Marco legal en la seguridad de la información
La seguridad de la información es un concepto que abarca un conjunto de normas, que en muchas ocasiones de forma voluntaria, se adhiere una organización con el fin de mejorar los procesos y garantizar un mayor nivel de protección, minimizando y conociendo los riesgos con los que se puede encontrar.
No obstante, existen diferentes leyes que de una forma u otra, complementan el concepto general de seguridad, además de tratarse de normas de obligado cumplimiento. Van desde la conocida ley de protección de datos o ley de acceso electrónico a los servicios públicos, hasta diferentes regulaciones sectoriales que pueden afectar a diferentes ámbitos de negocio. De esta forma vamos a repasar de forma general aquellas normas que debe considerar cualquier organización:
La normativa española en materia de protección de datos se establece en la Ley Orgánica 15/1999, y viene regulada por el Real Decreto 1720/2007, cuyo objetivo es plantear un marco de actuación en la empresa en torno a garantizar y proteger el tratamiento de datos personales, estableciendo una serie de medidas de seguridad tanto para ficheros automatizados, como en papel.
De forma complementaria a esta normativa, y compartiendo un mismo órgano regulador (la Agencia Española de Protección de Datos), se establece la Ley 34/2002, de servicios de la sociedad de la información y comercio electrónico. Su objeto es la regulación de las obligaciones de los prestadores de servicios en Internet, como por ejemplo la obligatoriedad de disponer de un Aviso Legal, así como la regulación de las comunicaciones comerciales por vía electrónica.
El Real Decreto 1/1996 establece la correspondencia de una obra con su autor, a través de una serie de derechos morales y de explotación con objeto de proteger el conocimiento. La propiedad intelectual tiene como relevante en el ámbito de la seguridad la obligación de contar con software original en la organización, ya sea propietario o libre, a través de una licencia de uso.
Aunque en la mayoría de las legislaciones internacionales se tratan de forma conjunta, la legislación española separa la propiedad industrial de la intelectual, regulándose a través de la Ley 17/2001 y cuyo fin es velar por los derechos sobre marcas y nombres comerciales. El organismo que se encarga de velar por esta norma es la Oficina de Patentes y Marcas, cuyo registro, de consulta pública, garantiza su eficacia.
Con el objeto de garantizar a todos los ciudadanos un servicio mínimo común en cuanto a condiciones de igualdad y precio, se aprobó la Ley 32/2003 General de Telecomunicaciones. Igualmente tiene como objeto esta normativa fomentar la competencia, promover el desarrollo del sector, gestionar el uso de los recursos en este ámbito y promover un mercado común europeo.
La firma electrónica en nuestro país se regula por la Ley 59/2003, cuyo fin es garantizar su eficacia jurídica y la prestación de servicios de certificación. De esta forma la firma electrónica adquiere un mismo valor que la firma manuscrita y su utilización debe quedar debidamente controlada, siendo un medio de identificación real cuya aplicación puede extenderse actualmente a la mayoría de las gestiones.
El reconocimiento del derecho de los ciudadanos a relacionarse electrónicamente con las administraciones públicas nace con la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos, que permite (o permitirá) poder realizar los trámites y gestiones desde cualquier lugar y en cualquier momento, agilizando los trámites burocráticos en España. Todo ello bajo una política de seguridad que deben garantizar las administraciones públicas, constituido por un conjunto de principios y requisitos técnicos a través del Esquema Nacional de Seguridad (Real Decreto 3/2010).
La disposición de estas normas permite cubrir aspectos que de otra forma muchas organizaciones no establecerían como políticas y procedimientos en su rutina diaria. El actual régimen jurídico en torno a la seguridad de la información es uno de sus pilares básicos, permitiendo a las empresas y administraciones públicas a través de su cumplimiento dar cabida a los requisitos mínimos en materia de confidencialidad, integridad y disponibilidad en la gestión de la información.