La plataforma global e independiente para la comunidad SAP.

Ley de seguridad informática: ¿Qué deben tener en cuenta los operadores de sitios web?

En julio de 2015 entró en vigor la Ley sobre el aumento de la seguridad de los sistemas de tecnología de la información (Ley de seguridad informática). Este artículo explica los requisitos que la nueva Ley de Seguridad Informática impone a los operadores de sitios web.
Alexandra Palandrani, IBS
7 de septiembre de 2017
It-Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La Ley de Seguridad Informática es una de las denominadas leyes de artículos; una ley que modifica y amplía varias leyes al mismo tiempo.

El objetivo de la ley es mantener las infraestructuras informáticas en Alemania al nivel más alto posible y evitar consecuencias dramáticas en caso de cuellos de botella en el suministro, especialmente en infraestructuras críticas (CRITIS).

Sin embargo, no sólo los operadores de CRITIS se ven afectados por la Ley de Seguridad Informática, el legislador también impone nuevos requisitos en materia de seguridad de la información a los proveedores de servicios de un sitio web. Todo operador de un sitio web comercial debe considerarse un proveedor de servicios en el sentido de la ley.

Entre otras cosas, la Ley de Seguridad Informática ha dado lugar a cambios en la Ley de Telemedios (TMG). Los telemedios incluyen, entre otras cosas, los sitios web. El objetivo de las modificaciones de la TMG es frenar la propagación de programas maliciosos a través de los telemedios.

En el apartado 7 del artículo 13 de la TMG, el legislador exige a los proveedores de servicios que adopten medidas técnicas y organizativas ("en la medida en que sea técnicamente posible y económicamente razonable") para impedir el acceso no autorizado a los sistemas informáticos afectados, proteger los sistemas informáticos afectados contra interferencias de ataques externos y evitar violaciones de la protección de datos personales.

El informe de las pruebas de penetración realizadas periódicamente, por ejemplo, puede servir como prueba de la aplicación de dichas medidas. El legislador exige la aplicación de acuerdo con el "estado de la técnica".

Este término se utiliza a menudo en los textos legislativos, ya que el desarrollo de las tecnologías es mucho más rápido que la legislación. En este caso pueden consultarse normas de auditoría nacionales o internacionales como orientación concreta, por ejemplo las directrices técnicas de la BSI (Oficina Federal de Seguridad de la Información).

El apartado 7 del artículo 13 de la Ley alemana de Telemedios (TMG) exige expresamente el uso de métodos de cifrado "reconocidos como seguros". Con ellos se pretende proteger a los usuarios del sitio web frente a terceros no autorizados que lean los datos transmitidos.

Muchos protocolos utilizados para la transmisión de datos en Internet transmiten datos en texto plano. Si un atacante se encuentra en la misma red (o entre el emisor y el receptor) y consigue desviar el tráfico de datos hacia su dispositivo, puede leer los datos transmitidos (por ejemplo, los datos de inicio de sesión) con un simple sniffer de red.

Sin embargo, el uso de un método de cifrado por sí solo no proporciona una seguridad absoluta. Los protocolos utilizados para el cifrado (por ejemplo, TLS), al igual que los programas informáticos, se perfeccionan constantemente y se colman las lagunas de seguridad.

En parte, las versiones más antiguas ya se consideran rotas. Por tanto, los operadores de sitios web deben prestar atención a qué protocolos y qué versiones admite el sistema en su conjunto, y no sólo a cuáles se ofrecen de forma preferente.

De lo contrario, un atacante puede negociar una versión débil del protocolo, romper el cifrado y leer el tráfico de datos transmitido, a pesar del cifrado.

Conclusión

Garantizar la confidencialidad e integridad de los datos de los usuarios debería ser una prioridad para los operadores de sitios web, incluso sin la Ley de Seguridad Informática. Si los sistemas se ven comprometidos y los datos de los clientes se filtran, siempre se produce un daño a la reputación que puede tener graves consecuencias.

A esto hay que añadir las restricciones legales impuestas por la nueva Ley de Seguridad Informática. Es concebible una oleada de advertencias de empresas competidoras o bufetes de abogados demasiado celosos. Por lo tanto, conviene realizar periódicamente un control de seguridad de los sistemas accesibles desde Internet.

avatar
Alexandra Palandrani, IBS

Alexandra Palandrani es auditora y consultora de seguridad informática en IBS Schreiber.


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.