1 00:00:01,260 --> 00:00:18,059 Bueno, vamos con el último tema ya, el que nos queda de ciberseguridad, que es el tema 7 relativo a la normativa de ciberseguridad. Este tema quizás sea un tema un poco rollo, pero bueno, hay que darlo porque al final es importante, ¿no? 2 00:00:18,059 --> 00:00:29,800 Que muchas veces cuando programemos o tengamos que tener en cuenta que estamos desarrollando software que implica a terceras personas, ¿no? 3 00:00:29,800 --> 00:00:43,520 Porque tenemos usuarios y información sensible que manejar, pues tenemos que atenernos a ciertas leyes que pueden ser de ámbito nacional o de ámbito internacional, ¿vale? 4 00:00:43,520 --> 00:00:48,859 Vale, entonces vamos con los elementos fundamentales para el cumplimiento de la normativa. 5 00:00:49,899 --> 00:00:54,060 Lo primero que tenemos que tener claro es la normativa a aplicar y en lo que consiste. 6 00:00:55,359 --> 00:01:04,900 Vale, tenemos normativa referente a la protección de datos. 7 00:01:04,900 --> 00:01:15,120 Estas leyes las tendremos más ampliadas un poco más aquí abajo 8 00:01:15,120 --> 00:01:18,579 Aquí tenemos el Escamar Nacional de Seguridad 9 00:01:18,579 --> 00:01:23,560 La Ley Orgánica de Protección de Datos y Garantía del Derecho Digital 10 00:01:23,560 --> 00:01:26,239 Que esta es también muy importante 11 00:01:26,239 --> 00:01:31,200 La PIC, de Protección de Infraestructuras Críticas 12 00:01:31,200 --> 00:01:36,390 Que tiene su propio apartado 13 00:01:36,390 --> 00:01:49,790 Y bueno, es un poco de lo que va el tema, de saber un poco la legislación que tenemos hoy en día 14 00:01:49,790 --> 00:01:56,609 Y saber que tenemos que atenernos a ella 15 00:01:56,609 --> 00:02:04,590 Entonces, por una parte, tenemos que saber un poco la normativa, el régimen general de protección de datos 16 00:02:04,590 --> 00:02:12,189 qué ámbito aplica, en qué consiste, a lo que tenemos que atenernos, las consecuencias de no cumplirlo 17 00:02:12,189 --> 00:02:17,750 y cómo demostrar, por ejemplo, que si te hacen una auditoría lo estás cumpliendo. 18 00:02:21,400 --> 00:02:24,240 Entonces, más o menos estas son las que vamos a dar. 19 00:02:26,699 --> 00:02:34,340 Tenemos otros elementos como la evaluación de riesgos activos sensibles por los datos, sistemas, servicios, amenazas potenciales. 20 00:02:34,340 --> 00:02:44,539 Pues lo que hemos venido hablando, ¿no? De acceso no autorizado, malware, errores, vulnerabilidades técnicas y organizativas, impacto de un incidente y medidas de mitigación. 21 00:02:45,259 --> 00:02:53,960 Medias técnicas y organizativas, ¿vale? Técnicas es, pues eso, cifra de autentificación, VPNs, firewalls, copias de seguridad, organizativas. 22 00:02:53,960 --> 00:03:01,740 es el control de lo que es nuestros empleados, de la formación que le damos para que no cometan errores, 23 00:03:02,379 --> 00:03:06,240 del control de acceso, los procedimientos, políticas de seguridad. 24 00:03:06,919 --> 00:03:12,740 Luego la documentación y la trazabilidad, que como hemos dicho es importante documentar, 25 00:03:14,280 --> 00:03:20,000 aportar pruebas para demostrar que realmente nuestro sistema está atendiendo las leyes. 26 00:03:20,000 --> 00:03:45,060 Si nos hacen una auditoría, por ejemplo, debe poner poder demostrar mediante evidencias documentales, políticas de seguridad de la empresa, registro de actividades de tratamiento, cumplimiento de la ley general de protección de datos, registro de acceso, incidencias, formación y revisiones, auditorías periódicas y luego la supervisión de la auditoría en mejora continua. 27 00:03:45,060 --> 00:03:59,400 La mejora continua, que viene de Toyota, que dice que si mejoras un 1% diario, pues a la larga es una gran mejora. 28 00:04:00,460 --> 00:04:11,159 Comprobar que las medidas implantadas siguen siendo efectivas, identificar desviaciones o incumplimientos y actualizar las políticas según nuevas amenazas o cambios normativos. 29 00:04:11,159 --> 00:04:17,139 Aquí, por lo típico, os he pegado el cuadrito que hay en el contenido 30 00:04:17,139 --> 00:04:21,600 Por si os ayuda así de un vistazo rápido 31 00:04:21,600 --> 00:04:26,439 Entonces, ¿cómo deseamos sistemas para que cumplan todo esto, verdad? 32 00:04:29,139 --> 00:04:31,699 Porque no solo va a estar cumplirlo 33 00:04:31,699 --> 00:04:36,220 Tienes que demostrar que lo estás cumpliendo 34 00:04:36,220 --> 00:04:40,060 Cómo manejas si realmente hay un incidente 35 00:04:40,060 --> 00:04:52,899 cómo manejas ese riesgo. Entonces es lo que vamos a ver. Requiere estructurar de forma clara los elementos esenciales que permiten garantizar la protección de datos y sistemas 36 00:04:52,899 --> 00:04:58,399 y demostrar ante auditorías o inspecciones que la organización actúa de forma conforme a la ley. 37 00:04:59,899 --> 00:05:09,060 Entonces, componentes claves. Política de seguridad de la información. Establece los principios, objetivos y reglas que guían a la organización en materia de ciberseguridad. 38 00:05:11,569 --> 00:05:20,250 ¿Vale? Principios, objetivos y reglas que la organización tiene que seguir en materia de ciberseguridad. 39 00:05:20,889 --> 00:05:26,750 Contenido habitual. Declaración de compromiso de la dirección con el cumplimiento normativo. Asignación de errores y responsabilidades. 40 00:05:27,870 --> 00:05:35,970 ¿Vale? Podemos asignar un DPO, un Data Protection Officer, que se encargará de ser el responsable de todo esto. 41 00:05:35,970 --> 00:05:48,910 Objetivos estratégicos de seguridad, para tener un objetivo claro a partir del cual vamos a plantear una planificación y un esfuerzo para llegar a él 42 00:05:48,910 --> 00:05:52,769 Normas de uso aceptables de los sistemas, dispositivos y datos 43 00:05:52,769 --> 00:05:55,009 Modelo de gestión del riesgo 44 00:05:55,009 --> 00:06:05,709 Este modelo permite a la organización anticiparse a los problemas, identificando amenazas que puedan afectar a sus sistemas, servicios o datos y estableciendo medidas de mitigación 45 00:06:05,709 --> 00:06:15,569 Fases claves. Identificación de activos. ¿Qué recursos necesitan protección? ¿Por qué serán los más sensibles y dónde tendremos que dedicar más esfuerzo? 46 00:06:16,009 --> 00:06:20,430 Evaluación de amenazas. Malware, acceso no autorizado, errores humanos. Lo que hemos visto antes. 47 00:06:20,910 --> 00:06:25,810 Evaluación de vulnerabilidades. Sistemas sin parchear, contraseñas débiles, configuraciones erróneas. 48 00:06:26,430 --> 00:06:32,350 Tratamiento de riesgo. Aplicar medidas para reducir en cuanto a la técnica y a la organización. 49 00:06:35,709 --> 00:06:51,529 Seguimos. Controles técnicos. Pues autentificación multifactorial que ya le hemos dado a lo largo del temario junto con cifrado de disco para que si lo roban la información esté cifrada y no le sirva de nada. 50 00:06:51,529 --> 00:07:06,769 Copias de seguridad por si consiguen destruir datos de manera lógica o incluso física con un incendio o que los roben también. Tenemos una copia de seguridad que nos permite seguir con nuestras actividades. 51 00:07:07,509 --> 00:07:09,870 Y en cuanto a los protocolos que utilizamos de comunicación. 52 00:07:10,790 --> 00:07:15,850 Segmentación de la red con VLANs. Registro de eventos en servidores y en points. 53 00:07:15,850 --> 00:07:34,350 Entonces, pues bueno, esto por un lado. Controles técnicos. Controles organizativos. Políticas de seguridad y confidencialidad. Procedimientos documentados de alta y baja de usuarios y formación periódica en buenas prácticas. 54 00:07:34,350 --> 00:07:36,790 Más referido a la organización en general. 55 00:07:39,519 --> 00:07:40,819 Sistema de gestión documental. 56 00:07:41,339 --> 00:07:45,339 Todo sistema de cumplimiento normativo debe estar documentado y ser verificable. 57 00:07:46,079 --> 00:07:53,019 La documentación permite demostrar ante auditorías internas o externas que se aplican medidas eficaces y adecuadas. 58 00:07:53,720 --> 00:07:55,180 Documentos clave para mantener. 59 00:07:56,139 --> 00:07:59,339 Inventario actualizado de actividades informáticas y lógicos. 60 00:08:00,120 --> 00:08:02,240 Registro de tratamientos de datos personales. 61 00:08:02,240 --> 00:08:11,660 Personales, que se exige en el Reglamento General de Protección de Datos. 62 00:08:12,160 --> 00:08:17,879 Informes de auditoría de seguridad y cumplimiento. 63 00:08:18,439 --> 00:08:21,639 Manuales de procedimiento, políticas y protocolo. 64 00:08:22,220 --> 00:08:24,699 Historial de formación y sensibilización del personal. 65 00:08:24,699 --> 00:08:35,679 Bueno, pues todos estos son documentos que, según la ley o la normativa que estamos intentando certificar, pues tenemos que tener actualizados. 66 00:08:37,299 --> 00:08:38,919 Auditoría y mejora continua. 67 00:08:39,700 --> 00:08:42,679 Un sistema de cumplimiento normativo no es estático. 68 00:08:43,559 --> 00:08:47,299 Debe adaptarse a los cambios tecnológicos, legales y organizativos. 69 00:08:47,860 --> 00:08:52,919 Para ello se requiere un proceso de revisión y mejora permanente. 70 00:08:53,860 --> 00:09:14,100 Actividades esenciales. Auditorias internas programadas. No solo hacemos auditorias externas que serán obligatorias y será por un organismo externo a la compañía que sea objetivo, sino que también las haremos internas para verificar que todo se está cumpliendo. 71 00:09:14,100 --> 00:09:31,419 Revisión de eficacia de medidas aplicadas con los KPIs, los Key Performance Indicators. Haremos ciertos índices que reflejarán lo que la organización espera en términos de ciberseguridad. 72 00:09:31,419 --> 00:09:39,879 Entonces, podremos hacer una medición para ver si realmente estamos mejorando o nos estamos acercando a lo que es el objetivo. 73 00:09:40,759 --> 00:09:49,500 Actualización de políticas y controles según las auditorías o incidentes y documentación de acciones correctivas o preventivas. 74 00:09:51,440 --> 00:09:59,860 Y, bueno, pues de nuevo el cuadrito que os copio aquí del contenido que está bastante esquematizado por si os puede ayudar. 75 00:10:01,419 --> 00:10:24,220 Entonces, tenemos legislación que se aplica en España, que tenemos el Código Penal por un lado y la Ley Orgánica 10.95 del Código Penal también. 76 00:10:24,220 --> 00:10:36,039 En el Código Penal tenemos los artículos del 197 a 197 ter y del 264 y 264 cuater 77 00:10:36,039 --> 00:10:43,799 Estos artículos regulan los principales delitos, por eso están en el Código Penal, informáticos en el ordenamiento jurídico español 78 00:10:43,799 --> 00:10:49,899 Se centran en la protección de la privacidad, la integridad de los datos y los sistemas de información 79 00:10:49,899 --> 00:11:13,059 Incluyen conductas como acceso a los autorizados sistemas informáticos o base de datos, intersección de comunicación electrónica sin consentimiento, modificación o destrucción de información digital con ánimo de daños, infección con malware que causa perjuicios a los sistemas y a los datos, revelación, difusión o uso indebido de datos obtenidos ilegalmente. 80 00:11:13,059 --> 00:11:24,480 Además contempla la responsabilidad de las personas jurídicas y empresas y organizaciones cuando no adopten las medidas necesarias para prevenir la comisión de estos delitos por parte de sus empleados o terceros. 81 00:11:24,480 --> 00:11:55,590 Entonces, tenemos a los ciberatacantes, que por un lado están cometiendo un delito al atacar tu sistema informático, al hacer un uso individuo para destruir daños, para interceptar la comunicación como podéis hacer vosotros en el wifi de un McDonald's con un Wireshark. 82 00:11:56,049 --> 00:12:15,110 Eso sería un delito. Los accesos no autorizados, de que un empleado te da sus credenciales para que tú te metas en el sistema. Infección con el malware, te metes en un sistema con un acceso no autorizado y le instalas un virus. 83 00:12:15,110 --> 00:12:28,730 Y luego, con la información que has obtenido, la haces pública o la vendes a un tercero. Todos esos son delitos contemplados en estos dos artículos del Código Penal. 84 00:12:29,289 --> 00:12:44,029 Pero no solo eso. En este párrafo lo que se está diciendo es que no solo el que ataca tiene la responsabilidad penal, sino también la empresa que es responsable de custodiar esa información, esos datos sensibles de terceros. 85 00:12:44,029 --> 00:13:04,000 Si no han puesto las medidas oportunas para que esto no se produzca, van a tener también consecuencias penales. Por eso se habla de persona jurídica. Las personas jurídicas son las que son las empresas o corporaciones, que no son personas físicas. 86 00:13:04,000 --> 00:13:13,159 Está la persona física, que es un particular, que puede ser el ciberatacante, que como particular hace un ciberataque a una organización o a una empresa. 87 00:13:13,360 --> 00:13:25,000 Y luego están las personas jurídicas, que es la empresa en sí, que es la responsable de poner las medidas oportunas para que estos ataques no se produzcan. 88 00:13:26,840 --> 00:13:32,279 Luego tenemos la ley orgánica 1095. 89 00:13:32,279 --> 00:13:49,960 Esta ley, tras su reforma en 2010, intrujo la posibilidad de atribuir responsabilidad penal directamente a las personas jurídicas, es decir, a empresas, asociaciones o entidades cuando no implementan modelos de prevención eficaces para evitar la comisión de delitos dentro de su estructura. 90 00:13:49,960 --> 00:14:04,019 Para evitar o mitigar esas responsabilidades penales, las organizaciones deben contar con protocolos internos de actuación, medidas técnicas de seguridad implantadas, sistemas de supervisión y control y formación específica para los empleados. 91 00:14:04,440 --> 00:14:11,179 Si no lo hacen y uno de sus trabajadores comete un delito en el ejercicio de sus funciones, la entidad puede ser sancionada penalmente. 92 00:14:11,179 --> 00:14:17,240 ¿Vale? Entonces, esta ley lo que dice es que hay que poner todas estas medidas 93 00:14:17,240 --> 00:14:21,740 O sea, hay que llevar todas estas medidas a cabo 94 00:14:21,740 --> 00:14:26,980 Para que en el caso de que se produzca un ataque 95 00:14:26,980 --> 00:14:29,120 ¿Vale? 96 00:14:32,820 --> 00:14:35,559 No sea responsabilidad de la empresa, ¿vale? 97 00:14:35,559 --> 00:14:38,039 Porque la empresa ha intentado hacer todo lo que está en su mano 98 00:14:38,039 --> 00:14:42,559 Y ha respetado lo que dice esta ley para que no se produzca 99 00:14:43,000 --> 00:14:58,460 ¿Vale? Entonces por eso es tan importante a la hora de llevar sistemas informáticos, porque tenemos que atendernos a la ley, a lo que pide, para que podamos justificar que nosotros hemos hecho todo lo que ha estado en nuestras manos. 100 00:14:58,460 --> 00:15:22,120 Porque es lo que decíamos al principio. Que no hay ningún sistema informático que sea seguro al 100%. Se habla de fiabilidad. De que los sistemas son fiables. En el sentido de que son difícilmente atacantes y que se han puesto medidas para que los ataques no sean fáciles de hacer. 101 00:15:22,120 --> 00:15:51,639 Que tengan cierta dificultad. Entonces, las empresas no solo están obligadas a poner medidas de seguridad porque realmente están tratando con información sensible de los usuarios y para que el sistema tenga disponibilidad, que funcione bien, que se interese la empresa para que su producto o servicio sea competitivo y pueda ser operativo 24-7 si es necesario. 102 00:15:51,639 --> 00:16:07,919 sino que también tiene consecuencias penales por no hacerlo. Entonces, es del interés de la empresa el reforzar todas estas medidas y, por lo tanto, va a ser interés nuestro cuando trabajemos en el departamento de informática de las mismas. 103 00:16:07,919 --> 00:16:25,559 ¿Vale? Legislación y jurisprudencia. En cuanto a jurisprudencia, bueno, la jurisprudencia es que la ley se vale de sentencias firmes que ha habido anteriormente para sentar precedente. 104 00:16:25,559 --> 00:16:40,620 En el sentido de que luego un abogado puede referenciar esas sentencias firmes para decir, mire, en este caso se falló a favor de tal, con tal consecuencia. 105 00:16:40,960 --> 00:16:54,759 Y esto al final lo que crea es la jurisprudencia, que determina que el juez lo tenga en cuenta porque ya ha habido procesos anteriores similares y se ha llegado a una conclusión en los resultados. 106 00:16:55,559 --> 00:17:02,340 vale esto que si vais por ejemplo a un abogado y os tenéis que meter en un pleito gordo lo que 107 00:17:02,340 --> 00:17:08,500 normalmente se hace es pedir al abogado que haga un estudio de jurisprudencias entonces lo que hace 108 00:17:08,500 --> 00:17:16,960 el abogado es ver para tu caso como les ha ido a otras personas y si vale la pena meterse porque 109 00:17:16,960 --> 00:17:25,039 si por ejemplo está estafado pues volvemos a los coches que a mí me gusta mucho los coches 110 00:17:25,039 --> 00:17:34,720 Entonces, Flexicar, Ocasión Plus, todas estas compraventas, no digo que en general, no vamos a decir marcas. 111 00:17:34,720 --> 00:17:56,259 Si, por ejemplo, tú compras un coche a un sitio de vehículos de ocasión y te estafan porque resulta que a las dos semanas el coche está en el taller con una factura de 4.000 euros y el compraventa no te hace ni caso, entonces tú vas a ir a un abogado. 112 00:17:56,259 --> 00:18:02,599 y el abogado lo que puede hacer es un estudio de casos similares a los tuyos 113 00:18:02,599 --> 00:18:06,640 para decirte cómo ha ido, si hay posibilidades de ganar, cuánto tiempo hay que esperar 114 00:18:06,640 --> 00:18:13,339 para ver si te renta. Igual te renta estar un año y medio con el coche parado 115 00:18:13,339 --> 00:18:17,440 para que al final te paguen esos 4.000 euros o te devuelvan el dinero del coche 116 00:18:17,440 --> 00:18:21,039 o igual te renta arreglarlo o igual te renta venderlo tú. 117 00:18:21,039 --> 00:18:24,420 Entonces, la jurisprudencia es importante 118 00:18:24,420 --> 00:18:31,480 No os la he añadido aquí porque realmente tampoco os voy a preguntar casos en concreto que hayan pasado 119 00:18:31,480 --> 00:18:35,980 Son curiosidades, que está bien que les echéis un vistazo 120 00:18:35,980 --> 00:18:39,799 Y que están en el contenido del tema, ¿vale? 121 00:18:40,160 --> 00:18:43,980 Pero aquí lo que vamos a ver y lo que yo voy a hacer más hincapié es en la legislación 122 00:18:43,980 --> 00:18:50,960 Pero sí, ir al contenido del tema y leeros casos de jurisprudencia que son curiosos y está bien leerlo, ¿vale? 123 00:18:51,039 --> 00:18:58,460 Entonces, vamos con el Reglamento General de Protección de Datos, que esto es bastante importante. 124 00:19:00,519 --> 00:19:12,299 Este ámbito europeo, como veis aquí, Unión Europea con este dictamen, es la normativa europea de referencia en materia de protección de datos. 125 00:19:12,900 --> 00:19:16,339 Entonces vamos a tener uno de ámbito europeo, otro de ámbito nacional. 126 00:19:16,339 --> 00:19:25,640 toda organización debe ajustar sus procesos al cumplimiento de estos principios licitud lealtad 127 00:19:25,640 --> 00:19:32,160 y transparencia los datos deben recogerse con base legal y de forma comprensible para el usuario 128 00:19:33,059 --> 00:19:40,480 limitación de la finalidad los datos sólo pueden utilizarse para el fin específico para el que 129 00:19:40,480 --> 00:19:49,390 fueron recogidos. Minimización de datos. Deben recogerse sólo los datos estrictamente necesarios. 130 00:19:50,250 --> 00:19:58,150 Exactitud. Los datos deben mantenerse actualizados y corregidos si son inexactos. Limitación del 131 00:19:58,150 --> 00:20:06,150 plazo de conservación. No pueden almacenarse más tiempo del necesario. Integridad y confidencialidad. 132 00:20:06,970 --> 00:20:12,009 Deben garantizarse medidas técnicas y organizativas para evitar accesos no autorizados. 133 00:20:12,109 --> 00:20:19,849 responsabilidad proactiva accountability las organizaciones deben poder demostrar que 134 00:20:19,849 --> 00:20:26,890 cumplen con la normativa en todo momento vale entonces yo creo que son puntos que se explican 135 00:20:26,890 --> 00:20:32,730 por sí solos valen y realmente son bastante claros son importantes hay que aprenderse los 136 00:20:32,730 --> 00:20:46,109 entonces seguimos luego tenemos la ley española vale tenéis que tener en cuenta de que una ley 137 00:20:46,109 --> 00:20:51,549 española no puede contradecir la europea vale entonces primero es la europea luego la española 138 00:20:51,549 --> 00:20:56,769 pero la española lo que va a hacer es intentar desarrollarla para las particularidades que tiene 139 00:20:56,769 --> 00:21:10,009 En su ámbito, ¿vale? Sin contradecir la europea. Entonces, para la europea, con ámbito europeo, tenemos el régimen general de protección de datos, ¿vale? Que es el que acabamos de leer. 140 00:21:10,009 --> 00:21:21,150 Y para la española tenemos la Ley Orgánica de Protección de Datos y Garantías de Derecho Digital. 141 00:21:23,009 --> 00:21:29,549 Todas estas siglas que son enormes. Antes era la Ley Orgánica de Protección de Datos y ya está. 142 00:21:29,990 --> 00:21:34,009 Ahora es también de Garantía de Derechos Digitales. 143 00:21:34,009 --> 00:21:47,869 digitales, que es como los derechos de los titulares de los datos personales, que son 144 00:21:47,869 --> 00:22:00,130 también muy importantes, lo que conocíamos como la ley ARCO. Estos, acceso, rectificación, 145 00:22:00,349 --> 00:22:10,619 cancelación y oposición. Acceso, rectificación, como era, cancelación, que ahora se llama 146 00:22:10,619 --> 00:22:18,799 supresión y oposición y a esto pues se le une la portabilidad y la limitación del tratamiento 147 00:22:19,960 --> 00:22:29,170 vale entonces la ley orgánica de protección de datos y garantía de derechos digitales todo 148 00:22:29,170 --> 00:22:36,490 este mamotreto adapta el reglamento general de protección de datos vale es lo que os he 149 00:22:36,490 --> 00:23:00,849 Primero está la ley de Europa. Por eso es verdad que muchas veces tú votas en España porque piensas que tienes soberanía, pero muchas veces no la tenemos porque estamos subordinados a una entidad supranacional, como es la Unión Europea. 150 00:23:00,849 --> 00:23:13,049 En términos legislativos, muchas veces nos creemos que el gobierno está haciendo una propia ley, pero está basada, a su vez, en dictámenes de la Unión Europea. 151 00:23:13,730 --> 00:23:19,369 Pensamos que controlamos igual la economía, pero la economía también está controlada por el Banco Central Europeo. 152 00:23:19,769 --> 00:23:25,369 Pensamos que estamos con la defensa, que controlamos nuestra defensa, pero pertenecemos a la OTAN. 153 00:23:25,369 --> 00:23:37,349 Entonces, realmente vivimos en un mundo globalizado en el que hay una geopolítica que, por desgracia, controla nuestras vidas. 154 00:23:38,609 --> 00:23:50,029 Y entonces, que sí que nosotros estamos en democracia en el sentido de que podemos votar, en teoría decidir quiénes son nuestros gobernantes, 155 00:23:50,029 --> 00:24:14,099 aunque estamos muy limitados porque tenemos listas cerradas y tenemos ciertos derechos adquiridos, ¿no? Como que no te pueden detener sin justificación, como que tenemos derecho a si vamos a prisión, pues cotizar, que nos den una formación, buenos tratos, una serie de derechos adquiridos que están muy bien. 156 00:24:14,099 --> 00:24:32,140 Pero en cuanto a soberanía, pues eso, estamos a los dictámenes de entidades supranacionales como es el dólar, como es Estados Unidos, como es la Unión Europea. Y en este caso pues no es menos, ¿vale? Porque tenemos nuestra ley de protección de datos pero se basa en la que ya nos han dado de la Unión Europea, ¿vale? 157 00:24:32,140 --> 00:24:40,279 Y por eso el ámbito es importante, porque una ley de ámbito nacional no puede contradecir a una ley de ámbito internacional, sino que se tiene que basar en la misma. 158 00:24:40,279 --> 00:25:07,400 Y si nos ponemos rebeldes y no lo hacemos, pues pasa como está pasando hoy en día con el diésel, que el diésel tiene ventajas fiscales porque estuvieron dos décadas promocionándolo, como el combustible ecológico, porque expulsa menos CO2 que la gasolina. 159 00:25:07,400 --> 00:25:16,990 pero y por eso se tiene ventajas fiscales frente a la gasolina y por eso es más barato pero ahora 160 00:25:16,990 --> 00:25:21,589 que el diésel está demonizado pues desde la unión europea nos están diciendo que tenemos que quitar 161 00:25:21,589 --> 00:25:29,869 la subvención al diésel y tenía que haber sido el año pasado no sé no se puso por la repercusión 162 00:25:29,869 --> 00:25:38,089 social y económico que supondría y europa nos ha sancionado pues esas medidas de sanciones 163 00:25:38,089 --> 00:25:46,450 pues son las que nos afectan y al final pues estamos unidos para bien y para mal con la 164 00:25:46,450 --> 00:25:52,490 unión europea por eso tenemos normativa de ámbito internacional que tenemos que respetar aunque sea 165 00:25:52,490 --> 00:25:59,950 dictada dictaminada por entidades que no tengan nada que ver con con españa salvo que pertenecemos 166 00:25:59,950 --> 00:26:09,069 a esta organización y otras de ámbito nacional vale bueno y después de este off topic seguimos 167 00:26:09,069 --> 00:26:17,410 entonces pues eso adapta el reglamento de protección de datos al marco legal español 168 00:26:17,410 --> 00:26:22,029 introduce medidas específicas para reforzar los derechos digitales de los ciudadanos especialmente 169 00:26:22,029 --> 00:26:27,910 en el entorno laboral educativo y tecnológico aspectos claves de la ley derecho a la 170 00:26:27,910 --> 00:26:31,750 desconexión digital proteja al trabajador frente a comunicaciones 171 00:26:31,750 --> 00:26:35,029 electrónicas fuera del horario de trabajo 172 00:26:35,029 --> 00:26:41,500 pero el horario laboral pues eso que tienes derecho a irte de vacaciones sin 173 00:26:41,500 --> 00:26:45,900 que tu jefe te esté llamando que tienes derecho a llegar a casa y estar con tus 174 00:26:45,900 --> 00:26:51,660 hijos sin tener que estar enviando mails ni atendiendo a llamadas 175 00:26:51,660 --> 00:26:59,000 ni siquiera preocupado vale tienes tienes derecho a la desconexión porque 176 00:26:59,539 --> 00:27:21,980 Pues, muchos sabréis que muchos comerciales tienen dos móviles y muchos jefes te envían un mail a las 12 de la noche y al día siguiente te preguntan si lo has leído. Pues tú tienes derecho a que haya una desconexión, a que tú sueltas el boli a las 6 de la tarde en tu oficina y desconectes. 177 00:27:21,980 --> 00:27:39,859 No quieras saber nada más del trabajo. Otra cosa es que estés haciendo guardias o lo que hayas acordado. Pero tú tienes que tener tu tiempo libre del trabajo intentando no estar pendiente del correo, ni del móvil, ni de nada más. 178 00:27:39,859 --> 00:28:09,319 Porque claro, vivimos en un mundo en el que estamos conectados las 24 horas y eso también implica el trabajo. Entonces, que sepáis que hay un derecho a la desconexión. El hecho de que tu jefe tenga datos personales tuyos y que te pueda llamar a tu móvil o que tenga acceso a tu correo personal o de trabajo y te mande mails y te exija que los leas, pues tú tienes un derecho que te protege. 179 00:28:09,859 --> 00:28:14,000 protección de menores en internet según el consentimiento digital para menores y 180 00:28:14,000 --> 00:28:21,259 su protección en entornos virtuales vale esto pues también cuando 181 00:28:21,259 --> 00:28:26,680 programa es una aplicación o algún sistema en la cual es susceptible que 182 00:28:26,680 --> 00:28:31,680 menores tengan acceso pues habrá que poner medidas para que eso no pase 183 00:28:31,680 --> 00:28:34,259 vale 184 00:28:34,259 --> 00:29:01,380 TikTok, por ejemplo. Ahora mismo no sé qué... TikTok, edad mínima. En España son 13 años. Bueno, en la mayoría de los países, 13 en la mayoría de los países, aunque en España, según la normativa reciente, se ha elevado a los 16. 185 00:29:01,380 --> 00:29:13,059 Entonces, como la legislación dice que son 16 años para poder utilizar TikTok 186 00:29:13,059 --> 00:29:22,380 En teoría, la empresa detrás de TikTok tiene que poner medidas para que menores de 16 años no lo puedan utilizar 187 00:29:22,380 --> 00:29:28,279 Muchas veces las medidas estas son muy minias 188 00:29:28,279 --> 00:29:33,000 De que te salga un cartel de tienes más de 16 años y que le digas que sí y ya está 189 00:29:33,000 --> 00:29:40,200 Pues bueno, si luego hay alguna consecuencia o algún delito penal 190 00:29:40,200 --> 00:29:45,019 El juez determinará si esa medida fue suficiente como para que menores no entren 191 00:29:45,019 --> 00:29:49,480 Y si determina que no fue suficiente, pues te hunden la vida como empresa 192 00:29:49,480 --> 00:29:55,259 Entonces hay que tener cuidado con esto porque estamos jugando con la vida de las personas 193 00:29:55,259 --> 00:30:00,279 Porque por ejemplo en TikTok hay muchos casos de pedofilia 194 00:30:00,279 --> 00:30:05,779 Ya seréis conscientes de ellos, de los riesgos que tienen las redes sociales 195 00:30:05,779 --> 00:30:08,819 Porque ya tenéis una edad y sois conscientes de ello 196 00:30:08,819 --> 00:30:14,619 Muchos tendréis hijos y estoy seguro que es una preocupación que tenéis 197 00:30:14,619 --> 00:30:17,259 Y es una preocupación a nivel social también 198 00:30:17,259 --> 00:30:23,299 Entonces, esta ley incluye protección de menores en Internet 199 00:30:23,299 --> 00:30:25,900 No solo con las redes sociales, en Internet en general 200 00:30:25,900 --> 00:30:29,400 Registro de actividades de tratamiento 201 00:30:30,319 --> 00:30:36,660 Exige mantener documentación clara sobre qué datos se recogen, cómo se procesan y quién los gestiona. 202 00:30:37,880 --> 00:30:41,299 ¿Vale? O sea, como un poco la cadena de custodia. 203 00:30:42,579 --> 00:30:45,059 Derecho de portabilidad y supresión. 204 00:30:45,519 --> 00:30:51,440 Ampliar el control de los ciudadanos sobre sus datos, incluyendo el derecho a eliminarlos o transferirlos. 205 00:30:52,319 --> 00:30:55,460 ¿Vale? Y pues eso, el cuadrito un poco de resumen. 206 00:30:56,720 --> 00:30:58,160 Así que nada, seguimos. 207 00:30:58,160 --> 00:31:00,759 normativas vigentes de seguridad 208 00:31:00,759 --> 00:31:03,180 de ámbito nacional e internacional 209 00:31:03,180 --> 00:31:04,640 vale 210 00:31:04,640 --> 00:31:08,819 son normativas que son 211 00:31:08,819 --> 00:31:10,839 también muy comunes y son las que vamos a 212 00:31:10,839 --> 00:31:12,720 estudiar especialmente la ley PIC 213 00:31:12,720 --> 00:31:14,960 de protección de infraestructuras críticas para saber 214 00:31:14,960 --> 00:31:16,619 pues lo que es una infraestructura 215 00:31:16,619 --> 00:31:18,799 crítica y como se 216 00:31:18,799 --> 00:31:20,940 opera y ya con esto terminaríamos 217 00:31:20,940 --> 00:31:22,660 vale o sea es un tema 218 00:31:22,660 --> 00:31:24,420 pues que es 219 00:31:24,420 --> 00:31:26,819 importante porque realmente en el día a día 220 00:31:26,819 --> 00:31:34,079 se utiliza, puede ser un poco rollo porque el derecho es así, ya sabéis, pero es importante 221 00:31:34,079 --> 00:31:40,440 conocerlo. Entonces, tenemos el esquema nacional de seguridad, el INSS, que esto si opositáis 222 00:31:40,440 --> 00:31:48,480 para informático del Estado, esto es parte del temario, porque lo utilizan mucho. Imaginad 223 00:31:48,480 --> 00:31:58,779 Que organizaciones privadas con ánimo de lucro tienen que estar pendientes de cumplir esta legislación 224 00:31:58,779 --> 00:32:04,180 Pues la administración mucho más, porque es la que tiene que dar en teoría ejemplos 225 00:32:04,180 --> 00:32:06,799 Es verdad que muchas veces son los primeros que incumplen las leyes 226 00:32:06,799 --> 00:32:11,299 Pero en este caso, si por ejemplo queréis ir por la vía del funcionariado 227 00:32:11,299 --> 00:32:17,359 Que sabéis que para FP tenéis la oportunidad de opositar a TAI 228 00:32:17,359 --> 00:32:39,440 Vale, oposiciones, hasta ahí. Vale, técnico auxiliar de informática. Que bueno, si tenéis un FP superior podéis opositar a esto y entonces os va a entrar el esquema nacional de seguridad. 229 00:32:39,440 --> 00:32:54,259 Tendréis un examen teórico tipo test y uno práctico, en el que tendréis que justificar cómo estáis haciendo el sistema atendiendo al ENS, al Esquema Nacional de Seguridad. 230 00:32:56,039 --> 00:33:06,359 Entonces, regulado por este Real Decreto, establecen los principios básicos y requisitos mínimos que deben cumplir los sistemas que manejan información pública. 231 00:33:06,359 --> 00:33:37,910 ¿Vale? Por eso, lo de la información pública. 232 00:33:37,930 --> 00:33:43,750 del sector público vale pues eso el ensa es muy importante para el sector público es la 233 00:33:43,750 --> 00:33:50,549 principal ley que utilizan ellos vale y si estudias para técnico administrativo de informático de la 234 00:33:50,549 --> 00:33:56,710 administración es algo que vais a tener que aprender a fuego vale así que recordarlo 235 00:33:58,789 --> 00:34:03,549 la ley orgánica de protección de datos y garantía de derechos digitales que ya le 236 00:34:03,549 --> 00:34:12,010 hemos dado verdad y bueno pues eso derechos digitales a la desconexión por ejemplo y estos 237 00:34:12,010 --> 00:34:19,670 de aquí protección de menores y desconexión laboral es efectivamente eso estos son los 238 00:34:19,670 --> 00:34:26,630 derechos digitales vale y a esto hay que añadirle la desconexión digital la protección del menor de 239 00:34:26,630 --> 00:34:33,630 menores y el registro de actividades la trazabilidad vale entonces es eso y aquí 240 00:34:33,630 --> 00:34:39,289 pues es principalmente la ley arco famosa más la portabilidad y la limitación del tratamiento 241 00:34:39,289 --> 00:34:49,980 luego la ley de de protección de infraestructuras que la vamos a ver más adelante esto también se 242 00:34:49,980 --> 00:34:56,480 oposita es hasta ahí os va a entrar bastante porque claro en la administración pues hay 243 00:34:56,480 --> 00:35:02,579 infraestructuras críticas que hay que proteger y hay que tener en cuenta esta ley. Y luego el NIS2, 244 00:35:03,239 --> 00:35:08,719 Directiva Europea sobre Seguridad de Redes y Sistemas de Información, es una norma internacional 245 00:35:08,719 --> 00:35:14,719 que permite a las organizaciones establecer, implementar, mantener y mejorar un sistema de 246 00:35:14,719 --> 00:35:23,300 gestión de seguridad de la información. Incluye análisis y gestión de riesgos, políticas de acceso, 247 00:35:23,300 --> 00:35:32,519 cifrado backup continuidad de negocios documentación auditorías y mejora continua y 248 00:35:32,519 --> 00:35:39,980 luego por último tenemos la iso 2700 uno de sistemas de gestión de la seguridad de la 249 00:35:39,980 --> 00:35:46,219 información es una norma internacional que permite a las organizaciones establecer e 250 00:35:46,219 --> 00:35:50,760 implementar mantener y mejorar un sistema de gestión de seguridad de la información incluye 251 00:35:50,760 --> 00:35:55,659 Pues vaya, esto está duplicado 252 00:35:55,659 --> 00:36:03,449 Pues perdonadme, no sé si ahora mismo será lo mismo o es diferente 253 00:36:03,449 --> 00:36:08,949 Os lo verifico y si es diferente os lo cambio 254 00:36:08,949 --> 00:36:11,409 Pero bueno, puede que sea lo mismo, ¿vale? 255 00:36:11,409 --> 00:36:19,469 Y bueno, un poco por ser cuadrito que tenemos en el contenido 256 00:36:19,469 --> 00:36:39,699 Por último, tenemos la Ley de Protección de Infraestructuras Críticas. Es el marco legal en España que regula la identificación, protección y vigilancia de estos activos estratégicos, estableciendo obligaciones para operadores, administraciones y proveedores tecnológicos. 257 00:36:39,699 --> 00:36:50,679 Infraestructuras críticas. Son aquellas infraestructuras, redes, servicios y equipos físicos o virtuales cuya interrupción o destrucción tendrían un impacto grave en la seguridad nacional 258 00:36:50,679 --> 00:36:56,679 El bienestar de la ciudadanía o el funcionamiento de los servicios esenciales 259 00:36:56,679 --> 00:36:58,619 Ejemplo de sectores críticos 260 00:36:58,619 --> 00:37:11,820 Energía, centrales eléctricas, redes de distribución, transporte, aeropuertos y control ferroviario, agua, telecomunicaciones, salud, finanzas. 261 00:37:12,400 --> 00:37:23,599 Ya sabes que en el Estado hay ciertas infraestructuras que son importantísimas para el normal funcionamiento y la vida de los ciudadanos. 262 00:37:23,599 --> 00:37:45,480 Como tener un hospital operativo relativamente cerca de tu casa, tener agua que sea potable y no conduzca enfermedades, tener un transporte, energía, lo vimos en el apagón del año pasado, lo importante que es, acceso a finanzas. 263 00:37:45,480 --> 00:37:59,639 Porque, por suerte o por desgracia, tenemos bancos que son los que manejan nuestro dinero. Entonces, todas estas son infraestructuras críticas y lo que vamos a hacer es una ley que efectivamente protege estas infraestructuras. 264 00:37:59,840 --> 00:38:06,619 Porque estas infraestructuras van a depender en gran medida también de sistemas informáticos que las dan respaldo. 265 00:38:06,619 --> 00:38:10,079 obligaciones para operadores críticos 266 00:38:10,079 --> 00:38:12,099 identificación de activos 267 00:38:12,099 --> 00:38:13,659 críticos, el operador debe 268 00:38:13,659 --> 00:38:15,739 identificar y documentar todas las infraestructuras 269 00:38:15,739 --> 00:38:17,500 sistemas y servicios esenciales que 270 00:38:17,500 --> 00:38:19,760 en caso de fallo o ataque puedan afectar 271 00:38:19,760 --> 00:38:21,719 a la seguridad nacional o al funcionamiento 272 00:38:21,719 --> 00:38:23,800 normal de la sociedad, esto los 273 00:38:23,800 --> 00:38:25,619 tiene que tener identificados y documentados 274 00:38:25,619 --> 00:38:27,599 designación de responsable 275 00:38:27,599 --> 00:38:29,460 de seguridad y enlace 276 00:38:29,460 --> 00:38:30,900 el RSE 277 00:38:30,900 --> 00:38:34,019 se debe nombrar un RSE 278 00:38:34,019 --> 00:38:35,539 que actúe 279 00:38:35,539 --> 00:38:47,739 Como punto de contacto directo con el CNPIC, el Centro Nacional de Protección de Infraestructuras Críticas. 280 00:38:48,340 --> 00:38:59,179 Entonces, si es una entidad privada que está gestionando una central eléctrica o lo que sea, tiene que haber un responsable de seguridad y enlace. 281 00:38:59,179 --> 00:39:25,920 ¿Vale? Enlace porque está el CNPIC, el Centro Nacional de Protección de Infraestructuras Críticas, que en caso de que haya algún problema le va a contactar. ¿Vale? Tiene que saber quién es la persona responsable que le puede informar de lo que está pasando. Yo estoy seguro que ese día del apagón, pues las personas responsables, los RSS, pues tuvieron un día difícil. ¿Vale? 282 00:39:25,920 --> 00:39:45,960 ¿Vale? Elaboración de la documentación estratégica. El operador debe redactar dos documentos claves. ¿Vale? Estos documentos son importantísimos y hay que sabérselos porque estos son los documentos que cualquier organización que trabaje para infraestructuras críticas va a tener que tener. 283 00:39:45,960 --> 00:39:54,940 que es el plan de seguridad del operador, el PSO, con las políticas y medidas generales y los planes de protección específicos, el PPE 284 00:39:54,940 --> 00:40:06,880 con las acciones concretas aplicables a cada infraestructura crítica. Uno es en rasgos generales y otro ya es más concreto, más bajado a la tierra 285 00:40:06,880 --> 00:40:15,900 porque sabemos que tenemos que identificar los activos críticos y tenemos que tener el plan de protección específico para cada activo crítico 286 00:40:15,900 --> 00:40:40,960 Y por último, la implantación de medidas y protocolos de seguridad. El operador está obligado a establecer y mantener sistemas para la gestión de incidentes, detección, respuesta y notificación, la continuidad de negocio con respaldos y recuperación ante desastres y la coordinación operativa con las autoridades competentes. 287 00:40:40,960 --> 00:40:55,500 Y pues eso, un poco los principios de responsabilidad al que el profesional TIC está obligado bajo la ley PIC 288 00:40:55,500 --> 00:40:58,420 Y ya está 289 00:40:58,420 --> 00:41:03,440 Y con esto pues ya habremos terminado toda la teoría 290 00:41:07,019 --> 00:41:10,699 Os pondré quizás algún contenido más en cada unidad de repaso 291 00:41:10,699 --> 00:41:21,139 y pues eso, solo queda terminar la tarea y ya encarar un poco el examen. 292 00:41:21,460 --> 00:41:30,320 Ya veis que he intentado haceros resumen de todos los contenidos y los resúmenes tienen el contenido principal de cada unidad. 293 00:41:31,619 --> 00:41:38,719 Entonces yo os recomendaría que os estudiarais los resúmenes y una vez que tengáis asimilada esa información 294 00:41:38,719 --> 00:41:46,679 pues fuerais a los contenidos para ampliar un poco y entenderlo también quizá un poco más en profundidad, ¿vale? 295 00:41:46,699 --> 00:41:53,619 Porque los contenidos sí que es verdad que quizás utilizan otros recursos y utilizan ejemplos que os podrían servir, ¿vale? 296 00:41:54,440 --> 00:42:00,059 Entonces, pues nada, muchas gracias por la atención y nos vemos pronto. Adiós.