Ley de seguridad informática: ¿Qué deben tener en cuenta los operadores de sitios web?

La Ley de Seguridad Informática es una de las denominadas leyes de artículos; una ley que modifica y amplía varias leyes al mismo tiempo.

El objetivo de la ley es mantener las infraestructuras informáticas en Alemania al nivel más alto posible y evitar consecuencias dramáticas en caso de cuellos de botella en el suministro, especialmente en infraestructuras críticas (CRITIS).

Sin embargo, no sólo los operadores de CRITIS se ven afectados por la Ley de Seguridad Informática, el legislador también impone nuevos requisitos en materia de seguridad de la información a los proveedores de servicios de un sitio web. Todo operador de un sitio web comercial debe considerarse un proveedor de servicios en el sentido de la ley.

Entre otras cosas, la Ley de Seguridad Informática ha dado lugar a cambios en la Ley de Telemedios (TMG). Los telemedios incluyen, entre otras cosas, los sitios web. El objetivo de las modificaciones de la TMG es frenar la propagación de programas maliciosos a través de los telemedios.

En el apartado 7 del artículo 13 de la TMG, el legislador exige a los proveedores de servicios que adopten medidas técnicas y organizativas ("en la medida en que sea técnicamente posible y económicamente razonable") para impedir el acceso no autorizado a los sistemas informáticos afectados, proteger los sistemas informáticos afectados contra interferencias de ataques externos y evitar violaciones de la protección de datos personales.

El informe de las pruebas de penetración realizadas periódicamente, por ejemplo, puede servir como prueba de la aplicación de dichas medidas. El legislador exige la aplicación de acuerdo con el "estado de la técnica".

Este término se utiliza a menudo en los textos legislativos, ya que el desarrollo de las tecnologías es mucho más rápido que la legislación. En este caso pueden consultarse normas de auditoría nacionales o internacionales como orientación concreta, por ejemplo las directrices técnicas de la BSI (Oficina Federal de Seguridad de la Información).

El apartado 7 del artículo 13 de la Ley alemana de Telemedios (TMG) exige expresamente el uso de métodos de cifrado "reconocidos como seguros". Con ellos se pretende proteger a los usuarios del sitio web frente a terceros no autorizados que lean los datos transmitidos.

Muchos protocolos utilizados para la transmisión de datos en Internet transmiten datos en texto plano. Si un atacante se encuentra en la misma red (o entre el emisor y el receptor) y consigue desviar el tráfico de datos hacia su dispositivo, puede leer los datos transmitidos (por ejemplo, los datos de inicio de sesión) con un simple sniffer de red.

Sin embargo, el uso de un método de cifrado por sí solo no proporciona una seguridad absoluta. Los protocolos utilizados para el cifrado (por ejemplo, TLS), al igual que los programas informáticos, se perfeccionan constantemente y se colman las lagunas de seguridad.

En parte, las versiones más antiguas ya se consideran rotas. Por tanto, los operadores de sitios web deben prestar atención a qué protocolos y qué versiones admite el sistema en su conjunto, y no sólo a cuáles se ofrecen de forma preferente.

De lo contrario, un atacante puede negociar una versión débil del protocolo, romper el cifrado y leer el tráfico de datos transmitido, a pesar del cifrado.

Conclusión

Garantizar la confidencialidad e integridad de los datos de los usuarios debería ser una prioridad para los operadores de sitios web, incluso sin la Ley de Seguridad Informática. Si los sistemas se ven comprometidos y los datos de los clientes se filtran, siempre se produce un daño a la reputación que puede tener graves consecuencias.

A esto hay que añadir las restricciones legales impuestas por la nueva Ley de Seguridad Informática. Es concebible una oleada de advertencias de empresas competidoras o bufetes de abogados demasiado celosos. Por lo tanto, conviene realizar periódicamente un control de seguridad de los sistemas accesibles desde Internet.