Upload File

políticas de seguridad informáticas

23
 REPÚBLICA BOLIVA RIANA DE VENEZUELA MINISTERIO DEL ´PODER POPULAR PA RA LA EDUCACIÓN SUPERIOR INSTITUTO UNIVERSITA RIO DE TECNOLOGÍA AGROINDUSTRIA L PNF EN INFORMATICA COLÓN – ESTADO TÁCHIRA  Integrante:  T.S.U José Morale s  C.I 24779739 Profesora: Lisby Mora San Juan de Colón Julio de 2015 POLÍTICAS DE SEGURIDAD

Upload: jcjnj

Post on 04-Nov-2015

22 views

Category:

Documents


0 download

Report

DESCRIPTION

políticas de seguridad informática

TRANSCRIPT

  • REPBLICA BOLIVARIANA DE VENEZUELAMINISTERIO DEL PODER POPULAR PARA LA EDUCACIN SUPERIOR

    INSTITUTO UNIVERSITARIO DE TECNOLOGA AGROINDUSTRIALPNF EN INFORMATICA

    COLN ESTADO TCHIRA

    Integrante: T.S.U Jos Morales

    C.I 24779739

    Profesora: Lisby Mora

    San Juan de Coln Julio de 2015

    POLTICAS DE SEGURIDAD

  • INTRODUCCIN

    Este documento define y detalla el uso adecuado de los Sistemas de

    Informacin y los datos proporcionados conjuntamente por la Seccin Caminos del

    Departamento de Resistencia de materiales y Estructuras en Ingeniera (en lo

    sucesivo RMEE) y el Centro Internacional de mtodos numricos en Ingeniera (en

    lo sucesivo CIMNE) ; as como de las herramientas de comunicaciones, Internet y

    correo electrnico principalmente, a fin de proteger al usuario y a la entidad de

    situaciones que pongan en peligro los sistemas y la informacin contenida en

    estos.

    Esta poltica es de obligado cumplimiento para el personal de CIMNE y para el

    personal de la Seccin de Caminos de RMEE en la medida en que accedan a

    estos recursos y sin menoscabo de lo que dispongan las normativas en esta

    materia de la propia UPC.

    Tambin ser de obligado cumplimiento para todas aquellas personas fsicas,

    profesionales o entidades que pudieran tener vinculacin temporal con ambas

    entidades en este documento se utiliza la abreviatura RMEE-CIMNE para

    referirnos al colectivo de usuarios de ambas entidades.

  • POLTICA DE USO ACEPTABLE DE LOS SISTEMAS DE INFORMACIN,INTERNET Y CORREO ELECTRNICO.

    POLTICA

    La poltica de uso aceptable pretende facilitar y agilizar los procesos y mejorar

    la calidad en la prestacin de servicios a los usuarios. La mejora de los procesos

    en los Sistemas de Informacin supone regular el uso apropiado de sus

    componentes y equipos, as como implantacin de aquellas medidas necesarias

    para garantizar la confidencialidad de la informacin.

    Para conseguir estos objetivos resulta necesario establecer polticas que

    garanticen el uso efectivo y seguro de los Sistemas de Informacin y las

    herramientas asociadas a estos. Este documento tiene como objetivo fijar las

    normas fundamentales que deben regir el comportamiento de los empleados para

    garantizar el uso adecuado de estos recursos.

    Estas normas sern revisadas, actualizadas y publicadas peridicamente en

    Normas poltica de uso adecuado. Es responsabilidad de los usuarios estar al

    tanto del contenido de las mismas.

    Normas generales aplicables al uso de los Sistemas de Informacin

    Los sistemas de informacin de RMEE-CIMNE, incluyendo los programas,

    aplicaciones y archivos electrnicos, pertenecen tanto a RMEE como a

    CIMNE, y slo pueden utilizarse para fines relacionados con el desempeo

    de las tareas que los usuarios tengan encomendadas como personal de

    ambas entidades. Esta misma consideracin se aplica a la informacin

  • almacenada en su ordenador o la emitida o comunicada a travs de los

    Sistemas de Informacin de RMEE-CIMNE. Los sistemas de informacin y las herramientas asociadas, como el correo

    electrnico y la conexin a Internet, slo podrn ser utilizados por personal

    debidamente autorizado. Ser responsabilidad de cada rea definir las

    tareas que conllevan acceso a tales herramientas. El uso de tales recursos

    deber circunscribirse al mbito profesional con el propsito de agilizar los

    trabajos de RMEE-CIMNE. No se autoriza su uso con fines personales. La

    informacin desarrollada, transmitida o almacenada en los Sistemas de

    Informacin de RMEE-CIMNE pertenece a RMEE y/o a CIMNE. Son de

    aplicacin todas las disposiciones legales aplicables a los documentos

    privados. La divulgacin de tal informacin sin autorizacin est

    estrictamente prohibida. La alteracin, destruccin o distribucin

    fraudulenta o malintencionada de cualquier documento en formato

    electrnico propiedad de la RMEE o de CIMNE puede perjudicar

    gravemente a ambas entidades y constituir una infraccin grave; en tal

    caso se adoptarn las medidas disciplinarias previstas en los respectivos

    convenios colectivos de ambas entidades, reservndose la entidad

    perjudicada el derecho a interponer cuantas acciones legales sean

    necesarias. No est permitido la creacin de ficheros con datos personales (*) sin la

    conformidad por escrito del Departamento de Sistemas, quien solicitar

    autorizacin a los rganos gestores de ambas entidades, con objeto de

    adoptar las medidas necesarias para asegurar la legalidad y seguridad del

    tratamiento de la informacin personal. (*)Por datos personales se entiende

    toda informacin que identifique a personas fsicas, por ejemplo:

    fotografas, nombre y apellidos, direccin, telfono, correo electrnico,

    estado civil, sexo. Los usuarios de los sistemas de informacin deben respetar los derechos

    de propiedad intelectual de los autores de las obras, programas,

    aplicaciones u otros, manejadas o accedidas a travs de dicho sistema.

  • Los programas y recursos utilizados en RMEE-CIMNE deben tener su

    correspondiente licencia en vigor o autorizacin de uso explcita para poder

    ser utilizados. Dichos programas slo podrn ser instalados por personal

    autorizado a tales efectos. Adems, no debern instalarse programas sin la

    previa autorizacin del departamento de Sistemas, incluso cuando se trate

    de programas sin coste. Los programas y aplicaciones distribuidos por RMEE-CIMNE no podrn

    reproducirse sin autorizacin o ser utilizados para fines ajenos a las

    funciones y tareas encomendadas por RMEE-CIMNE. RMEE-CIMNE, ser responsable de establecer las normas mediante las

    cuales se asignan las cuentas de acceso, incluyendo las medidas de

    seguridad aplicables tales como: claves secretas, contraseas, controles

    de acceso a los servidores y sistemas para auditar su uso, la integridad y la

    seguridad de los datos y comunicaciones que se envan. Los usuarios de los sistemas debern cumplir con todas las normas de uso

    y las relativas a la seguridad de la informacin emitidas tanto por la Seccin

    Caminos de RMEE como por CIMNE, a travs de la red RMEE-CIMNE. Cada usuario ser individualmente responsable por el manejo adecuado de

    las claves de acceso o contraseas asignadas. La correspondiente asignacin de claves de acceso no impedir que el uso

    de los Sistemas de Informacin sea auditado por el personal autorizado del

    Departamento de Sistemas, con el propsito de garantizar el uso apropiado

    de los recursos. El acceso a informacin o a una cuenta ajena sin autorizacin, obtenido

    mediante la modificacin de privilegios de acceso o la interceptacin de

    informacin en cualquier otra manera est prohibida y estar sujeto a las

    medidas disciplinarias pertinentes. El Departamento de Sistemas de RMEE-CIMNE custodiar la informacin

    contenida en el sistema contra accesos no autorizados, la proteger y

    definir las polticas necesarias para garantizar su integridad. Las normas aqu establecidas deben interpretarse como complementarias

    a las normas legales comnmente aplicables. La violacin de estas normas puede conllevar la revocacin de cualquier

    privilegio de uso de los Sistemas de Informacin y ser notificada al

  • responsable del Departamento de Sistemas Informticos, quien informar

    al responsable inmediato del empleado y al responsable de Recursos

    Humanos de la entidad a la que pertenezca. Los usuarios de RMEE-CIMNE utilizarn el sistema de tickets, que podrn

    encontrar en https://tickets.cimne.upc.edu, para comunicar las incidencias

    informticas y realizar las solicitudes correspondientes al departamento de

    Sistemas Informticos.

    Normas aplicables al uso de Internet y del correo electrnico

    I. Los sistemas de comunicacin y acceso a Internet de RMEE-CIMNE, debern

    ser utilizados exclusivamente como una herramienta de trabajo conforme a las

    normas que rigen el comportamiento del personal de RMEE-CIMNE. y no para

    actividades personales.

    II. Las operaciones realizadas a travs de Internet pueden generar responsabilidad

    por parte de las entidades Seccin Caminos de RMEE y CIMNE. RMEE-CIMNE se

    reserva el derecho a intervenir y auditar los accesos realizados por los usuarios a

    la red y a Internet y el contenido de lo accedido.

    III. RMEE-CIMNE establecer la asignacin de las cuentas de correo electrnico,

    las medidas de seguridad aplicables, las claves de acceso y las contraseas, los

    controles de acceso al servidor y el mtodo de auditora del sistema y las

    comunicaciones enviadas.

    IV. El sistema de correo electrnico del dominio cimne.upc.edu pertenece a

    CIMNE y es parte integrante de sus Sistemas de Informacin, por lo que RMEE-

    CIMNE puede intervenir, auditar e investigar el uso adecuado del mismo. Las

    cuentas estn sujetas a auditoras y revisiones sin previo aviso por el personal

    autorizado del Departamento de Sistemas de la Informacin. A los usuarios con

    cuentas de correo del dominio upc.edu se atendrn a lo que disponga la normativa

    de UPC al respecto.

    V. RMEE-CIMNE establecer normativas en relacin al envo por correo

    electrnico de documentos que contengan informacin confidencial o sensible de

  • RMEE-CIMNE o de los que tratan de asuntos internos que no deben ser

    divulgados. De ser necesario enviar tal informacin, la misma deber ser cifrada.

    En el caso de sospechar que se ha producido una interceptacin o divulgacin de

    tal informacin, se deber informar de inmediato al Departamento de Sistemas de

    la Informacin de manera que puedan tomar las medidas cautelares que

    procedan.

    Implementacin de una Poltica de Seguridad

    La implementacin de medidas de seguridad, es un proceso Tcnico-

    Administrativo. Como este proceso debe abarcar toda la organizacin, sin

    exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que

    sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.

    Se deber tener en cuenta que la implementacin de Polticas de Seguridad,

    trae aparejados varios tipos de problemas que afectan el funcionamiento de la

    organizacin. La implementacin de un sistema de seguridad conlleva a

    incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como

    administrativamente.

    Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad

    respecto de los costos administrativos y tcnicos que se generen.

    Es fundamental no dejar de lado la notificacin a todos los involucrados en las

    nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de

    otorgar visibilidad a los actos de la administracin.

    Una PSI informtica deber abarcar:

    Alcance de la poltica, incluyendo sistemas y personal sobre el cual se

    aplica. Objetivos de la poltica y descripcin clara de los elementos involucrados en

    su definicin. Responsabilidad de cada uno de los servicios, recurso y responsables en

    todos los niveles de la organizacin.

  • Responsabilidades de los usuarios con respecto a la informacin que

    generan y a la que tienen acceso. Requerimientos mnimos para la configuracin de la seguridad de los

    sistemas al alcance de la poltica. Definicin de violaciones y las consecuencias del no cumplimiento de la

    poltica. Por otra parte, la poltica debe especificar la autoridad que debe hacer que

    las cosas ocurran, el rango de los correctivos y sus actuaciones que

    permitan dar indicaciones sobre la clase de sanciones que se puedan

    imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo

    suceder; ya que no es una sentencia obligatoria de la ley. Explicaciones comprensibles (libre de tecnicismos y trminos legales pero

    sin sacrificar su precisin) sobre el porqu de las decisiones tomadas. Finalmente, como documento dinmico de la organizacin, deben seguir un

    proceso de actualizacin peridica sujeto a los cambios organizacionales

    relevantes: crecimiento de la planta de personal, cambio en la

    infraestructura computacional, alta y rotacin de personal, desarrollo de

    nuevos servicios, cambio o diversificacin de negocios, etc.

    Una proposicin de una forma de realizar una PSI adecuada puede apreciarse

    en el siguiente diagrama:

  • Se comienza realizando una evaluacin del factor humano, el medio en donde

    se desempea, los mecanismos con los cuales se cuenta para llevar a cabo la

    tarea encomendada, las amenazas posibles y sus posibles consecuencias.

    Luego de evaluar estos elementos y establecida la base del anlisis, se

    originan un programa de seguridad, el plan de accin y las normas y

    procedimientos a llevar a cabo.

    Para que todo lo anterior llegue a buen fin debe realizarse un control peridico

    de estas polticas, que asegure el fiel cumplimiento de todos los procedimientos

    enumerados. Para asegurar un marco efectivo se realiza una auditora a los

    archivos Logs de estos controles.

    Con el objeto de confirmar que todo lo creado funciona en un marco real, se

    realiza una simulacin de eventos y acontecimientos que atenten contra la

    seguridad del sistema. Esta simulacin y los casos reales registrados generan una

    realimentacin y revisin que permiten adecuar las polticas generadas en primera

    instancia.

    Por ltimo el Plan de Contingencia es el encargado de suministrar el respaldo

    necesario en caso en que la poltica falle.

    Es importante destacar que la Seguridad debe ser considerada desde la fase

    de diseo de un sistema. Si la seguridad es contemplada luego de la

    implementacin del mismo, el personal se enfrentar con problemas tcnicos,

    humanos y administrativos muchos mayores que implicaran mayores costos para

    lograr, en la mayora de los casos, un menor grado de seguridad.

    "Construya la seguridad desde el principio. La mxima de que es ms caro

    aadir despus de la implementacin es cierta." (1)

    Julio C. Ardita menciona: "Muchas veces nos llaman cuando est todo listo,

    faltan dos semanas y quieren que lo aseguremos (...) llegamos, miramos y vemos

    que la seguridad es imposible de implementar. ltimamente nos llaman en el

  • diseo y nosotros los orientamos y proponemos las soluciones que se pueden

    adoptar (...)" (2)

    Queda claro que este proceso es dinmico y continuo, sobre el que hay que

    adecuarse continuamente a fin de subsanar inmediatamente cualquier debilidad

    descubierta, con el fin de que estas polticas no caigan en desuso.

    LEGISLACIN NACIONAL E INTERNACIONAL DE DELITOS INFORMTICOS

    Segn Luciano Saellas en su artculo titulado Delitos Informticos cyber

    terrorismo, define Delitos Informticos como aquella conducta ilcita susceptible

    de ser sancionada por el derecho penal, que hacen uso indebido de cualquier

    medio informtico. En un primer momento, los pases trataron de encuadrar estos

    hechos en figuras tpicas de carcter tradicional, como fraude, falsificaciones,

    estafas, robo, hurto, sabotaje, etc. De esta manera establecer un criterio nico o

    un concepto unificado para poder manejar un solo concepto para cada tipo de

    delito.

    Los pases y las organizaciones internacionales se han visto en la necesidad

    de legislar sobre los delitos informticos, debido a los daos y perjuicios que le

    han causado a la humanidad.

    Seguridad informtica se considera entonces es la preparacin de las

    instancias tcnicas de una organizacin para actuar y resguardar el efecto que

    dicho incidente puede ocasionar.

    En este artculo se pretende dar una visin global sobre los avances en materia

    de legislacin nacional e internacional, que se ha desarrollado en esta materia.

    LEGISLACIN NACIONAL

    El Artculo 110 de la Constitucin de la Repblica Bolivariana de Venezuela

    (2010), el Estado reconocer el inters pblico de la ciencia, la tecnologa, el

    conocimiento, la innovacin y sus aplicaciones y los servicios de informacin

    necesarios por ser instrumentos fundamentales para el desarrollo econmico,

  • social y poltico del pas, as como para la seguridad y soberana nacional. Para

    el fomento y desarrollo de esas actividades, el Estado destinar recursos

    suficientes y crear el sistema nacional de ciencia y tecnologa de acuerdo con la

    ley. El sector privado deber aportar recursos para los mismos. El Estado

    garantizar el cumplimiento de los principios ticos y legales que deben regir las

    actividades de investigacin cientfica, humanstica y tecnolgica. La ley

    determinar los modos y medios para dar cumplimiento a esta garanta.

    El Artculo 28 de la CRBV establece que toda persona tiene el derecho de

    acceder a la informacin y a los datos que sobre s misma o sobre sus bienes

    consten en registros oficiales o privados, () Igualmente, podr acceder a

    documentos de cualquier naturaleza que contengan informacin cuyo

    conocimiento sea de inters para comunidades o grupos de personas.

    Por otra parte el Artculo 60 seala que toda persona tiene derecho a la

    proteccin de su honor, vida privada, intimidad, propia imagen, confidencialidad y

    reputacin. La ley limitar el uso de la informtica para garantizar el honor y la

    intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de

    sus derechos.

    A su vez, el Artculo 143 acota que los ciudadanos y ciudadanas tienen derecho

    a ser informados e informadas oportuna y verazmente por la Administracin

    Pblica, () Asimismo, tienen acceso a los archivos y registros administrativos,

    sin perjuicio de los lmites aceptables dentro de una sociedad democrtica.

    La Ley Especial Contra los Delitos Informticos (2001) tiene por Objeto la

    Proteccin integral de los sistemas que utilicen tecnologas de informacin, as

    como la prevencin y sancin de los delitos cometidos contra tales sistemas o

    cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas

    tecnologas.

    A continuacin, se muestra una tabla con las sanciones establecidas por los

    diferentes delitos informticos:

  • Art. Ttulo1 Objeto de la ley

    Tiene por objeto la proteccin integral de los sistemas que utilicen tecnologas deinformacin.

    2 Definiciones

    Tecnologa de Informacin, Sistema, Data (Datos), Informacin, Documento,Computador, Hardware, Firmware, Software, Programa, Seguridad, Virus, TarjetaInteligente, Contrasea (Password) y Mensaje de Datos.

    3 ExtraterritorialidadCuando alguno de los delitos previstos en la presente ley se cometa fuera delterritorio de la Repblica.

    4 SancionesLas sanciones principales concurrirn con lasaccesorias y ambas podrn tambin concurrirentre s, de acuerdo con las circunstanciasparticulares del delito del cual se trate.

    Sern principales y accesorias.

    5 Responsabilidad de laspersonas jurdicasSer sancionada en los trminos previstos en esta ley.

    6 Acceso indebidoPrisin de 1 a 5Aos Multas de10 a 50 UT

    7 Sabotaje o daos a sistemasPrisin de 4 a 8Aos Multas de400 a 800

    Si los efectos indicados en elpresente artculo se realizarenmediante la creacin,introduccin o transmisinintencional, por cualquier medio,de un virus o programa anlogo.

    Prisin de 5a 10 Aos Multas de500 a 1000

    8 Favorecimiento culposo delsabotaje o dao

    Se aplicar lapenacorrespondientesegn el caso.

    Reduccin de la pena entre lamitad y dos tercios

    9 Acceso indebido o sabotaje asistemas Aumento de la pena tercera parte y la mitad.

    10Posesin de equipos oprestacin de servicios desabotaje

    Prisin de 3 a 6Aos Multas de 300 a 600

  • 11 Espionaje informticoPrisin de 3 a 6Aos Multas de 300 a 600

    12 Falsificacin de documentosPrisin de 3 a 6Aos

    Multas de300 a 600

    Cuando el agente hubiereactuado con el fin de procurarpara s o para otro algn tipo debeneficio.

    Aumento de la pena de un tercio y la mitad.

    Si del hecho resultare unperjuicio para otro. Aumento de la pena Mitad a dos tercios.

    13 HurtoPrisin de 2 a 6Aos Multas de200 a 600

    14 FraudePrisin de 3 a 7

    Aos Multas de300 a 700

    15Obtencin indebida de bieneso servicios

    Prisin de 2 a 6Aos Multas de200 a 600

    16Manejo fraudulento de tarjetasinteligentes o instrumentosanlogos

    Prisin de 5a 10 Aos Multas de500 a 1000

    17Apropiacin de tarjetasinteligentes o instrumentosanlogos

    Prisin de 1 a 5Aos Multas de10 a 50

    18 Provisin indebida de bienes oserviciosPrisin de 2 a 6Aos Multas de200 a 600

    19 Posesin de equipo parafalsificacionesPrisin de 3 a 6Aos Multas de300 a 600

    20Violacin de la privacidad de ladata o informacin de carcterpersonal

    Prisin de 2 a 6Aos

    Multas de 200 a 600

    Si como consecuencia de loshechos anteriores resultare unperjuicio para el titular de la datao informacin o para un tercero.

    Aumento de la pena de un tercio a la mitad.

    21 Violacin de la privacidad delas comunicaciones.Prisin de 2 a 6Aos

    Multas de 200 a 600

    22Revelacin indebida de data oinformacin de carcterpersonal

    Prisin de 2 a 6Aos

    Multas de 200 a 600

    Si la revelacin, difusin o cesinse hubieren realizado con un finde lucro o si resultare algnperjuicio para otro.

    Aumento de la pena de un tercio a la mitad.

  • 23 Difusin o exhibicin dematerial pornogrficoPrisin de 2 a 6Aos Multas de 200 a 600

    24 Exhibicin pornogrfica denios o adolescentesPrisin de 4 a 8Aos Multas de 400 a 800

    25 Apropiacin de propiedadintelectualPrisin de 1 a 5Aos Multas de 100 a 500

    26 Oferta engaosaPrisin de 1 a 5Aos Multas de 100 a 500

    Entre los primeros delitos informticos que aquejan al venezolano, hoy da

    figuran los financieros. La clonacin de tarjetas de crdito y dbito y la obtencin

    de informacin de las cuentas, ha generado en los ltimos aos prdidas

    millonarias.

    La pornografa infantil es el segundo con mayor nmero de denuncias. La

    estafa electrnica ofreciendo productos falsos por internet, es otro de los delitos

    con mayor frecuencia.

    Sumndose: el hacking, cracking y phising que son quienes, a distancia, violan

    la seguridad de otras computadoras.

    En julio y agosto 2011 fueron hackeadas las cuentas de twitter de varias

    personalidades pblicas venezolanas.

    El Centro Nacional de Informtica Forense (CENIF), es un laboratorio de

    informtica forense para la adquisicin, anlisis, preservacin y presentacin de

    las evidencias relacionadas a las tecnologas de informacin y comunicacin, con

    el objeto de prestar apoyo a los cuerpos de investigacin judicial rganos y entes

    del Estado que as lo requieran.

    LEGISLACIN INTERNACIONAL

    Muchos son los problemas que han surgido a nivel internacional en materia de

    delincuencia informtica. Tradicionalmente se ha considerado en todos los pases

  • el principio de territorialidad, que consiste en aplicar sanciones penales cuando el

    delito ha sido cometido dentro del territorio nacional, pero, en el caso del delito

    informtico, la situacin cambia porque el delito pudo haberse cometido desde

    cualquier otro pas, distinto a donde se materializa el dao.

    Debido a situaciones como las antes expuestas, los pases se vieron en la

    necesidad de agruparse y en primer lugar definir algunos trminos cibernticos

    que pudieran permitir la unificacin de criterios en esta materia. As, se le

    asignaron nombres conocidos en materia de delitos tradicionales, para adaptarlos

    a la informtica; tales como: hurto, sabotaje, robo, espionaje, estafa, fraude, etc.

    Esta situacin cada vez ms frecuente, dio pie a que distintas organizaciones

    internacionales, tomaran la iniciativa de organizarse y establecer pautas o

    estndares mnimos, tal es el caso de la Organizacin de Cooperacin y

    Desarrollo Econmico (OCDE), que segn explica Acurio (2006), tard tres aos,

    desde 1983 hasta 1986 en publicar un informe titulado Delitos de Informtica:

    anlisis de la normativa jurdica, donde se recomendaba una lista mnima de

    ejemplos de uso indebido que cada pas podra prohibir y sancionar con leyes

    penales especiales que promulgaran para tal fin.

    Esa lista mnima de delitos informticos era como sigue:

    Fraude y falsificacin informticos Alteracin de datos y programas de computadora Sabotaje informtico Acceso no autorizado Interceptacin no autorizada y reproduccin no autorizada de un programa

    de computadora protegido. Posteriormente, la Comisin Poltica de Informacin Computadoras y

    Comunicacin recomend que se instituyesen protecciones penales contra

    otros usos indebidos. Se trataba de una lista optativa o facultativa, que

    inclua entre otros aspectos, los siguientes:

    Espionaje informtico

    Utilizacin no autorizada de una computadora

  • Utilizacin no autorizada de un programa de computadora protegido Robo de secretos comerciales y acceso o empleo no autorizado de

    sistemas de computadoras. Adicionalmente, el Comit Especial de Expertos en Delitos Informticos,

    adscritos al Comit Europeo para los problemas de la Delincuencia, se

    dedic a examinar temas como: La proteccin de la esfera personal Las Victimas La posibilidad de prevencin Procedimiento (investigacin y confiscacin internacional de bancos de

    datos y la cooperacin internacional en la investigacin y represin del

    delito informtico).

    De igual manera, la Organizacin de las Naciones Unidas (ONU), en el Manual

    de la ONU para la Prevencin y Control de Delitos Informticos seala, cuando el

    problema se eleva a la escena internacional, se magnifican los inconvenientes y

    las insuficiencias, por cuanto los delitos informtico constituyen una nueva forma

    de crimen transnacional y su combate requiere de una eficaz cooperacin

    internacional.

    Otra organizacin internacional que se dedic a tratar este aspecto de la

    seguridad informtica, es la Asociacin Internacional de Derecho Penal, que

    adopt diversas recomendaciones respecto a los delitos informticos. En la

    medida en que el derecho penal tradicional no sea suficiente, deber promoverse

    la modificacin de la definicin de los delitos existentes o la creacin de otros

    nuevos.

    Seala como delitos, entre otras:

    El trfico con contraseas informticas obtenidas por medios inapropiados Distribucin de virus o de programas similares

    La Organizacin de Estados Americanos (OEA), entre las estrategias de

    seguridad ciberntica, demostr la gravedad de las amenazas a la seguridad

    ciberntica de los sistemas de informacin, las infraestructuras esenciales y las

    economas en todo el mundo.

  • En el contexto internacional, Quintero establece que los pases que cuentan

    con una legislacin apropiada. Son: Chile, Gran Bretaa, Estados Unidos, Francia,

    Espaa, Alemania, China, Holanda y Austria

    Inglaterra: debido a un caso de hacking en 1991, comenz a regir en este pas

    la Ley de Abusos Informticos. Mediante esta ley el intento, exitoso o no, de alterar

    datos informticos, es penado con hasta cinco aos de prisin o multas.

    China: toda persona implicada en actividades de espionaje, que robe,

    descubra, compre o divulgue secretos de Estado desde la red, podr ser

    condenada con penas que van de 10 aos de prisin hasta la muerte.

    Holanda: entrar en una computadora en la cual no se tiene acceso legal ya es

    delito y puede ser castigado hasta con seis meses de crcel. Cambiar, agregar o

    borrar datos puede ser penalizado hasta con dos aos de prisin pero, si se hizo

    va remota aumenta a cuatro. Copiar archivos de la mquina hackeada o procesar

    datos en ella tambin conlleva un castigo de cuatro aos en la crcel. El dao a la

    informacin o a un sistema de comunicaciones puede ser castigado con crcel de

    seis meses a quince aos.

    Evaluacin de Riesgos

    El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de

    que ocurran cosas negativas.

    Se debe poder obtener una evaluacin econmica del impacto de estos

    sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin de la

    informacin en anlisis, versus el costo de volverla a producir (reproducir).

    Se debe tener en cuenta la probabilidad que sucedan cada uno de los

    problemas posibles. De esta forma se pueden priorizar los problemas y su coste

    potencial desarrollando un plan de accin adecuado.

  • Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con

    los costos en los que se incurren se obtengan beneficios efectivos. Para esto se

    deber identificar los recursos (hardware, software, informacin, personal,

    accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto.

    La evaluacin de riesgos y presentacin de respuestas debe prepararse de

    forma personalizada para cada organizacin; pero se puede presupone algunas

    preguntas que ayudan en la identificacin de lo anteriormente expuesto (1):

    "Qu puede ir mal?"

    "Con qu frecuencia puede ocurrir?"

    "Cules seran sus consecuencias?"

    "Qu fiabilidad tienen las respuestas a las tres primeras preguntas?"

    "Se est preparado para abrir las puertas del negocio sin sistemas, por un da,

    una semana, cunto tiempo?"

    "Cul es el costo de una hora sin procesar, un da, una semana...?"

    "Cunto, tiempo se puede estar off-line sin que los clientes se vayan a la

    competencia?"

    "Se tiene forma de detectar a un empleado deshonesto en el sistema?"

    "Se tiene control sobre las operaciones de los distintos sistemas?"

    "Cuantas personas dentro de la empresa, (sin considerar su honestidad), estn

    en condiciones de inhibir el procesamiento de datos?"

    "A que se llama informacin confidencial y/o sensitiva?"

    "La informacin confidencial y sensitiva permanece as en los sistemas?"

    "La seguridad actual cubre los tipos de ataques existentes y est preparada para

    adecuarse a los avances tecnolgicos esperados?"

  • "A quien se le permite usar que recurso?"

    "Quin es el propietario del recurso? y quin es el usuario con mayores

    privilegios sobre ese recurso?"

    "Cules sern los privilegios y responsabilidades del Administrador vs. la del

    usuario?"

    "Cmo se actuar si la seguridad es violada?"

    Una vez obtenida la lista de cada uno de los riesgos se efectuar un resumen

    del tipo:

    Tipo de Riesgo FactorRobo de hardware Alto

    Robo de informacin AltoVandalismo Medio

    Fallas en los equipos MedioVirus Informticos MedioEquivocaciones Medio

    Accesos no autorizados MedioFraude BajoFuego Muy Bajo

    Terremotos Muy Bajo

    Segn esta tabla habr que tomar las medidas pertinentes de seguridad para

    cada caso en particular, cuidando incurrir en los costos necesarios segn el factor

    de riesgo representado.

    Niveles de riesgo Identificacin de Amenaza Evaluacin de Costos

    Estrategia de Seguridad

  • Para establecer una estrategia adecuada es conveniente pensar una poltica de

    proteccin en los distintos niveles que esta debe abarcar y que no son ni mas ni

    menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que

    existe entre estos factores.

    En cada caso considerado, el plan de seguridad debe incluir una estrategia

    Proactiva y otra Reactiva (1).

    La Estrategia Proactiva (proteger y proceder) o de previsin de ataques es un

    conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos

    vulnerables existentes en las directivas de seguridad y a desarrollar planes de

    contingencia. La determinacin del dao que un ataque va a provocar en un

    sistema y las debilidades y puntos vulnerables explotados durante este ataque

    ayudar a desarrollar esta estrategia.

    La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque

    ayuda al personal de seguridad a evaluar el dao que ha causado el ataque, a

    repararlo o a implementar el plan de contingencia desarrollado en la estrategia

    Proactiva, a documentar y aprender de la experiencia, y a conseguir que las

    funciones comerciales se normalicen lo antes posible.

    Con respecto a la postura que puede adoptarse ante los recursos compartidos:

    Lo que no se permite expresamente est prohibido: significa que la

    organizacin proporciona una serie de servicios bien determinados y

    documentados, y cualquier otra cosa est prohibida.

    Lo que no se prohbe expresamente est permitido: significa que, a menos que

    se indique expresamente que cierto servicio no est disponible, todos los dems s

    lo estarn.

    Estas posturas constituyen la base de todas las dems polticas de seguridad y

    regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a

    describir qu acciones se toleran y cules no.

  • Actualmente, y "gracias" a las, cada da ms repetitivas y eficaces, acciones

    que atentan contra los sistemas informticos los expertos se inclinan por

    recomendar la primera poltica mencionada.

    Implementacin Auditora y Control Plan de Contingencia Equipos de Respuesta a Incidentes Backups Pruebas

  • CONCLUSIN

    Al realizar este trabajo, he podido comprobar que cada vez es ms

    evidente la necesidad de centralizar las polticas de seguridad informtica

    para cubrir virtualmente todo lo que sucede en dicho campo.

    Afortunadamente, se ha logrado que muchas organizaciones empiecen a

    entender la importancia de las de este tipo de seguridad, porque a su

    alrededor existen proyectos que dependen de manera crtica de un sistema

    con reglas claramente articuladas. Sin este tipo de polticas informticas, no

    se puede garantizar que los sistemas informticos sean operados de

    manera segura.

    En muchsimos casos la mejor herramienta de seguridad somos

    nosotros y nuestro sentido comn, ya que se ha podido comprobar que los

    descuidos o imprudencias son la principal fuente de las brechas de

    seguridad, tanto desde el punto de vista del usuario personal como de las

    empresas.

    Tambin es evidente que se debe pensar en la forma de castigar dichos

    abusos en contra de la seguridad de la informacin, y como as tambin,

    algo mucho ms importante como lograr probar el delito. Este sigue siendo

    el principal inconveniente a la hora de legislar por el carcter intangible de

    la informacin.

  • BIBLIOGRAFA

    Acurio S. (2006) Delitos Informticos

    Constitucin de la Repblica Bolivariana de Venezuela (2010) Publicado en

    Gaceta Oficial 5453 de fecha 24 de marzo 2000.

    Fonseca A. (S/F) Articulo Auditoria Forense aplicada a la Tecnologa

    Ley Epecial Contra Delitos Informticos (2001) Publicado en Gaceta Oficial

    37.313 de fecha 30 de octubre 2001

    Quintero R (S/F) Articulo Delitos Informticos

    Saellas (S/F) Articulo Delitos Informticos ciberterrorismo

    Telles J Derecho Informtico

    http://www.oas.org/juridico/spanish/docu6.htm

    www.oas.org/es

    www.suscerte.gob.ve/index.php/es/seguridad-de-la-informacion/cenif

    www.gobiernoenlinea.ve/legislacion-view/view/ver_legislacion.pag


Redes informáticas y su seguridad FINAL

Las redes informáticas y su seguridad 2ªavaliación

Políticas de-seguridad-informática

Políticas y procedimientos de seguridad

Búsqueda y Presentación de Documentación mediante las nuevas Tecnologías Informáticas: SEGURIDAD

políticas de seguridad informatica

Seguridad en las aplicaciones informáticas

POLÍTICAS PARA LA SEGURIDAD INFORMÁTCA Municipio de …ayuntamientozoquiapan.com/wp-content/CI/3.5 Seguridad... · 2019-04-10 · POLÍTICAS PARA LA SEGURIDAD INFORMÁTCA FECHA

Las redes informáticas y su seguridad

Redes Informáticas y su Seguridad

Políticas de Seguridad Ciudadana

POLÍTICAS DE SEGURIDAD - virtual.senati.edu.pevirtual.senati.edu.pe/curri/file_curri.php/curri/PSMD/89001531... · polÍticas de seguridad computaciÓn e informÁtica . ... realizar

Políticas de Seguridad (Ergonomía)

Seguridad en aplicaciones 2cursos.itam.mx/seguridad/modulo4/Seguridad en... · 2007-10-08 · 1 Módulo IV.-Seguridad Aplicativa Seguridad en las aplicaciones informáticas Segunda

Políticas de seguridad informática

POLÍTICAS DE SEGURIDAD DATACENTER

Redes Informáticas y su Seguridad - Gobierno de Canarias

TEMA 1: REDES. SEGURIDAD INFORMÁTICA · TEMA 1: REDES. SEGURIDAD INFORMÁTICA 1.- Redes Informáticas. Las redes informáticas son un conjunto de ordenadores y otros dispositivos,

Las redes informáticas y su seguridad 1

Manual de Políticas de Seguridad

Políticas de seguridad institución sise

MANUAL DE POLÍTICAS INFORMÁTICAS · 2018. 10. 26. · INFORMATICAS Versión: 1 Fecha Aprob.: 24/08/2015 1. GENERALIDADES 1.1. AMBITO DE APLICACIÓN Las Políticas Informáticas

Proyecto: Seguridad en redes informáticas

Redes informáticas y su seguridad Final alternativo

Las redes informáticas y su seguridad

Fundamentos de seguridad en redes informáticas

SEGURIDAD DE LA INFORMACION Políticas de seguridad

5Fundamentos para seguridad en redes informáticas

Propuesta de Políticas Informáticas para el uso y ...ribuni.uni.edu.ni/1145/1/40017.pdf · Al proponer el tema monográfico “Propuesta de Políticas Informáticas para el uso

Políticas generales de seguridad

POLÍTICAS DE SEGURIDAD Y RECOMENDACIONES

Políticas de seguridad

Seguridad ciudadana, políticas de seguridad y estrategias

La Seguridad y Sus Políticas

Seguridad y Políticas Públicas