NECESIDADES DE SEGURIDAD EN LOS SISTEMAS DE INFORMACION

Necesidades de seguridad en el entorno del hogar. Desde que comenc en la informtica hace mas de 30 aos he pensado que para que el trabajo de un programador sea rentable, se le debe dotar de recursos que vayan evolucionando acorde con la que experimentan las mquinas en que esos programas sern ejecutados !a mayor"a de nosotros, los desarrolladores, estamos programando tal y como se hac"a a mediados de los aos #0, poca en que yo comenc a entablar relaci$n con los ordenadores %or desgracia existen pocas y caras herramientas de desarrollo que hayan ido evolucionando de una forma acorde al abaratamiento de costes y aumento de potencia de los ordenadores Donde ms se nota esta carencia de medios y de facilidades es en la seguridad informtica !os primeros sistemas operativos de %c&s, el '%()*+ y el D,- se pensaron para que en el caso hipottico de que dos ordenadores se conectaran, pudieran acceder a todos sus recursos, o sea, todo abierto porque es bueno para las organi.aciones /n aquel tiempo lo que preocupaba a los informticos era que otro informtico nos copiara el desarrollo, no que un hac0er 1que no exist"an2 robara la informaci$n contenida en nuestros ficheros 'uando se conectaron los primeros %c&s entre s" las necesidades de seguridad fueron cambiando hasta que con la aparici$n de 3nternet y su populari.aci$n se hicieron absolutamente obligatorias 'omo siempre hemos hecho los seres humanos, una cosa buena como es 3nternet la hemos utili.ado para amargar a nuestros semejantes, no cambiaremos nunca Debido a esto, nos vemos en la absoluta e imperiosa necesidad de dotar de barreras de seguridad a nuestros desarrollos 4lgunos sistemas operativos ayudan en la implantaci$n de las medidas de seguridad, otros son abiertos para facilitar la ejecuci$n de trabajos, otros poseen seguridad de puertas afuera, y otros simplemente no la poseen !as medidas de seguridad son siempre barreras que vamos situando entre la informaci$n contenida en nuestros sistemas de informaci$n y el exterior, filtramos los accesos que desde fuera se intentan y si no son buenos los recha.amos 5o est mal, sobre todo para las mquinas que, como los %'&s, son utili.ados en muchos hogares como lo que son, ordenadores personales De este modo,

controlamos que nadie que no est autori.ado por nosotros acceda a nuestros datos, pero todo esto que para un %c situado en un hogar puede ser suficiente, en entornos de trabajo empresariales puede no ser suficiente Necesidades en el entorno empresarial. /n el entorno de trabajo empresarial, surgen nuevas necesidades de protecci$n de los sistemas de informaci$n por motivos mas variados que en el entorno del hogar !as propias necesidades de protecci$n de los datos que contienen los ordenadores obligan desde que aparecen los primeros ordenadores multipuesto a disear unos sistemas de seguridad que impidan a usuarios no autori.ados acceder a datos confidenciales de la empresa 6nos empleados pueden acceder a informes que la empresa considera confidenciales y otros no, pero todos siguen teniendo acceso a la mayor"a de los dispositivos, ordenadores, copias, terminales, impresoras, unidades de discos, etc !a aparici$n de 3nternet hi.o evolucionar algunas de estas consideraciones pero7 pocos responsables de sistemas de informaci$n estaban preparados para impedir que su personal con cuatro clics fuera capa. de enviar sus estad"sticas trimestrales de ventas a la otra parte del mundo, y adems, en cuesti$n de segundos /l mayor dao que se le puede hacer a un compa"a comercial es que las otras compa"as de su competencia, sepan a quin, en que condiciones y a que precios, est vendiendo /s la muerte segura para esa compa"a que no ha cuidado como debiera su seguridad informtica 'omo vosotros sabis esto es facil"simo de hacer en estos momentos, se empaqueta el fichero o7 mejor a8n, la base de datos entera y con dos clic0s al icono del ,utloo0 se env"a donde se quiera /l mayor problema para los empresarios es que esto lo puede hacer cualquier empleado descontento con la empresa 5o hay muchas herramientas que sean capaces de impedir que esto se pueda producir en el futuro, pero si es muy fcil de impedir que suceda en el presente, y si sucede, por lo menos saber quin lo ha hecho para exigirle las oportunas responsabilidades Necesidades legales de seguridad. %or lo que atae a /spaa, no exist"a ninguna norma ni ley que protegiera o regulara los datos contenidos en los ordenadores ni las responsabilidades que tiene cada una de las personas que como usuarios u operadores forman parte del flujo de datos de los -istemas de 3nformaci$n, por lo menos hasta 9::; y despus de ese ao tampoco /n aqul ao entr$ en vigor la !,<=4D, pero por falta de

un desarrollo de las normas que deb"an cumplir los sistemas de informaci$n para que se consideraran seguros, la ley era de una inefectividad descomunal, no serv"a absolutamente para nada 4lgunas empresas cumplimentaron los formularios declarando los fichero que pose"an, para que lo ten"an y lo comunicaron al organismo competente en aqul momento !es contestaron que ya estaban registrados y nada ms se hi.o hasta Diciembre de 9::: en que apareci$ la !,%D, con su < D ::>):: que conten"a las normas que deb"an cumplir los ficheros con datos de carcter personal <ealmente se public$ primero el < D ::>):: que conten"a las normas para la !,<=4D, concretamente el 99 de ?unio de 9 ::: y posteriormente, el 9> de diciembre del mismo ao se public$ en el @,/ de ese mismo d"a la !,%D, que deroga la !,<=4D y asume las normas publicadas en el < D ::>):: como de aplicaci$n de la !,%D R.D.994/99. REGLAMENTO DE MED DA! DE !EG"R DAD DE # $%ERO! A"TOMAT &ADO! '"E $ONTENGAN DATO! DE $AR($TER )ER!ONAL. 'on la aparici$n de la !ey ,rgnica 9A):: de %rotecci$n de Datos de 'arcter %ersonal, avan.amos mucho en cuanto a consideraci$n de los datos !a !ey establece que los datos son de las personas a quin se refieren y no de quin los graba en un ordenador 4 partir de aqu" se edifica todo un entramado que asigna a cada cual la cuota de responsabilidad que le corresponde -i alguien hace uso de un bien que no es suyo deber contar como m"nimo con la autori.aci$n del dueo para que esto no pueda considerarse robo o utili.aci$n indebida !o mismo sucede con los datos, quien los utilice en un ordenador deber decirle al dueo, persona f"sica o afectado por los datos, para que los quiere, que va a hacer con ellos y sobre todo y muy importante, demostrar que el dueo de los datos le ha autori.ado a utili.arlos !a normativa legal se puede consultar a travs de 3nternet en la pgina Beb de la 4gencia /spaola de %rotecci$n de Datos, cuya direcci$n es httpC))BBB agpd es 4dems de la 4/%D existen 4gencias de %rotecci$n de datos 4uton$micas que a su ve. disponen de pginas Beb con informaci$n de inters !as 4%D&s auton$micas se dedican al control y vigilancia de la seguridad de protecci$n de datos de los organismos p8blicos en sus mbitos territoriales auton$micos, mientras que la 4gencia /spaola de %rotecci$n de Datos lo hace de las entidades privadas y p8blicas de nivel estatal /sta ley, aunque pueda parecer que nos va a dar ms trabajo, nos viene bien a los desarrolladores, pues se puede estandari.ar, su funcionamiento ser automtico y a la ve. nos proporciona una plataforma de trabajo de seguridad que debemos implantar en

nuestros desarrollos produciendo unos efectos beneficiosos en nuestros sistemas de informaci$n

colaterales

4lgunos requerimientos del < D ::>):: son de perogrullo y por lo tanto ya hace tiempo que los hemos implantado, como la identificaci$n del usuario, mientras que otros son ms espec"ficos y debemos ajustarlos a nuestras instalaciones 48n as" nos van a venir bien a la hora de controlar las instalaciones y la ejecuci$n de las mismas 4provechando la !ey, por ejemplo, nos debemos asegurar que las @ases de Datos estn corriendo s$lo en los ordenadores para los que hayamos vendido o generado la oportuna licencia, controlando el n8mero de serie del disco duro, por ejemplo /s una exigencia de la !,%D, no se nos puede negar nadie a que implantemos el control, si no lo hacemos estamos cometiendo una ilegalidad, nosotros y el <esponsable del Dichero, la empresa que paga el desarrollo Euin concibi$ la !,%D no lo hi.o pensando en los -istemas ,perativos FindoBs, se nota a la legua, lo hi.o considerando que tan s$lo dispondr"an de datos de carcter personal grandes empresas con potentes ordenadores y sistemas operativos evolucionados y con determinadas caracter"sticas de seguridad 6na ve. ms los rpidos desarrollos en hardBare han superado las expectativas y nuestros queridos ,rdenadores %ersonales se han convertido en ordenadores bivalentes que se pueden utili.ar tanto en el hogar como en gran cantidad de entornos empresariales -iendo que FindoBs no lo hace, alguien lo va a tener que hacer y de momento nos ha tocado hacerlo a nosotros, los desarrolladores %or lo que yo he visto y se de los sistemas operativos para los ordenadores personales, el control no llega al nivel de registro y campo, que es donde se sit8an los datos, por lo que cualquier restricci$n o control que se quiera imponer a su uso deber formar parte de los programas que explotan las bases de datos, 4ccess en nuestro caso 'on la aparici$n de la !ey ,rgnica de %rotecci$n de Datos la inmensa totalidad de los programas que corren en ordenadores personales se convirtieron en ilegales bajo dicha !ey y por lo que he visto en el transcurso de mi actual trabajo, auditorias de sistemas de informaci$n, hay mucho por hacer porque las aplicaciones no se desarrollan teniendo en cuenta estos preceptos legales que son de obligado cumplimiento @ajo esta !ey, GnimiedadesH hasta ahora como el pa"s donde se sit8a el servidor de la base de datos toman much"sima relevancia,

impidiendo en algunos casos la contrataci$n de este servicio fuera de nuestras fronteras pues hay que pedir autori.aci$n a la 4/%D y si el pa"s de ubicaci$n del servidor es, por poner un ejemplo los /stados 6nidos de 4mrica, no lo autori.an por no disponer a nivel estatal de una normativa equivalente a la espaola ,tra Gtonter"aH como la reali.aci$n peri$dica de las copias de seguridad y el registro de las incidencias de seguridad en el acceso a los datos hacen legal o ilegal la instalaci$n informtica, con el siguiente problema para el dueo del -istema de 3nformaci$n -i al auditar las medidas de seguridad 1para los niveles (edio y 4lto2 aplicables al sistema de informaci$n, se deniega la auditoria por parte del auditor, la instalaci$n es ilegal y cualquier denuncia de un afectado por los datos de carcter personal ante la 4gencia de %rotecci$n de Datos podr"a ocasionar graves perjuicios econ$micos al <esponsable del Dichero, dadas las cuantiosas sanciones que figuran en el texto de la !ey /ste trabajo es fruto de mi experiencia como GimplantadorH de la !,%D en numerosas empresas en la geograf"a nacional y como ayuda a aquellos que estn trabajando con bases de datos que contienen datos de carcter personal para que procedan a su regulari.aci$n 4dems, considero que la seguridad de los datos de nuestros programas es un tema suficientemente importante como para no dejarlo de lado en las instalaciones %ara conseguir esto es de todo punto necesario seguir unas pautas de diseo de la base de datos que, aplicndolas debidamente y de forma automtica, harn que nuestras aplicaciones sean seguras desde su concepci$n y generaremos valor aadido a nuestros desarrollos 5adie puede asegurar que un sistema de informaci$n es totalmente seguro, si alguien se empea en acceder a los datos lo har, costar mas o menos, pero lo har, como entran los ladrones en cualquier casa por muchas medidas de seguridad que existan 4l fin y al cabo, las medidas de seguridad son simples barreras que colocamos en determinados lugares para impedir el acceso 'uantas mas barreras dispongamos, ms dif"cil ser el acceso, pero no hay que olvidar que quin se empee, al final lo conseguir !o 8nico que podemos garanti.ar es que con el cumplimiento exacto y puntual de la !,%D, nuestra responsabilidad quedar a salvo y en caso de necesitarlo podremos siempre decir quien fue, es decir, trasladarle la responsabilidad de su acci$n, objetivo final de cualquier !ey /l texto de la propia ley tiene fallos notables, por ejemplo, es escandaloso que no se determinen normas de criptograf"a para las copias de los ficheros con datos de carcter personal 6na sustracci$n del soporte f"sico de la copia podr"a ser restaurada, utili.ada o simplemente visuali.ada en cualquier ordenador con el mismo sistema operativo y con la misma herramienta que fue creada la @ase

de Datos !os usuarios y contraseas que posee FindoBs no nos valen, pues son standard y en un porcentaje alto de instalaciones nadie se preocupa nunca de cambiarlas y)o anular a los usuarios que por defecto crea FindoBs, con lo que dejan de tener valide. DE!ARROLLO! EN A$$E!! !O*RE "NA )LATA#ORMA !EG"RA %uesto que en la mayor"a de las ocasiones no podemos acceder a las configuraciones de los ordenadores donde van a correr los programas que desarrollamos, debemos asegurarnos que aquello que si podemos controlar est bien hecho -e deben desarrollar unas pautas de comportamiento a la hora de definir las bases de datos y los programas que las van a gestionar que pueden hacer que los sistemas sean seguros, mucho mas por lo menos, de lo que son ahora y que al final contribuirn a que los desarrolladores dispongamos de seguridad extra contra los que intenten aprovecharse de nuestro trabajo, por ejemplo, controlando que la mquina en la que corren los programas es para la que se adquirieron y no otra /n la mayor"a de nuestras instalaciones, se puede restaurar la copia de las bases de datos en otros equipos cuyo 8nico requerimiento de seguridad es que disponga instalada de la misma versi$n de 4ccess con la que desarrollamos la @ase de Datos -i el -istema ,perativo no hace lo que necesitamos, lo tendremos que hacer nosotros mismos 4l final esto no es tan complicado y si logramos entre todos sentar estas bases, lo 8nico que habr que hacer es desarrollar a partir de lo que ya est desarrollado, el sistema seguro que con las adecuadas rutinas funcionar de forma automtica y aportar valor aadido a nuestras instalaciones Ie de avisar que no voy a interpretar ni a explicar la !ey, ni referirme a ms art"culos que los que nos ataen directamente como desarrolladores informticos 5o soy abogado y por lo tanto no puedo explicar la ley como lo har"a un profesional del Derecho, pero si se informtica y de medidas de seguridad, que es a lo que me voy a referir en todo momento %ara que nos entendamos, no voy a explicar aqu" que es la 4utori.aci$n /xpresa del 4fectado, pero s" dir en que formulario debemos colocar el control que imprime el informe para su cumplimiento ms un modelo de dicha autori.aci$n =ampoco me referir, por la gran extensi$n que ocupar"a el presente trabajo, en la aplicaci$n administrativa de la !,%D en los entornos empresariales, cada uno deber interpretarlos y ajustarlos a su organi.aci$n como entienda que debe hacerlo %or otro lado quiero romper una lan.a a favor de 4''/-demostrando a sus detractores que con un poco de ingenio podemos

desarrollar -istemas de 3nformaci$n tan potentes y seguros o ms que en cualquier otro lenguaje, sistema operativo o mquina *re+e e,plicaci-n de Le. Organica /0/99 de )rotecci-n de Datos de $ar1cter )ersonal !o primero es lo primero JEu son datos de carcter personalK %ues seg8n la ! , 9A)::, el conjunto de los que permitan identificar a una persona f"sica, o sea, nombre y apellidos junto a su domicilio, telfono, D53, 5um -eg -ocial, 5um de 'ta @ancaria, matr"cula de su coche, empresa para la que trabaja, etc 'on esa premisa, imaginaros cuantos ficheros con datos de carcter personal pueden existir en /spaa, millones de ellos 'ualquier fichero de clientes est dentro de esta categor"a ,bservad que siempre me refiero a personas f"sicas, o sea, gente de a pie, aut$nomos, alumnos de colegios, clientes de supermercados, clientes de grandes almacenes, pacientes de cl"nicas 1dentistas, oftalm$logos, esttica, fisioterapia, etc 2, pacientes de hospitales, clientes de talleres de autom$viles, etc !a ! , 9A):: s$lo ampara los datos de las personas, no de las entidades jur"dicas 1empresas2 !o que intento decir es lo siguienteC $"AL'" ER # $%ERO '"E !EA $A)A& DE RE$OGER EL NOM*RE 2 LO! A)ELL DO! DE "NA )ER!ONA #3! $A DE*E D !)ONER DE DETERM NADA! MED DA! DE !EG"R DAD '"E M) DAN !" A$$E!O 2 MAN )"LA$ 4N A )ER!ONA! NO A"TOR &ADA! O '"E !E )"EDA %A$ER "N "!O NO A"TOR &ADO DE LO! DATO! $ONTEN DO! EN EL. /sto atae a cualquier fichero de clientes, proveedores, empleados, alumnos matriculados en cualquier curso, cursillo o seminario, contactos de agendas de correo electr$nico, encuestas con nombre y apellidos y direcci$n, pacientes de cualquier tipo o clase de cl"nica, tiendas de $ptica, ficheros de morosos, ficheros de bancos, ficheros de sociedades, clubs, comunidades de vecinos, socios de fundaciones, etc /sta ley, como todas, habla de responsabilidades y de quin la tiene, la cede a otro que la acepta o no y se debe demostrar de modo fehaciente que esto es as" %ar comen.ar, llama <esponsable del Dichero a quien decide sobre su creaci$n y utili.aci$n, o sea, a las empresas dueas de los -istemas de 3nformaci$n Eue no os engaen, el <esponsable del Dichero es el dueo del mismo, el jefe, no el informtico y por lo tanto, es el jefe

quien debe disponer de los medios necesarios para que el informtico desarrolle programas seguros y adecuados a la !ey 4h" tenis un argumento ms a la hora de pedir que os compren lo que os haga falta J'uando se convierte una empresa en responsable de ficheroK 'uando decide su creaci$n, y en ese momento se deben planificar las medidas de seguridad de las que se va a dotar al mismo y notificarlo a la 4gencia /spaola de %rotecci$n de Datos si el fichero es privado 1de una empresa2 -i el fichero es de un organismo p8blico deber notificarlo adems a la 4gencia de %rotecci$n de Datos de su 'omunidad 4ut$noma si existe dicha 4gencia J4nte quin debe responder el <esponsable del Dichero en caso de utili.aci$n fraudulenta de los datosK 4nte el afectado, que le puede demandar judicialmente y exigir la indemni.aci$n que crea oportuna 'on lo que el <esponsable del Dichero se puede enfrentar a la demanda del afectado ms la sanci$n impuesta por la 4gencia de %rotecci$n de Datos que en determinados casos puede actuar de oficio !a ley puede llegar a ser muy peligrosa en el aspecto de las sanciones a imponer, pues no se trata ya de que la administraci$n del estado detecte y persiga el delito, sino que los mismos ciudadanos de a pie pueden reclamar sus derechos y el amparo a la 4gencia de %rotecci$n de Datos que arremeter"a inmediatamente contra quien incumple la !ey y si la 4L%D impone la sanci$n, que ya puede ser millonaria en euros, el afectado tiene todas las de ganar en caso de presentar la demanda ante los tribunales de justicia solicitando la indemni.aci$n correspondiente por la lesi$n causada a su honor e intimidad /sto es importante, imaginaros por un momento que cualquier ciudadano pueda denunciar y sacar tajada de los delitos fiscales de los que tuviera conocimiento y denunciara en la 4/4=, una fiesta para algunos !legados a este punto, ser"a conveniente que contarais con el texto "ntegro de la !,%D 9A):: y el <D ::>):: /l < D ::>):: es el que posee las medidas y normas de seguridad a implantar en el tratamiento de los datos de carcter personal Meris que en los primeros art"culos del <D ::>):: se establecen los criterios que van a regir para las medidas de seguridad !as medidas de seguridad se clasifican en tres nivelesC @sico, (edio y 4lto y depender de los datos contenidos en cada fichero su

calificaci$n %ara calificacionesC

no

extenderme

demasiado,

os

adelanto

las

*1sico si contiene nombre y apellidos, direcci$n, telfono, D53 o 53D /n pocas palabras los datos de identificaci$n de la persona a la que se refieren 4plicable a ficheros de clientes, proveedores, alumnos, socios, ficheros de empleados para n$minas, etc Medio si adems de los anteriores contiene un conjunto de datos que pueden permitir extraer un perfil psicol$gico de la persona afectada o se trata de un registro de incumplimientos de obligaciones dinerarias de los afectados 1ficheros de morosos2 !os ficheros de alumnos de colegios son de nivel medio, sus calificaciones escolares permiten establecer el perfil psicol$gico del alumno, amn de los propios informes de los psic$logos del centro Alto si adems de los contenidos en el (edio o @sico contiene informaci$n sobre la salud del afectado, medidas antropomtricas, origen racial o tnico, religi$n profesada, inclinaciones sexuales, filiaci$n sindical o pertenencia a partidos pol"ticos ,jo con los ficheros de empleados para n$mina, algunos de ellos llevan un campo de afiliaci$n sindical del trabajador para pagarle la empresa directamente al sindicato las cuotas del trabajador, quedan pocos pero algunos hay por ah" y este dato subir"a el nivel de seguridad del fichero de empleados al nivel 4lto ,tro dato curioso son las medidas antropomtricas de los trabajadores, o sea, las tallas que utili.an de los uniformes, si solo pone la talla, -, !, N! , >;, >>, >+7+>, no son datos de 5ivel 4lto, so n @sico, pero si se guardan las medidas del trabajador en cm, alto, ancho, pecho, cadera, etc son de nivel 4lto !os niveles de seguridad son acumulativos, es decir que al nivel 4lto le corresponden las del @sico y las del (edio ms la del nivel 4lto -i el fichero es de nivel (edio, le corresponden por lo tanto las del @sico ms las de 5ivel (edio Iay que quedarse con esto 8ltimo que es muy importante para nosotros, los informticos que vamos a aplicarlas en nuestros programas y bases de datos