1/8/2019 Experto web y multimedia para e-commerce II

UA 2: Seguridad informática

UA Unidad de aprendizaje
Seguridad informática
2

Objetivos

Describir aspectos esenciales acerca de la seguridad informática en las

empresas.
Decidir qué soluciones de seguridad informática son las más adecuadas para una pyme.
Describir la mejor manera de realizar una encriptación de datos.
Identificar los aspectos legales que debe tener en cuenta una empresa para cumplir con las
normativas de protección de datos actuales.
Identificar y describir las principales técnicas de borrado seguro de datos.

Mapa conceptual o esquema de contenidos

1 Riesgos en los negocios y seguridad informática

2 Las soluciones de back-up y antivirus

3 Encriptación de las transmisiones

4 Política de seguridad en las organizaciones

5 Protección de datos

6 Prevención del acceso a información crítica

7 Almacenamiento

8 Recuperación

9 Borrado seguro
[Link] Experto web y multimedia para e-commerce II/master v1… 1/2
1/8/2019 Experto web y multimedia para e-commerce II

Introducción
Suele decirse que la información es poder y, por ello, es necesario protegerla. Y más en un entorno empresarial,
en el que las empresas —independientemente de su tamaño— manejan grandes cantidades de datos que es
preciso guardar y proteger para evitar posibles robos o usos fraudulentos.

En la actualidad los piratas informáticos ya no suelen entrar a los sistemas informáticos de las empresas para
destruir información, sino para robarla. De esta manera, consiguen ingentes cantidades de datos personales de
clientes, proveedores o empresas de la competencia —DNI, datos bancarios, direcciones de correo, claves de
páginas web o redes sociales…—, que usarán en beneficio propio. Incluso pedirán rescates para “liberar” esos
datos.

Además de la amenaza de los piratas informáticos, también es preciso garantizar el buen uso de los datos por
parte de los empleados de una empresa. En muchas ocasiones la fuga de datos no se debe a ciberataques, sino
a empleados descontentos con la compañía que venden o facilitan ciertos datos a la competencia, a descuidos
de los empleados en las normativas de seguridad, etc.

Para proteger con acierto los datos empresariales es preciso que las empresas tomen una serie de medidas de
seguridad informática. Así, es preciso hacer copias de seguridad, encriptar los datos, tener un antivirus potente,
establecer protocolos y niveles de seguridad para el acceso a los datos por parte de los empleados, etc.

En la presente unidad profundizaremos en diversos conceptos básicos de seguridad informática para las
empresas. Lo haremos basándonos en el ejemplo de Combo Ibérica, empresa dedicada a la venta de material y
merchandising deportivo. La empresa quiere mejorar sus sistemas de seguridad informática, y asegurarse de
que los datos de sus clientes y proveedores están a buen recaudo.

[Link] Experto web y multimedia para e-commerce II/master v1… 2/2

1/8/2019 Experto web y multimedia para e-commerce II

UA 2: Seguridad informática

1. Riesgos en los negocios y seguridad informática

Transcripción video

Sergio, CEO de Combo Ibérica, quiere mejorar los sistemas de seguridad de su negocio. Sin embargo,
primero tiene que conocer cuáles son los riesgos que corren los datos informáticos que tiene su empresa.

En la actualidad todas las empresas, por grandes o pequeñas que sean, utilizan sistemas y herramientas
informáticas en su día a día, la mayor parte de las veces haciendo además uso de internet. De esta manera, es
importante que las empresas sepan gestionar el riesgo para prevenir posibles errores o fallos de seguridad en
los sistemas informáticos.

Existen varios tipos de amenazas a la seguridad informática que pueden darse en cualquier empresa:

1 1. Fallos humanos3

Los principales fallos de seguridad informática en las empresas se deben a fallos u omisiones de los
2 4
trabajadores. Esto puede dar lugar a vulnerabilidades del sistema, violación de la privacidad, pérdida
de datos, etc. Se trata, habitualmente, de errores de programación o administración causados por
trabajadores con escasa formación en seguridad informática, lo que, por otra parte, es muy habitual.

2. Robos o accidentes
[Link] Experto web y multimedia para e-commerce II/master v1… 1/5
1/8/2019 Experto web y multimedia para e-commerce II

Estas amenazas varían desde la rotura de un equipo informático hasta el robo del mismo, pasando por
deterioro de los equipos o desastres naturales. En definitiva, se trata de cualquier circunstancia que
pueda dañar gravemente el hardware.

3. Ciberataques
La seguridad de los datos informáticos puede quedar en peligro por la acción de piratas informáticos.
Para evitarlo es preciso que las empresas estén al día en términos de seguridad informática y tengan
las herramientas precisas para defenderse de los ataques de los piratas informáticos. El objetivo debe
ser protegerse de las conexiones no deseadas, proteger los archivos del disco duro y efectuar
conexiones seguras al trabajar con servidores externos.

4. Programas maliciosos
Se trata de software creado específicamente para instalarse en los ordenadores de los usuarios,
causando graves perjuicios. Hablamos de virus, gusanos, troyanos, malware, etc. Son programas que
afectan a la seguridad de los equipos informáticos y, en consecuencia, a la privacidad de los datos.

La mayor parte de estas amenazas vienen ocasionadas porque las propias empresas son las que cometen fallos
en la seguridad de sus equipos y datos informáticos. A continuación, explicamos los cinco riesgos de seguridad
informática más graves que corren las empresas:

No tener antivirus en los ordenadores

Es la principal causa de fallos de seguridad informática en las empresas, especialmente en las más
pequeñas. Si no hay un antivirus instalado en todos los ordenadores, pero estos están conectados a
internet o entre sí a través de una red interna, hay peligro de que sean infectados por programas maliciosos
o sean víctimas de ciberataques. Incluso si los ordenadores no se conectan a ninguna red, se pueden
infectar de código malicioso a través de, por ejemplo, una memoria USB o un disco duro externo.

Fallos en las copias de seguridad

No hacer copias de seguridad, o directamente hacerlas mal, puede causar muchos problemas. Es
necesario hacerlas regularmente, cifrando los datos. Las copias de seguridad no deben almacenarse
únicamente en el mismo ordenador o en dispositivos físicos —si resultan infectados, pueden perderse los
datos—, sino también en la nube.

Abrir correos electrónicos fraudulentos

Gran parte de los ciberataques se realizan a través del correo electrónico. Hay que evitar descargar
archivos adjuntos o pinchar en enlaces en correos electrónicos enviados por personas o entidades que no
conocemos. Al hacerlo, lo más probable es que se descargue algún programa malicioso que infecte
nuestro ordenador.

Abrir mensajes extraños en las redes sociales

A veces los hackers usan las redes sociales enviando mensajes privados con links o archivos que, como en
el caso de los correos electrónicos fraudulentos, acaban por infectar el ordenador o el móvil desde el que
se abren dichos enlaces o archivos con programas maliciosos.

Utilizar periféricos infectados

[Link] Experto web y multimedia para e-commerce II/master v1… 2/5

1/8/2019 Experto web y multimedia para e-commerce II

Los troyanos pueden instalarse solos en un ordenador mediante memorias USB, discos duros, CD…, que
previamente hayan sido infectados con este tipo de programa malicioso. Desde ese instante, los piratas
informáticos pueden robar recursos para conseguir que el ordenador en cuestión forme parte, por ejemplo,
de una red zombie de ordenadores usados en actividades criminales. También es posible que capturen el
movimiento de las teclas y, de esta manera, recolecten información sensible como contraseñas, nombres
de usuario, etc.

Para hacer frente a estos y otros riesgos de seguridad informática, las empresas deben aumentar las medidas
de seguridad interna, externa y perimetral.

Seguridad interna

La seguridad interna consiste en crear medidas de seguridad locales, en la misma red en la que opera
la empresa, protegiendo los sistemas informáticos de ataques o de errores de los usuarios.

Seguridad externa

La seguridad externa hace referencia a la integración de barreras defensivas —antivirus, cortafuegos,

routers con protección DDoS, análisis de datos, etc.— en los ordenadores de las empresas,
protegiéndolos frente a ataques de piratas informáticos.

Seguridad perimetral

La seguridad perimetral consiste en proteger físicamente los sistemas en los que se almacenen los
datos mediante vigilantes, cámaras de seguridad, etc. El objetivo es evitar los robos de equipos, o que
los piratas informáticos accedan físicamente a los almacenes de datos.

Las empresas deben mantener unas medidas de

seguridad elevadas para evitar problemas
informáticos.

A continuación, explicaremos algunas medidas de seguridad que las empresas pueden poner en marcha para
proteger con mayor eficacia sus datos:

[Link] Experto web y multimedia para e-commerce II/master v1… 3/5

1/8/2019 Experto web y multimedia para e-commerce II

Instalar antivirus

Cortafuegos

Sistemas de detección y prevención de intrusos

Redes virtuales privadas

Filtros antispam

Honeypots

Personal cualificado

Capa de punto final

Análisis y prevención de vulnerabilidades web

1 Instalar antivirus

Los antivirus escanean los archivos y documentos que se utilizan en un equipo informático,
buscando programas maliciosos y bloqueándolos.

2 Cortafuegos

El cortafuegos, o rewall, escanea la seguridad de la red. Se encarga de analizar los

paquetes de datos que entran y salen de los equipos informáticos, protegiéndolos de
posibles amenazas.

3 Sistemas de detección y prevención de intrusos

Se trata de dispositivos cuya misión es monitorizar los sistemas informáticos de las

empresas, creando alarmas si detectan anomalías en el funcionamiento de los mismos.

4 Redes virtuales privadas

Se trata de túneles virtuales que se crean en las redes de comunicación para aislar y
proteger comunicaciones. Suelen usarse para conectar a varios usuarios de forma remota o
en entornos locales aparentemente seguros.

[Link] Experto web y multimedia para e-commerce II/master v1… 4/5

1/8/2019 Experto web y multimedia para e-commerce II

5 Filtros antispam

Aproximadamente el 80 % de las amenazas en internet que reciben las empresas llegan por
correo electrónico. Así, es importante instalar filtros contra el correo electrónico basura en
los sistemas de envío y recepción de e-mails que utilice la empresa.

6 Honeypots

Este es un truco que utilizan muchos responsables de seguridad de las empresas. Se trata
de crear vulnerabilidades falsas en los sistemas informáticos, para recabar información
sobre los posibles ataques informáticos que puedan producirse.

7 Personal cualificado

También es muy importante que las empresas tengan un equipo humano serio, profesional
y eficaz dedicado a la seguridad informática.

8 Capa de punto final

Se trata de implementar medidas de seguridad que impidan que se ejecuten programas

maliciosos, restringiendo los privilegios de los usuarios y reduciendo la posibilidad de que
los sistemas informáticos acaben siendo infectados.

9 Análisis y prevención de vulnerabilidades web

Es vital proteger las páginas web o las app de la empresa de los ataques informáticos,
puesto que los piratas informáticos también podrían acceder a datos relevantes violando la
privacidad de estas herramientas.

Las empresas deben tener claro que la seguridad informática les aporta integridad, ya que se mantiene la
información de la empresa en un entorno seguro y consistente, lejos de vulnerabilidades. Por otra parte, una
buena seguridad también aumenta la privacidad de los datos, ya que los usuarios solo deberían acceder a los
datos que realmente necesitan en cada momento.

Una óptima seguridad informática aporta también disponibilidad plena y continua de los datos que maneje la
empresa, y facilita el buen mantenimiento de los equipos y herramientas informáticas.



 Para saber más

Te animamos a ver este documental sobre seguridad informática:

Documental sobre seguridad informatica ()

[Link] Experto web y multimedia para e-commerce II/master v1… 5/5

1/8/2019 Experto web y multimedia para e-commerce II

UA 2: Seguridad informática

2. Las soluciones de back-up y antivirus

Transcripción video

Sergio va a comenzar a implantar algunos sistemas de seguridad para Combo Ibérica. Tras reunirse con su
equipo técnico, han decidido comenzar por realizar copias de seguridad de los archivos e instalar antivirus
en todos sus ordenadores. Pero, ¿serán métodos realmente efectivos?

En ocasiones ocurre que, por determinadas circunstancias, es necesario restablecer los archivos que las
empresas tienen en sus ordenadores. Bien sea por ataques de piratas informáticos o porque los equipos no
funcionan de forma correcta o, directamente, dejan de funcionar, lo cierto es que a veces es necesario reinstalar
determinados archivos o incluso el sistema completo.

Para que una reinstalación total o parcial de un equipo informático se lleve a buen puerto, es preciso que la
empresa tenga una buena política de copias de seguridad o back-ups, ya sean realizadas en discos duros
internos o externos; en dispositivos USB, CD, DVD o similares, o en la nube.




 De nición

Back-up
Término inglés que se usa para referirse a las copias de seguridad. Se trata de clones de los datos
originales de un sistema informático, que tienen la misión de sustituir dichos datos en una posible
pérdida de datos total o parcial.

[Link] Experto web y multimedia para e-commerce II/master v1… 1/3

1/8/2019 Experto web y multimedia para e-commerce II

En la actualidad existen diversas técnicas que tienen como objetivo optimizar la realización de las back-ups.
Estas técnicas incluyen optimizaciones para trabajar con archivos abiertos, fuentes de datos que están siendo
utilizadas, mecanismos de compresión, cifrado o duplicado de datos.

Realizar back-ups periódicamente es muy

importante para conseguir recuperar los datos en
caso de incidencias.

En cuanto a los antivirus, se trata de programas que tienen como misión detectar, bloquear y eliminar virus
informáticos. También son capaces de reparar archivos dañados por virus o cualquier otro tipo de programa
malicioso, y de prevenir que los archivos se infecten.

Un buen antivirus identificará y bloqueará las amenazas de ataques informáticos antes de que impacten en los
equipos informáticos de una empresa. Además, ofrece protección sin repercutir en el rendimiento de los
equipos, ya que todas las acciones se efectúan en segundo plano habitualmente. Eso sí, las empresas han de
tener claro que ningún antivirus es efectivo al 100 %.

Los antivirus utilizan diversos mecanismos para detectar virus y neutralizarlos antes de que puedan dañar los
datos de la empresa. Algunos de los principales son los siguientes:

Firma digital

Detección heurística

Detección por caja de arena

Detección por comportamiento

1 Firma digital

Los antivirus comparan una marca única del archivo que esté siendo objeto de estudio con
una base de datos de virus actualizada constantemente, con el objetivo de descubrir
coincidencias.

2 Detección heurística

Se trata de escanear los archivos en busca de patrones de código semejantes a los

utilizados por los virus.

[Link] Experto web y multimedia para e-commerce II/master v1… 2/3

1/8/2019 Experto web y multimedia para e-commerce II

3 Detección por caja de arena

Consistente en escanear el sistema si se detecta un fallo o un funcionamiento defectuoso

del mismo.

4 Detección por comportamiento

Se trata de ejecutar el archivo que esté siendo objeto de análisis en una máquina virtual,
determinando si es en realidad un programa malicioso o no.

Las empresas deberían, además, tener un protocolo de actuación a seguir en caso de que sus equipos
informáticos se vean infectados por algún tipo de virus, así como formar a su personal ante estas posibles
contingencias.

[Link] Experto web y multimedia para e-commerce II/master v1… 3/3

1/8/2019 Experto web y multimedia para e-commerce II

UA 2: Seguridad informática

3. Encriptación de las transmisiones

Transcripción video

En Combo Ibérica realizan muchas transferencias de datos: pagos a proveedores, gestión de pedidos,
pagos de clientes… ¿Estarán seguros los datos? Sergio ha leído que una de las formas más efectivas de
conseguir que los datos estén seguros en este tipo de transmisiones es encriptándolos, pero, ¿cómo se
hará?

Encriptar datos es un proceso consistente en que un archivo sea cifrado, de manera que el resultado acabe
siendo ilegible a menos que quien lo intenta descifrar conozca los datos necesarios para interpretarlos
correctamente. Se trata de una medida de seguridad muy usada en las empresas que, de esta manera,
consiguen que la información sensible que transmiten no pueda ser obtenida fácilmente por terceras personas.

A través de la encriptación de datos se consigue proteger la información confidencial de una empresa. Si esta
información llegase a caer en manos equivocadas, podrían producirse numerosos perjuicios para la empresa:
pérdidas económicas, desventaja competitiva, problemas legales… Incluso en ocasiones la pérdida de datos ha
ocasionado la bancarrota y el cierre de algunas empresas.

[Link] Experto web y multimedia para e-commerce II/master v1… 1/3

1/8/2019 Experto web y multimedia para e-commerce II

El encriptado de datos en las transmisiones

posibilita que los datos de las empresas estén más
seguros.

La encriptación suele asociarse a las transmisiones de datos, puesto que los mensajes que envía una empresa
viajan habitualmente a través de canales de comunicación externos, como internet, y pueden ser capturados
por piratas informáticos.

La clave es la parte principal del mecanismo de encriptación de datos, puesto que es la llave para descifrar la
información y, por lo tanto, poder leerla y manipularla. Por ello, es muy importante que las empresas utilicen
claves seguras, robustas, compuestas por una cadena de caracteres alfanuméricos. Utilizar claves como “1234”
o “nombredelaempresa” es muy arriesgado, ya que son claves fáciles de adivinar.



 Ejemplo

En 2013 la compañía Burger King sufrió el hackeo de su cuenta en Twitter, puesto que un pirata
informático consiguió adivinar su clave de acceso. Lee esta noticia para conocer más información:

¿Burger King o McDonald's? O cómo una contraseña débil en Twitter puede dañar tu imagen ()

Existen diversos tipos de encriptación que pueden utilizar las empresas para mejorar la seguridad de sus
transmisiones. A continuación, explicamos los más habituales:

Cifrado convencional

Usa una sola clave para descifrar los datos.

Esteganografía

El emisor oculta mensajes en aplicaciones para enviarlas en formato de imagen a través de varios
canales electrónicos, incluidos los satélites.

Spread-spectrum

Se trata de un sistema que permite enviar mensajes ocultos con herramientas inalámbricas o físicas.



 Nota

Desde el origen de los tiempos, el hombre ha encriptado mensajes con el objetivo de que no fuesen
detectados por personas a las que no iban dirigidos. Según diversos expertos, las primeras civilizaciones
que utilizaron técnica de criptografía fueron la egipcia, la mesopotámica, la india y la china.

[Link] Experto web y multimedia para e-commerce II/master v1… 2/3

1/8/2019 Experto web y multimedia para e-commerce II

La encriptación de los datos en una empresa puede darse en dos ámbitos diferenciados: medio de almacenaje
—disco duro, por lo que, sin conocer la clave de acceso, no se puede acceder a la unidad— y carpetas o
archivos —únicamente se protege parte de la información que se haya almacenado—.

La Agencia Española de Protección de Datos considera que, para que un sistema de encriptación de
transmisiones sea legal, no debe conocerse una forma de romperlo. Así, la encriptación de archivos .PDF o de
algunos programas de compresión como, por ejemplo, WinZip no serían legales, ya que tienen vulnerabilidades
conocidas.




 Sabías que...

La encriptación de datos tuvo su momento culminante durante la Segunda Guerra Mundial. Destacaban
la máquina de comunicación nazi Enigma o el sistema de criptografía usado por el ejército de Estados
Unidos, que jamás pudo ser descifrado… y se basaba en el lenguaje del pueblo navajo.




 Aplicación práctica 4
Duración: 15 minutos.

Objetivo:
Describir la mejor manera de realizar una encriptación de datos.

Marta es la propietaria de una consultora online especializada en el asesoramiento fiscal a pequeñas

empresas y autónomos. Recibe mensualmente datos de facturación y datos bancarios de sus clientes,
con el objetivo de gestionar el pago de impuestos como IVA o IRPF. ¿Cómo debería encriptar los datos
de sus clientes Marta para que no tengan problemas de seguridad?

[Link] Experto web y multimedia para e-commerce II/master v1… 3/3

1/8/2019 Experto web y multimedia para e-commerce II

UA 2: Seguridad informática

4. Política de seguridad en las organizaciones

Transcripción video

Sergio se ha dado cuenta de que una de las principales causas de posibles problemas de seguridad
informática en Combo Ibérica es que su empresa no tiene definida una política de seguridad relativa a los
datos. Ha llegado el momento de ponerle remedio.

Las políticas de seguridad en las empresas hacen referencia a un grupo de reglas, protocolos y normas
encargadas de mejorar los niveles de seguridad informática de las empresas. Son planes efectuados para
combatir los riesgos a los que se exponen las empresas en el entorno digital.

Es muy importante que las empresas establezcan qué mecanismos de seguridad van a implementar.
Normalmente se plantean varias acciones de seguridad informática, tal como explicamos a continuación:

Test de seguridad
Para que una empresa pueda elaborar una política de seguridad informática es preciso analizar su
situación previamente. Así, conocerá en qué área hay ya errores de seguridad, o en cuáles puede
haberlos en el futuro.

[Link] Experto web y multimedia para e-commerce II/master v1… 1/2

1/8/2019 Experto web y multimedia para e-commerce II

Análisis de riesgos
Efectuando un análisis de riesgos, las empresas podrán conocer con detalle el nivel de seguridad de
su red. Tendrán que analizar los puntos de entrada y salida, principalmente, y clasificar los archivos
según el peligro que correría la empresa en caso de pérdida o ataque informático.

Revisión de contraseñas
Es necesario modificar las contraseñas cada vez que haya una actualización o cambio de software, o
en los sistemas de seguridad. Las contraseñas utilizadas por los trabajadores han de cambiarse
frecuentemente, y deben ser contraseñas seguras.

Establecimiento de protocolos de seguridad

Se deben efectuar copias de seguridad de los datos, especialmente de los que sean más importantes
para la empresa. Así, en caso de pérdida o daño, los datos se pueden recuperar.

Formación e información
Es fundamental que las personas trabajadoras de las empresas estén plenamente informadas acerca
de las medidas de seguridad que haya implementado la empresa.

Tener un equipo de seguridad cuali cado

Es muy importante que la empresa tenga un buen equipo de seguridad informática, y que haya un
responsable claro del mismo.

Protección de los equipos

Los equipos informáticos deben protegerse permanentemente, especialmente con antivirus y rewalls.
Es importante, además, actualizar los sistemas operativos regularmente para que tengan siempre las
últimas versiones instaladas.




 Aplicación práctica 5
Duración: 30 minutos.

Objetivo:
Decidir qué soluciones de seguridad informática son las más adecuadas para una pyme.

Alejandro tiene una empresa online dedicada a la venta de material de papelería. Tiene una página web
en la que recoge los pedidos de los clientes, un almacén en el que prepara los pedidos y diversos
proveedores de material con los que se comunica a través de un sistema de comunicación online.

La empresa de Alejandro tiene, además, 100 trabajadores entre almacén y oficinas, que tienen sus
propios usuarios en la intranet de la empresa, y una flota de 50 camiones que reparten sus pedidos por
toda España y que están geolocalizados a través de un sistema de seguimiento vía satélite.

Con estos datos, decide qué soluciones de seguridad informática son las más adecuadas para la
empresa de Alejandro y explica por qué.

[Link] Experto web y multimedia para e-commerce II/master v1… 2/2

1/8/2019 Experto web y multimedia para e-commerce II

UA 2: Seguridad informática

5. Protección de datos

Transcripción video

En los últimos años ha habido grandes cambios en la legislación sobre la protección de datos en nuestro
país. Sergio no sabe si Combo Ibérica cumple con la nueva normativa. ¿Qué aspectos legales debería
tener en cuenta su empresa para garantizar la protección de sus datos?

En mayo de 2018 entró en vigor el Reglamento General de Protección de Datos, que cambió la legislación
relativa a la protección de datos personales en nuestro país. Se trata de un reglamento que se aplica en la Unión
Europea, que legisla sobre la protección de los usuarios de páginas web y el tratamiento de sus datos
personales. En definitiva, el reglamento afecta a todas las empresas que tengan una página web y vendan sus
productos y/o servicios en la Unión Europea.

El Reglamento establece que los datos personales se han de tratar de una manera lícita y transparente. Las
empresas no pueden recopilar datos sin consentimiento expreso de los usuarios, y han de informarles sobre
para qué los van a utilizar. Y, es más, deben usarlos únicamente para lo que los recopilaron. Las empresas
deben almacenar los datos en lugar seguro por un tiempo limitado.

[Link] Experto web y multimedia para e-commerce II/master v1… 1/4

1/8/2019 Experto web y multimedia para e-commerce II

El reglamento de protección de datos que entró en

vigor en 2018 afecta a todas las empresas que
operan en la Unión Europea.

Las empresas deben designar a un responsable del tratamiento de los datos. Este responsable ha de ser la
persona física o jurídica, la autoridad o el servicio público que vaya a tratar los datos de carácter personal.
Normalmente se designará a la propia empresa, en caso de tratarse de una sociedad, o al autónomo
responsable de la firma o marca comercial.

Además, es recomendable que las empresas tengan, en su plantilla, a un delegado o delegada de protección
de datos, que tenga entre sus actividades fundamentales la misión de velar por el buen tratamiento de los datos
de la empresa.



 Actividad colaborativa 2

Es el momento de realizar la siguiente Actividad colaborativa. No obstante puedes seguir estudiando la

unidad didáctica y realizar esta actividad en otro momento que te sea más favorable.

Supongamos que tienes la propiedad de un pequeño negocio, como podría ser un restaurante, y quieres
tener un contacto con tus clientes para informarles de tus novedades a través de una newsletter mensual
enviada por correo electrónico. Así, recoges las direcciones de correo, nombres, apellidos y números de
teléfono en un listado. ¿Deberías adaptar tus procesos de recogidas de datos respecto a la normativa
europea? ¿Cómo? Debate con tus compañeros/as sobre esto en el foro de la unidad.

Para realizar las Actividades colaborativas debes acceder a la página principal del curso, allí
encontrarás la información necesaria para realizarla. Podrás identi car las Actividades colaborativas
por la numeración correspondiente.

Para las empresas de más de 250 empleados la normativa indica que deben incluir en el registro de
operaciones del tratamiento de los datos el nombre y datos de contacto de la persona responsable o
corresponsable del tratamiento de los datos, y del delegado o delegada de protección de datos —si existe—. En
dicho registro se deben incluir, además, la finalidad del tratamiento de los datos, la descripción de los datos
personales y si se efectúan o no transferencias de datos internacionales.

Todas las empresas están obligadas a crear un documento en el que se especifique la finalidad de la recogida
de los datos, y la normativa jurídica que da luz verde a la recogida de los mismos y al modo de tratarlos. Este
documento servirá para que todas las personas que vayan a participar en el proceso de recolección o
tratamiento de datos sepan cómo actuar con ellos, para actuar siempre conforme a la legalidad vigente. En
dicho documento se debe, además, indicar qué datos personales se están tratando, cómo se han obtenido y
con quién los compartirá la empresa en cuestión.



 Consejo

Si no tienes claro si tu empresa cumple con los requisitos del reglamento europeo de protección de
datos, consulta con una empresa especializada en protección de datos.

[Link] Experto web y multimedia para e-commerce II/master v1… 2/4

1/8/2019 Experto web y multimedia para e-commerce II

La normativa indica también que los datos deben cifrarse, y que se debe garantizar su confidencialidad,
integridad y disponibilidad. Además, también es preciso que los datos se puedan restaurar fácilmente, y que el
acceso a los mismos se pueda realizar con rapidez en caso de incidencias. Asimismo, la normativa también
marca que es necesario verificar, evaluar y valorar regularmente la eficacia de las medidas de seguridad de
datos que realice la empresa.

En cuanto a la cesión de datos personales a terceros, únicamente podrá efectuarse para el cumplimiento de
acciones relacionadas con las acciones para las que se habían cedido en un principio, y siempre con el
consentimiento expreso del usuario en cuestión.

Además, hay que tener en cuenta que las personas que ceden sus datos personales a empresas tienen una
serie de derechos que explicaremos a continuación:

4
1

1. Derecho de acceso
Todos los usuarios tendrán derecho a conocer la información personal que, de ellos, guarda la
2
empresa. Esta deberá responder a la petición de información en el plazo máximo de un mes. De no
hacerlo, el usuario podrá elevar su petición a la Agencia Española de Protección de Datos.
3

2. Derecho de recti cación modi cación de datos

Los usuarios podrán pedir a las empresas que rectifiquen o modifiquen sus datos personales, y las
5
empresas deberán hacerlo en el plazo máximo de diez días. De no ser así, los usuarios podrán recurrir
ante la Agencia Española de Protección de Datos.

3. Derecho de oposisición
Este derecho hace referencia a que los usuarios pueden negarse a que sus datos personales sean
tratados por un tercero en discordia.

4. Derecho de cancelación
Por último, los usuarios tienen derecho a pedir a las empresas que cancelen todos sus datos
personales, salvo aquellos que, por normativa legal, deban permanecer en poder de las empresas.

En caso de que las empresas detecten que están sufriendo algún tipo de ataque informático y que los
datos corren peligro, se debe avisar a la Agencia Española de Protección de Datos en un plazo no
superior a las 72 horas tras la detección de la brecha de seguridad.

No obstante, la Agencia Española de Protección de Datos pone a disposición de todas las empresas la
herramienta Facilita 2.0, para que puedan conocer con cierta solvencia si cumplen los requisitos de la normativa
de protección de datos.

[Link] Experto web y multimedia para e-commerce II/master v1… 3/4

1/8/2019 Experto web y multimedia para e-commerce II




 Aplicación práctica 6
Duración: 30 minutos.

Objetivo:
Identi car los aspectos legales que debe tener en cuenta una empresa para cumplir con
las normativas de protección de datos actuales.

Sonia es la propietaria de una empresa de comida sana a domicilio que opera en toda España y recibe
pedidos a través de internet. Así, la empresa recibe a través de un formulario los datos de contacto de
sus clientes y sus datos bancarios, ya que tiene implementado un sistema de pago online.

La empresa de Sonia tiene más de 250 trabajadores entre cocineros, mozos de almacén, técnicos de
seguridad informática, repartidores, servicio de atención al cliente, etc. Además, la empresa tiene perfiles
en las principales redes sociales, a través de las cuales también recoge pedidos, que se centralizan
mediante un sistema de gestión de clientes denominado ERP.

Con estos datos, identifica los aspectos legales que debe cumplir la empresa de Sonia para cumplir con
la normativa de protección de datos y explica detalladamente por qué.

[Link] Experto web y multimedia para e-commerce II/master v1… 4/4

1/8/2019 Experto web y multimedia para e-commerce II

UA 2: Seguridad informática

6. Prevención del acceso a información crítica

Transcripción video

Sergio tiene miedo de que los datos más importantes que Combo Ibérica almacena de sus clientes —
datos bancarios, direcciones, DNI…— no estén bien protegidos. ¿Habrá alguna forma de restringir el acceso
a la información crítica de su empresa?

Las empresas deben hacer un esfuerzo extra para garantizar la seguridad de los datos más importantes que
almacenen. Por una parte, deben desarrollar y actualizar regularmente sus políticas de acceso a la información.
Y, por otro lado, todas las organizaciones deberían seguir el principio del “mínimo privilegio”, es decir, que los
usuarios solo tengan acceso a aquella información que realmente necesiten. Esto incluye, por supuesto, a los
trabajadores de la empresa.




 De nición

Información crítica
Se trata de la información cuya revelación, modificación, deterioro o destrucción pueda producir
graves daños a la empresa propietaria de dicha información.

La pérdida de información crítica puede deberse a accidentes o robos intencionados de información. En

cualquier caso, cuando se produce, el daño es muy importante para las empresas a nivel económico y de
imagen de marca.
[Link] Experto web y multimedia para e-commerce II/master v1… 1/2
1/8/2019 Experto web y multimedia para e-commerce II

Es muy importante que las empresas sepan diferenciar los diferentes estados por los que pasa la información,
para aplicar las medidas de seguridad necesarias:

1. En reposo
Se trata de los datos que están en los sistemas de archivos, bases de datos u otros medios de
almacenamiento. Habitualmente se encuentran en las dependencias de la propia empresa o alojados
en servidores externos. 3

2. En tránsito
Es cuando la información se mueve hacia el exterior o el interior de la empresa, habitualmente
mediante internet.

3. En el punto nal
Se trata de datos que están almacenados en los equipos informáticos de los usuarios o en
herramientas de almacenamiento extraíbles, tales como memorias USB, CD, DVD, discos duros
1 externos, teléfonos móviles, etc.
2

Existen varias tecnologías especializadas en la protección de información. Por ejemplo, las tecnologías DLP
protegen las fugas de información a través del control de los repositorios y de los medios de transmisión de
información que utilice la empresa. Las tecnologías EDRM o IRM, por su parte, están centradas en el control de
los accesos y del uso de los archivos que se están protegiendo, sin tener en cuenta dónde se encuentren.

Las empresas pueden controlar el acceso a sus

datos a través de las nuevas tecnologías de
protección de la información.

[Link] Experto web y multimedia para e-commerce II/master v1… 2/2

1/8/2019 Experto web y multimedia para e-commerce II

UA 2: Seguridad informática

7. Almacenamiento

Transcripción video

Sergio ya ha implantado algunas medidas de seguridad informática en Combo Ibérica. Ahora ha decidido
mejorar los sistemas de almacenamiento de la información de su empresa. ¿Cuáles serán las mejores
opciones para lograrlo?

Las empresas precisan, en la actualidad, de infraestructuras de almacenamiento de datos lo suficientemente

flexibles como para que sean operativas. Además, deben proteger y resguardar la información del negocio, y
adaptarse a los cambios que se produzcan en el mismo y a la evolución del mercado.

Existen diversos tipos de opciones de almacenamiento a los que pueden optar las empresas:

Almacenamiento local
Los trabajadores de las empresas usan equipos informáticos para trabajar. La información se genera en
dichos equipos y, desde ahí, se transmite por internet o a otros equipos. Cada equipo tiene un sistema
de almacenaje de datos local, habitualmente discos duros en los que se cobija la información. También
se considera almacenamiento local el hecho de guardar la información en dispositivos móviles como
tabletas o teléfonos.

Servidores de almacenamiento en red

[Link] Experto web y multimedia para e-commerce II/master v1… 1/2

1/8/2019 Experto web y multimedia para e-commerce II

Las empresas pueden disponer de un lugar común en el que todos sus trabajadores puedan guardar
la información, y compartirla entre sí, pero no con el exterior.

Almacenamiento en la nube
Es la opción por la que cada día optan más empresas. Se trata de almacenar la información en
servidores externos a la empresa, a través de aplicaciones desarrolladas por empresas de software,
normalmente ajenas a la empresa.

Dispositivos externos
Las empresas también pueden optar por guardar la información en dispositivos externos, como por
ejemplo tarjetas de memoria micro SD, unidades USB, CD, DVD, etc.

Las empresas especializadas en el

almacenamiento de datos guardan la información
de sus clientes en servidores de gran tamaño.

[Link] Experto web y multimedia para e-commerce II/master v1… 2/2

1/8/2019 Experto web y multimedia para e-commerce II

UA 2: Seguridad informática

8. Recuperación

Transcripción video

Sergio está preocupado porque, desde hace unos días, ¿qué ocurrirá si surge algún tipo de problema en
los servidores en los que Combo Ibérica almacena la información y se pierden algunos datos? ¿Sus
técnicos podrían recuperarlos?

En términos de seguridad informática, se entiende por recuperación de datos a la aplicación de técnicas y

procedimientos que se usan para acceder y recuperar la información en diversos medios de almacenamiento
digital que, por diversas circunstancias, no sea accesible de manera tradicional por los usuarios.

A veces es preciso que las empresas recuperen datos por diferentes causas, como daños físicos en el método
de almacenamiento de los datos —daños electrónicos o mecánicos, golpes, daños por agua o fuego, etc.— o
averías en las particiones, daños en los sistemas de archivos, formateos casuales, etc.

Normalmente hay tres posibles escenarios que pueden encontrarse las empresas que quieran recuperar
algunos datos:

1 2 3

1. Archivos borrados
Normalmente los archivos que se borran de un dispositivo no son eliminados totalmente de manera
instantánea. En lugar de esto, las referencias que de ellos se tiene en la estructura de los directorios
[Link] Experto web y multimedia para e-commerce II/master v1… 1/3
1/8/2019 Experto web y multimedia para e-commerce II

del equipo ha sido movida, y el espacio que ocupan los archivos eliminados está disponible para su
sobreescritura posterior. Si llegamos a tiempo, es posible recuperar el archivo original.

2. Fallo en el disco duro

Es el escenario más habitual. El objetivo consiste en copiar los archivos que se quieren recuperar en
otro disco. Esto puede conseguirse con un Live CD, herramienta que suele permitir acceder al sistema
de archivos, hacer una copia de los discos o dispositivos extraíbles y mover los archivos a un disco
nuevo mediante un administrador de archivos o un programa específico para crear discos ópticos.

3. Fallo en el sistema operativo

Dependiendo de la gravedad del fallo en el disco duro, la solución puede ser reparar el sistema de
archivos, arreglar la tabla de particiones o solucionar errores en el registro maestro de cargado del
equipo en cuestión. También es posible que deban aplicarse técnicas de recuperación de datos de
discos duros como la recuperación a partir del software de los datos que se hayan estropeado, o
reemplazar el hardware de un disco que haya sufrido daños físicos.

Antes de iniciar cualquier proceso de recuperación de datos, lo primero que hay que hacer es comprobar si
existen daños en el hardware. Las imágenes de disco se usan normalmente cuando un disco duro ha sido
dañado físicamente. Esta técnica permitirá sacar la imagen de los datos fuera de la partición del disco que haya
resultado dañada, transportándola a una partición realmente estable.

La mayor parte de los ordenadores permiten, además, restaurar archivos a una versión anterior. Sin embargo,
esto solo es posible cuando el daño en el equipo no es todavía demasiado grave y el sistema operativo todavía
consigue, como mínimo, arrancar.

Por otra parte, también es posible realizar una técnica denominada tallado de archivos, consistente en navegar
sección por sección de un disco duro, buscando los archivos que se quieran recuperar. Esta técnica es costosa y
bastante complicada.

En ocasiones es posible recuperar datos incluso de

equipos informáticos que han sufrido daños físicos.

La tarea de recuperar datos suele ser muy molesta y en ocasiones dañina para las empresas. A veces los
ordenadores o los dispositivos móviles en los que se trabaja simplemente fallan, eliminando datos importantes
y sin una causa aparente.

Sin embargo, en ocasiones los dispositivos informáticos emiten señales de que algo no va del todo bien. Si un
equipo informático tarda en arrancar, se apaga sin previo aviso, se congela, los programas dejan de funcionar o
funcionan mal, emite ruidos fuertes mientras funciona o se calienta en exceso… Lo más apropiado es hacer una
copia de seguridad de los archivos, por si acaso, porque es más que probable que no tarde en fallar totalmente.


[Link] Experto web y multimedia para e-commerce II/master v1… 2/3
1/8/2019 Experto web y multimedia para e-commerce II



 Actividad de aprendizaje 2

A continuación te proponemos una actividad en la que indicarás si se ha iniciado bien el proceso de

recuperación de datos en una empresa.

Susana tiene una tienda de moda online, y ha tenido problemas informáticos en las últimas semanas. El
Departamento de Atención al Cliente de su empresa ha sufrido un ataque informático, y se han perdido
los datos de contacto de cientos de clientes. Susana ha dado orden a su equipo técnico para que
recupere los datos de dichos clientes, y han comenzado los trámites restaurando los archivos a una
versión anterior. ¿Es correcta la técnica que está utilizando su equipo?

Sí, la estrategia es correcta.

No, ya que deberían restaurar en primer lugar una copia de seguridad.

No, ya que primero deberían comprobar si ha habido problemas en el hardware.

No, deben formatear el disco duro de los ordenadores afectados en primer lugar.

[Link] Experto web y multimedia para e-commerce II/master v1… 3/3

1/8/2019 Experto web y multimedia para e-commerce II

UA 2: Seguridad informática

9. Borrado seguro

Transcripción video

Una vez que tiene claro cómo garantizar la seguridad de los datos informáticos de su empresa, Sergio se
pregunta ahora cómo conseguir eliminar algunos datos de manera efectiva, especialmente si se lo piden
algunos usuarios.

Al enviar un archivo a la papelera de reciclaje de cualquier ordenador, y tras vaciarla, los usuarios tendemos a
pensar que el archivo ya ha sido eliminado totalmente. Pero no es así, ya que con la herramienta de
recuperación de datos adecuada es posible recuperarlo.

Algunos usuarios también creen que formateando un disco, de una manera estándar, se eliminan
completamente los archivos contenidos en él. No obstante, el contenido anterior sigue ahí, oculto, y seguirá
estando hasta que se sobrescriba con otro tipo de archivo.

En definitiva, los archivos se escriben mediante bits en las unidades de almacenamiento de datos informáticos.
Aunque esos bits ya no tengan la forma de archivo o carpeta y no puedan verse normalmente, siguen estando
ahí hasta que sean reescritos. Y, por lo tanto, siguen siendo recuperables.

[Link] Experto web y multimedia para e-commerce II/master v1… 1/3

1/8/2019 Experto web y multimedia para e-commerce II




 De nición

Borrado seguro
Técnica de borrado de datos informáticos consistente en formatear un dispositivo de
almacenamiento de datos informáticos escribiendo encima la información mediante datos vacíos.
Así, la información que existiese hasta entonces en el dispositivo será ya irreconocible e
irrecuperable.

Sin embargo, para efectuar un borrado seguro de datos en un entorno Windows es necesario recurrir a algunas
herramientas externas, como Active@ KillDisk, HDShredder o Hardwipe. Si utilizamos un Mac, sí es posible
efectuar un borrado seguro mediante la “Utilidad de discos”, dentro de la variable de “Opciones de seguridad”.

Además, existen otros métodos efectivos para borrar de modo seguro los datos de un sistema de
almacenamiento, como son la desmagnetización o la destrucción.

Desmagnetización

La desmagnetización consiste en exponer los soportes de almacenaje a la acción de un campo

magnético lo suficientemente potente. De esta manera se eliminarán los datos almacenados en el
dispositivo.

Destrucción

Por otra parte, la destrucción física consiste en inutilizar totalmente el soporte que almacene la
información con el objetivo de evitar la recuperación de los datos. Existen diversos métodos para
conseguirlo, como la desintegración, fusión, trituración o la incineración.

Un método efectivo para destruir un disco duro es

la incineración.



 Ejemplo

En 2016 el Partido Popular fue noticia por la destrucción de los discos duros de su extesorero, Luis
Bárcenas. Lo hizo a través del método Gutman, formateando hasta 35 veces el contenido de los discos
duros. Conoce aquí por qué:

¿Por qué el PP formateó 35 veces los ordenadores de Luis Bárcenas? ()

[Link] Experto web y multimedia para e-commerce II/master v1… 2/3

1/8/2019 Experto web y multimedia para e-commerce II




 Aplicación práctica 7
Duración: 20 minutos.

Objetivo:
Identi car y describir las principales técnicas de borrado seguro de datos.

Armando dirige una empresa dedicada a la inversión financiera. Tiene cientos de clientes en toda
España, y la mayor parte de ellos no quiere que se sepa el destino de sus inversiones. De hecho, muchos
de sus clientes le piden que, cuando ejecuten una inversión, no quede ningún rastro de esta en los
equipos informáticos y servidores de la empresa.

Con estos datos, identifica y describe las principales técnicas de borrado seguro de datos que debería
poner en marcha Armando para cumplir las exigencias de los clientes de su empresa.

[Link] Experto web y multimedia para e-commerce II/master v1… 3/3

1/8/2019 Experto web y multimedia para e-commerce II

UA 2: Seguridad informática

Resumen
Todas las empresas, independientemente de su tamaño, usan sistemas y herramientas informáticas, usando en
numerosas ocasiones internet. De esta manera, es importante que las empresas sepan gestionar el riesgo para
prevenir posibles errores o fallos de seguridad en los sistemas informáticos.

Los principales riesgos de seguridad informática que suelen correr las empresas son:

No tener antivirus en los ordenadores

Fallos en las copias de seguridad

Utilizar periféricos infectados

Abrir mensajes extraños en las redes sociales

Abrir correos electrónicos fraudulentos

Una de las principales técnicas de seguridad informática que pueden poner en marcha las empresas es la
encriptación de datos. Se trata de un proceso consistente en conseguir que un archivo sea cifrado, de manera
que el resultado acabe siendo ilegible a menos que quien lo intenta descifrar conozca los datos necesarios para
interpretarlos correctamente.

Es una medida de seguridad muy usada en las empresas que, de esta forma, consiguen que la información
sensible que transmiten no pueda ser obtenida fácilmente por terceras personas.

Los principales tipos de encriptación que pueden poner en marcha las empresas son:

[Link] Experto web y multimedia para e-commerce II/master v1… 1/2

1/8/2019 Experto web y multimedia para e-commerce II

Cifrado convencional

Esteganografía

Spread-spectrum

Otro de los aspectos que tienen que tener muy en cuenta las empresas para garantizar la seguridad informática
es la protección de los datos, tanto de sus clientes como de sus proveedores e incluso de sus propios
trabajadores.

El reglamento europeo de protección de datos establece que los datos personales se han de tratar de una
manera lícita y transparente. Las empresas no pueden recopilar datos sin consentimiento expreso de los
usuarios, y han de informarles sobre para qué los van a utilizar. Las empresas deben almacenar los datos en
lugar seguro por un tiempo limitado.

Por otra parte, las empresas precisan de infraestructuras de almacenamiento de datos lo suficientemente
flexibles como para que sean operativas. Además, deben proteger y resguardar la información del negocio.

Los principales tipos de almacenamiento de datos a los que pueden acceder las empresas son:

Almacenamiento local

Servidores de almacenamiento en red

Almacenamiento en la nube

Dispositivos externos

-->

[Link] Experto web y multimedia para e-commerce II/master v1… 2/2