Ir al contenido principal

¿Cómo afecta la nueva ley de seguridad privada a la seguridad informática?

El día 5 de Abril de 2014 se publicó en BOE el texto de la nueva Ley 5/2014, de 4 de abril, de Seguridad Privada. A falta de un reglamento que la desarrolle, vamos a analizar algunos puntos que afectan directamente a la Seguridad Informática y a las empresas que prestan dichos servicios.



El artículo 6.6 dice: "A las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan, por su incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten".

Se puede interpretar aquí que el legislador prevé incluir en el reglamento de desarrollo de la ley normas que regulen la actividad de las empresas consultoras de Seguridad Informática. Siempre, según se desprende del espíritu de la ley, para garantizar la calidad de los servicios.

El artículo 7, que detalla aquellas actividades excluidas de cumplir esta ley, especifica en su punto 2: "Queda fuera del ámbito de aplicación de esta ley la obtención por uno mismo de información o datos, así como la contratación de servicios de recepción, recopilación, análisis, comunicación o suministro de información libre obrante en fuentes o registros de acceso público".

Es decir, no se va a regular la recopilación de información pública ni la recopilada para uso propio.

En el artículo 10 se especifican qué actuaciones están expresamente prohibidas. En concreto, el artículo 10.1d establece: "El empleo o utilización, en servicios de seguridad privada, de medios o medidas de seguridad no homologadas cuando sea preceptivo, o de medidas o medios personales, materiales o técnicos de forma tal que atenten contra el derecho al honor, a la intimidad personal o familiar o a la propia imagen o al secreto de las comunicaciones, o cuando incumplan las condiciones o requisitos establecidos en esta ley y en su normativa de desarrollo".

Entre otras cosas, se desprende la prohibición de espiar las comunicaciones incluso en el ejercicio de actividades relacionadas con la seguridad privada. Es obvio que para ciertos servicios de consultoría en Seguridad Informática se recurre constantemente a intentar capturar tráfico de red (sniffing), así que este artículo podría entrar en conflicto con ciertas actividades como los test de intrusión. No parece que el espíritu de la ley vaya por ahí, así que aunque habrá que estar a lo que la norma dicte una vez desarrollada (la redacción del propio artículo deja ver que podrá haber excepciones), sería interesante que se incluyera la posibilidad de celebración de contratos en los que se permita, previo acuerdo, dichas actividades.

El artículo 11 regula el Registro Nacional de seguridad privada. En el punto 4 se dice: "En los mencionados registros, nacional y autonómicos, se anotarán también los datos de las empresas que realicen actividades de seguridad informática, de acuerdo con lo que reglamentariamente se determine".

Lo que quiere decir que a partir de la entrada en vigor del reglamento, las empresas que se dediquen a la Seguridad Informática tendrán la obligación de inscribirse en dicho registro.

El capítulo IV de la ley habla de las medidas de seguridad que pueden y deben ser adoptadas por personas físicas o jurídicas, públicas o privadas. En el artículo 52, que establece los tipos de medidas de seguridad aplicables, el apartado c dice:"De seguridad informática, cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida".

Esto, sin equiparar a las empresas de seguridad privada con las de seguridad informática, expresa que hay que dar especial protección a los sistemas informáticos (incluyendo la disponibilidad de los sistemas y la información que contienen). Estos servicios son ofrecidos por empresas especializadas en Seguridad Informática.

En cuanto al régimen sancionador, el artículo 57.1r define como infracción muy grave: "La falta de comunicación por parte de empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.".

El artículo 61 establece las sanciones. Por una falta muy grave como la del artículo 57.1r la sanción es:
a) Multa de 30.001 a 600.000 euros.
b) Extinción de la autorización, o cierre de la empresa o despacho en los casos de declaración responsable, que comportará la prohibición de volver a obtenerla o presentarla, respectivamente, por un plazo de entre uno y dos años, y cancelación de la inscripción en el registro correspondiente.
c) Prohibición para ocupar cargos de representación legal en empresas de seguridad privada por un plazo de entre uno y dos años.

Finalmente, la disposición final cuarta especifica que la entrada en vigor será a los dos meses de su publicación en el Boletín Oficial del Estado. Es decir, a partir de Junio, todas las empresas que se dediquen a la seguridad de sistemas informáticos han de adaptarse a las normas de esta ley y a las del reglamento que en su momento las desarrolle.

Comentarios

Entradas populares de este blog

Criptografía en Python con PyCrypto

A la hora de cifrar información con Python, tenemos algunas opciones, pero una de las más fiables es la librería criptográfica PyCrypto, que soporta funciones para cifrado por bloques, cifrado por flujo y cálculo de hash. Además incorpora sus propios generadores de números aleatorios. Seguidamente os presento algunas de sus características y también como se usa.


Regresión lineal y descenso de gradiente con Python

En machine learning, el objetivo principal es encontrar un modelo que explique el comportamiento de un sistema (en el amplio sentido de la palabra). A partir de unos datos de entrenamiento, un sistema de aprendizaje automático ha de ser capaz de inferir un modelo capaz de explicar, al menos en su mayoría, los efectos observados. Pero también aplicar ese aprendizaje. Por ejemplo, un sistema de machine learning muy lucrativo para las empresas anunciantes es aquél que dado un perfil de usuario (datos de entrada A), sea capaz de predecir si pinchará o no (salida B) sobre un anuncio publicitario de, por ejemplo, comida para gatos. No es sencillo crear un modelo capaz de predecir el comportamiento del usuario (o sí), pero en todo caso, existen diferentes técnicas que nos permiten abordar el problema. En el caso del ejemplo que acabamos de ver, el modelo debería ser capaz de clasificar a los usuarios en dos clases diferentes, los que pulsarán y los que no pulsarán el anuncio de comida de ga…

Desbordamiento de enteros (Integer Overflow)

Ya os he hablado en este blog de posibles problemas potenciales que se pueden dar en los programas y que son susceptibles de ser explotados para hacer que dichos programas se comporten de forma diferente a la que deberían. Uno de estos problemas es el del desbordamiento de la pila. Sin embargo, hay otros posibles errores de programación que, aunque menos obvios, son igual de peligrosos. Uno de ellos es el desbordamiento de enteros o integer overflow. Para entender cómo funciona os presento un ejemplo muy sencillo pero didáctico.