Los problemas más relevantes que se pueden dar en las instalaciones de sistemas de información y comunicación son los siguientes:
-Ataques pasivos o activos de personas
-Desastres naturales
-Interferencias en el entorno de trabajo
-Incendios
-Vulnerabilidades y agujeros de seguridad del sistema
La solución a éste tipo de problemas es la creación de un plan de seguridad con respecto a personas, sistemas, ubicaciones y administración.El factor humano
Existen dos tipos de ataques a los sistemas que pueden ser analizados por humanos: pasivos y activos.
Pasivos: Son aquellos que se producen por un mal uso, pero la mayoría de los casos, la persona que realiza el ataque no es consciente del daño que realiza.
Activos: Son realizados por personas que han planificado el ataque, marcándose como objetivo modificar o alterar un sistema para obtener algún beneficio.
La seguridad física:
-Desastres Naturales: No se pueden preveer pero se tienen que tener en cuenta, como terremotos, tormetas eléctricas o inundaciones.
-Desastres por interferencias en el entorno de trabajo: Pueden darse con mayor frecuencia que los anteriores. Ejemplo: Todo lo relacionado con la electricidad.
-Inundaciones
Seguridad lógica:
Suele ser la más complicada de lograr. Consiste en aplicar barreras lógicas que protejan el acceso a los datos, dejando acceder sólo al personal autorizado en el momento adecuado.
Para ello deben revisarse varios aspectos: sistemas operativos, las aplicaciones, protocolos y comunicaciones y la configuración de los sistemas.
Algunas de las amenazas lógicas sobre sobre un sistema informático son: torpezas y/o accidentes por una mala administración de los sistemas, software incorrecto (que provocan agujeros de seguridad), virus y otros programas maliciosos.
Sistemas seguro:
Es aquel que está libre de todo daño, riesgo y peligo. Ésto es básicamente imposible o casi imposible, ya que no se puede tener un sistema seguro, pero sí fiable.
Sistema de seguridad:
Es aquel que se mi nimizan los riesgos.
Medidas de control de acceso:
-Sistemas humanos: poner medidas de seguridad, agentes, etc
-Sistemas biométricos: como el acceso mediante huella dactilar, reconocimientos oculares, etc.
-Sistemas electrónicos: cámaras de vigilancia o sensores en puntos claves conectados a una central de alarmas.
-Sistemas lógicos: utilización de sistemas de acceso o de un PIN o contraseña.
Normativas de seguridad aplicables a la nuevas tecnologías:
-Ley orgánica de protección de datos (LOPD)
Regula el reservar la privacidad de las personas. Solo afecta a aquellos datos que afectan a las personas.
Dato: es cualquier información que se refiere a personas físicas identificadas o identificables.
Disociación
Es separar los datos de forma que no sea posible relacionarlos con ninguna persona.
Niveles de seguridad
-Nivel básico: Nombres, apellidos, direccion, teléfono y cualquier tipo de dato no incluido en los niveles superiores.
-Nivel medio: Infracciones penales y administrativas, información de servicios financieros, de Hacienda y conjunto de datos que pe rmite evaluar la personalidad del individuo.
-Nivel alto: Ideología, religión, creencias, origen racial, tendencias sexuales y afiliación sindical.
OBLIGACIONES
-Escribir ficheros en el registro general de protección de datos.
-Redacción del documento de seguridad
Documento de seguridad:
Es un documento donde se recogen todas las medidas de seguridad a nivel técnico, humano y organizativo que la empresa debe poner en marcha, además se recoje la estructura de los ficheros y una relación de usuarios actualizados.
-Redacción de cláusulas de protección de datos. En toda petición de datos que realiza la empresa, cada vez que quiera coger datos se debe informar al afectado de la finalidad de recogida de los mismos y en la forma en la que puede ejercer sus derechos. (arco)Arco: acceso, restificación, cancelación u oposición.
-Realizar una autoria bienal.
-Adoptar las medidas técnicas y organizativas necesarias para el cumplimiento de la ley
-Firmar contratos de confidencialidad y secreto profesional contrabajadores y empresas o terceros colaboradores.
Sanciones:
Sanciones leves: Multa entre 601,01 € y 60.101,21 €.
- No solicitar la suscripción de los ficheros de la agencia de protección de datos.
- No atender a las solicitudes de cancelación o restificación.
- No proporcionar información a la agencia cuando sea requerida.
- Sanciones graves: Multa entre 60.101,21 € y 300.506,05 €.
- No inscribir los ficheros a petición de la agencia.
- Mantener ficheros con finalidades distintas a la de la Constitución,
- Recabar datos de carácter personal sin la autorización del afectado.
- Mantener ficheros sin las debidas condiciones de seguridad.
- Sanciones muy graves: Multa entre 300.506,05 € y 601.012,10 €
- Crear ficheros para almacenar datos especialmente protegidos sin el consentimiento del afectado.
- Recogida de datos de forma engañosa o fraudulentas.
- No atender a los requerimientos de la agencia.
-Introducción de medidas de seguridad específicas para los ficheros en papel y digitales.
-Se tienen que comunicar a la Agencia la existencia del informe de autoría.
-El interesado dispondrá de un medio sencillo y gratuito para garantizar sus derechos de acceso.
-Todos los datos relacionados con la violencia de género pasan del nivel básico de seguridad al alto.
-Como regla general, se prohíbe pedir o tratar datos de menores de 14 años sin el consentimiento de sus padres.
-Se aclara que no es necesario el consentimiento del interesado para transmitir datos relativos a la salud de las personas entre distintos centros sanitarios.
-Sólo es posible ceder datos a empresas u organismos establecidos en el extrangero si en su pais hay una reglamentación equivalente en cuento a protección de datos a la española.
Ley de servicio de la sociedad informatica (LSSI):
Ésta ley se aplica al comercio electrónico y a otros servicios de internet cuando forman parte de una actividad económica (las empresas que utilizan internet parar hacer negocios de forma directa o indirecta).
Deben mostrar en su página web la siguiente información:
-Su denominación social
-NIF
-Correo electrónico
Teléfono/Fax
-Datos de inscripción registral
-Precios de procductos, impuestos y gastos de envios
Condiciones generales de la venta o prestación de servicios.Si se hace publicidad vía electrónica...:
-El anunciante debe identificarse correctamente
-El carácter de la publicidad debe resultar inequívoco
-Cuando se envien e-mails de publicidad y sms se debe obtener con carácter previo la solicitud o autorización del destinatario.
-Identificar el mensaje publicitario con la palabra publicidad o PUBLI
-Establecer procedimientos sencillos para facilitar la revocación del consentimiento del usuario.
Para las empresas que prestan servicios de intermediación de la sociedad de la información, tienen que:
-Colaborar con los organismos públicos para la ejecución de resoluciones que no puedan cumplirse sin su ayuda.
-Informar a sus cliente sobre los diferentes medios técnicos que aumenten los niveles de seguridad de información.
-SeránSerán responsables de contenidos ilícitos si los conocen y no actúan rápidamente para retirarlos o imposibilitar el acceso a ellos.
Ley de impulso de la sociedad de la información (LISI)
Principales aspectos de la nueva ley:
Internet se considera servicio de interés prioritario para los ciudadanos
Impulso a la factura electrónica.
Desarrollo en el comercio electrónico en España.
Regulación mínima de las subastas electrónicas
Flexibilidad de las obligaciones relativas de las contrataciones por vía electrónica.
Clarificación de las reglas de valoración de la forma electrónica.
Factores:
Mayor seguridad en internet.
Internet más accesible para discapacitados y personas de avanzada edad.
Refuerzo de la protección de los derechos de los usuarios en materia de telecominicaciones.
Disponibilidad de nombres de dominiio ".es" con caracteres propios de las lenguas españolas
Ley de prevención de riegos laborales (LPRL)
Regula las obligaciones y/o derechos en materia de seguridad laboral. Las finalidades son:
-Combatir de manera más activa la siniestralidad laboral
-Fomentar una cultura de la prevención basada en el cumplimiento real de las obligaciones.
-Integrar la prevención en la gestión de la empresa.
-Mejorar el control del cumplimiento.
No hay comentarios:
Publicar un comentario