións) e principio de

redundancia: Fragmentase o sistema de acceso, intercalando distintos elementos de protección

en serie, ademais de, polo menos, duplicar as alternativas ante calquera escenario adverso.

Adopción de políticas de seguridade no envío/recepción de información: cifrado de datos,

autenticación/verificación, protocolos de comunicación seguros (SSL), etc.

Seguridade/Control de Acceso á rede (NAC).

De seguido engádense outras medidas complementarias do ámbito de procedementos e protocolos de

actuación para salvagardar a información (ademais do desenvolvemento dalgunha das anteriores):

Xestión de accesos/Control de permisos a usuarios: Cada usuario terá acceso unicamente á

información que precise e será responsable de ditos accesos. O historial de accesos quedará

rexistrado para poder identificar fontes de problemas derivados da mala utilización dos accesos

concedidos (deber de custodia da información, etc.).

Política de uso de dispositivos portátiles externos (discos duros externos, Pen Drives USB, etc.):

O seu uso debería de estar prohibido ou moi delimitado (por exemplo, limitado a contornas

seguras como “sandboxes”, para previr posibles contratempos como infeccións, etc.), dado que

representan un potencial perigo cara o roubo de información.

Cifrado de datos: É recomendable o cifrado de todos os datos sensibles, especialmente en

equipos que poidan ser máis susceptibles ó roubo ou acceso externo (portátiles ou dispositivos

externos que saian da organización ou se atopen en lugares de acceso máis xeral ou menos

controlado).

Control de acceso a redes sociais no centro de traballo: As últimas novas reflicten o crecente

perigo que supón para calquera organización o acceso ás mesmas. Con todo, hoxe en día son

imprescindibles a nivel comercial, posto que representan un bo escaparate e unha xanela

inestimable de comunicación ó mercado.

Plan de continuidade de negocio (PCN ou, en inglés, BCP) e recuperación ante desastres: como

indica o seu nome, é o procedemento encamiñado a solucionar a problemática que se derive de

calquera incidencia grave que poña en perigo a actividade da empresa (e, polo tanto, da

organización), onde se definen a restauración dos procesos críticos da empresa ante calquera

incidencia.

32


Seguridade por capas: A información estará “fragmentada”, descentralizada, de maneira que non

se poida acceder á mesma na súa totalidade dende un único acceso, senón que haberá que

acceder a ela pouco a pouco (e sempre pasando os controis establecidos para cada “capa” ou

sección, que tamén se distribuirán por toda a estrutura, co fin de aumentar o éxito no seu

propaosito).

Con isto o que se pretende é que só se poida acceder á información estritamente precisa para

cada posto de traballo (e aprobada previamente pola Dirección, en función do perfil de usuario).

Por exemplo, un empregado de Administración que se encargue da confección de nóminas vai

precisar acceder a distintos datos que non precisará un traballador de Expedición (que controle o

envío/recepción das materias primas e produtos).

Firma de acordos/ cláusulas de confidencialidade: Cada usuario ten unha serie de deberes e

dereitos respecto da información que manexa, que o compromete á súa salvagarda e custodia.

Formación e capacitación personalizada a todo usuario: Segundo a área e posto de traballo a

executar.

Canles seguras de transmisión (VPN, etc.): Tan importante como cifrar a mensaxe é protexer o

medio de transmisión do mesmo.

Os protocolos de seguridade son un conxunto de regras na transmisión de datos que tentan garantir as

características antes mencionadas: confidencialidade, integridade, autenticación e non repudio da

información. Compóñense de:

Criptografía (Cifrado de datos): Cando unha mensaxe é enviada trasponse ou ocultase o contido

ata que chega ó seu destino, o cal debe de coñecer a clave de cifrado para poder descifralo. Para

un ente intermedio alleo á comunicación entre emisor e receptor, a mensaxe é ilexible e carece

de sentido.

Lóxica (Estrutura e secuencia): Orde na cal se agrupan los datos da mensaxe, o seu significado e

cándo vai ser entregada.

Autenticación: Validación de identificación é a técnica mediante a cal un proceso comproba que o

outro locutor é quen se supón que é e non se trata dun impostor.

Por outro lado, existen outras medidas que soen ir incluídas dentro do Plan de Continuidade de Negocio e

que, dada a súa importancia, cabe destacar neste apartado. Serían:

Copias de seguridade (Backup): Duplicado da información que se considera esencial para a

viabilidade da empresa, que permite restituíla no caso de incidencia ou desastre.

Principio de redundancia: Refírese ó feito de dispoñer sempre dunha alternativa, dun plan B, ante

calquera continxencia que poida acontecer. Podería explicarse coma o feito de poñerse sempre

33

www.infojc.com

no peor escenario posible no sentido de ter preparadas alternativas viables en caso de fallo da

principal.

Por exemplo, si se interrompe o subministro de rede na empresa, dispoñer dunha rede alternativa

(módem USB, etc.). Este tipo de medidas aplícanse sempre en función da necesidade de

dispoñibilidade de cada apartado do servizo.

Por todo o anterior, a Xestión de Sistemas de Información abarca varios procesos complementarios entre

si, e que dependerán da natureza do mesmo (parte do PCN)10:

A) Identificación e cualificación da información (“para protexer, primeiro débese coñecer qué é

importante”).

O seu manexo está baseado na tecnoloxía e debemos coñecer qué pode/debe ser confidencial: pode ser

divulgada, mal empregada, roubada, borrada ou sabotada. Isto afecta á súa dispoñibilidade e pona en

risco. Segundo isto, a información pódese clasificar en11:

Critica: É indispensable para a operación da empresa.

Valiosa: É un activo importante para a empresa.

Sensible: Debe ser coñecida só polas persoas autorizadas

B) Análise dos riscos aos que se enfronta (ou pode sufrir), ponderación, e catalogación dos efectos

potenciais. Imponse unha avaliación obxectiva de ditos riscos (en función das características de cada

organización), e a súa posterior ponderación (posibilidade de acontecemento, impacto- resultado do

mesmo, etc.) e catalogación.

Tipos de Impacto Descrición do Impacto

Operativos Actividades de negocio que deixan de esta ren funcionamento ou o custe das horas de traballo perdidas polos empregados

Económicos Custes directos ou indirectos como, por exemplo, o lucro cesante ou o dano emerxente

Regulatorios ou contractuais

Sancións por incumprimento legal ou penalizacións por incumprimento do contrato con clientes

Imaxe Relación de aspectos máis intanxibles e por tanto máis difíciles de valorar como a imaxe, a fiabilidade e a reputación da organización fronte a clientes, provedores e accionistas

Descrición dos principais tipos de impacto (INTECO)

10

Instituto Nacional das Tecnoloxías da Comunicación (INTECO)

11 Wikipedia, artigo sobre “Seguridade da Información”, actualizado o 09/02/2011

34


C). Medidas a implantar en cada circunstancia, para de inicio tentar previr e eliminar (ou, no seu

defecto, mitigar/controlar) os posibles perigos aos que se enfronta o uso da información. É vital ter

asignada unha Reacción proporcional a cada Acción, para coñecer en todo momento cómo actuar en

función do acontecido (parametrización de reaccións).

D). Medir e actualizar a concordancia dos resultados cos obxectivos agardados, a fiabilidade do sistema

e o programa de mellora continua. Hai que coñecer o grao de funcionamento das medidas aplicadas para

comprobar a idoneidade das mesmas e promover a súa optimización.

3.2.1 Exemplos de malas prácticas (a erradicar) en materia de seguridade da información nas

PEMEs galegas

En xeral, as malas prácticas soen ser consecuencia dunha falta de sensibilidade ou de coñecemento cara o

problema da seguridade. En xeral, estas poden ser melloradas con información e formación, que

constitúen algúns dos fitos desta guía.

Como a seguridade ten diferentes niveis, así tamén os teñen os riscos que afronta, derivados dos

procesos de tratamento diario. Lembrar que diferentes estudos están de acordo en que unha das vías

principais de riscos respecto da seguridade da información provén do interior das propias organizacións,

polo que de seguido se enumeran algúns exemplos de malas prácticas (e os seus resultados), coa posible

solución xenérica aos mesmos.

CASO PRÁCTICO: Divulgación do segredo industrial

35

www.infojc.com

CASO PRÁCTICO: Suplantación Identidade dixital

CASO PRÁCTICO: Envío de Spam

36


CASO PRÁCTICO: Denial of Service

CASO PRÁCTICO: Infección Malware

37

www.infojc.com

CASO PRÁCTICO: Phising

CASO PRÁCTICO: Sniffing

38


Conclusións 4

www.infojc.com

39

www.infojc.com

Unha vez achegados ao tema da Seguridade da Información, vendo a súa complexidade e comprobando a

súa aplicación a todas as áreas, poderíanse salientar as seguintes conclusións, respecto da análise dos

documentos de referencia citados ao longo da guía:

Maior concienciación (debido á maior esixencia do mercado- da demanda): Cada vez máis

empresas esixen o cumprimento de ditas políticas aos seus provedores ou subcontratistas, así

como aos procesos de concurso da Administración pública.

Maior esixencia legal e normativa: Por exemplo,dende comezos de ano téñense que efectuar as

comunicacións coa Administración de xeito telemático, de maneira que é imperativo legal garantir

a seguridade de toda esa información.

Unha vez vista a perspectiva do tema, existe un déficit tecnolóxico e de infraestruturas, pero que se está

salvando a pasos axigantados debido á imperiosa necesidade (motivada pola crise) de axeitar o noso

actual modelo produtivo a unha nova economía internacionalizada e baseada na investigación e a

innovación (aplicada, orientada a resultados), que nos conduza a produtos/ procesos e servizos de

elevado valor engadido, e que nos diferencie dos nosos competidores.

Pero tamén é obvio que por máis que se salve dita fenda dixital, e de que exista unha maior

concienciación da importancia da seguridade, pouco se conseguirá si esta non vén acompañada dunha

maior aplicación de ditas políticas de seguridade da información, que capaciten a todo o espectro de

usuarios fronte á incipiente e incremental ameaza que se cerne sobre o emprego de devanditas

tecnoloxías (incremento de comunicacións/ transaccións a través da web, etc.).

A información eríxese coma un dos principais activos da actividade de calquera organización, e se se vise

comprometida, os efectos adversos que diso se derivarían poderían ser moi rápidos (pola importancia dos

tempos de resposta na economía de hoxe) e funestos (ata poderían supoñer a paralización da actividade,

poñendo en perigo a súa propia viabilidade).

Por conseguinte, non deixa de ser paradoxal que os datos reais reflictan o escaso esforzo que se dedica a

garantir esa información sensible, da cal depende a nosa proposta de valor:

Escasa adopción de SGSI: políticas, procedementos …

Modesto porcentaxe de realización/ actualización/ comprobación de copias de seguridade de

devandita información

Baixa implantación de plans de continuidade de negocio, etc.

40


E tamén resultan esclarecedores (e preocupantes), os datos que indican a disparidade existente entre a

percepción que se ten e o estado real sobre devandita cuestión, o que denota a falta de formación en

devandito campo.

Ditas informacións (Plan de continuidade de negocio e recuperación ante desastres, INTECO), indican a

escasa concienciación respecto ao tema da seguridade, cando a realidade reflexa que é bastante máis

alcanzable protexerse e previr, que actuar logo de verse afectado (cando aínda hai posibilidade de

recuperar, que non é sempre). De feito, a maioría das organizacións só modifican esa deriva unha vez que

se ven afectadas por un incidente de importancia que fai perigar a subsistencia da propia organización:

proba que denota a carencia de formación específica para a seguridade da empresa a todos os niveis de

organización da mesma.

Sumado á adopción de dispositivos tecnolóxicos (HW/ SW) automáticos de protección (antivirus,

antimalware …), filtrado (devasas, DMZ…), detección e defensa de intrusións (IDS/ IPS), etc., destaca a

importancia da adopción de medidas de capacitación e formación a todos os niveis da organización en

función da actividade realizada (para concienciar sobre a importancia da seguridade;e en último termo

responsabilizar a cada usuario dos seus actos).

Resúmense agora os aspectos que xurdiron nos respectivos grupos de traballo realizados no transcurso

do deseño desta Acción de Apoio

4.1 Grupo Expertos

Situación actual

Descoñecemento LOPD A primeira das ideas que quedou clara na exposición dos expertos foi o grande descoñecemento que hai

sobre a lexislación en materia de protección de datos (LOPD). Temos unha das normativas máis restritivas

da UE sobre este tema e na maioría dos casos os empresarios descoñecen a que están obrigados e cales

son os pasos que deben dar para cumprir coa lei de protección de datos: por exemplo, soen estar inscritos

os ficheiros cos datos, pero non soen comprobarse nin actualizarse...

Falta de sensibilidade respecto da temática Outra das cousas que tamén parece ser de xeral acordo é a falta de sensibilidade, ou de actitude receptiva

en canto o tema da seguridade. Aquí se expuxeron diferentes causas: tales como a falta de formación, os

custes elevados e a complexidade do problema, etc., xa que acadar un nivel de seguridade eficaz supón

na maioría das arquitecturas unha enorme complexidade de procesos que precisan de persoal

especializado ou de xestión externa.

Esta actitude de certa desidia por parte dos responsables, parece ser unha resposta ás prioridades da

empresa. É dicir, a seguridade da información non se entende como prioritaria, en parte porque non hai

unha consciencia do perigo que se está a asumir, ou o que é o mesmo, non se ten coñecemento do nivel

de desprotección e risco que isto supón.

41

www.infojc.com

Polo tanto, outro acordo ao que se chegou foi que na maioría das empresas (tanto grandes, como

pequenas), existe unha enorme falta de sensibilidade cara a importancia do tema da seguridade. Isto

supón o primeiro e o máis importante obstáculo, posto que esta falta de sensibilización, tanto cara o risco

de perda como do roubo ou mal uso, fai que as medidas de seguridade sexan moi baixas ou ineficaces a

todos os niveis.

Exemplos ilustrativos disto serían por exemplo:

Que ou ben non se considera primordial a seguridade da información na organización ata que

ocorre un incidente relativo á mesma (que compromete información sensible da mesma)-> É

entón cando se “visualiza” o impacto do mesmo

Ou que non se comproba a fiabilidade nin a corrección das copias de seguridade efectuadas, etc...

Deseño de aplicacións sen seguridade Outra das cuestión que se sinalou no grupo foi o feito de que a maioría das aplicacións se deseñan sen

seguridade, e dicir, que primeiro se pensa nunha solución para unha necesidade e logo se pensa na

seguridade desa solución, o que implica que a seguridade sexa un proceso externo ou de

desenvolvemento de calquera software.

A seguridade como problema cultural Falouse tamén da seguridade como un problema cultural, posto que o risco non se percibe xa que non se

ensina, non se transmite, e en moitos casos aínda non se entende o valor da información, resulta un tanto

complicado dado o nivel de abstracción que a sociedade entenda o custo tan elevado que supón protexer

os datos.

A seguridade depende principalmente do factor humano, que é o causante da meirande parte dos

problemas de seguridade, o que nos leva a falar da súa formación e da súa capacitación, manipular datos

ou acceder a eles supón ser consciente do nivel de responsabilidade que conleva esa tarefa.

A seguridade na nube (cloud computing) Tamén se dixo que o futuro está na nube, pero esta é unha perspectiva que aínda está por darse (e menos

no campo primordial de aplicación desta guía- pyme e micropymes).

Non obstante, destácanse as posibilidades e tamén os perigos da mesma (exemplos de fallos no servizo:

Amazon, Google...), de maneira que se conclúe que falta aínda un longo percorrido para a súa avaliación e

posta a punto.

42


Ausencia dun Marco Legal específico En especial, faise fincapé na ausencia dun Marco Legal ao respecto, que regule os aspectos máis

espiñentos de dita actividade: aloxamento en servidores foráneos (no estranxeiro) de información

sensible do país...

Prioridades

Establecer roles/ perfís dinámicos Establecer roles dinámicos posto que os perfiles que se propoñen non son ríxidos. Por xemplo, un xerente

non sempre se comporta como un administrador do sistema e un técnico non sempre ten todos os

permisos para acceder a información sensible. Polo tanto ten máis sentido que non se fale de perfiles

ríxidos senón de roles que son representados por persoas diferentes de cada vez. Ademais, é vital que

todos coñezan o perfil de traballo dos demais (en especial, un directivo ou técnico debe coñecer a

capacidade, formación e motivacións dos empregados tipo), para así divulgar, capacitar e concienciar

axeitadamente, e facer partícipes a todo o espectro produtivo da organización da importancia desa

temática (e tratar de vencer desa maneira a natural resistencia ao cambio dos usuarios).

É máis, inclusive deben entrever que dita mellora pode redundar neles na súa esfera privada (como

particulares).

Simplificar e axilizar Simplificar o acceso é outra das cuestión prioritarias, aínda que con evidente controversia, posto que se

ben é necesario simplificar o acceso a información, parece ser que isto diminúe a seguridade: cantas máis

claves se poñen máis seguro é o sistema, pero pola contra máis complicado é o acceso. Se suprimimos os

controis reducimos a seguridade pero facilitamos o traballo cos datos.

Avaliar riscos (para focalizar esforzos) Avaliación dos riscos, esta parece unha ser unha das claves para facer conscientes os xestores do custo

real que ten unha mala xestión en seguridade: establecer o custo real da perda ou roubo da información

fai que se poda cuantificar o risco e polo tanto que se poda determinar o alcance do mesmo.

Formación Recoméndase a formación para toda a organización como modo de sensibilizar a tódolos traballadores

dos riscos, personalizándoa e adaptándoa segundo o perfil e as necesidades específicas.

Adecuación dos plans de estudio Dada a escasa implantación de materias formativas desta temática (SI) nos plans formativos, incídese na

necesidade de adecuar e actualizar os plans de estudos (tanto técnicos coma xerais) para incorporar dita

capacitación.

43

www.infojc.com

Seguridade por capas É vital establecer niveis de importancia para a información, posto que non toda a información da empresa

é susceptible de ser protexida, e polo tanto os custos derivados deste proceso poden verse reducidos

significativamente.

Cómpre pois, determinar os niveis de seguridade para cada tipo de información co fin de establecer unhas

categorías que permitan optimizar os custos da seguridade de cada un dos niveis. Ademais, desta maneira

cada perfil terá acceso unicamente á información que precise para a súa labor diaria (en especial para o

usuario/ traballador tipo), simplificando a capacitación e a labor de seguridade.

Plan de Continuidade de Negocio Destácase a necesidade de incidir na aplicación de Plans de Continxencia e de Continuidade de Negocio,

como unha das vías de asegurar o negocio, e como medio de concienciación sobre os posibles riscos a

evitar.

4.2 Grupo Xerentes

“Fenda Dixital”

Coincídese en salientar a importante fenda nas infraestruturas no ámbito da PEME, que contribúe a

socavar dita actividade: aínda non é un servizo universal nin competitivo. Por exemplo, aínda a día de

hoxe se estima (segundo o Observatorio para a Sociedade da Información de Galicia- OSIMGA) nun 16 % a

demanda de Banda Larga (BL) sen cubrir no sector produtivo.

Ademais esta BL é máis cara e de menores prestacións ca noutros lugares, o que dificulta competir en

igualdade de condicións nesta economía globalizada.

Seguridade “simple, automática e asequible”

Como era de esperar (e podendo identificalo coma a interpretación no sector do famoso dito popular das

“3 Bs” - bo, bonito e barato), o perfil directivo bota en falta unha maior simplicidade na implantación das

prerrogativas de seguridade, así como a inexistencia de ferramentas/ aplicacións integrais automáticas

que “traten” a totalidade deste eido .

Maior análise do apartado de Seguridade Física

Aínda que as medidas que máis se estudan son as de tipo lóxico (control de usuarios por contrasinais no

propio equipo, etc.), quizais habería que abundar na análise e mellora das medidas de tipo físico (acceso

restrinxido por medidas como portas con contrasinais , videovixilancia...), etc.

Compañías de Seguros con pólizas axeitadas a dita problemática

44


Tamén se insiste na falta de seguros concretos e adaptados a dita temática, que presenten cláusulas e

supostos reais e adaptados é realidade do sector.

Adiántase que podería estar motivado pola ausencia dunha cultura/ política de seguridade a nivel

sectorial: pois se algo non se mide, non se pode cuantificar (e por extensión, non se pode asegurar).

Ademais, cantos máis afiliados a ditos seguros, maior competitividade dos mesmos e mellor relación

calidade/ prezo.

4.3 Grupo Usuarios Base (ou Tipo)

Respecto ás características do cuestionario

Estamos a falar dun cuestionario breve (10 minutos), anónimo, cun número reducido de cuestións (36),

redactadas de xeito moi sinxelo, concretas e claras, cun baremo claro e definido.

Os participantes no grupo de discusión amósanse identificados co modelo de cuestionario proposto e

están de acordo coa lonxitude do mesmo, xa que opinan que un empregado pode cumprimentalo en

poucos minutos sen que isto afecte ao seu labor profesional cotiá.

Os asistentes expoñen diversas dúbidas relativas aos conceptos técnicos incluídos no cuestionario. Ante

esta situación, o equipo técnico explícalles que cada concepto técnico irá acompañado da súa definición

(acceso a través de hipervínculo ao correspondente glosario, por exemplo), que en función da necesidade

que teña cada usuario poderá botar man dela se fora mester, para ampliar a comprensión da pregunta e

saír de dúbidas.

A análise do cuestionario por parte dos futuros usuarios do mesmo axudou ao equipo de traballo a ter en

consideración posibilidades de resposta que non foran observadas anteriormente.

Falta de control

Os participantes comentan que nalgunhas empresas existe falta de control respecto á seguridade da

información.

Todos os traballadores son conscientes da importancia de modificar os contrasinais, pero sen embargo

recoñecen que adoitan por exemplo anótalos nun post-it á vista de calquera, compártenos cós seus

compañeiros por motivos profesionais ou, inclusive, todos os compañeiros teñen o mesmo contrasinal

para facilitar as súas labores (polivalencia de cara a suplencia por baixas laborais, vacacións...)

Tamén saben que o mais recomendable é gardar os seus datos no servidor da empresa e non nos seus

propios equipos, mais por vagancia ou desgana, deixan os datos nos seus equipos conscientes do risco de

perda de información valiosa.

45

www.infojc.com

Así e todo, os traballadores comentan que mentres que non exista un control por parte da estrutura

organizativa da empresa que esixa o cumprimento dos protocolos de seguridade da información, e

mentres que o persoal poida eximir responsabilidades ao respecto, non mellorará a concienciación sobre

a seguridade da información.

Necesidades de formación

Durante o grupo de discusión quedan patentes necesidades de formación aos traballadores en materia de

seguridade da información.

Descoñécense os perigos de seguridade, como por exemplo os riscos que poden vir por medio do acceso

ás redes sociais, ou produto do uso de redes WIFI abertas (sen ningún tipo de seguridade na transmisión),

etc.

Argumentan que se non se forma e informa sobre os riscos, un non toma conciencia da importancia da

información que manexa diariamente no seu posto de traballo.

Ademais insístese na ambigüidade do tema: “creo que...”, “a min dixéronme...”, resaltando o feito de que

se precisan protocolos e instrucións de traballo sinxelas, claras e asumibles.

E xa logo unha vez capacitados, sería cando habería que controlar o axeitado seguimento da seguridade,

podendo en último termo esixir responsabilidades polo comportamento de cada un.

Por último, e dado o descoñecemento do tema e a falta de recursos existentes neste senso para a súa

mellora, apláudese a iniciativa a desenvolver pois é vista como unha mellora global para todos os actores

implicados.

4.3 Conclusións grupos

En resumo de todo o aportado, enuméranse agora algunhas das recomendacións xerais en función do

perfil de usuario escollido

Espectro usuario:

Capacitación acorde ás tarefas

Concienciación e responsabilidade: Coñecemento da realización de infraccións e as súas

consecuencias e impactos, etc. Logo unha vez sendo conscientes dos riscos e da forma de evitalos,

así como da importancia da información como activo principal, pódese esixir un comportamento

responsable no manexo da mesma.

46


Espectro directivo

Capacitación acorde ás tarefas: Discernir o que pode constituírse como unha ameaza potencial

(linguaxe directiva, en forma de cadro de mando integral, para que sexa entendible sen posuír

coñecementos informáticos).

Aplicación de Controis de Usuario/ Xestión de acceso, para delimitar a información á que pode

acceder cada usuario (antes debe clasificarse e ponderarse a mesma, etc.)

Coñecemento dos posibles perigos aos que se expón a organización, co ánimo de evitalos ou

prevelos, ou na súa falta, minimizalos. Por exemplo, que o feito de observar un consumo de ancho

de banda excesivo, nun posto de traballo non autorizado e nun horario estraño (fóra da xornada

laboral), sexa un indicativo de perigo que o responsable sexa capaz de identificar.

Difusión/ Divulgación: Explicación do porqué das medidas e a súa importancia … Involucrar á

todo o persoal

Espectro Técnico

Seguridade por capas: Gradación das medidas de seguridade (en serie)

Medidas razoables, aplicables e entendibles: Para vencer a resistencia ao cambio.

Para abundar no tema, se desexa comprobar o estado xeral da seguridade da información na súa

empresa, consulte o seguinte enlace: http://laboratorio.infojc.com:81/ , onde poderá facer unha

Autoavaliación, que lle orientará sobre o estado actual da mesma. Así mesmo, tamén dispón doutros

recursos de consulta na ferramenta web citada (clasificados segundo áreas), que lle axudarán a acadar

unha mellora neste campo.

É obvio que queda moito por facer, pero a conxuntura actual indica que é un camiño que non ten volta

atrás, e que nos tempos sumamente competitivos nos que vivimos so queda “renovarse ou morrer”,

porque xa non vale a opción de quedar atrás.

http://laboratorio.infojc.com:81/login/indexjc.php?phash=a88sd7h3jhb2

47

www.infojc.com

48


Anexos 5

www.infojc.com

49

www.infojc.com

5.1 Marco legal

O seguinte apartado, realizado con aportacións recompiladas das principais fontes autorizadas (como

INTECO, OSI, AEPD, Wikipedia, etc.), ten como obxectivo servir de compendio, modelo e de referencia

práctica de cara á xestión eficiente e cumprindo coa lexislación vixente, dos datos “privados” que

manipule calquera organización (considerando privado todo aquel dato que non sexa xa de coñecemento

público).

Aínda que poida parecer que en Internet todo o que se realiza permanece no mundo virtual, na realidade

existen un conxunto de leis que regulan o que se pode e non se pode facer.

Estas leis non son sempre sinxela de coñecer e de cumprir (aínda que a priori responden ó sentido

común), pero pretenden certa equivalencia co mundo real, por exemplo:

Igual que non se pode ler a correspondencia doutra persoa sen o seu consentimento, non se pode

ler o seu correo electrónico.

Igual que non se pode entrar nunha casa allea, non se pode acceder aos sistemas informáticos

dunha empresa.

En España existen varias normas principais ó respecto, destacando as seguintes: a Lei de Propiedade

Intelectual (contra a piratería), a LO 5/2010 (que pena o Hacking), a LOPD (aborda a problemática e

lexislación aplicable aos datos de carácter persoal), a LSSI-CE (servizos e comercio), a Lei de Firma

Electrónica, etc.

Lei de Propiedade Intelectual (LPI): Describe e regula o

conxunto de dereitos que pertencen aos autores e outros

titulares respecto das obras. Establece por exemplo, que

piratear os programas de ordenador (aplicacións e xogos) ou

descargar contidos dixitais con copyright (como música ou

películas), é delito e prevé multas por elo.

Lei Orgánica 5/2010, do 22 de xuño, pola que se modifica la

Lei Orgánica 10/1995, do 23 de novembro, do Código Penal:

Pena as actividades de Hacking ou intrusión en ordenadores

Igual que sucede con

calquera Lei, o

descoñecemento da

mesma non exime

do seu cumprimento

e polo tanto, das

súas sancións

50


alleos, coa intención de causar dano o de cometer un delito. Tamén pena o acceso o interceptación de

información persoal como correos electrónicos o tráfico de rede.

Lei Orgánica de Protección de Datos de Carácter Persoal (LOPD): Define que datos son información que

afecte a persoas físicas identificadas ou identificables, e o procedemento a seguir coa súa xestión.

Lei de Servizos da Sociedade da Información e Comercio Electrónico (LSSI-CE): Regula o réxime xurídico

dos servizos da sociedade de información e o comercio electrónico, e todos os aspectos a ter en conta á

hora de realizar transaccións electrónicas.

Lei de Firma Electrónica: Regula todos os aspectos referentes ó réxime xurídico,e todos aqueles requisitos

que son necesarios para que á hora de realizar comunicacións exista identidade e seguridade. De seguido

incídese nas de maior relevancia, explicando a LOPD e a LSSI-CE.

5.1.1 Lei Orgánica de Protección de Datos de Carácter Persoal (LOPD)

Definición

É a lei que ten por obxecto garantir e protexer, no que concirne ó tratamento dos datos persoais, ás

liberdades públicas e aos dereitos fundamentais das persoas físicas (especialmente da súa honra,

intimidade e privacidade persoal e familiar).

Obxectivo

O seu principal obxectivo é regular o tratamento dos datos e ficheiros de carácter persoal (operacións e

procedementos técnicos de carácter persoal que permitan a recollida, gravación, conservación,

modificación, bloqueo e cancelación; así como cesións que se deriven de comunicacións ou consultas),

independentemente do soporte no cal sexan tratados. Afecta aos dereitos dos cidadáns sobre eles, e as

obrigas daqueles que os crean ou tratan.

Desenvolvemento

Defínese por ficheiro de datos persoais a todo conxunto organizado de datos de carácter persoal,

calquera que sexa a súa forma, creación, organización e acceso. Entre as súas novidades máis importantes

destaca o aumento do ámbito de aplicación da lei aos ficheiros e tratamentos non automatizados ou en

soporte papel.

¿A qué está obrigado por crear ditos ficheiros? “Grosso modo”:

Inscribilos no Rexistro Xeral de Protección de datos

Informar e obter consentimento respecto do tratamento

51

www.infojc.com

Adoptar medidas establecidas no Novo Regulamento de Protección de Datos 1720/07

Gardar o segredo dos mesmos (privacidade e confidencialidade)

Informar aos titulares dos datos do exercicio dos dereitos de Acceso, Rectificación, Cancelación e

Oposición (ARCO)

Dereitos e Deberes de la LOPD

Deber de información: Os interesados deberán de ser informados de modo preciso, previo e inequívoco

da seguinte información

Que existe un ficheiro ou proceso de tratamento de datos.

Cal é a finalidade da recollida dos datos: Isto quere dicir que se manifeste con absoluta

sinceridade a finalidade lexítima coa que se recolleron eses datos.

Obrigatoriedade ou voluntariedade das preguntas efectuadas.

Consecuencias da obtención ou da negativa a subministrar a información.

Posibilidade de exercitar os dereitos de acceso, rectificación, cancelación e oposición (ARCO)

Identidade e dirección do responsable do tratamento.

Para o caso de que os datos foran recompilados doutras fontes distintas ó titular dos datos, é necesario

informar de forma expresa, precisa e inequívoca ó titular no prazo de tres meses.

Consentimento: O principio de consentimento vai da man do principio de información; de maneira que o

interesado, cando estea ben informado, está en condicións de emitir consentimento. A LOPD di que o

consentimento debe ser libre, especifico, informado e inequívoco. Así, o consentimento consiste en toda

manifestación de vontade libre, inequívoca, específica, na que o interesado consinta o tratamento dos

datos que lle concirnen.

A LOPD di que o consentimento ten que ser "libre, específico, informado e inequívoco", pero en ningún

momento fala de que teña que ser expreso (Ex.: o que outorgamos a través da nosa rúbrica). Ademais,

existe outra clase de consentimento, o “tácito”: que consiste en que o consentimento entendese

concedido por parte do interesado, sen necesidade de realizar ningún tipo de asentimento. O importante

aquí é que o interesado tivo a oportunidade de opoñerse ó tratamento dos seus datos e non o fixo.

No caso de certos datos protexidos, o principio de consentimento refórzase:

Se se tratan datos protexidos referentes á ideoloxía, relixión, crenzas e afiliación sindical o

consentimento ademais debe ser expreso e escrito.

52


Ao tratar datos especialmente protexidos de saúde, vida sexual ou orixe racial, o consentimento

debe ser só expreso.

Os Dereitos ARCO: (acceso, rectificación, cancelación,

oposición): unha característica común destes dereitos é que

son gratuítos e persoais (intransferibles), é dicir, soamente os

pode exercer o interesado acreditando a súa identidade.

Ademais exércense directamente ante o responsable (non

ante o encargado) acreditando a propia identidade. A

solicitude destes dereitos deberá conter o nome do interesado

e fotocopia do DNI. Estes dereitos teñen uns prazos moi

breves, o cal os converte nun mecanismo rápido e efectivo.

Pódese facer unha breve definición de cada un deles :

Dereito de Acceso: Consiste no dereito do interesado en coñecer se os seus propios datos están

sendo obxecto de tratamento. O interesado pode optar polos seguintes sistemas: visualización en

pantalla, escrito, copia, fotocopia ou telecopia, correo electrónico ou calquera outro sistema que

sexa adecuado á implantación do ficheiro. O responsable resolverá no prazo de 1 mes a contar do

envío da solicitude.

Dereito de Rectificación e Cancelación: Consiste no dereito a que se modifiquen datos erróneos

ou inexactos. A solicitude deberá ir acompañada de documentación xustificativa. O responsable

debe resolver nun prazo máximo de 10 días a contar dende a recepción.

Dereito de oposición: Consiste en excluír datos persoais de ficheiros e tratamentos. O

responsable resolverá nun prazo máximo de 10 días a contar dende a recepción da solicitude.

Por outra parte calquera persoa poderá coñecer, recompilando a tal fin a información oportuna do

Rexistro Xeral de Protección de Datos, a existencia de tratamentos de carácter persoal, as súas finalidades

e a identidade do responsable do tratamento. A consulta é pública e gratuíta.

Tutela destes dereitos

O responsable do ficheiro está obrigado a garantir o exercicio dos

dereitos de Acceso, Rectificación, Cancelación e Oposición dunha

maneira gratuíta. Se os interesados consideran que as actuacións

dos responsables son contrarias á LOPD, poden reclamar ante a

Axencia de Protección de Datos.

Na LOPD deixase ben claro que estes dereitos son persoais, aínda

que deixase unha vía aberta para que sexan exercitados por medio

de representante legal no caso de minoría de idade ou ben

incapacidade legal.

Outras características que deben cumprir:

So cando o

interesado está

ben informado, é

apto para emitir

consentimento

O responsable do

ficheiro está obrigado

a garantir os dereitos

de acceso,

cancelación e

oposición

53

www.infojc.com

Deber de segredo: O "deber de segredo" obriga ó responsable do ficheiro e quen interveña en

calquera fase de tratamento dos datos a gardar segredo profesional, e tal obriga existe aínda

despois de rematar o vínculo existente.

Período de conservación: Os datos deben de conservarse durante os prazos previstos nas leis

aplicables. No caso de datos relativos a altas, baixas e variacións dos traballadores, documentos

de cotización polo empresario, así como recibos xustificativos do pago de salarios polo

empresario, o prazo de conservación é de 5 anos (RD 84/1996, do 26 de xaneiro). Mantense un

prazo de prescrición para as posibles responsabilidades que poidan xurdir do tratamento previo

dos datos.

Niveis dos datos

A lei establece tres niveis de medidas de seguridade (básico, medio, alto), os cales deberán ser

implantados dependendo dos distintos datos persoais incluídos no ficheiro (saúde, ideoloxía, relixión,

crenzas...).

Tipo de datos

Nivel básico: É calquera conxunto de datos que se refiren a unha persoa identificada ou

identificable: nome, apelidos, teléfono,...

Nivel medio: Refírese a datos relativos á comisión de infraccións administrativas ou penais,

Facenda Pública, servizos financeiros e aos servizos de solvencia e crédito.

Nivel alto: Inclúe datos de ideoloxía, relixión, crenzas, orixe racial, saúde ou vida sexual, así como

os recompilados para fin policiais (sen consentimento das persoas afectadas).

O habitual no caso de PEMEs é ter unha administración de empregados, cuxa nómina pode incluír datos

de carácter persoal de nivel alto: por exemplo o tipo de contrato adscrito (o cal reflicte posibles

discapacidades do propio empregado). Ademais recompílase información para Facenda de posibles

discapacidade de persoas que están a cargo dos empregados, etc.

Se dito ficheiro está en man dun terceiro, non exime da obriga de notificalo á AEPD. Se a xestión do

ficheiro é realizada por este (xestorías...), débese facer constar quen se fai cargo do tratamento dos datos.

Na maioría de PEMEs, os outros ficheiros de datos persoais só teñen datos de nivel básico. Aínda que

tamén deben ser declarados ante a Axencia Española de Protección de Datos, o seu nivel de protección é

máis sinxelo de cumprir.

Medidas de Seguridade

La LOPD establece a obriga de adoptar as medidas de índole técnica e organizativas necesarias que

garantan a seguridade dos datos de carácter persoal e eviten a súa alteración, perda, tratamento ou

54


acceso non autorizado. Tratase de garantir a seguridade dos ficheiros, os centros de tratamento, locais,

equipos, sistemas, programas e das persoas que interveñan no tratamento de datos de carácter persoal.

As Medidas de Seguridade veñen reguladas no título VIII do Regulamento de desenvolvemento da LOPD -

Real Decreto 1720/2007, do 21 de decembro (artigos 79 a 114). Este Regulamento de desenvolvemento

da LOPD clasifica as Medidas de Seguridade atendendo a dous criterios:

Segundo os niveis de seguridade: de nivel básico, medio e alto.

Segundo a aplicación das Medidas de Seguridade a ficheiros e tratamentos automatizados ou non

automatizados.

Órgano de control

O órgano de control do cumprimento da normativa de protección de datos dentro do territorio español,

con carácter xeral é a Axencia Española de Protección de Datos (AEPD), existindo outras Axencias de

Protección de Datos de carácter autonómico nas Comunidades Autónomas de Madrid, Cataluña e e no

País Vasco.

Sancións

As sancións teñen unha elevada contía, sendo España o país da Unión Europea que ten as sancións máis

altas en materia de protección de datos (e tamén as máis polémicas- debido á ambigüidade de certos

artigos, que se prestan a interpretacións subxectivas). Ditas sancións dependen da infracción cometida e

divídense en:

Sancións leves, van dende 60,01 a

6.101,21 €

Sancións graves, van dende 6.101,21 a

30.506,05 €

Sancións moi graves, van dende 30.506,05

a 60.012,10 €

Pese ó elevado importe das sancións, existen

moitas empresas en España que aínda non se

axustaron á LOPD, ou o fixeron de forma parcial

(pero non revisan de forma periódica a súa

actualización); polo que resulta esencial o

mantemento e revisión da mesma.

No sector público, a citada Lei regula igualmente o uso e manexo da información e os ficheiros con datos

de carácter persoal empregados por todas as administracións públicas.

55

www.infojc.com

Se desexa maior información sobre o tema, consulte o documento correspondente na sección de

“Documentación”, ou pique no seguinte enlace:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_SEGURI

DAD_2010.pdf

5.1.2 LISSI- CE

Dita Lei ten por obxecto (de maneira moi resumida), a regulación do réxime xurídico dos servizos da

sociedade da información e da contratación por vía electrónica no referente a:

As obrigas dos prestadores de servizos. incluídos os que actúen como intermediarios na

transmisión de contidos polas redes de telecomunicacións

As comunicacións comerciais por vía electrónica

A información previa e posterior á celebración de contratos electrónicos

As condicións relativas á súa validez e eficacia

O réxime sancionador aplicable aos prestadores de servizos da sociedade da información.

Defínese “servizos da sociedade da información” como: "Todo servizo prestado normalmente a título

oneroso, a distancia, por vía electrónica e a petición individual do destinatario. O concepto de servizo da

sociedade da información comprende tamén aos servizos non remunerados polos seus destinatarios, na

medida na que constitúan unha actividade económica para o prestador de servizos."

Destácanse os seguintes (sempre que representen unha actividade económica):

A contratación de bens ou servizos por vía electrónica.

A organización e xestión de poxas por medios electrónicos ou de mercados e centros comerciais

virtuais.

A xestión de compras na rede por grupos de persoas.

O envío de comunicacións comerciais.

O subministro de información por vía telemática.

O vídeo baixo demanda, como servizo no que o usuario pode seleccionar a través da rede, tanto o

programa desexado como o momento do seu subministro e recepción (en xeral, a distribución de

contidos previa petición individual).

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_SEGURIDAD_2010.pdf

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_SEGURIDAD_2010.pdf

56


Non terán en cambio a consideración de servizos da sociedade da información, os que non reúnan as

características sinaladas no primeiro parágrafo deste apartado, e en particular os seguintes:

Os servizos prestados por medio de telefonía vocal, Fax ou Télex.

O intercambio de información por medio de correo electrónico ou outro medio de comunicación

electrónica equivalente para fin alleos á actividade económica de quen o emprega.

Os servizos de radiodifusión televisiva (incluídos os servizos de vídeo á carta), contemplados no

artigo 3.a) da Lei 25/1994, do 12 de xullo, pola que se incorpora ó ordenamento xurídico español

a Directiva 89/552/CEE, do Consello, de 3 de Outubro.

Os servizos de radiodifusión sonora, o teletexto televisivo e outros servizos equivalentes, como as

guías electrónicas de programas ofrecidas a través das plataformas televisivas.

Sancións e órgano executor http://www.mityc.es/dgdsi/lssi/Documents/ltriptico.pdf

As sancións serán impostas pola xa mencionada AEPD, e teñen unha elevada contía. Dependerán de

factores como: a infracción cometida, a reincidencia, etc.

Divídense en:

Sancións leves van ata 30.000 €

Sancións graves van dende 30.001 a 150.000 €

Sancións moi graves van dende 150.001 a 600.000 €

Se desexa maior información sobre o tema, consulte o documento correspondente na sección de

“Documentación”, ou no enlace do título.

http://www.mityc.es/dgdsi/lssi/Documents/ltriptico.pdf

57

www.infojc.com

5.2 Glosario

Activos de información

Tamén chamada “Información Sensible”. En relación coa seguridade da información, refírese a calquera

información ou sistema relacionado co tratamento da mesma que teña valor para a organización. Poden

ser procesos de negocio, datos, aplicacións, equipos informáticos, persoal, soportes de información,

redes, equipamento auxiliar ou instalacións

Adware

Tipo de software que ofrece publicidade mentres está funcionando. Aínda que se asocia ao malware, non

ten que selo forzosamente, xa que adoita ser un medio lexitimo usado por desenvolvedores de sofware

que o implantan nos seus programas, xeralmente nas versións shareware, facéndoo desaparecer no

momento en que adquirimos a versión completa do programa. Convértese en malware no momento en

que comeza a recopilar información sobre o ordenador onde se atopa instalado

Análise de riscos

Proceso que comprende a identificación de activos informáticos, as vulnerabilidades e ameazas aos que

se atopan expostos así como a súa probabilidade de ocorrencia e impacto das mesmas, co fin de

determinar os controis adecuados para aceptar, diminuír, transferir ou evitar a ocorrencia do risco

Auditoría de seguridade

É o estudo que comprende a análise e xestión de sistemas levado a cabo por profesionais en Tecnoloxías

da información para identificar, enumerar e posteriormente describir as diversas vulnerabilidades que

puidesen presentarse nunha revisión exhaustiva das estacións de traballo, redes de comunicacións,

servidores ou aplicacións

Backdoor

Tamén denominada “porta traseira”, é calquera punto débil dun sistema (ou programa) mediante o cal

unha persoa non autorizada pode acceder a el.

Poden ser motivados por erros ou creados á mantenta polos propios autores, pero ao ser descubertas por

terceiros, poden ser utilizadas con fins ilícitos.

Doutra banda, tamén se consideran portas traseiras aos programas que, unha vez instalados no

ordenador da vítima, dan o control deste de forma remota ao atacante.

Polo tanto aínda que non son especificamente virus, poden chegar a ser un tipo de malware que funciona

como ferramenta de control remoto. Contan cunha codificación propia e usan calquera servizo de

Internet para executarse: correo, mensaxería instantánea, HTTP, FTP, TELNET ou Chat, entre outros.

58


Backup

Tamén denominado “Copia de seguridade”, é o proceso polo cal se realizan copias adicionais que se

poidan empregar para restaurar o orixinal logo dunha eventual perda de datos (recoméndase

almacenalas nun lugar distinto do habitual, para evitar a posible destrución simultánea co orixinal).

CCTV

Circuíto Pechado de Televisión. É o uso de videocámaras para transmitir o sinal cara un centro de

seguimento de imaxes.

Cifrado

É o resultado de escribir en clave ou en cifra.

Cloud Computing

Tamén coñecida como “Computación na nube”, é a filosofía pola cal as aplicacións e servizos non se

atopan aloxados fisicamente no equipo, senón que o usuario pode acceder aos mesmos a través de

Internet dende calquera lugar. Posibles Contras: a seguridade (alóxanse os contidos en servidores de

terceiros), necesidade de disposición de conexión á rede, etc.

Control de Usuarios

Referente á Xestión de Acceso, enfocada na figura do usuario.

Cracking

Conduta que consiste en acceder a sistemas informáticos de forma non autorizada, do mesmo xeito que

no Hacking, pero neste caso cunha finalidade clara: menoscabar a integridade, dispoñibilidade e acceso á

información no devandito sistema. O desenvolvemento desta actividade implica que se está cometendo

un delito, por estar violándose a intimidade do afectado, a confidencialidade da información, por causar

danos, cambios e/ou destrución de información.

Criptograma

Coñécese como criptograma a aquela mensaxe, documento ou información que se atopa cifrada

mediante calquera sistema e xa que logo resulta inintelixible ata que non é descifrada e convertida de

novo nun texto en plano.

Dispositivo portátil

Adoita facerse referencia con esta denominación aos dispositivos empregados nun ambiente de

mobilidade, como Smartphones, PDAs (o exemplo máis coñecido son as Blackberry, precursor dos

59

www.infojc.com

Smartphones, onde se pode acceder ó E-mail dende o móbil), Tabletas (iPad, Samsung Galaxy Tab), cada

vez máis presentes e que permiten acceder á información dende localizacións externas á organización.

DLP

Tamén coñecido como Data Leak Prevention, son as medidas de seguridade que tratan de evitar que a

información confidencial ou valiosa sexa copiada ou trasladada fora da contorna de seguridade. Ó

centrarse na localización, clasificación e seguimento da información en repouso, en uso e en movemento,

esta solución pode ser moi útil para axudar a unha empresa a ter unha idea da información que ten e para

deter as fugas de información actuais ou previr as futuras.

DMZ

DeMilizarized Zone ou “Área desmilitarizada”, é a área intermedia (como unha terra de ninguén), que

serve de zona de colchón ou corentena para o control das posibles intrusións na organización. Nela

adoitan situarse os servidores de acceso a Internet da organización, pertence á rede da organización pero

atópase illada da mesma para atallar posibles infeccións e previr así o contaxio do resto de compoñentes.

DNS

Domain Name Server ou Servidor de Nomes de Dominio, é un sistema que almacena a información de

nomes de dominio e a súa correspondente dirección IP, sendo capaz de traducir os nomes ou alias de

dominios á súa dirección IP correspondente. Grazas a estes servidores é posible escribir no navegador un

dominio e poder acceder ó sitio que queiramos, cando en realidade, a verdadeira dirección da páxina non

é máis que un número (dirección IP).

Encriptación

Técnica que consiste en cifrar unha mensaxe, coñecido como texto en claro, converténdoo nunha

mensaxe cifrada ou criptograma, que resulta irrecoñecible e ilexible para todo aquel que non coñeza o

sistema mediante o cal foi cifrado, facendo indescifrable o contido da información para quen non coñeza

a forma de descifrar o criptograma.

Enxeñería social

Táctica de distribución de contidos ou aplicacións ilexítimas (troianos, malware, virus, etc.) baseada na

confianza en quen entrega o programa á vítima ou na falta de cautela da mesma. Unha vez convencida e

enganada, é a propia vítima a que insire e executa o contido perxudicial no seu equipo.

Forza bruta

Procedemento de cracking empregado para obter as claves ou códigos necesarios para acceder a un

Equipo, Sistema, Sitio Web, etc., consistente en empregar ben combinacións aleatorias ben listados de

palabras, así como o método de proba e erro, ata alcanzar unha combinación correcta. Para obtelos faise

uso de dicionarios de palabras

60


Freeware

Programa informático cuxa distribución faise libremente sen custo algún

FTP

File Transfer Protocol ou Protocolo de Transferencia de Arquivos, é un protocolo moi estendido para

transferir ou descargar ficheiros de servidores remotos.

Hardware

Todos os compoñentes físicos do ordenador, incluíndo os seus periféricos. Son, entre outros: a placa base,

os discos duros, as unidades de soportes extraíbles (disquetes, CDs, Blu-ray, etc.).

HTTP

Hypertext Transfer Protocol ou Protocolo de Transferencia de Hipertexto, é o protocolo empregado en

cada transacción da World Wide Web. É un protocolo que segue o esquema petición/resposta entre un

cliente e un servidor. O cliente que efectúa a petición (por exemplo, un navegador web) é o "User agent".

A información transmitida chamada recurso é identificada mediante un localizador uniforme de recursos

(URL).

HTTPS

Hypertext Transfer Protocol Secure ou Protocolo de Transferencia de Hipertexto Seguro, é un protocolo

de rede baseado no protocolo HTTP, destinado á transferencia segura de datos de hipertexto. Dito

noutras palabras, é a versión segura de HTTP.

É empregado principalmente por entidades bancarias, tendas en liña, e calquera tipo de servizo que

requira o envío de datos persoais ou contrasinais.

IDS

Intrussion Detection System ou Sistema de detección de Intrusión, que detecta os posibles intentos de

acceso non autorizados.

Intrusión

Acceso non autorizado á rede interna (LAN) dunha organización

IPS

Intrussion Prevention System ou Sistema de prevención de Intrusión, que detecta as posibilidades de

intrusión e que pode tamén efectuar cambios na seguridade para bloquealos, rastrexalos e localizalos.

61

www.infojc.com

LAN

Local Area Network ou Rede de Área Local, constitúe unha rede informática de pequena amplitude

xeográfica que adoita limitarse a espazos similares a unha oficina, unha vivenda ou un edificio.

Unha Rede de Área Local serve para interconectar distintos equipos e máquinas (ordenadores,

impresoras, servidores, discos duros externos, etc.).

O concepto Rede de Área Local inclúe tanto ás máquinas (Hardware) como os programas necesarios para

interconectalos (Software).

Hoxe en día pódense atopar redes de área local con cables e sen cables, as coñecidas como WLAN. As

primeiras funcionan a través do Protocolo Ethernet, IEE 802.3 e as segundas mediante o Protocolo IEEE

802.11 WiFi.

LSSI

Lei de Servizos á Sociedade da Información, creada coa finalidade de garantir os dereitos dos cidadáns na

Sociedade da Información. Así, entre os seus obxectivos está a eliminación das barreiras que limitan o uso

das Tecnoloxías da Información. Está normativa regula diferentes ámbitos relativos á firma electrónica, ás

telecomunicacións, á protección de datos, aos nomes de dominio, á seguridade en Internet, á propiedade

intelectual, aos servizos de radio dixital por satélite e de televisión dixital, entre outros.

A súa creación introduce novas medidas de impulso da Sociedade da Información co obxecto de fomentar

o uso das tecnoloxías pero, sobre todo, procura facer valer os dereitos dos cidadáns e proporcionar unha

maior seguridade na utilización dos medios de telecomunicación evitando que os dereitos fundamentais

destes poidan ser vulnerados.

LOPD

Lei Orgánica de Protección de Datos, que ten por obxecto garantir e protexer, no que concirne ao

tratamento dos datos persoais, as liberdades públicas e os dereitos fundamentais das persoas físicas e

especialmente do seu honor, intimidade e privacidade persoal e familiar. O seu obxectivo principal é

regular o tratamento dos datos e ficheiros de carácter persoal (independentemente do soporte no cal

sexan tratados) os dereitos dos cidadáns sobre eles e as obrigas daqueles que os crean ou tratan.

Malware

Palabra que nace da unión dos termos software e malintencionado “malicious software”. Dentro desta

definición ten cabida un amplo rango de programas maliciosos: virus, vermes, troianos, backdoors,

spyware, etc.

A nota común a todos estes programas é o seu carácter daniño ou lesivo.

Mensaxería Instantánea

62


Coñecida tamén en inglés como IM (Instant Messaging) é unha forma de comunicación en tempo real

entre dúas ou máis persoas baseada en texto . O texto é enviado a través de dispositivos conectados a

unha rede (como Internet).

Páxina Web

Documento electrónico que contén información e que se atopa dispoñible en Internet. A información que

se pode atopar nunha páxina web é diversa: imaxes, textos, vídeos, música, etc.

Pen drive

Dispositivo de tamaño reducido, portátil (que se conecta ao equipo só cando se necesita e que logo se

extrae), e que consiste basicamente nun tipo de memoria flash de alta capacidade que é empregada para

almacenar información de xeito rápido e sinxelo. Actualmente é un dos principais medios para o roubo de

información.

Plan de Continuidade de Negocio

Tamén chamado “Plan de recuperación ante desastres”.

Plan de continxencia

É un instrumento de xestión que contén as medidas técnicas, humanas e organizativas necesarias para

garantir a continuidade do negocio e as operacións dunha compañía ante unha incidencia. Es un caso

particular de plan de continuidade do negocio aplicado ao departamento de informática ou tecnoloxías, e

segue o modelo PDCA (Ciclo de Deming: Plan/DO/Check/Act).

Plan de recuperación ante desastres

“Grosso modo”, metodoloxía práctica “global” sobre como unha organización debe recuperar e restaurar

as súas funcións críticas parcial ou totalmente interrompidas dentro dun tempo predeterminado logo

dunha interrupción ou desastre.

Política de Acceso

Metodoloxía de acceso seguida por una organización para garantir a seguridade dos procesos.

Proxy

Programa encargado de centralizar o tráfico entre Internet e unha rede privada, de maneira que se evite

que cada unha das máquinas da rede privada teña que dispoñer necesariamente dunha conexión directa

á Rede. Ó mesmo tempo, contén mecanismos de seguridade (firewall ou barreira) que impiden accesos

non autorizados dende o exterior cara á rede privada.

63

www.infojc.com

QWERTY

É a distribución (ou ordenamento) máis común dos carácteres no teclado. Foi deseñado e patentado por

Christopher Sholes en 1868 e vendido a Remington en 1873 . O seu nome provén das primeiras seis letras

da fila superior de teclas.

Redes sociais

Estruturas sociais compostas por grupos de persoas, las cales están conectadas por un ou varios tipos de

relacións, tales como amizade, parentesco, intereses comúns ou que comparten coñecementos.

Seguridade da Información

Todas aquelas medidas preventivas e reactivas das persoas, das organizacións e dos sistema tecnolóxicos

que permitan resgardar e protexer a información, procurando manter a confidencialidade, a

autenticidade e a integridade da mesma (así como o non repudio/proba de quén e cando a recibe/envía).

Seguridade física

É a que se refire ás barreiras físicas e mecanismos de control na contorna dun sistema informático, para

protexer ó hardware de ameazas. Os mecanismos de seguridade física deben resgardar de ameazas

producidas tanto polo home como pola natureza. Basicamente, as ameazas físicas que poden poñer en

risco un sistema informático son:

Desastres naturais, incendios accidentais, humidade e inundacións.

Ameazas ocasionadas involuntariamente por persoas.

Accións hostís deliberadas como roubo, fraude ou sabotaxe.

Son exemplos de mecanismos ou accións de seguridade física:

Pechar con chave o centro de datos.

Ter extintores ante eventuais incendios.

Instalación de cámaras de seguridade.

Garda humana presencial.

Control permanente do sistema eléctrico, de ventilación, etc.

Inhabilitación de portos USB (que eliminan a posibilidade de extraer información a través dos

mesmos)

64


Seguridade lóxica

Conxunto de medidas de seguridade e ferramentas informáticas de control de acceso aos sistemas

informáticos. Fai referencia á aplicación de mecanismos e barreiras para manter o resgardo e a

integridade da información dentro dun sistema informático. A seguridade lóxica compleméntase coa

seguridade física. A seguridade lóxica dun sistema informático inclúe:

Restrinxir o acceso a programas e arquivos mediante claves ou cifrado.

Limitar adecuadamente as capacidades de cada usuario do sistema informático. É dicir,

entregarlle a cada usuario so os privilexios que require para o desempeño da súa función.

Asegurarse que os arquivos e programas que se empregan son os correctos e se empregan

correctamente. Por exemplo, o mal uso dunha aplicación pode ocasionar buratos na seguridade

dun sistema informático.

Control dos fluxos de entrada/saída da información. Isto inclúe que unha determinada

información chegue soamente ó destino que se espera que chegue e que a información chegue

tal cal se emitiu.

Seguridade perimetral

O perímetro dunha empresa é a barreira ou protección que existe entre a rede interna da mesma (LAN) e

a do exterior (WAN) e que, debido ó incremento e diversificación de vías de comunicación, faise cada vez

máis extenso e difuso (o que aumenta a súa exposición a perigos). A Seguridade Perimetral é a que se

encarga da defensa deste perímetro.

Servidor de Backup

Servidor que se encarga de realizar de xeito automático e periódico (segundo a súa configuración) as

copias de seguridade dunha organización (coa instalación dun software que realice dita solución),

podendo ademais verificalas e incrementalas (copiar a parte da información que é nova con respecto a

anterior copia de seguridade existente da mesma, para evitar copias innecesarias).

Servidor de Comunicacións

Servidor que se encarga de xestionar a seguridade dos principais medios de comunicación dunha

organización, como poden ser o correo electrónico, DNS, etc., mediante a implantación de devasas,

routers, DMZ, etc.

Servidor de Datos

Servidor especificamente configurado para centralizar os datos dunha organización e de todas as

estacións de traballo en rede.

65

www.infojc.com

Shareware

Programa informático cuxa distribución previa faise a modo de proba sen custo algún. Examinado o

software durante un período de avaliación (polo xeral, de un a dous meses) será requirido ó usuario o

pago do programa para poder seguir empregándoo.

Smartphone

Teléfono intelixente (en Galego) é un termo comercial para denominar a un teléfono móbil que ofrece

máis funcións do común. Case todos soportan un cliente de correo electrónico coa funcionalidade

completa dun organizador persoal, permiten a instalación de programas para incrementar o

procesamento de datos e a conectividade, etc. Estas aplicacións poden ser desenvolvidas polo fabricante

do dispositivo, polo operador ou por un terceiro.

Software

Considérase software a todas aquelas partes intanxibles que forman un sistema informático. Trátase dos

programas, aplicacións e sistemas operativos que fan posible o uso do equipo. Cada programa ou

aplicación de software pode definirse como a serie de instrucións dirixidas ó ordenador para que execute

diversas accións.

SPAM

Denomínase así a todo correo non desexado (ou “basura”) recibido polo destinatario, procedente dun

envío automatizado e masivo por parte do emisor. O spam asóciase xeralmente ó correo electrónico

persoal, pero non só afecta aos correos electrónicos persoais, senón tamén a Foros, Blogs e Grupos de

novas.

SSL

Secure Socket Layer, protocolo seguro que proporciona comunicacións seguras a través de Internet. O seu

uso proporciona seguridade sobre a autenticación e privacidade da información entre extremos

(emisor/receptor), mediante o uso de criptografía

SXSI

Sistema de Xestión de Seguridade da Información, mediante o cal unha organización coñece os riscos aos

que está sometida a súa información e os xestiona mediante unha sistemática definida, documentada e

coñecida por todos, que se revisa e mellora constantemente (adoita tomarse como referencia a norma

ISO 27001)

TCP/IP

Transfer Control Protocol / Internet Protocol ou Protocolo de control de transmisión/Protocolo de

Internet, é o nome que recibe o conxunto de protocolos sobre os cales funciona Internet. Permite a

66


comunicación entre os millóns de equipos informáticos conectados á devandita rede. O protocolo IP é o

encargado de transferir os paquetes de datos ata o seu destino adecuado e o protocolo TCP ocúpase de

garantir que a transferencia se leve a cabo de maneira correcta e fiable.

Telnet

Protocolo de comunicacións destinado á conexión de terminais remotos. Só permite o acceso en formato

terminal e foi unha ferramenta amplamente empregada para arranxar fallos a distancia ou para acceder a

calquera tipo de servizo a distancia. Actualmente atópase practicamente en desuso.

Troiano

Este tipo de “malware” carente da capacidade de autoduplicación require do uso da enxeñería social para

o seu correcto funcionamento. Xa sexa pola, a vítima instala un 'software' aparentemente inocuo no seu

ordenador. Ao executarse o software non se evidencian sinais dun mal funcionamento; con todo, mentres

o usuario realiza tarefas habituais no seu ordenador, o programa abre diversos portos de comunicacións

do equipo da vítima que permiten o control absoluto de forma remota.

USB

O Universal Serial Bus (bus universal en serie) ou tamén coñecido como Condutor Universal en Serie

(CUS), abreviado xeralmente USB, é un porto que serve para conectar periféricos a un equipo. Foi creado

en 1996 por sete empresas (que actualmente forman o consello directivo): IBM, Intel, Northern Telecom,

Compaq, Microsoft, Digital Equipement Corporation e NEC.

Virtualización

Consiste en dividir os recursos totais dunha máquina para crear outra a partir dos mesmos (sempre sobre

o mesmo hardware), podendo empregar tanto a máquina principal coma as virtuais simultaneamente (en

función da capacidade dispoñible da máquina principal). Vantaxes:

Optimización de capacidades: ao poder operarse á vez obtense unha maior eficiencia enerxética

e incremento da produtividade.

Maior seguridade: poden eliminarse sen risco de contaxio ó resto do dispositivo, sendo fácil a

reinstalación e/ou recuperación.

VPN

Virtual Private Network ou Rede privada virtual, que permite a comunicación segura e confidencial entre

distintas sedes ou puntos dunha organización (non deixa de ser un modo de protexer o medio/canle de

transmisión da mensaxe)

67

www.infojc.com

WAN

Wide Area Network ou Redes de Área Ampla, son redes amplas que cobren grandes distancias, coma

países ou ata continentes. Algunhas delas pertencen a empresas ou entidades que as crean para o seu uso

particular ou restrinxido, mentres que outras son en principio de libre acceso, como sería o caso da propia

Internet.

WiFi

Abreviatura de “Wireless Fidelity”. É o nome “comercial” con que se coñece ó estándar 802.11 de

transmisión sen cables.

WLAN

Wireless Local Area Network ou Rede de Área Local sen fíos, constitúe un sistema de comunicación de

datos que emprega tecnoloxía de radiofrecuencia e permite aos usuarios comunicarse cunha rede local

(LAN) ou Internet sen estar fisicamente conectado. Co paso do tempo abranguen maior importancia no

mercado dos fogares e tamén nos espazos de traballo, dado que son moito máis flexibles e cómodas que

as súas análogas con fíos.

WWW

Ou World Wide Web, é un sistema de distribución de información baseado en hipertexto ou hipermedios

enlazados e accesibles a través de Internet . Cun navegador web, un usuario visualiza sitios web

compostos de páxinas web e navega a través delas empregando hiperenlaces.

Xestión de Acceso

Dentro dunha política global de seguridade por capas (estratificar a información segundo niveis), imponse

regular o acceso á mesma segundo necesidade (só á parte que sexa precisa para o desempeño diario),

quedando ademais constancia de devandito acceso (trazabilidade) para futuras comprobacións que fosen

necesarias.

68


5.3 Formación

Curso Fundamentos da Seguridade da Información

Este curso consta de seis módulos, cada un dos cales se corresponde cunha fase do plan de continuidade

de negocio. Non ten unha duración determinada, xa que está pensado para que cada usuario adapte o

contido a seu plan de aprendizaxe.

Supón un primeiro achegamento os alicerces da seguridade da información, e polo tanto, é un primeiro

paso nun mundo no que, conforme pasan os anos e o incrementarse a tecnoloxía, estase a volver

sumamente importante o coidado da información para as organizacións, a sociedade e as persoas.

O obxectivo principal do curso e facilitar a comprensión dos fundamentos da seguridade da información

en sistemas informáticos. Para iso se deseñou unha metodoloxía dinámica a modo de desafío, que invita

ao alumno a asumir o protagonismo do seu propio aprendizaxe, a través do desenvolvemento dun

proxecto para deseñar un plan integral de seguridade da información.

Todos os sistemas destinados a garantir a seguridade da información, non importa o sofisticados que

sexan os seus mecanismos, están permanentemente expostos a sufrir un erro ou unha alteración

maliciosa intencionada. Como estes eventos é case imposible evitalos por completo, de maneira queo

encargado da seguridade (ou calquera que teña baixo a súa responsabilidade información sensible), debe

seguir estratexias de continxencia para enfrontar os imprevistos:

Estratexias de prevención para minimizar a posibilidade de que se produza algún fallo.

Estratexias de detección oportuna cando o erro acontece.

Estratexias de corrección para asegurar o máis rápido regreso á normalidade dos sistemas.

Estas estratexias deben estar contempladas nun plan integral de seguridade da información, que implique

a todo os axentes que están en contacto coa información. Compre ter en conta ademais, que a maioría

dos imprevistos soen acontecer coma consecuencia dunha neglixencia dos usuarios menos preparados,

polo que a formación permanente debe formar parte das estratexias para minimizar estes riscos.

Contidos do curso

Plan integral de seguridade da información: É o documento que detalla todo o proceso de detección de

riscos e implantación de accións para previr e minimizar os efectos dunha serie de continxencias

probables na información sensible da empresa, co obxectivo último de garantir a continuidade do

negocio. Consta dunha serie de fases ou etapas de desenvolvemento:

Fases do plan:

Deseño e Política de seguridade.

69

www.infojc.com

Recoller información e análises de riscos.

Medidas preventivas.

Plan de recuperación.

Implantación do plan.

Mantemento do plan.

Presentación

Este curso xurde cunha vocación práctica e dinamizadora, e ten como punto de partida o proxecto de

elaboración dun plan integral de seguridade da información para a súa empresa. O curso é unha guía de

cómo deseñar un plan de seguridade, e axustalo as características do seu negocio.

Ao longo dos diferentes pasos do proceso irá aprendendo os conceptos fundamentais da seguridade da

información dende un enfoque xeral e práctico, aplicándoos sobre o modelo das súas necesidades.

Compre ter claro que o obxectivo deste curso non é convertelo nun técnico experto, senón facilitarlle a

comprensión de tódolos elementos que configuran a seguridade dos datos na súa empresa. Finalmente,

pode precisar de soporte técnico para implantar un plan de seguridade, pero a nivel usuario, será capaz

de entender as implicacións de cada decisión que tome ao respecto.

Plan Integral de Seguridade

Un plan integral de seguridade da información (PIS) representa unha visión real do grao de seguridade das

empresas e establece medidas correctivas a curto, medio e longo prazo segundo o ámbito da empresa.

O PIS afronta problemas técnicos, normativos, e organizativos, co fin de acadar e asegurar os obxectivos

corporativos. Así, trátanse aspectos tales como: a seguridade organizativa, a xestión dos incidentes ou o

cumprimento da lei de datos.

Seguridade organizativa:

Política de seguridade

Aspectos da seguridade organizativa

Control e clasificación dos activos

Xestión dos incidentes na seguridade da información:

Seguridade dos recursos humanos

70


Xestión da continuidade empresarial

Seguridade lóxica

Control de acceso

Adquisición de sistemas, desenvolvemento e mantemento:

Comunicacións e xestión de operacións

Seguridade física

Seguridade física e ambiental

Seguridade legal

Cumprimento da lei

Beneficios e vantaxes

Os beneficios dun plan integral de seguridade da información so:

Acadar un maior coñecemento da nosa empresa

Minimizar o custe económico dun erro na xestión da información.

Garantir a viabilidade da organización (a continuidade do negocio)

Contra isto, como é obvio, hai que contrapoñer o:

Custo propio do plan: aínda que, o longo do proceso, os beneficios van aflorando, e compensan

de sobra a inversión realizada

Identificar os requisitos organizativos necesarios para a seguridade dos sistemas de información:

esixe un esforzo previo importante, pero grazas a el comprendemos mellor moitos dos

mecanismos internos de xestión, e finalmente acadamos non so unha visión real da seguridade

(as medidas e debilidades existentes), senón que tamén melloramos na nosa comprensión do

negocio.

71

www.infojc.com

5.4 Recursos web

De seguido, unha pequena escolma de recursos web para visitar e ampliar a información: son só unha

ínfima parte de todo o que hai na rede (este último medio representa unha opción asequible e

actualizada para quen desexe mellorar os seus coñecementos sobre dita materia)

INTECO http://www.youtube.com/user/intecocert

INTECO ten encomendadas a través do Plan Avanza as misións de sentar as bases de coordinación de

distintas iniciativas públicas ao redor da seguridade informática, impulsar a investigación aplicada e a

formación especializada no ámbito da seguridade no uso das TIC, e converterse no Centro de Referencia

en Seguridade Informática a nivel nacional. Un dos mellores recursos na rede para aprender sobre

seguridade da información.

INTYPEDIA http://www.intypedia.com/

Serie de recursos multimedia, que de xeito ameno e intuitivo exemplifican e resolven casos típicos.

FERRAMENTAS DE SEGURIDADE http://technet.microsoft.com/es-es/security/cc297183

Avalíe as vulnerabilidades e fortalezas da súa seguridade con estas ferramentas e tecnoloxías de

Microsoft : mellore o proceso de administración de seguridade mediante MBSA, ou obteña axuda para

avaliar as debilidades presentes na contorna de seguridade de TI da súa organización... Obterá unha lista

priorizada de problemas, e orientación específica para axudar a minimizar os riscos de seguridade.

PLAN DE CONTINXENCIAS http://www.inei.gob.pe/web/metodologias/attach/lib611/0300.HTM

O Instituto Nacional de Estatística e Informática (INEI), considera que a información é o patrimonio

principal de toda Institución, polo que se deben aplicar medidas de seguridade para protexela e estar

preparados para afrontar continxencias e desastres de diversos tipos. Páxina con un completo exemplo de

cómo deseñar e implantar un plan de continxencias e seguridade da información.

SEGU-INFO http://www.segu-info.com.ar/

Segu-Info é unha páxina web temática que brinda información libre e gratuíta sobre a Seguridade da

Información.

KIOSKEA http://es.kioskea.net/faq/4996-como-proteger-la-informacion-de-su-empresa

A perda da información almacenada nun computador pode ter graves consecuencias para a empresa.

Breve, pero clara e concreta explicación de cómo protexer a información nunha pequena empresa.

2

http://www.youtube.com/user/intecocert

http://www.intypedia.com/

http://technet.microsoft.com/es-es/security/cc297183

http://www.inei.gob.pe/web/metodologias/attach/lib611/0300.HTM

http://www.segu-info.com.ar/

http://es.kioskea.net/faq/4996-como-proteger-la-informacion-de-su-empresa

72


Bibliografía 6

73

www.infojc.com

Bibliografía

Observatorio para a Sociedade da Información e a Modernización de Galicia (OSIMGA)

Estado_Sociedade _Información _de Galicia_novembro, marzo 2010.

Sistema_Indicadores_Sociedade_información_Galicia, noviembre 2010.

Secretaría Xeral de Innovación e Modernización Tecnolóxica

Plan Banda Larga Galicia 2010- 2014

Informe Ejecutivo Estado Banda Larga Galicia, 2009

Comisión para o mercado das Telecomunicacións (CMT), Informe sobre estado Banda Larga en

España 2010

Statistical Office of the European Communities (EUROSTAT)

Iniciativas de Modernización e Innovación Tecnológica (iMiT)

Instituto Nacional de Estatística (INE), Informe TICs España 2010

Fundación para o desenvolvemento das telecomunicacións (FUNDETEC), Sociedade da Información

en España (SIE) 2010

Instituto Nacional das Tecnoloxías de la Comunicación (INTECO)

Estudio sobre o estado da pyme española ante os riscos e a implantación dos plans de

continuidade de negocio, 2010

Estudio sobre a seguridade e a e-confianza nas pequenas e microempresas españolas, 2009

Guía práctica para Pymes, Cómo implantar un plan de continuidade de negocio, 2010

Observatorio Nacional de las Telecomunicacións e a Sociedade da Información (ONTSI), Indicadores

Sociedade da Información en España 2010.

Ministerio de Tecnoloxía e Comunicacións de España (MITYC), Informe TICs pymes 2010.

Axencia Europea de Seguridade de las Redes y de la Información (ENISA)

74


Panda Security, 2º Barómetro Internacional sobre Seguridade en Pymes 2010

Symantec Labs, Informe sobre estado del Plan de Continuidade de Pymes 2010.

GMV, ENISA, Risk Management Pelot for SMEs and Micro Enterprises in Spain (05-01-2009)

Verizon, Informe sobre investigacións de fallas na seguridade dos datos 2010

Cisco, “Fuga de datos a nivel mundial: El elevado costo de las ameazas internas” 2008

Observatorio Nacional para las Tecnoloxías e a Sociedade da Información (ONTSI), Indicadores de

Seguimento da Sociedade da Información (SIE) 2010

http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

http://www.monografias.com/trabajos61/seguridad-informacion-auditoria-sistemas/seguridad-

informacion-auditoria-sistemas.shtml):

http://www.segu-info.com.ar/logica/seguridadlogica.htm

http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n



http://www.segu-info.com.ar/logica/seguridadlogica.htm

75

www.infojc.com

76


www.infojc.com