Tema 22. Accesibilidad, diseño universal y usabilidad. Acceso y usabilidad de las tecnologías, productos y servicios relacionados con la sociedad de la información. Confidencialidad y disponibilidad de la información en puestos de usuario final. Conceptos de seguridad en el desarrollo de los sistemas.

1. Accesibilidad, diseño universal y usabilidad

1. Accesibilidad, diseño universal y usabilidad

🎯 Idea clave

• La accesibilidad garantiza que personas con discapacidad puedan percibir, comprender, navegar e interactuar con entornos, productos y servicios digitales en condiciones de igualdad.
• El diseño universal constituye la estrategia de concebir desde el origen bienes y entornos utilizables por todas las personas sin necesidad de adaptaciones posteriores.
• La usabilidad mide la eficacia, eficiencia y satisfacción con que usuarios específicos alcanzan objetivos concretos en contextos de uso determinados.
• Estos tres conceptos constituyen obligaciones jurídicas vinculadas al principio de igualdad y no discriminación en el sector público.
• Su implementación requiere cumplir estándares técnicos como WCAG y la norma europea EN 301 549, aplicables a sitios web y aplicaciones móviles.
• La integración de estos criterios debe producirse desde la fase de análisis hasta el mantenimiento del servicio.

📚 Desarrollo

Conceptos diferenciados. La accesibilidad, el diseño universal y la usabilidad son principios interrelacionados pero no equivalentes. La accesibilidad se centra en eliminar barreras para que las personas, incluidas quienes tienen discapacidad, puedan acceder, comprender, manejar e interactuar con entornos, productos, servicios y contenidos digitales. El diseño universal busca que estos elementos nazcan concebidos para ser utilizables por todas las personas en la mayor medida posible, evitando adaptaciones individuales posteriores. La usabilidad evalúa la eficacia, eficiencia y satisfacción con que usuarios concretos alcanzan objetivos específicos en contextos de uso determinados.

Marco normativo español. En España, el Real Decreto Legislativo 1/2013 define formalmente los conceptos de accesibilidad universal y diseño universal, estableciendo su carácter transversal. El Real Decreto 1112/2018 regula específicamente la accesibilidad de los sitios web y aplicaciones móviles del sector público, convirtiendo estos principios en obligaciones exigibles. Asimismo, el Real Decreto 193/2023 establece condiciones básicas de accesibilidad y no discriminación para bienes y servicios a disposición del público, incluyendo servicios digitales y atención multicanal.

Dimensión jurídica y social. En el ámbito de las Administraciones Públicas, estos principios han dejado de ser objetivos meramente deseables para convertirse en obligaciones de primer orden. Su cumplimiento se vincula directamente con derechos fundamentales como la igualdad, la no discriminación, la autonomía personal y el acceso efectivo a los derechos. La transformación digital del sector público carece de legitimidad si excluye a parte de la ciudadanía, por lo que la accesibilidad se erige como condición indispensable de la sede electrónica y los servicios digitales institucionales.

Estándares técnicos aplicables. El marco técnico europeo se apoya en la norma EN 301 549, que establece requisitos de accesibilidad para productos y servicios TIC. Esta norma armonizada sirve de referencia para tecnologías de la información y comunicación, incluyendo web, software, documentos no web y aplicaciones móviles. Para contenidos web, la norma remite a los requisitos de las Pautas de Accesibilidad para el Contenido Web (WCAG), estructuradas en cuatro principios fundamentales: perceptible, operable, comprensible y robusto.

Declaración de accesibilidad. La declaración de accesibilidad constituye un instrumento de transparencia que debe estar disponible en todos los sitios web públicos mediante un enlace denominado "Accesibilidad". Su función es informar sobre la situación de conformidad, señalar contenidos no accesibles cuando proceda y ofrecer vías de comunicación para incidencias. Este mecanismo no sustituye la obligación de hacer accesibles los contenidos, pero aporta un cauce formal para reclamaciones y mejora continua.

Implementación operativa. La accesibilidad no se garantiza exclusivamente mediante herramientas automáticas, sino que requiere revisiones manuales, pruebas de teclado, verificación del foco, revisión de formularios y análisis de flujos completos. Los aspectos técnicos fundamentales incluyen el uso de HTML semántico, contrastes adecuados, alternativas textuales para imágenes, foco visible, mensajes claros y compatibilidad con tecnologías de apoyo. Estos criterios deben integrarse desde las fases iniciales de análisis hasta el mantenimiento del servicio.

Continuidad en servicios multicanal. La usabilidad exige coherencia entre canales diferentes, considerando que el usuario puede iniciar procedimientos en una web, continuar en aplicaciones móviles y requerir soporte telefónico o presencial. Los servicios relacionados con la sociedad de la información deben diseñarse como ecosistemas coherentes donde el lenguaje, los requisitos y los estados mantengan continuidad, evitando la fragmentación de la experiencia ciudadana.

🧩 Elementos esenciales

• Accesibilidad universal: Condición amplia de entornos, procesos, bienes, productos y servicios para ser comprensibles, utilizables y practicables por todas las personas.
• Diseño universal: Estrategia de diseñar desde el origen para todas las personas, reduciendo la necesidad de adaptaciones individuales posteriores.
• Usabilidad: Capacidad de un producto para ser usado por usuarios específicos para alcanzar objetivos con eficacia, eficiencia y satisfacción en un contexto de uso determinado.
• RD Legislativo 1/2013: Norma que define legalmente en España los conceptos de accesibilidad universal y diseño universal.
• RD 1112/2018: Reglamento específico sobre accesibilidad de sitios web y aplicaciones móviles del sector público.
• RD 193/2023: Establece condiciones básicas de accesibilidad para bienes y servicios a disposición del público, incluyendo aspectos multicanal.
• Norma EN 301 549: Referencia europea armonizada sobre requisitos de accesibilidad para productos y servicios TIC.
• WCAG: Pautas de Accesibilidad para el Contenido Web, estructuradas en cuatro principios: perceptible, operable, comprensible y robusto.
• Declaración de accesibilidad: Documento exigido que debe enlazarse desde todas las páginas web públicas mediante el epígrafe "Accesibilidad".
• Revisión manual: Proceso necesario complementario a las herramientas automáticas, incluyendo pruebas de teclado, foco y flujos completos.

🧠 Recuerda

• Accesibilidad, diseño universal y usabilidad son conceptos relacionados pero distintos que operan en dimensiones diferentes.
• El diseño universal anticipa la accesibilidad desde la concepción del producto, mientras que la accesibilidad puede requerir adaptaciones posteriores si no se aplica aquel.
• La norma EN 301 549 es la referencia técnica europea obligatoria para productos y servicios TIC en el ámbito público.
• Las cuatro pautas WCAG (perceptible, operable, comprensible, robusto) estructuran los requisitos técnicos de accesibilidad web.
• La declaración de accesibilidad debe aparecer enlace visible "Accesibilidad" en todas las páginas de sitios web públicos.
• Las herramientas automáticas no bastan; es obligatorio realizar revisiones manuales y pruebas con teclado.
• La usabilidad requiere continuidad entre canales digitales y presenciales en servicios públicos.
• La accesibilidad es una condición indispensable de la sede electrónica y vincula con derechos de igualdad y no discriminación.

2. Acceso y usabilidad de las tecnologías, productos y servicios relacionados con la sociedad de la información

2. Acceso y usabilidad de las tecnologías, productos y servicios relacionados con la sociedad de la información

🎯 Idea clave

• La Directiva (UE) 2019/882 establece requisitos de accesibilidad para productos y servicios específicos del ámbito tecnológico y digital.
• España transpone esta directiva mediante el Título I de la Ley 11/2023, de 8 de mayo, integrándola en el ordenamiento jurídico nacional.
• El ámbito de aplicación incluye equipos informáticos, terminales de autoservicio, servicios de comunicaciones, banca electrónica y comercio electrónico.
• El objetivo principal es armonizar el mercado interior evitando obstáculos derivados de requisitos nacionales divergentes.
• La normativa garantiza que personas con discapacidad puedan acceder a productos y servicios TIC en igualdad de condiciones.
• El estándar EN 301 549 constituye la referencia técnica europea para los requisitos de accesibilidad aplicables a estos productos.

📚 Desarrollo

Directiva europea. La Directiva (UE) 2019/882, de 17 de abril de 2019, establece los requisitos de accesibilidad para determinados productos y servicios en el mercado interior. Su finalidad es aproximar las disposiciones de los Estados miembros y mejorar la disponibilidad de bienes y servicios accesibles, eliminando barreras que impidan la libre circulación.

Transposición nacional. España transpone esta directiva mediante el Título I de la Ley 11/2023, de 8 de mayo, que incorpora al ordenamiento jurídico español las exigencias de accesibilidad para productos y servicios tecnológicos. Esta norma amplía el ámbito de aplicación más allá de los sitios web y aplicaciones móviles del sector público.

Ámbito material. La normativa afecta a equipos informáticos de consumo, terminales de autoservicio en determinados contextos, servicios de comunicaciones electrónicas y servicios de comunicación audiovisual con componentes digitales. También incluye determinados servicios de transporte, servicios bancarios para consumidores, libros electrónicos y servicios de comercio electrónico según el alcance definido.

Estándares técnicos. La norma EN 301 549 establece los requisitos de accesibilidad aplicables a productos y servicios TIC en Europa. Este estándar técnico sirve de referencia para el cumplimiento de las obligaciones derivadas de la legislación de accesibilidad tanto en el sector público como privado.

Acceso efectivo. La accesibilidad de estos productos y servicios se vincula directamente con el derecho de acceso a la información y a la participación digital. Las Administraciones Públicas deben garantizar que las tecnologías adquiridas o puestas a disposición de la ciudadanía cumplan estos estándares para evitar la exclusión digital.

Complementariedad normativa. Mientras el Real Decreto 1112/2018 regula específicamente los sitios web y aplicaciones móviles del sector público, la Ley 11/2023 abarca un espectro más amplio de productos y servicios TIC, estableciendo un marco coherente que aborda diferentes ámbitos de la sociedad de la información.

🧩 Elementos esenciales

• Directiva (UE) 2019/882: Norma europea que establece requisitos de accesibilidad para productos y servicios específicos del ámbito digital.
• Ley 11/2023: Norma española que transpone la directiva mediante su Título I, regulando la accesibilidad de productos y servicios TIC.
• Equipos informáticos: Incluye equipos de consumo y terminales de autoservicio sujetos a requisitos de accesibilidad.
• Servicios de comunicaciones: Comprende servicios electrónicos y audiovisuales con componentes digitales que deben ser accesibles.
• Servicios financieros y comercio: La banca para consumidores y el comercio electrónico se encuentran incluidos en el ámbito de aplicación.
• Libros electrónicos: Los contenidos editoriales en formato digital deben cumplir criterios de accesibilidad.
• EN 301 549: Estándar técnico europeo que define los requisitos de accesibilidad para productos y servicios TIC.
• Mercado interior: El objetivo es evitar que requisitos nacionales divergentes obstaculicen la libre circulación de bienes y servicios.

🧠 Recuerda

• La Directiva 2019/882 afecta a productos y servicios TIC concretos, no únicamente a sitios web.
• La Ley 11/2023 es la norma de transposición específica en el ordenamiento español.
• El ámbito incluye desde equipos informáticos hasta servicios bancarios y de transporte.
• El estándar EN 301 549 es la referencia técnica obligada para el cumplimiento de requisitos.
• La accesibilidad de productos TIC complementa la accesibilidad web regulada por el RD 1112/2018.
• Las Administraciones Públicas deben exigir el cumplimiento de estos estándares en la contratación pública.
• La normativa busca eliminar barreras técnicas en el mercado interior europeo.
• El incumplimiento puede generar obstáculos al acceso efectivo de personas con discapacidad.

3. Confidencialidad y disponibilidad de la información en puestos de usuario final

3. Confidencialidad y disponibilidad de la información en puestos de usuario final

🎯 Idea clave

• La protección de los puestos de usuario final se fundamenta en el Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022.
• El CCN-CERT desarrolla guías específicas como la CCN-STIC-498 sobre arquitectura multidominio de puesto de trabajo endpoint seguro.
• La configuración segura de herramientas como Microsoft Defender for Endpoint y Office 365 constituye un pilar de la protección de la información.
• Las medidas de seguridad abarcan la prevención del phishing, la protección de dispositivos extraíbles y la aplicación de actualizaciones de seguridad.
• La disponibilidad de la información se garantiza mediante la implementación de copias de seguridad y la protección física del puesto de trabajo.

📚 Desarrollo

Marco normativo de referencia. El Real Decreto 311/2022, de 3 de mayo, aprueba el Esquema Nacional de Seguridad, que establece las medidas de seguridad aplicables a los sistemas de información, incluyendo los puestos de trabajo de los usuarios finales. Este marco resulta obligatorio para las administraciones públicas españolas.

Arquitecturas de seguridad. El CCN-CERT publica la guía CCN-STIC-498, dedicada a la arquitectura multidominio de puesto de trabajo endpoint seguro. Este documento técnico define las directrices para configurar estaciones de trabajo que garanticen la segregación y protección de la información en entornos complejos.

Configuración de herramientas corporativas. Las guías CCN-STIC-885e y CCN-STIC-885a desarrollan configuraciones seguras para Microsoft Defender for Endpoint y Office 365 respectivamente. Estas directrices permiten establecer controles que preservan la confidencialidad de los datos almacenados y tratados en los puestos de trabajo.

Gestión de amenazas y riesgos. El CCN-CERT emite recomendaciones específicas para situaciones de teletrabajo y ciberconsejos sobre prevención del phishing. El Instituto Nacional de Ciberseguridad (INCIBE) publica igualmente documentación sobre la protección del puesto de trabajo en diferentes escenarios de riesgo.

Medidas operativas. La seguridad de los puestos requiere la protección de dispositivos extraíbles, la aplicación sistemática de actualizaciones de seguridad y el mantenimiento de copias de seguridad. La Agencia Española de Protección de Datos (AEPD) aporta orientaciones sobre la seguridad de los tratamientos de datos personales y la prevención de brechas.

Seguridad física y multidimensional. La protección integral del puesto de trabajo combina medidas lógicas con controles físicos, conforme a las series de guías CCN-STIC y las publicaciones del INCIBE sobre seguridad del puesto de trabajo.

🧩 Elementos esenciales

• Esquema Nacional de Seguridad: Marco regulador establecido por el Real Decreto 311/2022 que fija los requisitos de seguridad para sistemas y puestos de trabajo.
• CCN-STIC-498: Guía técnica del CCN-CERT sobre arquitectura multidominio de puesto de trabajo endpoint seguro.
• Microsoft Defender for Endpoint: Solución de seguridad cuya configuración segura se detalla en la guía CCN-STIC-885e.
• Office 365: Plataforma de productividad con configuraciones de seguridad específicas recogidas en la guía CCN-STIC-885a.
• Phishing: Técnica de ingeniería social que el CCN-CERT aborda en sus ciberconsejos para usuarios finales.
• Teletrabajo: Modalidad laboral que precisa recomendaciones específicas de seguridad según publicaciones del CCN-CERT.
• Dispositivos extraíbles: Medios de almacenamiento que requieren controles específicos para evitar fugas de información.
• Actualizaciones de seguridad: Mecanismos necesarios para mantener la protección de los sistemas en los puestos de usuario final.
• Copias de seguridad: Medida técnica fundamental para asegurar la disponibilidad de la información ante incidentes.
• Seguridad física: Dimensión de la protección que complementa las medidas lógicas en el puesto de trabajo.
• AEPD: Organismo que publica orientaciones sobre seguridad de tratamientos y prevención de brechas de datos personales.

🧠 Recuerda

• El RD 311/2022 aprueba el Esquema Nacional de Seguridad vigente.
• La guía CCN-STIC-498 define arquitecturas multidominio para endpoints seguros.
• La CCN-STIC-885e regula la configuración segura de Microsoft Defender for Endpoint.
• La CCN-STIC-885a establece parámetros de seguridad para Office 365.
• El phishing constituye una amenaza prioritaria según alertas del CCN-CERT.
• El teletrabajo exige medidas de seguridad reforzadas.
• Los dispositivos extraíbles deben estar sujetos a controles estrictos.
• Las actualizaciones de seguridad deben aplicarse de forma continuada.
• Las copias de seguridad son esenciales para la disponibilidad de la información.
• La seguridad física forma parte integral de la protección del puesto.
• El INCIBE y la AEPD disponen de guías específicas sobre protección del puesto de trabajo.

4. Conceptos de seguridad en el desarrollo de los sistemas

4. Conceptos de seguridad en el desarrollo de los sistemas

🎯 Idea clave

• La seguridad debe integrarse durante todo el ciclo de vida del software, desde la concepción hasta la retirada.
• La norma ISO 27034 establece el marco específico para la seguridad de aplicaciones en el desarrollo.
• Las dimensiones fundamentales de la seguridad informática son confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
• El estándar ISO 12207 define los procesos del ciclo de vida del software aplicables a la seguridad.
• La calidad del producto software, incluyendo su seguridad, se rige por el modelo ISO 25010.

📚 Desarrollo

ISO 27034. Esta norma internacional se centra específicamente en la seguridad de aplicaciones, estableciendo un marco técnico para integrar la protección en los procesos de desarrollo y mantenimiento del software.

Ciclo de vida. La ISO/IEC 12207 define los procesos del ciclo de vida del software, sirviendo como referencia primaria para estructurar el desarrollo seguro desde sus fases iniciales hasta su retirada definitiva.

Dimensiones de seguridad. La seguridad informática protege sistemas y datos mediante cinco dimensiones esenciales: confidencialidad para impedir accesos no autorizados, integridad para evitar alteraciones indebidas, disponibilidad para asegurar el acceso cuando se necesita, autenticidad para verificar identidades y origen, y trazabilidad para reconstruir acciones pasadas.

Calidad del producto. La ISO 25010, sucesora de la 9126, establece el modelo de calidad del software con características específicas que incluyen funcionalidad, eficiencia, compatibilidad, usabilidad, fiabilidad, seguridad, mantenibilidad y portabilidad.

Evaluación de procesos. La ISO/IEC 15504, también conocida como SPICE, proporciona un marco de evaluación de la capacidad de los procesos de desarrollo, incluyendo aquellos relacionados con la seguridad de las aplicaciones.

Arquitectura software. La IEEE 1471, transpuesta en la ISO 42010, normaliza la descripción de arquitecturas software, aspecto fundamental para diseñar sistemas seguros desde su estructura base y documentar sus decisiones técnicas.

Organizaciones pequeñas. La ISO/IEC 29110 adapta los estándares de ciclo de vida y seguridad a las muy pequeñas organizaciones de menos de veinticinco personas, facilitando la aplicación de buenas prácticas en entornos con recursos limitados.

🧩 Elementos esenciales

• ISO 27034: Norma específica dedicada a la seguridad de aplicaciones en el desarrollo de software.
• ISO 12207: Estándar que define los procesos del ciclo de vida del software como referencia primaria.
• Dimensiones CIDAT: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad como pilares de la seguridad.
• ISO 25010: Modelo de calidad del producto software que incluye la seguridad como característica evaluable junto a funcionalidad y fiabilidad.
• ISO 15504 (SPICE): Marco para evaluar la capacidad y mejora de los procesos de desarrollo software.
• ISO 42010: Normalización de la descripción de arquitecturas software para el diseño seguro de sistemas.
• ISO 29110: Adaptación de estándares de desarrollo y seguridad a organizaciones de menos de 25 personas.
• Medidas básicas: Control de acceso, autenticación, autorización, cifrado, registro de eventos y principio de mínimos privilegios aplicables al entorno de desarrollo.

🧠 Recuerda

• La seguridad debe considerarse desde el inicio del ciclo de vida, no solo en fases finales de verificación.
• ISO 27034 es la referencia normativa específica para seguridad de aplicaciones.
• CIDAT representa las cinco dimensiones básicas que deben protegerse en cualquier sistema.
• ISO 25010 clasifica la seguridad como una característica de calidad del producto software.
• ISO 12207 proporciona la estructura procesal para el desarrollo seguro.
• SPICE permite evaluar la madurez de los procesos de desarrollo incluyendo aspectos de seguridad.
• La documentación de arquitectura debe seguir ISO 42010 para garantizar diseños seguros y trazables.