Además de tener en cuenta las recomendaciones de la normativa ISO/IEC 27002, una organización debe saber cómo poder integrar las tecnologías de la información en todos sus procesos. Para ello está la Biblioteca de Infraestructura de Tecnologías de Información (ITIL), un conjunto de buenas prácticas que tiene como objetivo ayudar a alcanzar una buena gestión de los servicios de las tecnologías de la información.
Aparte de una correcta integración de las tecnologías de la información en los procesos de una organización, hay que ser especialmente meticuloso con los datos de carácter personal que se puedan tratar, ya que la protección de los datos personales es un derecho fundamental que tienen las personas, reflejado en la Constitución española. La norma que protege este derecho es la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, que detalla todos los derechos que tienen los individuos sobre sus datos personales y qué tipo de tratamiento y protección deben recibir según su grado de intimidad.
Ejercicios de repaso y autoevaluación
1. Indique qué normativa ISO se corresponde con las siguientes definiciones:
1 Estándar para la seguridad de la información (también se considera una guía de buenas prácticas) en la que se incluyen los distintos objetivos de control y controles recomendados para mantener un nivel de seguridad de la información óptimo.
2 Manual de buenas prácticas que incluye fundamentalmente el vocabulario que se va a utilizar en las normas incluidas en toda la serie para una mayor comprensión de las mismas.
3 Manual de buenas prácticas en el que se incluyen los requisitos necesarios de los sistemas de gestión de seguridad de la información.
2. ¿Cuál de las siguientes secciones no forma parte de la norma ISO/IEC 27002?
1 Política de seguridad.
2 Gestión de archivos.
3 Seguridad física y del entorno.
4 Política de privacidad.
3. Relacione las siguientes definiciones con los conceptos que se describen a continuación:
1 Evento o serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.
2 Cualquier sistema, servicio o infraestructura de procesamiento de la información.
3 Preservación de la confidencialidad, integración y disponibilidad de la información. También puede involucrar otras propiedades como la autenticidad, responsabilidad, no repudiación y confiabilidad.
1 Seguridad de la información.
2 Incidente de la seguridad de la información.
3 Medios de procesamiento de la información.
4. ¿Qué diferencias fundamentales hay entre análisis del riesgo, evaluación del riesgo y tratamiento del riesgo? Descríbalas.
5. Complete la siguiente fase:
El objetivo del apartado de gestión de __________ de la norma ISO/27002 es conseguir y mantener una protección adecuada de los activos de la organización (la información es considerada un activo __________ de esta). Para ello, es necesario realizar un __________ de todos los activos de la organización.
6. El ciclo de vida del servicio está compuesto por una serie de fases. ¿Cuántas fases son y qué nombre tienen? Menciónelas por orden.
7. Indique a qué fase del ciclo de vida del servicio corresponde la siguiente definición: “Fase en la que se define el servicio que se va a prestar, la tipología de clientes a la que se va a destinar y en qué mercados se va a prestar”.
8. ¿Cuál de las siguientes casuísticas no se rige por la Ley de Protección de Datos de Carácter Personal (LOPD)?
1 Cuando al responsable del tratamiento no le sea de aplicación la legislación española según las normas de Derecho Internacional Público.
2 Cuando el tratamiento de los datos se efectúe en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
3 Cuando el responsable del tratamiento no esté establecido en territorio español pero le sea de aplicación la legislación española según las normas de Derecho Internacional Público.
4 Ninguna de las respuestas anteriores es correcta.
9. Según la LOPD, ¿qué es un fichero y qué tipos de ficheros hay?
10. Encuentre en la siguiente sopa de letras cinco derechos de las personas sobre sus datos personales reconocidos en la LOPD.
R | E | C | T | I | F | I | C | A | C | I | O | N |
A | B | C | E | Z | I | O | L | C | Z | A | N | I |
A | C | A | N | C | E | L | A | C | I | O | N | S |
R | E | T | O | S | F | E | Y | E | S | R | T | A |
C | E | T | A | F | I | N | D | S | U | M | A | R |
M | O | P | O | S | I | C | I | O | N | S | E | T |
Q | U | E | R | A | S | T | I | C | O | L | A | M |
R | E | I | M | P | U | G | N | A | C | I | O | N |
S | A | L | U | D | R | A | R | E | A | S | T | E |
D | A | C | I | O | N | A | L | E | S | A | A | R |
11. Indique a qué nivel de seguridad se corresponde cada una de las siguientes medidas:
1 Los soportes y documentos que contengan datos personales deben estar identificados e inventariados.
2 Conservar los datos de acceso registrados durante, por lo menos, dos años.
3 Registrar los procedimientos realizados de recuperación de datos en el registro de incidencias.
4 Cada seis meses, el responsable del fichero debe verificar la correcta definición, funcionamiento y aplicación de los procedimientos de copias de seguridad y de recuperación de datos.
12. ¿Cuáles de las siguientes funciones son responsabilidad de la Agencia Española de Protección de Datos (AEPD)?
1 Controlar a los agentes implicados en el tratamiento de los datos.
2 Autorizar las transferencias nacionales de datos.
3 Velar por la publicidad de los datos.
4 Ejercer la potestad sancionadora.
13. Complete la siguiente tabla de infracciones