Asix M11: Seguridad y Alta Disponibilidad de Linkiafp

LinkiaFP Formación Profesional Oficial

ASIX M11: Seguridad y alta disponibilidad

Docente: Gema SantosASIX M11: Seguridad y alta disponibilidad

UF1: Seguridad física, lógica y legislación

UF4: Alta disponibilidad UF2: Seguridad activa y acceso remoto UF3: Cortafuegos y proxiesFI F2

UF1: Seguridad física, lógica y legislación

Num Lock E 1 2 G 3 # 4 5 6- 7 8 9 Q W E R T Y UI O P A Supe Av Plc 7 8 + A S D F G H JKL Ñ C ٨ Z X C V B N M 1 2 Start At Gr Start 8 + PAG Num Inido 4 5 V $ % & €Tema 2. Normativa legal en materia de seguridad informática LinkiaFP Formación Profesional OficialTema 2. Normativa legal en materia de seguridad informática

Introducción a la Seguridad Informática y Legislación

Introducción (I)

La seguridad informática no se limita a los aspectos técnicos. Está intrinsecamente ligada a la legislación, un aspecto que a menudo sorprende a los profesionales de TI. No basta con dominar las herramientas y técnicas; es crucial conocer las leyes que protegen los datos personales en nuestros sistemas. Estas leyes existen porque muchos de estos datos son confidenciales y pueden revelar aspectos íntimos de las personas. Además, la legislación nos proporciona los mecanismos para denunciar daños a nuestros sistemas causados por acciones maliciosas.

La seguridad informática y la legislación son dos caras de la misma moneda. Los profesionales de TI deben tener un conocimiento sólido de ambas para proteger adecuadamente la información y evitar problemas legales.

Introducción (II) Cuestiones Claves

Cuestiones claves:

• Más allá de lo técnico: La seguridad informática tiene una dimensión legal y ética que va más allá de la implementación de firewalls o antivirus.
• Protección de datos personales: Las leyes de protección de datos (como el RGPD en Europa o la LOPDGDD en España) establecen obligaciones estrictas sobre cómo se deben recopilar, almacenar, procesar y utilizar los datos personales.
• Responsabilidad legal: Como profesionales de TI, debemos ser conscientes de que el desconocimiento de la ley no nos exime de responsabilidad. Una acción tecnicamente posible no siempre es legal.

Introducción (III) Cuestiones Claves

Cuestiones claves:

• Delitos informáticos: La legislación también define los delitos informáticos, como el acceso no autorizado a sistemas, el robo de información, la difusión de malware, etc.
• Ética profesional: Además de la ley, la ética profesional juega un papel importante. Debemos actuar con responsabilidad y proteger la privacidad y la seguridad de la información de nuestros usuarios y clientes.
• Ciberseguridad y cumplimiento normativo: Las empresas deben implementar medidas de ciberseguridad no solo para protegerse de ataques, sino tambien para cumplir con las leyes y regulaciones.
• Actualización constante: Las leyes y regulaciones en materia de seguridad informática y protección de datos están en constante evolución. Es fundamental mantenerse actualizado.

Marco Jurídico Penal en Seguridad Informática

El marco jurídico español en materia de seguridad informática es amplio y se encuentra disperso en varias leyes y normativas, tanto a nivel nacional como europeo.

Se divide en:

• Marco general
• Normativa específica de ciberseguridad
• Protección de datos y privacidad
• Otras leyes relevantes

Marco General (I)

Código Penal (Ley Orgánica 10/1995, de 23 de noviembre): Aunque no existe una categoría única de "delito informático", el Código Penal tipifica diversas conductas delictivas que pueden cometerse a través de medios informáticos o que tienen como objetivo sistemas informáticos. Esto se alinea con tu punto clave sobre "Delitos Informáticos (o relacionados)". Algunos ejemplos relevantes (con modificaciones posteriores, como la LO 1/2015 y LO 2/2019) son:

• Descubrimiento y revelación de secretos (Art. 197 y ss.): Acceso no autorizado a datos o sistemas, interceptación de comunicaciones, etc.
• Daños informáticos (Art. 264 y ss.): Destrucción, alteración o inutilización de datos, programas o sistemas informáticos.

Marco General (II)

• Estafas informaticas (Art. 248 y ss.): Manipulación informática para obtener un beneficio económico ilícito.
• Delitos contra la propiedad intelectual e industrial (Art. 270 y ss.): Distribución no autorizada de obras protegidas, software pirata, etc.
• Delitos relativos a la protección de menores (Art. 183 y ss.): Pornografía infantil, grooming, etc.
• Delitos de odio y discriminación (Art. 510): Difusión de contenidos que inciten al odio o la discriminación a través de medios informáticos.

Marco General (III)

Ley de Enjuiciamiento Criminal (Real Decreto de 14 de septiembre de 1882): Regula la investigación de delitos, incluyendo los cometidos a través de medios informáticos, y establece normas sobre la obtención y validez de la prueba electrónica.

Normativa Específica de Ciberseguridad

Normativa Específica de Ciberseguridad (I)

Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información: Transpone la Directiva NIS (Network and Information Security) de la Unión Europea. Establece obligaciones de seguridad para operadores de servicios esenciales (energía, transporte, banca, salud, etc.) y proveedores de servicios digitales (motores de búsqueda, comercio electrónico, cloud computing). Incluye la obligación de notificar incidentes de seguridad significativos. Esto se relaciona directamente con tus puntos sobre "Importancia para la Informática", "Condicionamiento" y "Relación con la seguridad".

Normativa Específica de Ciberseguridad (II)

Ley 36/2015, de 28 de septiembre, de Seguridad Nacional: Define la ciberseguridad como un ámbito de la Seguridad Nacional y establece el marco general para la protección del ciberespacio.

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS): Establece las medidas de seguridad que deben adoptar las Administraciones Públicas para proteger sus sistemas de información. Ha sido modificado por el Real Decreto 951/2015 y el Real Decreto 203/2021.

Normativa Específica de Ciberseguridad (III)

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas: Define las infraestructuras críticas (aquellas cuyo funcionamiento es indispensable y no permite soluciones alternativas) y establece obligaciones de seguridad para sus operadores, incluyendo la ciberseguridad.

Ley 9/2014, General de Telecomunicaciones y Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones: Regulan aspectos relacionados con la seguridad de las redes y servicios de comunicaciones electrónicas.

Protección de Datos y Privacidad

Reglamento General de Protección de Datos (RGPD) (Reglamento (UE) 2016/679): Establece un marco común europeo para la protección de datos personales, incluyendo la obligación de implementar medidas de seguridad para protegerlos.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): Adapta el RGPD al ordenamiento jurídico español y regula aspectos específicos como los derechos digitales (derecho al olvido, a la desconexión digital, etc.). Esto se relaciona con tu punto sobre "Violación de la privacidad".

Otras Leyes Relevantes

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE): Regula aspectos como la contratación electrónica, las comunicaciones comerciales por vía electrónica y la responsabilidad de los prestadores de servicios de la sociedad de la información.

Ley 59/2003, de 19 de diciembre, de firma electrónica: Regula el uso de la firma electrónica y su equivalencia con la firma manuscrita.

Organismos Claves en Ciberseguridad

• Instituto Nacional de Ciberseguridad (INCIBE): Organismo de referencia para el desarrollo de la ciberseguridad y la confianza digital de ciudadanos, empresas y, especialmente, sectores estratégicos.
• Centro Criptológico Nacional (CCN): Adscrito al Centro Nacional de Inteligencia (CNI), es el organismo responsable de la seguridad de las tecnologías de la información en la Administración Pública y de la protección de la información clasificada.
• Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC): Dependiente del Ministerio del Interior, es el responsable de la protección de las infraestructuras críticas.

El Código Penal y las Conductas Ilícitas Informáticas

Nuestro Código Penal es especialmente severo con la protección de los derechos fundamentales y libertades públicas, recogidos en el título I de la Constitución. Estos derechos y libertades son inherentes a la condición de persona y, por ese motivo, gozan de una protección tan especial.

Uno de los artículos de la Constitución española (1978) relacionados con la práctica informática (tanto desde el punto de vista técnico como del simple usuario) es el artículo 18, que reconoce el derecho a la intimidad. Deben ser objeto de protección no sólo el ámbito íntimo del individuo, sino también la esfera familiar y domiciliaria.

Delitos contra la Intimidad

Delitos contra la Intimidad (I)

El artículo 197.1 del Código Penal considera delito las siguientes acciones:

1. Apoderamiento ilícito: De papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales. Esto incluye tanto el acceso físico no autorizado como el acceso remoto e ilegítimo a la información digital.
2. Interceptación de telecomunicaciones: Sin el debido consentimiento, interceptar cualquier tipo de comunicación, ya sea telefónica, telemática o de otra naturaleza.

Delitos contra la Intimidad (II)

1. Uso de artificios técnicos: Emplear dispositivos o software para la escucha, transmisión, grabación o reproducción del sonido, la imagen o de cualquier otra señal de comunicación. Esto abarca el uso de spyware, keyloggers, herramientas de sniffing de red y otros métodos de vigilancia electrónica no autorizada.

En esencia, el artículo 197.1 protege la confidencialidad de las comunicaciones y la información personal, independientemente del medio utilizado, estableciendo un marco legal claro contra las intrusiones ilegítimas en la esfera privada en el entorno digital.