Paseo de las Delicias 23, 1ºA Madrid 28045 / Tel. 91 506 10 42

SEGURIDAD INFORMÁTICA & ISO 17799 Y UNE 71502:2004

1. SEGURIDAD INFORMÁTICA

En el momento actual casi todas las empresas tienen la información y los procedimientos que necesitan realizar para la gestión de su negocio en soportes informáticos. La información es el activo más valioso que tiene la empresa, a pesar de que los directores no sean todavía plenamente conscientes de ello.

Una buena gestión de la información contribuye al éxito empresarial de una manera extraordinaria, siendo también la gestión de la información un activo muy importante.

El soporte de los activos inmateriales son los sistemas informáticos, y muy especialmente los procedimientos implementados en la empresa, que deben ser eficaces, rápidos, seguros y económicos.

Resulta claro que cada vez el sector empresarial depende más de los sistemas informáticos, lo que ha tendido en todos los países desarrollados a imponer las medidas de seguridad en el tratamiento de la información.

Según estadísticas fiables, el 90 por ciento de las empresas que sufrieron un desastre informático cesaron su actividad en el plazo de 18 meses, por no contar con un plan de recuperación adecuado. Otro informe indica que el 60 por ciento de las empresas no serían capaces de sobrevivir más allá de 3 años después de un fallo en el sistema de tratamiento de datos.

Por todas estas razones, todas las organizaciones deben establecer una Política de Seguridad y además comunicarla a todo el personal.

La política de seguridad debe comenzar por un análisis de los riesgos a que la entidad esté expuesta y debe ser capaz de soportar procedimientos e instalaciones dentro de los sistemas para asegurar el cumplimiento de la política y su eficacia.

LA SEGURIDAD INFORMÁTICA Y EL RIESGO

Aspectos de la seguridad informática:

Confidencialidad: evitar la divulgación no autorizada, el uso indebido de los datos.
Integridad: garantizar la exactitud frente a alteraciones, pérdida o destrucción de datos, ya sean accidentales o fraudulentas, mantener la calidad de los datos dentro de límites oportunos. Se debe tratar de datos precisos, completos y oportunos. La integridad debe ser de los programas, equipos, personas y procedimientos. La amenaza de la integridad es el cambio no autorizado que puede realizarse por personal interno, aunque sea involuntariamente.
Disponibilidad: Asegurar el funcionamiento adecuado de los sistemas de información y el acceso a ellos, asegurar la continuidad del servicio dentro de límites que se hayan especificado previamente. Los accidentes naturales, incendios, terrorismo o sabotaje son amenazas a la disponibilidad de la información. Disponer de un buen plan de continuidad y de recuperación de la actividad en caso de un desastre, de personal y equipos que sepan cómo ponerlo en marcha y de copias de respaldo adecuadas y operativas en cualquier momento.
Autenticación: identificar de forma fiable al emisor de un documento, mensaje o flujo de información.

Elementos del análisis de riesgos:

Activos a proteger: recursos informáticos, equipos y programas, activos de información, imagen corporativa, marcas, signos distintivos…
Amenazas: eventos que pueden dar lugar a daños en un activo
Vulnerabilidades: debilidades que pueden permitir que una amenaza se materialice
Impacto: valoración de los daños potenciales, tanto de bienes materiales como de inmateriales
Riesgo: valor que se considera al impacto y la probabilidad de que ocurra
Defensas: acciones para tratar y reducir el riesgo

Etapas del análisis del riesgo:

Evaluación del riesgo: identificar y cuantificar los riesgos. Qué es lo que puede ocurrir, ante qué estamos, probabilidades y consecuencias.
Gestión de riesgos: Determinar las defensas para eliminar o reducir a niveles aceptables los riesgos que se han evaluado.

Amenazas típicas y específicas del software:

Intrusos: acceso a sistemas protegidos, con objeto de demostrar habilidad (hackers) o para conseguir manipular y apropiarse de información (crackers). Evitar que suplanten usuarios o que intercepten líneas de comunicaciones para que no introduzcan códigos que dañen los programas y los contenidos, que se apropien de ellos o que los eliminen.
Programas maliciosos autopropagables:
- Virus: programa que se propaga infectando un fichero
- Gusano: programa que se propaga por una red sin depender de su incorporación a un fichero anfitrión
- Funciones maliciosas:
  - Bomba lógica: mecanismo que activa una función no autorizada al cumplirse ciertas condiciones
  - Caballos de Troya: programas que incorporan subrepticiamente funciones no autorizadas
  - Puerta falsa o backdoor: mecanismo no documentado y desconocido por el usuario legítimo, que permite a un tercero obtener acceso no autorizado a un recurso del sistema

El impacto de los programas maliciosos puede ser determinante para cualquier sistema de información, ya que muchos de ellos son destructivos y provocan deliberadamente daños en los datos o en el sistema informático. Otros no son intencionadamente maliciosos.

1.1. PROCEDIMIENTOS DE LA POLÍTICA DE SEGURIDAD

Es fundamental haber identificado todos los riesgos posibles y que el personal de la empresa permanezca alerta. Para ello, debe conocer los riesgos y debe estar informado y formado para que pueda prever cada uno de ellos. El personal debe adherirse así de un modo activo a la política de seguridad, ya que no es posible salvaguardar los activos inmateriales de la empresa sólo a través de medios técnicos.

Responsabilidades

Son los directores de los departamentos que cuentan con sistemas de información los encargados de hacer que se cumpla la política de seguridad establecida. Si hay varios, cada uno de ellos deberá colaborar con los demás para controlar de una manera eficaz y simultánea los sistemas de información.

Los directivos o directores generales deben ser conscientes de la importancia de estas medidas y procedimientos y dotar los recursos necesarios para ello.

Algunas responsabilidades de los responsables de departamentos son:

Establecer procesos de seguridad física
Prohibir el uso de programas de ordenador piratas o no autorizados
Establecer procedimientos que impidan el acceso no autorizado a los sistemas de información

La custodia y responsabilidad de los datos y de toda la información debe estar claramente identificada. Este aspecto debe ser conocido por todo el personal de la empresa y por terceros colaboradores, comisionistas o ajenos a la organización.

Para definir un esquema o plan de clasificación de seguridad para su empresa, envíe un e-mail con sus datos a info@abogadosantosrojas.com

Concienciación

El éxito en el establecimiento de la política de seguridad de su empresa depende de que se cumplan los procedimientos que previamente se hayan establecido.

El personal de la empresa, según sus responsabilidades, y como ya lo hiciera en el proyecto de adecuación de la empresa a la Ley Orgánica de Protección de Datos, debe tomar conciencia de sus funciones, la información que maneja, el riesgo, los equipos que utiliza para el tratamiento y, en definitiva, una cierta sensibilidad por parte del personal de la empresa hacia la seguridad.

Debe lograrse que todo el personal de la empresa comprenda la necesidad de proteger la información y todos los sistemas y procedimientos utilizados en la empresa.

¿Cuáles son las mejores vías de concienciación del personal de mi empresa para poder cumplir y seguir con efectividad la política de seguridad? Para conocerlo, envíe un e-mail con los datos de su empresa a info@abogadosantosrojas.com

Seguridad Física

Las condiciones de los sistemas de información y de las redes son importantes para asegurar un sistema de seguridad aceptable que garantice la confidencialidad y la integridad de la información.

Por muy eficaces y de última generación que éstos sean, existen condiciones físicas que pueden aparecer y que podrían dañar los sistemas y por tanto la información.

Por ello, es necesario proteger no sólo los sistemas y las redes, sino también el entorno en el que los anteriores se encuentran.

Los sistemas informáticos y las redes principales deben contar con condiciones físicas y de seguridad aptas. Es necesario contar con normativas específicas que aseguren la planificación de los sistemas y su establecimiento seguro.

Protección eléctrica
Catástrofes naturales
Incendios
Desórdenes públicos
Vecindario

Para saber cómo establecer una normativa física que establezca los procedimientos necesarios en su empresa, envíe un e-mail con los datos de su empresa a info@abogadosantosrojas.com

Acceso físico

Restringir el acceso a los sistemas puede que sea la forma más sencilla de limitar el acceso y por tanto garantizar la seguridad.

Es totalmente necesario garantizar que el personal no autorizado no pueda acceder a aquellos recursos a los que no tiene acceso. Pero no basta con ello, se debe supervisar con frecuencia los accesos del personal autorizado.

Procedimientos. Los procedimientos de seguridad pueden consistir en:

Controles de seguridad
Espacios seguros
Acceso del personal
Llaves de acceso a información

Si desea conocer medidas adicionales y personalizadas para su empresa que garanticen el acceso físico, envíe un e-mail con los datos de su empresa a info@abogadosantosrojas.com

Acceso a los sistemas de información

Los sistemas deben estar protegidos ante los riesgos de accesos no autorizados. El personal debe saber que el intento de acceso a una información privilegiada sin estar autorizado puede ser un hecho constitutivo de delito.

Es muy importante que la empresa decida que sólo las personas autorizadas deben tener acceso a los sistemas de información. De otro modo, la integridad y seguridad de los datos no estará salvaguardada a unos niveles aceptables.

Los procedimientos que se establezcan al efecto pueden ser los siguientes:

Identificación y autenticación
Nombre de usuario y contraseña
Gestión de contraseñas
Grupos de usuarios
Privilegios de los usuarios
Restricciones de acceso
Restricciones en el suministro de información
Cifrado de datos
Transmisión de datos a través de redes de comunicaciones electrónicas

Para conocer pormenorizadamente los procedimientos que garanticen el acceso autorizado a los sistemas de información de su empresa, envíe un e-mail con los datos de su empresa a info@abogadosantosrojas.com

Seguridad en los ordenadores personales

El ordenador personal es el puesto de trabajo de cada persona que somete datos a cualquier tipo de tratamiento dentro de la organización. El personal puede instalar programas, aplicaciones, personalizar su ordenador e incluso cambiar configuraciones de algunos programas. Además, el personal de las empresas puede utilizar el acceso a Internet para cuestiones personales o para participar en foros que pueden ocasionar daños para la organización.

Existen algunos procedimientos para evitar conductas contrarias a derecho o que pueden perjudicar a la empresa. Los procedimientos son diferentes si se aplican a ordenadores personales, ordenadores portátiles o software no autorizado.

Si desea conocer el modo de aplicar estos procedimientos indispensables a su empresa, envíe un e-mail con los datos de su empresa a info@abogadosantosrojas.com

La seguridad en las redes

Es importante identificar las vías de transmisión de la información a través de redes seguras y no seguras. La empresa identificará unas y otras y decidirá sobre aquéllas que le inspiren más confianza.

Es importante que el personal de la empresa tome conciencia y conozca aquéllas redes seguras y no seguras, para la transmisión de la información. El personal de la empresa siempre conocerá la información que le está permitido transmitir y aquélla que no le está permitido.

Los procedimientos que se necesitan implantar en este sentido pueden ser los siguientes:

Cifrado
Blindaje del circuito de transmisión
Contraseñas con su nombre de usuario
Evitar abusos en comunicación de voz
Gestión del acceso remoto

Si desea analizar las medidas más convenientes para su empresa y los procedimientos para garantizar la seguridad de las redes, envíe un e-mail a info@abogadosantosrojas.com

Seguridad en Internet

Internet no es un entorno seguro en la actualidad. Se suceden numerosos delitos a través de la red y delitos que son propios de redes informáticas, por afectar directamente a programas, equipos o redes.

Toda organización que se decida a operar en Internet de un modo fiable y seguro debe establecer los más útiles y novedosos sistemas de seguridad y además aquéllos que le garanticen la máxima obtención de beneficios de un modo fiable, seguro y de confianza.

Los procedimientos encaminados a garantizar la seguridad que puede verse vulnerada a través de Internet, como acceso a Internet, grupos de usuarios cerrados o de empresa, cortafuegos y aspectos importantes de propiedad intelectual, máxime cuando se encuentran tipificados como delito en el Código penal la utilización de medios para eliminar o neutralizar los dispositivos que protegen los programas informáticos.

Programas de ordenador no autorizados

Los riesgos que se derivan de la utilización de programas de ordenador no autorizados proceden en la mayoría de los casos de actuaciones del personal de la empresa o de sus colaboradores.

En ocasiones el personal de la empresa descontento o aburrido, instala programas ilegales para acceder a información no autorizada que además utilizará para fines distintos a los que componen las obligaciones y funciones de su puesto de trabajo.

A veces, el personal de la empresa va más allá y realiza actividades con las que consigue defraudar a su empresa.

Toda empresa que decida analizar la situación deberá hacer hincapié en los siguientes procedimientos:

Búsqueda e identificación de programas de ordenador no autorizados
Actuación contra puertas traseras
Caballos de Troya
Prevención y protección contra los virus.
Programas de ordenador sin licencia

Si desea ampliar la información o conocer los costes de una Auditoría de Seguridad Informática que analice los apartados anteriores, evalúe los riesgos y proponga soluciones y medidas correctoras, póngase en contacto con SANTOS & ROJAS ABOGADOS.

Algunos ejemplos

De entre todos los comportamientos abusivos o ilegales del personal de la empresa, utilizando las tecnologías de la misma, su información o sus datos personales, existen algunas conductas que, a pesar de tener consecuencias penales en muchos casos, son las que más se producen en las empresas. Son las siguientes:

Creación de una empresa paralela, utilizando los activos de la empresa. En este caso el trabajador funda una nueva empresa aprovechándose de recursos de la empresa en la que trabaja el trabajador. Muchas veces lo hace aliándose con otros trabajadores, fundando la empresa antes de darse de baja de la anterior. Esta conducta puede tratarse de competencia desleal si se da un aprovechamiento indebido del esfuerzo o de la reputación ajenos. La revelación de secretos ajenos que un trabajador conozca por su relación laboral es un delito penal, como también lo es la reproducción, plagio, distribución o comunicación de obras con ánimo de lucro, que se comunique a través de cualquier soporte o redes y sin consentimiento de los titulares del derecho. Los programas de ordenador y bases de datos se consideran obras que se protegen por derechos de autor.
Datos personales y otra información confidencial, se trata de conductas que realizan los trabajadores incluso en su puesto de trabajo y con los recursos de que disponen por ser necesarios para el desarrollo de su trabajo. Se trata sobre todo de revelación a terceros de datos personales, la cesión de datos sin consentimiento de los afectados, además de no estar autorizada por su empresa. En otras ocasiones se producen accesos no autorizados llevados a cabo por personal con altos conocimientos de informática, como administradores de sistemas o mantenimiento. La revelación, cesión o difusión de secretos de empresa por parte de los trabajadores es un delito que opera también cuando se produzca la revelación del secreto en provecho propio. Apoderarse, utilizar o modificar datos personales reservados puede ser también delito, aunque no se perjudique al mismo titular de los datos, siempre que se perjudique a un tercero.
El uso de Internet en general cuando es abusivo, incluyendo el uso constante del correo electrónico aunque sea dentro de la red corporativa de la empresa, es el mayor perjuicio de uso abusivo de sistemas y recursos de la empresa. En estos supuestos se pueden vulnerar conocimientos empresariales, revelar datos confidenciales o simplemente darle a los recursos de la empresa de un modo constante otros usos.
Un trabajador puede producir daños informáticos en los sistemas de la empresa, producidos por trabajadores descontentos con su situación laboral o por trabajadores que han sido despedidos o a los que no han renovado su contrato de trabajo. Las conductas de este tipo suelen consistir en destruir, alterar o inutilizar recursos o datos de la empresa. Esta conducta puede tratarse de un delito de daños, además de las responsabilidades administrativas que puede pedir la Agencia Española de Protección de Datos.
Las amenazas, injurias y calumnias son también conductas que se suelen producir por los trabajadores. El medio que utilizan en este caso es el correo electrónico de empresa, a través del cual entran en discusiones acaloradas que finalizan con la conducta criminal. Con las amenazas, los trabajadores persiguen un beneficio que de no producirse, el trabajador realizará la conducta advertida. Con la calumnia y la injuria, el trabajador busca un perjuicio para la empresa o a alguno de sus jefes, utilizando cualquier tipo de métodos, como el insulto a un buen cliente. No hay que olvidar que las injurias, las calumnias y las amenazas son delitos del Código penal.
La copia de programas de ordenador, bases de datos o cualquier tipo de activo inmaterial de la empresa a través de redes corporativas, para transmitírselas a terceros puede constituir una infracción de propiedad intelectual y hasta un delito del código penal. Los programas de ordenador y las bases de datos gozan de la protección de derechos de autor que les otorga la Ley de Propiedad Intelectual.
El intercambio de música, vídeos y programas de ordenador a través de la red corporativa de la empresa, puede suponer a la misma como proveedora de esos datos, con el riesgo de que las copias no sean autorizadas y se exijan responsabilidades. Esta conducta es un delito del Código penal.

Si su empresa ha sufrido una de las conductas anteriores por parte del personal que tenía o todavía tiene empleado, y desconoce la vía a tomar para la exigencia de responsabilidades por los daños y perjuicios ocasionados, puede tener derecho incluso a una indemnización. Póngase en contacto con el equipo de abogados de SANTOS & ROJAS ABOGADOS, envíando un e-mail con los datos de su empresa a info@abogadosantosrojas.com

Protección de Datos: Los datos facilitados en el correo electrónico enviado van a ser tratados conforme al Art. 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Cumpliendo con la obligación de la LOPD, se informa a los interesados que soliciten información a través de este conducto que sus datos personales van a ser incorporados a un fichero notificado al Registro General de Protección de Datos, y serán sometidos a tratamiento con la finalidad de llevanza de los casos del despacho, envío de publicidad de SANTOS & ROJAS ABOGADOS y, en concreto, ofrecerle el servicio que usted mismo ha contratado. Para todo lo cual, usted consiente expresamente. El destinatario de la información es en exclusiva SANTOS & ROJAS ABOGADOS. En todo momento puede revocar su consentimiento, y tiene a disposición los derechos de acceso, cancelación, oposición y rectificación, enviando una carta certificada y con la fotocopia de su DNI a SANTOS & ROJAS ABOGADOS, responsable del fichero, Paseo de las Delicias 23 de Madrid 28045. Más información en Política de Privacidad de www.abogadosantosrojas.com Los tratamientos de datos realizados por SANTOS & ROJAS ABOGADOS cumplen las medidas de seguridad obligatorias que establece el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad.

2. ISO 17799:2002 Y UNE 71502:2004

La certificación conforme a la Norma UNE 71502:2004 implanta y documenta un sistema de gestión de la seguridad de la información.

Adaptando los sistemas de información a la Norma UNE 71502:2004 la empresa podrá demostrar que ha implantado el conjunto de controles adecuados para asegurar la confidencialidad, integridad y disponibilidad del sistema de información de su empresa.

La emisión de la certificación se produce por AENOR, y sirve para demostrar que una empresa pueda demostrar que ha implantado el conjunto de controles adecuados para asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.

El Sistema de Gestión de la Seguridad de la Información se adecua a la Norma ISO 17799:2002.

El cumplimiento de la UNE 71502:2004 implica un Plan de Acciones Correctoras, que consiste en que la empresa que lo realice asegure su compromiso con el cumplimiento de la legislación vigente en materia de protección de datos personales, servicios de la sociedad de la información, comercio electrónico, propiedad intelectual y en general, la relacionada con la seguridad de la información.

SANTOS & ROJAS ABOGADOS adecua su empresa a los requisitos legales para emprender el proceso de certificación.

Para más información acerca de en qué consiste la UNE 71502:2004, o sobre los requisitos necesarios para cumplir con las normativas expuestas, envíe un e-mail a info@abogadosantosrojas.com