Upload File

política de seguridad informática

prev
next
out of 23
Download Política de Seguridad Informática

Upload: yusneli

Post on 14-Jan-2016

10 views

Category:

Documents


0 download

Report

DESCRIPTION

seguridad informatica

TRANSCRIPT

  • Repblica Bolivariana de Venezuela Ministerio del Poder Popular para la Educacin Universitaria Ciencia y

    Tecnologa Instituto Universitario Tecnologa Agro-Industrial

    Ext (Zona - Norte)

    Seguridad

    Informtica

    Ing. Mora Lisby.

    San Juan de Coln, Junio de 2015

  • Repblica Bolivariana de Venezuela Ministerio del Poder Popular para la Educacin Universitaria Ciencia y

    Tecnologa Instituto Universitario Tecnologa Agro-Industrial

    Ext (Zona - Norte)

    Polticas

    De

    Seguridad

    Autora: Molina Yusneli C.I 16.720.650

    Turno: Maana Seccin: A Trayecto: IV Trimestre: II

  • INTRODUCCIN

    Las sociedades avanzadas en la actualidad son denominadas frecuentemente sociedades de la informacin, pues el volumen de datos que es procesado, almacenado y transmitido es inconmensurablemente mayor que en cualquier poca pretrita.

    Por otro lado, la eclosin en los ltimos aos de las redes informticas y fundamentalmente de Internet, ha sido el factor fundamental que ha hecho que la Seguridad Informtica cobrase una importancia vital en el uso de sistemas informticos conectados. Desde el momento en que nuestro ordenador se conecta a Internet, se abren ante nosotros toda una nueva serie de posibilidades, sin embargo stas traen consigo toda una serie de nuevos y en ocasiones complejos tipos de ataques. Ms aun, mientras en un ordenador aislado el posible origen de los ataques es bastante restringido, al conectarnos a Internet, cualquier usuario de cualquier parte del mundo puede considerar nuestro sistema un objetivo apetecible. Adems se encuentra en referente a la misma otros temas como la implementacin de polticas de seguridad, los delitos informticos de legislacin nacional e internacional, la evaluacin de riesgo, estrategia de seguridad y las tendencias de la seguridad informtica

    Una poltica de seguridad en el mbito de la criptografa de clave pblica o PKI es un plan de accin para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prcticas para la seguridad de un solo ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad de un pas entero. La poltica de seguridad es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la informacin. Contiene la definicin de la seguridad de la informacin desde el punto de vista de cierta entidad.

    Debe ser enriquecida y compatibilizada con otras polticas dependientes de sta, objetivos de seguridad, procedimientos (vase referencias ms adelante). Debe estar fcilmente accesible de forma que los empleados estn al tanto de su existencia y entiendan su contenido. Puede ser tambin un documento nico o inserto en un manual de seguridad. Se debe designar un propietario que ser el responsable de su mantenimiento y su actualizacin a cualquier cambio que se requiera.

    POLTICAS DE SEGURIDAD EN INFORMTICA La seguridad informtica ha tomado gran auge, debido a las cambiantes

    condiciones y nuevas plataformas tecnolgicas disponibles.

  • La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin. Estos riesgos que se enfrentan han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa Sudamericana de Software S.A

    En este sentido, las polticas de seguridad informtica definidas partiendo desde el anlisis de los riesgos a los que se encuentra propensa SASF, surgen como una herramienta organizacional para concienciar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer nuestra poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades en su aplicacin, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea a SASF.

    Desarrollar un sistema de seguridad significa "planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad fsica de los recursos informticos, as como resguardar los activos de la empresa".

    Los objetivos que se desean alcanzar luego de implantar nuestro sistema de seguridad son los siguientes:

    Establecer un esquema de seguridad con perfecta claridad y transparencia bajo la responsabilidad de SASF en la administracin del riesgo. Compromiso de todo el personal de la empresa con el proceso de seguridad, agilizando la aplicacin de los controles con dinamismo y armona. Que la prestacin del servicio de seguridad gane en calidad. Todos los empleados se convierten en interventores del sistema de seguridad.

    Las PSI deben considerar entre otros, los siguientes elementos:

    Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitacin de la organizacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Invitacin que debe concluir en una posicin.

  • Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin.

    Responsabilidades por cada uno de los servicios y recursos informticos a todos los niveles de la organizacin.

    Requerimientos mnimos para configuracin de la seguridad de los sistemas que cobija el alcance de la poltica.

    Definicin de violaciones y de las consecuencias del no cumplimiento de la poltica.

    Responsabilidades de los usuarios con respecto a la informacin a la que ella tiene acceso.

    Las PSI deben ofrecer explicaciones comprensibles acerca de por qu deben tomarse ciertas decisiones, transmitir por qu son importantes estos u otros recursos o servicios.

    De igual forma, las PSI establecen las expectativas de la organizacin en relacin con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compaa. Deben mantener un lenguaje comn, libre de tecnicismos y trminos legales que impidan una comprensin clara de las mismas, sin sacrificar su precisin y formalidad dentro de la empresa. Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud qu pasara o cundo algo suceder; no es una sentencia obligatoria de la ley.

    Finalmente, las PSI como documentos dinmicos de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios entre otros.

    COMO ABORDAR LA IMPLEMENTACION DE POLTICAS DE SEGURIDAD?

    La implementacin de medidas de seguridad, es un proceso Tcnico-Administrativo. Como este proceso debe abarcar toda la organizacin, sin exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.

    Se deber tener en cuenta que la implementacin de Polticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organizacin. La implementacin de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como administrativamente.

    Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y tcnicos que se generen.

  • Es fundamental no dejar de lado la notificacin a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de otorgar visibilidad a los actos de la administracin. Una PSI informtica deber abarcar:

    Alcance de la poltica, incluyendo sistemas y personal sobre el cual se aplica. Objetivos de la poltica y descripcin clara de los elementos involucrados en su

    definicin. Responsabilidad de cada uno de los servicios, recurso y responsables en todos

    los niveles de la organizacin. Responsabilidades de los usuarios con respecto a la informacin que generan

    y a la que tienen acceso. Requerimientos mnimos para la configuracin de la seguridad de los sistemas

    al alcance de la poltica. Definicin de violaciones y las consecuencias del no cumplimiento de la

    poltica. Por otra parte, la poltica debe especificar la autoridad que debe hacer que las

    cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo suceder; ya que no es una sentencia obligatoria de la ley.

    Explicaciones comprensibles (libre de tecnicismos y trminos legales pero sin sacrificar su precisin) sobre el porqu de las decisiones tomadas.

    Finalmente, como documento dinmico de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios, etc.

    Una proposicin de una forma de realizar una PSI adecuada puede apreciarse en el siguiente diagrama:

    Fuente: Manual de Seguridad en Redes.

  • Se comienza realizando una evaluacin del factor humano, el medio en donde se desempea, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias.

    Luego de evaluar estos elementos y establecida la base del anlisis, se originan un programa de seguridad, el plan de accin y las normas y procedimientos a llevar a cabo. Para que todo lo anterior llegue a buen fin debe realizarse un control peridico de estas polticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Para asegurar un marco efectivo se realiza una auditora a los archivos Logs de estos controles.

    Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una simulacin de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulacin y los casos reales registrados generan una realimentacin y revisin que permiten adecuar las polticas generadas en primera instancia. Por ltimo el Plan de Contingencia es el encargado de suministrar el respaldo necesario en caso en que la poltica falle.

    Es importante destacar que la Seguridad debe ser considerada desde la fase de diseo de un sistema.

    Si la seguridad es contemplada luego de la implementacin del mismo, el personal se enfrentar con problemas tcnicos, humanos y administrativos muchos mayores que implicaran mayores costos para lograr, en la mayora de los casos, un menor grado de seguridad. Se comienza realizando una evaluacin del factor humano, el medio en donde se desempea, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias.

    Luego de evaluar estos elementos y establecida la base del anlisis, se originan un programa de seguridad, el plan de accin y las normas y procedimientos a llevar a cabo. Para que todo lo anterior llegue a buen fin debe realizarse un control peridico de estas polticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Para asegurar un marco efectivo se realiza una auditora a los archivos Logs de estos controles.

    Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una simulacin de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulacin y los casos reales registrados generan una realimentacin y revisin que permiten adecuar las polticas generadas en primera instancia. Por ltimo el Plan de Contingencia es el encargado de suministrar el respaldo necesario en caso en que la poltica falle.

  • Es importante destacar que la Seguridad debe ser considerada desde la fase de diseo de un sistema. Si la seguridad es contemplada luego de la implementacin del mismo, el personal se enfrentar con problemas tcnicos, humanos y administrativos muchos mayores que implicaran mayores costos para lograr, en la mayora de los casos, un menor grado de seguridad.

    LEGISLACION DE LOS DELITOS INFORMTICOS

    Segn Luciano Saellas en su artculo titulado Delitos Informticos ciberterrorismo, define Delitos Informticos como aquella conducta ilcita susceptible de ser sancionada por el derecho penal, que hacen uso indebido de cualquier medio informtico.

    En un primer momento, los pases trataron de encuadrar estos hechos en figuras tpicas de carcter tradicional, como fraude, falsificaciones, estafas, robo, hurto, sabotaje, etc. De esta manera establecer un criterio nico o un concepto unificado para poder manejar un solo concepto para cada tipo de delito.

    Los pases y las organizaciones internacionales se han visto en la necesidad de legislar sobre los delitos informticos, debido a los daos y perjuicios que le han causado a la humanidad.

    Seguridad informtica se considera entonces es la preparacin de las instancias tcnicas de una organizacin para actuar y resguardar el efecto que dicho incidente puede ocasionar.

    En este artculo se pretende dar una visin global sobre los avances en materia de legislacin nacional e internacional, que se ha desarrollado en esta materia.

    NACIONAL El Artculo 110 de la Constitucin de la Repblica Bolivariana de Venezuela

    (2010), el Estado reconocer el inters pblico de la ciencia, la tecnologa, el conocimiento, la innovacin y sus aplicaciones y los servicios de informacin necesarios por ser instrumentos fundamentales para el desarrollo econmico, social y poltico del pas, as como para la seguridad y soberana nacional. Para el fomento y desarrollo de esas actividades, el Estado destinar recursos suficientes y crear el sistema nacional de ciencia y tecnologa de acuerdo con la ley. El sector privado deber aportar recursos para los mismos. El Estado garantizar el cumplimiento de los principios ticos y legales que deben regir las actividades de investigacin cientfica, humanstica y tecnolgica. La ley determinar los modos y medios para dar cumplimiento a esta garanta.

  • El Artculo 28 de la CRBV establece que toda persona tiene el derecho de acceder a la informacin y a los datos que sobre s misma o sobre sus bienes consten en registros oficiales o privados, Igualmente, podr acceder a documentos de cualquier naturaleza que contengan informacin cuyo conocimiento sea de inters para comunidades o grupos de personas

    Por otra parte el Artculo 60 seala que toda persona tiene derecho a la proteccin de su honor, vida privada, intimidad, propia imagen, confidencialidad y reputacin. La ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de sus derechos.

    A su vez, el Artculo 143 acota que los ciudadanos y ciudadanas tienen derecho a ser informados e informadas oportuna y verazmente por la Administracin Pblica, () Asimismo, tienen acceso a los archivos y registros administrativos, sin perjuicio de los lmites aceptables dentro de una sociedad democrtica

    La Ley Especial Contra los Delitos Informticos (2001) tiene por Objeto la Proteccin integral de los sistemas que utilicen tecnologas de informacin, as como la prevencin y sancin de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologas.

    A continuacin, se muestra una tabla con las sanciones establecidas por los diferentes delitos informticos:

    Art. Ttulo 1 Objeto de la ley

    Tiene por objeto la proteccin integral de los sistemas que utilicen tecnologas de informacin.

    2 Definiciones

    Tecnologa de Informacin, Sistema, Data (Datos), Informacin, Documento, Computador, Hardware, Firmware, Software, Programa, Seguridad, Virus, Tarjeta Inteligente, Contrasea (Password) y Mensaje de Datos.

    3 Extraterritorialidad

    Cuando alguno de los delitos previstos en la presente ley se cometa fuera del territorio de la Repblica.

    4 Sanciones Las sanciones principales concurrirn con las accesorias y ambas podrn tambin concurrir entre s, de acuerdo con las circunstancias particulares del delito del cual se trate.

    Sern principales y accesorias.

  • 5 Responsabilidad de laspersonas jurdicas Ser sancionada en los trminos previstos en esta ley.

    6 Acceso indebido Prisin de 1 a 5 Aos

    Multas de10 a 50 UT

    7 Sabotaje o daos a sistemas Prisin de 4 a 8 Aos

    Multas de400 a 800

    Si los efectos indicados en el presente artculo se realizaren mediante la creacin, introduccin o transmisin intencional, por cualquier medio, de un virus o programa anlogo.

    Prisin de 5 a 10 Aos

    Multas de500 a 1000

    8 Favorecimiento culposo del sabotaje o dao

    Se aplicar la pena correspondiente segn el caso.

    Reduccin de la pena entre la mitad y dos tercios

    9 Acceso indebido o sabotaje a sistemas

    Aumento de la pena tercera parte y la mitad.

    10 Posesin de equipos o prestacin de servicios de sabotaje

    Prisin de 3 a 6 Aos

    Multas de 300 a 600

    11 Espionaje informtico Prisin de 3 a 6 Aos

    Multas de 300 a 600

    12 Falsificacin de documentos Prisin de 3 a 6 Aos

    Multas de300 a 600

    Cuando el agente hubiere actuado con el fin de procurar para s o para otro algn tipo de beneficio.

    Aumento de la pena de un tercio y la mitad.

    Si del hecho resultare un perjuicio para otro.

    Aumento de la pena Mitad a dos tercios.

    13 Hurto Prisin de 2 a 6 Aos Multas de200 a 60

    14 Fraude Prisin de 3 a 7

    Aos Multas de300 a 700

    15 Obtencin indebida de bienes oservicios

    Prisin de 2 a 6 Aos

    Multas de200 a 600

    16 Manejo fraudulento de tarjetasinteligentes o instrumentosanlogos

    Prisin de 5 a 10 Aos

    Multas de500 a 1000

    17 Apropiacin de tarjetasinteligentes o instrumentosanlogos

    Prisin de 1 a 5 Aos Multas de10 a 50

    18 Provisin indebida de bienes oservicios

    Prisin de 2 a 6 Aos

    Multas de200 a 600

    19 Posesin de equipo parafalsificaciones Prisin de 3 a 6 Aos

    Multas de300 a 600

    20 Violacin de la privacidad de ladata o informacin de carcterpersonal

    Prisin de 2 a 6 Aos

    Multas de 200 a 600

  • Si como consecuencia de los hechos anteriores resultare un perjuicio para el titular de la data o informacin o para un tercero.

    Aumento de la pena de un tercio a la mitad.

    21 Violacin de la privacidad delas comunicaciones.

    Prisin de 2 a 6 Aos

    Multas de 200 a 600

    22 Revelacin indebida de data oinformacin de carcterpersonal

    Prisin de 2 a 6 Aos

    Multas de 200 a 600

    Si la revelacin, difusin o cesin se hubieren realizado con un fin de lucro o si resultare algn perjuicio para otro.

    Aumento de la pena de un tercio a la mitad.

    23 Difusin o exhibicin dematerial pornogrfico

    Prisin de 2 a 6 Aos

    Multas de 200 a 600

    24 Exhibicin pornogrfica denios o adolescentes

    Prisin de 4 a 8 Aos

    Multas de 400 a 800

    25 Apropiacin de propiedadintelectual Prisin de 1 a 5 Aos

    Multas de 100 a 500

    26 Oferta engaosa Prisin de 1 a 5 Aos

    Multas de 100 a 500

    Fuente: Elaborado por las autoras (Ao 2011)

    Entre los primeros delitos informticos que aquejan al venezolano, hoy da figuran los financieros. La clonacin de tarjetas de crdito y dbito y la obtencin de informacin de las cuentas, ha generado en los ltimos aos prdidas millonarias.

    La pornografa infantil es el segundo con mayor nmero de denuncias. La estafa electrnica ofreciendo productos falsos por internet, es otro de los delitos con mayor frecuencia.

    Sumndose: el hacking, cracking y phising que son quienes, a distancia, violan la seguridad de otras computadoras.

    En julio y agosto 2011 fueron hackeadas las cuentas de twitter de varias personalidades pblicas venezolanas.

    El Centro Nacional de Informtica Forense (CENIF), es un laboratorio de informtica forense para la adquisicin, anlisis, preservacin y presentacin de las evidencias relacionadas a las tecnologas de informacin y comunicacin, con el objeto de prestar apoyo a los cuerpos de investigacin judicial rganos y entes del Estado que as lo requieran.

    INTERNACIONAL

  • Muchos son los problemas que han surgido a nivel internacional en materia de delincuencia informtica. Tradicionalmente se ha considerado en todos los pases el principio de territorialidad, que consiste en aplicar sanciones penales cuando el delito ha sido cometido dentro del territorio nacional, pero, en el caso del delito informtico, la situacin cambia porque el delito pudo haberse cometido desde cualquier otro pas, distinto a donde se materializa el dao.

    Debido a situaciones como las antes expuestas, los pases se vieron en la necesidad de agruparse y en primer lugar definir algunos trminos cibernticos que pudieran permitir la unificacin de criterios en esta materia. As, se le asignaron nombres conocidos en materia de delitos tradicionales, para adaptarlos a la informtica; tales como: hurto, sabotaje, robo, espionaje, estafa, fraude, entre otros.

    Esta situacin cada vez ms frecuente, dio pie a que distintas organizaciones internacionales, tomaran la iniciativa de organizarse y establecer pautas o estndares mnimos, tal es el caso de la Organizacin de Cooperacin y Desarrollo Econmico (OCDE), que segn explica Acurio (2006), tard tres aos, desde 1983 hasta 1986 en publicar un informe titulado Delitos de Informtica: anlisis de la normativa jurdica, donde se recomendaba una lista mnima de ejemplos de uso indebido que cada pas podra prohibir y sancionar con leyes penales especiales que promulgaran para tal fin.

    Esa lista mnima de delitos informticos era como sigue: Fraude y falsificacin informticos Alteracin de datos y programas de computador Sabotaje informtico Acceso no autorizado Interceptacin no autorizada y Reproduccin no autorizada de un programa de computadora protegido.

    Posteriormente, la Comisin Poltica de Informacin Computadoras y Comunicacin recomend que se instituyesen protecciones penales contra otros usos indebidos. Se trataba de una lista optativa o facultativa, que inclua entre otros aspectos, los siguientes: Espionaje informtico Utilizacin no autorizada de una computadora Utilizacin no autorizada de un programa de computadora protegido Robo de secretos comerciales y Acceso o empleo no autorizado de sistemas de computadoras.

    Adicionalmente, el Comit Especial de Expertos en Delitos Informticos, adscritos al Comit Europeo para los problemas de la Delincuencia, se dedic a examinar temas como: La proteccin de la esfera personal Las Victimas

  • La posibilidad de prevencin Procedimiento (investigacin y confiscacin internacional de bancos de datos

    y la cooperacin internacional en la investigacin y represin del delito informtico)

    De igual manera, la Organizacin de las Naciones Unidas (ONU), en el Manual de la ONU para la Prevencin y Control de Delitos Informticos seala, cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, por cuanto los delitos informtico constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz cooperacin internacional.

    Otra organizacin internacional que se dedic a tratar este aspecto de la seguridad informtica, es la Asociacin Internacional de Derecho Penal, que adopt diversas recomendaciones respecto a los delitos informticos. En la medida en que el derecho penal tradicional no sea suficiente, deber promoverse la modificacin de la definicin de los delitos existentes o la creacin de otros nuevos.

    Seala como delitos, entre otras: El trfico con contraseas informticas obtenidas por medios inapropiados Distribucin de virus o de programas similares

    La Organizacin de Estados Americanos (OEA), entre las estrategias de seguridad ciberntica, demostr la gravedad de las amenazas a la seguridad ciberntica de los sistemas de informacin, las infraestructuras esenciales y las economas en todo el mundo.

    En el contexto internacional, Quintero establece que los pases que cuentan con una legislacin apropiada. Son: Chile, Gran Bretaa, Estados Unidos, Francia, Espaa, Alemania, China, Holanda y Austria

    Inglaterra. Debido a un caso de hacking en 1991, comenz a regir en este pas la Ley de Abusos Informticos. Mediante esta ley el intento, exitoso o no, de alterar datos informticos, es penado con hasta cinco aos de prisin o multas

    China. Toda persona implicada en actividades de espionaje, que robe, descubra, compre o divulgue secretos de Estado desde la red, podr ser condenada con penas que van de 10 aos de prisin hasta la muerte.

    Holanda. Entrar en una computadora en la cual no se tiene acceso legal ya es delito y puede ser castigado hasta con seis meses de crcel. Cambiar, agregar o borrar datos puede ser penalizado hasta con dos aos de prisin pero, si se hizo va remota aumenta a cuatro. Copiar archivos de la mquina hackeada o procesar datos en ella tambin conlleva un castigo de cuatro aos en la crcel. El dao a la informacin o a un sistema de comunicaciones puede ser castigado con crcel de seis meses a quince aos. Entre los casos ms famosos de delitos informticos, se destacan los siguientes:

  • John William Racine II, culpable de redireccionar el trfico de la web de Al-Jazeera a la suya propia, donde se poda ver una bandera estadounidense. El fiscal ha pedido tres aos de libertad vigilada y mil horas de servicio a la comunidad.

    Helen Carr, ha sido declarada tambin culpable por simular correos de America On Line y enviarlos a sus clientes, pidindoles la actualizacin de sus datos de tarjeta de crdito (esto es conocido como phishing).

    Vladimir Levin, Fue condenado por ingresar a los centros de cmputos de algunos bancos efectuando transferencias de fondos a su favor por aprox USA$ 2.8 millones. En 1995 fue arrestado por la Interpol, en el aeropuerto de Heathrow, Inglaterra, y luego extraditado a USA. Desde su PC instalada en San Petersburgo, irrumpi en las cuentas del Citibank NY y transfiri los fondos a cuentas en Finlandia, Israel y en el Bank of Amrica de San Francisco.

    Alexei Lashmanov (Ayudante de Levin), fue condenado a 5 aos de prisin y a pagar USA$ 250.000 de multa por efectuar transferencias entre bancos estadounidenses, de Finlandia e Israel. Estos conspiradores haban obtenido accesos no autorizados al Sistema de Administracin de Dinero en Efectivo del Citibank, en New Jersey, el cual permite a sus clientes acceder a una red de computadoras y transferir fondos a cuentas de otras instituciones financieras (realiz un total de 40 transferencias ilegales de dinero)

    De los 20 mil casos recolectados por la divisin del FBI encargada de fraudes informticos en 6 meses, el 64 % de las denuncias corresponden a subastas on line, otro 22 % a mercadera o dinero no enviado y apenas un 5 % al fraude de tarjetas de crdito.

    Hasta ahora el caso ms importante de fraude detectado sucedi en abril de 2004, durante una transaccin que implic la venta de monedas de plata y oro por un valor cercano al medio milln de dlares.

    EVALUACIN DE RIESGO

    El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que ocurran cosas negativas.

    Se debe poder obtener una evaluacin econmica del impacto de estos sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin de la informacin en anlisis, versus el costo de volverla a producir (reproducir).

    Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de accin adecuado.

  • Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deber identificar los recursos (hardware, software, informacin, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto.

    La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma personalizada para cada organizacin; pero se puede presupone algunas preguntas que ayudan en la identificacin de lo anteriormente expuesto "Qu puede ir mal?" "Con qu frecuencia puede ocurrir?" "Cules seran sus consecuencias?" "Qu fiabilidad tienen las respuestas a las tres primeras preguntas?" "Se est preparado para abrir las puertas del negocio sin sistemas, por un da,

    una semana, cunto tiempo?" "Cul es el costo de una hora sin procesar, un da, una semana...?" "Cunto, tiempo se puede estar off-line sin que los clientes se vayan a la

    competencia?" "Se tiene forma de detectar a un empleado deshonesto en el sistema?" "Se tiene control sobre las operaciones de los distintos sistemas?" "Cuntas personas dentro de la empresa, (sin considerar su honestidad),

    estn en condiciones de inhibir el procesamiento de datos?" "A que se llama informacin confidencial y/o sensitiva?" "La informacin confidencial y sensitiva permanece as en los sistemas?" "La seguridad actual cubre los tipos de ataques existentes y est preparada

    para adecuarse a los avances tecnolgicos esperados?" "A quin se le permite usar que recurso?" "Quin es el propietario del recurso? y quin es el usuario con mayores

    privilegios sobre ese recurso?" "Cules sern los privilegios y responsabilidades del Administrador vs. la del

    usuario?" "Cmo se actuar si la seguridad es violada?"

    Una vez obtenida la lista de cada uno de los riesgos se efectuar un resumen del tipo:

  • Segn esta tcada caso en partde riesgo represen

    Niveles de riesgoComo puede

    importancia y por Estimacin del Estimacin de l

    Para la cuanvalor numrico demayor importanciEl riesgo de un perderlo (1):

    Luego, con la sirecursos de la red

    Otros factorede red son su dispueden incorpora

    Identificacin deUna vez con

    su dao o falta pude las amenazasrecursos. Como yvulnerabilidad a taSe suele dividir la

    Desastre de Amenazas Amenazas Amenazas

    Se debera dlos administradory tcnicas de Administradores

    tabla habr que tomar las medidasrticular, cuidando incurrir en los coentado.

    go de apreciarse en la Tabla los riesgoor la severidad de su prdida: l riesgo de prdida del recurso (R i la importancia del recurso (I i ) ntificacin del riesgo de perder un de 0 a 10, tanto a la importancia decia) como al riesgo de perderlo (10 n recurso ser el producto de su

    siguiente frmula es posible calced:

    res que debe considerar para el anisponibilidad, su integridad y su ca

    rarse a la frmula para ser evaluado

    e Amenaza nocidos los riesgos, los recursos queden influir en la organizacin es

    as y vulnerabilidades que pueden ya se mencion existe una relac

    tal punto que si una no existe la otra las amenazas existentes segn su del entorno (Seguridad Fsica). s del sistema (Seguridad Lgica). s en la red (Comunicaciones). s de personas (Insiders-Outsiders). disponer de una lista de amenazaores de seguridad a identificar los d ataque que se pueden utiliz

    s actualicen constantemente sus co

    as pertinentes de seguridad para ostos necesarios segn el factor

    gos se clasifican por su nivel de

    i )

    n recurso, es posible asignar un del recurso (10 es el recurso de 0 es el riesgo ms alto). u importancia por el riesgo de

    lcular el riesgo general de los

    anlisis de riesgo de un recurso carcter confidencial, los cuales dos.

    que se deben proteger y como s necesario identificar cada una en causar estas bajas en los lacin directa entre amenaza y tra tampoco. u mbito de accin:

    ). as (actualizadas) para ayudar a distintos mtodos, herramientas lizar. Es importante que los conocimientos en esta rea, ya

  • que los nuevos mtodos, herramientas y tcnicas para sortear las medidas de seguridad evolucionan de forma continua.

    En la siguiente seccin se explica una metodologa para definir una estrategia de seguridad informtica que se puede utilizar para implementar directivas y controles de seguridad con el objeto de aminorar los posibles ataques y amenazas. Los mtodos se pueden utilizar en todos los tipos de ataques a sistemas, independientemente de que sean intencionados, no intencionados o desastres naturales.

    La metodologa se basa en los distintos ejemplos (uno para cada tipo de amenaza) y contempla como hubiera ayudado una poltica de seguridad en caso de haber existido.

    Evaluacin de Costos Desde un punto de vista oficial, el desafo de responder la pregunta del valor

    de la informacin ha sido siempre difcil, y ms difcil an hacer estos costos justificables, siguiendo el principio que "si desea justificarlo, debe darle un valor" (1).

    Establecer el valor de los datos es algo totalmente relativo, pues la informacin constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, la documentacin o las aplicaciones.

    Adems, las medidas de seguridad no influyen en la productividad del sistema por lo que las organizaciones son reticentes a dedicar recursos a esta tarea. Por eso es importante entender que los esfuerzos invertidos en la seguridad son costeables.

    La evaluacin de costos ms ampliamente aceptada consiste en cuantificar los daos que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades. Un planteamiento posible para desarrollar esta poltica es el anlisis de lo siguiente:

    Qu recursos se quieren proteger? De qu personas necesita proteger los recursos? Qu tan reales son las amenazas? Qu tan importante es el recurso? Qu medidas se pueden implantar para proteger sus bienes de una

    manera econmica y oportuna? Con esas sencillas preguntas (ms la evaluacin de riesgo) se debera

    conocer cules recursos vale la pena (y justifican su costo) proteger, y entender que algunos son ms importantes que otros. El objetivo que se persigue es lograr que un ataque a los bienes sea ms costoso que su valor, invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:

    CP: Valor de los bienes y recursos protegidos.

  • CR:Costo de los medios necesarios para romper las medidas de seguridad establecidas.

    CS: Costo de las medidas de seguridad. Para que la poltica de seguridad sea lgica y consistente se debe cumplir que:

    CR > CP: o sea que un ataque para obtener los bienes debe ser ms costoso que el valor de los mismos. Los beneficios obtenidos de romper las medidas de seguridad no deben compensar el costo de desarrollo del ataque.

    CP > CS: o sea que el costo de los bienes protegidos debe ser mayor que el costo de la proteccin.

    Luego, CR > CP > CS y lo que se busca es: "Minimizar el costo de la proteccin mantenindolo por debajo del de los

    bienes protegidos" (2). Si proteger los bienes es ms caro de lo que valen (el lpiz dentro de la caja fuerte), entonces resulta ms conveniente obtenerlos de nuevo en vez de protegerlo.

    "Maximizar el costo de los ataques mantenindolo por encima del de los bienes protegidos" (3). Si atacar el bien es ms caro de lo que valen, al atacante le conviene ms obtenerlo de otra forma menos costosa.

    Se debe tratar de valorar los costos en que se puede incurrir en el peor de los casos contrastando con el costo de las medidas de seguridad adoptadas. Se debe poner especial nfasis en esta etapa para no incurrir en el error de no considerar costos, muchas veces, ocultos y no obvios (costos derivados).

    Valor Intrnseco Es el ms fcil de calcular (pero no fcil) ya que solo consiste en otorgar un

    valor a la informacin contestando preguntas como las mencionadas y examinando minuciosamente todos los componentes a proteger.

    Costos Derivados de la Prdida Una vez ms deben abarcarse todas las posibilidades, intentando descubrir

    todos los valores derivados de la prdida de algn componente del sistema. Muchas veces se trata del valor aadido que gana un atacante y la repercusin de esa ganancia para el entorno, adems del costo del elemento perdido. Deben considerarse elementos como:

    Informacin aparentemente inocua como datos personales, que pueden permitir a alguien suplantar identidades.

    Datos confidenciales de acuerdos y contratos que un atacante podra usar para su beneficio.

    Tiempos necesarios para obtener ciertos bienes. Un atacante podra acceder a ellos para ahorrarse el costo (y tiempo) necesario para su desarrollo.

  • Punto de Equilibrio Una vez evaluados los riesgos y los costos en los que se est dispuesto a

    incurrir y decidido el nivel de seguridad a adoptar, podr obtenerse un punto de equilibrio entres estas magnitudes:

    Como puede apreciarse los riesgos disminuyen al aumentar la seguridad (y los costos en los que incurre) pero como ya se sabe los costos tendern al infinito sin lograr el 100% de seguridad y por supuesto nunca se lograr no correr algn tipo de riesgo. Lo importante es lograr conocer cuan seguro se estar conociendo los costos y los riesgos que se corren (Punto de Equilibrio).

    ESTRATEGIA DE SEGURIDAD Para establecer una estrategia adecuada es conveniente pensar una poltica

    de proteccin en los distintos niveles que esta debe abarcar y que no son ni ms ni menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que existe entre estos factores.

    En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva (1).

    La Estrategia Proactiva (proteger y proceder) o de previsin de ataques es un conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinacin del dao que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudar a desarrollar esta estrategia.

    La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el dao que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la

  • estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible. Con respecto a la postura que puede adoptarse ante los recursos compartidos:

    Lo que no se permite expresamente est prohibido: significa que la organizacin proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa est prohibida.

    Lo que no se prohbe expresamente est permitido: significa que, a menos que se indique expresamente que cierto servicio no est disponible, todos los dems s lo estarn.

    Estas posturas constituyen la base de todas las dems polticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qu acciones se toleran y cules no.

    Actualmente, y "gracias" a las, cada da ms repetitivas y eficaces, acciones que atentan contra los sistemas informticos los expertos se inclinan por recomendar la es primera poltica mencionada.

    La microelectrnica la aplicacin de la ingeniera electrnica a componentes y circuitos de dimensiones muy pequeas, microscpicas y hasta de nivel molecular para producir dispositivos y equipos electrnicos de dimensiones reducidas pero altamente funcionales. El telfono celular, el microprocesador de la CPU y la computadora tipo Palm son claros ejemplos de los alcances actuales de la Tecnologa Microelectrnica.

    Existen mltiples factores de ndole tecnolgicos que explican la convergencia de la Microelectrnica, la Informtica y las Telecomunicaciones en las TIC. Pero todos se derivan de tres hechos fundamentales:

    Los tres campos de actividad se caracterizan por utilizar un soporte fsico comn, como es la microelectrnica.

    Por la gran componente de software incorporado a sus productos. Por el uso intensivo de infraestructuras de comunicaciones que

    permiten la distribucin (deslocalizacin) de los distintos elementos de proceso de la informacin en mbitos geogrficos distintos.

    TENDENCIAS DE LA SEGURIDAD MICROELECTRNICA La microelectrnica, frecuentemente denominada hardware, est residente

    en todas las funcionalidades del proceso de informacin. Resuelve los problemas relacionados con la interaccin con el entorno como la adquisicin y la presentacin de la informacin, mediante dispositivos como transductores, tarjetas de sonido, tarjetas grficas, etc. No obstante, su mayor potencialidad est en la funcin de tratamiento de la informacin.

    La microelectrnica abarca como campo de aplicacin la domtica que se entiende por aquel conjunto de sistemas capaces de automatizar una vivienda, aportando servicios de gestin energtica, seguridad, bienestar y comunicacin, y

  • que pueden estar integrados por medio de redes interiores y exteriores de comunicacin, cableadas o inalmbricas, y cuyo control goza de cierta ubicuidad, desde dentro y fuera del hogar. Entre las tareas realizadas por la demtica se usan distintos tipos de componentes microelectrnicos que hacen que dichas tareas se lleven a cabo con gran precisin por medio de microcontroladores. Editar texto

    La Seguridad consiste en una red de encargada de proteger los Bienes Patrimoniales y la seguridad personal. Entre las herramientas aplicadas se encuentran:

    Simulacin de presencia. Alarmas de Deteccin de incendio, fugas de gas, escapes de agua,

    concentracin de monxido en garajes. Alerta mdica. Tele asistencia. Cerramiento de persianas puntual y seguro. Acceso a Cmaras IP.

  • CONCLUSIN Para concluir la poltica de seguridad es un documento de alto nivel que

    denota el compromiso de la gerencia con la seguridad de la informacin. Contiene la definicin de la seguridad de la informacin desde el punto de vista de cierta entidad.

    Adems en parte se encuentra la plantacin de seguridad que hay que tomar en cuenta a la hora de resguardar la informacin y para ello debemos tener en cuenta la seguridad por todos los sentidos tanto del software y del hardware. Igualmente se habl de los delitos informticos de legislacin nacional e internacional, es una serie de artculos que se encuentran a la hora de debatirlo en un grupo de personas en este caso la (OEA) organizacin de los estados americanos, ya que en los estados unidos se encuentra resguardada con una plen seguridad, algo que debera tener en cuenta los dems pases para obtener una seguridad ms plena a la hora de cualquier fracaso alguno. La evaluacin de riesgo, es el estudio de las causas de las posibles amenazas y probables eventos no deseados, como lo son daos o consecuencias que stas puedan producir. Las estrategias de seguridad una estrategia adecuada es conveniente pensar una poltica de proteccin en los distintos niveles que esta debe abarcar y que no son ni ms ni menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que existe entre estos factores. Las tendencias de la seguridad microelectrnica usualmente denominada hardware, es la que se dedica las funcionalidades del proceso de los datos.

  • REFERENCIAS

    http://es.slideshare.net/bellaroagui/politicas-deseguridad-13610538 http://www.segu-info.com.ar/politicas/implementacion.htm http://rosa-carrera.blogspot.com/2012/09/legislacion-nacional-e-

    internacional-de.html http://www.segu-info.com.ar/politicas/riesgos.htm http://carrmen.jimdo.com/riesgo-informatico/


Seguridad Física e Informática - media.utp.edu.comedia.utp.edu.co/.../SEGURIDAD_E_INFORMATICA_UNIVERSIDAD_… · NORMATIVIDAD • El artículo segundo de la Constitución Política

Seguridad Informática Tema 1: Introducción a la seguridad informática

Política sobre seguridad informática y de los datos · Política sobre seguridad informática y de los datos • Los cambios en la configuración para los servidores de producción

POLÍTICA SISTEMA DE GESTIÓN INSTITUCIONAL · Portátil, laptop, notebook o similar se regirán bajo la política de seguridad informática y reglamento de seguridad Informática

Seguridad informática

Política de Seguridad Informática para Apostar S.A

POLÍTICA DE SEGURIDAD Y GESTION DE LA INFORMACIÓN ...€¦ · POLÍTICA DE GESTIÓN Y SEGURIDAD DE LA INFORMACIÓN UNIAUTÓNOMA Versión 3 PROCESO DE GESTIÓN INFORMÁTICA Página:

Seguridad informática

POLITICA DE SEGURIDAD Seguridad Informática. Política de Seguridad Una política de seguridad es un conjunto de: Directrices Normas Procedimientos

Política de seguridad informática

POLÍTICA DE SEGURIDAD INFORMÁTICA Contenido Exposición

PROGRAMACIÓN DEL MÓDULO SEGURIDAD INFORMÁTICA · Seguridad informática (SMR). 2018/2019 Departamento de Informática 3 1. Introducción El presente módulo, Seguridad Informática,

SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA

POLÍTICA DE SEGURIDAD INFORMÁTICA DAVINCI … DE SEGURIDAD INFORMATICA.pdfPolítica de seguridad informática Código: PL-TO-1-V2 Fecha: 21/06/2018 deber de cumplir con las obligaciones

POLÍTICA DE INFRAESTRUCTURA INFORMÁTICALa política de redes e infraestructura informática, comprende los aspectos siguientes: 1.- Política de Seguridad Informática. 2.- Estándar

POLÍTICAS DE SEGURIDAD INFORMÁTICA 2 - · PDF fileDirección General de Sistemas TI – UNIACC - Política Seguridad Informática Código: POL_SI_01 Versión: 01 Fecha: Junio 2009

DA POLÍTICA DE SEGURIDAD INFORMÁTICA

Manual de Políticas de Seguridad Informática€¦ · 2.3 Política de seguridad informática asociada a contratistas ... Las políticas que aplican específicamente al personal

SEGURIDAD INFORMÁTICA