Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Normativa en Ciberseguridad - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 21 de abril de 2026 por Alberto S.

2 visualizaciones

Más información Transcripción

Descargar la transcripción

Bueno, vamos con el último tema ya, el que nos queda de ciberseguridad, que es el tema 7 relativo a la normativa de ciberseguridad. Este tema quizás sea un tema un poco rollo, pero bueno, hay que darlo porque al final es importante, ¿no? 00:00:01
Que muchas veces cuando programemos o tengamos que tener en cuenta que estamos desarrollando software que implica a terceras personas, ¿no? 00:00:18
Porque tenemos usuarios y información sensible que manejar, pues tenemos que atenernos a ciertas leyes que pueden ser de ámbito nacional o de ámbito internacional, ¿vale? 00:00:29
Vale, entonces vamos con los elementos fundamentales para el cumplimiento de la normativa. 00:00:43
Lo primero que tenemos que tener claro es la normativa a aplicar y en lo que consiste. 00:00:49
Vale, tenemos normativa referente a la protección de datos. 00:00:55
Estas leyes las tendremos más ampliadas un poco más aquí abajo 00:01:04
Aquí tenemos el Escamar Nacional de Seguridad 00:01:15
La Ley Orgánica de Protección de Datos y Garantía del Derecho Digital 00:01:18
Que esta es también muy importante 00:01:23
La PIC, de Protección de Infraestructuras Críticas 00:01:26
Que tiene su propio apartado 00:01:31
Y bueno, es un poco de lo que va el tema, de saber un poco la legislación que tenemos hoy en día 00:01:36
Y saber que tenemos que atenernos a ella 00:01:49
Entonces, por una parte, tenemos que saber un poco la normativa, el régimen general de protección de datos 00:01:56
qué ámbito aplica, en qué consiste, a lo que tenemos que atenernos, las consecuencias de no cumplirlo 00:02:04
y cómo demostrar, por ejemplo, que si te hacen una auditoría lo estás cumpliendo. 00:02:12
Entonces, más o menos estas son las que vamos a dar. 00:02:21
Tenemos otros elementos como la evaluación de riesgos activos sensibles por los datos, sistemas, servicios, amenazas potenciales. 00:02:26
Pues lo que hemos venido hablando, ¿no? De acceso no autorizado, malware, errores, vulnerabilidades técnicas y organizativas, impacto de un incidente y medidas de mitigación. 00:02:34
Medias técnicas y organizativas, ¿vale? Técnicas es, pues eso, cifra de autentificación, VPNs, firewalls, copias de seguridad, organizativas. 00:02:45
es el control de lo que es nuestros empleados, de la formación que le damos para que no cometan errores, 00:02:53
del control de acceso, los procedimientos, políticas de seguridad. 00:03:02
Luego la documentación y la trazabilidad, que como hemos dicho es importante documentar, 00:03:06
aportar pruebas para demostrar que realmente nuestro sistema está atendiendo las leyes. 00:03:14
Si nos hacen una auditoría, por ejemplo, debe poner poder demostrar mediante evidencias documentales, políticas de seguridad de la empresa, registro de actividades de tratamiento, cumplimiento de la ley general de protección de datos, registro de acceso, incidencias, formación y revisiones, auditorías periódicas y luego la supervisión de la auditoría en mejora continua. 00:03:20
La mejora continua, que viene de Toyota, que dice que si mejoras un 1% diario, pues a la larga es una gran mejora. 00:03:45
Comprobar que las medidas implantadas siguen siendo efectivas, identificar desviaciones o incumplimientos y actualizar las políticas según nuevas amenazas o cambios normativos. 00:04:00
Aquí, por lo típico, os he pegado el cuadrito que hay en el contenido 00:04:11
Por si os ayuda así de un vistazo rápido 00:04:17
Entonces, ¿cómo deseamos sistemas para que cumplan todo esto, verdad? 00:04:21
Porque no solo va a estar cumplirlo 00:04:29
Tienes que demostrar que lo estás cumpliendo 00:04:31
Cómo manejas si realmente hay un incidente 00:04:36
cómo manejas ese riesgo. Entonces es lo que vamos a ver. Requiere estructurar de forma clara los elementos esenciales que permiten garantizar la protección de datos y sistemas 00:04:40
y demostrar ante auditorías o inspecciones que la organización actúa de forma conforme a la ley. 00:04:52
Entonces, componentes claves. Política de seguridad de la información. Establece los principios, objetivos y reglas que guían a la organización en materia de ciberseguridad. 00:04:59
¿Vale? Principios, objetivos y reglas que la organización tiene que seguir en materia de ciberseguridad. 00:05:11
Contenido habitual. Declaración de compromiso de la dirección con el cumplimiento normativo. Asignación de errores y responsabilidades. 00:05:20
¿Vale? Podemos asignar un DPO, un Data Protection Officer, que se encargará de ser el responsable de todo esto. 00:05:27
Objetivos estratégicos de seguridad, para tener un objetivo claro a partir del cual vamos a plantear una planificación y un esfuerzo para llegar a él 00:05:35
Normas de uso aceptables de los sistemas, dispositivos y datos 00:05:48
Modelo de gestión del riesgo 00:05:52
Este modelo permite a la organización anticiparse a los problemas, identificando amenazas que puedan afectar a sus sistemas, servicios o datos y estableciendo medidas de mitigación 00:05:55
Fases claves. Identificación de activos. ¿Qué recursos necesitan protección? ¿Por qué serán los más sensibles y dónde tendremos que dedicar más esfuerzo? 00:06:05
Evaluación de amenazas. Malware, acceso no autorizado, errores humanos. Lo que hemos visto antes. 00:06:16
Evaluación de vulnerabilidades. Sistemas sin parchear, contraseñas débiles, configuraciones erróneas. 00:06:20
Tratamiento de riesgo. Aplicar medidas para reducir en cuanto a la técnica y a la organización. 00:06:26
Seguimos. Controles técnicos. Pues autentificación multifactorial que ya le hemos dado a lo largo del temario junto con cifrado de disco para que si lo roban la información esté cifrada y no le sirva de nada. 00:06:35
Copias de seguridad por si consiguen destruir datos de manera lógica o incluso física con un incendio o que los roben también. Tenemos una copia de seguridad que nos permite seguir con nuestras actividades. 00:06:51
Y en cuanto a los protocolos que utilizamos de comunicación. 00:07:07
Segmentación de la red con VLANs. Registro de eventos en servidores y en points. 00:07:10
Entonces, pues bueno, esto por un lado. Controles técnicos. Controles organizativos. Políticas de seguridad y confidencialidad. Procedimientos documentados de alta y baja de usuarios y formación periódica en buenas prácticas. 00:07:15
Más referido a la organización en general. 00:07:34
Sistema de gestión documental. 00:07:39
Todo sistema de cumplimiento normativo debe estar documentado y ser verificable. 00:07:41
La documentación permite demostrar ante auditorías internas o externas que se aplican medidas eficaces y adecuadas. 00:07:46
Documentos clave para mantener. 00:07:53
Inventario actualizado de actividades informáticas y lógicos. 00:07:56
Registro de tratamientos de datos personales. 00:08:00
Personales, que se exige en el Reglamento General de Protección de Datos. 00:08:02
Informes de auditoría de seguridad y cumplimiento. 00:08:12
Manuales de procedimiento, políticas y protocolo. 00:08:18
Historial de formación y sensibilización del personal. 00:08:22
Bueno, pues todos estos son documentos que, según la ley o la normativa que estamos intentando certificar, pues tenemos que tener actualizados. 00:08:24
Auditoría y mejora continua. 00:08:37
Un sistema de cumplimiento normativo no es estático. 00:08:39
Debe adaptarse a los cambios tecnológicos, legales y organizativos. 00:08:43
Para ello se requiere un proceso de revisión y mejora permanente. 00:08:47
Actividades esenciales. Auditorias internas programadas. No solo hacemos auditorias externas que serán obligatorias y será por un organismo externo a la compañía que sea objetivo, sino que también las haremos internas para verificar que todo se está cumpliendo. 00:08:53
Revisión de eficacia de medidas aplicadas con los KPIs, los Key Performance Indicators. Haremos ciertos índices que reflejarán lo que la organización espera en términos de ciberseguridad. 00:09:14
Entonces, podremos hacer una medición para ver si realmente estamos mejorando o nos estamos acercando a lo que es el objetivo. 00:09:31
Actualización de políticas y controles según las auditorías o incidentes y documentación de acciones correctivas o preventivas. 00:09:40
Y, bueno, pues de nuevo el cuadrito que os copio aquí del contenido que está bastante esquematizado por si os puede ayudar. 00:09:51
Entonces, tenemos legislación que se aplica en España, que tenemos el Código Penal por un lado y la Ley Orgánica 10.95 del Código Penal también. 00:10:01
En el Código Penal tenemos los artículos del 197 a 197 ter y del 264 y 264 cuater 00:10:24
Estos artículos regulan los principales delitos, por eso están en el Código Penal, informáticos en el ordenamiento jurídico español 00:10:36
Se centran en la protección de la privacidad, la integridad de los datos y los sistemas de información 00:10:43
Incluyen conductas como acceso a los autorizados sistemas informáticos o base de datos, intersección de comunicación electrónica sin consentimiento, modificación o destrucción de información digital con ánimo de daños, infección con malware que causa perjuicios a los sistemas y a los datos, revelación, difusión o uso indebido de datos obtenidos ilegalmente. 00:10:49
Además contempla la responsabilidad de las personas jurídicas y empresas y organizaciones cuando no adopten las medidas necesarias para prevenir la comisión de estos delitos por parte de sus empleados o terceros. 00:11:13
Entonces, tenemos a los ciberatacantes, que por un lado están cometiendo un delito al atacar tu sistema informático, al hacer un uso individuo para destruir daños, para interceptar la comunicación como podéis hacer vosotros en el wifi de un McDonald's con un Wireshark. 00:11:24
Eso sería un delito. Los accesos no autorizados, de que un empleado te da sus credenciales para que tú te metas en el sistema. Infección con el malware, te metes en un sistema con un acceso no autorizado y le instalas un virus. 00:11:56
Y luego, con la información que has obtenido, la haces pública o la vendes a un tercero. Todos esos son delitos contemplados en estos dos artículos del Código Penal. 00:12:15
Pero no solo eso. En este párrafo lo que se está diciendo es que no solo el que ataca tiene la responsabilidad penal, sino también la empresa que es responsable de custodiar esa información, esos datos sensibles de terceros. 00:12:29
Si no han puesto las medidas oportunas para que esto no se produzca, van a tener también consecuencias penales. Por eso se habla de persona jurídica. Las personas jurídicas son las que son las empresas o corporaciones, que no son personas físicas. 00:12:44
Está la persona física, que es un particular, que puede ser el ciberatacante, que como particular hace un ciberataque a una organización o a una empresa. 00:13:04
Y luego están las personas jurídicas, que es la empresa en sí, que es la responsable de poner las medidas oportunas para que estos ataques no se produzcan. 00:13:13
Luego tenemos la ley orgánica 1095. 00:13:26
Esta ley, tras su reforma en 2010, intrujo la posibilidad de atribuir responsabilidad penal directamente a las personas jurídicas, es decir, a empresas, asociaciones o entidades cuando no implementan modelos de prevención eficaces para evitar la comisión de delitos dentro de su estructura. 00:13:32
Para evitar o mitigar esas responsabilidades penales, las organizaciones deben contar con protocolos internos de actuación, medidas técnicas de seguridad implantadas, sistemas de supervisión y control y formación específica para los empleados. 00:13:49
Si no lo hacen y uno de sus trabajadores comete un delito en el ejercicio de sus funciones, la entidad puede ser sancionada penalmente. 00:14:04
¿Vale? Entonces, esta ley lo que dice es que hay que poner todas estas medidas 00:14:11
O sea, hay que llevar todas estas medidas a cabo 00:14:17
Para que en el caso de que se produzca un ataque 00:14:21
¿Vale? 00:14:26
No sea responsabilidad de la empresa, ¿vale? 00:14:32
Porque la empresa ha intentado hacer todo lo que está en su mano 00:14:35
Y ha respetado lo que dice esta ley para que no se produzca 00:14:38
¿Vale? Entonces por eso es tan importante a la hora de llevar sistemas informáticos, porque tenemos que atendernos a la ley, a lo que pide, para que podamos justificar que nosotros hemos hecho todo lo que ha estado en nuestras manos. 00:14:43
Porque es lo que decíamos al principio. Que no hay ningún sistema informático que sea seguro al 100%. Se habla de fiabilidad. De que los sistemas son fiables. En el sentido de que son difícilmente atacantes y que se han puesto medidas para que los ataques no sean fáciles de hacer. 00:14:58
Que tengan cierta dificultad. Entonces, las empresas no solo están obligadas a poner medidas de seguridad porque realmente están tratando con información sensible de los usuarios y para que el sistema tenga disponibilidad, que funcione bien, que se interese la empresa para que su producto o servicio sea competitivo y pueda ser operativo 24-7 si es necesario. 00:15:22
sino que también tiene consecuencias penales por no hacerlo. Entonces, es del interés de la empresa el reforzar todas estas medidas y, por lo tanto, va a ser interés nuestro cuando trabajemos en el departamento de informática de las mismas. 00:15:51
¿Vale? Legislación y jurisprudencia. En cuanto a jurisprudencia, bueno, la jurisprudencia es que la ley se vale de sentencias firmes que ha habido anteriormente para sentar precedente. 00:16:07
En el sentido de que luego un abogado puede referenciar esas sentencias firmes para decir, mire, en este caso se falló a favor de tal, con tal consecuencia. 00:16:25
Y esto al final lo que crea es la jurisprudencia, que determina que el juez lo tenga en cuenta porque ya ha habido procesos anteriores similares y se ha llegado a una conclusión en los resultados. 00:16:40
vale esto que si vais por ejemplo a un abogado y os tenéis que meter en un pleito gordo lo que 00:16:55
normalmente se hace es pedir al abogado que haga un estudio de jurisprudencias entonces lo que hace 00:17:02
el abogado es ver para tu caso como les ha ido a otras personas y si vale la pena meterse porque 00:17:08
si por ejemplo está estafado pues volvemos a los coches que a mí me gusta mucho los coches 00:17:16
Entonces, Flexicar, Ocasión Plus, todas estas compraventas, no digo que en general, no vamos a decir marcas. 00:17:25
Si, por ejemplo, tú compras un coche a un sitio de vehículos de ocasión y te estafan porque resulta que a las dos semanas el coche está en el taller con una factura de 4.000 euros y el compraventa no te hace ni caso, entonces tú vas a ir a un abogado. 00:17:34
y el abogado lo que puede hacer es un estudio de casos similares a los tuyos 00:17:56
para decirte cómo ha ido, si hay posibilidades de ganar, cuánto tiempo hay que esperar 00:18:02
para ver si te renta. Igual te renta estar un año y medio con el coche parado 00:18:06
para que al final te paguen esos 4.000 euros o te devuelvan el dinero del coche 00:18:13
o igual te renta arreglarlo o igual te renta venderlo tú. 00:18:17
Entonces, la jurisprudencia es importante 00:18:21
No os la he añadido aquí porque realmente tampoco os voy a preguntar casos en concreto que hayan pasado 00:18:24
Son curiosidades, que está bien que les echéis un vistazo 00:18:31
Y que están en el contenido del tema, ¿vale? 00:18:35
Pero aquí lo que vamos a ver y lo que yo voy a hacer más hincapié es en la legislación 00:18:40
Pero sí, ir al contenido del tema y leeros casos de jurisprudencia que son curiosos y está bien leerlo, ¿vale? 00:18:43
Entonces, vamos con el Reglamento General de Protección de Datos, que esto es bastante importante. 00:18:51
Este ámbito europeo, como veis aquí, Unión Europea con este dictamen, es la normativa europea de referencia en materia de protección de datos. 00:19:00
Entonces vamos a tener uno de ámbito europeo, otro de ámbito nacional. 00:19:12
toda organización debe ajustar sus procesos al cumplimiento de estos principios licitud lealtad 00:19:16
y transparencia los datos deben recogerse con base legal y de forma comprensible para el usuario 00:19:25
limitación de la finalidad los datos sólo pueden utilizarse para el fin específico para el que 00:19:33
fueron recogidos. Minimización de datos. Deben recogerse sólo los datos estrictamente necesarios. 00:19:40
Exactitud. Los datos deben mantenerse actualizados y corregidos si son inexactos. Limitación del 00:19:50
plazo de conservación. No pueden almacenarse más tiempo del necesario. Integridad y confidencialidad. 00:19:58
Deben garantizarse medidas técnicas y organizativas para evitar accesos no autorizados. 00:20:06
responsabilidad proactiva accountability las organizaciones deben poder demostrar que 00:20:12
cumplen con la normativa en todo momento vale entonces yo creo que son puntos que se explican 00:20:19
por sí solos valen y realmente son bastante claros son importantes hay que aprenderse los 00:20:26
entonces seguimos luego tenemos la ley española vale tenéis que tener en cuenta de que una ley 00:20:32
española no puede contradecir la europea vale entonces primero es la europea luego la española 00:20:46
pero la española lo que va a hacer es intentar desarrollarla para las particularidades que tiene 00:20:51
En su ámbito, ¿vale? Sin contradecir la europea. Entonces, para la europea, con ámbito europeo, tenemos el régimen general de protección de datos, ¿vale? Que es el que acabamos de leer. 00:20:56
Y para la española tenemos la Ley Orgánica de Protección de Datos y Garantías de Derecho Digital. 00:21:10
Todas estas siglas que son enormes. Antes era la Ley Orgánica de Protección de Datos y ya está. 00:21:23
Ahora es también de Garantía de Derechos Digitales. 00:21:29
digitales, que es como los derechos de los titulares de los datos personales, que son 00:21:34
también muy importantes, lo que conocíamos como la ley ARCO. Estos, acceso, rectificación, 00:21:47
cancelación y oposición. Acceso, rectificación, como era, cancelación, que ahora se llama 00:22:00
supresión y oposición y a esto pues se le une la portabilidad y la limitación del tratamiento 00:22:10
vale entonces la ley orgánica de protección de datos y garantía de derechos digitales todo 00:22:19
este mamotreto adapta el reglamento general de protección de datos vale es lo que os he 00:22:29
Primero está la ley de Europa. Por eso es verdad que muchas veces tú votas en España porque piensas que tienes soberanía, pero muchas veces no la tenemos porque estamos subordinados a una entidad supranacional, como es la Unión Europea. 00:22:36
En términos legislativos, muchas veces nos creemos que el gobierno está haciendo una propia ley, pero está basada, a su vez, en dictámenes de la Unión Europea. 00:23:00
Pensamos que controlamos igual la economía, pero la economía también está controlada por el Banco Central Europeo. 00:23:13
Pensamos que estamos con la defensa, que controlamos nuestra defensa, pero pertenecemos a la OTAN. 00:23:19
Entonces, realmente vivimos en un mundo globalizado en el que hay una geopolítica que, por desgracia, controla nuestras vidas. 00:23:25
Y entonces, que sí que nosotros estamos en democracia en el sentido de que podemos votar, en teoría decidir quiénes son nuestros gobernantes, 00:23:38
aunque estamos muy limitados porque tenemos listas cerradas y tenemos ciertos derechos adquiridos, ¿no? Como que no te pueden detener sin justificación, como que tenemos derecho a si vamos a prisión, pues cotizar, que nos den una formación, buenos tratos, una serie de derechos adquiridos que están muy bien. 00:23:50
Pero en cuanto a soberanía, pues eso, estamos a los dictámenes de entidades supranacionales como es el dólar, como es Estados Unidos, como es la Unión Europea. Y en este caso pues no es menos, ¿vale? Porque tenemos nuestra ley de protección de datos pero se basa en la que ya nos han dado de la Unión Europea, ¿vale? 00:24:14
Y por eso el ámbito es importante, porque una ley de ámbito nacional no puede contradecir a una ley de ámbito internacional, sino que se tiene que basar en la misma. 00:24:32
Y si nos ponemos rebeldes y no lo hacemos, pues pasa como está pasando hoy en día con el diésel, que el diésel tiene ventajas fiscales porque estuvieron dos décadas promocionándolo, como el combustible ecológico, porque expulsa menos CO2 que la gasolina. 00:24:40
pero y por eso se tiene ventajas fiscales frente a la gasolina y por eso es más barato pero ahora 00:25:07
que el diésel está demonizado pues desde la unión europea nos están diciendo que tenemos que quitar 00:25:16
la subvención al diésel y tenía que haber sido el año pasado no sé no se puso por la repercusión 00:25:21
social y económico que supondría y europa nos ha sancionado pues esas medidas de sanciones 00:25:29
pues son las que nos afectan y al final pues estamos unidos para bien y para mal con la 00:25:38
unión europea por eso tenemos normativa de ámbito internacional que tenemos que respetar aunque sea 00:25:46
dictada dictaminada por entidades que no tengan nada que ver con con españa salvo que pertenecemos 00:25:52
a esta organización y otras de ámbito nacional vale bueno y después de este off topic seguimos 00:25:59
entonces pues eso adapta el reglamento de protección de datos al marco legal español 00:26:09
introduce medidas específicas para reforzar los derechos digitales de los ciudadanos especialmente 00:26:17
en el entorno laboral educativo y tecnológico aspectos claves de la ley derecho a la 00:26:22
desconexión digital proteja al trabajador frente a comunicaciones 00:26:27
electrónicas fuera del horario de trabajo 00:26:31
pero el horario laboral pues eso que tienes derecho a irte de vacaciones sin 00:26:35
que tu jefe te esté llamando que tienes derecho a llegar a casa y estar con tus 00:26:41
hijos sin tener que estar enviando mails ni atendiendo a llamadas 00:26:45
ni siquiera preocupado vale tienes tienes derecho a la desconexión porque 00:26:51
Pues, muchos sabréis que muchos comerciales tienen dos móviles y muchos jefes te envían un mail a las 12 de la noche y al día siguiente te preguntan si lo has leído. Pues tú tienes derecho a que haya una desconexión, a que tú sueltas el boli a las 6 de la tarde en tu oficina y desconectes. 00:26:59
No quieras saber nada más del trabajo. Otra cosa es que estés haciendo guardias o lo que hayas acordado. Pero tú tienes que tener tu tiempo libre del trabajo intentando no estar pendiente del correo, ni del móvil, ni de nada más. 00:27:21
Porque claro, vivimos en un mundo en el que estamos conectados las 24 horas y eso también implica el trabajo. Entonces, que sepáis que hay un derecho a la desconexión. El hecho de que tu jefe tenga datos personales tuyos y que te pueda llamar a tu móvil o que tenga acceso a tu correo personal o de trabajo y te mande mails y te exija que los leas, pues tú tienes un derecho que te protege. 00:27:39
protección de menores en internet según el consentimiento digital para menores y 00:28:09
su protección en entornos virtuales vale esto pues también cuando 00:28:14
programa es una aplicación o algún sistema en la cual es susceptible que 00:28:21
menores tengan acceso pues habrá que poner medidas para que eso no pase 00:28:26
vale 00:28:31
TikTok, por ejemplo. Ahora mismo no sé qué... TikTok, edad mínima. En España son 13 años. Bueno, en la mayoría de los países, 13 en la mayoría de los países, aunque en España, según la normativa reciente, se ha elevado a los 16. 00:28:34
Entonces, como la legislación dice que son 16 años para poder utilizar TikTok 00:29:01
En teoría, la empresa detrás de TikTok tiene que poner medidas para que menores de 16 años no lo puedan utilizar 00:29:13
Muchas veces las medidas estas son muy minias 00:29:22
De que te salga un cartel de tienes más de 16 años y que le digas que sí y ya está 00:29:28
Pues bueno, si luego hay alguna consecuencia o algún delito penal 00:29:33
El juez determinará si esa medida fue suficiente como para que menores no entren 00:29:40
Y si determina que no fue suficiente, pues te hunden la vida como empresa 00:29:45
Entonces hay que tener cuidado con esto porque estamos jugando con la vida de las personas 00:29:49
Porque por ejemplo en TikTok hay muchos casos de pedofilia 00:29:55
Ya seréis conscientes de ellos, de los riesgos que tienen las redes sociales 00:30:00
Porque ya tenéis una edad y sois conscientes de ello 00:30:05
Muchos tendréis hijos y estoy seguro que es una preocupación que tenéis 00:30:08
Y es una preocupación a nivel social también 00:30:14
Entonces, esta ley incluye protección de menores en Internet 00:30:17
No solo con las redes sociales, en Internet en general 00:30:23
Registro de actividades de tratamiento 00:30:25
Exige mantener documentación clara sobre qué datos se recogen, cómo se procesan y quién los gestiona. 00:30:30
¿Vale? O sea, como un poco la cadena de custodia. 00:30:37
Derecho de portabilidad y supresión. 00:30:42
Ampliar el control de los ciudadanos sobre sus datos, incluyendo el derecho a eliminarlos o transferirlos. 00:30:45
¿Vale? Y pues eso, el cuadrito un poco de resumen. 00:30:52
Así que nada, seguimos. 00:30:56
normativas vigentes de seguridad 00:30:58
de ámbito nacional e internacional 00:31:00
vale 00:31:03
son normativas que son 00:31:04
también muy comunes y son las que vamos a 00:31:08
estudiar especialmente la ley PIC 00:31:10
de protección de infraestructuras críticas para saber 00:31:12
pues lo que es una infraestructura 00:31:14
crítica y como se 00:31:16
opera y ya con esto terminaríamos 00:31:18
vale o sea es un tema 00:31:20
pues que es 00:31:22
importante porque realmente en el día a día 00:31:24
se utiliza, puede ser un poco rollo porque el derecho es así, ya sabéis, pero es importante 00:31:26
conocerlo. Entonces, tenemos el esquema nacional de seguridad, el INSS, que esto si opositáis 00:31:34
para informático del Estado, esto es parte del temario, porque lo utilizan mucho. Imaginad 00:31:40
Que organizaciones privadas con ánimo de lucro tienen que estar pendientes de cumplir esta legislación 00:31:48
Pues la administración mucho más, porque es la que tiene que dar en teoría ejemplos 00:31:58
Es verdad que muchas veces son los primeros que incumplen las leyes 00:32:04
Pero en este caso, si por ejemplo queréis ir por la vía del funcionariado 00:32:06
Que sabéis que para FP tenéis la oportunidad de opositar a TAI 00:32:11
Vale, oposiciones, hasta ahí. Vale, técnico auxiliar de informática. Que bueno, si tenéis un FP superior podéis opositar a esto y entonces os va a entrar el esquema nacional de seguridad. 00:32:17
Tendréis un examen teórico tipo test y uno práctico, en el que tendréis que justificar cómo estáis haciendo el sistema atendiendo al ENS, al Esquema Nacional de Seguridad. 00:32:39
Entonces, regulado por este Real Decreto, establecen los principios básicos y requisitos mínimos que deben cumplir los sistemas que manejan información pública. 00:32:56
¿Vale? Por eso, lo de la información pública. 00:33:06
del sector público vale pues eso el ensa es muy importante para el sector público es la 00:33:37
principal ley que utilizan ellos vale y si estudias para técnico administrativo de informático de la 00:33:43
administración es algo que vais a tener que aprender a fuego vale así que recordarlo 00:33:50
la ley orgánica de protección de datos y garantía de derechos digitales que ya le 00:33:58
hemos dado verdad y bueno pues eso derechos digitales a la desconexión por ejemplo y estos 00:34:03
de aquí protección de menores y desconexión laboral es efectivamente eso estos son los 00:34:12
derechos digitales vale y a esto hay que añadirle la desconexión digital la protección del menor de 00:34:19
menores y el registro de actividades la trazabilidad vale entonces es eso y aquí 00:34:26
pues es principalmente la ley arco famosa más la portabilidad y la limitación del tratamiento 00:34:33
luego la ley de de protección de infraestructuras que la vamos a ver más adelante esto también se 00:34:39
oposita es hasta ahí os va a entrar bastante porque claro en la administración pues hay 00:34:49
infraestructuras críticas que hay que proteger y hay que tener en cuenta esta ley. Y luego el NIS2, 00:34:56
Directiva Europea sobre Seguridad de Redes y Sistemas de Información, es una norma internacional 00:35:03
que permite a las organizaciones establecer, implementar, mantener y mejorar un sistema de 00:35:08
gestión de seguridad de la información. Incluye análisis y gestión de riesgos, políticas de acceso, 00:35:14
cifrado backup continuidad de negocios documentación auditorías y mejora continua y 00:35:23
luego por último tenemos la iso 2700 uno de sistemas de gestión de la seguridad de la 00:35:32
información es una norma internacional que permite a las organizaciones establecer e 00:35:39
implementar mantener y mejorar un sistema de gestión de seguridad de la información incluye 00:35:46
Pues vaya, esto está duplicado 00:35:50
Pues perdonadme, no sé si ahora mismo será lo mismo o es diferente 00:35:55
Os lo verifico y si es diferente os lo cambio 00:36:03
Pero bueno, puede que sea lo mismo, ¿vale? 00:36:08
Y bueno, un poco por ser cuadrito que tenemos en el contenido 00:36:11
Por último, tenemos la Ley de Protección de Infraestructuras Críticas. Es el marco legal en España que regula la identificación, protección y vigilancia de estos activos estratégicos, estableciendo obligaciones para operadores, administraciones y proveedores tecnológicos. 00:36:19
Infraestructuras críticas. Son aquellas infraestructuras, redes, servicios y equipos físicos o virtuales cuya interrupción o destrucción tendrían un impacto grave en la seguridad nacional 00:36:39
El bienestar de la ciudadanía o el funcionamiento de los servicios esenciales 00:36:50
Ejemplo de sectores críticos 00:36:56
Energía, centrales eléctricas, redes de distribución, transporte, aeropuertos y control ferroviario, agua, telecomunicaciones, salud, finanzas. 00:36:58
Ya sabes que en el Estado hay ciertas infraestructuras que son importantísimas para el normal funcionamiento y la vida de los ciudadanos. 00:37:12
Como tener un hospital operativo relativamente cerca de tu casa, tener agua que sea potable y no conduzca enfermedades, tener un transporte, energía, lo vimos en el apagón del año pasado, lo importante que es, acceso a finanzas. 00:37:23
Porque, por suerte o por desgracia, tenemos bancos que son los que manejan nuestro dinero. Entonces, todas estas son infraestructuras críticas y lo que vamos a hacer es una ley que efectivamente protege estas infraestructuras. 00:37:45
Porque estas infraestructuras van a depender en gran medida también de sistemas informáticos que las dan respaldo. 00:37:59
obligaciones para operadores críticos 00:38:06
identificación de activos 00:38:10
críticos, el operador debe 00:38:12
identificar y documentar todas las infraestructuras 00:38:13
sistemas y servicios esenciales que 00:38:15
en caso de fallo o ataque puedan afectar 00:38:17
a la seguridad nacional o al funcionamiento 00:38:19
normal de la sociedad, esto los 00:38:21
tiene que tener identificados y documentados 00:38:23
designación de responsable 00:38:25
de seguridad y enlace 00:38:27
el RSE 00:38:29
se debe nombrar un RSE 00:38:30
que actúe 00:38:34
Como punto de contacto directo con el CNPIC, el Centro Nacional de Protección de Infraestructuras Críticas. 00:38:35
Entonces, si es una entidad privada que está gestionando una central eléctrica o lo que sea, tiene que haber un responsable de seguridad y enlace. 00:38:48
¿Vale? Enlace porque está el CNPIC, el Centro Nacional de Protección de Infraestructuras Críticas, que en caso de que haya algún problema le va a contactar. ¿Vale? Tiene que saber quién es la persona responsable que le puede informar de lo que está pasando. Yo estoy seguro que ese día del apagón, pues las personas responsables, los RSS, pues tuvieron un día difícil. ¿Vale? 00:38:59
¿Vale? Elaboración de la documentación estratégica. El operador debe redactar dos documentos claves. ¿Vale? Estos documentos son importantísimos y hay que sabérselos porque estos son los documentos que cualquier organización que trabaje para infraestructuras críticas va a tener que tener. 00:39:25
que es el plan de seguridad del operador, el PSO, con las políticas y medidas generales y los planes de protección específicos, el PPE 00:39:45
con las acciones concretas aplicables a cada infraestructura crítica. Uno es en rasgos generales y otro ya es más concreto, más bajado a la tierra 00:39:54
porque sabemos que tenemos que identificar los activos críticos y tenemos que tener el plan de protección específico para cada activo crítico 00:40:06
Y por último, la implantación de medidas y protocolos de seguridad. El operador está obligado a establecer y mantener sistemas para la gestión de incidentes, detección, respuesta y notificación, la continuidad de negocio con respaldos y recuperación ante desastres y la coordinación operativa con las autoridades competentes. 00:40:15
Y pues eso, un poco los principios de responsabilidad al que el profesional TIC está obligado bajo la ley PIC 00:40:40
Y ya está 00:40:55
Y con esto pues ya habremos terminado toda la teoría 00:40:58
Os pondré quizás algún contenido más en cada unidad de repaso 00:41:07
y pues eso, solo queda terminar la tarea y ya encarar un poco el examen. 00:41:10
Ya veis que he intentado haceros resumen de todos los contenidos y los resúmenes tienen el contenido principal de cada unidad. 00:41:21
Entonces yo os recomendaría que os estudiarais los resúmenes y una vez que tengáis asimilada esa información 00:41:31
pues fuerais a los contenidos para ampliar un poco y entenderlo también quizá un poco más en profundidad, ¿vale? 00:41:38
Porque los contenidos sí que es verdad que quizás utilizan otros recursos y utilizan ejemplos que os podrían servir, ¿vale? 00:41:46
Entonces, pues nada, muchas gracias por la atención y nos vemos pronto. Adiós. 00:41:54
Materias:
Tecnología
Etiquetas:
Innovación
Niveles educativos:
▼ Mostrar / ocultar niveles
  • Formación Profesional
    • Ciclo formativo de grado básico
      • Primer Curso
      • Segundo Curso
    • Ciclo formativo de grado medio
      • Primer Curso
      • Segundo Curso
    • Ciclo formativo de grado superior
      • Primer Curso
      • Segundo Curso
Subido por:
Alberto S.
Licencia:
Reconocimiento - No comercial - Compartir igual
Visualizaciones:
2
Fecha:
21 de abril de 2026 - 21:13
Visibilidad:
Público
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
00′ 10″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
203.02 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid