Upload
jcjnj
View
24
Download
0
Embed Size (px)
DESCRIPTION
políticas de seguridad informática
Citation preview
REPBLICA BOLIVARIANA DE VENEZUELAMINISTERIO DEL PODER POPULAR PARA LA EDUCACIN SUPERIOR
INSTITUTO UNIVERSITARIO DE TECNOLOGA AGROINDUSTRIALPNF EN INFORMATICA
COLN ESTADO TCHIRA
Integrante: T.S.U Jos Morales
C.I 24779739
Profesora: Lisby Mora
San Juan de Coln Julio de 2015
POLTICAS DE SEGURIDAD
INTRODUCCIN
Este documento define y detalla el uso adecuado de los Sistemas de
Informacin y los datos proporcionados conjuntamente por la Seccin Caminos del
Departamento de Resistencia de materiales y Estructuras en Ingeniera (en lo
sucesivo RMEE) y el Centro Internacional de mtodos numricos en Ingeniera (en
lo sucesivo CIMNE) ; as como de las herramientas de comunicaciones, Internet y
correo electrnico principalmente, a fin de proteger al usuario y a la entidad de
situaciones que pongan en peligro los sistemas y la informacin contenida en
estos.
Esta poltica es de obligado cumplimiento para el personal de CIMNE y para el
personal de la Seccin de Caminos de RMEE en la medida en que accedan a
estos recursos y sin menoscabo de lo que dispongan las normativas en esta
materia de la propia UPC.
Tambin ser de obligado cumplimiento para todas aquellas personas fsicas,
profesionales o entidades que pudieran tener vinculacin temporal con ambas
entidades en este documento se utiliza la abreviatura RMEE-CIMNE para
referirnos al colectivo de usuarios de ambas entidades.
POLTICA DE USO ACEPTABLE DE LOS SISTEMAS DE INFORMACIN,INTERNET Y CORREO ELECTRNICO.
POLTICA
La poltica de uso aceptable pretende facilitar y agilizar los procesos y mejorar
la calidad en la prestacin de servicios a los usuarios. La mejora de los procesos
en los Sistemas de Informacin supone regular el uso apropiado de sus
componentes y equipos, as como implantacin de aquellas medidas necesarias
para garantizar la confidencialidad de la informacin.
Para conseguir estos objetivos resulta necesario establecer polticas que
garanticen el uso efectivo y seguro de los Sistemas de Informacin y las
herramientas asociadas a estos. Este documento tiene como objetivo fijar las
normas fundamentales que deben regir el comportamiento de los empleados para
garantizar el uso adecuado de estos recursos.
Estas normas sern revisadas, actualizadas y publicadas peridicamente en
Normas poltica de uso adecuado. Es responsabilidad de los usuarios estar al
tanto del contenido de las mismas.
Normas generales aplicables al uso de los Sistemas de Informacin
Los sistemas de informacin de RMEE-CIMNE, incluyendo los programas,
aplicaciones y archivos electrnicos, pertenecen tanto a RMEE como a
CIMNE, y slo pueden utilizarse para fines relacionados con el desempeo
de las tareas que los usuarios tengan encomendadas como personal de
ambas entidades. Esta misma consideracin se aplica a la informacin
almacenada en su ordenador o la emitida o comunicada a travs de los
Sistemas de Informacin de RMEE-CIMNE. Los sistemas de informacin y las herramientas asociadas, como el correo
electrnico y la conexin a Internet, slo podrn ser utilizados por personal
debidamente autorizado. Ser responsabilidad de cada rea definir las
tareas que conllevan acceso a tales herramientas. El uso de tales recursos
deber circunscribirse al mbito profesional con el propsito de agilizar los
trabajos de RMEE-CIMNE. No se autoriza su uso con fines personales. La
informacin desarrollada, transmitida o almacenada en los Sistemas de
Informacin de RMEE-CIMNE pertenece a RMEE y/o a CIMNE. Son de
aplicacin todas las disposiciones legales aplicables a los documentos
privados. La divulgacin de tal informacin sin autorizacin est
estrictamente prohibida. La alteracin, destruccin o distribucin
fraudulenta o malintencionada de cualquier documento en formato
electrnico propiedad de la RMEE o de CIMNE puede perjudicar
gravemente a ambas entidades y constituir una infraccin grave; en tal
caso se adoptarn las medidas disciplinarias previstas en los respectivos
convenios colectivos de ambas entidades, reservndose la entidad
perjudicada el derecho a interponer cuantas acciones legales sean
necesarias. No est permitido la creacin de ficheros con datos personales (*) sin la
conformidad por escrito del Departamento de Sistemas, quien solicitar
autorizacin a los rganos gestores de ambas entidades, con objeto de
adoptar las medidas necesarias para asegurar la legalidad y seguridad del
tratamiento de la informacin personal. (*)Por datos personales se entiende
toda informacin que identifique a personas fsicas, por ejemplo:
fotografas, nombre y apellidos, direccin, telfono, correo electrnico,
estado civil, sexo. Los usuarios de los sistemas de informacin deben respetar los derechos
de propiedad intelectual de los autores de las obras, programas,
aplicaciones u otros, manejadas o accedidas a travs de dicho sistema.
Los programas y recursos utilizados en RMEE-CIMNE deben tener su
correspondiente licencia en vigor o autorizacin de uso explcita para poder
ser utilizados. Dichos programas slo podrn ser instalados por personal
autorizado a tales efectos. Adems, no debern instalarse programas sin la
previa autorizacin del departamento de Sistemas, incluso cuando se trate
de programas sin coste. Los programas y aplicaciones distribuidos por RMEE-CIMNE no podrn
reproducirse sin autorizacin o ser utilizados para fines ajenos a las
funciones y tareas encomendadas por RMEE-CIMNE. RMEE-CIMNE, ser responsable de establecer las normas mediante las
cuales se asignan las cuentas de acceso, incluyendo las medidas de
seguridad aplicables tales como: claves secretas, contraseas, controles
de acceso a los servidores y sistemas para auditar su uso, la integridad y la
seguridad de los datos y comunicaciones que se envan. Los usuarios de los sistemas debern cumplir con todas las normas de uso
y las relativas a la seguridad de la informacin emitidas tanto por la Seccin
Caminos de RMEE como por CIMNE, a travs de la red RMEE-CIMNE. Cada usuario ser individualmente responsable por el manejo adecuado de
las claves de acceso o contraseas asignadas. La correspondiente asignacin de claves de acceso no impedir que el uso
de los Sistemas de Informacin sea auditado por el personal autorizado del
Departamento de Sistemas, con el propsito de garantizar el uso apropiado
de los recursos. El acceso a informacin o a una cuenta ajena sin autorizacin, obtenido
mediante la modificacin de privilegios de acceso o la interceptacin de
informacin en cualquier otra manera est prohibida y estar sujeto a las
medidas disciplinarias pertinentes. El Departamento de Sistemas de RMEE-CIMNE custodiar la informacin
contenida en el sistema contra accesos no autorizados, la proteger y
definir las polticas necesarias para garantizar su integridad. Las normas aqu establecidas deben interpretarse como complementarias
a las normas legales comnmente aplicables. La violacin de estas normas puede conllevar la revocacin de cualquier
privilegio de uso de los Sistemas de Informacin y ser notificada al
responsable del Departamento de Sistemas Informticos, quien informar
al responsable inmediato del empleado y al responsable de Recursos
Humanos de la entidad a la que pertenezca. Los usuarios de RMEE-CIMNE utilizarn el sistema de tickets, que podrn
encontrar en https://tickets.cimne.upc.edu, para comunicar las incidencias
informticas y realizar las solicitudes correspondientes al departamento de
Sistemas Informticos.
Normas aplicables al uso de Internet y del correo electrnico
I. Los sistemas de comunicacin y acceso a Internet de RMEE-CIMNE, debern
ser utilizados exclusivamente como una herramienta de trabajo conforme a las
normas que rigen el comportamiento del personal de RMEE-CIMNE. y no para
actividades personales.
II. Las operaciones realizadas a travs de Internet pueden generar responsabilidad
por parte de las entidades Seccin Caminos de RMEE y CIMNE. RMEE-CIMNE se
reserva el derecho a intervenir y auditar los accesos realizados por los usuarios a
la red y a Internet y el contenido de lo accedido.
III. RMEE-CIMNE establecer la asignacin de las cuentas de correo electrnico,
las medidas de seguridad aplicables, las claves de acceso y las contraseas, los
controles de acceso al servidor y el mtodo de auditora del sistema y las
comunicaciones enviadas.
IV. El sistema de correo electrnico del dominio cimne.upc.edu pertenece a
CIMNE y es parte integrante de sus Sistemas de Informacin, por lo que RMEE-
CIMNE puede intervenir, auditar e investigar el uso adecuado del mismo. Las
cuentas estn sujetas a auditoras y revisiones sin previo aviso por el personal
autorizado del Departamento de Sistemas de la Informacin. A los usuarios con
cuentas de correo del dominio upc.edu se atendrn a lo que disponga la normativa
de UPC al respecto.
V. RMEE-CIMNE establecer normativas en relacin al envo por correo
electrnico de documentos que contengan informacin confidencial o sensible de
RMEE-CIMNE o de los que tratan de asuntos internos que no deben ser
divulgados. De ser necesario enviar tal informacin, la misma deber ser cifrada.
En el caso de sospechar que se ha producido una interceptacin o divulgacin de
tal informacin, se deber informar de inmediato al Departamento de Sistemas de
la Informacin de manera que puedan tomar las medidas cautelares que
procedan.
Implementacin de una Poltica de Seguridad
La implementacin de medidas de seguridad, es un proceso Tcnico-
Administrativo. Como este proceso debe abarcar toda la organizacin, sin
exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que
sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.
Se deber tener en cuenta que la implementacin de Polticas de Seguridad,
trae aparejados varios tipos de problemas que afectan el funcionamiento de la
organizacin. La implementacin de un sistema de seguridad conlleva a
incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como
administrativamente.
Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad
respecto de los costos administrativos y tcnicos que se generen.
Es fundamental no dejar de lado la notificacin a todos los involucrados en las
nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de
otorgar visibilidad a los actos de la administracin.
Una PSI informtica deber abarcar:
Alcance de la poltica, incluyendo sistemas y personal sobre el cual se
aplica. Objetivos de la poltica y descripcin clara de los elementos involucrados en
su definicin. Responsabilidad de cada uno de los servicios, recurso y responsables en
todos los niveles de la organizacin.
Responsabilidades de los usuarios con respecto a la informacin que
generan y a la que tienen acceso. Requerimientos mnimos para la configuracin de la seguridad de los
sistemas al alcance de la poltica. Definicin de violaciones y las consecuencias del no cumplimiento de la
poltica. Por otra parte, la poltica debe especificar la autoridad que debe hacer que
las cosas ocurran, el rango de los correctivos y sus actuaciones que
permitan dar indicaciones sobre la clase de sanciones que se puedan
imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo
suceder; ya que no es una sentencia obligatoria de la ley. Explicaciones comprensibles (libre de tecnicismos y trminos legales pero
sin sacrificar su precisin) sobre el porqu de las decisiones tomadas. Finalmente, como documento dinmico de la organizacin, deben seguir un
proceso de actualizacin peridica sujeto a los cambios organizacionales
relevantes: crecimiento de la planta de personal, cambio en la
infraestructura computacional, alta y rotacin de personal, desarrollo de
nuevos servicios, cambio o diversificacin de negocios, etc.
Una proposicin de una forma de realizar una PSI adecuada puede apreciarse
en el siguiente diagrama:
Se comienza realizando una evaluacin del factor humano, el medio en donde
se desempea, los mecanismos con los cuales se cuenta para llevar a cabo la
tarea encomendada, las amenazas posibles y sus posibles consecuencias.
Luego de evaluar estos elementos y establecida la base del anlisis, se
originan un programa de seguridad, el plan de accin y las normas y
procedimientos a llevar a cabo.
Para que todo lo anterior llegue a buen fin debe realizarse un control peridico
de estas polticas, que asegure el fiel cumplimiento de todos los procedimientos
enumerados. Para asegurar un marco efectivo se realiza una auditora a los
archivos Logs de estos controles.
Con el objeto de confirmar que todo lo creado funciona en un marco real, se
realiza una simulacin de eventos y acontecimientos que atenten contra la
seguridad del sistema. Esta simulacin y los casos reales registrados generan una
realimentacin y revisin que permiten adecuar las polticas generadas en primera
instancia.
Por ltimo el Plan de Contingencia es el encargado de suministrar el respaldo
necesario en caso en que la poltica falle.
Es importante destacar que la Seguridad debe ser considerada desde la fase
de diseo de un sistema. Si la seguridad es contemplada luego de la
implementacin del mismo, el personal se enfrentar con problemas tcnicos,
humanos y administrativos muchos mayores que implicaran mayores costos para
lograr, en la mayora de los casos, un menor grado de seguridad.
"Construya la seguridad desde el principio. La mxima de que es ms caro
aadir despus de la implementacin es cierta." (1)
Julio C. Ardita menciona: "Muchas veces nos llaman cuando est todo listo,
faltan dos semanas y quieren que lo aseguremos (...) llegamos, miramos y vemos
que la seguridad es imposible de implementar. ltimamente nos llaman en el
diseo y nosotros los orientamos y proponemos las soluciones que se pueden
adoptar (...)" (2)
Queda claro que este proceso es dinmico y continuo, sobre el que hay que
adecuarse continuamente a fin de subsanar inmediatamente cualquier debilidad
descubierta, con el fin de que estas polticas no caigan en desuso.
LEGISLACIN NACIONAL E INTERNACIONAL DE DELITOS INFORMTICOS
Segn Luciano Saellas en su artculo titulado Delitos Informticos cyber
terrorismo, define Delitos Informticos como aquella conducta ilcita susceptible
de ser sancionada por el derecho penal, que hacen uso indebido de cualquier
medio informtico. En un primer momento, los pases trataron de encuadrar estos
hechos en figuras tpicas de carcter tradicional, como fraude, falsificaciones,
estafas, robo, hurto, sabotaje, etc. De esta manera establecer un criterio nico o
un concepto unificado para poder manejar un solo concepto para cada tipo de
delito.
Los pases y las organizaciones internacionales se han visto en la necesidad
de legislar sobre los delitos informticos, debido a los daos y perjuicios que le
han causado a la humanidad.
Seguridad informtica se considera entonces es la preparacin de las
instancias tcnicas de una organizacin para actuar y resguardar el efecto que
dicho incidente puede ocasionar.
En este artculo se pretende dar una visin global sobre los avances en materia
de legislacin nacional e internacional, que se ha desarrollado en esta materia.
LEGISLACIN NACIONAL
El Artculo 110 de la Constitucin de la Repblica Bolivariana de Venezuela
(2010), el Estado reconocer el inters pblico de la ciencia, la tecnologa, el
conocimiento, la innovacin y sus aplicaciones y los servicios de informacin
necesarios por ser instrumentos fundamentales para el desarrollo econmico,
social y poltico del pas, as como para la seguridad y soberana nacional. Para
el fomento y desarrollo de esas actividades, el Estado destinar recursos
suficientes y crear el sistema nacional de ciencia y tecnologa de acuerdo con la
ley. El sector privado deber aportar recursos para los mismos. El Estado
garantizar el cumplimiento de los principios ticos y legales que deben regir las
actividades de investigacin cientfica, humanstica y tecnolgica. La ley
determinar los modos y medios para dar cumplimiento a esta garanta.
El Artculo 28 de la CRBV establece que toda persona tiene el derecho de
acceder a la informacin y a los datos que sobre s misma o sobre sus bienes
consten en registros oficiales o privados, () Igualmente, podr acceder a
documentos de cualquier naturaleza que contengan informacin cuyo
conocimiento sea de inters para comunidades o grupos de personas.
Por otra parte el Artculo 60 seala que toda persona tiene derecho a la
proteccin de su honor, vida privada, intimidad, propia imagen, confidencialidad y
reputacin. La ley limitar el uso de la informtica para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de
sus derechos.
A su vez, el Artculo 143 acota que los ciudadanos y ciudadanas tienen derecho
a ser informados e informadas oportuna y verazmente por la Administracin
Pblica, () Asimismo, tienen acceso a los archivos y registros administrativos,
sin perjuicio de los lmites aceptables dentro de una sociedad democrtica.
La Ley Especial Contra los Delitos Informticos (2001) tiene por Objeto la
Proteccin integral de los sistemas que utilicen tecnologas de informacin, as
como la prevencin y sancin de los delitos cometidos contra tales sistemas o
cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas
tecnologas.
A continuacin, se muestra una tabla con las sanciones establecidas por los
diferentes delitos informticos:
Art. Ttulo1 Objeto de la ley
Tiene por objeto la proteccin integral de los sistemas que utilicen tecnologas deinformacin.
2 Definiciones
Tecnologa de Informacin, Sistema, Data (Datos), Informacin, Documento,Computador, Hardware, Firmware, Software, Programa, Seguridad, Virus, TarjetaInteligente, Contrasea (Password) y Mensaje de Datos.
3 ExtraterritorialidadCuando alguno de los delitos previstos en la presente ley se cometa fuera delterritorio de la Repblica.
4 SancionesLas sanciones principales concurrirn con lasaccesorias y ambas podrn tambin concurrirentre s, de acuerdo con las circunstanciasparticulares del delito del cual se trate.
Sern principales y accesorias.
5 Responsabilidad de laspersonas jurdicasSer sancionada en los trminos previstos en esta ley.
6 Acceso indebidoPrisin de 1 a 5Aos Multas de10 a 50 UT
7 Sabotaje o daos a sistemasPrisin de 4 a 8Aos Multas de400 a 800
Si los efectos indicados en elpresente artculo se realizarenmediante la creacin,introduccin o transmisinintencional, por cualquier medio,de un virus o programa anlogo.
Prisin de 5a 10 Aos Multas de500 a 1000
8 Favorecimiento culposo delsabotaje o dao
Se aplicar lapenacorrespondientesegn el caso.
Reduccin de la pena entre lamitad y dos tercios
9 Acceso indebido o sabotaje asistemas Aumento de la pena tercera parte y la mitad.
10Posesin de equipos oprestacin de servicios desabotaje
Prisin de 3 a 6Aos Multas de 300 a 600
11 Espionaje informticoPrisin de 3 a 6Aos Multas de 300 a 600
12 Falsificacin de documentosPrisin de 3 a 6Aos
Multas de300 a 600
Cuando el agente hubiereactuado con el fin de procurarpara s o para otro algn tipo debeneficio.
Aumento de la pena de un tercio y la mitad.
Si del hecho resultare unperjuicio para otro. Aumento de la pena Mitad a dos tercios.
13 HurtoPrisin de 2 a 6Aos Multas de200 a 600
14 FraudePrisin de 3 a 7
Aos Multas de300 a 700
15Obtencin indebida de bieneso servicios
Prisin de 2 a 6Aos Multas de200 a 600
16Manejo fraudulento de tarjetasinteligentes o instrumentosanlogos
Prisin de 5a 10 Aos Multas de500 a 1000
17Apropiacin de tarjetasinteligentes o instrumentosanlogos
Prisin de 1 a 5Aos Multas de10 a 50
18 Provisin indebida de bienes oserviciosPrisin de 2 a 6Aos Multas de200 a 600
19 Posesin de equipo parafalsificacionesPrisin de 3 a 6Aos Multas de300 a 600
20Violacin de la privacidad de ladata o informacin de carcterpersonal
Prisin de 2 a 6Aos
Multas de 200 a 600
Si como consecuencia de loshechos anteriores resultare unperjuicio para el titular de la datao informacin o para un tercero.
Aumento de la pena de un tercio a la mitad.
21 Violacin de la privacidad delas comunicaciones.Prisin de 2 a 6Aos
Multas de 200 a 600
22Revelacin indebida de data oinformacin de carcterpersonal
Prisin de 2 a 6Aos
Multas de 200 a 600
Si la revelacin, difusin o cesinse hubieren realizado con un finde lucro o si resultare algnperjuicio para otro.
Aumento de la pena de un tercio a la mitad.
23 Difusin o exhibicin dematerial pornogrficoPrisin de 2 a 6Aos Multas de 200 a 600
24 Exhibicin pornogrfica denios o adolescentesPrisin de 4 a 8Aos Multas de 400 a 800
25 Apropiacin de propiedadintelectualPrisin de 1 a 5Aos Multas de 100 a 500
26 Oferta engaosaPrisin de 1 a 5Aos Multas de 100 a 500
Entre los primeros delitos informticos que aquejan al venezolano, hoy da
figuran los financieros. La clonacin de tarjetas de crdito y dbito y la obtencin
de informacin de las cuentas, ha generado en los ltimos aos prdidas
millonarias.
La pornografa infantil es el segundo con mayor nmero de denuncias. La
estafa electrnica ofreciendo productos falsos por internet, es otro de los delitos
con mayor frecuencia.
Sumndose: el hacking, cracking y phising que son quienes, a distancia, violan
la seguridad de otras computadoras.
En julio y agosto 2011 fueron hackeadas las cuentas de twitter de varias
personalidades pblicas venezolanas.
El Centro Nacional de Informtica Forense (CENIF), es un laboratorio de
informtica forense para la adquisicin, anlisis, preservacin y presentacin de
las evidencias relacionadas a las tecnologas de informacin y comunicacin, con
el objeto de prestar apoyo a los cuerpos de investigacin judicial rganos y entes
del Estado que as lo requieran.
LEGISLACIN INTERNACIONAL
Muchos son los problemas que han surgido a nivel internacional en materia de
delincuencia informtica. Tradicionalmente se ha considerado en todos los pases
el principio de territorialidad, que consiste en aplicar sanciones penales cuando el
delito ha sido cometido dentro del territorio nacional, pero, en el caso del delito
informtico, la situacin cambia porque el delito pudo haberse cometido desde
cualquier otro pas, distinto a donde se materializa el dao.
Debido a situaciones como las antes expuestas, los pases se vieron en la
necesidad de agruparse y en primer lugar definir algunos trminos cibernticos
que pudieran permitir la unificacin de criterios en esta materia. As, se le
asignaron nombres conocidos en materia de delitos tradicionales, para adaptarlos
a la informtica; tales como: hurto, sabotaje, robo, espionaje, estafa, fraude, etc.
Esta situacin cada vez ms frecuente, dio pie a que distintas organizaciones
internacionales, tomaran la iniciativa de organizarse y establecer pautas o
estndares mnimos, tal es el caso de la Organizacin de Cooperacin y
Desarrollo Econmico (OCDE), que segn explica Acurio (2006), tard tres aos,
desde 1983 hasta 1986 en publicar un informe titulado Delitos de Informtica:
anlisis de la normativa jurdica, donde se recomendaba una lista mnima de
ejemplos de uso indebido que cada pas podra prohibir y sancionar con leyes
penales especiales que promulgaran para tal fin.
Esa lista mnima de delitos informticos era como sigue:
Fraude y falsificacin informticos Alteracin de datos y programas de computadora Sabotaje informtico Acceso no autorizado Interceptacin no autorizada y reproduccin no autorizada de un programa
de computadora protegido. Posteriormente, la Comisin Poltica de Informacin Computadoras y
Comunicacin recomend que se instituyesen protecciones penales contra
otros usos indebidos. Se trataba de una lista optativa o facultativa, que
inclua entre otros aspectos, los siguientes:
Espionaje informtico
Utilizacin no autorizada de una computadora
Utilizacin no autorizada de un programa de computadora protegido Robo de secretos comerciales y acceso o empleo no autorizado de
sistemas de computadoras. Adicionalmente, el Comit Especial de Expertos en Delitos Informticos,
adscritos al Comit Europeo para los problemas de la Delincuencia, se
dedic a examinar temas como: La proteccin de la esfera personal Las Victimas La posibilidad de prevencin Procedimiento (investigacin y confiscacin internacional de bancos de
datos y la cooperacin internacional en la investigacin y represin del
delito informtico).
De igual manera, la Organizacin de las Naciones Unidas (ONU), en el Manual
de la ONU para la Prevencin y Control de Delitos Informticos seala, cuando el
problema se eleva a la escena internacional, se magnifican los inconvenientes y
las insuficiencias, por cuanto los delitos informtico constituyen una nueva forma
de crimen transnacional y su combate requiere de una eficaz cooperacin
internacional.
Otra organizacin internacional que se dedic a tratar este aspecto de la
seguridad informtica, es la Asociacin Internacional de Derecho Penal, que
adopt diversas recomendaciones respecto a los delitos informticos. En la
medida en que el derecho penal tradicional no sea suficiente, deber promoverse
la modificacin de la definicin de los delitos existentes o la creacin de otros
nuevos.
Seala como delitos, entre otras:
El trfico con contraseas informticas obtenidas por medios inapropiados Distribucin de virus o de programas similares
La Organizacin de Estados Americanos (OEA), entre las estrategias de
seguridad ciberntica, demostr la gravedad de las amenazas a la seguridad
ciberntica de los sistemas de informacin, las infraestructuras esenciales y las
economas en todo el mundo.
En el contexto internacional, Quintero establece que los pases que cuentan
con una legislacin apropiada. Son: Chile, Gran Bretaa, Estados Unidos, Francia,
Espaa, Alemania, China, Holanda y Austria
Inglaterra: debido a un caso de hacking en 1991, comenz a regir en este pas
la Ley de Abusos Informticos. Mediante esta ley el intento, exitoso o no, de alterar
datos informticos, es penado con hasta cinco aos de prisin o multas.
China: toda persona implicada en actividades de espionaje, que robe,
descubra, compre o divulgue secretos de Estado desde la red, podr ser
condenada con penas que van de 10 aos de prisin hasta la muerte.
Holanda: entrar en una computadora en la cual no se tiene acceso legal ya es
delito y puede ser castigado hasta con seis meses de crcel. Cambiar, agregar o
borrar datos puede ser penalizado hasta con dos aos de prisin pero, si se hizo
va remota aumenta a cuatro. Copiar archivos de la mquina hackeada o procesar
datos en ella tambin conlleva un castigo de cuatro aos en la crcel. El dao a la
informacin o a un sistema de comunicaciones puede ser castigado con crcel de
seis meses a quince aos.
Evaluacin de Riesgos
El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de
que ocurran cosas negativas.
Se debe poder obtener una evaluacin econmica del impacto de estos
sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin de la
informacin en anlisis, versus el costo de volverla a producir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno de los
problemas posibles. De esta forma se pueden priorizar los problemas y su coste
potencial desarrollando un plan de accin adecuado.
Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con
los costos en los que se incurren se obtengan beneficios efectivos. Para esto se
deber identificar los recursos (hardware, software, informacin, personal,
accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto.
La evaluacin de riesgos y presentacin de respuestas debe prepararse de
forma personalizada para cada organizacin; pero se puede presupone algunas
preguntas que ayudan en la identificacin de lo anteriormente expuesto (1):
"Qu puede ir mal?"
"Con qu frecuencia puede ocurrir?"
"Cules seran sus consecuencias?"
"Qu fiabilidad tienen las respuestas a las tres primeras preguntas?"
"Se est preparado para abrir las puertas del negocio sin sistemas, por un da,
una semana, cunto tiempo?"
"Cul es el costo de una hora sin procesar, un da, una semana...?"
"Cunto, tiempo se puede estar off-line sin que los clientes se vayan a la
competencia?"
"Se tiene forma de detectar a un empleado deshonesto en el sistema?"
"Se tiene control sobre las operaciones de los distintos sistemas?"
"Cuantas personas dentro de la empresa, (sin considerar su honestidad), estn
en condiciones de inhibir el procesamiento de datos?"
"A que se llama informacin confidencial y/o sensitiva?"
"La informacin confidencial y sensitiva permanece as en los sistemas?"
"La seguridad actual cubre los tipos de ataques existentes y est preparada para
adecuarse a los avances tecnolgicos esperados?"
"A quien se le permite usar que recurso?"
"Quin es el propietario del recurso? y quin es el usuario con mayores
privilegios sobre ese recurso?"
"Cules sern los privilegios y responsabilidades del Administrador vs. la del
usuario?"
"Cmo se actuar si la seguridad es violada?"
Una vez obtenida la lista de cada uno de los riesgos se efectuar un resumen
del tipo:
Tipo de Riesgo FactorRobo de hardware Alto
Robo de informacin AltoVandalismo Medio
Fallas en los equipos MedioVirus Informticos MedioEquivocaciones Medio
Accesos no autorizados MedioFraude BajoFuego Muy Bajo
Terremotos Muy Bajo
Segn esta tabla habr que tomar las medidas pertinentes de seguridad para
cada caso en particular, cuidando incurrir en los costos necesarios segn el factor
de riesgo representado.
Niveles de riesgo Identificacin de Amenaza Evaluacin de Costos
Estrategia de Seguridad
Para establecer una estrategia adecuada es conveniente pensar una poltica de
proteccin en los distintos niveles que esta debe abarcar y que no son ni mas ni
menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que
existe entre estos factores.
En cada caso considerado, el plan de seguridad debe incluir una estrategia
Proactiva y otra Reactiva (1).
La Estrategia Proactiva (proteger y proceder) o de previsin de ataques es un
conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos
vulnerables existentes en las directivas de seguridad y a desarrollar planes de
contingencia. La determinacin del dao que un ataque va a provocar en un
sistema y las debilidades y puntos vulnerables explotados durante este ataque
ayudar a desarrollar esta estrategia.
La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque
ayuda al personal de seguridad a evaluar el dao que ha causado el ataque, a
repararlo o a implementar el plan de contingencia desarrollado en la estrategia
Proactiva, a documentar y aprender de la experiencia, y a conseguir que las
funciones comerciales se normalicen lo antes posible.
Con respecto a la postura que puede adoptarse ante los recursos compartidos:
Lo que no se permite expresamente est prohibido: significa que la
organizacin proporciona una serie de servicios bien determinados y
documentados, y cualquier otra cosa est prohibida.
Lo que no se prohbe expresamente est permitido: significa que, a menos que
se indique expresamente que cierto servicio no est disponible, todos los dems s
lo estarn.
Estas posturas constituyen la base de todas las dems polticas de seguridad y
regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a
describir qu acciones se toleran y cules no.
Actualmente, y "gracias" a las, cada da ms repetitivas y eficaces, acciones
que atentan contra los sistemas informticos los expertos se inclinan por
recomendar la primera poltica mencionada.
Implementacin Auditora y Control Plan de Contingencia Equipos de Respuesta a Incidentes Backups Pruebas
CONCLUSIN
Al realizar este trabajo, he podido comprobar que cada vez es ms
evidente la necesidad de centralizar las polticas de seguridad informtica
para cubrir virtualmente todo lo que sucede en dicho campo.
Afortunadamente, se ha logrado que muchas organizaciones empiecen a
entender la importancia de las de este tipo de seguridad, porque a su
alrededor existen proyectos que dependen de manera crtica de un sistema
con reglas claramente articuladas. Sin este tipo de polticas informticas, no
se puede garantizar que los sistemas informticos sean operados de
manera segura.
En muchsimos casos la mejor herramienta de seguridad somos
nosotros y nuestro sentido comn, ya que se ha podido comprobar que los
descuidos o imprudencias son la principal fuente de las brechas de
seguridad, tanto desde el punto de vista del usuario personal como de las
empresas.
Tambin es evidente que se debe pensar en la forma de castigar dichos
abusos en contra de la seguridad de la informacin, y como as tambin,
algo mucho ms importante como lograr probar el delito. Este sigue siendo
el principal inconveniente a la hora de legislar por el carcter intangible de
la informacin.
BIBLIOGRAFA
Acurio S. (2006) Delitos Informticos
Constitucin de la Repblica Bolivariana de Venezuela (2010) Publicado en
Gaceta Oficial 5453 de fecha 24 de marzo 2000.
Fonseca A. (S/F) Articulo Auditoria Forense aplicada a la Tecnologa
Ley Epecial Contra Delitos Informticos (2001) Publicado en Gaceta Oficial
37.313 de fecha 30 de octubre 2001
Quintero R (S/F) Articulo Delitos Informticos
Saellas (S/F) Articulo Delitos Informticos ciberterrorismo
Telles J Derecho Informtico
http://www.oas.org/juridico/spanish/docu6.htm
www.oas.org/es
www.suscerte.gob.ve/index.php/es/seguridad-de-la-informacion/cenif
www.gobiernoenlinea.ve/legislacion-view/view/ver_legislacion.pag