You are on page 1of 9

NECESIDADES DE SEGURIDAD EN LOS SISTEMAS DE INFORMACION

Necesidades de seguridad en el entorno del hogar. Desde que comencé en la informática hace mas de 30 años he pensado que para que el trabajo de un programador sea rentable, se le debe dotar de recursos que vayan evolucionando acorde con la que experimentan las máquinas en que esos programas serán ejecutados !a mayor"a de nosotros, los desarrolladores, estamos programando tal y como se hac"a a mediados de los años #0, época en que yo comencé a entablar relaci$n con los ordenadores %or desgracia existen pocas y caras herramientas de desarrollo que hayan ido evolucionando de una forma acorde al abaratamiento de costes y aumento de potencia de los ordenadores Donde más se nota esta carencia de medios y de facilidades es en la seguridad informática !os primeros sistemas operativos de %c&s, el '%()*+ y el D,- se pensaron para que en el caso hipotético de que dos ordenadores se conectaran, pudieran acceder a todos sus recursos, o sea, todo abierto porque es bueno para las organi.aciones /n aquel tiempo lo que preocupaba a los informáticos era que otro informático nos copiara el desarrollo, no que un hac0er 1que no exist"an2 robara la informaci$n contenida en nuestros ficheros 'uando se conectaron los primeros %c&s entre s" las necesidades de seguridad fueron cambiando hasta que con la aparici$n de 3nternet y su populari.aci$n se hicieron absolutamente obligatorias 'omo siempre hemos hecho los seres humanos, una cosa buena como es 3nternet la hemos utili.ado para amargar a nuestros semejantes, no cambiaremos nunca Debido a esto, nos vemos en la absoluta e imperiosa necesidad de dotar de barreras de seguridad a nuestros desarrollos 4lgunos sistemas operativos ayudan en la implantaci$n de las medidas de seguridad, otros son abiertos para facilitar la ejecuci$n de trabajos, otros poseen seguridad de puertas afuera, y otros simplemente no la poseen !as medidas de seguridad son siempre barreras que vamos situando entre la informaci$n contenida en nuestros sistemas de informaci$n y el exterior, filtramos los accesos que desde fuera se intentan y si no son buenos los recha.amos 5o está mal, sobre todo para las máquinas que, como los %'&s, son utili.ados en muchos hogares como lo que son, ordenadores personales De este modo,

utloo0 se env"a donde se quiera /l mayor problema para los empresarios es que esto lo puede hacer cualquier empleado descontento con la empresa 5o hay muchas herramientas que sean capaces de impedir que esto se pueda producir en el futuro.controlamos que nadie que no esté autori. en cuesti$n de segundos /l mayor daño que se le puede hacer a un compañ"a comercial es que las otras compañ"as de su competencia. /n el entorno de trabajo empresarial. etc !a aparici$n de 3nternet hi. y además. la base de datos entera y con dos clic0s al icono del . de enviar sus estad"sticas trimestrales de ventas a la otra parte del mundo.<=4D. impresoras. pero todo esto que para un %c situado en un hogar puede ser suficiente. copias. y si sucede. pero todos siguen teniendo acceso a la mayor"a de los dispositivos. unidades de discos.ado por nosotros acceda a nuestros datos. pero si es muy fácil de impedir que suceda en el presente. en que condiciones y a que precios. sepan a quién. se empaqueta el fichero o7 mejor a8n. en entornos de trabajo empresariales puede no ser suficiente Necesidades en el entorno empresarial. por lo menos hasta 9::.ados acceder a datos confidenciales de la empresa 6nos empleados pueden acceder a informes que la empresa considera confidenciales y otros no. %or lo que atañe a /spaña. ordenadores. surgen nuevas necesidades de protecci$n de los sistemas de informaci$n por motivos mas variados que en el entorno del hogar !as propias necesidades de protecci$n de los datos que contienen los ordenadores obligan desde que aparecen los primeros ordenadores multipuesto a diseñar unos sistemas de seguridad que impidan a usuarios no autori. terminales. pero por falta de . no exist"a ninguna norma ni ley que protegiera o regulara los datos contenidos en los ordenadores ni las responsabilidades que tiene cada una de las personas que como usuarios u operadores forman parte del flujo de datos de los -istemas de 3nformaci$n.o evolucionar algunas de estas consideraciones pero7 pocos responsables de sistemas de informaci$n estaban preparados para impedir que su personal con cuatro clics fuera capa. y después de ese año tampoco /n aquél año entr$ en vigor la !. por lo menos saber quién lo ha hecho para exigirle las oportunas responsabilidades Necesidades legales de seguridad. está vendiendo /s la muerte segura para esa compañ"a que no ha cuidado como debiera su seguridad informática 'omo vosotros sabéis esto es facil"simo de hacer en estos momentos.

'on la aparici$n de la !ey . pues se puede estandari. quien los utilice en un ordenador deberá decirle al dueño. no serv"a absolutamente para nada 4lgunas empresas cumplimentaron los formularios declarando los fichero que pose"an.%D.o hasta Diciembre de 9::: en que apareci$ la !./ de ese mismo d"a la !.aci$n del dueño para que esto no pueda considerarse robo o utili. con su < D ::>):: que conten"a las normas que deb"an cumplir los ficheros con datos de carácter personal <ealmente se public$ primero el < D ::>):: que conten"a las normas para la !.un desarrollo de las normas que deb"an cumplir los sistemas de informaci$n para que se consideraran seguros. nos viene bien a los desarrolladores. cuya direcci$n es httpC))BBB agpd es 4demás de la 4/%D existen 4gencias de %rotecci$n de datos 4uton$micas que a su ve.<=4D. REGLAMENTO DE MED DA! DE !EG"R DAD DE # $%ERO! A"TOMAT &ADO! '"E $ONTENGAN DATO! DE $AR($TER )ER!ONAL. para que los quiere.ado a utili. que va a hacer con ellos y sobre todo y muy importante.D.arlos !a normativa legal se puede consultar a través de 3nternet en la página Beb de la 4gencia /spañola de %rotecci$n de Datos. nos proporciona una plataforma de trabajo de seguridad que debemos implantar en .<=4D y asume las normas publicadas en el < D ::>):: como de aplicaci$n de la !. mientras que la 4gencia /spañola de %rotecci$n de Datos lo hace de las entidades privadas y p8blicas de nivel estatal /sta ley.ar. disponen de páginas Beb con informaci$n de interés !as 4%D&s auton$micas se dedican al control y vigilancia de la seguridad de protecci$n de datos de los organismos p8blicos en sus ámbitos territoriales auton$micos. el 9> de diciembre del mismo año se public$ en el @.%D R. para que lo ten"an y lo comunicaron al organismo competente en aquél momento !es contestaron que ya estaban registrados y nada más se hi. su funcionamiento será automático y a la ve.aci$n indebida !o mismo sucede con los datos. que deroga la !. aunque pueda parecer que nos va a dar más trabajo.%D. avan. la ley era de una inefectividad descomunal.amos mucho en cuanto a consideraci$n de los datos !a !ey establece que los datos son de las personas a quién se refieren y no de quién los graba en un ordenador 4 partir de aqu" se edifica todo un entramado que asigna a cada cual la cuota de responsabilidad que le corresponde -i alguien hace uso de un bien que no es suyo deberá contar como m"nimo con la autori.994/99. demostrar que el dueño de los datos le ha autori.rgánica 9A):: de %rotecci$n de Datos de 'arácter %ersonal. concretamente el 99 de ?unio de 9 ::: y posteriormente. persona f"sica o afectado por los datos.

o pensando en los -istemas . por ejemplo /s una exigencia de la !. GnimiedadesH hasta ahora como el pa"s donde se sit8a el servidor de la base de datos toman much"sima relevancia.nuestros desarrollos produciendo unos efectos beneficiosos en nuestros sistemas de informaci$n colaterales 4lgunos requerimientos del < D ::>):: son de perogrullo y por lo tanto ya hace tiempo que los hemos implantado.rgánica de %rotecci$n de Datos la inmensa totalidad de los programas que corren en ordenadores personales se convirtieron en ilegales bajo dicha !ey y por lo que he visto en el transcurso de mi actual trabajo. lo hi. que es donde se sit8an los datos. hay mucho por hacer porque las aplicaciones no se desarrollan teniendo en cuenta estos preceptos legales que son de obligado cumplimiento @ajo esta !ey.%D. más los rápidos desarrollos en hardBare han superado las expectativas y nuestros queridos . por ejemplo. por lo que cualquier restricci$n o control que se quiera imponer a su uso deberá formar parte de los programas que explotan las bases de datos.ar tanto en el hogar como en gran cantidad de entornos empresariales -iendo que FindoBs no lo hace.%D no lo hi. si no lo hacemos estamos cometiendo una ilegalidad. el control no llega al nivel de registro y campo.perativos FindoBs. no se nos puede negar nadie a que implantemos el control. alguien lo va a tener que hacer y de momento nos ha tocado hacerlo a nosotros. como la identificaci$n del usuario. 4ccess en nuestro caso 'on la aparici$n de la !ey . nosotros y el <esponsable del Dichero. mientras que otros son más espec"ficos y debemos ajustarlos a nuestras instalaciones 48n as" nos van a venir bien a la hora de controlar las instalaciones y la ejecuci$n de las mismas 4provechando la !ey. . la empresa que paga el desarrollo Euién concibi$ la !.o considerando que tan s$lo dispondr"an de datos de carácter personal grandes empresas con potentes ordenadores y sistemas operativos evolucionados y con determinadas caracter"sticas de seguridad 6na ve.rdenadores %ersonales se han convertido en ordenadores bivalentes que se pueden utili. se nota a la legua. los desarrolladores %or lo que yo he visto y se de los sistemas operativos para los ordenadores personales. auditorias de sistemas de informaci$n. controlando el n8mero de serie del disco duro. nos debemos asegurar que las @ases de Datos están corriendo s$lo en los ordenadores para los que hayamos vendido o generado la oportuna licencia.

impidiendo en algunos casos la contrataci$n de este servicio fuera de nuestras fronteras pues hay que pedir autori. las medidas de seguridad son simples barreras que colocamos en determinados lugares para impedir el acceso 'uantas mas barreras dispongamos.%D en numerosas empresas en la geograf"a nacional y como ayuda a aquellos que están trabajando con bases de datos que contienen datos de carácter personal para que procedan a su regulari.aci$n a la 4/%D y si el pa"s de ubicaci$n del servidor es. dadas las cuantiosas sanciones que figuran en el texto de la !ey /ste trabajo es fruto de mi experiencia como GimplantadorH de la !. por poner un ejemplo los /stados 6nidos de 4mérica.tra Gtonter"aH como la reali. trasladarle la responsabilidad de su acci$n. considero que la seguridad de los datos de nuestros programas es un tema suficientemente importante como para no dejarlo de lado en las instalaciones %ara conseguir esto es de todo punto necesario seguir unas pautas de diseño de la base de datos que. harán que nuestras aplicaciones sean seguras desde su concepci$n y generaremos valor añadido a nuestros desarrollos 5adie puede asegurar que un sistema de informaci$n es totalmente seguro. pero lo hará. como entran los ladrones en cualquier casa por muchas medidas de seguridad que existan 4l fin y al cabo.ada o simplemente visuali. es escandaloso que no se determinen normas de criptograf"a para las copias de los ficheros con datos de carácter personal 6na sustracci$n del soporte f"sico de la copia podr"a ser restaurada. nuestra responsabilidad quedará a salvo y en caso de necesitarlo podremos siempre decir quien fue. por ejemplo. la instalaci$n es ilegal y cualquier denuncia de un afectado por los datos de carácter personal ante la 4gencia de %rotecci$n de Datos podr"a ocasionar graves perjuicios econ$micos al <esponsable del Dichero.aci$n peri$dica de las copias de seguridad y el registro de las incidencias de seguridad en el acceso a los datos hacen legal o ilegal la instalaci$n informática. utili. es decir. no lo autori. con el siguiente problema para el dueño del -istema de 3nformaci$n -i al auditar las medidas de seguridad 1para los niveles (edio y 4lto2 aplicables al sistema de informaci$n.ar es que con el cumplimiento exacto y puntual de la !. objetivo final de cualquier !ey /l texto de la propia ley tiene fallos notables. más dif"cil será el acceso. aplicándolas debidamente y de forma automática. se deniega la auditoria por parte del auditor. costará mas o menos. si alguien se empeña en acceder a los datos lo hará.aci$n 4demás.ada en cualquier ordenador con el mismo sistema operativo y con la misma herramienta que fue creada la @ase .%D. pero no hay que olvidar que quién se empeñe. al final lo conseguirá !o 8nico que podemos garanti.an por no disponer a nivel estatal de una normativa equivalente a la española .

perativo no hace lo que necesitamos. ni referirme a más art"culos que los que nos atañen directamente como desarrolladores informáticos 5o soy abogado y por lo tanto no puedo explicar la ley como lo har"a un profesional del Derecho. mucho mas por lo menos.%D en los entornos empresariales. pero s" diré en que formulario debemos colocar el control que imprime el informe para su cumplimiento más un modelo de dicha autori. que es a lo que me voy a referir en todo momento %ara que nos entendamos. pero si se informática y de medidas de seguridad. de lo que son ahora y que al final contribuirán a que los desarrolladores dispongamos de seguridad extra contra los que intenten aprovecharse de nuestro trabajo. pues son standard y en un porcentaje alto de instalaciones nadie se preocupa nunca de cambiarlas y)o anular a los usuarios que por defecto crea FindoBs. cada uno deberá interpretarlos y ajustarlos a su organi. se puede restaurar la copia de las bases de datos en otros equipos cuyo 8nico requerimiento de seguridad es que disponga instalada de la misma versi$n de 4ccess con la que desarrollamos la @ase de Datos -i el -istema . debemos asegurarnos que aquello que si podemos controlar esté bien hecho -e deben desarrollar unas pautas de comportamiento a la hora de definir las bases de datos y los programas que las van a gestionar que pueden hacer que los sistemas sean seguros. por ejemplo. por la gran extensi$n que ocupar"a el presente trabajo. no voy a explicar aqu" que es la 4utori.a a favor de 4''/-demostrando a sus detractores que con un poco de ingenio podemos . controlando que la máquina en la que corren los programas es para la que se adquirieron y no otra /n la mayor"a de nuestras instalaciones. lo tendremos que hacer nosotros mismos 4l final esto no es tan complicado y si logramos entre todos sentar estas bases. el sistema seguro que con las adecuadas rutinas funcionará de forma automática y aportará valor añadido a nuestras instalaciones Ie de avisar que no voy a interpretar ni a explicar la !ey. en la aplicaci$n administrativa de la !.aci$n como entienda que debe hacerlo %or otro lado quiero romper una lan.aci$n /xpresa del 4fectado. DE!ARROLLO! EN A$$E!! !O*RE "NA )LATA#ORMA !EG"RA %uesto que en la mayor"a de las ocasiones no podemos acceder a las configuraciones de los ordenadores donde van a correr los programas que desarrollamos.de Datos !os usuarios y contraseñas que posee FindoBs no nos valen. con lo que dejan de tener valide.aci$n =ampoco me referiré. lo 8nico que habrá que hacer es desarrollar a partir de lo que ya está desarrollado.

pacientes de cualquier tipo o clase de cl"nica. estética. proveedores. clubs. o sea. pacientes de cl"nicas 1dentistas. alumnos matriculados en cualquier curso. teléfono. habla de responsabilidades y de quién la tiene. etc 2. 5um de 'ta @ancaria. contactos de agendas de correo electr$nico. 9A):: s$lo ampara los datos de las personas. clientes de grandes almacenes. D53. el conjunto de los que permitan identificar a una persona f"sica. o sea. llama <esponsable del Dichero a quien decide sobre su creaci$n y utili. el <esponsable del Dichero es el dueño del mismo. no de las entidades jur"dicas 1empresas2 !o que intento decir es lo siguienteC $"AL'" ER # $%ERO '"E !EA $A)A& DE RE$OGER EL NOM*RE 2 LO! A)ELL DO! DE "NA )ER!ONA #3! $A DE*E D !)ONER DE DETERM NADA! MED DA! DE !EG"R DAD '"E M) DAN !" A$$E!O 2 MAN )"LA$ 4N A )ER!ONA! NO A"TOR &ADA! O '"E !E )"EDA %A$ER "N "!O NO A"TOR &ADO DE LO! DATO! $ONTEN DO! EN EL. como todas.bservad que siempre me refiero a personas f"sicas. 9A)::. /sto atañe a cualquier fichero de clientes. encuestas con nombre y apellidos y direcci$n. pacientes de hospitales. sistema operativo o máquina *re+e e. socios de fundaciones. es el jefe .aci$n. el jefe. comunidades de vecinos. millones de ellos 'ualquier fichero de clientes está dentro de esta categor"a . oftalm$logos. etc !a ! . cursillo o seminario. aut$nomos. nombre y apellidos junto a su domicilio. a las empresas dueñas de los -istemas de 3nformaci$n Eue no os engañen.ar.plicaci-n de Le. alumnos de colegios. empleados. etc /sta ley. etc 'on esa premisa. ficheros de morosos. gente de a pie. tiendas de $ptica. la cede a otro que la acepta o no y se debe demostrar de modo fehaciente que esto es as" %ar comen. imaginaros cuantos ficheros con datos de carácter personal pueden existir en /spaña. matr"cula de su coche.desarrollar -istemas de 3nformaci$n tan potentes y seguros o más que en cualquier otro lenguaje. 5um -eg -ocial. no el informático y por lo tanto. Organica /0/99 de )rotecci-n de Datos de $ar1cter )ersonal !o primero es lo primero JEué son datos de carácter personalK %ues seg8n la ! . clientes de talleres de autom$viles. empresa para la que trabaja. fisioterapia. ficheros de bancos. o sea. ficheros de sociedades. clientes de supermercados.

%D 9A):: y el <D ::>):: /l < D ::>):: es el que posee las medidas y normas de seguridad a implantar en el tratamiento de los datos de carácter personal Meréis que en los primeros art"culos del <D ::>):: se establecen los criterios que van a regir para las medidas de seguridad !as medidas de seguridad se clasifican en tres nivelesC @ásico.aci$n que crea oportuna 'on lo que el <esponsable del Dichero se puede enfrentar a la demanda del afectado más la sanci$n impuesta por la 4gencia de %rotecci$n de Datos que en determinados casos puede actuar de oficio !a ley puede llegar a ser muy peligrosa en el aspecto de las sanciones a imponer. imaginaros por un momento que cualquier ciudadano pueda denunciar y sacar tajada de los delitos fiscales de los que tuviera conocimiento y denunciara en la 4/4=.aci$n correspondiente por la lesi$n causada a su honor e intimidad /sto es importante. y en ese momento se deben planificar las medidas de seguridad de las que se va a dotar al mismo y notificarlo a la 4gencia /spañola de %rotecci$n de Datos si el fichero es privado 1de una empresa2 -i el fichero es de un organismo p8blico deberá notificarlo además a la 4gencia de %rotecci$n de Datos de su 'omunidad 4ut$noma si existe dicha 4gencia J4nte quién debe responder el <esponsable del Dichero en caso de utili. sino que los mismos ciudadanos de a pie pueden reclamar sus derechos y el amparo a la 4gencia de %rotecci$n de Datos que arremeter"a inmediatamente contra quien incumple la !ey y si la 4L%D impone la sanci$n. una fiesta para algunos !legados a este punto. (edio y 4lto y dependerá de los datos contenidos en cada fichero su . el afectado tiene todas las de ganar en caso de presentar la demanda ante los tribunales de justicia solicitando la indemni.quien debe disponer de los medios necesarios para que el informático desarrolle programas seguros y adecuados a la !ey 4h" tenéis un argumento más a la hora de pedir que os compren lo que os haga falta J'uando se convierte una empresa en responsable de ficheroK 'uando decide su creaci$n. ser"a conveniente que contarais con el texto "ntegro de la !. que ya puede ser millonaria en euros.aci$n fraudulenta de los datosK 4nte el afectado. pues no se trata ya de que la administraci$n del estado detecte y persiga el delito. que le puede demandar judicialmente y exigir la indemni.

etc son de nivel 4lto !os niveles de seguridad son acumulativos. proveedores.. inclinaciones sexuales. alto. quedan pocos pero algunos hay por ah" y este dato subir"a el nivel de seguridad del fichero de empleados al nivel 4lto . so n @ásico. >+7+>. o sea. origen racial o étnico. >>. religi$n profesada. le corresponden por lo tanto las del @ásico más las de 5ivel (edio Iay que quedarse con esto 8ltimo que es muy importante para nosotros. si solo pone la talla. socios. algunos de ellos llevan un campo de afiliaci$n sindical del trabajador para pagarle la empresa directamente al sindicato las cuotas del trabajador. N! .jo con los ficheros de empleados para n$mina. los informáticos que vamos a aplicarlas en nuestros programas y bases de datos . direcci$n. cadera.an de los uniformes. las tallas que utili.calificaci$n %ara calificacionesC no extenderme demasiado. ancho. -. teléfono. D53 o 53D /n pocas palabras los datos de identificaci$n de la persona a la que se refieren 4plicable a ficheros de clientes. filiaci$n sindical o pertenencia a partidos pol"ticos . amén de los propios informes de los psic$logos del centro Alto si además de los contenidos en el (edio o @ásico contiene informaci$n sobre la salud del afectado. pecho. etc Medio si además de los anteriores contiene un conjunto de datos que pueden permitir extraer un perfil psicol$gico de la persona afectada o se trata de un registro de incumplimientos de obligaciones dinerarias de los afectados 1ficheros de morosos2 !os ficheros de alumnos de colegios son de nivel medio. alumnos. ficheros de empleados para n$minas. no son datos de 5ivel 4lto. medidas antropométricas. !. es decir que al nivel 4lto le corresponden las del @ásico y las del (edio más la del nivel 4lto -i el fichero es de nivel (edio. pero si se guardan las medidas del trabajador en cm. os adelanto las *1sico si contiene nombre y apellidos.tro dato curioso son las medidas antropométricas de los trabajadores. sus calificaciones escolares permiten establecer el perfil psicol$gico del alumno. >.