REPBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN SUPERIOR

INSTITUTO UNIVERSITARIO DE TECNOLOGA AGROINDUSTRIAL
PNF EN INFORMATICA
COLN ESTADO TCHIRA

POLTICAS DE SEGURIDAD

Integrante:
T.S.U Jos Morales
C.I 24779739
Profesora: Lisby Mora

San Juan de Coln Julio de 2015

INTRODUCCIN

Este documento define y detalla el uso adecuado de los Sistemas de

Informacin y los datos proporcionados conjuntamente por la Seccin Caminos del
Departamento de Resistencia de materiales y Estructuras en Ingeniera (en lo
sucesivo RMEE) y el Centro Internacional de mtodos numricos en Ingeniera (en
lo sucesivo CIMNE) ; as como de las herramientas de comunicaciones, Internet y
correo electrnico principalmente, a fin de proteger al usuario y a la entidad de
situaciones que pongan en peligro los sistemas y la informacin contenida en
estos.
Esta poltica es de obligado cumplimiento para el personal de CIMNE y para el
personal de la Seccin de Caminos de RMEE en la medida en que accedan a
estos recursos y sin menoscabo de lo que dispongan las normativas en esta
materia de la propia UPC.
Tambin ser de obligado cumplimiento para todas aquellas personas fsicas,
profesionales o entidades que pudieran tener vinculacin temporal con ambas
entidades en este documento se utiliza la abreviatura RMEE-CIMNE para
referirnos al colectivo de usuarios de ambas entidades.

POLTICA DE USO ACEPTABLE DE LOS SISTEMAS DE INFORMACIN,

INTERNET Y CORREO ELECTRNICO.

POLTICA
La poltica de uso aceptable pretende facilitar y agilizar los procesos y mejorar
la calidad en la prestacin de servicios a los usuarios. La mejora de los procesos
en los Sistemas de Informacin supone regular el uso apropiado de sus
componentes y equipos, as como implantacin de aquellas medidas necesarias
para garantizar la confidencialidad de la informacin.
Para conseguir estos objetivos resulta necesario establecer polticas que
garanticen el uso efectivo y seguro de los Sistemas de Informacin y las
herramientas asociadas a estos. Este documento tiene como objetivo fijar las
normas fundamentales que deben regir el comportamiento de los empleados para
garantizar el uso adecuado de estos recursos.
Estas normas sern revisadas, actualizadas y publicadas peridicamente en
Normas poltica de uso adecuado. Es responsabilidad de los usuarios estar al
tanto del contenido de las mismas.

Normas generales aplicables al uso de los Sistemas de Informacin

Los sistemas de informacin de RMEE-CIMNE, incluyendo los programas,

aplicaciones y archivos electrnicos, pertenecen tanto a RMEE como a
CIMNE, y slo pueden utilizarse para fines relacionados con el desempeo
de las tareas que los usuarios tengan encomendadas como personal de
ambas entidades. Esta misma consideracin se aplica a la informacin

almacenada en su ordenador o la emitida o comunicada a travs de los

Sistemas de Informacin de RMEE-CIMNE.

Los sistemas de informacin y las herramientas asociadas, como el correo
electrnico y la conexin a Internet, slo podrn ser utilizados por personal
debidamente autorizado. Ser responsabilidad de cada rea definir las
tareas que conllevan acceso a tales herramientas. El uso de tales recursos
deber circunscribirse al mbito profesional con el propsito de agilizar los
trabajos de RMEE-CIMNE. No se autoriza su uso con fines personales. La
informacin desarrollada, transmitida o almacenada en los Sistemas de
Informacin de RMEE-CIMNE pertenece a RMEE y/o a CIMNE. Son de
aplicacin todas las disposiciones legales aplicables a los documentos
privados. La divulgacin de tal informacin sin autorizacin est
estrictamente

prohibida.

La

alteracin,

destruccin

distribucin

fraudulenta o malintencionada de cualquier documento en formato

electrnico propiedad de la RMEE o de CIMNE puede perjudicar
gravemente a ambas entidades y constituir una infraccin grave; en tal
caso se adoptarn las medidas disciplinarias previstas en los respectivos
convenios colectivos de ambas entidades, reservndose la entidad
perjudicada el derecho a interponer cuantas acciones legales sean

necesarias.
No est permitido la creacin de ficheros con datos personales (*) sin la
conformidad por escrito del Departamento de Sistemas, quien solicitar
autorizacin a los rganos gestores de ambas entidades, con objeto de
adoptar las medidas necesarias para asegurar la legalidad y seguridad del
tratamiento de la informacin personal. (*)Por datos personales se entiende
toda informacin que identifique a personas fsicas, por ejemplo:
fotografas, nombre y apellidos, direccin, telfono, correo electrnico,

estado civil, sexo.

Los usuarios de los sistemas de informacin deben respetar los derechos
de propiedad intelectual de los autores de las obras, programas,
aplicaciones u otros, manejadas o accedidas a travs de dicho sistema.

Los programas y recursos utilizados en RMEE-CIMNE deben tener su

correspondiente licencia en vigor o autorizacin de uso explcita para poder
ser utilizados. Dichos programas slo podrn ser instalados por personal
autorizado a tales efectos. Adems, no debern instalarse programas sin la
previa autorizacin del departamento de Sistemas, incluso cuando se trate

de programas sin coste.

Los programas y aplicaciones distribuidos por RMEE-CIMNE no podrn
reproducirse sin autorizacin o ser utilizados para fines ajenos a las

funciones y tareas encomendadas por RMEE-CIMNE.

RMEE-CIMNE, ser responsable de establecer las normas mediante las
cuales se asignan las cuentas de acceso, incluyendo las medidas de
seguridad aplicables tales como: claves secretas, contraseas, controles
de acceso a los servidores y sistemas para auditar su uso, la integridad y la

seguridad de los datos y comunicaciones que se envan.

Los usuarios de los sistemas debern cumplir con todas las normas de uso
y las relativas a la seguridad de la informacin emitidas tanto por la Seccin

Caminos de RMEE como por CIMNE, a travs de la red RMEE-CIMNE.

Cada usuario ser individualmente responsable por el manejo adecuado de

las claves de acceso o contraseas asignadas.

La correspondiente asignacin de claves de acceso no impedir que el uso
de los Sistemas de Informacin sea auditado por el personal autorizado del
Departamento de Sistemas, con el propsito de garantizar el uso apropiado

de los recursos.
El acceso a informacin o a una cuenta ajena sin autorizacin, obtenido
mediante la modificacin de privilegios de acceso o la interceptacin de
informacin en cualquier otra manera est prohibida y estar sujeto a las

medidas disciplinarias pertinentes.

El Departamento de Sistemas de RMEE-CIMNE custodiar la informacin
contenida en el sistema contra accesos no autorizados, la proteger y

definir las polticas necesarias para garantizar su integridad.

Las normas aqu establecidas deben interpretarse como complementarias

a las normas legales comnmente aplicables.

La violacin de estas normas puede conllevar la revocacin de cualquier
privilegio de uso de los Sistemas de Informacin y ser notificada al

responsable del Departamento de Sistemas Informticos, quien informar

al responsable inmediato del empleado y al responsable de Recursos

Humanos de la entidad a la que pertenezca.

Los usuarios de RMEE-CIMNE utilizarn el sistema de tickets, que podrn
encontrar en https://tickets.cimne.upc.edu, para comunicar las incidencias
informticas y realizar las solicitudes correspondientes al departamento de
Sistemas Informticos.

Normas aplicables al uso de Internet y del correo electrnico

I. Los sistemas de comunicacin y acceso a Internet de RMEE-CIMNE, debern
ser utilizados exclusivamente como una herramienta de trabajo conforme a las
normas que rigen el comportamiento del personal de RMEE-CIMNE. y no para
actividades personales.
II. Las operaciones realizadas a travs de Internet pueden generar responsabilidad
por parte de las entidades Seccin Caminos de RMEE y CIMNE. RMEE-CIMNE se
reserva el derecho a intervenir y auditar los accesos realizados por los usuarios a
la red y a Internet y el contenido de lo accedido.
III. RMEE-CIMNE establecer la asignacin de las cuentas de correo electrnico,
las medidas de seguridad aplicables, las claves de acceso y las contraseas, los
controles de acceso al servidor y el mtodo de auditora del sistema y las
comunicaciones enviadas.
IV. El sistema de correo electrnico del dominio cimne.upc.edu pertenece a
CIMNE y es parte integrante de sus Sistemas de Informacin, por lo que RMEECIMNE puede intervenir, auditar e investigar el uso adecuado del mismo. Las
cuentas estn sujetas a auditoras y revisiones sin previo aviso por el personal
autorizado del Departamento de Sistemas de la Informacin. A los usuarios con
cuentas de correo del dominio upc.edu se atendrn a lo que disponga la normativa
de UPC al respecto.
V. RMEE-CIMNE

establecer normativas en relacin al envo por correo

electrnico de documentos que contengan informacin confidencial o sensible de

RMEE-CIMNE o de los que tratan de asuntos internos que no deben ser

divulgados. De ser necesario enviar tal informacin, la misma deber ser cifrada.
En el caso de sospechar que se ha producido una interceptacin o divulgacin de
tal informacin, se deber informar de inmediato al Departamento de Sistemas de
la Informacin de manera que puedan tomar las medidas cautelares que
procedan.
Implementacin de una Poltica de Seguridad
La implementacin de medidas de seguridad, es un proceso TcnicoAdministrativo. Como este proceso debe abarcar toda la organizacin, sin
exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que
sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.
Se deber tener en cuenta que la implementacin de Polticas de Seguridad,
trae aparejados varios tipos de problemas que afectan el funcionamiento de la
organizacin. La implementacin de un sistema de seguridad conlleva a
incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como
administrativamente.
Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad
respecto de los costos administrativos y tcnicos que se generen.
Es fundamental no dejar de lado la notificacin a todos los involucrados en las
nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de
otorgar visibilidad a los actos de la administracin.
Una PSI informtica deber abarcar:

Alcance de la poltica, incluyendo sistemas y personal sobre el cual se

aplica.
Objetivos de la poltica y descripcin clara de los elementos involucrados en

su definicin.
Responsabilidad de cada uno de los servicios, recurso y responsables en
todos los niveles de la organizacin.

Responsabilidades de los usuarios con respecto a la informacin que

generan y a la que tienen acceso.

Requerimientos mnimos para la configuracin de la seguridad de los

sistemas al alcance de la poltica.

Definicin de violaciones y las consecuencias del no cumplimiento de la

poltica.
Por otra parte, la poltica debe especificar la autoridad que debe hacer que
las cosas ocurran, el rango de los correctivos y sus actuaciones que
permitan dar indicaciones sobre la clase de sanciones que se puedan
imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo

suceder; ya que no es una sentencia obligatoria de la ley.

Explicaciones comprensibles (libre de tecnicismos y trminos legales pero

sin sacrificar su precisin) sobre el porqu de las decisiones tomadas.

Finalmente, como documento dinmico de la organizacin, deben seguir un
proceso de actualizacin peridica sujeto a los cambios organizacionales
relevantes: crecimiento de la planta de personal, cambio en la
infraestructura computacional, alta y rotacin de personal, desarrollo de
nuevos servicios, cambio o diversificacin de negocios, etc.

Una proposicin de una forma de realizar una PSI adecuada puede apreciarse
en el siguiente diagrama:

Se comienza realizando una evaluacin del factor humano, el medio en donde

se desempea, los mecanismos con los cuales se cuenta para llevar a cabo la
tarea encomendada, las amenazas posibles y sus posibles consecuencias.
Luego de evaluar estos elementos y establecida la base del anlisis, se
originan un programa de seguridad, el plan de accin y las normas y
procedimientos a llevar a cabo.
Para que todo lo anterior llegue a buen fin debe realizarse un control peridico
de estas polticas, que asegure el fiel cumplimiento de todos los procedimientos
enumerados. Para asegurar un marco efectivo se realiza una auditora a los
archivos Logs de estos controles.
Con el objeto de confirmar que todo lo creado funciona en un marco real, se
realiza una simulacin de eventos y acontecimientos que atenten contra la
seguridad del sistema. Esta simulacin y los casos reales registrados generan una
realimentacin y revisin que permiten adecuar las polticas generadas en primera
instancia.
Por ltimo el Plan de Contingencia es el encargado de suministrar el respaldo
necesario en caso en que la poltica falle.
Es importante destacar que la Seguridad debe ser considerada desde la fase
de diseo de un sistema. Si la seguridad es contemplada luego de la
implementacin del mismo, el personal se enfrentar con problemas tcnicos,
humanos y administrativos muchos mayores que implicaran mayores costos para
lograr, en la mayora de los casos, un menor grado de seguridad.
"Construya la seguridad desde el principio. La mxima de que es ms caro
aadir despus de la implementacin es cierta." (1)
Julio C. Ardita menciona: "Muchas veces nos llaman cuando est todo listo,
faltan dos semanas y quieren que lo aseguremos (...) llegamos, miramos y vemos
que la seguridad es imposible de implementar. ltimamente nos llaman en el

diseo y nosotros los orientamos y proponemos las soluciones que se pueden

adoptar (...)" (2)
Queda claro que este proceso es dinmico y continuo, sobre el que hay que
adecuarse continuamente a fin de subsanar inmediatamente cualquier debilidad
descubierta, con el fin de que estas polticas no caigan en desuso.
LEGISLACIN NACIONAL E INTERNACIONAL DE DELITOS INFORMTICOS
Segn Luciano Saellas en su artculo titulado Delitos Informticos cyber
terrorismo, define Delitos Informticos como aquella conducta ilcita susceptible
de ser sancionada por el derecho penal, que hacen uso indebido de cualquier
medio informtico. En un primer momento, los pases trataron de encuadrar estos
hechos en figuras tpicas de carcter tradicional, como fraude, falsificaciones,
estafas, robo, hurto, sabotaje, etc. De esta manera establecer un criterio nico o
un concepto unificado para poder manejar un solo concepto para cada tipo de
delito.
Los pases y las organizaciones internacionales se han visto en la necesidad
de legislar sobre los delitos informticos, debido a los daos y perjuicios que le
han causado a la humanidad.
Seguridad informtica se considera entonces es la preparacin de las
instancias tcnicas de una organizacin para actuar y resguardar el efecto que
dicho incidente puede ocasionar.
En este artculo se pretende dar una visin global sobre los avances en materia
de legislacin nacional e internacional, que se ha desarrollado en esta materia.
LEGISLACIN NACIONAL
El Artculo 110 de la Constitucin de la Repblica Bolivariana de Venezuela
(2010), el Estado reconocer el inters pblico de la ciencia, la tecnologa, el
conocimiento, la innovacin y sus aplicaciones y los servicios de informacin
necesarios por ser instrumentos fundamentales para el desarrollo econmico,

social y poltico del pas, as como para la seguridad y soberana nacional. Para
el fomento y desarrollo de esas actividades, el Estado destinar recursos
suficientes y crear el sistema nacional de ciencia y tecnologa de acuerdo con la
ley. El sector privado deber aportar recursos para los mismos. El Estado
garantizar el cumplimiento de los principios ticos y legales que deben regir las
actividades de investigacin cientfica, humanstica y tecnolgica. La ley
determinar los modos y medios para dar cumplimiento a esta garanta.
El Artculo 28 de la CRBV establece que toda persona tiene el derecho de
acceder a la informacin y a los datos que sobre s misma o sobre sus bienes
consten en registros oficiales o privados, () Igualmente, podr acceder a
documentos

de

cualquier

naturaleza

que

contengan

informacin

cuyo

conocimiento sea de inters para comunidades o grupos de personas.

Por otra parte el Artculo 60 seala que toda persona tiene derecho a la
proteccin de su honor, vida privada, intimidad, propia imagen, confidencialidad y
reputacin. La ley limitar el uso de la informtica para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de
sus derechos.
A su vez, el Artculo 143 acota que los ciudadanos y ciudadanas tienen derecho
a ser informados e informadas oportuna y verazmente por la Administracin
Pblica, () Asimismo, tienen acceso a los archivos y registros administrativos,
sin perjuicio de los lmites aceptables dentro de una sociedad democrtica.
La Ley Especial Contra los Delitos Informticos (2001) tiene por Objeto la
Proteccin integral de los sistemas que utilicen tecnologas de informacin, as
como la prevencin y sancin de los delitos cometidos contra tales sistemas o
cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas
tecnologas.
A continuacin, se muestra una tabla con las sanciones establecidas por los
diferentes delitos informticos:

Art.
1

Ttulo
Objeto de la ley
Tiene por objeto la proteccin integral de los sistemas que utilicen tecnologas de
informacin.

Definiciones
Tecnologa de Informacin, Sistema, Data (Datos), Informacin, Documento,
Computador, Hardware, Firmware, Software, Programa, Seguridad, Virus, Tarjeta
Inteligente, Contrasea (Password) y Mensaje de Datos.

Extraterritorialidad
Cuando alguno de los delitos previstos en la presente ley se cometa fuera del
territorio de la Repblica.

Sanciones

Sern principales y accesorias.

5
6
7

Responsabilidad
personas jurdicas

de

Las sanciones principales concurrirn con las

accesorias y ambas podrn tambin concurrir
entre s, de acuerdo con las circunstancias
particulares del delito del cual se trate.

lasSer sancionada en los trminos previstos en

esta ley.
Prisin de 1 a 5
Multas de10 a 50 UT
Aos
Prisin de 4 a 8
Multas de400 a 800
Aos

Acceso indebido

Sabotaje o daos a sistemas

Si los efectos indicados en el
presente artculo se realizaren
mediante
la
creacin,Prisin
de 5
Multas de500 a 1000
introduccin
o
transmisina 10 Aos
intencional, por cualquier medio,
de un virus o programa anlogo.
Se aplicar la
Reduccin de la pena entre la
Favorecimiento culposo delpena
mitad y dos tercios
sabotaje o dao
correspondiente
segn el caso.

Acceso indebido o sabotaje a

Aumento de la pena tercera parte y la mitad.
sistemas

10

Posesin
prestacin
sabotaje

de
de

equipos
servicios

o
Prisin de 3 a 6
de
Multas de 300 a 600
Aos

11
12

Espionaje informtico

Prisin de 3 a 6Multas de300 a 600

Aos

Falsificacin de documentos
Cuando el agente hubiere
actuado con el fin de procurar
Aumento de la pena de un tercio y la mitad.
para s o para otro algn tipo de
beneficio.
Si del hecho resultare
perjuicio para otro.

13
14
15
16
17
18
19
20

21
22

Prisin de 3 a 6
Multas de 300 a 600
Aos

un

Aumento de la pena Mitad a dos tercios.

Prisin de 2 a 6
Multas de200 a 600
Hurto
Aos
Prisin de 3 a 7
Multas de300 a 700
Fraude
Aos
Obtencin indebida de bienesPrisin de 2 a 6
Multas de200 a 600
o servicios
Aos
Manejo fraudulento de tarjetas
Prisin de 5
inteligentes o instrumentos
Multas de500 a 1000
a 10 Aos
anlogos
Apropiacin
de
tarjetas
Prisin de 1 a 5
inteligentes o instrumentos
Multas de10 a 50
Aos
anlogos
Provisin indebida de bienes oPrisin de 2 a 6
Multas de200 a 600
servicios
Aos
Posesin de equipo paraPrisin de 3 a 6
Multas de300 a 600
falsificaciones
Aos
Violacin de la privacidad de la
Prisin de 2 a 6 Multas de 200 a 600
data o informacin de carcter
Aos
personal
Si como consecuencia de los
hechos anteriores resultare unAumento de la pena de un tercio a la mitad.
perjuicio para el titular de la data
o informacin o para un tercero.
Violacin de la privacidad dePrisin de 2 a 6Multas de 200 a 600
las comunicaciones.
Aos
Revelacin indebida de data oPrisin de 2 a 6Multas de 200 a 600
informacin
de
carcterAos
personal
Si la revelacin, difusin o cesin
se hubieren realizado con un fin Aumento de la pena de un tercio a la mitad.
de lucro o si resultare algn
perjuicio para otro.

23
24
25
26

Difusin o exhibicin dePrisin

material pornogrfico
Aos
Exhibicin pornogrfica dePrisin
nios o adolescentes
Aos
Apropiacin
de
propiedadPrisin
intelectual
Aos
Prisin
Oferta engaosa
Aos

de 2 a 6
Multas de 200 a 600
de 4 a 8
Multas de 400 a 800
de 1 a 5
Multas de 100 a 500
de 1 a 5
Multas de 100 a 500

Entre los primeros delitos informticos que aquejan al venezolano, hoy da

figuran los financieros. La clonacin de tarjetas de crdito y dbito y la obtencin
de informacin de las cuentas, ha generado en los ltimos aos prdidas
millonarias.
La pornografa infantil es el segundo con mayor nmero de denuncias. La
estafa electrnica ofreciendo productos falsos por internet, es otro de los delitos
con mayor frecuencia.

Sumndose: el hacking, cracking y phising que son quienes, a distancia, violan

la seguridad de otras computadoras.
En julio y agosto 2011 fueron hackeadas las cuentas de twitter de varias
personalidades pblicas venezolanas.
El Centro Nacional de Informtica Forense (CENIF), es un laboratorio de
informtica forense para la adquisicin, anlisis, preservacin y presentacin de
las evidencias relacionadas a las tecnologas de informacin y comunicacin, con
el objeto de prestar apoyo a los cuerpos de investigacin judicial rganos y entes
del Estado que as lo requieran.
LEGISLACIN INTERNACIONAL
Muchos son los problemas que han surgido a nivel internacional en materia de
delincuencia informtica. Tradicionalmente se ha considerado en todos los pases

el principio de territorialidad, que consiste en aplicar sanciones penales cuando el

delito ha sido cometido dentro del territorio nacional, pero, en el caso del delito
informtico, la situacin cambia porque el delito pudo haberse cometido desde
cualquier otro pas, distinto a donde se materializa el dao.
Debido a situaciones como las antes expuestas, los pases se vieron en la
necesidad de agruparse y en primer lugar definir algunos trminos cibernticos
que pudieran permitir la unificacin de criterios en esta materia. As, se le
asignaron nombres conocidos en materia de delitos tradicionales, para adaptarlos
a la informtica; tales como: hurto, sabotaje, robo, espionaje, estafa, fraude, etc.
Esta situacin cada vez ms frecuente, dio pie a que distintas organizaciones
internacionales, tomaran la iniciativa de organizarse y establecer pautas o
estndares mnimos, tal es el caso de la Organizacin de Cooperacin y
Desarrollo Econmico (OCDE), que segn explica Acurio (2006), tard tres aos,
desde 1983 hasta 1986 en publicar un informe titulado Delitos de Informtica:
anlisis de la normativa jurdica, donde se recomendaba una lista mnima de
ejemplos de uso indebido que cada pas podra prohibir y sancionar con leyes
penales especiales que promulgaran para tal fin.
Esa lista mnima de delitos informticos era como sigue:

Fraude y falsificacin informticos

Alteracin de datos y programas de computadora
Sabotaje informtico
Acceso no autorizado
Interceptacin no autorizada y reproduccin no autorizada de un programa

de computadora protegido.
Posteriormente, la Comisin Poltica de Informacin Computadoras y
Comunicacin recomend que se instituyesen protecciones penales contra
otros usos indebidos. Se trataba de una lista optativa o facultativa, que
inclua entre otros aspectos, los siguientes:

Espionaje informtico

Utilizacin no autorizada de una computadora

Utilizacin no autorizada de un programa de computadora protegido

Robo de secretos comerciales y acceso o empleo no autorizado de

sistemas de computadoras.
Adicionalmente, el Comit Especial de Expertos en Delitos Informticos,
adscritos al Comit Europeo para los problemas de la Delincuencia, se

dedic a examinar temas como:

La proteccin de la esfera personal
Las Victimas
La posibilidad de prevencin
Procedimiento (investigacin y confiscacin internacional de bancos de
datos y la cooperacin internacional en la investigacin y represin del
delito informtico).

De igual manera, la Organizacin de las Naciones Unidas (ONU), en el Manual

de la ONU para la Prevencin y Control de Delitos Informticos seala, cuando el
problema se eleva a la escena internacional, se magnifican los inconvenientes y
las insuficiencias, por cuanto los delitos informtico constituyen una nueva forma
de crimen transnacional y su combate requiere de una eficaz cooperacin
internacional.
Otra organizacin internacional que se dedic a tratar este aspecto de la
seguridad informtica, es la Asociacin Internacional de Derecho Penal, que
adopt diversas recomendaciones respecto a los delitos informticos. En la
medida en que el derecho penal tradicional no sea suficiente, deber promoverse
la modificacin de la definicin de los delitos existentes o la creacin de otros
nuevos.
Seala como delitos, entre otras:

El trfico con contraseas informticas obtenidas por medios inapropiados

Distribucin de virus o de programas similares
La Organizacin de Estados Americanos (OEA), entre las estrategias de

seguridad ciberntica, demostr la gravedad de las amenazas a la seguridad

ciberntica de los sistemas de informacin, las infraestructuras esenciales y las
economas en todo el mundo.

En el contexto internacional, Quintero establece que los pases que cuentan

con una legislacin apropiada. Son: Chile, Gran Bretaa, Estados Unidos, Francia,
Espaa, Alemania, China, Holanda y Austria
Inglaterra: debido a un caso de hacking en 1991, comenz a regir en este pas
la Ley de Abusos Informticos. Mediante esta ley el intento, exitoso o no, de alterar
datos informticos, es penado con hasta cinco aos de prisin o multas.
China: toda persona implicada en actividades de espionaje, que robe,
descubra, compre o divulgue secretos de Estado desde la red, podr ser
condenada con penas que van de 10 aos de prisin hasta la muerte.

Holanda: entrar en una computadora en la cual no se tiene acceso legal ya es

delito y puede ser castigado hasta con seis meses de crcel. Cambiar, agregar o
borrar datos puede ser penalizado hasta con dos aos de prisin pero, si se hizo
va remota aumenta a cuatro. Copiar archivos de la mquina hackeada o procesar
datos en ella tambin conlleva un castigo de cuatro aos en la crcel. El dao a la
informacin o a un sistema de comunicaciones puede ser castigado con crcel de
seis meses a quince aos.
Evaluacin de Riesgos
El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de
que ocurran cosas negativas.
Se debe poder obtener una evaluacin econmica del impacto de estos
sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin de la
informacin en anlisis, versus el costo de volverla a producir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno de los
problemas posibles. De esta forma se pueden priorizar los problemas y su coste
potencial desarrollando un plan de accin adecuado.

Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con

los costos en los que se incurren se obtengan beneficios efectivos. Para esto se
deber identificar los recursos (hardware, software, informacin, personal,
accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto.
La evaluacin de riesgos y presentacin de respuestas debe prepararse de
forma personalizada para cada organizacin; pero se puede presupone algunas
preguntas que ayudan en la identificacin de lo anteriormente expuesto (1):
"Qu puede ir mal?"
"Con qu frecuencia puede ocurrir?"
"Cules seran sus consecuencias?"
"Qu fiabilidad tienen las respuestas a las tres primeras preguntas?"
"Se est preparado para abrir las puertas del negocio sin sistemas, por un da,
una semana, cunto tiempo?"
"Cul es el costo de una hora sin procesar, un da, una semana...?"
"Cunto, tiempo se puede estar off-line sin que los clientes se vayan a la
competencia?"
"Se tiene forma de detectar a un empleado deshonesto en el sistema?"
"Se tiene control sobre las operaciones de los distintos sistemas?"
"Cuantas personas dentro de la empresa, (sin considerar su honestidad), estn
en condiciones de inhibir el procesamiento de datos?"
"A que se llama informacin confidencial y/o sensitiva?"
"La informacin confidencial y sensitiva permanece as en los sistemas?"
"La seguridad actual cubre los tipos de ataques existentes y est preparada para
adecuarse a los avances tecnolgicos esperados?"

"A quien se le permite usar que recurso?"

"Quin es el propietario del recurso? y quin es el usuario con mayores
privilegios sobre ese recurso?"
"Cules sern los privilegios y responsabilidades del Administrador vs. la del
usuario?"
"Cmo se actuar si la seguridad es violada?"
Una vez obtenida la lista de cada uno de los riesgos se efectuar un resumen
del tipo:

Tipo de Riesgo

Factor

Robo de hardware

Alto

Robo de informacin

Alto

Vandalismo

Medio

Fallas en los equipos

Medio

Virus Informticos

Medio

Equivocaciones

Medio

Accesos no autorizados

Medio

Fraude

Bajo

Fuego

Muy Bajo

Terremotos

Muy Bajo

Segn esta tabla habr que tomar las medidas pertinentes de seguridad para
cada caso en particular, cuidando incurrir en los costos necesarios segn el factor
de riesgo representado.

Niveles de riesgo
Identificacin de Amenaza
Evaluacin de Costos

Estrategia de Seguridad

Para establecer una estrategia adecuada es conveniente pensar una poltica de

proteccin en los distintos niveles que esta debe abarcar y que no son ni mas ni
menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que
existe entre estos factores.
En cada caso considerado, el plan de seguridad debe incluir una estrategia
Proactiva y otra Reactiva (1).
La Estrategia Proactiva (proteger y proceder) o de previsin de ataques es un
conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos
vulnerables existentes en las directivas de seguridad y a desarrollar planes de
contingencia. La determinacin del dao que un ataque va a provocar en un
sistema y las debilidades y puntos vulnerables explotados durante este ataque
ayudar a desarrollar esta estrategia.
La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque
ayuda al personal de seguridad a evaluar el dao que ha causado el ataque, a
repararlo o a implementar el plan de contingencia desarrollado en la estrategia
Proactiva, a documentar y aprender de la experiencia, y a conseguir que las
funciones comerciales se normalicen lo antes posible.
Con respecto a la postura que puede adoptarse ante los recursos compartidos:
Lo que no se permite expresamente est prohibido: significa que la
organizacin

proporciona

una

serie

de

servicios

bien

determinados

documentados, y cualquier otra cosa est prohibida.

Lo que no se prohbe expresamente est permitido: significa que, a menos que
se indique expresamente que cierto servicio no est disponible, todos los dems s
lo estarn.
Estas posturas constituyen la base de todas las dems polticas de seguridad y
regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a
describir qu acciones se toleran y cules no.

Actualmente, y "gracias" a las, cada da ms repetitivas y eficaces, acciones

que atentan contra los sistemas informticos los expertos se inclinan por
recomendar la primera poltica mencionada.

Implementacin
Auditora y Control
Plan de Contingencia
Equipos de Respuesta a Incidentes
Backups
Pruebas

CONCLUSIN
Al realizar este trabajo, he podido comprobar que cada vez es ms
evidente la necesidad de centralizar las polticas de seguridad informtica
para cubrir virtualmente todo lo que sucede en dicho campo.
Afortunadamente, se ha logrado que muchas organizaciones empiecen a
entender la importancia de las de este tipo de seguridad, porque a su
alrededor existen proyectos que dependen de manera crtica de un sistema
con reglas claramente articuladas. Sin este tipo de polticas informticas, no
se puede garantizar que los sistemas informticos sean operados de
manera segura.
En muchsimos casos la mejor herramienta de seguridad somos
nosotros y nuestro sentido comn, ya que se ha podido comprobar que los
descuidos o imprudencias son la principal fuente de las brechas de
seguridad, tanto desde el punto de vista del usuario personal como de las
empresas.
Tambin es evidente que se debe pensar en la forma de castigar dichos
abusos en contra de la seguridad de la informacin, y como as tambin,
algo mucho ms importante como lograr probar el delito. Este sigue siendo
el principal inconveniente a la hora de legislar por el carcter intangible de
la informacin.

BIBLIOGRAFA

Acurio S. (2006) Delitos Informticos

Constitucin de la Repblica Bolivariana de Venezuela (2010) Publicado en
Gaceta Oficial 5453 de fecha 24 de marzo 2000.
Fonseca A. (S/F) Articulo Auditoria Forense aplicada a la Tecnologa
Ley Epecial Contra Delitos Informticos (2001) Publicado en Gaceta Oficial
37.313 de fecha 30 de octubre 2001
Quintero R (S/F) Articulo Delitos Informticos
Saellas (S/F) Articulo Delitos Informticos ciberterrorismo
Telles J Derecho Informtico
http://www.oas.org/juridico/spanish/docu6.htm
www.oas.org/es
www.suscerte.gob.ve/index.php/es/seguridad-de-la-informacion/cenif
www.gobiernoenlinea.ve/legislacion-view/view/ver_legislacion.pag