c2cm23-eq2-política, derecho, norma y legislación informática-presentacion

Herrera López Ivan

Mendoza González Julio Alberto

Ponce Becerra Jesús Emmanuel

Vallejo Santos Brandon Kaleb

Se entiende por política informática a los

planes, medidas y acciones que

indique puntos principales en el ámbito

de sistemas para el tratamiento de la

información la protección y la seguridad

de los datos y medios informáticos.

Se encarga de gestionar procesos de

información.

Optimizar recursos para la eficiencia de

sistemas informáticos.

Origina el desarrollo de la

infraestructura.

¿Quienes tiene políticas informáticas?

El establecimiento de una política

informática es obligatorio para:

Las dependencias y entidades de

gobierno pertenecientes al poder

ejecutivo estatal.

Servidores públicos que resguardan

bienes informáticos o hagan uso de las

tecnologías de información que sean

propiedad del gobierno.

Las políticas deben promover

La confidencialidad de datos

personales.

La protección jurídica de la información

producida por las instituciones del poder

ejecutivo.

Todos los sistemas y bases de datos que

manejen información personal

comprendidos en la Ley de Transparencia

y acceso la información publica

gubernamental deberán contar con claves

de acceso y medidas de seguridad lógica.

El problema es la vulnerabilidad de los

sistemas de computo que ha

aumentado en los últimos años

Confidencialidad

Una persona que proporciona

información acerca de ella a cualquier

departamento o empresa tiene el

derecho a exigir a este departamento de

no divulgar la información que le fue

proporcionada

Los controles de sistemas aseguran el

desarrollo apropiado de los sistemas de

información

En estos momentos de configuración e

implantación de los nuevos medios

informáticos es imprescindible fomentar una

conciencia social de control, a través de la

participación, de estos nuevos medios.

Normas de las Políticas de

Seguridad Informática Las normas son un conjunto de lineamientos, reglas,

recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red organizacional.

Una norma de seguridad establece unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Son por tanto, declaraciones a satisfacer. Una norma debe ser clara, concisa y no ambigua en su interpretación. En cuanto a la estructura de un documento normativo, se recomienda estructurarlo en los siguientes apartados:

Objetivo: declaración del propósito o intención de la redacción del documento y de los objetivos de seguridad relacionados con la política que se intentan satisfacer.

Definiciones: Se indican las definiciones de aquellos términos que aparezcan en la norma y que pudieran ofrecer dificultad para su comprensión. Es una forma de eliminar la ambigüedad en la interpretación al establecer el significado en la norma de los términos utilizados.

Responsables del cumplimiento: se define dentro de la Organización qué departamento o responsable velará por el cumplimiento de la norma y revisará su correcta implantación o cumplimiento.

Incumplimiento: se establecen las consecuencias que se derivarán del incumplimiento de la norma cuando éste sea detectado o las acciones disciplinarias que ocasionarán.

Normas a aplicar: debe contener los requisitos de seguridad que se declaran de obligado cumplimiento. Podrán agruparse los requisitos por categorías, estableciendo apartados donde se agrupen los requisitos relacionados. También los enunciados pueden numerarse para poder posteriormente referenciarlos. Documentos relacionados: se indican otros documentos del marco normativo que pudieran estar relacionados con el cumplimiento de la norma.

En cuanto a las recomendaciones en la

redacción del documento, se debe

procurar que:

El cumplimiento debe ser factible a nivel organizativo y técnico.

La redacción debe ser clara y resumida.

Las afirmaciones realizadas dentro del apartado “Normas a aplicar” deben ser taxativas, no ambiguas y deben permitir la revisión o auditoría del cumplimiento del hecho reglado.

El tiempo verbal de las normas debe ser presente del indicativo.

La divulgación se realizará entre las áreas afectadas o implicadas en el cumplimiento.

Su aprobación debe estar formalizada, indicando los plazos de vigencia y de revisión de la norma. Debe estar bajo un control de versiones.

Con el fin de proporcionar un marco de

Gestión de la Seguridad de Información

utilizable por cualquier tipo de

organización, independientemente de su

tamaño o actividad, se ha creado un

conjunto de estándares bajo el nombre

de ISO/IEC 27000.

Ley Orgánica 15/99 de Protección de Datos de Carácter Personal

Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI)

Ley 32/2003, general de telecomunicaciones

Ley 59/2003 de firma electrónica

R.D.L, 1/1996 Ley de Propiedad Intelectual

Ley 17/2001 de Propiedad Industrial

A semejanza de otras normas ISO, la 27000 es realmente una

serie de estándares. A continuación se incorpora una relación

con la serie de normas ISO 27000 y una descripción de las

más significativas:

UNE-ISO 27001

Esta norma es la definición de los procesos de gestión de la seguridad, por lo tanto, es una especificación para un SGSI y, en este momento, es la única norma Certificable, dentro de la familia ISO 27000.

ISO 27002

La ISO 27002 viene a ser un código de buenas prácticas en el que se recoge un catálogo de los controles de seguridad y una guía para la implantación de un SGSI.

Cada uno de los dominios conforma un capítulo de la norma y se

centra en un determinado aspecto de la seguridad de la

información. En el siguiente dibujo se muestra la distribución de

dichos dominios y el aspecto de seguridad que cubren:

ISO 27002 (documentación)

La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan

detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los

objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado

debe quedar perfectamente documentada.

La documentación que se genera con la implantación del SGSI se estructurará de la siguiente forma:

Legislación Informática

Se define como un conjunto de

ordenamientos jurídicos creados para

regular el tratamiento de la información.

Las legislaciones de varios países han

promulgado normas jurídicas que se

han puesto en vigor dirigidas a

proteger la utilización abusiva de la

información

Delito informático

Un delito informático o ciberdelicuencia

es toda aquella acción típica, antijurídica

y culpable que se da por vías

informáticas o que tiene como objetivo

destruir y dañar ordenadores, medios

electrónicos y redes de Internet.

Crímenes

Spam

Fraude

Contenido obsceno u ofensivo

Hostigamiento o acoso

Trafico de drogas