TAREA SI 01

Una empresa dedicada a desarrollar software a medida en el ámbito industrial desea contratarte para
que gestiones algunos aspectos relacionados con la seguridad de la empresa.
Responde a las siguientes cuestiones relacionadas con tu función:

1. En la empresa, podrían emplearse diferentes medidas de seguridad. Cita un ejemplo de

herramientas o medidas para cada tipo según la clasificación de seguridad que has visto en la
unidad (pasiva, activa, física, lógica --> y sus combinaciones).

Activa-física → control de acceso a las instalaciones

Activa-lógica → tener instalados antivirus en los equipos
Pasiva-física → disponer de extintores
Pasiva-lógica → realizar copias de seguridad

2. Si se produce una inundación en una oficina, razona si los 3 elementos de la seguridad

podrían verse en peligro:

Integridad → si se dañan los equipos hasta el punto de producirse pérdida de información, y no se

hicieron copias de seguridad, afectaría a la integridad.
Disponibilidad → si se dañan los equipos y dejan de funcionar, no tendríamos acceso a los datos
almacenados en éstos hasta reparar o sustituir dichos equipos.
Confidencialidad → si el agua causa daños estructurales, podría facilitar el acceso a personas no
autorizadas a los equipos.

Por lo tanto, una inundación en una oficina sí que podría afectar a la integridad, disponibilidad y
confidencialidad de la información.

3. Tu jefe o jefa te ha dicho que debes encargarte de la política de seguridad de la empresa.

¿Cuál es su principal objetivo? Desarrolla un "esqueleto" o índice de puntos importantes
para desarrollar esta política. Haz especial hincapié en los puntos básicos que debe contener la
política de seguridad relativos al acceso.

El objetivo principal de la política de seguridad es plasmar todos los objetivos de la empresa en lo

relacionado a la seguridad de la información. Cuál es la posición y compromiso de la empresa para
garantizar la confidencialidad, integridad y disponibilidad de la información. Formará parte de la
política general de la empresa.

Puntos importantes para desarrollar la política de seguridad:

- Definir el objetivo, alcance y vigencia

- Definir los responsables
- Especificar la autoridad de emisión, revisión y publicación
- Definir las medidas de seguridad
- Definir excepciones y sanciones
- Comunicar la política a los empleados
- Actualizar y revisar continuamente

Referente al acceso:

- Definir quién y a qué se tiene acceso.

- Definir los métodos de autenticación: mediante contraseñas, biometría, etc.
- Registrar dichos accesos.
- Revisar periódicamente que los permisos de los usuarios son los adecuados.
- Definir un procedimiento para dar de alta/baja las cuentas de usuario.

4. En tus primeros días de trabajo has recibido una pequeña formación en la que el ponente
mencionó que el factor humano es el eslabón más débil de la cadena en lo relativo a seguridad,
más especialmente con el auge de la IA en estos momentos. Visita el siguiente enlace sobre la
ley Europea que pretende regular algunos aspectos sobre este tema ([Link]
[Link]/la-ley-europea-para-inteligencia-artificial-cuales-son-los-riesgos-que-la-ue-quiere-
regular/) elige uno de los 6 aspectos que destaca el artículo, reflexiona sobre él y pon un
ejemplo de una situación que te parezca relevante vinculada a dicho aspecto y a nuestra labor
como humanos. Indica por qué has seleccionado ese aspecto.

La prohibición de los sistemas de IA que atenten contra la dignidad humana, como los que
manipulen el comportamiento humano o permitan la vigilancia masiva.

Las personas son muy influenciables. Si alguien decidiera lanzar una aplicación o página web, por
ejemplo, que contuviera una IA dedicada a analizar nuestro comportamiento a la hora de hacer
búsquedas o del uso que hacemos de ella y que encima fuese capaz de manipular nuestra opinión o
decisión… Podrían usarla para que determinado partido político gane las elecciones, un producto se
venda más que la competencia, modificar o influir en temas como violencia de género, conflictos
bélicos, etc.
La IA está en pleno auge pero aún no ha llegado de forma plena a nuestras vidas. Se pueden hacer
grandes cosas con ella, tanto buenas como malas, así que mejor dejar establecidas ahora unas
normas de uso y control, normas que deben ir adaptándose y evolucionar al ritmo de la propia IA.
He seleccionado este aspecto porque me ha llamado más la atención que el resto. Es algo que llevo
defendiendo en las conversaciones con amigos y familia: el mal uso que se le puede dar a la IA en
malas manos y la influenciabilidad de las personas, una mezcla peligrosa.

5. La empresa posee multitud de datos personales de su clientela. ¿Crees que podrían solicitar
que se eliminasen permanentemente de su fichero? En caso afirmativo, ¿Cómo se denomina
éste derecho? ¿Cómo sería el procedimiento (pon un ejemplo de formulario) ¿Qué otros
derechos tienen los usuarios y usuarias? Indica los enlaces que hayas consultado.

Sí que podemos solicitar la eliminación de nuestros datos, mediante el derecho de supresión, que es
el derecho del interesado a obtener del responsable del tratamiento, sin dilaciones indebidas, la
eliminación de los datos personales que le conciernan.

Para ejercer este derecho se ha de realizar un escrito dirigido a la empresa o entidad responsable del
tratamiento. El formulario se puede obtener en [Link]
[Link].

Los derechos de los usuarios (consultados en [Link]

derechos):
De acceso
De rectificación
De oposición
De supresión
A la limitación del tratamiento
A la portabilidad
A no ser objeto de decisiones individuales automatizadas
De información
Derechos Schengen y Marco de Privacidad UE-EEUU

6. Como ya sabrás, la LSSI impone una serie de obligaciones a las empresas y como
responsable de seguridad, también deberás ser conocedor o conocedora de las mismas y velar
por su cumplimiento para evitar que la empresa sea sancionada. Visita el siguiente enlace
([Link] e indícame cómo debo registrarme como empresa (puedes incluir
capturas).
1. Datos que necesito recopilar.
2. Documentos que debo presentar.
3. Recuerda que pertenezco al ámbito de desarrollo de software y desde mi página
cualquier futurible cliente puede contratar mis servicios.
4. Completa a tu elección cualquier apartado o información que necesites para dar tu
respuesta.

La LSSI señala la obligación de informar por parte del prestador del servicio:
• Sobre el propio prestador del servicio
• Sobre las condiciones del servicio
• Sobre el producto y las condiciones de contratación
Toda información relativa a estos conceptos debe mostrarse de forma clara, permanente y
comprensible para el usuario. Estos datos deben figurar de forma visible en la página principal de la
web o en un apartado debidamente identificado (por ejemplo “quiénes somos”).

Los datos de información general que deberán incluir en sus páginas web son los siguientes:

Nombre o razón social, domicilio, email, otros

• Nombre o Denominación Social
• Residencia o Domicilio (o dirección de establecimiento permanente)
• Correo electrónico
• Cualquier otro dato para establecer comunicación directa y efectiva (Formulario de contacto,
teléfono)

Datos de inscripción en el Registro

Datos de inscripción en el Registro Mercantil u otro, si corresponde.
Número de identificación fiscal que corresponda
NIF

Autorización administrativa previa

Si la actividad está sujeta a autorización administrativa aparecerán los datos de autorización y
órgano competente de la supervisión.

Cuando se haga referencia a precios

Se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye
o no los impuestos aplicables y, en su caso, sobre los gastos de envío.

Y si realizan actividades de contratación electrónica

Si las empresas realizan actividades de contratación electrónica, con carácter previo, deberán poner
a disposición del usuario la siguiente información:
• Trámites para celebrar el contrato
Los distintos pasos que debe de realizar el usuario para completar la compra.
• Archivo del documento electrónico
Si el prestador va a archivar el documento electrónico en el que se formaliza el contrato y si
este va a ser accesible.
• Medios técnicos para identificar y corregir errores
Modificar o eliminar los datos introducidos.
• Lengua o lenguas en las que se formaliza el contrato
Poner a disposición del usuario las condiciones generales y con posterioridad:
Obligación de confirmar la aceptación del contrato. El prestador lo suele realizar mediante el
envío de un correo de confirmación del pedido.

7. Evalúa la seguridad de tu puesto de trabajo (y si no trabajas, entrevista a un amigo,

compañero o conocido que sí lo haga). Utiliza la guía del INCIBE:
[Link]
[Link] De todas las opciones (o checks) que no hayas marcado elige 2 y propón un
sistema de mejora para cada una. Si has marcado todas como ciertas, elige aquellas 2 que más
te gusten.

- Abandonar documentación en impresoras:

Es frecuente encontrarme en las impresoras (conectadas en red) documentos impresos que nadie ha
recogido. La causa más común es la equivocación al elegir la impresora de salida cuando tienen
asociadas a su perfil varias impresoras. La solución que propongo, y realizo, es la retirada del
permiso de impresión a los usuarios en las impresoras que no les corresponden por el puesto
ocupado o que ya no necesitan, manteniéndoles únicamente el de la impresora más cercana.

- Apagado de equipos al finalizar la jornada:

Disponemos de equipos viejos que tardan mucho en iniciarse por lo que algunos usuarios deciden
no apagarlo al finalizar la jornada y así tenerlo encendido cuando llegan al día siguiente. Lo que he
propuesto para su mejora es cambiar estos equipos por unos nuevos y en el caso de que no fuese
posible a corto plazo, cambiar algunos componentes como la RAM (ampliación) o el disco duro
(cambiar a SSD).

8. Una diseñadora de la empresa está realizando un tríptico con información y para ello está
utilizando imágenes que encuentra en Internet, pero le surgen dudas sobre su tipo de licencia
y sus restricciones a la hora de utilizarlas para el tríptico. Suponiendo que pretende utilizar
una imagen con licencia CC BY-NC-SA, responde cual de las siguientes acciones podría
realizar sobre dicha imagen y en caso de que alguna acción no pueda realizarla, indica qué
licencia sí podría emplear (Una pequeña ayuda: [Link]
1. Retocar la imagen añadiéndole algunos filtros, recortándola, etc.
2. Utilizarla con fines comerciales.
3. Redistribuirla con una licencia CC BY.
4. Crear un bolso con dicha imagen, para su uso personal.
5. Vender varios bolsos que ha creado en un espacio comercial.

1. Sí podría.
2. No podría. Para ello tendría que usar una CC BY-SA.
3. No podría, tiene que redistribuirla con la misma licencia de la obra original. Para ello tendría que
usar una CC BY-NC
4. Sí podría.
5. No podría usarla con fines comerciales. Para ello tendría que usar una CC BY-SA.

En todos los puntos se podría recurrir a imágenes con licencia CC BY o de dominio público (CC0).