Ir al contenido principal

¿Cómo afecta la nueva ley de seguridad privada a la seguridad informática?

El día 5 de Abril de 2014 se publicó en BOE el texto de la nueva Ley 5/2014, de 4 de abril, de Seguridad Privada. A falta de un reglamento que la desarrolle, vamos a analizar algunos puntos que afectan directamente a la Seguridad Informática y a las empresas que prestan dichos servicios.



El artículo 6.6 dice: "A las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan, por su incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten".

Se puede interpretar aquí que el legislador prevé incluir en el reglamento de desarrollo de la ley normas que regulen la actividad de las empresas consultoras de Seguridad Informática. Siempre, según se desprende del espíritu de la ley, para garantizar la calidad de los servicios.

El artículo 7, que detalla aquellas actividades excluidas de cumplir esta ley, especifica en su punto 2: "Queda fuera del ámbito de aplicación de esta ley la obtención por uno mismo de información o datos, así como la contratación de servicios de recepción, recopilación, análisis, comunicación o suministro de información libre obrante en fuentes o registros de acceso público".

Es decir, no se va a regular la recopilación de información pública ni la recopilada para uso propio.

En el artículo 10 se especifican qué actuaciones están expresamente prohibidas. En concreto, el artículo 10.1d establece: "El empleo o utilización, en servicios de seguridad privada, de medios o medidas de seguridad no homologadas cuando sea preceptivo, o de medidas o medios personales, materiales o técnicos de forma tal que atenten contra el derecho al honor, a la intimidad personal o familiar o a la propia imagen o al secreto de las comunicaciones, o cuando incumplan las condiciones o requisitos establecidos en esta ley y en su normativa de desarrollo".

Entre otras cosas, se desprende la prohibición de espiar las comunicaciones incluso en el ejercicio de actividades relacionadas con la seguridad privada. Es obvio que para ciertos servicios de consultoría en Seguridad Informática se recurre constantemente a intentar capturar tráfico de red (sniffing), así que este artículo podría entrar en conflicto con ciertas actividades como los test de intrusión. No parece que el espíritu de la ley vaya por ahí, así que aunque habrá que estar a lo que la norma dicte una vez desarrollada (la redacción del propio artículo deja ver que podrá haber excepciones), sería interesante que se incluyera la posibilidad de celebración de contratos en los que se permita, previo acuerdo, dichas actividades.

El artículo 11 regula el Registro Nacional de seguridad privada. En el punto 4 se dice: "En los mencionados registros, nacional y autonómicos, se anotarán también los datos de las empresas que realicen actividades de seguridad informática, de acuerdo con lo que reglamentariamente se determine".

Lo que quiere decir que a partir de la entrada en vigor del reglamento, las empresas que se dediquen a la Seguridad Informática tendrán la obligación de inscribirse en dicho registro.

El capítulo IV de la ley habla de las medidas de seguridad que pueden y deben ser adoptadas por personas físicas o jurídicas, públicas o privadas. En el artículo 52, que establece los tipos de medidas de seguridad aplicables, el apartado c dice:"De seguridad informática, cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida".

Esto, sin equiparar a las empresas de seguridad privada con las de seguridad informática, expresa que hay que dar especial protección a los sistemas informáticos (incluyendo la disponibilidad de los sistemas y la información que contienen). Estos servicios son ofrecidos por empresas especializadas en Seguridad Informática.

En cuanto al régimen sancionador, el artículo 57.1r define como infracción muy grave: "La falta de comunicación por parte de empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.".

El artículo 61 establece las sanciones. Por una falta muy grave como la del artículo 57.1r la sanción es:
a) Multa de 30.001 a 600.000 euros.
b) Extinción de la autorización, o cierre de la empresa o despacho en los casos de declaración responsable, que comportará la prohibición de volver a obtenerla o presentarla, respectivamente, por un plazo de entre uno y dos años, y cancelación de la inscripción en el registro correspondiente.
c) Prohibición para ocupar cargos de representación legal en empresas de seguridad privada por un plazo de entre uno y dos años.

Finalmente, la disposición final cuarta especifica que la entrada en vigor será a los dos meses de su publicación en el Boletín Oficial del Estado. Es decir, a partir de Junio, todas las empresas que se dediquen a la seguridad de sistemas informáticos han de adaptarse a las normas de esta ley y a las del reglamento que en su momento las desarrolle.

Comentarios

Entradas populares de este blog

Creando firmas de virus para ClamAV

ClamAv es un antivirus opensource y multiplataforma creado por Tomasz Kojm muy utilizado en los servidores de correo Linux. Este antivirus es desarrollado por la comunidad, y su utilidad práctica depende de que su base de datos de firmas sea lo suficientemente grande y actualizado. Para ello es necesario que voluntarios contribuyan activamente aportando firmas. El presente artículo pretende describir de manera sencilla cómo crear firmas de virus para ClamAV y contribuir con ellas a la comunidad.

Manejo de grafos con NetworkX en Python

El aprendizaje computacional es un área de investigación que en los últimos años ha tenido un auge importante, sobre todo gracias al aprendizaje profundo (Deep Learning). Pero no todo son redes neuronales. Paralelamente a estas técnicas, más bien basadas en el aprendizaje de patrones, también hay un auge de otras técnicas, digamos, más basadas en el aprendizaje simbólico. Si echamos la vista algunos años atrás, podemos considerar que quizá, la promesa de la web semántica como gran base de conocimiento ha fracasado, pero no es tan así. Ha ido transmutándose y evolucionando hacia bases de conocimiento basadas en ontologías a partir de las cuales es posible obtener nuevo conocimiento. Es lo que llamamos razonamiento automático y empresas como Google ya lo utilizan para ofrecerte información adicional sobre tus búsquedas. Ellos lo llaman Grafos de Conocimiento o Knowledge Graphs . Gracias a estos grafos de conocimiento, Google puede ofrecerte información adicional sobre tu búsqueda, ad

Scripts en NMAP

Cuando pensamos en NMAP, pensamos en el escaneo de puertos de un host objetivo al que estamos relizando una prueba de intrusión, pero gracias a las posibilidades que nos ofrecen su Scripting Engine , NMAP es mucho más que eso. Antes de continuar, un aviso: algunas de posibilidades que nos ofrecen los scripts de NMAP son bastante intrusivas, por lo que recomiendo hacerlas contra hosts propios, máquinas virtuales como las de Metasploitable, o contrato de pentesting mediante. Para este artículo voy a usar las máquinas de Metasploitable3 . No voy a entrar en los detalles sobre el uso básico de NMAP, ya que hay miles de tutoriales en Internet que hablan sobre ello. Lo cierto es que NMAP tiene algunas opciones que permiten obtener información extra, además de qué puertos están abiertos y cuales no. Por ejemplo, la opción -sV trata de obtener el servicio concreto, e incluso la versión del servicio que está corriendo en cada puerto. Otro ejemplo es la opción -O, que intenta averiguar el