Upload
infojc
View
242
Download
7
Embed Size (px)
DESCRIPTION
Guía de buenas prácticas de Seguridad de la información para pymes. Documento realizado por InfoJC para la concienciación de las empresas.
Citation preview
Guía de Boas Prácticas
“A seguridade da información
nas PEMES galegas”
www.infojc.com
2
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Índice
Qué ofrece esta guía de seguridade da información ............................ 4
1.1 Introdución ............................................................................................................................... 5
1.2 Cal é o obxectivo do proxecto.................................................................................................. 6
1.3 Que é unha acción de apoio e acompañamento a formación................................................. 7
Orixes e xustificación desta guía ........................................................ 10
2.1 Contexto: A seguridade da información nas PEME galegas .................................................. 11
2.1.1 Análise da implantación nas TIC .................................................................................................. 12
2.1.2 Análise da percepción das políticas sobre Seguridade da Información ....................................... 15
2.1.3 Análise da implantación da Seguridade da Información ............................................................. 18
2.2 Referencias e estudios sobre dita temática ........................................................................... 20
Boas prácticas en seguridade da información nas pemes galegas ....... 24
3.1 Area de seguridade ................................................................................................................ 25
3.1.1 Seguridade da información .......................................................................................................... 25
3.1.2 Xestión da seguridade da información ........................................................................................ 27
3.2 Área de prevención ................................................................................................................ 29
3.2.1 Exemplos de malas prácticas (a erradicar) en materia de seguridade da información nas PEMEs
galegas .................................................................................................................................................. 34
Conclusións....................................................................................... 38
4.1 Grupo Expertos ...................................................................................................................... 40
4.2 Grupo Xerentes ...................................................................................................................... 43
4.3 Grupo Usuarios Base (ou Tipo) .............................................................................................. 44
4.3 Conclusións grupos ................................................................................................................ 45
3
www.infojc.com
Anexos ............................................................................................. 48
5.1 Marco legal............................................................................................................................. 49
5.1.1 Lei Orgánica de Protección de Datos de Carácter Persoal (LOPD) ............................................... 50
5.1.2 LISSI- CE ........................................................................................................................................ 55
5.2 Glosario .................................................................................................................................. 57
5.3 Formación .............................................................................................................................. 68
5.4 Recursos web ......................................................................................................................... 71
Bibliografía ....................................................................................... 73
4
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Qué ofrece esta guía de seguridade da información nas pemes galegas 1
www.infojc.com
5
www.infojc.com
1.1 Introdución
En calquera tipo de organización (Empresa, Asociación, Administración, etc.), a seguridade dos datos é
unha seria preocupación, destacando todo o relacionado coa seguridade interna da mesma, pois a
maioría dos problemas de seguridade proceden de ataques internos ou dun uso indebido por parte do
persoal da empresa (tanto da información, coma dos recursos informáticos da mesma, etc.).
A maioría dos sistemas de detección, monitorización, predición e control da seguridade teñen en conta
soamente os ataques procedentes do exterior, que aínda que numerosos, non son os que causan os
danos máis graves.
A maior parte das ferramentas de seguridade interna que se empregan:
Non son dabondo ou non se aplican de maneira axeitada (contrasinais, bloqueos,actualizacións,
etc.).
Ademais, a maioría delas son sistemas intrusivos que necesitan ser instaladas en todas as
máquinas, cun custo computacional considerable
Non teñen en conta que as persoas que actúan no espectro directivo (directores, xerentes, xefes
de departamento...), non teñen por qué ser expertos en informática (e de feito, a miúdo non o
son).
As organizacións necesitan incrementar o seu nivel de seguridade da información, xa que novas
ameazas, tanto internas como externas, poñen en perigo os seus sistemas cunha clara repercusión nos
seus procesos de negocio.
Isto obriga a introducir novas tecnoloxías e estratexias que permitan enfrontarse a estas novas ameazas,
que reducen a competitividade e a produtividade das empresas, e asegurar así unha correcta protección.
Pero a xestión de riscos das TI non debe centrarse só na seguridade (un aspecto que chama a atención
principalmente polo seu alto impacto), senón que tamén se deben contemplar outros aspectos, coma os
6
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
asociados á DISPOÑIBILIDADE (polas negativas consecuencias que se estenden a toda a cadea de valor), e
ao cumprimento do marco legal (LOPD/LSSI), etc.
Finalmente, hai que complementar a implantación de tecnoloxías coa adopción de procesos de xestión de
seguridade, que permitan utilizalas axeitadamente para monitorizar de forma continuada, e reaccionar
con eficacia ante os incidentes e mesmo prevelos antes de que sucedan. Debemos dispor de tecnoloxía de
seguridade proactivas (a diferenza dos modelos reactivos, que actúan xa cando o dano está feito), que
permitan ir un paso por diante das ameazas, garantindo a mellor protección posible.
Datos que corroboran a necesidade de implantación de medidas de seguridade interna:
Actualmente, segundo Verizon máis do 23% dos problemas nas organizacións proveñen de usuarios
autorizados; dos non autorizados, máis do 40% proveñen de colaboradores. Dentro da empresa, en máis
do 50% dos casos son os administradores, e nun 41% os empregados.
O informe reflicte tamén que ao redor dun 70% das empresas actualizan a súa seguridade cunha
frecuencia superior ao ano, mentres que o nivel medio dos atacantes é “básico” nun 80%, e o 52% dos
ataques teñen unha dificultade baixa. Non deixa de ser unha realidade preocupante, dado que nin os
ataques teñen que ser moi elaborados, nin o perfil dos executores moi sobresaínte, para que o resultado
teña un impacto elevado na viabilidade da actividade.
Segundo Symantec, o 99% das empresas dispoñen de antivirus, o 87% de firewall, pero só o 34% dispón
de sistemas de copia de seguridade (backup) e recuperación. O 75% non utilizan cifrado de información, e
preto do 55% non dispón de ferramentas para facer fronte a vulnerabilidades. O 35% non informa aos
empregados sobre a política de Seguridade, ou o que é peor, non conta con ningunha (arredor do 16%).
Máis do 20% apunta ao custo como un obstáculo. Un 34% argumenta a falta de tempo e coñecementos.
Se a isto lle engadimos as malas prácticas, así como as incidencias involuntarias (que tamén resultan en
buracos de seguridade), faise necesaria a elaboración desta guía, co fin de transmitir os seus resultados e
contribuír así á mellora da seguridade da información nas PEMES.
1.2 Cal é o obxectivo do proxecto
O obxectivo desta acción consiste en incrementar o nivel de seguridade da información nas PEMES
galegas, polo que primeiramente se procede a radiografar a situación do sector (obtendo e analizando os
parámetros actuais do mesmo), para de seguido pasar a determinar e propoñer as medidas precisas para
mellorar dita realidade. Todo elo desagregado en tres perfís xenéricos na empresa: Directivo, Técnico e
Usuario Tipo, para poder recoller mellor a súas demandas específicas.
Para acadalo, faise primeiro un estudio cualitativo da situación actual (revisión de documentación,
indicadores, etc., das fontes referentes na materia), complementado coas aportacións de tres grupos de
discusión (Expertos, Xerentes, Traballadores Base), que focalizarán de inicio as liñas a seguir, para logo ir
7
www.infojc.com
avaliando se o desenvolvemento da Acción se axusta ao proposto, e propoñer actualizacións que axuden
a acadar os obxectivos marcados.
Como proposta de valor engadido, realizarase a maiores un estudio cuantitativo sobre o estado xeral da
seguridade da información nas PEMES galegas, que será totalmente anónimo, estruturado en tres perfís
xenéricos (Directivo, Técnico, e Usuario Base- ou Tipo), e o máis representativo posible respecto da
realidade do noso tecido produtivo.
Agárdase que a presente guía supoña un medio sinxelo, intuitivo e fiable para mellorar a xestión da
información e a seguridade da mesma nas PEMES galegas, o cal mellorará decisivamente na súa
produtividade, e por extensión nun incremento da súa competitividade.
Faise todo elo coa expectativa final de que redunde nunha mellora global das organizacións, que mesmo
incrementarán as súas expectativas de Expansión e Internacionalización.
1.3 Que é unha acción de apoio e acompañamento a formación
Esta iniciativa encádrase dentro das Accións de Apoio e Acompañamento á Formación da Dirección Xeral
de Formación e Colocación (Consellería de Traballo e Benestar) da Xunta de Galicia, na convocatoria 2010-
2011.
Ditas accións perseguen como obxectivos xenéricos os seguintes:
Mellorar a calidade das accións formativas estendendo o subsistema de formación profesional
para o emprego cara a ámbitos en que aínda non están plenamente introducidos (especialmente
no eido das PEME)
Contribuír á adaptación e evolución das profesións e os contidos dos postos de traballo
Acadar unha mellora nas competencias e cualificacións (indispensables para manter e fortalecer
a situación competitiva das empresas e a cualificación das persoas traballadoras ocupadas e
desempregadas).
Isto abrangue dende iniciativas que desenvolven traballos de investigación e innovación (como é o caso
que nos ocupa), ata outras de información e orientación profesional dirixidas a traballadores e
traballadoras en activo ou desempregados, etc.
Son acción financiadas pola citada Consellería de Traballo e Benestar, e polo Fondo Social Europeo (FSE), e
neste caso foinos concedida a seguinte acción a InfoJC SL: “Guía de boas prácticas: a Seguridade da
Información nas PEME Galegas”.
Se desexa obter máis información ao respecto, pique aquí para consultar a orde correspondente que
regula ditas accións.
8
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
En resumo, o obxectivo primordial desta acción consiste en incrementar o nivel de seguridade da
información nas PEME galegas, polo que primeiramente se procede a radiografar a situación do sector
(obtendo e analizando os parámetros actuais do mesmo), para de seguido proceder a determinar e
propoñer as medidas precisas para mellorar dita realidade.
Todo elo desagregado en tres perfís concretos en cada empresa: Directivo, Técnico e Usuario Tipo, para
recoller as súas necesidades específicas, e responder así mellor ás súas demandas.
9
www.infojc.com
10
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Orixes e xustificación desta guía 2
www.infojc.com
11
www.infojc.com
2.1 Contexto: A seguridade da información nas PEME galegas
No caso particular do territorio galego, convén destacar dous condicionantes principais:
A) Por unha banda, existe un déficit estrutural para a correcta xestión da Seguridade da Información nas
PEME, e é o despregue dunha Banda Larga (BL) asumible (en prezo), dispoñible (que chegue á
totalidade da demanda) e efectiva (que teña unhas características de servizo óptimas), o feito
diferencial que posibilite a redución da referida fenda.
Non hai que obviar que actualmente aínda existe (estimación) entre un 11-16 % de demanda
empresarial de BL non cuberta no territorio galego (datos 2010 do Observatorio para a Sociedade da
Información e a Modernización de Galicia, OSIMGA- e do INE), o que supón un lastre importante á hora
de competir en igualdade de condicións nesta economía global.
Iso permitiría desde, por exemplo, realizar os periódicos “backups” en liña (facer as copias de
seguridade a través da rede de datos), as pertinentes actualizacións de seguridade dos programas e
aplicacións empregados (antivirus, sistema operativo, buscadores…).
Para acadar a superación do mesmo, e poñerse á altura dos demais competidores, estase facendo un
esforzo importante tanto a nivel nacional como no relativo á Administración Autonómica (Axenda Dixital
de Galicia 2010-2014). De maneira que a finais do citado plan estímase que se estea en condicións de
superar a actual fenda dixital, e poderase dispoñer dunhas condicións mínimas de acceso ás TICs.
B) E noutro ámbito, a maior conciencia en canto ás ameazas reais de seguridade da información (que
ademais medran de xeito exponencial), pero que contrasta coa falta da adopción real de ditas políticas
de seguridade (segue faltando a implantación práctica das mesmas) A contorna galega caracterízase por
unha escasa formación e unha acusada diverxencia entre a percepción de dita temática e a aplicación
real da mesma.
Esta razón representa quizais a máis difícil de esquivar e superar, xa que por moita infraestrutura e
medios que se dispoña, se non existe conciencia social de perigo e non se adoitan as medidas de
protección oportunas, será inevitable desembocar en resultados nefastos ao realizaren prácticas de
risco. De feito, varios estudos sobre seguridade da información (ESET, PANDA, SYMANTEC, INTECO…),
12
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
seguen reflectindo actualmente á enxeñería social como unha das causas máis importantes de perigo
para a información sensible.
É dicir, o elo máis débil da cadea segue sendo o factor humano.
Débese distinguir entre as dúas posibilidades xerais para ver comprometida a información dunha
organización:
Por accesos externos: enténdese intencionados.
Por ataques ou condutas de risco que proveñen do interior da propia empresa (que adoita ser a
vía máis importante). De feito, máis da metade das incidencias1 se deben a esta liña, e dentro da
mesma, máis da metade das mesmas están motivadas polo ¡administrador de sistemas! (o
As razóns principais poden ser:
Por dolo: Motivacións económicas, de comportamento (celos, resentimento …)
Por ignorancia ou falta de capacitación: Combátese con formación, ademais de con a aplicación e
un estrito cumprimento das políticas e protocolos de seguridade.
2.1.1 Análise da implantación nas TIC
É un feito facilmente contrastado o peso primordial, e que vai “in crescendo” cada día que pasa, do uso
das Tecnoloxías da Información e a Comunicación (TICs) a todos os niveis da nosa sociedade: como
usuarios particulares, a nivel Administración e Institucións, e como non, a nivel empresarial.
É máis, a crise do actual modelo produtivo (baseado nos sistemas produtivos tradicionais) fai imperiosa a
reconversión do mesmo cara a outro modelo baseado no I+D+i, onde a importancia das TICs como sector
transversal faise patente a todos os segmentos: esténdese e confirma o feito de que o uso das TICs é o
medio para acadar os obxectivos, e non o mero fin dos mesmos.
Crecemento da produtividade do traballo e contribución das TICs (UE, EE.UU. e España)
1 Verizon, “Informe sobre investigacións de fendas na seguridade dos datos 2010”
13
www.infojc.com
A tendencia xeral apunta a uns mellores indicadores medios a nivel UE27 (similares en xeral coas medias
mundiais- salvo excepcións como países altamente imbuídos da Sociedade da Información, coma Xapón
…), cuns indicadores inferiores a nivel nacional, e aínda máis acusado ese desfase a nivel galego.
Mentres tanto, tamén cabe destacar que en certos indicadores non só se acada a media nacional, senón
que ata se supera a europea (uso das novas tecnoloxías por mozas entre 14-25 anos, e- administración,
etc.), o que denota a posibilidade real de equipararnos no resto de indicadores (aínda cando nalgúns o
esforzo esixido sexa longo e persistente).
Apuntar que o tecido produtivo galego caracterízase pola fragmentación (máis do 95 % das PEME son de
menos de 10 traballadores2), primando a área de servizos- onde a inmensa maioría non vai dispoñer dun
administrador de sistemas/ seguridade, por iso é polo que sexa explicable o enorme contraste no tema da
seguridade da información existente coas empresas máis grandes (con políticas xa definidas e
implantadas no tema).
Todo iso sen obviar a importancia cada vez maior do propio sector TIC, tal como testemuñan os seus
indicadores actuais (INE, OSIMGA…). De feito, no actual contexto de crise é dos poucos sectores que non
perde emprego, senón que o xera.
Así o testemuña o informe do OSIMGA, que referenda o feito de que o sector empresarial das TIC ocupa
unha posición estratéxica pola súa capacidade de xeración de emprego. O nivel de emprego no sector TIC
situouse no ano 2009 nos 16.327 traballadores/as, o que representa o 1,59% da poboación ocupada
galega. A evolución da ocupación neste sector mostra un continuo crecemento nos últimos anos.
Nº de empregados do sector TIC de Galicia
Segundo as directrices da “Axenda dixital de Galicia” (2010- 2014), dentro da Estratexia Global da actual
Administración Autonómica (Xunta de Galicia) en materia tecnolóxica, contémplase unha achega de 935
millóns (m) €, que sumados ao financiamento privado alcanzará os 1600 millóns de € totais.
2Observatorio para a Sociedade da Información e Modernización de Galicia (OSIMGA)
14
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Estímase que se traducirán na creación de máis de 12.000 empregos, e en aumentar a actividade
económica en 800 millóns de €, incrementado a súa achega ao PIB do 4.8 % actual ao 6 % agardado en
2014.
De seguido menciónanse os obxectivos principais do plan de banda larga de Galicia (2010- 2013), xunto á
súa temporalización, para logo confrontalo cos obxectivos xa cumpridos.
Estes son os indicadores actuais, e a previsión de mellora dos mesmos:
Datos da cobertura de Banda Larga (BL) en Galicia (OSIMGA) 2010
Indicar o avance notable alcanzado para dotar de servizos de BL á comunidade Galega, onde só en 2010
conseguiuse facilitar o acceso a máis de 250.000 cidadáns que pola súa situación xeográfica tíñano
imposible antes (cita do OSIMGA).
Dita noticia constitúese como claro exemplo do peso do factor xeográfico sobre o devandito déficit, sendo
a principal causa da fenda dixital entre a Galicia costeira- atlántica (máis poboada) e a interior (rural).
Debido a iso, a Administración está realizando un plan con dúas vertentes principais:
Primeiro subvencionar a instalación de BL en zonas que inicialmente non dispoñían dela.
Para logo nunha segunda fase incentivar e facilitar a existencia de varias alternativas, que se
traduzan nunha maior competencia e servizos máis competitivos.
Aínda así, segue existindo un agravio comparativo no acceso á BL en España respecto de Europa, que
aínda se fai máis patente en Galicia (tal como indica o informe da Comisión do Mercado das
Telecomunicacións- CMT de decembro de 2010): presenta a comparativa das mellores ofertas a xuño de
2010 nos diferentes países da UE-27.
15
www.infojc.com
De acordo co estudo, os paquetes de banda ancha e voz a velocidade media (de 2 Mb a 10 Mb) son un
21,2% máis caros en España respecto da media das mellores ofertas europeas3 en prezos axustados por
paridade de poder adquisitivo (PPP).
As ofertas de velocidade media aglutinan o 60% do total das liñas. En España, a mellor oferta pódese
contratar por 32 € PPP, mentres que a media europea é de 26,4 € PPP.
O informe da CMT tamén compara o desembolso que supón para un usuario español contratar unha
oferta de banda ancha co operador histórico (Telefónica) con respecto ao desembolso que fan outros
usuarios do resto de Europa ao contratar cos seus respectivos operadores “incumbentes” (Deutsche
Telekom, KPN, BT, Eircom, Telecom Italia, etc). Neste apartado, a mellor oferta do incumbente español de
banda ancha máis voz no tramo de velocidade media é un 84,6% superior á media das mellores ofertas
en Europa, ao representar un desembolso de 58,7 € PPP, fronte aos 31,8 € PPP de media en Europa.
O diferencial de prezos en España entre a mellor oferta do mercado (Orange: 32 € PPP) e a do
incumbente a xuño de 2010 (58,7 € PPP) é de 26,7 € nos paquetes de velocidade de 2 a 10 Mb/s, o rango
máis representativo. Esta diferenza de prezos, que se mantivo case constante nos dous últimos anos,
impulsou a captura de clientes por parte dos operadores alternativos. Os subministradores de rede e os
operadores que compiten con Telefónica alugando parte da súa infraestrutura, suman unha cota de
mercado conxunta de case o 47% fronte ao 43% de 2008.
2.1.2 Análise da percepción das políticas sobre Seguridade da Información
En varios estudos se reflicte a relaxada percepción e a pouca importancia que lle outorgan as empresas
nacionais ao devandito ítem. Por exemplo, citar o “Estudo sobre a privacidade e a seguridade dos datos
persoais no sector sanitario español” (Inteco, 11-02-2011), dividido segundo as causas que se
argumentan para elo.
O citado estudo reflicte que aproximadamente a metade das pequenas e microempresas españolas
carecen da sensibilización, formación e concienciación necesaria para considerar a criticidade de que as
súas compañías dispoñan de medidas de resposta fronte a situacións de continxencia grave. Ao seu xuízo
estas situacións teñen unha probabilidade tan baixa de ocorrer, que non compensa investir en tales
medidas e prefiren asumir o risco (19,1%). Outro 14,2% indica que é un gasto innecesario tendo en conta
o custo do seu implantación.
3 Comisión para o Mercado das Telecomunicacións (CMT)
16
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Gráfico que ilustra as principais razóns para non implantar un PCN (INTECO)
En definitiva, teñen unha percepción errónea dos riscos/ameazas que poidan sufrir e de que a
probabilidade de que aconteza unha continxencia que, de non ser atallada a tempo, pode converterse en
grave.
Citar como exemplo desta segunda vía o artigo de Kasperssky Lab (11/ 01/ 2011), onde se detallan certos
aspectos do anteriormente exposto: “… non é no exteriror onde está o elo máis vulnerable da cadea de
seguridade na contorna das tecnoloxías da información e a comunicación (TIC). Neste sentido, o talón de
Aquiles segue estando dentro das organizacións”.
“Por unha banda, están os traballadores, profesionais e executivos que non son conscientes da necesidade
de aplicar normas e precaucións. E polo outro, os empregados “infieis” ou vingativos cos seus patróns ou
xefes directos”.
De acordo coas estatísticas de Trend Arxentina:
O 60% utiliza o porto USB da súa computadora para copiar datos ao “pendrive”.
O 30% usa o webmail (correo electrónico baseado na web, como o Windows Live Hotmail, o
Gmail ou o Yahoo Mail) ou mensaxería instantánea persoal.
O resto divídese entre o correo corporativo da empresa e a impresión dos documentos.
17
www.infojc.com
Para Dimitri Bestuzhev (analista de seguridade de devandita firma), o método varía dependendo do nivel
de coñecemento técnico da persoa.
“Xeralmente, as fugas danse a través do correo electrónico ou dos programas de mensaxería instantánea,
aínda que tamén adoitan empregarse os métodos de almacenamento nos dispositivos tipo USB ou
CD/DVD”.
Bestuzhev agregou que “os datos que son roubados con maior frecuencia son aqueles que son de interese
para a competencia ou significarán unha ganancia financeira para o que os posúa. Adoitan ser cuestións
como plans de negocios, carteiras de clientes actuais ou información financeira da compañía, como os
seus investimentos, gastos, pagos, etc.”.
Citando a Microsoft, os delincuentes que operan en Internet poden usar tecnoloxía avanzada para obter
acceso ao seu equipo, ou ben recorrer a algo máis sinxelo: a enxeñería social.
A enxeñería social ofrece aos delincuentes un medio de obter acceso ao seu equipo. Polo xeral, a
finalidade da enxeñería social é instalar de forma secreta “spyware” ou algún outro tipo de software
malintencionado, para tentar convencerlle de que facilite os seus contrasinais ou outra información
confidencial de carácter persoal ou financeiro.
Os delincuentes de Internet consideran máis fácil aproveitarse da natureza humana que das
vulnerabilidades do software ou do hardware (e os feitos así o confirman).
De seguido se enumeran os principais tipos de enxeñería social4 que se presentan:
· Suplantación de identidade (“phishing”): Constitúe a forma máis frecuente de enxeñería social. Para
estafas de “phishing”, empréganse mensaxes de correo electrónico ou sitios web fraudulentos nos que se
intenta que facilite información persoal, que logo se empregará con ánimo fraudulento.
· Spear phishing: Os timadores de “spear phishing" (variante do Phising clásico) envían mensaxes de
correo electrónico que parecen auténticos a empregados ou membros dunha determinada empresa,
organismo, organización ou grupo: é polo tanto un ataque máis “dirixido”, porque leva referencias
concretas ao branco do mesmo. Podería incluír solicitudes de nomes de usuario e contrasinais, ou conter
software malintencionado, coma troianos ou virus.
· Correo electrónico engañoso: As mensaxes de correo electrónico enganoso preséntanse de distintas
maneiras: dende unha estafa na que se lle pide axuda para sacar diñeiro doutro país (a miúdo, Nixeria,
Europa do Leste, etc.), ata un aviso de que gañou algo nun sorteo...O estafador intenta que envíe cartos
ou revele información financeira que poida usarse para roubarlle cartos, a súa identidade ou ambos.
Como queda patente nos exemplos anteriores, non deixa de ser unha actualización da fraude de toda a
vida aos tempos actuais, onde a rede se erixe como medio fundamental de comunicación e de comercio.
4 Wikipedia, artigo sobre “Seguridade da información”, actualizado o 09/02/2011
18
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
2.1.3 Análise da implantación da Seguridade da Información
Situación a nivel Europeo
Respecto de os incidentes que afectan aos sistemas TIC das empresas nos Estados membros da EU27,
indícase5 que o 12% das empresas europeas de 10 ou máis empregados/as (UE27) experimentaron
problemas de seguridade debidos a fallos en hardware ou software.
Este dato ascende en Galicia ao 19,7% das empresas deste segmento, fronte ao 19,1% da media española.
O 5% das empresas da UE perderon ou viron modificados os seus arquivos por infeccións de virus no
sistema, aínda que o dato español está por encima da media europea cun 11,1%, só superada por
Eslovaquia e Portugal (cun 23% e un 14%, respectivamente). Este indicador sitúase en Galicia no 10,2%.
En xaneiro de 2010, a metade das empresas da UE27 xa utilizaba unha contrasinal forte ou un hardware
para a identificación de usuarios. O 62,8% das empresas galegas fronte ao 61,8% das empresas españolas
utiliza estas mesmas medidas para protexer as súas redes informáticas, o que as sitúa en cuarto lugar na
Unión Europea, segundo “Eurostat”.
Situación a nivel nacional
Para devandita análise tómanse como referencia os estudos actualizados (máis recentes) dos organismos
de referencia: ONTSI, INE…
Táboa de indicadores sintéticos sobre o estado da SI en España, Observatorio Nacional das Telecomunicacións e a SI (ONTSI)
5 Statistical Office of the European Communities (Eurostat)
19
www.infojc.com
Os anteriores indicadores son un reflexo estimado da implantación da Sociedade da información (SI) en
España, sumado a unha comparativa cos anos anteriores que permite contrastar a evolución seguida.
Táboa de datos relativos á seguridade das empresas en España, ONTSI
Afondando na situación nacional, segundo o informe de seguimento da SI 2010, ONTSI (dato tomado do
Instituto Nacional de Estatística- INE), só o 33.1 % das empresas a nivel nacional (das que dispoñen de
acceso a internet) contan cunha política de seguridade definida formalmente e revisable regularmente.
Comparativa de medidas de seguridade TIC nas empresas a nivel nacional (INE)
20
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Situación a nivel autonómico
En relación coa seguridade nas TIC, o 29,1% das empresas galegas de 10 e máis asalariados/as definen
unha política propia cun plano de revisión regular, fronte ao 32,7% que rexistra a media estatal. Os
sistemas internos de seguridade máis empregados nas empresas galegas deste segmento son a
autenticación mediante contrasinal segura (61,5%) e o 'backup' de datos externos (34,1%).
2.2 Referencias e estudios sobre dita temática
De seguido se citan varios documentos e estudos que ilustran dita realidade a nivel xeral.
Informe de Principais Ameazas a nivel mundial, CISCO 2008, onde destaca que:
A preocupación principal do 33% dos profesionais de TI era a perda ou roubo de datos a través de
dispositivos USB.
O 39% dos profesionais de TI a nivel mundial estaba máis preocupado polas ameazas
provenientes dos seus propios empregados que pola dos piratas informáticos externos.
O 27% dos profesionais de TI admitiu que non coñecía as tendencias da perda de información dos
últimos anos.
Enquisa sobre preparación de PEMES en caso de desastres (2011 SMB Disaster Preparedness Survey),
Symantec, 2011 (relativa a datos de 2010), que avalía a actitude e as prácticas de pequenas e medianas
empresas (PEMEs) e dos seus clientes en relación coa preparación ante desastres. Principais conclusións:
Non é unha prioridade ata que se ven afectadas
Os custos de solucionar son superiores que os de previr
Pode verse comprometida a viabilidade da organización
As consecuencias non só son económicas, se non legais, de imaxe (reputación), etc.
A enquisa observou que o 36% das PEMES tenta establecer un plan de preparación ante desastres no
futuro. A medida que estas e outras organizacións deseñan plans, Symantec ofrece as seguintes
recomendacións:
Plan de continuidade de negocio: debería incluír a identificación de sistemas e datos crave para o
funcionamento da empresa, os seus recursos críticos.
Involucrar aos empregados: deberían formarse sobre boas prácticas en seguridade informática e
sobre o que deberían facer cando a información bórrase de forma accidental ou cando non poden
atopala con facilidade nos seus arquivos. Como as PEMEs teñen escasos recursos, todos os
empregados deberían saber como recuperar a información empresarial en caso de desastre
21
www.infojc.com
Realice probas frecuentes e actualice: para comprobar que o plan é efectivo
Unha sinxela planificación pode permitir ás PEMES protexer a súa información en caso de desastre o que,
á súa vez, axudaralles a establecer unha maior confianza cos seus clientes”.
2º Barómetro Internacional de Seguridade nas PEMES, Panda Security (xullo 2010). Do mesmo
extráense varias reflexións:
Entre o 11-13 % das compañías enquisadas non teñen instalado ningún sistema de seguridade
(apenas variación co ano 2009)
As solucións máis utilizadas son o antivirus e o “firewall”, aínda que resulta paradoxal en cambio a
baixa utilización de “antispam”.
A pesar do contexto de crise, mantense o orzamento destinado á seguridade nas PEMES, cando
non se incrementa lixeiramente.
Só o 40 % dos empregados reciben algún tipo de formación en seguridade, algúns de balde e
outros de pago “É obvio que nun escenario de control de gastos, debería reforzarse dita vía para
“previr antes que curar”.
Gráficos cos datos de formación en Seguridade en empresas,
22
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Panda Security 2010
O nº de infeccións das empresas españolas é similar ao do resto de países europeos (59 %), sendo
en EE. UU. e Canada menor, mentres que en Latinoamérica increméntase notablemente (ata o 65
%).
Igualmente chama a atención o dato que recolle que un 41% das PEMEs españolas e un 31 % das
europeas non conta cunha persoa dedicada á seguridade informática.
No que se refire ás empresas que non contan cun sistema de seguridade, destacan como
argumentos principais esgrimidos os seguintes: o 43 % en España (36 % en Europa) estima que
non é necesario ou importante, cando no ano 2009 se impoñía o prezo como causa principal.
Pero aínda cabe incidir en implicar e formar a todos os estamentos da empresa, para que a
seguridade sexa unha máxima a todos os niveis.
Sen esquecer o feito de migrar dos actuais sistemas reactivos (antivirus …) a solucións máis
integrais, especializadas e proactivas, que fagan fronte ao incremento exponencial de ameazas
actuais: antivirus con tecnoloxía proactiva, sistemas baseados en SaaS (Security as a Service),
filtros antispam, protección perimetral, programas antispyware, servidores de respaldo/ NAS de
datos …
Citar como exemplo da temática o Artigo de Fortinet (CSO 04-02-2011), que ilustra a importancia das
vulnerabilidades internas debidas ao factor humano e cita varias das súas vertentes.
De seguido se enumeran as sete principais vías polas que unha rede pode verse infectada desde o seu
interior e as pautas para evitalo:
1) Os lectores USB, outros End-Points: (cámaras e marcos dixitais, reprodutores de MP3), Medios Ópticos
(CDs …), Smartphones e outros dispositivos dixitais (tabletas, PDAs…)
A ubicuidade destes lectores e a súa potencialidade para eludir as solucións “Data Leak Prevention” (DLP)
tradicionais, levou aos “hackers” a desenvolver “malware” específico que se executa de forma automática
ao conectar a chave ao porto USB (“Conficker”, “Stuxnet”…). O recomendable sería impedir que se
executen estes dispositivos automaticamente (xa incorporado en varios programas de serie), ademais de
reforzar o control e as políticas sobre o emprego dos mesmos.
2) Portátiles e Netbooks
Todas as compañías teñen información sensible que non debe saír das súas oficinas. Isto convértese nun
perigo cando a información está almacenada nun portátil non seguro. Una solución sería: Implantar un
sistema de arquivado por encriptación para os datos sensibles.
23
www.infojc.com
3) Puntos de Acceso inalámbrico (APs)
Os ataques a redes inalámbricas son comúns e causaron graves danos. Recoméndase usar o protocolo
máis seguro, xunto cun AP capaz de ofrecer autenticación e reforzar as medidas de seguridade.
4) Conexións internas: Xestión de usuarios (control de accesos)
Os empregados dunha compañía non poden acceder, accidental ou premeditadamente, a áreas da rede
corporativa ás que non deberían ter acceso. Débense cambiar as claves regularmente e cumprir coas
políticas de autenticación e acceso.
5) O troiano humano
Pode entrar na empresa camuflado baixo diversos aspectos, desde un home de negocios ata alguén cun
mono de operario, e en menos dun minuto pode infectar a rede corporativa desde a sala de servidores.
Hai que recordar aos empregados que se debe identificar a persoas alleas á organización, cumprindo a
política de control de accesos.
6) A mente prodixiosa
Ademais destas medidas para mitigar as posibles ameazas que supón a tecnoloxía dixital, non debemos
esquecer que a mente humana é unha gran base de datos. A mellor salvagarda é ser consciente e estar
alerta de calquera ameaza sempre que esteamos manexando información sensible: bloqueo de equipos
ao ausentarse, emprego de contrasinais seguras e confidenciais, etc.
7) E-mail
Os “mails” poden ser en si mesmos un foco de infección. Identificar a fonte é clave. Podemos coñecer
quen é o emisor utilizando tecnoloxía PGP ou cunhas cantas preguntas antes de enviarlle información
sensible. Débese reforzar o control dos accesos ás direccións de alias, usar filtros “antispam”, así como
recordar aos empregados as políticas de seguridade da compañía.
24
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Boas prácticas en seguridade da información nas pemes galegas 3
www.infojc.com
25
www.infojc.com
3.1 Area de seguridade
3.1.1 Seguridade da información
Citando á Wikipedia, “enténdese por seguridade da información a todas aquelas medidas preventivas e
reactivas do home, das organizacións e dos sistema tecnolóxicos que permitan resgardar e protexer a
información, procurando manter a confidencialidade, a autenticidade e a integridade da mesma” (así
coma o non repudio - proba de quen e cando a recibe/envía).
Dito doutro xeito, pódese entender como seguridade un estado de calquera sistema (informático ou non)
que nos indica que ese sistema está libre de perigo, dano ou risco.
Enténdese como perigo ou dano todo aquilo que poida afectar ó seu funcionamento directo ou aos
resultados que se obteñen do mesmo. Para a maioría dos expertos o concepto de seguridade é utópico
porque non existe un sistema 100% seguro (non hai seguridade absoluta).
Por iso considérase que a seguridade é un proceso continuo de mellora, polo que as políticas e controis
establecidos para a protección da información deberán revisarse e adecuarse, de ser preciso, ante os
novos riscos que xurdan, a fin de tomar as accións que permitan reducilos e, no mellor dos casos,
eliminalos.
É importante xa que logo, resaltar a importancia que se lle dá dentro de medios gobernamentais,
políticos, empresariais ou educativos. Para que a información flúa dun lugar a outro sen inconvenientes
(ou que o faga cos permisos ou autorizacións pertinentes) existe a seguridade e custodia de datos. Para
explicar isto falarase da xestión da seguridade da información e a auditoría de sistemas.
Para que un sistema se poida definir como seguro debe ter as catro características antes referidas6:
Integridade: “A información só pode ser modificada por quen está autorizado. Isto é que non se
realicen modificacións por parte de persoas co acceso non autorizado aos datos, información ou
procesos e que non se realicen modificacións non autorizadas por persoal autorizado aos
mesmos. A información será consistente tanto interna como externamente”.
6 Wikipedia, artigo sobre “Seguridade da Información”, actualizado o 09/02/2011
26
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Confidencialidade: “A información só debe ser lexible para os autorizados. Isto implica a
prevención do acceso non autorizado á información (xa sexa en forma intencional ou non)”.
Dispoñibilidade: “A información, datos ou recursos deben estar dispoñible para o persoal
adecuado cando se precisen”.
Irrefutabilidade (Non Rexeitamento ou Non Repudio): “Que non se poida negar a autoría”.
Dependendo das fontes de ameaza, a seguridade pode dividirse en dúas ramas principais7:
Seguridade lóxica: "aplicación de barreiras e procedementos que resgarden o acceso aos datos,
de modo que só se permita acceder a eles ás persoas autorizadas para facelo."
Seguridade física: “aplicación de barreiras físicas e procedementos de control, como medidas de
prevención e contramedidas ante ameazas aos recursos e á información confidencial”
Outros termos a ter en conta ó falar de seguridade informática son (METER ALGúN ICONO -Por exemplo a
presentación da casa)8:
Activo: “Recurso do sistema de información ou relacionado con este, necesario para que a
organización funcione correctamente e acade os obxectivos propostos”.
Ameaza: “É un evento que pode desencadear un incidente na organización, producindo danos
materiais ou perdas inmateriais nos seus activos”.
Impacto: “Medir a consecuencia ó materializarse unha ameaza”.
Risco: “Posibilidade de que se produza un impacto determinado nun activo, nun dominio ou en
toda a organización”.
Vulnerabilidade: “Posibilidade de ocorrencia da materialización dunha ameaza sobre un activo”.
Ataque: “Evento, exitoso ou non, que atenta contra o bo funcionamento do sistema”.
Desastre ou Continxencia: “Interrupción da capacidade de acceso á información e procesamento
da mesma”.
Destacar que risco e vulnerabilidade son conceptos diferentes, debido a que a vulnerabilidade está ligada
a unha ameaza,mentres que o risco o está a un impacto.
7 Artigo dispoñible na web http://www.segu-info.com.ar, “Seguridade Lóxica”
8 Artigo dispoñible na web http://www.monografias.com, “Seguridade da Información_Auditoría de Sistemas”
27
www.infojc.com
Tendo en conta o anterior, pódese resaltar que entre os activos máis importantes para unha organización
está a información e, por conseguinte, a custodia da mesma.
Esquema ónde se detallan as principais relacións entre varios conceptos da SI
3.1.2 Xestión da seguridade da información
A xestión da seguridade da Información defínese coma o “conxunto de metodoloxías, prácticas e
procedementos que buscan protexer a información como activo valioso, co fin de minimizar as ameazas e
riscos continuos aos que está exposta, a efectos de asegurar a continuidade do negocio (plan de
continuidade de negocio e/ou de recuperación ante desastres), minimizar os danos á organización e
maximizar o retorno de investimentos e as oportunidades do negocio (e no caso de cada individuo, de
protexer a identidade e a privacidade)”.
Podería resumirse como o conxunto de políticas de administración e emprego da información de xeito
seguro e controlado.
Esta xestión soe guiarse por unha serie de normas estándar (ISO, UNE, etc.) que adoitan englobarse nun
sistema de Xestión de Seguridade da Información (SGSI), sendo o máis empregado o que dicta a norma
ISO 27001.
Partindo e aplicando a soada frase de Lord Kelvin (1824-1907): "O que non se define non se pode medir. O
que non se mide, non se pode mellorar. O que non se mellora, degradase sempre", un Sistema de Xestión
da Seguridade da Información debe ter establecidos criterios de medición da eficacia e a eficiencia para
mellorar de xeito continuo e adaptarse á consecución dos obxectivos perseguidos.
28
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
No ámbito da seguridade da Información, o Plan de Continuidade de Negocio (INTECO) é a forma na que
calquera organización xestiona a implantación de medidas de prevención ante ameazas que poidan
afectar aos mecanismos de negocio ó desenvolvemento da mesma.
O Plan de Continuidade de Negocio debe ser apoiado dende a propia Dirección da Organización e prevé os
orzamentos e recursos necesarios (materiais, empregados, formación, etc.) para poder asegurar dita
continuidade. Así, a fórmula básica de calquera plan de continuidade contempla as seguintes actividades9:
Preparación: “Define as estratexias a seguir ante unha situación de crise, analizando plans e
procedementos de resposta, así como a forma de mitigar os riscos identificados”.
Prevención: “Debe realizarse unha labor continua de vixilancia, identificando e avaliando as
medidas xeradas para a mitigación dos riscos que se identificaron”.
Resposta: “Xestión dos recursos asignados para posibles crises”.
Recuperación: “Levar á organización á situación normal de actividade unha vez superada unha
situación de crise”.
Sendo os riscos un dos maiores problemas na seguridade, recomendase ter tres planos de actuación: un
para o peor dos casos, outro para estados intermedios e outro máis para circunstancias favorables.
Gradación dos protocolos de resposta
Localización no tempo do RTO e o MTD antes de que unha empresa sufra perdas graves
A seguinte ilustración amosa de maneira visual o concepto Tempo de Recuperación Permitido (RTO), que
é o tempo asumible sen risco para a organización; e a súa relación co Tempo Máximo Permitido de
9 Instituto Nacional das Tecnoloxías da Comunicación (INTECO), “Guía práctica para PEMEs, Como implantar un plan de
continuidade de negocio”, 2010
29
www.infojc.com
Interrupción (MTD) – que é o límite para a viabilidade da organización (considerando a ocorrencia nalgún
momento do tempo dun desastre).
Canto máis curtos son o RTO e o RPO, máis complexos e caros son os plans de continuidade de negocio
(precísanse tempos de resposta máis rápidos). Estes dous parámetros deciden tamén as diferentes
estratexias de recuperación.
Deste xeito poderase mitigar o hipotético dano que se poida provocar, pois se tomaron medidas. Non se
pode dicir que a seguridade garanta un 100% de tranquilidade (xa que cada día aparecen novas
vulnerabilidades e máis sofisticados ataques, etc.), pero o que é seguro e que propicia que os sistemas
sufran menos conflitos e estean en condicións de ser recuperados se fora preciso.
No caso de que a información confidencial dunha empresa (os seus clientes, as súas decisións, o seu
estado financeiro ou nova liña de produtos, etc.), caera en mans dun competidor e se volvera pública de
forma non autorizada, podería supoñer unha importante perda de credibilidade dos clientes (dano de
imaxe), perda de negocio, demandas legais ou ata a creba da mesma, polo que protexer a información
confidencial é un requisito do negocio, e tamén un imperativo ético e unha obriga legal.
A seguridade é un proceso continuo de mellora, por moi seguro que sexa un sistema, sempre se pode
mellorar (de maneira que nunca se debe baixar a garda).
3.2 Área de prevención
Hoxe en día, os datos da nosa empresa, a información sensible, constitúe o activo máis importante da
nosa actividade, o que nos diferenza fronte ó resto. Por iso mantelos seguros convértese nunha cuestión
de capital importancia.
Neste capítulo ofrecese información, exemplos, consellos, boas prácticas, etc., co fin de evitar
comportamentos e/ou situacións de risco que poidan comprometer a seguridade dos nosos datos ou, no
seu defecto, minimizalas no posible.
Insistir no feito de que a seguridade está a mudar, a actualizarse, motivada polas circunstancias
(dinámicas), dende un enfoque tradicional “reactivo”, a outro máis actual e “proactivo”. En xeral, pódese
resumir dicindo que este último aborda a temática dende un punto de vista integral (global, a todos os
niveis), e ten en conta tódolos actores e recursos susceptibles de ameaza, de maneira que se fundamenta
en tres grandes piares: Tecnoloxía, Procesos, e Persoas.
Tecnoloxía: emprego de ferramentas “orixinais” actualizadas (Hw/ Sw)
Procesos: políticas e procedementos de actuación definidos, claros e asumibles.
Persoas: capacitación e sensibilización de “todos” os recursos humanos no eido da seguridade.
Para esixir, primeiro hai que formar e concienciar, para que todos se “involucren”: ¡A seguridade
da información é tarefa de todos!
30
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Por elo, existen distintos tipos de medidas que convén empregar para remediar dito problema: dende
ferramentas e solucións de Hardware/ Software de Control e Análise (a nivel interno), ata solucións de
protección do “perímetro” co exterior, sen esquecer o apartado referido ás políticas e procedementos
seguros.
Respecto ó primeiro caso, atopamos as solucións antivirus e antimalware en xeral (antispam,
antiphishing, etc.), as cales é absolutamente preciso ter correctamente actualizados ás versións máis
recentes. Dita política de “versións oficiais máis recentes” é extensible a calquera tipo de software ou
hardware empregado, incluíndo navegadores, solucións de ofimática, etc.
Dito isto, introducimos De seguido o concepto de seguridade perimetral, que se define como a “barreira
de protección” que hai entre a rede local da nosa empresa (LAN) e a exterior (WAN).
Actualmente, debido ó progresivo uso das TIC e ó incremento e modificación de accesos á rede, este
perímetro está cambiando continuamente e facéndose máis extenso e, polo tanto, tamén máis
vulnerable.
Esquema tipo de seguridade perimetral nunha organización
Anteriormente primaban as medidas de seguridade física, baseadas en controlar os accesos ó lugar onde
se atopaban as máquinas, pero por mor da evolución tecnolóxica dos últimos anos, as vías de acceso á
información (dispositivos, canles, etc.) diversificáronse e incrementáronse, polo que a implantación de
medidas de seguridade lóxicas foi inevitable (barreiras e procedementos que resgardan o acceso aos
datos).
Por iso, insistir de novo en que a maneira de entender a seguridade da información mudou de xeito
significativo nos últimos anos, introducindo e primando as medidas “proactivas” (evitar a aparición do
31
www.infojc.com
risco ou minimizalo no posible) sobre as anteriores medidas “reactivas” (responder unha vez aparecido o
dano). A principais medidas a adoptar poderían ser:
Uso de Routers, Firewall (devasas- “cortalumes”), DMZ (zonas desmilitarizadas)...
Uso de dispositivos de detección (IDS) e defensa (IPS) ante “intrusións” (accesos non autorizados)
Segmentación das distintas barreiras (Proxy, Firewall, Servidor de Comunicacións) e principio de
redundancia: Fragmentase o sistema de acceso, intercalando distintos elementos de protección
en serie, ademais de, polo menos, duplicar as alternativas ante calquera escenario adverso.
Adopción de políticas de seguridade no envío/recepción de información: cifrado de datos,
autenticación/verificación, protocolos de comunicación seguros (SSL), etc.
Seguridade/Control de Acceso á rede (NAC).
De seguido engádense outras medidas complementarias do ámbito de procedementos e protocolos de
actuación para salvagardar a información (ademais do desenvolvemento dalgunha das anteriores):
Xestión de accesos/Control de permisos a usuarios: Cada usuario terá acceso unicamente á
información que precise e será responsable de ditos accesos. O historial de accesos quedará
rexistrado para poder identificar fontes de problemas derivados da mala utilización dos accesos
concedidos (deber de custodia da información, etc.).
Política de uso de dispositivos portátiles externos (discos duros externos, Pen Drives USB, etc.):
O seu uso debería de estar prohibido ou moi delimitado (por exemplo, limitado a contornas
seguras como “sandboxes”, para previr posibles contratempos como infeccións, etc.), dado que
representan un potencial perigo cara o roubo de información.
Cifrado de datos: É recomendable o cifrado de todos os datos sensibles, especialmente en
equipos que poidan ser máis susceptibles ó roubo ou acceso externo (portátiles ou dispositivos
externos que saian da organización ou se atopen en lugares de acceso máis xeral ou menos
controlado).
Control de acceso a redes sociais no centro de traballo: As últimas novas reflicten o crecente
perigo que supón para calquera organización o acceso ás mesmas. Con todo, hoxe en día son
imprescindibles a nivel comercial, posto que representan un bo escaparate e unha xanela
inestimable de comunicación ó mercado.
Plan de continuidade de negocio (PCN ou, en inglés, BCP) e recuperación ante desastres: como
indica o seu nome, é o procedemento encamiñado a solucionar a problemática que se derive de
calquera incidencia grave que poña en perigo a actividade da empresa (e, polo tanto, da
organización), onde se definen a restauración dos procesos críticos da empresa ante calquera
incidencia.
32
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Seguridade por capas: A información estará “fragmentada”, descentralizada, de maneira que non
se poida acceder á mesma na súa totalidade dende un único acceso, senón que haberá que
acceder a ela pouco a pouco (e sempre pasando os controis establecidos para cada “capa” ou
sección, que tamén se distribuirán por toda a estrutura, co fin de aumentar o éxito no seu
propaosito).
Con isto o que se pretende é que só se poida acceder á información estritamente precisa para
cada posto de traballo (e aprobada previamente pola Dirección, en función do perfil de usuario).
Por exemplo, un empregado de Administración que se encargue da confección de nóminas vai
precisar acceder a distintos datos que non precisará un traballador de Expedición (que controle o
envío/recepción das materias primas e produtos).
Firma de acordos/ cláusulas de confidencialidade: Cada usuario ten unha serie de deberes e
dereitos respecto da información que manexa, que o compromete á súa salvagarda e custodia.
Formación e capacitación personalizada a todo usuario: Segundo a área e posto de traballo a
executar.
Canles seguras de transmisión (VPN, etc.): Tan importante como cifrar a mensaxe é protexer o
medio de transmisión do mesmo.
Os protocolos de seguridade son un conxunto de regras na transmisión de datos que tentan garantir as
características antes mencionadas: confidencialidade, integridade, autenticación e non repudio da
información. Compóñense de:
Criptografía (Cifrado de datos): Cando unha mensaxe é enviada trasponse ou ocultase o contido
ata que chega ó seu destino, o cal debe de coñecer a clave de cifrado para poder descifralo. Para
un ente intermedio alleo á comunicación entre emisor e receptor, a mensaxe é ilexible e carece
de sentido.
Lóxica (Estrutura e secuencia): Orde na cal se agrupan los datos da mensaxe, o seu significado e
cándo vai ser entregada.
Autenticación: Validación de identificación é a técnica mediante a cal un proceso comproba que o
outro locutor é quen se supón que é e non se trata dun impostor.
Por outro lado, existen outras medidas que soen ir incluídas dentro do Plan de Continuidade de Negocio e
que, dada a súa importancia, cabe destacar neste apartado. Serían:
Copias de seguridade (Backup): Duplicado da información que se considera esencial para a
viabilidade da empresa, que permite restituíla no caso de incidencia ou desastre.
Principio de redundancia: Refírese ó feito de dispoñer sempre dunha alternativa, dun plan B, ante
calquera continxencia que poida acontecer. Podería explicarse coma o feito de poñerse sempre
33
www.infojc.com
no peor escenario posible no sentido de ter preparadas alternativas viables en caso de fallo da
principal.
Por exemplo, si se interrompe o subministro de rede na empresa, dispoñer dunha rede alternativa
(módem USB, etc.). Este tipo de medidas aplícanse sempre en función da necesidade de
dispoñibilidade de cada apartado do servizo.
Por todo o anterior, a Xestión de Sistemas de Información abarca varios procesos complementarios entre
si, e que dependerán da natureza do mesmo (parte do PCN)10:
A) Identificación e cualificación da información (“para protexer, primeiro débese coñecer qué é
importante”).
O seu manexo está baseado na tecnoloxía e debemos coñecer qué pode/debe ser confidencial: pode ser
divulgada, mal empregada, roubada, borrada ou sabotada. Isto afecta á súa dispoñibilidade e pona en
risco. Segundo isto, a información pódese clasificar en11:
Critica: É indispensable para a operación da empresa.
Valiosa: É un activo importante para a empresa.
Sensible: Debe ser coñecida só polas persoas autorizadas
B) Análise dos riscos aos que se enfronta (ou pode sufrir), ponderación, e catalogación dos efectos
potenciais. Imponse unha avaliación obxectiva de ditos riscos (en función das características de cada
organización), e a súa posterior ponderación (posibilidade de acontecemento, impacto- resultado do
mesmo, etc.) e catalogación.
Tipos de Impacto Descrición do Impacto
Operativos Actividades de negocio que deixan de esta ren funcionamento ou o custe das horas de traballo perdidas polos empregados
Económicos Custes directos ou indirectos como, por exemplo, o lucro cesante ou o dano emerxente
Regulatorios ou contractuais
Sancións por incumprimento legal ou penalizacións por incumprimento do contrato con clientes
Imaxe Relación de aspectos máis intanxibles e por tanto máis difíciles de valorar como a imaxe, a fiabilidade e a reputación da organización fronte a clientes, provedores e accionistas
Descrición dos principais tipos de impacto (INTECO)
10
Instituto Nacional das Tecnoloxías da Comunicación (INTECO)
11 Wikipedia, artigo sobre “Seguridade da Información”, actualizado o 09/02/2011
34
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
C). Medidas a implantar en cada circunstancia, para de inicio tentar previr e eliminar (ou, no seu
defecto, mitigar/controlar) os posibles perigos aos que se enfronta o uso da información. É vital ter
asignada unha Reacción proporcional a cada Acción, para coñecer en todo momento cómo actuar en
función do acontecido (parametrización de reaccións).
D). Medir e actualizar a concordancia dos resultados cos obxectivos agardados, a fiabilidade do sistema
e o programa de mellora continua. Hai que coñecer o grao de funcionamento das medidas aplicadas para
comprobar a idoneidade das mesmas e promover a súa optimización.
3.2.1 Exemplos de malas prácticas (a erradicar) en materia de seguridade da información nas
PEMEs galegas
En xeral, as malas prácticas soen ser consecuencia dunha falta de sensibilidade ou de coñecemento cara o
problema da seguridade. En xeral, estas poden ser melloradas con información e formación, que
constitúen algúns dos fitos desta guía.
Como a seguridade ten diferentes niveis, así tamén os teñen os riscos que afronta, derivados dos
procesos de tratamento diario. Lembrar que diferentes estudos están de acordo en que unha das vías
principais de riscos respecto da seguridade da información provén do interior das propias organizacións,
polo que de seguido se enumeran algúns exemplos de malas prácticas (e os seus resultados), coa posible
solución xenérica aos mesmos.
CASO PRÁCTICO: Divulgación do segredo industrial
35
www.infojc.com
CASO PRÁCTICO: Suplantación Identidade dixital
CASO PRÁCTICO: Envío de Spam
36
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
CASO PRÁCTICO: Denial of Service
CASO PRÁCTICO: Infección Malware
37
www.infojc.com
CASO PRÁCTICO: Phising
CASO PRÁCTICO: Sniffing
38
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Conclusións 4
www.infojc.com
39
www.infojc.com
Unha vez achegados ao tema da Seguridade da Información, vendo a súa complexidade e comprobando a
súa aplicación a todas as áreas, poderíanse salientar as seguintes conclusións, respecto da análise dos
documentos de referencia citados ao longo da guía:
Maior concienciación (debido á maior esixencia do mercado- da demanda): Cada vez máis
empresas esixen o cumprimento de ditas políticas aos seus provedores ou subcontratistas, así
como aos procesos de concurso da Administración pública.
Maior esixencia legal e normativa: Por exemplo,dende comezos de ano téñense que efectuar as
comunicacións coa Administración de xeito telemático, de maneira que é imperativo legal garantir
a seguridade de toda esa información.
Unha vez vista a perspectiva do tema, existe un déficit tecnolóxico e de infraestruturas, pero que se está
salvando a pasos axigantados debido á imperiosa necesidade (motivada pola crise) de axeitar o noso
actual modelo produtivo a unha nova economía internacionalizada e baseada na investigación e a
innovación (aplicada, orientada a resultados), que nos conduza a produtos/ procesos e servizos de
elevado valor engadido, e que nos diferencie dos nosos competidores.
Pero tamén é obvio que por máis que se salve dita fenda dixital, e de que exista unha maior
concienciación da importancia da seguridade, pouco se conseguirá si esta non vén acompañada dunha
maior aplicación de ditas políticas de seguridade da información, que capaciten a todo o espectro de
usuarios fronte á incipiente e incremental ameaza que se cerne sobre o emprego de devanditas
tecnoloxías (incremento de comunicacións/ transaccións a través da web, etc.).
A información eríxese coma un dos principais activos da actividade de calquera organización, e se se vise
comprometida, os efectos adversos que diso se derivarían poderían ser moi rápidos (pola importancia dos
tempos de resposta na economía de hoxe) e funestos (ata poderían supoñer a paralización da actividade,
poñendo en perigo a súa propia viabilidade).
Por conseguinte, non deixa de ser paradoxal que os datos reais reflictan o escaso esforzo que se dedica a
garantir esa información sensible, da cal depende a nosa proposta de valor:
Escasa adopción de SGSI: políticas, procedementos …
Modesto porcentaxe de realización/ actualización/ comprobación de copias de seguridade de
devandita información
Baixa implantación de plans de continuidade de negocio, etc.
40
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
E tamén resultan esclarecedores (e preocupantes), os datos que indican a disparidade existente entre a
percepción que se ten e o estado real sobre devandita cuestión, o que denota a falta de formación en
devandito campo.
Ditas informacións (Plan de continuidade de negocio e recuperación ante desastres, INTECO), indican a
escasa concienciación respecto ao tema da seguridade, cando a realidade reflexa que é bastante máis
alcanzable protexerse e previr, que actuar logo de verse afectado (cando aínda hai posibilidade de
recuperar, que non é sempre). De feito, a maioría das organizacións só modifican esa deriva unha vez que
se ven afectadas por un incidente de importancia que fai perigar a subsistencia da propia organización:
proba que denota a carencia de formación específica para a seguridade da empresa a todos os niveis de
organización da mesma.
Sumado á adopción de dispositivos tecnolóxicos (HW/ SW) automáticos de protección (antivirus,
antimalware …), filtrado (devasas, DMZ…), detección e defensa de intrusións (IDS/ IPS), etc., destaca a
importancia da adopción de medidas de capacitación e formación a todos os niveis da organización en
función da actividade realizada (para concienciar sobre a importancia da seguridade;e en último termo
responsabilizar a cada usuario dos seus actos).
Resúmense agora os aspectos que xurdiron nos respectivos grupos de traballo realizados no transcurso
do deseño desta Acción de Apoio
4.1 Grupo Expertos
Situación actual
Descoñecemento LOPD A primeira das ideas que quedou clara na exposición dos expertos foi o grande descoñecemento que hai
sobre a lexislación en materia de protección de datos (LOPD). Temos unha das normativas máis restritivas
da UE sobre este tema e na maioría dos casos os empresarios descoñecen a que están obrigados e cales
son os pasos que deben dar para cumprir coa lei de protección de datos: por exemplo, soen estar inscritos
os ficheiros cos datos, pero non soen comprobarse nin actualizarse...
Falta de sensibilidade respecto da temática Outra das cousas que tamén parece ser de xeral acordo é a falta de sensibilidade, ou de actitude receptiva
en canto o tema da seguridade. Aquí se expuxeron diferentes causas: tales como a falta de formación, os
custes elevados e a complexidade do problema, etc., xa que acadar un nivel de seguridade eficaz supón
na maioría das arquitecturas unha enorme complexidade de procesos que precisan de persoal
especializado ou de xestión externa.
Esta actitude de certa desidia por parte dos responsables, parece ser unha resposta ás prioridades da
empresa. É dicir, a seguridade da información non se entende como prioritaria, en parte porque non hai
unha consciencia do perigo que se está a asumir, ou o que é o mesmo, non se ten coñecemento do nivel
de desprotección e risco que isto supón.
41
www.infojc.com
Polo tanto, outro acordo ao que se chegou foi que na maioría das empresas (tanto grandes, como
pequenas), existe unha enorme falta de sensibilidade cara a importancia do tema da seguridade. Isto
supón o primeiro e o máis importante obstáculo, posto que esta falta de sensibilización, tanto cara o risco
de perda como do roubo ou mal uso, fai que as medidas de seguridade sexan moi baixas ou ineficaces a
todos os niveis.
Exemplos ilustrativos disto serían por exemplo:
Que ou ben non se considera primordial a seguridade da información na organización ata que
ocorre un incidente relativo á mesma (que compromete información sensible da mesma)-> É
entón cando se “visualiza” o impacto do mesmo
Ou que non se comproba a fiabilidade nin a corrección das copias de seguridade efectuadas, etc...
Deseño de aplicacións sen seguridade Outra das cuestión que se sinalou no grupo foi o feito de que a maioría das aplicacións se deseñan sen
seguridade, e dicir, que primeiro se pensa nunha solución para unha necesidade e logo se pensa na
seguridade desa solución, o que implica que a seguridade sexa un proceso externo ou de
desenvolvemento de calquera software.
A seguridade como problema cultural Falouse tamén da seguridade como un problema cultural, posto que o risco non se percibe xa que non se
ensina, non se transmite, e en moitos casos aínda non se entende o valor da información, resulta un tanto
complicado dado o nivel de abstracción que a sociedade entenda o custo tan elevado que supón protexer
os datos.
A seguridade depende principalmente do factor humano, que é o causante da meirande parte dos
problemas de seguridade, o que nos leva a falar da súa formación e da súa capacitación, manipular datos
ou acceder a eles supón ser consciente do nivel de responsabilidade que conleva esa tarefa.
A seguridade na nube (cloud computing) Tamén se dixo que o futuro está na nube, pero esta é unha perspectiva que aínda está por darse (e menos
no campo primordial de aplicación desta guía- pyme e micropymes).
Non obstante, destácanse as posibilidades e tamén os perigos da mesma (exemplos de fallos no servizo:
Amazon, Google...), de maneira que se conclúe que falta aínda un longo percorrido para a súa avaliación e
posta a punto.
42
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Ausencia dun Marco Legal específico En especial, faise fincapé na ausencia dun Marco Legal ao respecto, que regule os aspectos máis
espiñentos de dita actividade: aloxamento en servidores foráneos (no estranxeiro) de información
sensible do país...
Prioridades
Establecer roles/ perfís dinámicos Establecer roles dinámicos posto que os perfiles que se propoñen non son ríxidos. Por xemplo, un xerente
non sempre se comporta como un administrador do sistema e un técnico non sempre ten todos os
permisos para acceder a información sensible. Polo tanto ten máis sentido que non se fale de perfiles
ríxidos senón de roles que son representados por persoas diferentes de cada vez. Ademais, é vital que
todos coñezan o perfil de traballo dos demais (en especial, un directivo ou técnico debe coñecer a
capacidade, formación e motivacións dos empregados tipo), para así divulgar, capacitar e concienciar
axeitadamente, e facer partícipes a todo o espectro produtivo da organización da importancia desa
temática (e tratar de vencer desa maneira a natural resistencia ao cambio dos usuarios).
É máis, inclusive deben entrever que dita mellora pode redundar neles na súa esfera privada (como
particulares).
Simplificar e axilizar Simplificar o acceso é outra das cuestión prioritarias, aínda que con evidente controversia, posto que se
ben é necesario simplificar o acceso a información, parece ser que isto diminúe a seguridade: cantas máis
claves se poñen máis seguro é o sistema, pero pola contra máis complicado é o acceso. Se suprimimos os
controis reducimos a seguridade pero facilitamos o traballo cos datos.
Avaliar riscos (para focalizar esforzos) Avaliación dos riscos, esta parece unha ser unha das claves para facer conscientes os xestores do custo
real que ten unha mala xestión en seguridade: establecer o custo real da perda ou roubo da información
fai que se poda cuantificar o risco e polo tanto que se poda determinar o alcance do mesmo.
Formación Recoméndase a formación para toda a organización como modo de sensibilizar a tódolos traballadores
dos riscos, personalizándoa e adaptándoa segundo o perfil e as necesidades específicas.
Adecuación dos plans de estudio Dada a escasa implantación de materias formativas desta temática (SI) nos plans formativos, incídese na
necesidade de adecuar e actualizar os plans de estudos (tanto técnicos coma xerais) para incorporar dita
capacitación.
43
www.infojc.com
Seguridade por capas É vital establecer niveis de importancia para a información, posto que non toda a información da empresa
é susceptible de ser protexida, e polo tanto os custos derivados deste proceso poden verse reducidos
significativamente.
Cómpre pois, determinar os niveis de seguridade para cada tipo de información co fin de establecer unhas
categorías que permitan optimizar os custos da seguridade de cada un dos niveis. Ademais, desta maneira
cada perfil terá acceso unicamente á información que precise para a súa labor diaria (en especial para o
usuario/ traballador tipo), simplificando a capacitación e a labor de seguridade.
Plan de Continuidade de Negocio Destácase a necesidade de incidir na aplicación de Plans de Continxencia e de Continuidade de Negocio,
como unha das vías de asegurar o negocio, e como medio de concienciación sobre os posibles riscos a
evitar.
4.2 Grupo Xerentes
“Fenda Dixital”
Coincídese en salientar a importante fenda nas infraestruturas no ámbito da PEME, que contribúe a
socavar dita actividade: aínda non é un servizo universal nin competitivo. Por exemplo, aínda a día de
hoxe se estima (segundo o Observatorio para a Sociedade da Información de Galicia- OSIMGA) nun 16 % a
demanda de Banda Larga (BL) sen cubrir no sector produtivo.
Ademais esta BL é máis cara e de menores prestacións ca noutros lugares, o que dificulta competir en
igualdade de condicións nesta economía globalizada.
Seguridade “simple, automática e asequible”
Como era de esperar (e podendo identificalo coma a interpretación no sector do famoso dito popular das
“3 Bs” - bo, bonito e barato), o perfil directivo bota en falta unha maior simplicidade na implantación das
prerrogativas de seguridade, así como a inexistencia de ferramentas/ aplicacións integrais automáticas
que “traten” a totalidade deste eido .
Maior análise do apartado de Seguridade Física
Aínda que as medidas que máis se estudan son as de tipo lóxico (control de usuarios por contrasinais no
propio equipo, etc.), quizais habería que abundar na análise e mellora das medidas de tipo físico (acceso
restrinxido por medidas como portas con contrasinais , videovixilancia...), etc.
Compañías de Seguros con pólizas axeitadas a dita problemática
44
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Tamén se insiste na falta de seguros concretos e adaptados a dita temática, que presenten cláusulas e
supostos reais e adaptados é realidade do sector.
Adiántase que podería estar motivado pola ausencia dunha cultura/ política de seguridade a nivel
sectorial: pois se algo non se mide, non se pode cuantificar (e por extensión, non se pode asegurar).
Ademais, cantos máis afiliados a ditos seguros, maior competitividade dos mesmos e mellor relación
calidade/ prezo.
4.3 Grupo Usuarios Base (ou Tipo)
Respecto ás características do cuestionario
Estamos a falar dun cuestionario breve (10 minutos), anónimo, cun número reducido de cuestións (36),
redactadas de xeito moi sinxelo, concretas e claras, cun baremo claro e definido.
Os participantes no grupo de discusión amósanse identificados co modelo de cuestionario proposto e
están de acordo coa lonxitude do mesmo, xa que opinan que un empregado pode cumprimentalo en
poucos minutos sen que isto afecte ao seu labor profesional cotiá.
Os asistentes expoñen diversas dúbidas relativas aos conceptos técnicos incluídos no cuestionario. Ante
esta situación, o equipo técnico explícalles que cada concepto técnico irá acompañado da súa definición
(acceso a través de hipervínculo ao correspondente glosario, por exemplo), que en función da necesidade
que teña cada usuario poderá botar man dela se fora mester, para ampliar a comprensión da pregunta e
saír de dúbidas.
A análise do cuestionario por parte dos futuros usuarios do mesmo axudou ao equipo de traballo a ter en
consideración posibilidades de resposta que non foran observadas anteriormente.
Falta de control
Os participantes comentan que nalgunhas empresas existe falta de control respecto á seguridade da
información.
Todos os traballadores son conscientes da importancia de modificar os contrasinais, pero sen embargo
recoñecen que adoitan por exemplo anótalos nun post-it á vista de calquera, compártenos cós seus
compañeiros por motivos profesionais ou, inclusive, todos os compañeiros teñen o mesmo contrasinal
para facilitar as súas labores (polivalencia de cara a suplencia por baixas laborais, vacacións...)
Tamén saben que o mais recomendable é gardar os seus datos no servidor da empresa e non nos seus
propios equipos, mais por vagancia ou desgana, deixan os datos nos seus equipos conscientes do risco de
perda de información valiosa.
45
www.infojc.com
Así e todo, os traballadores comentan que mentres que non exista un control por parte da estrutura
organizativa da empresa que esixa o cumprimento dos protocolos de seguridade da información, e
mentres que o persoal poida eximir responsabilidades ao respecto, non mellorará a concienciación sobre
a seguridade da información.
Necesidades de formación
Durante o grupo de discusión quedan patentes necesidades de formación aos traballadores en materia de
seguridade da información.
Descoñécense os perigos de seguridade, como por exemplo os riscos que poden vir por medio do acceso
ás redes sociais, ou produto do uso de redes WIFI abertas (sen ningún tipo de seguridade na transmisión),
etc.
Argumentan que se non se forma e informa sobre os riscos, un non toma conciencia da importancia da
información que manexa diariamente no seu posto de traballo.
Ademais insístese na ambigüidade do tema: “creo que...”, “a min dixéronme...”, resaltando o feito de que
se precisan protocolos e instrucións de traballo sinxelas, claras e asumibles.
E xa logo unha vez capacitados, sería cando habería que controlar o axeitado seguimento da seguridade,
podendo en último termo esixir responsabilidades polo comportamento de cada un.
Por último, e dado o descoñecemento do tema e a falta de recursos existentes neste senso para a súa
mellora, apláudese a iniciativa a desenvolver pois é vista como unha mellora global para todos os actores
implicados.
4.3 Conclusións grupos
En resumo de todo o aportado, enuméranse agora algunhas das recomendacións xerais en función do
perfil de usuario escollido
Espectro usuario:
Capacitación acorde ás tarefas
Concienciación e responsabilidade: Coñecemento da realización de infraccións e as súas
consecuencias e impactos, etc. Logo unha vez sendo conscientes dos riscos e da forma de evitalos,
así como da importancia da información como activo principal, pódese esixir un comportamento
responsable no manexo da mesma.
46
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Espectro directivo
Capacitación acorde ás tarefas: Discernir o que pode constituírse como unha ameaza potencial
(linguaxe directiva, en forma de cadro de mando integral, para que sexa entendible sen posuír
coñecementos informáticos).
Aplicación de Controis de Usuario/ Xestión de acceso, para delimitar a información á que pode
acceder cada usuario (antes debe clasificarse e ponderarse a mesma, etc.)
Coñecemento dos posibles perigos aos que se expón a organización, co ánimo de evitalos ou
prevelos, ou na súa falta, minimizalos. Por exemplo, que o feito de observar un consumo de ancho
de banda excesivo, nun posto de traballo non autorizado e nun horario estraño (fóra da xornada
laboral), sexa un indicativo de perigo que o responsable sexa capaz de identificar.
Difusión/ Divulgación: Explicación do porqué das medidas e a súa importancia … Involucrar á
todo o persoal
Espectro Técnico
Seguridade por capas: Gradación das medidas de seguridade (en serie)
Medidas razoables, aplicables e entendibles: Para vencer a resistencia ao cambio.
Para abundar no tema, se desexa comprobar o estado xeral da seguridade da información na súa
empresa, consulte o seguinte enlace: http://laboratorio.infojc.com:81/ , onde poderá facer unha
Autoavaliación, que lle orientará sobre o estado actual da mesma. Así mesmo, tamén dispón doutros
recursos de consulta na ferramenta web citada (clasificados segundo áreas), que lle axudarán a acadar
unha mellora neste campo.
É obvio que queda moito por facer, pero a conxuntura actual indica que é un camiño que non ten volta
atrás, e que nos tempos sumamente competitivos nos que vivimos so queda “renovarse ou morrer”,
porque xa non vale a opción de quedar atrás.
47
www.infojc.com
48
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Anexos 5
www.infojc.com
49
www.infojc.com
5.1 Marco legal
O seguinte apartado, realizado con aportacións recompiladas das principais fontes autorizadas (como
INTECO, OSI, AEPD, Wikipedia, etc.), ten como obxectivo servir de compendio, modelo e de referencia
práctica de cara á xestión eficiente e cumprindo coa lexislación vixente, dos datos “privados” que
manipule calquera organización (considerando privado todo aquel dato que non sexa xa de coñecemento
público).
Aínda que poida parecer que en Internet todo o que se realiza permanece no mundo virtual, na realidade
existen un conxunto de leis que regulan o que se pode e non se pode facer.
Estas leis non son sempre sinxela de coñecer e de cumprir (aínda que a priori responden ó sentido
común), pero pretenden certa equivalencia co mundo real, por exemplo:
Igual que non se pode ler a correspondencia doutra persoa sen o seu consentimento, non se pode
ler o seu correo electrónico.
Igual que non se pode entrar nunha casa allea, non se pode acceder aos sistemas informáticos
dunha empresa.
En España existen varias normas principais ó respecto, destacando as seguintes: a Lei de Propiedade
Intelectual (contra a piratería), a LO 5/2010 (que pena o Hacking), a LOPD (aborda a problemática e
lexislación aplicable aos datos de carácter persoal), a LSSI-CE (servizos e comercio), a Lei de Firma
Electrónica, etc.
Lei de Propiedade Intelectual (LPI): Describe e regula o
conxunto de dereitos que pertencen aos autores e outros
titulares respecto das obras. Establece por exemplo, que
piratear os programas de ordenador (aplicacións e xogos) ou
descargar contidos dixitais con copyright (como música ou
películas), é delito e prevé multas por elo.
Lei Orgánica 5/2010, do 22 de xuño, pola que se modifica la
Lei Orgánica 10/1995, do 23 de novembro, do Código Penal:
Pena as actividades de Hacking ou intrusión en ordenadores
Igual que sucede con
calquera Lei, o
descoñecemento da
mesma non exime
do seu cumprimento
e polo tanto, das
súas sancións
50
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
alleos, coa intención de causar dano o de cometer un delito. Tamén pena o acceso o interceptación de
información persoal como correos electrónicos o tráfico de rede.
Lei Orgánica de Protección de Datos de Carácter Persoal (LOPD): Define que datos son información que
afecte a persoas físicas identificadas ou identificables, e o procedemento a seguir coa súa xestión.
Lei de Servizos da Sociedade da Información e Comercio Electrónico (LSSI-CE): Regula o réxime xurídico
dos servizos da sociedade de información e o comercio electrónico, e todos os aspectos a ter en conta á
hora de realizar transaccións electrónicas.
Lei de Firma Electrónica: Regula todos os aspectos referentes ó réxime xurídico,e todos aqueles requisitos
que son necesarios para que á hora de realizar comunicacións exista identidade e seguridade. De seguido
incídese nas de maior relevancia, explicando a LOPD e a LSSI-CE.
5.1.1 Lei Orgánica de Protección de Datos de Carácter Persoal (LOPD)
Definición
É a lei que ten por obxecto garantir e protexer, no que concirne ó tratamento dos datos persoais, ás
liberdades públicas e aos dereitos fundamentais das persoas físicas (especialmente da súa honra,
intimidade e privacidade persoal e familiar).
Obxectivo
O seu principal obxectivo é regular o tratamento dos datos e ficheiros de carácter persoal (operacións e
procedementos técnicos de carácter persoal que permitan a recollida, gravación, conservación,
modificación, bloqueo e cancelación; así como cesións que se deriven de comunicacións ou consultas),
independentemente do soporte no cal sexan tratados. Afecta aos dereitos dos cidadáns sobre eles, e as
obrigas daqueles que os crean ou tratan.
Desenvolvemento
Defínese por ficheiro de datos persoais a todo conxunto organizado de datos de carácter persoal,
calquera que sexa a súa forma, creación, organización e acceso. Entre as súas novidades máis importantes
destaca o aumento do ámbito de aplicación da lei aos ficheiros e tratamentos non automatizados ou en
soporte papel.
¿A qué está obrigado por crear ditos ficheiros? “Grosso modo”:
Inscribilos no Rexistro Xeral de Protección de datos
Informar e obter consentimento respecto do tratamento
51
www.infojc.com
Adoptar medidas establecidas no Novo Regulamento de Protección de Datos 1720/07
Gardar o segredo dos mesmos (privacidade e confidencialidade)
Informar aos titulares dos datos do exercicio dos dereitos de Acceso, Rectificación, Cancelación e
Oposición (ARCO)
Dereitos e Deberes de la LOPD
Deber de información: Os interesados deberán de ser informados de modo preciso, previo e inequívoco
da seguinte información
Que existe un ficheiro ou proceso de tratamento de datos.
Cal é a finalidade da recollida dos datos: Isto quere dicir que se manifeste con absoluta
sinceridade a finalidade lexítima coa que se recolleron eses datos.
Obrigatoriedade ou voluntariedade das preguntas efectuadas.
Consecuencias da obtención ou da negativa a subministrar a información.
Posibilidade de exercitar os dereitos de acceso, rectificación, cancelación e oposición (ARCO)
Identidade e dirección do responsable do tratamento.
Para o caso de que os datos foran recompilados doutras fontes distintas ó titular dos datos, é necesario
informar de forma expresa, precisa e inequívoca ó titular no prazo de tres meses.
Consentimento: O principio de consentimento vai da man do principio de información; de maneira que o
interesado, cando estea ben informado, está en condicións de emitir consentimento. A LOPD di que o
consentimento debe ser libre, especifico, informado e inequívoco. Así, o consentimento consiste en toda
manifestación de vontade libre, inequívoca, específica, na que o interesado consinta o tratamento dos
datos que lle concirnen.
A LOPD di que o consentimento ten que ser "libre, específico, informado e inequívoco", pero en ningún
momento fala de que teña que ser expreso (Ex.: o que outorgamos a través da nosa rúbrica). Ademais,
existe outra clase de consentimento, o “tácito”: que consiste en que o consentimento entendese
concedido por parte do interesado, sen necesidade de realizar ningún tipo de asentimento. O importante
aquí é que o interesado tivo a oportunidade de opoñerse ó tratamento dos seus datos e non o fixo.
No caso de certos datos protexidos, o principio de consentimento refórzase:
Se se tratan datos protexidos referentes á ideoloxía, relixión, crenzas e afiliación sindical o
consentimento ademais debe ser expreso e escrito.
52
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Ao tratar datos especialmente protexidos de saúde, vida sexual ou orixe racial, o consentimento
debe ser só expreso.
Os Dereitos ARCO: (acceso, rectificación, cancelación,
oposición): unha característica común destes dereitos é que
son gratuítos e persoais (intransferibles), é dicir, soamente os
pode exercer o interesado acreditando a súa identidade.
Ademais exércense directamente ante o responsable (non
ante o encargado) acreditando a propia identidade. A
solicitude destes dereitos deberá conter o nome do interesado
e fotocopia do DNI. Estes dereitos teñen uns prazos moi
breves, o cal os converte nun mecanismo rápido e efectivo.
Pódese facer unha breve definición de cada un deles :
Dereito de Acceso: Consiste no dereito do interesado en coñecer se os seus propios datos están
sendo obxecto de tratamento. O interesado pode optar polos seguintes sistemas: visualización en
pantalla, escrito, copia, fotocopia ou telecopia, correo electrónico ou calquera outro sistema que
sexa adecuado á implantación do ficheiro. O responsable resolverá no prazo de 1 mes a contar do
envío da solicitude.
Dereito de Rectificación e Cancelación: Consiste no dereito a que se modifiquen datos erróneos
ou inexactos. A solicitude deberá ir acompañada de documentación xustificativa. O responsable
debe resolver nun prazo máximo de 10 días a contar dende a recepción.
Dereito de oposición: Consiste en excluír datos persoais de ficheiros e tratamentos. O
responsable resolverá nun prazo máximo de 10 días a contar dende a recepción da solicitude.
Por outra parte calquera persoa poderá coñecer, recompilando a tal fin a información oportuna do
Rexistro Xeral de Protección de Datos, a existencia de tratamentos de carácter persoal, as súas finalidades
e a identidade do responsable do tratamento. A consulta é pública e gratuíta.
Tutela destes dereitos
O responsable do ficheiro está obrigado a garantir o exercicio dos
dereitos de Acceso, Rectificación, Cancelación e Oposición dunha
maneira gratuíta. Se os interesados consideran que as actuacións
dos responsables son contrarias á LOPD, poden reclamar ante a
Axencia de Protección de Datos.
Na LOPD deixase ben claro que estes dereitos son persoais, aínda
que deixase unha vía aberta para que sexan exercitados por medio
de representante legal no caso de minoría de idade ou ben
incapacidade legal.
Outras características que deben cumprir:
So cando o
interesado está
ben informado, é
apto para emitir
consentimento
O responsable do
ficheiro está obrigado
a garantir os dereitos
de acceso,
cancelación e
oposición
53
www.infojc.com
Deber de segredo: O "deber de segredo" obriga ó responsable do ficheiro e quen interveña en
calquera fase de tratamento dos datos a gardar segredo profesional, e tal obriga existe aínda
despois de rematar o vínculo existente.
Período de conservación: Os datos deben de conservarse durante os prazos previstos nas leis
aplicables. No caso de datos relativos a altas, baixas e variacións dos traballadores, documentos
de cotización polo empresario, así como recibos xustificativos do pago de salarios polo
empresario, o prazo de conservación é de 5 anos (RD 84/1996, do 26 de xaneiro). Mantense un
prazo de prescrición para as posibles responsabilidades que poidan xurdir do tratamento previo
dos datos.
Niveis dos datos
A lei establece tres niveis de medidas de seguridade (básico, medio, alto), os cales deberán ser
implantados dependendo dos distintos datos persoais incluídos no ficheiro (saúde, ideoloxía, relixión,
crenzas...).
Tipo de datos
Nivel básico: É calquera conxunto de datos que se refiren a unha persoa identificada ou
identificable: nome, apelidos, teléfono,...
Nivel medio: Refírese a datos relativos á comisión de infraccións administrativas ou penais,
Facenda Pública, servizos financeiros e aos servizos de solvencia e crédito.
Nivel alto: Inclúe datos de ideoloxía, relixión, crenzas, orixe racial, saúde ou vida sexual, así como
os recompilados para fin policiais (sen consentimento das persoas afectadas).
O habitual no caso de PEMEs é ter unha administración de empregados, cuxa nómina pode incluír datos
de carácter persoal de nivel alto: por exemplo o tipo de contrato adscrito (o cal reflicte posibles
discapacidades do propio empregado). Ademais recompílase información para Facenda de posibles
discapacidade de persoas que están a cargo dos empregados, etc.
Se dito ficheiro está en man dun terceiro, non exime da obriga de notificalo á AEPD. Se a xestión do
ficheiro é realizada por este (xestorías...), débese facer constar quen se fai cargo do tratamento dos datos.
Na maioría de PEMEs, os outros ficheiros de datos persoais só teñen datos de nivel básico. Aínda que
tamén deben ser declarados ante a Axencia Española de Protección de Datos, o seu nivel de protección é
máis sinxelo de cumprir.
Medidas de Seguridade
La LOPD establece a obriga de adoptar as medidas de índole técnica e organizativas necesarias que
garantan a seguridade dos datos de carácter persoal e eviten a súa alteración, perda, tratamento ou
54
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
acceso non autorizado. Tratase de garantir a seguridade dos ficheiros, os centros de tratamento, locais,
equipos, sistemas, programas e das persoas que interveñan no tratamento de datos de carácter persoal.
As Medidas de Seguridade veñen reguladas no título VIII do Regulamento de desenvolvemento da LOPD -
Real Decreto 1720/2007, do 21 de decembro (artigos 79 a 114). Este Regulamento de desenvolvemento
da LOPD clasifica as Medidas de Seguridade atendendo a dous criterios:
Segundo os niveis de seguridade: de nivel básico, medio e alto.
Segundo a aplicación das Medidas de Seguridade a ficheiros e tratamentos automatizados ou non
automatizados.
Órgano de control
O órgano de control do cumprimento da normativa de protección de datos dentro do territorio español,
con carácter xeral é a Axencia Española de Protección de Datos (AEPD), existindo outras Axencias de
Protección de Datos de carácter autonómico nas Comunidades Autónomas de Madrid, Cataluña e e no
País Vasco.
Sancións
As sancións teñen unha elevada contía, sendo España o país da Unión Europea que ten as sancións máis
altas en materia de protección de datos (e tamén as máis polémicas- debido á ambigüidade de certos
artigos, que se prestan a interpretacións subxectivas). Ditas sancións dependen da infracción cometida e
divídense en:
Sancións leves, van dende 60,01 a
6.101,21 €
Sancións graves, van dende 6.101,21 a
30.506,05 €
Sancións moi graves, van dende 30.506,05
a 60.012,10 €
Pese ó elevado importe das sancións, existen
moitas empresas en España que aínda non se
axustaron á LOPD, ou o fixeron de forma parcial
(pero non revisan de forma periódica a súa
actualización); polo que resulta esencial o
mantemento e revisión da mesma.
No sector público, a citada Lei regula igualmente o uso e manexo da información e os ficheiros con datos
de carácter persoal empregados por todas as administracións públicas.
55
www.infojc.com
Se desexa maior información sobre o tema, consulte o documento correspondente na sección de
“Documentación”, ou pique no seguinte enlace:
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_SEGURI
DAD_2010.pdf
5.1.2 LISSI- CE
Dita Lei ten por obxecto (de maneira moi resumida), a regulación do réxime xurídico dos servizos da
sociedade da información e da contratación por vía electrónica no referente a:
As obrigas dos prestadores de servizos. incluídos os que actúen como intermediarios na
transmisión de contidos polas redes de telecomunicacións
As comunicacións comerciais por vía electrónica
A información previa e posterior á celebración de contratos electrónicos
As condicións relativas á súa validez e eficacia
O réxime sancionador aplicable aos prestadores de servizos da sociedade da información.
Defínese “servizos da sociedade da información” como: "Todo servizo prestado normalmente a título
oneroso, a distancia, por vía electrónica e a petición individual do destinatario. O concepto de servizo da
sociedade da información comprende tamén aos servizos non remunerados polos seus destinatarios, na
medida na que constitúan unha actividade económica para o prestador de servizos."
Destácanse os seguintes (sempre que representen unha actividade económica):
A contratación de bens ou servizos por vía electrónica.
A organización e xestión de poxas por medios electrónicos ou de mercados e centros comerciais
virtuais.
A xestión de compras na rede por grupos de persoas.
O envío de comunicacións comerciais.
O subministro de información por vía telemática.
O vídeo baixo demanda, como servizo no que o usuario pode seleccionar a través da rede, tanto o
programa desexado como o momento do seu subministro e recepción (en xeral, a distribución de
contidos previa petición individual).
56
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Non terán en cambio a consideración de servizos da sociedade da información, os que non reúnan as
características sinaladas no primeiro parágrafo deste apartado, e en particular os seguintes:
Os servizos prestados por medio de telefonía vocal, Fax ou Télex.
O intercambio de información por medio de correo electrónico ou outro medio de comunicación
electrónica equivalente para fin alleos á actividade económica de quen o emprega.
Os servizos de radiodifusión televisiva (incluídos os servizos de vídeo á carta), contemplados no
artigo 3.a) da Lei 25/1994, do 12 de xullo, pola que se incorpora ó ordenamento xurídico español
a Directiva 89/552/CEE, do Consello, de 3 de Outubro.
Os servizos de radiodifusión sonora, o teletexto televisivo e outros servizos equivalentes, como as
guías electrónicas de programas ofrecidas a través das plataformas televisivas.
Sancións e órgano executor http://www.mityc.es/dgdsi/lssi/Documents/ltriptico.pdf
As sancións serán impostas pola xa mencionada AEPD, e teñen unha elevada contía. Dependerán de
factores como: a infracción cometida, a reincidencia, etc.
Divídense en:
Sancións leves van ata 30.000 €
Sancións graves van dende 30.001 a 150.000 €
Sancións moi graves van dende 150.001 a 600.000 €
Se desexa maior información sobre o tema, consulte o documento correspondente na sección de
“Documentación”, ou no enlace do título.
57
www.infojc.com
5.2 Glosario
Activos de información
Tamén chamada “Información Sensible”. En relación coa seguridade da información, refírese a calquera
información ou sistema relacionado co tratamento da mesma que teña valor para a organización. Poden
ser procesos de negocio, datos, aplicacións, equipos informáticos, persoal, soportes de información,
redes, equipamento auxiliar ou instalacións
Adware
Tipo de software que ofrece publicidade mentres está funcionando. Aínda que se asocia ao malware, non
ten que selo forzosamente, xa que adoita ser un medio lexitimo usado por desenvolvedores de sofware
que o implantan nos seus programas, xeralmente nas versións shareware, facéndoo desaparecer no
momento en que adquirimos a versión completa do programa. Convértese en malware no momento en
que comeza a recopilar información sobre o ordenador onde se atopa instalado
Análise de riscos
Proceso que comprende a identificación de activos informáticos, as vulnerabilidades e ameazas aos que
se atopan expostos así como a súa probabilidade de ocorrencia e impacto das mesmas, co fin de
determinar os controis adecuados para aceptar, diminuír, transferir ou evitar a ocorrencia do risco
Auditoría de seguridade
É o estudo que comprende a análise e xestión de sistemas levado a cabo por profesionais en Tecnoloxías
da información para identificar, enumerar e posteriormente describir as diversas vulnerabilidades que
puidesen presentarse nunha revisión exhaustiva das estacións de traballo, redes de comunicacións,
servidores ou aplicacións
Backdoor
Tamén denominada “porta traseira”, é calquera punto débil dun sistema (ou programa) mediante o cal
unha persoa non autorizada pode acceder a el.
Poden ser motivados por erros ou creados á mantenta polos propios autores, pero ao ser descubertas por
terceiros, poden ser utilizadas con fins ilícitos.
Doutra banda, tamén se consideran portas traseiras aos programas que, unha vez instalados no
ordenador da vítima, dan o control deste de forma remota ao atacante.
Polo tanto aínda que non son especificamente virus, poden chegar a ser un tipo de malware que funciona
como ferramenta de control remoto. Contan cunha codificación propia e usan calquera servizo de
Internet para executarse: correo, mensaxería instantánea, HTTP, FTP, TELNET ou Chat, entre outros.
58
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Backup
Tamén denominado “Copia de seguridade”, é o proceso polo cal se realizan copias adicionais que se
poidan empregar para restaurar o orixinal logo dunha eventual perda de datos (recoméndase
almacenalas nun lugar distinto do habitual, para evitar a posible destrución simultánea co orixinal).
CCTV
Circuíto Pechado de Televisión. É o uso de videocámaras para transmitir o sinal cara un centro de
seguimento de imaxes.
Cifrado
É o resultado de escribir en clave ou en cifra.
Cloud Computing
Tamén coñecida como “Computación na nube”, é a filosofía pola cal as aplicacións e servizos non se
atopan aloxados fisicamente no equipo, senón que o usuario pode acceder aos mesmos a través de
Internet dende calquera lugar. Posibles Contras: a seguridade (alóxanse os contidos en servidores de
terceiros), necesidade de disposición de conexión á rede, etc.
Control de Usuarios
Referente á Xestión de Acceso, enfocada na figura do usuario.
Cracking
Conduta que consiste en acceder a sistemas informáticos de forma non autorizada, do mesmo xeito que
no Hacking, pero neste caso cunha finalidade clara: menoscabar a integridade, dispoñibilidade e acceso á
información no devandito sistema. O desenvolvemento desta actividade implica que se está cometendo
un delito, por estar violándose a intimidade do afectado, a confidencialidade da información, por causar
danos, cambios e/ou destrución de información.
Criptograma
Coñécese como criptograma a aquela mensaxe, documento ou información que se atopa cifrada
mediante calquera sistema e xa que logo resulta inintelixible ata que non é descifrada e convertida de
novo nun texto en plano.
Dispositivo portátil
Adoita facerse referencia con esta denominación aos dispositivos empregados nun ambiente de
mobilidade, como Smartphones, PDAs (o exemplo máis coñecido son as Blackberry, precursor dos
59
www.infojc.com
Smartphones, onde se pode acceder ó E-mail dende o móbil), Tabletas (iPad, Samsung Galaxy Tab), cada
vez máis presentes e que permiten acceder á información dende localizacións externas á organización.
DLP
Tamén coñecido como Data Leak Prevention, son as medidas de seguridade que tratan de evitar que a
información confidencial ou valiosa sexa copiada ou trasladada fora da contorna de seguridade. Ó
centrarse na localización, clasificación e seguimento da información en repouso, en uso e en movemento,
esta solución pode ser moi útil para axudar a unha empresa a ter unha idea da información que ten e para
deter as fugas de información actuais ou previr as futuras.
DMZ
DeMilizarized Zone ou “Área desmilitarizada”, é a área intermedia (como unha terra de ninguén), que
serve de zona de colchón ou corentena para o control das posibles intrusións na organización. Nela
adoitan situarse os servidores de acceso a Internet da organización, pertence á rede da organización pero
atópase illada da mesma para atallar posibles infeccións e previr así o contaxio do resto de compoñentes.
DNS
Domain Name Server ou Servidor de Nomes de Dominio, é un sistema que almacena a información de
nomes de dominio e a súa correspondente dirección IP, sendo capaz de traducir os nomes ou alias de
dominios á súa dirección IP correspondente. Grazas a estes servidores é posible escribir no navegador un
dominio e poder acceder ó sitio que queiramos, cando en realidade, a verdadeira dirección da páxina non
é máis que un número (dirección IP).
Encriptación
Técnica que consiste en cifrar unha mensaxe, coñecido como texto en claro, converténdoo nunha
mensaxe cifrada ou criptograma, que resulta irrecoñecible e ilexible para todo aquel que non coñeza o
sistema mediante o cal foi cifrado, facendo indescifrable o contido da información para quen non coñeza
a forma de descifrar o criptograma.
Enxeñería social
Táctica de distribución de contidos ou aplicacións ilexítimas (troianos, malware, virus, etc.) baseada na
confianza en quen entrega o programa á vítima ou na falta de cautela da mesma. Unha vez convencida e
enganada, é a propia vítima a que insire e executa o contido perxudicial no seu equipo.
Forza bruta
Procedemento de cracking empregado para obter as claves ou códigos necesarios para acceder a un
Equipo, Sistema, Sitio Web, etc., consistente en empregar ben combinacións aleatorias ben listados de
palabras, así como o método de proba e erro, ata alcanzar unha combinación correcta. Para obtelos faise
uso de dicionarios de palabras
60
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Freeware
Programa informático cuxa distribución faise libremente sen custo algún
FTP
File Transfer Protocol ou Protocolo de Transferencia de Arquivos, é un protocolo moi estendido para
transferir ou descargar ficheiros de servidores remotos.
Hardware
Todos os compoñentes físicos do ordenador, incluíndo os seus periféricos. Son, entre outros: a placa base,
os discos duros, as unidades de soportes extraíbles (disquetes, CDs, Blu-ray, etc.).
HTTP
Hypertext Transfer Protocol ou Protocolo de Transferencia de Hipertexto, é o protocolo empregado en
cada transacción da World Wide Web. É un protocolo que segue o esquema petición/resposta entre un
cliente e un servidor. O cliente que efectúa a petición (por exemplo, un navegador web) é o "User agent".
A información transmitida chamada recurso é identificada mediante un localizador uniforme de recursos
(URL).
HTTPS
Hypertext Transfer Protocol Secure ou Protocolo de Transferencia de Hipertexto Seguro, é un protocolo
de rede baseado no protocolo HTTP, destinado á transferencia segura de datos de hipertexto. Dito
noutras palabras, é a versión segura de HTTP.
É empregado principalmente por entidades bancarias, tendas en liña, e calquera tipo de servizo que
requira o envío de datos persoais ou contrasinais.
IDS
Intrussion Detection System ou Sistema de detección de Intrusión, que detecta os posibles intentos de
acceso non autorizados.
Intrusión
Acceso non autorizado á rede interna (LAN) dunha organización
IPS
Intrussion Prevention System ou Sistema de prevención de Intrusión, que detecta as posibilidades de
intrusión e que pode tamén efectuar cambios na seguridade para bloquealos, rastrexalos e localizalos.
61
www.infojc.com
LAN
Local Area Network ou Rede de Área Local, constitúe unha rede informática de pequena amplitude
xeográfica que adoita limitarse a espazos similares a unha oficina, unha vivenda ou un edificio.
Unha Rede de Área Local serve para interconectar distintos equipos e máquinas (ordenadores,
impresoras, servidores, discos duros externos, etc.).
O concepto Rede de Área Local inclúe tanto ás máquinas (Hardware) como os programas necesarios para
interconectalos (Software).
Hoxe en día pódense atopar redes de área local con cables e sen cables, as coñecidas como WLAN. As
primeiras funcionan a través do Protocolo Ethernet, IEE 802.3 e as segundas mediante o Protocolo IEEE
802.11 WiFi.
LSSI
Lei de Servizos á Sociedade da Información, creada coa finalidade de garantir os dereitos dos cidadáns na
Sociedade da Información. Así, entre os seus obxectivos está a eliminación das barreiras que limitan o uso
das Tecnoloxías da Información. Está normativa regula diferentes ámbitos relativos á firma electrónica, ás
telecomunicacións, á protección de datos, aos nomes de dominio, á seguridade en Internet, á propiedade
intelectual, aos servizos de radio dixital por satélite e de televisión dixital, entre outros.
A súa creación introduce novas medidas de impulso da Sociedade da Información co obxecto de fomentar
o uso das tecnoloxías pero, sobre todo, procura facer valer os dereitos dos cidadáns e proporcionar unha
maior seguridade na utilización dos medios de telecomunicación evitando que os dereitos fundamentais
destes poidan ser vulnerados.
LOPD
Lei Orgánica de Protección de Datos, que ten por obxecto garantir e protexer, no que concirne ao
tratamento dos datos persoais, as liberdades públicas e os dereitos fundamentais das persoas físicas e
especialmente do seu honor, intimidade e privacidade persoal e familiar. O seu obxectivo principal é
regular o tratamento dos datos e ficheiros de carácter persoal (independentemente do soporte no cal
sexan tratados) os dereitos dos cidadáns sobre eles e as obrigas daqueles que os crean ou tratan.
Malware
Palabra que nace da unión dos termos software e malintencionado “malicious software”. Dentro desta
definición ten cabida un amplo rango de programas maliciosos: virus, vermes, troianos, backdoors,
spyware, etc.
A nota común a todos estes programas é o seu carácter daniño ou lesivo.
Mensaxería Instantánea
62
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Coñecida tamén en inglés como IM (Instant Messaging) é unha forma de comunicación en tempo real
entre dúas ou máis persoas baseada en texto . O texto é enviado a través de dispositivos conectados a
unha rede (como Internet).
Páxina Web
Documento electrónico que contén información e que se atopa dispoñible en Internet. A información que
se pode atopar nunha páxina web é diversa: imaxes, textos, vídeos, música, etc.
Pen drive
Dispositivo de tamaño reducido, portátil (que se conecta ao equipo só cando se necesita e que logo se
extrae), e que consiste basicamente nun tipo de memoria flash de alta capacidade que é empregada para
almacenar información de xeito rápido e sinxelo. Actualmente é un dos principais medios para o roubo de
información.
Plan de Continuidade de Negocio
Tamén chamado “Plan de recuperación ante desastres”.
Plan de continxencia
É un instrumento de xestión que contén as medidas técnicas, humanas e organizativas necesarias para
garantir a continuidade do negocio e as operacións dunha compañía ante unha incidencia. Es un caso
particular de plan de continuidade do negocio aplicado ao departamento de informática ou tecnoloxías, e
segue o modelo PDCA (Ciclo de Deming: Plan/DO/Check/Act).
Plan de recuperación ante desastres
“Grosso modo”, metodoloxía práctica “global” sobre como unha organización debe recuperar e restaurar
as súas funcións críticas parcial ou totalmente interrompidas dentro dun tempo predeterminado logo
dunha interrupción ou desastre.
Política de Acceso
Metodoloxía de acceso seguida por una organización para garantir a seguridade dos procesos.
Proxy
Programa encargado de centralizar o tráfico entre Internet e unha rede privada, de maneira que se evite
que cada unha das máquinas da rede privada teña que dispoñer necesariamente dunha conexión directa
á Rede. Ó mesmo tempo, contén mecanismos de seguridade (firewall ou barreira) que impiden accesos
non autorizados dende o exterior cara á rede privada.
63
www.infojc.com
QWERTY
É a distribución (ou ordenamento) máis común dos carácteres no teclado. Foi deseñado e patentado por
Christopher Sholes en 1868 e vendido a Remington en 1873 . O seu nome provén das primeiras seis letras
da fila superior de teclas.
Redes sociais
Estruturas sociais compostas por grupos de persoas, las cales están conectadas por un ou varios tipos de
relacións, tales como amizade, parentesco, intereses comúns ou que comparten coñecementos.
Seguridade da Información
Todas aquelas medidas preventivas e reactivas das persoas, das organizacións e dos sistema tecnolóxicos
que permitan resgardar e protexer a información, procurando manter a confidencialidade, a
autenticidade e a integridade da mesma (así como o non repudio/proba de quén e cando a recibe/envía).
Seguridade física
É a que se refire ás barreiras físicas e mecanismos de control na contorna dun sistema informático, para
protexer ó hardware de ameazas. Os mecanismos de seguridade física deben resgardar de ameazas
producidas tanto polo home como pola natureza. Basicamente, as ameazas físicas que poden poñer en
risco un sistema informático son:
Desastres naturais, incendios accidentais, humidade e inundacións.
Ameazas ocasionadas involuntariamente por persoas.
Accións hostís deliberadas como roubo, fraude ou sabotaxe.
Son exemplos de mecanismos ou accións de seguridade física:
Pechar con chave o centro de datos.
Ter extintores ante eventuais incendios.
Instalación de cámaras de seguridade.
Garda humana presencial.
Control permanente do sistema eléctrico, de ventilación, etc.
Inhabilitación de portos USB (que eliminan a posibilidade de extraer información a través dos
mesmos)
64
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Seguridade lóxica
Conxunto de medidas de seguridade e ferramentas informáticas de control de acceso aos sistemas
informáticos. Fai referencia á aplicación de mecanismos e barreiras para manter o resgardo e a
integridade da información dentro dun sistema informático. A seguridade lóxica compleméntase coa
seguridade física. A seguridade lóxica dun sistema informático inclúe:
Restrinxir o acceso a programas e arquivos mediante claves ou cifrado.
Limitar adecuadamente as capacidades de cada usuario do sistema informático. É dicir,
entregarlle a cada usuario so os privilexios que require para o desempeño da súa función.
Asegurarse que os arquivos e programas que se empregan son os correctos e se empregan
correctamente. Por exemplo, o mal uso dunha aplicación pode ocasionar buratos na seguridade
dun sistema informático.
Control dos fluxos de entrada/saída da información. Isto inclúe que unha determinada
información chegue soamente ó destino que se espera que chegue e que a información chegue
tal cal se emitiu.
Seguridade perimetral
O perímetro dunha empresa é a barreira ou protección que existe entre a rede interna da mesma (LAN) e
a do exterior (WAN) e que, debido ó incremento e diversificación de vías de comunicación, faise cada vez
máis extenso e difuso (o que aumenta a súa exposición a perigos). A Seguridade Perimetral é a que se
encarga da defensa deste perímetro.
Servidor de Backup
Servidor que se encarga de realizar de xeito automático e periódico (segundo a súa configuración) as
copias de seguridade dunha organización (coa instalación dun software que realice dita solución),
podendo ademais verificalas e incrementalas (copiar a parte da información que é nova con respecto a
anterior copia de seguridade existente da mesma, para evitar copias innecesarias).
Servidor de Comunicacións
Servidor que se encarga de xestionar a seguridade dos principais medios de comunicación dunha
organización, como poden ser o correo electrónico, DNS, etc., mediante a implantación de devasas,
routers, DMZ, etc.
Servidor de Datos
Servidor especificamente configurado para centralizar os datos dunha organización e de todas as
estacións de traballo en rede.
65
www.infojc.com
Shareware
Programa informático cuxa distribución previa faise a modo de proba sen custo algún. Examinado o
software durante un período de avaliación (polo xeral, de un a dous meses) será requirido ó usuario o
pago do programa para poder seguir empregándoo.
Smartphone
Teléfono intelixente (en Galego) é un termo comercial para denominar a un teléfono móbil que ofrece
máis funcións do común. Case todos soportan un cliente de correo electrónico coa funcionalidade
completa dun organizador persoal, permiten a instalación de programas para incrementar o
procesamento de datos e a conectividade, etc. Estas aplicacións poden ser desenvolvidas polo fabricante
do dispositivo, polo operador ou por un terceiro.
Software
Considérase software a todas aquelas partes intanxibles que forman un sistema informático. Trátase dos
programas, aplicacións e sistemas operativos que fan posible o uso do equipo. Cada programa ou
aplicación de software pode definirse como a serie de instrucións dirixidas ó ordenador para que execute
diversas accións.
SPAM
Denomínase así a todo correo non desexado (ou “basura”) recibido polo destinatario, procedente dun
envío automatizado e masivo por parte do emisor. O spam asóciase xeralmente ó correo electrónico
persoal, pero non só afecta aos correos electrónicos persoais, senón tamén a Foros, Blogs e Grupos de
novas.
SSL
Secure Socket Layer, protocolo seguro que proporciona comunicacións seguras a través de Internet. O seu
uso proporciona seguridade sobre a autenticación e privacidade da información entre extremos
(emisor/receptor), mediante o uso de criptografía
SXSI
Sistema de Xestión de Seguridade da Información, mediante o cal unha organización coñece os riscos aos
que está sometida a súa información e os xestiona mediante unha sistemática definida, documentada e
coñecida por todos, que se revisa e mellora constantemente (adoita tomarse como referencia a norma
ISO 27001)
TCP/IP
Transfer Control Protocol / Internet Protocol ou Protocolo de control de transmisión/Protocolo de
Internet, é o nome que recibe o conxunto de protocolos sobre os cales funciona Internet. Permite a
66
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
comunicación entre os millóns de equipos informáticos conectados á devandita rede. O protocolo IP é o
encargado de transferir os paquetes de datos ata o seu destino adecuado e o protocolo TCP ocúpase de
garantir que a transferencia se leve a cabo de maneira correcta e fiable.
Telnet
Protocolo de comunicacións destinado á conexión de terminais remotos. Só permite o acceso en formato
terminal e foi unha ferramenta amplamente empregada para arranxar fallos a distancia ou para acceder a
calquera tipo de servizo a distancia. Actualmente atópase practicamente en desuso.
Troiano
Este tipo de “malware” carente da capacidade de autoduplicación require do uso da enxeñería social para
o seu correcto funcionamento. Xa sexa pola, a vítima instala un 'software' aparentemente inocuo no seu
ordenador. Ao executarse o software non se evidencian sinais dun mal funcionamento; con todo, mentres
o usuario realiza tarefas habituais no seu ordenador, o programa abre diversos portos de comunicacións
do equipo da vítima que permiten o control absoluto de forma remota.
USB
O Universal Serial Bus (bus universal en serie) ou tamén coñecido como Condutor Universal en Serie
(CUS), abreviado xeralmente USB, é un porto que serve para conectar periféricos a un equipo. Foi creado
en 1996 por sete empresas (que actualmente forman o consello directivo): IBM, Intel, Northern Telecom,
Compaq, Microsoft, Digital Equipement Corporation e NEC.
Virtualización
Consiste en dividir os recursos totais dunha máquina para crear outra a partir dos mesmos (sempre sobre
o mesmo hardware), podendo empregar tanto a máquina principal coma as virtuais simultaneamente (en
función da capacidade dispoñible da máquina principal). Vantaxes:
Optimización de capacidades: ao poder operarse á vez obtense unha maior eficiencia enerxética
e incremento da produtividade.
Maior seguridade: poden eliminarse sen risco de contaxio ó resto do dispositivo, sendo fácil a
reinstalación e/ou recuperación.
VPN
Virtual Private Network ou Rede privada virtual, que permite a comunicación segura e confidencial entre
distintas sedes ou puntos dunha organización (non deixa de ser un modo de protexer o medio/canle de
transmisión da mensaxe)
67
www.infojc.com
WAN
Wide Area Network ou Redes de Área Ampla, son redes amplas que cobren grandes distancias, coma
países ou ata continentes. Algunhas delas pertencen a empresas ou entidades que as crean para o seu uso
particular ou restrinxido, mentres que outras son en principio de libre acceso, como sería o caso da propia
Internet.
WiFi
Abreviatura de “Wireless Fidelity”. É o nome “comercial” con que se coñece ó estándar 802.11 de
transmisión sen cables.
WLAN
Wireless Local Area Network ou Rede de Área Local sen fíos, constitúe un sistema de comunicación de
datos que emprega tecnoloxía de radiofrecuencia e permite aos usuarios comunicarse cunha rede local
(LAN) ou Internet sen estar fisicamente conectado. Co paso do tempo abranguen maior importancia no
mercado dos fogares e tamén nos espazos de traballo, dado que son moito máis flexibles e cómodas que
as súas análogas con fíos.
WWW
Ou World Wide Web, é un sistema de distribución de información baseado en hipertexto ou hipermedios
enlazados e accesibles a través de Internet . Cun navegador web, un usuario visualiza sitios web
compostos de páxinas web e navega a través delas empregando hiperenlaces.
Xestión de Acceso
Dentro dunha política global de seguridade por capas (estratificar a información segundo niveis), imponse
regular o acceso á mesma segundo necesidade (só á parte que sexa precisa para o desempeño diario),
quedando ademais constancia de devandito acceso (trazabilidade) para futuras comprobacións que fosen
necesarias.
68
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
5.3 Formación
Curso Fundamentos da Seguridade da Información
Este curso consta de seis módulos, cada un dos cales se corresponde cunha fase do plan de continuidade
de negocio. Non ten unha duración determinada, xa que está pensado para que cada usuario adapte o
contido a seu plan de aprendizaxe.
Supón un primeiro achegamento os alicerces da seguridade da información, e polo tanto, é un primeiro
paso nun mundo no que, conforme pasan os anos e o incrementarse a tecnoloxía, estase a volver
sumamente importante o coidado da información para as organizacións, a sociedade e as persoas.
O obxectivo principal do curso e facilitar a comprensión dos fundamentos da seguridade da información
en sistemas informáticos. Para iso se deseñou unha metodoloxía dinámica a modo de desafío, que invita
ao alumno a asumir o protagonismo do seu propio aprendizaxe, a través do desenvolvemento dun
proxecto para deseñar un plan integral de seguridade da información.
Todos os sistemas destinados a garantir a seguridade da información, non importa o sofisticados que
sexan os seus mecanismos, están permanentemente expostos a sufrir un erro ou unha alteración
maliciosa intencionada. Como estes eventos é case imposible evitalos por completo, de maneira queo
encargado da seguridade (ou calquera que teña baixo a súa responsabilidade información sensible), debe
seguir estratexias de continxencia para enfrontar os imprevistos:
Estratexias de prevención para minimizar a posibilidade de que se produza algún fallo.
Estratexias de detección oportuna cando o erro acontece.
Estratexias de corrección para asegurar o máis rápido regreso á normalidade dos sistemas.
Estas estratexias deben estar contempladas nun plan integral de seguridade da información, que implique
a todo os axentes que están en contacto coa información. Compre ter en conta ademais, que a maioría
dos imprevistos soen acontecer coma consecuencia dunha neglixencia dos usuarios menos preparados,
polo que a formación permanente debe formar parte das estratexias para minimizar estes riscos.
Contidos do curso
Plan integral de seguridade da información: É o documento que detalla todo o proceso de detección de
riscos e implantación de accións para previr e minimizar os efectos dunha serie de continxencias
probables na información sensible da empresa, co obxectivo último de garantir a continuidade do
negocio. Consta dunha serie de fases ou etapas de desenvolvemento:
Fases do plan:
Deseño e Política de seguridade.
69
www.infojc.com
Recoller información e análises de riscos.
Medidas preventivas.
Plan de recuperación.
Implantación do plan.
Mantemento do plan.
Presentación
Este curso xurde cunha vocación práctica e dinamizadora, e ten como punto de partida o proxecto de
elaboración dun plan integral de seguridade da información para a súa empresa. O curso é unha guía de
cómo deseñar un plan de seguridade, e axustalo as características do seu negocio.
Ao longo dos diferentes pasos do proceso irá aprendendo os conceptos fundamentais da seguridade da
información dende un enfoque xeral e práctico, aplicándoos sobre o modelo das súas necesidades.
Compre ter claro que o obxectivo deste curso non é convertelo nun técnico experto, senón facilitarlle a
comprensión de tódolos elementos que configuran a seguridade dos datos na súa empresa. Finalmente,
pode precisar de soporte técnico para implantar un plan de seguridade, pero a nivel usuario, será capaz
de entender as implicacións de cada decisión que tome ao respecto.
Plan Integral de Seguridade
Un plan integral de seguridade da información (PIS) representa unha visión real do grao de seguridade das
empresas e establece medidas correctivas a curto, medio e longo prazo segundo o ámbito da empresa.
O PIS afronta problemas técnicos, normativos, e organizativos, co fin de acadar e asegurar os obxectivos
corporativos. Así, trátanse aspectos tales como: a seguridade organizativa, a xestión dos incidentes ou o
cumprimento da lei de datos.
Seguridade organizativa:
Política de seguridade
Aspectos da seguridade organizativa
Control e clasificación dos activos
Xestión dos incidentes na seguridade da información:
Seguridade dos recursos humanos
70
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Xestión da continuidade empresarial
Seguridade lóxica
Control de acceso
Adquisición de sistemas, desenvolvemento e mantemento:
Comunicacións e xestión de operacións
Seguridade física
Seguridade física e ambiental
Seguridade legal
Cumprimento da lei
Beneficios e vantaxes
Os beneficios dun plan integral de seguridade da información so:
Acadar un maior coñecemento da nosa empresa
Minimizar o custe económico dun erro na xestión da información.
Garantir a viabilidade da organización (a continuidade do negocio)
Contra isto, como é obvio, hai que contrapoñer o:
Custo propio do plan: aínda que, o longo do proceso, os beneficios van aflorando, e compensan
de sobra a inversión realizada
Identificar os requisitos organizativos necesarios para a seguridade dos sistemas de información:
esixe un esforzo previo importante, pero grazas a el comprendemos mellor moitos dos
mecanismos internos de xestión, e finalmente acadamos non so unha visión real da seguridade
(as medidas e debilidades existentes), senón que tamén melloramos na nosa comprensión do
negocio.
71
www.infojc.com
5.4 Recursos web
De seguido, unha pequena escolma de recursos web para visitar e ampliar a información: son só unha
ínfima parte de todo o que hai na rede (este último medio representa unha opción asequible e
actualizada para quen desexe mellorar os seus coñecementos sobre dita materia)
INTECO http://www.youtube.com/user/intecocert
INTECO ten encomendadas a través do Plan Avanza as misións de sentar as bases de coordinación de
distintas iniciativas públicas ao redor da seguridade informática, impulsar a investigación aplicada e a
formación especializada no ámbito da seguridade no uso das TIC, e converterse no Centro de Referencia
en Seguridade Informática a nivel nacional. Un dos mellores recursos na rede para aprender sobre
seguridade da información.
INTYPEDIA http://www.intypedia.com/
Serie de recursos multimedia, que de xeito ameno e intuitivo exemplifican e resolven casos típicos.
FERRAMENTAS DE SEGURIDADE http://technet.microsoft.com/es-es/security/cc297183
Avalíe as vulnerabilidades e fortalezas da súa seguridade con estas ferramentas e tecnoloxías de
Microsoft : mellore o proceso de administración de seguridade mediante MBSA, ou obteña axuda para
avaliar as debilidades presentes na contorna de seguridade de TI da súa organización... Obterá unha lista
priorizada de problemas, e orientación específica para axudar a minimizar os riscos de seguridade.
PLAN DE CONTINXENCIAS http://www.inei.gob.pe/web/metodologias/attach/lib611/0300.HTM
O Instituto Nacional de Estatística e Informática (INEI), considera que a información é o patrimonio
principal de toda Institución, polo que se deben aplicar medidas de seguridade para protexela e estar
preparados para afrontar continxencias e desastres de diversos tipos. Páxina con un completo exemplo de
cómo deseñar e implantar un plan de continxencias e seguridade da información.
SEGU-INFO http://www.segu-info.com.ar/
Segu-Info é unha páxina web temática que brinda información libre e gratuíta sobre a Seguridade da
Información.
KIOSKEA http://es.kioskea.net/faq/4996-como-proteger-la-informacion-de-su-empresa
A perda da información almacenada nun computador pode ter graves consecuencias para a empresa.
Breve, pero clara e concreta explicación de cómo protexer a información nunha pequena empresa.
2
72
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Bibliografía 6
73
www.infojc.com
Bibliografía
Observatorio para a Sociedade da Información e a Modernización de Galicia (OSIMGA)
Estado_Sociedade _Información _de Galicia_novembro, marzo 2010.
Sistema_Indicadores_Sociedade_información_Galicia, noviembre 2010.
Secretaría Xeral de Innovación e Modernización Tecnolóxica
Plan Banda Larga Galicia 2010- 2014
Informe Ejecutivo Estado Banda Larga Galicia, 2009
Comisión para o mercado das Telecomunicacións (CMT), Informe sobre estado Banda Larga en
España 2010
Statistical Office of the European Communities (EUROSTAT)
Iniciativas de Modernización e Innovación Tecnológica (iMiT)
Instituto Nacional de Estatística (INE), Informe TICs España 2010
Fundación para o desenvolvemento das telecomunicacións (FUNDETEC), Sociedade da Información
en España (SIE) 2010
Instituto Nacional das Tecnoloxías de la Comunicación (INTECO)
Estudio sobre o estado da pyme española ante os riscos e a implantación dos plans de
continuidade de negocio, 2010
Estudio sobre a seguridade e a e-confianza nas pequenas e microempresas españolas, 2009
Guía práctica para Pymes, Cómo implantar un plan de continuidade de negocio, 2010
Observatorio Nacional de las Telecomunicacións e a Sociedade da Información (ONTSI), Indicadores
Sociedade da Información en España 2010.
Ministerio de Tecnoloxía e Comunicacións de España (MITYC), Informe TICs pymes 2010.
Axencia Europea de Seguridade de las Redes y de la Información (ENISA)
74
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
Panda Security, 2º Barómetro Internacional sobre Seguridade en Pymes 2010
Symantec Labs, Informe sobre estado del Plan de Continuidade de Pymes 2010.
GMV, ENISA, Risk Management Pelot for SMEs and Micro Enterprises in Spain (05-01-2009)
Verizon, Informe sobre investigacións de fallas na seguridade dos datos 2010
Cisco, “Fuga de datos a nivel mundial: El elevado costo de las ameazas internas” 2008
Observatorio Nacional para las Tecnoloxías e a Sociedade da Información (ONTSI), Indicadores de
Seguimento da Sociedade da Información (SIE) 2010
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n
http://www.monografias.com/trabajos61/seguridad-informacion-auditoria-sistemas/seguridad-
informacion-auditoria-sistemas.shtml):
http://www.segu-info.com.ar/logica/seguridadlogica.htm
75
www.infojc.com
76
Guía de boas prácticas: “A seguridade da información nas pemes galegas”
www.infojc.com