PDF de programación - Seguridad de la información: un diagnóstico del presente para perfilar el futuro

VII Ciclo de Conferencias UPM – TASSI. Curso 2010 - 2011

Seguridad de la información: un diagnóstico

del presente para perfilar el futuro

José de la Peña Muñoz – revista SIC – 24 de mayo de 2011

LA BATALLA DE LA PRIVACIDAD

LA BATALLA DE LA PRIVACIDAD

LA BATALLA DE LA PRIVACIDAD

LA BATALLA DE LA PRIVACIDAD

LA BATALLA DE LA PRIVACIDAD

LA BATALLA DE LA PRIVACIDAD

LA BATALLA DE LA PRIVACIDAD

LOS CIBERESTROPICIOS

LOS CIBERESTROPICIOS

LOS CIBERESTROPICIOS

LOS CIBERESTROPICIOS

LOS CIBERESTROPICIOS

LOS CIBERESTROPICIOS

LOS CIBERESTROPICIOS

LOS CIBERESTROPICIOS

LOS CIBERESTROPICIOS

LOS CIBERESTROPICIOS

EL CIBERCACHONDEO

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL GRANO EN EL...

EL CONTROL DEL USO DE PRIVILEGIOS

UNA LECTURA

PROFESIONAL DEL CASO

WIKILEAKS.

CUANDO LO QUE SE JUEGA ES “PASTA”

EL FRENTE LEGISLATIVO. LA SEGUNDA OLA.

EL SURTIDO

- Ley de acceso electrónico de los ciudadanos a los servicios públicos.
- Ley de conservación de datos relativos a las comunicaciones electrónicas
y a las redes públicas de comunicaciones.
-LOPD (modificada por LES), Reglamento de Desarrollo, y leyes y normas
concernidas.
- Ley de firma, LSSI-CE.
- Ley de medidas de impulso de la sociedad de la información (LISI).

- Reales Decretos. Esquema Nacional de Seguridad y Esquema Nacional
de Interoperabilidad.
- Código Penal español vigente.
- Directiva Protección Datos Personales. (Futura reforma).
- Anteproyecto de Ley General de Telecomunicaciones.
- Ley de Protección de Infraestructuras Críticas y Reglamento.
- Blanqueo de Capitales, Secreto Bancario, Normativa Bursátil, Juego...
- ¿Evidencias electrónicas? (¿Merecería la pena?).

EL DESPERTAR DEL FRENTE PENAL

REFORMA DEL CÓDIGO PENAL ESPAÑOL

-MEJORAS:

-Adaptación de la tipificación a las formas que toman
los delitos relacionados con las TIC.
-Responsabilidades de las personas jurídicas (sector privado).

-A MEDIAS:

-No te menciona la “suplantación de identidad” en su relación
concreta con las TIC. Pero algo se dice...

-CHAPUZAS:

-”... Si el resultado producido fuera grave”.

REFORMA DEL CÓDIGO PENAL ESPAÑOL

Se amplía su catalogación. Se distinguen las conductas punibles en ataques a sistemas

de información en dos apartados:

• Dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas
informaticos ajenos, así como obstaculizar o interrumpir el funcionamiento
de un sistema informático ajeno
En cuanto al descubrimiento y revelación de secretos, comprendería “el acceso sin
autorización vulnerando las medidas de seguridad a datos o programas informáticos
contenidos en un sistema o en parte del mismo”

•

Delitos de acceso a sistemas (artículo 197 apartado 3): “El que por cualquier medio
o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo,
acceda sin autorización a datos o programas informáticos contenidos en un sistema
informático o en parte del mismo o se mantenga dentro del mismo en contra de la
voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de
prisión de seis meses a dos años”. Igualmente en este artículo se ha introducido el
apartado 8 que puntualiza: “Si los hechos descritos en los apartados anteriores se
cometiesen en el seno de una organización o grupo criminales, se aplicarán
respectivamente las penas superiores en grado”.

REFORMA DEL CÓDIGO PENAL ESPAÑOL

La modificación del artículo 264 establece pena de prisión de seis meses a dos
años para “El que por cualquier medio, sin autorización y de manera grave
borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesible datos,
programas informáticos o documentos electrónicos ajenos, cuando el resultado
producido fuera grave”, así como al que “Por cualquier medio, sin estar autorizado
y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema
informático ajeno cuando el resultado producido fuera grave”.

En el artículo 248 también se considera ahora reos de estafa a “Los que, con
ánimo de lucro y valiéndose de alguna manipulación informática o artificio
semejante, consigan una transferencia no consentida de cualquier activo
patrimonial en perjuicio de otro” y “Los que fabricaren, introdujeren, poseyeren o
facilitaren programas informáticos específicamente destinados a la comisión de
las estafas previstas en este artículo

MODIFICACIÓN DE LA LOPD POR LA LES

-La Ley de Economía Sostenible (Ley 2/ 2011 de 4 de marzo) ha modificado la
LOPD por “la puerta de atrás”.

-La reforma se centra fundamentalmente en el régimen sancionador. Son los
responsables de ficheros de titularidad privada los que si cometen infracción
se les sancionacon sanción económica.

-Se da carta de naturaleza a la figura del APERCIBIMIENTO como algo alternativo
a la multa. La AEPD puede aplicarlo excepcionalmente no iniciando el
procedimiento sancionador cuando los hechos constituyan infracción leve
o grave, y el infractor no hubiese sido sancionado o apercibido con anterioridad.

MODIFICACIÓN DE LA LOPD POR LA LES

MODIFICACIÓN DE LA LOPD POR LA LES

UE. PROTECCIÓN DE DATOS PERSONALES-I

UE. PROTECCIÓN DE DATOS PERSONALES-II

PROPOSICIÓN DE REFORMA DE LA DIRECTIVA SOBRE PROTECCIÓN
DE DATOS PERSONALES

-Introducir un principio general que imponga el tratamiento transparente.

-Introducir obligaciones específicas para responsables de tratamiento relativas
al tipo de información que debe comunicarse y a las modalidades de su comu-
nicación, incluso en lo que se refiere a niños.

-Elaborar uno o más modelos normalizados europeos (declaraciones de confi-
dencialidad) que deberán utilizar los responsables del tratamiento.

-Examinar las modalidades de la introducción de una obligación de notificación
general de las violaciones de datos personales, indicando los destinatarios de
este tipo de notificaciones y los criterios a los que se supeditará la obligación
de notificar.

UE. PROTECCIÓN DE DATOS PERSONALES-III

LA COMISIÓN EUROPEA estudiará también los medios que permitan:

-Reforzar el principio de minimización de datos.

-Mejorar las condiciones de un verdadero ejercicio de los derechos de acceso,
rectificación, supresión y bloqueo (fijando plazos de respuestas a solicitudes de
las personas en cuestión, autorizando el ejercicio de derechos por vía electró-
nica o instaurando la gratuidad como principio del ejercicio del derecho de
acceso).

-Clarificar el llamado “derecho a ser olvidado”, es decir, el derecho de las
personas a que sus datos no se traten y se supriman cuando dejan de ser
necesarios con fines legítimos. Se trata, por ejemplo, del caso en que la
persona retira su consentimiento al tratamiento de datos, o del caso en que
haya expirado el plazo de conservación de datos.

UE. PROTECCIÓN DE DATOS PERSONALES-IV

-Garantizar a los interesados la “portabilidad de los datos”, es decir, conferir
a los individuos el derecho explícito a retirar datos (p.e. fotos o listas de
amigos...) de una aplicación o un servicio, de modo que los datos retirados
puedan transferirse a otra aplicación u otro servicio, siempre que ello sea
técnicamente posible, sin que los responsables del tratamiento lo obstaculicen.

OTRAS ACCIONES QUE SE ESTUDIARÁN:

-Determinar si otras categorías de datos deberían considerarse “sensibles”, por
ejemplo los datos genéticos.

-Precisar más y armonizar las condiciones que deben cumplirse para realizar el
tratamiento de determinadas categorías de datos sensibles.

-Posibilidad de ampliar el poder de recurrir a los órganos jurisdiccionales
nacionales a las autoridades de control y a las asociaciones de la sociedad
civil, así como a otras asociaciones que representen los intereses de las
interesados.

UE. PROTECCIÓN DE DATOS PERSONALES-V

-Evaluar la necesidad de endurecer las disposiciones vigentes en materia de
sanciones, por ejemplo previendo expresamente sanciones penales para las
violaciones de las normas de protección de datos.

POSIBLES MEDIDAS DIRIGIDAS A REFORZAR LA RESPONSABILIDAD
DE LOS RESPONSABLES DEL TRATAMIENTO:

-Hacer obligatoria la designación de un responsable de protección de datos
independiente y armonizar las normas relativas a sus tareas y competencias.

-Introducir en la legislación la obligación para los responsables de tratamiento
de realizar un análisis de impacto respecto a la protección de datos en casos
específicos (p.e. datos sensibles o cuando el tipo de tratamiento implica
riesgos específicos, en particular en caso de uso de tecnologías, mecanismos
o procedimientos específicos, como la elaboración de perfiles o la video-
vigilancia.

-Estudiar la viabilidad de instaurar regímenes europeos de certificación en el
ámbito de la protección de la intimidad y los datos.

UE. PROTECCIÓN DE DATOS PERSONALES-VI

-Mejorar y racionalizar los procedimientos actuales de transferencia
internacional de datos...

-Clarificar el procedimiento de evaluación del carácter adecuado del nivel de
protección garantizado en un tercer país o una organización internacional, y
precisar los criterios y condiciones aplicables.

-Examinar los medios de fomentar más las iniciativas en materia de
autorregulación, en particular la promoción activa de los códigos de conducta.

-Seguir de cerca la elaboración de las normas técnicas internacionales por
los organismos de normalización como el CEN y la ISO, con el fin de
garantizar que completan adecuadamente las normas jurídicas y respetan
efectivamente a nivel operativo las exigencias esenciales en materia
de protección de datos.

TELECOMUNICACIONES

FUTURA LEY GENERAL DE TELECOMUNICACIONES

-Eleva las garantías de seguridad de las redes y servicios de comunicaciones
electrónicas, en especial frente a a situaciones que atenten contra la
integridad