Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PENTESTING DE
SERVIDORES DE
DATOS
Prueba de Evaluación Continua, PEC 2
Están obligados a cumplir con esta normativa todos los responsables o encargados
del tratamiento de datos personales que estén establecidos en la Unión Europea.
También aquellos responsables o encargados del tratamiento que, aunque no estén
establecidos en la Unión Europea, traten datos personales de personas físicas
residentes en el territorio de la Unión Europea en situaciones como la oferta de
bienes o servicios a dichas personas, o cuando el tratamiento esté relacionado con
la observación del comportamiento de esas personas, siempre que este último tenga
lugar en la Unión Europea. Es decir, este reglamento se aplica a cualquier entidad
que procese datos personales de ciudadanos de la Unión Europea (UE)
independientemente de la ubicación física de la entidad.
b) Describe brevemente cuáles son los principios que rigen esta nueva normativa.
1. Licitud del tratamiento: El tratamiento de datos debe ser siempre lícito y puede
basarse en el consentimiento del interesado, la ejecución de un contrato, el
cumplimiento de una obligación legal, la protección de intereses vitales, el
interés público, el ejercicio de poderes públicos o la satisfacción de intereses
legítimos del responsable del tratamiento, siempre que no prevalezcan sobre los
derechos fundamentales del interesado.
2. Lealtad y transparencia: Informar al interesado sobre cualquier actividad de
tratamiento, estableciendo claramente los fines del tratamiento. Se busca
proporcionar a los interesados información precisa sobre la identidad de los
encargados del tratamiento y los fines de dichos tratamientos, incluyendo la
elaboración de perfiles si es el caso.
3. Limitación de la finalidad: Los datos deben ser recogidos para un fin
determinado, explícito y legítimo, establecido en el momento de la recogida. Se
debe garantizar que los datos solo se utilicen para la finalidad para la cual fueron
recogidos, evitando tratamientos incompatibles o para fines adicionales.
4. Minimización de datos: Se establece que los datos deben ser adecuados,
pertinentes y limitados a lo necesario en relación con los fines para los que son
tratados. La recopilación debe limitarse a los datos estrictamente necesarios
para cumplir con los fines establecidos, evitando la recopilación de datos
adicionales innecesarios.
2
5. Exactitud: Los datos deben ser precisos y, cuando sea necesario, actualizados. Se
exige tomar medidas razonables para corregir o suprimir en el menor tiempo
posible los datos inexactos con respecto a los fines del tratamiento.
6. Limitación del plazo de conservación: Los datos deben mantenerse el tiempo
necesario para los fines del tratamiento. Se permite un plazo superior en casos
específicos, como fines de archivo en interés público, investigación científica o
histórica, o fines estadísticos, con medidas técnicas y organizativas adecuadas.
7. Integridad y confidencialidad: Se exige garantizar la seguridad de los datos
personales mediante medidas técnicas y organizativas para prevenir tratamiento
no autorizado o ilícito, pérdida, destrucción o daño accidental. Se establecen
obligaciones de notificación en caso de incidentes de seguridad.
8. Responsabilidad proactiva: Implica que el responsable del tratamiento debe
garantizar y demostrar que cumple con todas las disposiciones de la normativa.
Incluye considerar la protección de datos desde la concepción y diseño de
productos o servicios, implementar políticas de protección de datos, y establecer
procesos para notificación de incidentes, gestión de solicitudes de derechos y
evaluación de riesgos.
c) ¿Cuáles son los principales derechos que posee el sujeto de los datos?
3
d) En el escenario en el que una empresa que ha implementado una página de e-
commerce almacena toda la base de datos con la información de sus clientes en el
cloud público de Amazon; ¿cuál de los roles definidos por el GDPR estaría adoptando
la empresa de e-commerce y cual le correspondería a Amazon?
4
f) ¿En qué casos será obligatorio designar a un Oficial de Protección de Datos?
5
debe proporcionar un medio para que los usuarios retiren su consentimiento
si así lo desean.
• Se deben implementar medidas de seguridad adecuadas para proteger los
datos durante la minería y garantizar la confidencialidad, integridad y
disponibilidad de la información. Esto incluye consideraciones sobre el
acceso a los datos y la prevención de brechas de seguridad.
• En casos de minería de datos a gran escala que pueden presentar riesgos
para los derechos y libertades de los usuarios, se puede requerir realizar una
evaluación del impacto para evaluar y mitigar los riesgos.
• Dependiendo de la naturaleza y alcance de la minería de datos, podría ser
necesario designar un delegado de protección de datos (DPO) para
supervisar el cumplimiento de las normativas de protección de datos.
6
• En proyectos que puedan plantear riesgos significativos para la privacidad de
nuestra comunidad universitaria, llevaremos a cabo evaluaciones de impacto
de protección de datos. Esto nos permitirá identificar y abordar posibles
amenazas, asegurando que todas nuestras iniciativas se alineen con los
estándares de privacidad.
• Se designará un delegado de protección de datos (DPO) que supervisará el
cumplimiento del RGPD en nuestra universidad. Este profesional actuará
como punto de contacto con las autoridades de control, asegurando una
gestión eficaz y conforme a las regulaciones de privacidad.
Esto son solo algunas de las medidas más importantes para tener en cuenta. Es
esencial que todos colaboremos para garantizar que nuestra universidad cumpla con
los estándares del RGPD. Os animo a revisar nuestras prácticas actuales y a estar
atentos a futuras actualizaciones sobre este tema.
Bibliografía Ejercicio 1
7
Ejercicio 2. Responsables de la seguridad de los datos
La compañía ACME tiene, entre otras, una base de datos corporativa en la que almacena
los datos de sus empleados, incluyendo sus datos personales y sus sueldos. Mediante
un proceso automático, se realiza una copia de seguridad mensual de la base de datos
que se almacena en una cinta en un lugar seguro. Por otro lado, existe un proceso
mensual que extrae un subconjunto de datos y lo envía a un sistema de archivos en un
servidor para preparar el proceso de nóminas.
2.1. Describe que roles o individuos tendrían alguna responsabilidad en la seguridad (no
solo privacidad/GDPR, sino en un sentido más amplio) de dichos datos y cuáles serían
sus funciones principales.
• Responsable del tratamiento: En este caso sería la propia compañía ACME. Esta
tiene la responsabilidad final de determinar los fines y los medios del
tratamiento de datos personales de sus empleados, incluyendo la información
salarial almacenada en la base de datos corporativa.
8
datos personales de los empleados. Esto incluiría asegurarse de que solo
personal autorizado tenga acceso a información salarial y personal. Además,
deberían colaborar en la definición de políticas de privacidad y seguridad en el
manejo de datos de los empleados.
2.2. ¿Qué medidas básicas de seguridad crees que deberían implementar cada uno de
los responsables mencionados en el apartado anterior?
Las medidas básicas de seguridad que deberían implementar cada uno de los
responsables mencionados en el apartado anterior son las siguientes:
• Administrador de sistemas:
- Mantener el sistema operativo y el software actualizados con los últimos
parches de seguridad.
9
- Configurar firewalls y otros controles de red para limitar el tráfico no
autorizado.
- Implementar medidas de autenticación fuerte para acceder al servidor.
- Realizar evaluaciones regulares de vulnerabilidades en el servidor.
10
• Responsable de seguridad de la información (CISO):
- Deberá coordinarse con el proveedor de la nube para garantizar políticas de
seguridad coherentes.
- Continuará supervisando la seguridad general y la conformidad con las
regulaciones.
Algunos de los riesgos que aparecen con el servicio de Cloud Computing son:
Algunos de las oportunidades que aparecen con el servicio de Cloud Computing son:
11
• Acceso Remoto: Facilita la gestión remota de datos desde cualquier ubicación.
En primer lugar, hay que asegurarse de cumplir con los estándares de seguridad de
tarjetas de pago como el Estándar de Seguridad de Datos de la Industria de Tarjetas de
Pago (PCI DSS). Este estándar establece requisitos para la seguridad de la información
de tarjetas de pago. Teniendo en cuenta este estándar, se pueden destacar varias
consideraciones y medidas de seguridad desde el punto de vista de la seguridad del
almacenamiento de los datos que deben implementarse específicamente para cumplir
con los requisitos de este estándar:
12
Bibliografía Ejercicio 2
13
Ejercicio 3. Base de Datos NoSQL
Entre otros datos, la aplicación gestionará información sobre clientes, incluyendo datos
personales y datos de tarjetas de pago entre otra información sensible.
• Autenticación y autorización:
o Implementar un sólido sistema de autenticación que requiera
credenciales válidas para acceder a ElasticSearch.
o Definir roles y permisos adecuados para garantizar la autorización
correcta de usuarios y aplicaciones.
14
• Enmascaramiento y cifrado:
o Aplicar enmascaramiento de datos durante la indexación y búsqueda
para ocultar información sensible.
o Utilizar cifrado robusto para proteger datos sensibles almacenados,
especialmente datos de tarjetas de pago y detalles personales.
• Validación de datos:
o Implementar rigurosas validaciones de entrada para prevenir ataques de
inyección y garantizar la integridad de los datos almacenados.
• Auditorías y monitorización:
o Configurar registros de auditoría para supervisar actividades en
ElasticSearch y detectar posibles amenazas.
o Establecer un sistema de monitorización para alertar sobre cambios
inusuales en el comportamiento del sistema.
• Actualizaciones y parches:
o Mantener ElasticSearch actualizado con las últimas correcciones de
seguridad para mitigar vulnerabilidades conocidas.
o Aplicar parches de seguridad de manera oportuna y documentada.
• Respaldo y recuperación:
o Implementar un plan de respaldo y recuperación que garantice la
disponibilidad y recuperación de datos en caso de incidentes.
Bibliografía Ejercicio 3
• Bressers, J., & Bressers, J. (2020, 14 octubre). Consejos para asegurar los clusters
de Elasticsearch de forma gratuita con encripción, usuarios y más. Elastic Blog.
https://www.elastic.co/es/blog/tips-to-secure-elasticsearch-clusters-for-free-
with-encryption-users-and-more
15