Seguritecnia 398

SEGURITECNIA Junio 2013 39 Convergencia en Seguridad en materia de Protección de Datos (la LORTAD se publica en 1995, y su regla- mento en 1999; la LOPD se publica en 1999, y su reglamento en 2007) ni de otras regulaciones nacionales ahora en vigor como la LSSICE, la Ley PIC o la LGT. O en el ámbito internacional, las directivas de la Unión Europea (UE) co- rrespondientes; o las Sarbanes-Oxley, Homeland Security o Patriot Act. Como puede deducirse de todo lo expuesto hasta ahora, la evolución ex- perimentada no ha sido una ruptura completa con el pasado. Ha corres- pondido más bien con una ampliación de las herramientas y escenarios que pueden (y deben) ser considerados en materia de seguridad; de los medios disponibles para obtenerla; y de la efi- ciencia de estos medios para el nuevo escenario. En todo caso, han sido unos años su- mamente interesantes, en los que los profesionales del área hemos sido ca- paces de aumentar recurrentemente nuestra contribución a la mejora de las capacidades de las organizaciones, y en los que hemos ido identificando, afrontando y, en muchos casos, resol- viendo los retos que han surgido. S entre los daños el robo de informa- ción, ataques a su imagen pública, lo- grar accesos no autorizados, interrup- ción de las operaciones o de la presta- ción de servicio de la organización. Los daños que se provocan con estos ata- ques son los mismos que se podrían haber provocado hace 30 años, aun- que los activos que se atacaban y los medios empleados para ello fuesen di- ferentes. Como último ejemplo, se puede ana- lizar el marco regulatorio. En el año 1983 España aún no era miembro de la Organización del Tratado Atlántico Norte (OTAN), y por aquel entonces, la única reglamentación de protec- ción de la información (clasificada) era la Ley de Secretos Oficiales -Ley 9/69-. La Seguridad Privada había sido re- gulada fundamentalmente en el año 1974 y como se menciona en el preám- bulo de la Ley 23/92 de Seguridad Pri- vada, adolecía de deficiencias en las normas, sufría una notable dispersión y una falta de estructura unitaria y siste- mática. En ambos casos, se trataba de desarrollos legales anteriores a la Cons- titución de 1978. Añadamos que ade- más, aún no se disponía de regulación trol de accesos, en las que ya es co- mún el uso de tarjetas de identif i - cación personales para el acceso a instalaciones (complementando los servicios de vigilancia y verificación de identidad anteriores), la simplifica- ción de los controles biométricos, o la implantación de servicios de vigilan- cia mediante cámaras IP. Se trata en todos los casos de medidas de control de las que ya se disponía, que estaban siendo aplicadas y eran efectivas, y en las que las TI han realizado aportacio- nes para mejorar su eficacia de uso. El segundo ejemplo ya ha sido se- ñalado anteriormente, es el cambio de soporte físico para el manejo de la información. La información ha aban- donado prácticamente el soporte pa- pel para ser creada, leída, utilizada, al- macenada, transportada y distribuida mayoritariamente en soporte electró- nico. Este cambio ha supuesto que las medidas de control de difusión clási- cas. Históricamente, se adaptaban al uso de papel y se apoyaban en el eti- quetado y control de copias de la in- formación en ese formato, el control de los circuitos de distribución y las medidas de control. En la actualidad, siguen aplicándose medidas similares para los soportes que contienen la in- formación, complementadas con me- didas TI específicas para su protección, tales como tecnologías de protección del dato, cifrado de los espacios de al- macenamiento, uso de análisis de ries- gos de la información, etc., que permi- ten combinar la necesaria protección de la información, con las necesida- des de uso actuales: velocidad de pro- ducción, formato, casos de uso, difu- sión, etc. Como tercer ejemplo, sólo tenemos que acudir a la prensa escrita y al uso recurrente de conceptos como la ci- berdefensa, ciberataques, ciberdelin- cuencia, ciberamenazas... Es decir, el uso de las redes de comunicación y de sus interconexiones como escenario para atacar a otras organizaciones, te- niendo como objetivo provocar daños en sus sistemas de información o en la información que manejan. Incluyendo La evolución de la seguridad no deja de lado la vertiente física. El autor defiende que el cambio estriba en los medios que la tecnología ha puesto a disposición de las orga- nizaciones.