• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Formación / Seguridad informática y protección de datos

Seguridad informática y protección de datos

12 septiembre, 2005 Por Hispasec Deja un comentario

Desde el 13 de diciembre de 1999 existe en España un marco legal de
obligado cumplimiento para las empresas y trabajadores autónomos
españoles, cuya misión fundamental es velar por la protección de los
datos de carácter personal. Éste texto es la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal (LOPD),
oficializada en el BOE núm. 298, del 14 de diciembre de 1999.

Históricamente, ésta norma sustituyó a la que se conocía como LORTAD
(Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal). En líneas generales
es un amplio marco legal donde se describen la necesidad de proteger
la privacidad de las personas. Concretamente, en lo referente a la
adquisición, tenencia, tratamiento y cesión de ficheros que contengan
datos de carácter personal, tales como nombre, apellidos, DNI, número
de cuenta bancaria, así como datos especialmente protegidos, como la
ideología religiosa, datos relativos a la salud, origen étnico, etc.

Frecuentemente las gerencias de las empresas enfocan la conformidad con
la LOPD como un problema, como una traba, como una necesidad de gastar
recursos financieros por imperativo legal. El motivo de éste artículo
es propiciar una visión a gerentes y responsables, así como a usuarios
en general, de que alinearse con este texto legal no debe implicar
problemas, sino todo lo contrario; debe dar garantías adicionales en
materia de seguridad de la información a las empresas que aplican los
procesos de conformidad, así como ventajas competitivas que no deben
ser desaprovechadas. A nuestro juicio, la Ley, pese a que es mejorable,
constituye un excelente marco para garantizar que el tratamiento de
los datos personales de la ciudadanía está sujeto a las máximas
condiciones de asepsia, a la par que a las empresas les debe servir
como herramienta de gestión de la seguridad.

Operativamente hablando, la LOPD se apoya en el Reglamento de Medidas de
Seguridad de los Ficheros Automatizados que contengan Datos de Carácter
Personal (RMS), aprobado por Real Decreto 994/1999 de 11 de junio y
publicado en el BOE de 25 de junio de 1999, como instrumento para
facilitar los mecanismos prácticos para cumplir con las prescripciones
establecidas en la LOPD. Existen otros textos legales a considerar, pero
no serán objeto de estudio en este artículo.

Así por ejemplo, el artículo octavo del RMS establece la necesidad de
disponer de un Documento de Seguridad, que al menos debe contener el
ámbito de aplicación del documento. Debe especificar claramente cuáles
son los recursos protegidos, así como contener las medidas, normas,
procedimientos, reglas y estándares encaminados a garantizar el nivel
de seguridad que nos imponga la tipología de datos tratados. También
tiene que recoger las funciones y obligaciones del personal que accede
a los datos personales.

Así mismo, el Documento de Seguridad tiene que incluir la estructura de
los ficheros de datos, describiendo claramente cómo son los sistemas de
la información que los tratan y debe contener un procedimiento detallado
de notificación, gestión y respuesta ante las incidencias. Adicionalmente,
deben enumerarse los procedimientos de realización de copias de respaldo
y de recuperación de los datos.

Llegados a este punto, parece lógico abandonar la idea de que alinearse
con la LOPD es un engorro legal al que obliga la Agencia Española de
Protección de Datos. Está claro que, en un sólo artículo de los 29 que
tiene el RMS, se nos indica que proteger los datos es asegurarnos que
debemos hacer backups, saber cómo responder ante los problemas e
incidentes, formar al personal y explicarle cómo ha de tratar la
información, establecer los mecanismos para que haya fluidez en la
notificación de problemas, que es imperativo saber responder ante los
incidentes… y una larga lista de requisitos que debemos ver como
ventajas, y nunca como obligaciones meramente legislativas. Sería un
craso error no ver las ventajas que esto nos puede aportar.

En resumen: alinearse con la LOPD y cumplir con sus prescripciones es
perfectamente equiparable a disponer de un pequeño sistema de gestión de
la seguridad de la información, que prácticamente toca todos los
aspectos incluidos en textos reputados y valorados como BS 7799, o la
trasposición internacional ISO 17799. La única diferencia estriba en que
éstas últimas no son de obligado cumplimiento, mientras que la LOPD sí
lo es, y quizás por ello las empresas recelan de su utilidad. Creemos
que esto es un planteamiento incorrecto, y que la visión de imperativo
legal igual a engorro y dificultad es, en este caso, errónea.

Abandonemos la idea de que las leyes son sólo estorbos que nos implican
gastos financieros. Muchas veces, y éste es un buen ejemplo, las leyes
además de velar por la seguridad y privacidad de las personas, nos
brindan un sistema accesible para mejorar la seguridad de la información
en nuestras empresas. Y eso es algo muy beneficioso a la hora de
incrementar nuestra competitividad y asegurar la continuidad de nuestros
negocios.

 

Sergio Hernando
shernando@hispasec.com

Más información:

Hispasec Sistemas. Servicios de Conformidad LOPD

Haz clic para acceder a conformidad_lopd.pdf

Agencia Española de Protección de Datos
https://www.agpd.es/index.php

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal.

Haz clic para acceder a Ley%2015_99.pdf

Real Decreto 994/1999, de 11 de junio, por el que se aprueba el
Reglamento de Medidas de Seguridad de los ficheros automatizados que
contengan datos de carácter personal.

Haz clic para acceder a A.8%29%20Real%20Decreto%20994-1999.pdf

Agencia Española de Protección de Datos. Legislación Autonómica
https://www.agpd.es/index.php?idSeccion=78

Agencia Española de Protección de Datos. Legislación Estatal
https://www.agpd.es/index.php?idSeccion=77

Agencia Española de Protección de Datos. Legislación Iberoamericana
https://www.agpd.es/index.php?idSeccion=82

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Formación

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR