Modulo 2 Ciberseguridad PDF

Summary

Este documento es un módulo sobre ciberseguridad, enfocado en la normativa vigente, el diseño de sistemas de cumplimiento normativo y la legislación para la responsabilidad penal en el ámbito cibernético. El módulo analiza temas como el Convenio de Budapest y el Reglamento General de Protección de Datos (RGPD), además del Esquema Nacional de Seguridad (ENS) y la Ley de Protección de Infraestructuras Críticas (Ley PIC).

Full Transcript

Programa Profesional en Ciberseguridad

Módulo 2. Normativa en
ciberseguridad
Índice
Tema 1. Puntos principales de aplicación para un correcto
cumplimiento normativo

1.1. Introducción a la unidad formativa

1.2. El derecho a la ciberseguridad

1.3. Herramientas para el cumplimiento normativo: las
auditorías

1.4 Referencias bibliográficas

Tema 2. Diseño de sistemas de cumplimiento normativo

2.1. Introducción a la unidad formativa

2.2. Las estrategias nacionales de ciberseguridad

2.3. La ciberseguridad en el Sistema de Seguridad
Nacional

2.4. Conclusiones

2.5. Referencias bibliográficas

Tema 3. Legislación para el cumplimiento de la
responsabilidad penal

3.1. Introducción a la unidad formativa

3.2. El Convenio de Budapest sobre la Ciberdelincuencia

3.3. El ciberdelito

3.4. Los ciberdelitos del Código Penal de 1995

3.5. La responsabilidad penal de las organizaciones

3.6. Referencias bibliográficas

Tema 4. Legislación y jurisprudencia en materia de
protección de datos
 4.1. Introducción a la unidad formativa

4.2. Privacidad y protección de datos

4.3. El Reglamento General de Protección de Datos
(RGPD)

4.4. Referencias bibliográficas

Tema 5. Normativa vigente de ciberseguridad de ámbito
nacional e internacional

5.1. Introducción a la unidad formativa

5.2. La ciberseguridad y sus retos

5.3. Los ciberincidentes y ciberataques

5.4. Agentes de la amenaza

5.5. Ciberamenazas y salvaguardas

5.6. El marco jurídico de la ciberseguridad

5.7. Referencias bibliográficas

Tema 6. Esquema Nacional de Seguridad (ENS)

6.1. Introducción a la unidad formativa

6.2. El esquema nacional de seguridad y sus objetivos

6.3. Elementos del ENS

6.4. Adecuación al ENS

6.5. Marco legal del ENS

6.6. Las instrucciones técnicas de seguridad

6.7. Ámbito de aplicación del ENS

6.8. Los roles personales en el ENS

6.9. Las medidas de seguridad del ENS

6.10. El procedimiento de adecuación al ENS
 6.11. Auditorías del ENS

6.12. Referencias bibliográficas

Tema 7. Ley PIC (Protección de Infraestructuras críticas)

7.1. Introducción a la unidad formativa

7.2. La Directiva europea de infraestructuras críticas

7.3. La legislación española de infraestructuras críticas

7.4. Referencias bibliográficas
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
1.1. Introducción a la unidad formativa

La penetración mundial de las TIC (Tecnologías de la Información y las

Comunicaciones) y el grado de dependencia de las sociedades desarrolladas en las

redes y los sistemas de información que sustentan una parte cada vez mayor y más

importante de su actividad cotidiana, comporta un nuevo reto para todos los actores

concernidos (públicos y privados): la necesidad de que dichos elementos posean las

adecuadas garantías de seguridad y resiliencia que posibiliten su disponibilidad y,

cuando ello sea requerido, la confidencialidad e integridad de las informaciones

transmitidas, tratadas o almacenadas.

Esta exigencia, que la doctrina ha denominado ciberseguridad, lejos de ser una

moda pasajera, constituye un imperativo existencial de primer orden, configurándose

como un nuevo derecho, derivado de una nueva realidad y más allá del derecho al

acceso funcional a internet, y en el que, sin duda alguna, se sustenta el desarrollo

futuro del ser humano.

La presente Unidad Formativa arranca analizando la ontología de la ciberseguridad,

examinando sus características esenciales, señalando el tratamiento que el Derecho

ha venido dando a su existencia y desenvolvimiento, y lo que sobre tal realidad cabe

esperar de la ciencia jurídica y sus materializaciones regulatorias en un próximo

futuro.

La Unidad Formativa se completa estudiando una de las herramientas más eficaces

para asegurar el cumplimiento normativo: las auditorías, como procesos

sistemáticos, independientes y documentados que persiguen la obtención de

evidencias y su evaluación objetivamente para determinar en qué medida se

cumplen los criterios de auditoría.

Programa Profesional en Ciberseguridad 5
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
1.2. El derecho a la ciberseguridad

Derechos humanos: ¿numerus clausus?

Tradicionalmente, las disciplinas jurídicas más cercanas a la esencia del ser humano

(el Derecho Natural, la Filosofía del Derecho, el Derecho Político, especialmente) han

venido construyendo un consistente entramado de derechos humanos en torno al
más representativo -e inmaterial, probablemente- de todos ellos: la dignidad de la

persona.

Tales derechos, denominados fundamentales por constituir el fundamento de los

restantes, han cimentado el sistema jurídico occidental de los últimos siglos. "Soy un

hombre; nada de lo humano me es ajeno." ponía Terencio en boca de uno de sus

personajes, ciento cincuenta años a. C. Es seguramente esta misma idea la que

subyace en las manifestaciones y reivindicaciones de derechos desde finales del

Siglo XVIII.

Programa Profesional en Ciberseguridad 6
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Avanzando hasta la era contemporánea, la Declaración Universal de Derechos

Humanos de 1948 enuncia, en su primera línea, la libertad, la justicia y la paz como

base para el reconocimiento de la dignidad del hombre. Estos elementos esenciales

de la condición humana se van transfigurando en el texto, párrafo a párrafo,

adoptando diferentes formas: libertad de palabra y de creencia; igualdad de

derechos; no discriminación por razón de raza, color, sexo, idioma, religión, opinión

política, origen nacional o social, posición económica, nacimiento o cualquier otra

condición; derecho a la vida y a la seguridad personal, abolición de la esclavitud, la

servidumbre, las torturas o penas crueles, inhumanas o degradantes; reconocimiento

a la personalidad, igualdad ante la ley y derecho a la protección jurisdiccional, sin

que quepa la detención ilegal, la prisión o el destierro; derecho a la presunción de

inocencia; derecho a la intimidad, sin que quepa injerencia en la vida privada, familia,

domicilio o correspondencia; derecho a la libertad de circulación y residencia;

derecho al asilo, a la nacionalidad, a la formación de una familia, a la propiedad, etc.

Todos estos derechos, modelados por el tiempo, han sido reinterpretados por los

ordenamientos jurídicos de los países democráticos de todo el mundo, y la

Constitución Española de 1978 no es una excepción.

Efectivamente, nuestra Carta Fundamental, consagra la Sección 1ª del Capítulo II de

su Título I a enunciar los que denomina “Derechos fundamentales y libertades
públicas”, dedicando los artículos 15 a 29 a su explícito reconocimiento. Uno tras

otro, nuestra Constitución desgrana los que constituyen requisitos existenciales de

los destinatarios de la norma: igualdad, derecho a la vida y a la integridad física y

moral, a la libertad ideológica, religiosa y de culto, a la libertad y seguridad, al honor,

a la intimidad y a la propia imagen, a la libertad de residencia y circulación, a la

libertad de expresión, al derecho de reunión, asociación o a participar en asuntos,

funciones y cargos públicos, al derecho a la tutela judicial efectiva, al derecho a la

educación, a la libertad de sindicación y al derecho a la huelga y al derecho de

petición.

Programa Profesional en Ciberseguridad 7
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
No obstante lo anterior -o precisamente debido a ello-, y entrado ya el Siglo XXI

debemos formularnos un par de preguntas: ¿Son estos los únicos derechos

posibles? ¿Cabe algún otro?

La sociedad de la información y sus riesgos

Atendiendo a los datos publicados por Internet World Stats, la población mundial, en

el primer trimestre de 2021, estaba en torno a los 7.875 millones de personas, de las

cuales, 5.168 millones eran usuarios de Internet. En otras palabras: más de la mitad

de la población mundial (el 65,6%) es usuaria de Internet.

Tabla 1. World Internet usage and population statistics 2021. Fuente: Sruthy, 2024.

Como se ha señalado en otros trabajos (Parejo Alfonso, Vida Fernández, Quadra-

Salcedo y del Castillo, 2017), constituye un lugar común insistir en la dependencia de

las sociedades occidentales de sus sistemas de información, públicos o privados. La

actividad cotidiana de los ciudadanos, de los profesionales, de las empresas, de las

entidades públicas, del Estado, en suma, depende de que ese conjunto de

herramientas tecnológicas a las que hemos denominado sistemas de información

(computadores y redes de comunicaciones, esencialmente), permanezcan operativos

y en condiciones de prestar los servicios que de ellos se esperan.

Efectivamente, en España, en la actualidad, servicios esenciales tales como la

energía, los transportes, las finanzas, la sanidad, el comercio, la Defensa y la

Programa Profesional en Ciberseguridad 8
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
seguridad, el ocio e, incluso, el procedimiento administrativo, se desarrollan o se

gestionan, de forma mayoritaria, por medios electrónicos, y lo harán todavía más en

el futuro. Buena prueba de ello lo constituyen la Ley 39/2015, de Procedimiento

Administrativo Común de las Administraciones Públicas y la Ley 40/2015, de

Régimen Jurídico del Sector Público, ambas de 1 de octubre, que confieren al uso de
los mecanismos electrónicos en las relaciones de las entidades públicas con los

ciudadanos y de estas entre sí, respectivamente, el medio prioritario y habitual. La

importancia de garantizar la continuidad operativa de los sistemas que soportan

estos servicios esenciales ha quedado claramente reflejada en la regulación sobre

Protección de Infraestructuras Críticas, contemplando doce sectores estratégicos de

especial atención: Administración Pública, Espacio, Industria nuclear, Industria

Química, Instalaciones de Investigación, Agua, Energía, Salud, Tecnologías de la

Información y las Comunicaciones, Transporte, Alimentación y Sistema financiero y

tributario (Anexo de la Ley 8/2011, de 28 de abril, por la que se establecen las

medidas de protección de las infraestructuras críticas, en desarrollo de la Directiva

2008/114, del Consejo, de 8 de diciembre, sobre la identificación y designación de

Infraestructuras Críticas Europeas y la evaluación de la necesidad de mejorar su

protección.).

Por tanto, habiendo emprendido este camino sin retorno, la llamada “digitalización de

la sociedad” exige garantizar que las herramientas tecnológicas utilizadas tienen la

capacidad de resistir, con un determinado nivel de confianza, los accidentes o

acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad,

integridad y confidencialidad de los datos almacenados o transmitidos y de los

servicios que dichas redes y sistemas prestan o hacen accesibles: lo que se ha

denominado resiliencia, como así recoge el Real Decreto 3/2010, de 8 de enero, por

el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la

administración electrónica.

Programa Profesional en Ciberseguridad 9
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
La necesidad de asegurar el normal funcionamiento de los sistemas de información

se desprende del hecho de que (como así vienen señalando diferentes informes y

estudios periódicos publicados en nuestro país, entre otros, por el Centro

Criptológico Nacional (CCN), organismo gubernamental nacional adscrito al Centro

Nacional de Inteligencia (CNI) y competencialmente responsable de velar por la

ciberseguridad de los sistemas de información de las entidades públicas y aquellos
otros que tratan información clasificada; el Instituto Nacional de Ciberseguridad

(INCIBE), organismo encuadrado en las competencias del Ministerio de Energía,

Turismo y Agenda Digital en relación con la ciberseguridad de empresas y

ciudadanos; el Centro Nacional de Protección de Infraestructuras y Ciberseguridad

(CNPIC), organismo encuadrado en el Ministerio del Interior en relación con la

protección de las Infraestructuras Críticas; o el Mando Conjunto de Ciberdefensa

(MCCD), encuadrado en el Ministerio de Defensa), la realidad diaria evidencia el

volumen y la virulencia de los ciberataques contra la seguridad de tales sistemas,

muy especialmente aquellos de los que son víctimas los gobiernos, el sector público

y las empresas poseedoras de patrimonio tecnológico de todo el mundo,

advirtiéndose un incremento inusitado de las acciones de ciberespionaje llevadas a

cabo por los propios estados, con la pretensión de obtener información valiosa o

sensible desde los puntos de vista político, estratégico o económico.

Por otro lado, la universalización de los medios electrónicos en la actividad habitual

de las sociedades avanzadas representa un enorme estímulo para ciertos sujetos y

organizaciones delincuenciales, que ven con satisfacción cómo la “superficie de

ataque” se ensancha, al tiempo que lo hacen los beneficios derivados de su

comportamiento delictivo. La comisión de tales acciones en el ciberespacio, cuando

revisten las características del delito, es lo que se ha denominado

ciberdelincuencia, habiéndose desarrollado en los últimos años un nuevo modelo

de negocio: el Ciberdelito como Servicio (Crime-as-a-service).

Programa Profesional en Ciberseguridad 10
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Aunque ciberespionaje y ciberdelincuencia han venido siendo las más significativas

amenazas de los últimos años y, en su consecuencia, constituyendo la mayor

preocupación de los gobiernos, los servicios de inteligencia y los cuerpos policiales

de todo el mundo, no podemos olvidar que el activismo antisocial desarrollado en

Internet -lo que se ha denominado hacktivismo-, junto con la potencial amenaza del

ciberterrorismo, siguen constituyendo una fuente enorme de inquietud para las

organizaciones públicas y privadas de los países más desarrollados.

Además de lo anterior, ha surgido recientemente una nueva amenaza: el

ciberyihadismo, que, aunando métodos, procedimientos y herramientas del

terrorismo, el hacktivismo y la ciberguerra, constituye ya una realidad y supone uno

de los mayores riesgos con los que habrán de enfrentarse las sociedades

occidentales en los próximos años. Las importantes vías de financiación de estos

grupos -al socaire de ISIS o Daesh- hacen que ya no constituya un problema

insalvable para los atacantes la adquisición de los conocimientos y las herramientas

precisas para el desarrollo de ciberataques o la contratación de los elementos

humanos requeridos para su perpetración.

Finalmente, la persistencia de distintos conflictos armados en todo el mundo, en los

que se han visto involucrados no sólo los ejércitos convencionales sino también

unidades paramilitares y tropas adoctrinadas a través de fanatismos y radicalismos

de raíz religiosa, han propiciado que las acciones que hemos denominado como

ciberguerra se hagan especialmente presentes. Estos últimos años han dejado claro

que las redes y los sistemas informáticos constituyen un nuevo espacio para la

confrontación militar.

La ciberseguridad en los textos políticos y estratégicos españoles

Consciente de la necesidad de garantizar el desenvolvimiento seguro de las

organizaciones españolas -públicas o privadas-, sus profesionales y sus ciudadanos,

y siguiendo el camino emprendido por las instituciones europeas y buena parte de

Programa Profesional en Ciberseguridad 11
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
sus estados miembro, el estado español publicó la primera Estrategia de Seguridad

Nacional (ESN-2013) (Consejo de Ministros, 2013), texto político que manifestaba

con claridad la posición y compromiso de España. Su primer párrafo señalaba

aquella necesidad: “La seguridad es un fundamento esencial para el desarrollo y el

progreso de una sociedad libre. Por eso, resulta imprescindible un entendimiento

básico y generalizado de la importancia de la seguridad como garantía de bienestar

de los ciudadanos y de la estabilidad del propio Estado.”

Recientemente, se ha renovado este compromiso con la seguridad, mediante la

publicación del Real Decreto 1008/2017, de 1 de diciembre, por el que se aprueba la

Estrategia de Seguridad Nacional 2017 (ESN-2017). Sus líneas iniciales no dejan

lugar a dudas:

«La Estrategia de Seguridad Nacional es el marco de referencia para la política de
Seguridad Nacional, una política de Estado que parte de una concepción amplia de la

seguridad. La Estrategia actual profundiza en algunos de los conceptos y líneas de acción

definidos en 2013 y avanza en la adaptación de dicha Política ante nuevos desarrollos de

un entorno de seguridad en cambio constante.

»…

»España se enfrenta a una serie de amenazas y desafíos, tanto internos como externos,

incluyendo el reto demográfico, su limitada interconexión energética o problemas de
cohesión territorial. Los desafíos a la legalidad y al interés general de España requieren

una respuesta desde el Estado de Derecho con objeto de garantizar los derechos y

libertades de todos los ciudadanos.

»Asimismo, en plena revolución tecnológica, España, como país interconectado e

interdependiente, se debe adaptar a esta transformación y aprovechar sus oportunidades

de progreso, a la vez que aborda los nuevos desafíos que comporta la hiperconectividad.

En este sentido, es importante fomentar la concienciación sobre las principales

amenazas y desafíos actuales, a través de una adecuada cultura de Seguridad Nacional.

Programa Profesional en Ciberseguridad 12
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
No desaprovecha la oportunidad la ESN-2017 para señalar los riesgos de operar en

el ciberespacio cuando añade, un poco más allá:

«De manera notable, el desarrollo tecnológico está asociado a una mayor exposición a

nuevas amenazas, especialmente las asociadas al ciberespacio. La hiperconectividad

actual agudiza algunas de las vulnerabilidades del sistema de seguridad y exige una

mejor protección de las redes y sistemas, así como de la privacidad y los derechos
digitales del ciudadano. España debe adaptarse a esta transformación permanente con

un mayor esfuerzo de digitalización y tecnificación del Estado y la sociedad, basado en

un sistema educativo y de formación adaptado a la nueva realidad».

Más allá de las líneas de acción estratégicas que en materia de ciberseguridad

recoge la ESN-2017, el señalamiento de los intereses nacionales, los objetivos

perseguidos y las líneas de acción para alcanzarlos se explicitan en aquella primera

Estrategia de Ciberseguridad Nacional (ECSN), texto hecho público el 5 de diciembre

de 2013 a instancias del Consejo de Seguridad Nacional, y cuyo propósito es: “Fijar

las directrices generales del uso seguro del ciberespacio, impulsando una visión

integradora cuya aplicación ayude a garantizar a nuestra nación su seguridad y

progreso, a través de la adecuada coordinación y cooperación de todas las

Administraciones Públicas entre ellas, con el sector privado y con los ciudadanos.

Todo ello dentro del máximo respeto a los principios recogidos en la Constitución; en

las disposiciones de la Carta de Naciones Unidas, relativas al mantenimiento de la
paz y seguridad internacional; en coherencia con la Estrategia de Seguridad Nacional

y con iniciativas desarrolladas en el marco europeo, internacional y regional.”

Como hemos mencionado en otros trabajos (Galán y Galán Cordero, 2016), la ECSN

señaló seis objetivos sectoriales y ocho líneas de acción para alcanzarlos. Unos y

otras persiguen: “Lograr que España haga un uso seguro de los Sistemas de

Información y Telecomunicaciones, fortaleciendo las capacidades de prevención,

defensa, detección, y respuesta a los ciberataques.”

Programa Profesional en Ciberseguridad 13
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Los cuadros siguientes muestran los Objetivos de la ECSN13 y sus Líneas de

Acción.

Tabla 2. Objetivos de la Estrategia de Ciberseguridad Nacional de 2013. Fuente: elaboración propia.

Programa Profesional en Ciberseguridad 14
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo

Tabla 3. Líneas de Acción de la Estrategia de Ciberseguridad Nacional de 2013. Fuente: elaboración

propia.

En 2019, el BOE publicaba la nueva Estrategia Nacional de Ciberseguridad, que

actualiza los Objetivos y las Líneas de Acción, del modo siguiente:

▸ Objetivo I: Seguridad y resiliencia de las redes y los sistemas de información y

comunicaciones del sector público y de los servicios esenciales.

▸ Objetivo II: Uso seguro y fiable del ciberespacio frente a su uso ilícito o malicioso.

▸ Objetivo III: Protección del ecosistema empresarial y social y de los ciudadanos.

Programa Profesional en Ciberseguridad 15
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
▸ Objetivo IV: Cultura y compromiso con la ciberseguridad y potenciación de las

capacidades humanas y tecnológicas.

▸ Objetivo V: Seguridad del ciberespacio en el ámbito internacional.

▸ Línea de acción 1: Reforzar las capacidades ante las amenazas provenientes del

ciberespacio.

▸ Línea de acción 2: Garantizar la seguridad y resiliencia de los activos estratégicos

para España.

▸ Línea de acción 3: Reforzar las capacidades de investigación y persecución de la

cibercriminalidad, para garantizar la seguridad ciudadana y la protección de los
derechos y libertades en el ciberespacio.

▸ Línea de acción 4: Impulsar la ciberseguridad de ciudadanos y empresas.

▸ Línea de acción 5: Potenciar la industria española de ciberseguridad, y la

generación y retención de talento, para el fortalecimiento de la autonomía digital.

▸ Línea de acción 6: Contribuir a la seguridad del ciberespacio en el ámbito

internacional, promoviendo un ciberespacio abierto, plural, seguro y confiable, en

apoyo de los intereses nacionales.

▸ Línea de acción 7: Desarrollar una cultura de ciberseguridad.

La experiencia adquirida desde la Estrategia de Ciberseguridad Nacional de 2013, ha

permitido plasmar en la nueva Estrategia una actualización de las amenazas y los

desafíos a las que nos enfrentamos, siempre en continua evolución. Para adecuarse

a este nuevo escenario cambiante, la ENCS19 propone un conjunto de Líneas de

Acción y medidas más dinámicas que permitan, si fuese necesario, una rápida

adaptación del ecosistema de ciberseguridad nacional, basadas en un modelo de

gobernanza con una considerable madurez, donde debe participar activamente el
sector privado y el resto de la sociedad civil.

Programa Profesional en Ciberseguridad 16
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
En este sentido, la ENCS19 se concibe como un documento vivo que ha de

adaptarse a la evolución de la ciberseguridad, por lo que deberá ser objeto de

revisión continua, como también los planes específicos y sectoriales que de ella se

deriven. Se elaborará un informe anual de evaluación de la Estrategia donde figurará

el grado de ejecución y cumplimiento de sus objetivos.

Por otro lado, a la vista del incremento de las amenazas y desafíos a la

ciberseguridad y cómo los afrontan países de nuestro entorno, resulta cada vez más

urgente dotarse de recursos económicos, humanos y materiales para hacer frente a

los mismos.

La seguridad y la ciberseguridad en el ordenamiento jurídico

El término “seguridad”, obedeciendo a su carácter polisémico y multidisciplinar,

aparece en infinidad de textos políticos, estratégicos y jurídicos, de dispares objetivos

y alcances, presentándose siempre como un deseo, una pretensión… cuando no

como derecho.

Así aparece, por ejemplo y ciñendo nuestro discurso al ámbito español, en el artículo

17 (Derecho a la libertad y a la seguridad) de nuestra Constitución, cuando afirma:

“Toda persona tiene derecho a la libertad y a la seguridad. Nadie puede ser privado

de su libertad, sino con la observancia de lo establecido en este artículo y en los

casos y en la forma previstos en la ley.”, concretándose parcialmente en el art. 51

(Defensa de los consumidores y usuarios), cuando señala: “1. Los poderes públicos

garantizarán la defensa de los consumidores y usuarios, protegiendo, mediante

procedimientos eficaces, la seguridad, la salud y los legítimos intereses económicos

de los mismos.”

Aunque sin mencionarlo explícitamente, el amplio concepto de “seguridad” se
esconde también en los artículos 18 (derecho a la intimidad y al tratamiento

informatizado de datos), 24 (tutela efectiva de jueces y tribunales), 39 (protección

social, económica y jurídica de la familia) de nuestra Carta Magna. Es precisamente

Programa Profesional en Ciberseguridad 17
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
el citado art. 18 -cuya literalidad refiere la pretensión de adecuación e idoneidad de la

informática en los tratamientos de los datos personales-, al que debe atribuirse

jurídicamente un primer acercamiento nacional al término “ciberseguridad” del que

más tarde hablaremos.

Como era previsible, más amplio y detallado es el desarrollo que se hace del

concepto en estudio en la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.

Ya en su preámbulo puede leerse: “La seguridad constituye la base sobre la cual una

sociedad puede desarrollarse, preservar su libertad y la prosperidad de sus

ciudadanos, y garantizar la estabilidad y buen funcionamiento de sus instituciones.”

Es en este texto en el que, de forma explícita, se referencia un nuevo ámbito de

aplicación de la seguridad: el ciberespacio. Efectivamente, sigue diciendo el

Preámbulo: “Por otro lado, la realidad demuestra que los desafíos para la Seguridad

Nacional que afectan a la sociedad revisten en ocasiones una elevada complejidad,

que desborda las fronteras de categorías tradicionales como la defensa, la seguridad

pública, la acción exterior y la inteligencia, así como de otras más recientemente

incorporadas a la preocupación por la seguridad, como el medio ambiente, la

energía, los transportes, el ciberespacio y la estabilidad económica.”

La consideración del ciberespacio como un componente de primer orden en la

construcción y mantenimiento de la seguridad se pone claramente de manifiesto en

el art. 10 (Ámbitos de especial interés de la Seguridad Nacional) del citado cuerpo

legal, cuando afirma: “Se considerarán ámbitos de especial interés de la Seguridad

Nacional aquellos que requieren una atención específica por resultar básicos para

preservar los derechos y libertades, así como el bienestar de los ciudadanos, y para

garantizar el suministro de los servicios y recursos esenciales. A los efectos de esta

ley, serán, entre otros, la ciberseguridad, la seguridad económica y financiera, la

seguridad marítima, la seguridad del espacio aéreo y ultraterrestre, la seguridad

energética, la seguridad sanitaria y la preservación del medio ambiente.”

Programa Profesional en Ciberseguridad 18
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Efectivamente, como acertadamente señala Robles Carrillo (2015): “El ciberespacio

no solo es una realidad diferente, sino que también es una realidad capacitada para

alterar la naturaleza y el funcionamiento de la realidad no virtual”. El ciberespacio

(realidad artificial) constituye un escenario táctico, estratégico y operativo diferente

de los espacios terrestre, marítimo, aéreo y exterior (realidades naturales), que ha

sido calificado por la doctrina, como uno de los Global Commons (Gómez de Ágreda,

2010).

Figura 1. La influencia del ciberespacio en los Global Commons naturales. Fuente: elaboración propia.

Examinando la cuestión desde el punto de vista sectorial, la (ciber)seguridad, en su

condición de bien público (como lo es la seguridad ciudadana o la seguridad

nacional) (Asllani, White y Ettkin, 2013), constituye también una obligación para las

competencias y actuaciones del Sector Público. Así lo recoge el artículo 3 (Principios

generales) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector

Público, cuando prescribe: “2. Las Administraciones Públicas se relacionarán entre sí
y con sus órganos, organismos públicos y entidades vinculados o dependientes a

través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los

sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de

Programa Profesional en Ciberseguridad 19
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
los datos de carácter personal, y facilitarán preferentemente la prestación conjunta

de servicios a los interesados.”, exigencia que se concreta parcialmente en su

artículo 38 (Sede electrónica), cuando, en relación con los requisitos que debe

poseer toda sede electrónica administrativa, exige expresamente, la conformidad con

los principios de “transparencia, publicidad, responsabilidad, calidad, seguridad,

disponibilidad, accesibilidad, neutralidad e interoperabilidad.” Hacemos notar al lector

la aparición en este precepto del término “disponibilidad” que, como más adelante

se verá, resulta crucial para el objetivo perseguido por este trabajo.

Sigue la citada norma considerando la (ciber)seguridad en distintos preceptos:

artículos 44 (Intercambio electrónico de datos en entornos cerrados de

comunicación), 46 (Archivo electrónico de documentos), 155 (Transmisiones de

datos entre Administraciones Públicas), 156 (Esquema Nacional de Interoperabilidad

y Esquema Nacional de Seguridad), 157 (Reutilización de sistemas y aplicaciones de

propiedad de la Administración), 158 (Transferencia de tecnología entre

Administraciones), entre otros.

Por su parte, la seguridad jurídica perseguida por la Ley 39/2015, de 1 de octubre,

del Procedimiento Administrativo Común de las Administraciones Públicas,
fundamento esencial de la actividad administrativa, también sustenta su desarrollo en

la ciberseguridad, tal y como señala su artículo 13 (Derechos de las personas en sus

relaciones con las Administraciones Públicas), cuando recoge, entre otros derechos:

“h) A la protección de datos de carácter personal, y en particular a la seguridad y

confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de

las Administraciones Públicas.”, exigencia contenida asimismo en el artículo 16

(Registros), 17 (Archivo de documentos) y 31 (Cómputo de plazos en los registros),

entre otros.

No es ajena la actividad legislativa europea a la problemática de la ciberseguridad,

muy al contrario. Significativos son los textos jurídicos emanados de las instituciones

Programa Profesional en Ciberseguridad 20
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
europeas que tratan esta cuestión y evidencian -una vez más- la necesidad de

garantizar la ciberseguridad de los sistemas de información europeos para el

adecuado desarrollo político, económico y social de los estados, poniendo especial
énfasis en los sistemas de información que gestionan sectores estratégicos o

esenciales, cuya pérdida, deterioro o indisponibilidad, conllevaría un enorme impacto

negativo para sus sociedades o colectivos destinatarios.

Así se expresa la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de

6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel

común de seguridad de las redes y sistemas de información en la Unión. Esta norma,

que al tiempo de redactar estas líneas está siendo transpuesta al ordenamiento

jurídico nacional, contempla la exigencia de la aplicación de medidas de seguridad a

l o s operadores de servicios esenciales de siete sectores (energía, transporte,

banca, infraestructuras de los mercados financieros, sector sanitario, suministro y

distribución de agua potable e infraestructura digital), sectores a los que se les unirán

otros en la futura norma nacional (las AA.PP., por ejemplo), así como a los

proveedores de servicios digitales relacionados con los mercados en línea,

motores de búsqueda en línea y servicios de computación en la nube.

No obstante, con anterioridad a esta importante regulación, la Unión Europea ya

dejaba clara su preocupación por la seguridad física y lógica de las denominadas

Infraestructuras Críticas, publicando la Directiva 2008/114/CE del Consejo de 8 de

diciembre de 2008 sobre la identificación y designación de infraestructuras críticas

europeas y la evaluación de la necesidad de mejorar su protección, de la que ha

traído causa la Ley 8/2011, de 28 de abril, de Medidas para la Protección de las

Infraestructuras Críticas.

No debemos olvidar en esta necesariamente incompleta enumeración, y

prescindiendo de la todavía vigente normativa nacional en materia de protección de

datos, al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de

abril de 2016 relativo a la protección de las personas físicas en lo que respecta al

Programa Profesional en Ciberseguridad 21
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
tratamiento de datos personales y a la libre circulación de estos datos y por el que se

deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y, en su

consecuencia, a la nueva ley orgánica nacional de protección de datos que se

publicará complementariamente, cuyo primer borrador ya ha sido difundido al tiempo

de redactar estos párrafos.

Aunque la codificación de los derechos a la privacidad y a la protección de datos

viene a regular significativos aspectos de la seguridad de la información (la

confidencialidad y, en menor medida, la integridad de los datos tratados), derechos

elevados incluso a la categoría de fundamentales (art. 18 de la Constitución), no

tratan sin embargo todos los elementos en cuestión, olvidando componentes que

consideramos cruciales, entre ellos: la disponibilidad de los sistemas de

información. Más adelante insistiremos sobre ello.

Por último, y constituyendo probablemente la norma nacional que, de modo integral y

con mayor detalle ha tratado la seguridad de la información, no debemos olvidar el

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de

Seguridad en el ámbito de la administración electrónica (ENS).

El ENS, como anuncia el art. 156 de la Ley 40/2015, de 1 de octubre -norma de la

que hereda por novación ámbito subjetivo de aplicación-, tiene por objeto establecer

la política de seguridad en la utilización de medios electrónicos, estando constituido

por los principios básicos y requisitos mínimos que garanticen adecuadamente la

seguridad de la información tratada, debiendo ser aplicado a los sistemas de

información de las entidades de su ámbito de aplicación para asegurar el acceso,

integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación

de los datos, informaciones y servicios utilizados en medios electrónicos que

gestionen en el ejercicio de sus competencias.

Programa Profesional en Ciberseguridad 22
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Las dimensiones de la ciberseguridad

Como hemos señalado, la seguridad de la información, tal y como la define el ENS,

es la capacidad de las redes o de los sistemas de información de resistir, con un

determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas

que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los

datos almacenados o transmitidos y de los servicios que dichas redes y sistemas

ofrecen o hacen accesibles.

Así pues, la seguridad de estos sistemas (la ciberseguridad) es un concepto

poliédrico que puede estudiarse desde diferentes puntos de vista, atendiendo

precisamente a las garantías exigibles a la información tratada o los servicios que
deben ser especialmente preservados.

La figura siguiente muestra un esquema de tales principios o dimensiones de la

ciberseguridad.

Figura 2. Dimensiones de la seguridad. Fuente: elaboración propia.

Programa Profesional en Ciberseguridad 23
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
El ENS -siguiendo la metodología MAGERIT de análisis y gestión de riesgos

(Administración Electrónica, s. f.)- define cinco dimensiones de seguridad:

Confidencialidad, Integridad, Autenticidad, Trazabilidad y Disponibilidad, a las que
nosotros hemos añadido una más, de carácter genérico: Conformidad Legal.

El cuadro siguiente muestra las definiciones de estas dimensiones, así como su

aplicabilidad a la información tratada o a los servicios prestados por los sistemas de

información de que se trate.

Tabla 4. Dimensiones de la Seguridad de la Información. Fuente: elaboración propia.

Programa Profesional en Ciberseguridad 24
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Del derecho de acceso al derecho a la ciberseguridad

Significativos trabajos han analizado la posibilidad de incluir el acceso a Internet

como un derecho (prescindamos, por el momento, de adjetivo alguno) de las

personas, en tanto que individuos inmersos en la denominada Sociedad de la

Información, realidad que, como hemos señalado, ya no es posible soslayar.

Efectivamente, como acertadamente señala Moises Barrio (Parejo Alfonso, Vida

Fernández, de la Quadra-Salcedo y del Castillo, 2017), y aun cuando no parece

existir un consenso suficiente, los últimos años han venido siendo testigos de la
conceptuación doctrinal del derecho de acceso a Internet como derecho

fundamental. La argumentación dada para sustentar tan significativa adscripción ha

sido, con sus matices, siempre la misma: ya no es posible concebir una adecuada

implicación del hombre en su entorno político, social o económico, al margen de

Internet y de las posibilidades que ofrece. Esta adscripción ha sido igualmente

tratada y aceptada en la Declaración Conjunta sobre Libertad de Expresión e Internet

[Organization for Security and Co-operation in Europe (OSCE), 1 junio 2011].

Puedes ampliar más información en de Hert, P. (2012, diciembre 13). Internet

(access) as a new fundamental night. Inflating the current rights framenork?

European Journal of Law and Technology, 3 (3).
https://ejlt.org/index.php/ejlt/article/view/123

Naturalmente, el derecho de acceso a Internet debe concretarse un poco más,
exigiéndose, como requisitos para su adecuado ejercicio, la garantía del

mantenimiento de la velocidad y la capacidad de tal acceso [Este concepto de

«Acceso funcional a Internet» fue puesto de manifiesto en la Directiva 2002/22/CE

del Parlamento Europeo y del Consejo de 7 de marzo de 2002 relativa al servicio

universal y los derechos de los usuarios en relación con las redes y los servicios de

comunicaciones electrónicas (Directiva servicio universal)].

Programa Profesional en Ciberseguridad 25
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Siendo sin duda importante esta aproximación, nos parece, sin embargo, insuficiente.
Si, como es sabido, casi cualquier actividad que podamos desarrollar en Internet está

sustentada en uno o varios sistemas de información (ordenadores y redes de

comunicaciones, hardware y software) de diferentes prestadores de servicios, de

poco serviría la garantía de un acceso (incluso, funcional, expresado en términos de

capacidad y velocidad adecuadas y suficientes) a Internet si el sistema de

información del prestador del servicio en cuestión no dispusiera de las debidas

garantías de seguridad, expresadas en función de las dimensiones definidas con

anterioridad: confidencialidad, integridad y disponibilidad, especialmente.

Figura 4. Recorrido de los derechos tecnológicos. Fuente: elaboración propia.

Conclusiones

Así pues, admitiendo que Internet constituye un elemento esencial para el desarrollo

del ser humano y para garantizar el disfrute efectivo de derechos tales como la

libertad de expresión, el derecho a la educación, la atención a la salud y el trabajo o

el derecho de reunión y asociación -como apunta el documento de la OSCE antes

citado-, no debemos limitar nuestras aspiraciones al mero reconocimiento de un

pretendido “derecho de acceso” que, llegado el caso y por lo dicho, podría resultar

inútil a la postre. Debemos dar un paso más allá: es necesario asegurar que los

servicios accedidos, cuando se encuentren sustentados en sistemas de información,

gocen de las adecuadas garantías de seguridad y resiliencia.

Programa Profesional en Ciberseguridad 26
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Habiendo concretado la ciberseguridad a través de sus dimensiones constituyentes

(integridad, confidencialidad, autenticidad, trazabilidad y disponibilidad), el legislador,

consciente de la problemática asociada a cada una de ellas, ha venido regulando la

garantía de su observancia, aunque con diferente grado de intensidad -y acierto,

habría que decir. Así, las dimensiones integridad, autenticidad y trazabilidad han sido

significativamente reguladas por la legislación nacional (Ley 59/2003, de 19 de

diciembre, de Firma Electrónica, entre otras) y europea (por todas, el Reglamento

(UE) No 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014

relativo a la identificación electrónica y los servicios de confianza para las

transacciones electrónicas en el mercado interior y por la que se deroga la Directiva

1999/93/CE), en lo tocante a la identificación electrónica de personas físicas y

jurídicas y la prestación de servicios de confianza.

Por su parte, las dimensiones confidencialidad (y, parcialmente, integridad) han

constituido el leitmotiv de las regulaciones en materia de Privacidad y Protección de

Datos (por todas, el Reglamento (UE) 2016/679 del Parlamento Europeo y del

Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo

que respecta al tratamiento de datos personales y a la libre circulación de estos

datos y por el que se deroga la Directiva 95/46/CE - Reglamento general de

protección de datos).

Finalmente, la dimensión disponibilidad constituye el eje central de los principios del
Real Decreto 3/2010 (Esquema Nacional de Seguridad), cuyo ámbito de aplicación

se extiende a las entidades del Sector Público, la Ley 8/2011 (Medidas de Protección

de Infraestructuras Críticas) y la ley nacional que finalmente trasponga la Directiva

(UE) 2016/1148, de aplicación a los operadores de servicios esenciales y

proveedores de servicios digitales.

Así pues, creemos que con todo lo dicho -y su necesaria brevedad-, debe quedar

claro que, pese a constituir un eslabón necesario, el derecho de acceso a internet no

Programa Profesional en Ciberseguridad 27
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
puede erigirse en un derecho humano finalista. Más aún, como hemos señalado, el

acceso a internet debe ir necesariamente acompañado de un derecho a la

ciberseguridad que lo haga plenamente efectivo.

Es, por consiguiente, labor esencial de los poderes públicos, articulados a través del

Consejo Nacional de Ciberseguridad (El Consejo de Ciberseguridad Nacional es un

órgano colegiado de apoyo al Consejo de Seguridad Nacional en su condición de

Comisión Delegada del Gobierno para la Seguridad Nacional, en el marco de la Ley

50/1997, de 27 de noviembre, del Gobierno, habiéndose creado por Acuerdo del

Consejo de Seguridad Nacional del 5 de diciembre de 2013, modificado por Orden

PRA/33/2018, de 22 de enero, por la que se publica el Acuerdo del Consejo de

Seguridad Nacional, por el que se regula el Consejo Nacional de Ciberseguridad),

hacer efectivo tal derecho, construyendo y abonando una regulación coherente e

integradora, articulando una esencial -y muchas veces olvidada- cooperación

público-privada, diseñando programas de I+D+i, formativos y de concienciación

realistas y garantizando la cooperación internacional con nuestros socios y aliados.

Aprovechemos el reto de la actualización de la Estrategia de Ciberseguridad

Nacional para seguir insistiendo en el camino correcto.

Cualquier otro acercamiento -creemos- no daría adecuada respuesta a la siempre

tozuda realidad.

Programa Profesional en Ciberseguridad 28
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
1.3. Herramientas para el cumplimiento
normativo: las auditorías

Las auditorías de los sistemas de información

La evaluación de la conformidad legal de las entidades puede exigir o, al menos,

hacer aconsejable la realización de auditorías periódicas de sus sistemas de

información, cuando sean usados para el desarrollo de actividades sujetas a estrictos

requisitos técnicos y normativos de cumplimiento.

Esta tarea auditora resulta predicable no solo cuando se trata de evaluar la

conformidad de los sistemas de información de los que son titulares las entidades,

públicas y privadas, sino también cuando los sistemas son propiedad de otras

organizaciones, públicas o privadas, que prestan servicios a aquellas.

Aunque, como es preceptivo, todas las actividades públicas deben estar sujetas a un

estricto control de cumplimiento legal (Compliance), destacamos algunas materias

que, por su especial incidencia en el normal desenvolvimiento de la actuación

pública, suelen ser sujeto de evaluación dirigida:

Las auditorías se configuran como una de las mejores herramientas pra garantizar la
conformidad legal y el cumplimiento normativo. Los siguientes epígrafes examinan

sus aspectos esenciales.

Programa Profesional en Ciberseguridad 29
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Auditorías y tipos de auditoría

Una auditoría (de un sistema de información o de cualquier otro objeto auditable) es

un proceso sistemático, independiente y documentado que persigue la obtención de

evidencias objetivas y su evaluación, para determinar en qué medida se cumplen los

criterios de auditoría. Las auditorías pueden ser de varios tipos:

Tabla 5. Auditorias. Fuente: elaboración propia.

Como señala la norma UNE-EN ISO 19011, una auditoría puede tener lugar en

relación con una variedad de criterios de auditoría, por separado o en combinación,

entre otros:

▸ Requisitos definidos en uno o más estándares de un sistema de gestión.

▸ Políticas y requisitos especificados por las partes interesadas.

▸ Requisitos legales y reglamentarios.

▸ Uno o más procesos del sistema de gestión definidos por la organización u otras

partes.

▸ Planes de sistemas de gestión relacionados con la provisión de productos

específicos de un sistema de gestión.

Programa Profesional en Ciberseguridad 30
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Algunas definiciones previas

El cuadro siguiente contiene las definiciones de los conceptos esenciales de las

auditorías.

Tabla 6. Definiciones. Fuente: basado en AENOR Internacional S.A.U., 2018.

Los principios esenciales de las auditorías

Son los siguientes:

▸ INTEGRIDAD: El Equipo de Auditoría debe desarrollar su trabajo de manera ética,

con honestidad y responsabilidad; realizar las actividades auditoras solo si es
competente para hacerlo; desarrollar su trabajo de manera imparcial y permanecer
atento a cualquier influencia que pueda ejercerse sobre su juicio al realizar una
auditoría.

Programa Profesional en Ciberseguridad 31
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
▸ PRESENTACIÓN DE RESULTADOS: El Equipo Auditor tiene la obligación de

informar con sinceridad y precisión los resultados de la auditoría, las conclusiones de
la misma, de modo que los Informes de Auditoría reflejen de manera veraz y precisa
las actividades realizadas. Asimismo, debe informar de los obstáculos significativos
encontrados durante la auditoría y las opiniones divergentes no resueltas entre el
Equipo Auditor y el auditado. La comunicación debe ser veraz, precisa, objetiva,
oportuna, clara y completa.

▸ DILIGENCIA PROFESIONAL: El Equipo Auditor debe desarrollar la debida

diligencia profesional de acuerdo con la importancia de la tarea que realiza y la
confianza depositada en él por el cliente de auditoría y otras partes interesadas. Un
factor importante es tener la capacidad de emitir juicios razonados en todas las
situaciones de la auditoría.

▸ CONFIDENCIALIDAD: El Equipo Auditor debe desarrollar su trabajo con discreción

y protegiendo la información adquirida. La información de auditoría no debe ser
utilizada de manera inapropiada para beneficio personal del auditor o el cliente de

auditoría, o de una manera perjudicial para los intereses legítimos del auditado. Esta
cuestión incluye la adecuada gestión de información sensible o confidencial.

▸ INDEPENDENCIA: Los miembros del Equipo Auditor deben ser independientes de

la actividad que se audita siempre que sea posible y, en todos los casos, deben
actuar de forma libre de sesgos y conflictos de intereses. Para las auditorías
internas, los auditores deben ser independientes de la función que se audita, si es
posible. Los auditores deben mantener la objetividad durante todo el proceso de

auditoría para garantizar que los hallazgos y conclusiones de la auditoría se basen
únicamente en las evidencias obtenidas. En organizaciones pequeñas, puede que
no sea posible que los auditores internos sean totalmente independientes de la
actividad que se audita, pero se debe hacer todo lo posible para eliminar el sesgo y
fomentar la objetividad. No obstante, cada regulación en la que se base la auditoría

podrá contener sus propias normas en materia de independencia e imparcialidad.

Programa Profesional en Ciberseguridad 32
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
▸ ENFOQUE BASADO EN LA EVIDENCIA : Las evidencias constituyen el método

racional para alcanzar conclusiones de auditoría confiables y reproducibles. Las
evidencias de la auditoría deben ser verificables. En general, debe basarse en
muestras de la información disponible, ya que una auditoría se realiza durante un
período de tiempo finito y con recursos limitados. Si es necesario, debe aplicarse un
uso apropiado del muestreo, ya que está estrechamente relacionado con la
confianza que se puede depositar en las conclusiones de la auditoría.

▸ ENFOQUE BASADO EN EL RIESGO : La auditoría debe considerar los riesgos y las

oportunidades. El enfoque basado en el riesgo debe influir de manera sustancial en
la planificación, la realización y la presentación de los Informes de Auditoría, para
garantizar que las auditorías se centran en asuntos que son importantes para el
cliente de la auditoría y para lograr los objetivos del programa de auditoría.

El programa de auditoría y su implementación

El alcance de un programa de auditoría debe basarse en el tamaño y la naturaleza

del auditado, así como en la naturaleza, la funcionalidad, la complejidad, el tipo de

riesgos y oportunidades, y el nivel de madurez del sistema a auditar.

La funcionalidad del sistema a auditar puede ser aún más compleja cuando la

mayoría de las funciones importantes se subcontratan y administran bajo el liderazgo
de otras organizaciones. Se debe prestar especial atención a dónde se toman las

decisiones más importantes y lo que constituye la administración superior del sistema

de gestión.

Para comprender el contexto del auditado, el programa de auditoría debe tener en

cuenta lo siguiente:

▸ Los objetivos de la organización;

▸ Los asuntos externos e internos relevantes;

Programa Profesional en Ciberseguridad 33
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
▸ Las necesidades y expectativas de las partes interesadas relevantes;

▸ La seguridad de la información y requisitos de confidencialidad.

Una vez establecido el programa de auditoría y determinado los recursos

relacionados, es necesario implementar la planificación operativa y la coordinación

de todas las actividades dentro del programa. La persona que administra el programa

de auditoría (Auditor Jefe) debe:

▸ Comunicar las partes relevantes del programa de auditoría, incluidos los riesgos y

oportunidades involucradas, a las partes interesadas relevantes e informar

periódicamente su progreso, utilizando los canales de comunicación internos y
externos establecidos;

▸ Definir objetivos, alcance y criterios de la auditoría;

▸ Seleccionar los métodos de auditoría;

▸ Coordinar y programar la auditoría y otras actividades relevantes;

▸ Garantizar que el Equipo de Auditoría tiene la competencia necesaria;

▸ Proporcionar los recursos individuales y generales necesarios al Equipo de Auditoría;

▸ Garantizar la realización de la auditoría de acuerdo con el programa de auditoría,

gestionando todos los riesgos operativos, oportunidades y problemas (es decir,
eventos inesperados), según surjan durante el despliegue del programa;

▸ Garantizar que la información documentada relevante con respecto a las actividades

de auditoría se gestione y mantenga adecuadamente;

▸ Definir e implementar los controles operativos necesarios para la supervisión del

programa de auditoría;

▸ Revisar el programa de auditoría para identificar oportunidades de mejora.

Programa Profesional en Ciberseguridad 34
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Definición de objetivos, alcance y criterios de la auditoría

La auditoría debe tener claramente definidos sus objetivos, alcance y criterios de

auditoría. Los objetivos de la auditoría definen lo que se debe lograr con la auditoría,

incluyendo:

▸ Determinación del grado de conformidad del sistema a auditar con los criterios de

auditoría;

▸ Evaluación de la capacidad del sistema para ayudar a la organización a cumplir con

los requisitos legales pertinentes y otros requisitos con los que la organización está
comprometida;

▸ Evaluación de la efectividad del sistema para alcanzar los resultados esperados;

▸ Identificación de oportunidades de mejora potencial del sistema;

▸ Evaluación de la idoneidad y adecuación del sistema con respecto al contexto y la

dirección estratégica del auditado;

▸ Evaluación de la capacidad del sistema para establecer y alcanzar objetivos y

abordar con eficacia los riesgos y oportunidades, en un contexto cambiante, incluida
la implementación de las acciones relacionadas.

Los criterios de auditoría se utilizan como referencia contra la cual se determina la

conformidad. Pueden incluir: políticas aplicables, procesos, procedimientos, criterios

de desempeño que incluyen objetivos, requisitos legales y reglamentarios, requisitos

del sistema, información sobre el contexto y los riesgos y oportunidades según lo

determinado por el auditado (incluyendo información externa relevante). requisitos

internos de las partes interesadas), códigos de conducta sectoriales u otros acuerdos
planificados.

Programa Profesional en Ciberseguridad 35
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
En el caso de cambios en los objetivos, el alcance o los criterios de la auditoría, el

programa de auditoría debe modificarse si es necesario y comunicarse a las partes

interesadas, para su aprobación, si corresponde.

Cuando se audita más de una disciplina al mismo tiempo, es importante que los

objetivos, el alcance y los criterios de la auditoría sean coherentes con los programas

de auditoría relevantes para cada disciplina. Algunas disciplinas pueden tener un

alcance que refleje a toda la organización y otras pueden tener un alcance que refleje

un subconjunto de toda la organización.

Gestión de los resultados de las auditorías

La persona que gestiona el programa de auditoría (Auditor Jefe) debe asegurarse de

que se realicen las siguientes actividades:

▸ Evaluación del logro de los objetivos de la auditoría;

▸ Revisión y aprobación de los Informes de Auditoría con respecto al cumplimiento del

alcance y los objetivos de la auditoría;

▸ Revisión de la efectividad de las acciones tomadas para abordar los hallazgos de la

auditoría;

▸ Distribución de los Informes de Auditoría a las partes interesadas relevantes;

▸ Determinación de la necesidad de cualquier auditoría de seguimiento.

Además, debe considerar, cuando corresponda:

▸ Comunicar los resultados de la auditoría y las mejores prácticas a otras áreas de la

organización, y

▸ Las implicaciones para otros procesos.

Programa Profesional en Ciberseguridad 36
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
1.4 Referencias bibliográficas

Administración Electrónica. (s. f.). Metodologías y Guías.
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metod

olog/pae_Magerit.html#.Wj5K7LpFxdg

AENOR Internacional S.A.U. (2018). Directrices para la auditoría de los sistemas de

gestión (ISO 19011:2018). Asociación Española de Normalización.

https://www.iso.org/obp/ui#iso:std:iso:19011:ed-3:v1:es

Asllani, A., White, Ch. S. y Ettkin, L. (2013). Viewing Cybersecurity As A Public Good:

The Role Of Governments, Businesses, And Individuals. Journal of Legal, Ethical and

Regulatory Issues, 16(1), 7-14.
https://www.researchgate.net/publication/289342389_Viewing_cybersecurity_as_a_p

ublic_good_The_role_of_governments_businesses_and_individuals

Consejo de Ministros. (2013). Estrategia de Seguridad Nacional 2013 (ESN 2013).

Consejo de Ministros.

https://catedrapsyd.unizar.es/archivos/documentacion/javier_jimenez_esn_2013.pdf

Constitución Española. Boletín Oficial del Estado, núm 311, de 29 de diciembre de

1978. https://www.boe.es/buscar/act.php?id=BOE-A-1978-31229

Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de
2016 relativa a las medidas destinadas a garantizar un elevado nivel común de

seguridad de las redes y sistemas de información en la Unión. Diario Oficial de la

Unión Europea, L 194/1, de 19 de septiembre de 2016.
https://www.boe.es/doue/2016/194/L00001-00030.pdf

Programa Profesional en Ciberseguridad 37
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Galán, C. M. y Galán Cordero, C. (2016). La ciberseguridad pública como garantía

del ejercicio de derechos. Derecho & Sociedad, (47), 293-306.

https://revistas.pucp.edu.pe/index.php/derechoysociedad/article/view/18892

Gómez de Ágreda, A. (2010). Global Commons en la era de la incertidumbre. Boletín

de Información del CESEDEN, (317), 53-62. https://dialnet.unirioja.es/servlet/articulo?

codigo=3745516

Ley 36/2015, de 28 de septiembre, de Seguridad Nacional. Boletín Oficial del Estado,

núm. 233, de 29 de septiembre de 2015, 87106-87117.

https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-10389

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas. Boletín Oficial del Estado, núm. 236, de 2 de octubre de

2015. https://www.boe.es/buscar/act.php?id=BOE-A-2015-10565

Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. Boletín Oficial

del Estado, núm. 236, de 2 de octubre de 2015. https://www.boe.es/buscar/act.php?

id=BOE-A-2015-10566

Parejo Alfonso, L. J., Vida Fernández, J., de la Quadra-Salcedo, T. y del Castillo, F.

(2017). Ciberseguridad pública: el marco integrador de la Estrategia de

Ciberseguridad Nacional. En C. Galán, Los retos del Estado y la Administración en el
Siglo XXI. Libro homenaje al profesor Tomás de la Quadra-Salcedo Fernández del

Castillo. Tirant lo Blanch. Los retos del Estado y la Administración en el siglo XXI: :
libro homenaje al profesor Tomás de la Quadra-Salcedo Fernández del Castillo -
Dialnet (unirioja.es)

Programa Profesional en Ciberseguridad 38
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 1. Puntos principales de aplicación para
un correcto cumplimiento normativo
Parejo Alfonso, L. J., Vida Fernández, J., de la Quadra-Salcedo, T. y del Castillo, F.

(2017). El acceso a Internet como elemento cardinal del servicio universal de

telecomunicaciones. En M. Moises Barrio Andrés, Los retos del Estado y la

Administración en el Siglo XXI. Libro homenaje al profesor Tomás de la Quadra-

Salcedo Fernández del Castillo. Tirant lo Blanch. Los retos del Estado y la
Administración en el siglo XXI: : libro homenaje al profesor Tomás de la Quadra-

Salcedo Fernández del Castillo - Dialnet (unirioja.es)

Real Decreto 1008/2017, de 1 de diciembre, por el que se aprueba la Estrategia de

Seguridad Nacional 2017. Boletín Oficial del Estado, núm 309, de 21 de diciembre de

2017, 125966-126004. https://www.boe.es/diario_boe/txt.php?id=BOE-A-2017-15181

Robles Carrillo, M. (2015, noviembre 17). El Ciberespacio y la Ciberseguridad:

consideraciones sobre la necesidad de un modelo jurídico. Instituto Español de

Estudios Estratégicos, (6). https://dialnet.unirioja.es/servlet/articulo?codigo=7688324

Sruthy. (2024, marzo 7). 13 BEST WiFi Companies: Top Internet Service Providers In

2 0 2 4. Software Testing Help. https://www.softwaretestinghelp.com/best-wifi-
companies/

Programa Profesional en Ciberseguridad 39
Tema 1. Puntos principales de aplicación para un correcto cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 2. Diseño de sistemas de cumplimiento
normativo
2.1. Introducción a la unidad formativa

La presente Unidad Formativa analiza el modelo básico de cumplimiento normativo

de España en materia de ciberseguridad.

Tal modelo está sustentando en lo que se ha dado en llamar Estrategias Nacionales

de Ciberseguridad, como ejes vertebradores de las acciones y de la regulación

normativa sobre tales materias.

En España, hasta el momento, se han publicado dos Estrategias Nacionales de

Ciberseguridad, en 2013 y en 2019.

Ambas se estudian en la presente Unidad Formativa, incluyendo el esquema de

gobernanza de la ciberseguridad nacional, representado, muy especialmente, por el

Consejo de Seguridad Nacional y el Consejo Nacional de Ciberseguridad. En ambos

casos se examinan su composición y funciones.

Programa Profesional en Ciberseguridad 40
Tema 2. Diseño de sistemas de cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 2. Diseño de sistemas de cumplimiento
normativo
2.2. Las estrategias nacionales de ciberseguridad

Las estrategias de ciberseguridad

Como señalábamos en la Unidad Formativa precedente, el uso de las Tecnologías

de la Información y de la Comunicación se ha incorporado de forma general a la vida

cotidiana de todas las naciones desarrolladas. Este nuevo escenario facilita un
desarrollo sin precedentes en el intercambio de información y comunicaciones, pero,

al mismo tiempo, conlleva serios riesgos y amenazas que pueden afectar a la

seguridad de los países, de sus instituciones y de sus ciudadanos.

Como nos recordó la Estrategia Nacional de Ciberseguridad del 2013, varios son los

factores que contribuyen a la proliferación de acciones delictivas en el ciberespacio.

La rentabilidad que ofrece su explotación en términos económicos, políticos o de otro

tipo, la facilidad y el bajo coste de empleo de las herramientas utilizadas para la

consecución de ataques, y la facilidad de ocultación del atacante hacen posible que

estas actividades se lleven a cabo de forma anónima y desde cualquier lugar del

mundo, con impactos transversales sobre los sectores público y privado y los propios

ciudadanos.

Los distintos perfiles de atacantes que explotan las vulnerabilidades tecnológicas con

el objeto de recabar información, sustraer activos de gran valor y amenazar los

servicios básicos, pueden afectar al normal funcionamiento de nuestro país. El

disfrute pacífico de ciertos derechos fundamentales y en el ordenamiento jurídico

internacional puede verse seriamente comprometido como consecuencia de este tipo

de acciones.

Programa Profesional en Ciberseguridad 41
Tema 2. Diseño de sistemas de cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 2. Diseño de sistemas de cumplimiento
normativo
Plenamente consciente de la importancia de la cuestión y comprometido con el

desarrollo de la Sociedad Digital, el Consejo de Seguridad Nacional, en nuestro país,

ha venido impulsado la elaboración de las Estrategias de Ciberseguridad Nacionales

con el fin de dar respuesta al enorme desafío que supone la preservación del

ciberespacio de los riesgos y amenazas que se ciernen sobre él.

La Estrategia Nacional de Ciberseguridad de 2013

La Estrategia Nacional de Ciberseguridad de 2013 (ENCS13) se adoptó al amparo y

alineada con la Estrategia de Seguridad Nacional de 2013, que contempla la

ciberseguridad dentro de sus doce ámbitos de actuación.

Su aprobación del documento, de carácter estratégico, puso de manifiesto las

capacidades colectivas y el compromiso de una nación que apuesta en firme por

garantizar su seguridad en el ciberespacio. Para España, los avances en el ámbito

de la ciberseguridad contribuyen además a incrementar nuestro potencial económico,
ya que promueven un entorno más seguro para la inversión, la generación de empleo

y la competitividad.

La ENCS13 fue el marco de referencia de un modelo integrado basado en la

implicación, coordinación y armonización de todos los actores y recursos del Estado,

en la colaboración público-privada, y en la participación de la ciudadanía. Asimismo,

dado el carácter transnacional de la ciberseguridad, la cooperación con la Unión

Europea y con otros organismos de ámbito internacional o regional con

competencias en la materia, formó parte esencial de este modelo.

Para el logro de sus objetivos, la ENCS13 creó una estructura orgánica que se

integra en el marco del Sistema de Seguridad Nacional. Esta estructura habrá de

servir para articular la acción única del Estado conforme a unos principios

compartidos por los actores concernidos y en un marco institucional adecuado.

Programa Profesional en Ciberseguridad 42
Tema 2. Diseño de sistemas de cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 2. Diseño de sistemas de cumplimiento
normativo
La ENCS13 arrancó por mandato de la Comisión Delegada del Gobierno para

Asuntos de Inteligencia (CDGAI), definida en la Ley 11/2002, reguladora del CNI.

En su reunión del 1 de marzo de 2012, la CDGAI, presidida aquel día por la

Vicepresidenta del Gobierno, encomendó al CNI, por medio del Centro Criptológico

Nacional:

▸ La responsabilidad de elaborar, en tres meses, el borrador de la que debería ser la

primera ESTRATEGIA ESPAÑOLA DE CIBERSEGURIDAD.

▸ Circular el borrador a todas las partes interesadas y su remisión a los organismos

implicados en su aplicación, buscando aportaciones, comentarios y sugerencias.

La génesis de la ENCS13 se fundamentó, por un lado, en lo contenido en la

Estrategia Europea de Ciberseguridad y, lógicamente, en la Estrategia de Seguridad

Nacional, de ese mismo año, tomando en consideración el contexto estratégico

mundial en materia de ciberseguridad, y atendiendo a las amenazas y riesgos

específicos para España, los intereses nacionales y los compromisos adquiridos por

nuestro país a través de los Tratados y Acuerdos Internacionales suscritos por

España.

Programa Profesional en Ciberseguridad 43
Tema 2. Diseño de sistemas de cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 2. Diseño de sistemas de cumplimiento
normativo

Figura 1. Contexto estratégico mundial de (ciber)seguridad. Fuente: elaboración propia.

De entre las citadas amenazas y riesgos, hay que destacar los siguientes:

▸ CIBERESPIONAJE.

▸ CIBERDELINCUENCIA.

▸ HACKTIVISMO.

▸ CIBERTERRORISMO.

▸ CIBERGUERRA.

El paso siguiente fue, partiendo de la situación actual, tratar de definir unos Objetivos

Nacionales de Ciberseguridad, objetivos que deberían alcanzarse con la utilización

de determinados instrumentos, de naturaleza legal, procedimental y tecnológica.

Programa Profesional en Ciberseguridad 44
Tema 2. Diseño de sistemas de cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 2. Diseño de sistemas de cumplimiento
normativo

Figura 2. Objetivos Nacionales de Ciberseguridad. Fuente: elaboración propia.

La figura siguiente muestra el resultado de la definición de dichos objetivos:

Figura 3. Definición de los objetivos. Fuente: adaptado de Departamento de Seguridad Nacional, 2013.

Programa Profesional en Ciberseguridad 45
Tema 2. Diseño de sistemas de cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 2. Diseño de sistemas de cumplimiento
normativo
Desarrollamos brevemente los citados Objetivos, tal y como finalmente se

redactaron.

«OBJETIVO I: Garantizar que los Sistemas de Información y Telecomunicaciones

que utilizan las Administraciones Públicas poseen el adecuado nivel de

ciberseguridad y resiliencia

»Buena parte de los sistemas TIC de las Administraciones Públicas españolas, la

información contenida en ellos y los servicios que prestan, constituyen activos nacionales
estratégicos.

»Resulta imprescindible potenciar la implantación de un marco nacional, coherente e

integrado, de políticas, procedimientos y normas técnicas que ayuden a garantizar la

protección de la información pública, sus sistemas y servicios, así como de las redes que

los soportan. Este marco será clave para desarrollar e implantar servicios, cada vez más

seguros.

»La adaptación de los sistemas de las Administraciones Públicas a esta realidad pasa por

implantar servicios de seguridad en las mismas, mejorando y ejercitando su capacidad de
prevención, detección y respuesta ante incidentes, desarrollando nuevas herramientas y

manteniendo actualizado el ordenamiento jurídico.

»Asimismo, además de mejorar las capacidades de los sistemas militares de Defensa y

de inteligencia es necesario reforzar la seguridad de los Sistemas de Información y

Comunicación estratégicos, adaptándolos a los nuevos riesgos y amenazas del

ciberespacio.

»Las Administraciones Públicas se involucrarán activamente en un proceso de mejora
continua respecto de la protección de sus sistemas TIC. Los poderes públicos están

obligados a ser ejemplares en la gestión de la ciberseguridad.

»OBJETIVO II: Impulsar la seguridad y resiliencia de los Sistemas de Información y

Telecomunicaciones usados por el sector empresarial en general y los operadores

de Infraestructuras Críticas en particular

»En aplicación del principio de responsabilidad compartida, las Administraciones Públicas

deben mantener estrechas relaciones con las empresas que gestionan los Sistemas de
Información y Telecomunicaciones relevantes para los intereses nacionales,

intercambiando el conocimiento que permita una adecuada coordinación entre ambos y la

mutua comprensión del entorno de la ciberseguridad.

Programa Profesional en Ciberseguridad 46
Tema 2. Diseño de sistemas de cumplimiento normativo
© Universidad Internacional de La Rioja (UNIR)
 Tema 2. Diseño de sistemas de cumplimiento
normativo
»En este sentido, merece especial mención las acciones para asegurar la Protección del

Patrimonio Tecnológico de España, entendido como aquellos activos materiales o

inmateriales que sustentan la propiedad intelectual e industrial del sector empresarial,

que conforman nuestro presente y condicionan el desarrollo futuro.

»Es de interés también determinar el impacto que para España puede tener una potencial

interrupción o destrucción de las redes y sistemas que proporcionan servicios esenciales
a la sociedad. Puesto que el sector privado posee la titularidad de buena parte de estos

sistemas, las medidas que se adopten en materia de ciberseguridad deberán estar

alineadas con los requisitos expresados en la normativa reguladora de Protección de

Infraestructuras Críticas, para alcanzar un conjunto integrado de medidas de aplicación a

los sectores afectados.

»OBJETIVO III: Potenciar las capacidades de prevención, detección, reacción,

análisis, recuperación, respuesta, investigación y coordinación frente a las