Aún no has entrado
Debe introducir al menos 3 caracteres en el buscador.
Cifrado y Protección de Datos - Cifrado y Protección de Datos
(1 opiniones)
Artículo de
Carlos Sánchez Almeida - 04 de Agosto de 2005
Temas Relacionados:
Seguridad informática, Seguridad en Internet
1. Cifrado y Protección de Datos
Publicado el 20-02-2003
La Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal (LOPD), supone una sustancial modificación del régimen sobre protección de datos de personas físicas que anteriormente se contenía en la ya extinta LORTAD. Ello no obstante, y pese a que la nueva Ley establece en su Disposición Final Primera una habilitación al Gobierno para proceder a su desarrollo reglamentario, el Ejecutivo no ha procedido en los tres años que lleva en vigor la norma a promulgar el correspondiente reglamento de desarrollo. Por tal motivo, continúa en vigor el Reglamento de desarrollo de la derogada LORTAD, aprobado por Real Decreto 994/1999, de 11 de junio. El indicado Reglamento establece las medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, y contiene una serie de prevenciones sobre la utilización de cifrado que considero conveniente analizar.
El artículo 3 del Reglamento establece los distintos niveles de seguridad de los ficheros. Así, todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y prestación de servicios de información sobre solvencia patrimonial y crédito, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio. Por último, los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto.
El Reglamento establece obligaciones de cifrado exclusivamente para los ficheros de nivel de seguridad alto. En concreto, además de las restantes medidas de seguridad (documento de seguridad, copia de respaldo, registro de incidencias, etc.) establecidas para los ficheros, el artículo 23 del Reglamento dispone que la distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte. Asimismo se dispone en el artículo 26 que la transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
Observamos en consecuencia que cualquier empresa o institución pública que maneje ficheros de datos de carácter personal de nivel de seguridad alto está obligado a adoptar pautas de cifrado en la utilización diarias de dichos ficheros, tanto en lo que se refiere al soporte físico en que se graben, como al envío de información por Internet. Dichas medidas de seguridad deben extremarse cuando se dispone de una conexión permanente a la Red o se utiliza un ordenador portátil, en cuyo caso es aconsejable cifrar todo tipo de datos, aunque no sea exigible jurídicamente.
El Reglamento no establece indicación alguna sobre los algoritmos o programas de cifrado: las empresas e instituciones públicas afectadas pueden escoger libremente las utilidades necesarias para cumplir con la normativa. Si bien existen utilidades de cifrado de libre distribución, como GNU Privacy Guard, es conveniente escoger un programa que permita generar discos cifrados, como PGP 8.0, el cual contiene en su última versión las utilidades PGP Disk y PGP Mail, cuya utilización conjunta permite garantizar el cumplimiento de las medidas de seguridad establecidas en el Reglamento de Protección de Datos. De hecho, PGP Disk permite que todos los documentos que se generen a diario se almacenen cifrados de forma sistemática, con lo cual se imposibilita la visualización de su contenido incluso disponiendo de acceso físico al ordenador, salvo para el usuario que haya generado la clave.
Mi limitado nivel técnico me condiciona seriamente para redactar un manual de uso de PGP, por lo que en las siguientes líneas únicamente intentaré ofrecer al lector una pequeña orientación sobre los primeros pasos con PGP Disk. Una vez instalado PGP 8.0 y generadas las claves correspondientes, debe ejecutarse la utilidad PGP Disk, opción “New Disk“. Aparecerá una ventana que permite definir el tamaño del disco. A continuación, el programa preguntará si se desea cifrar el disco con la llave pública, o bien con una nueva clave. Finalmente, PGP Disk cifrará y formateará el nuevo disco, que pese a su nombre, se trata en realidad de un fichero cifrado, incluido en el disco duro principal, al que el sistema le asignará una nueva letra de unidad.
Una vez generada la unidad cifrada, ésta puede montarse y desmontarse, para lo que será necesario introducir la clave. Cuando la unidad está montada, ésta actúa de forma transparente al usuario, de tal modo que puede crear en la misma directorios y archivos, los cuales serán inaccesibles al desmontar la unidad. PGP Disk permite definir incluso el tiempo durante el cual dicha unidad será accesible, pasado el cual se ocultará hasta que el usuario autorizado introduzca de nuevo la clave. Dado que el disco cifrado es en realidad un simple archivo, éste puede copiarse en unidades removibles, CD o DVD, lo que garantiza una efectiva gestión de las copias de seguridad, que también estarán cifradas.
La utilización de PGP mail, mucho más común en los usuarios de Internet, permite el intercambio de mensajes cifrados con aquellas personas que dispongan de la clave pública, las cuales, cuando se remitan ficheros de nivel de seguridad alto, únicamente podrán ser aquellas que aparezcan definidas en el documento de seguridad.
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal∞
Real Decreto 994/1999 de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal∞
GNUPG:
http://www.gnupg.org∞
PGP 8.0:
http://www.pgp.com∞
DRIVECRYPT (una alternativa a PGP Disk):
http://www.drivecrypt.com/drivecrypt.html--∞-
La Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal (LOPD), supone una sustancial modificación del régimen sobre protección de datos de personas físicas que anteriormente se contenía en la ya extinta LORTAD. Ello no obstante, y pese a que la nueva Ley establece en su Disposición Final Primera una habilitación al Gobierno para proceder a su desarrollo reglamentario, el Ejecutivo no ha procedido en los tres años que lleva en vigor la norma a promulgar el correspondiente reglamento de desarrollo. Por tal motivo, continúa en vigor el Reglamento de desarrollo de la derogada LORTAD, aprobado por Real Decreto 994/1999, de 11 de junio. El indicado Reglamento establece las medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, y contiene una serie de prevenciones sobre la utilización de cifrado que considero conveniente analizar.
El artículo 3 del Reglamento establece los distintos niveles de seguridad de los ficheros. Así, todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y prestación de servicios de información sobre solvencia patrimonial y crédito, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio. Por último, los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto.
El Reglamento establece obligaciones de cifrado exclusivamente para los ficheros de nivel de seguridad alto. En concreto, además de las restantes medidas de seguridad (documento de seguridad, copia de respaldo, registro de incidencias, etc.) establecidas para los ficheros, el artículo 23 del Reglamento dispone que la distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte. Asimismo se dispone en el artículo 26 que la transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
Observamos en consecuencia que cualquier empresa o institución pública que maneje ficheros de datos de carácter personal de nivel de seguridad alto está obligado a adoptar pautas de cifrado en la utilización diarias de dichos ficheros, tanto en lo que se refiere al soporte físico en que se graben, como al envío de información por Internet. Dichas medidas de seguridad deben extremarse cuando se dispone de una conexión permanente a la Red o se utiliza un ordenador portátil, en cuyo caso es aconsejable cifrar todo tipo de datos, aunque no sea exigible jurídicamente.
El Reglamento no establece indicación alguna sobre los algoritmos o programas de cifrado: las empresas e instituciones públicas afectadas pueden escoger libremente las utilidades necesarias para cumplir con la normativa. Si bien existen utilidades de cifrado de libre distribución, como GNU Privacy Guard, es conveniente escoger un programa que permita generar discos cifrados, como PGP 8.0, el cual contiene en su última versión las utilidades PGP Disk y PGP Mail, cuya utilización conjunta permite garantizar el cumplimiento de las medidas de seguridad establecidas en el Reglamento de Protección de Datos. De hecho, PGP Disk permite que todos los documentos que se generen a diario se almacenen cifrados de forma sistemática, con lo cual se imposibilita la visualización de su contenido incluso disponiendo de acceso físico al ordenador, salvo para el usuario que haya generado la clave.
Mi limitado nivel técnico me condiciona seriamente para redactar un manual de uso de PGP, por lo que en las siguientes líneas únicamente intentaré ofrecer al lector una pequeña orientación sobre los primeros pasos con PGP Disk. Una vez instalado PGP 8.0 y generadas las claves correspondientes, debe ejecutarse la utilidad PGP Disk, opción “New Disk“. Aparecerá una ventana que permite definir el tamaño del disco. A continuación, el programa preguntará si se desea cifrar el disco con la llave pública, o bien con una nueva clave. Finalmente, PGP Disk cifrará y formateará el nuevo disco, que pese a su nombre, se trata en realidad de un fichero cifrado, incluido en el disco duro principal, al que el sistema le asignará una nueva letra de unidad.
Una vez generada la unidad cifrada, ésta puede montarse y desmontarse, para lo que será necesario introducir la clave. Cuando la unidad está montada, ésta actúa de forma transparente al usuario, de tal modo que puede crear en la misma directorios y archivos, los cuales serán inaccesibles al desmontar la unidad. PGP Disk permite definir incluso el tiempo durante el cual dicha unidad será accesible, pasado el cual se ocultará hasta que el usuario autorizado introduzca de nuevo la clave. Dado que el disco cifrado es en realidad un simple archivo, éste puede copiarse en unidades removibles, CD o DVD, lo que garantiza una efectiva gestión de las copias de seguridad, que también estarán cifradas.
La utilización de PGP mail, mucho más común en los usuarios de Internet, permite el intercambio de mensajes cifrados con aquellas personas que dispongan de la clave pública, las cuales, cuando se remitan ficheros de nivel de seguridad alto, únicamente podrán ser aquellas que aparezcan definidas en el documento de seguridad.
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal∞
Real Decreto 994/1999 de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal∞
GNUPG:
http://www.gnupg.org∞
PGP 8.0:
http://www.pgp.com∞
DRIVECRYPT (una alternativa a PGP Disk):
http://www.drivecrypt.com/drivecrypt.html--∞-
Autor y licencia de 'Cifrado y Protección de Datos - Cifrado y Protección de Datos'
|
Wikis relacionados con 'Cifrado y Protección de Datos - Cifrado y Protección de Datos'
Un sistema informático utiliza ordenadores para almacenar datos, procesarlos y ponerlos a disposición de quien...
Más »
Por medio de la interpretación de los datos presentados en los estados financieros los administradores,...
Más »
En la actualidad, no existe un formato común generalmente aceptado para los datos contenidos en...
Más »
Este curso contiene cuatro actividades. Publico la primera actividad.
El termino datos, se refiere a la información que puede haber sido tomada de documentos...
Más »
Gente Wiki
¿Quiénes Somos? |
Preguntas Frecuentes |
Condiciones de Uso |
Aviso Legal |
2007 Wikilearning |
Blog |
