Repblica Bolivariana de Venezuela

Ministerio del Poder Popular para la Educacin Universitaria Ciencia y Tecnologa

Instituto Universitario Tecnologa Agro-Industrial

Ext (Zona - Norte)

Polticas de SeguridadIng. Mora Lisby.

AUTOR :Barrera Leidy C.I. 20.880.039Trayecto: IVTurno: TardeSan Juan de Coln, Julio de 2015INTRODUCCINEn este presente trabajo se dice que la seguridad es un factor imprescindible en todos los mbitos profesionales y en la informtica, es especialmente importante porque en los ordenadores es donde est almacenada la informacin confidencial de una empresa o de cualquier otro particular

La seguridad informtica consiste en asegurar que los recursos de un sistema de informacin (material informtico o programas) de una organizacin, sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida, as como, su modificacin slo sea posible a las personas que se encuentren autorizadas con sus lmites de establecidos. Las polticas de seguridad informtica tienen por objeto establecer las medidas de ndole tcnica y de organizacin, necesarias para garantizar la seguridad de las tecnologas de informacin (equipos de cmputo, sistemas de informacin, redes (Voz y Datos)) y personas que interactan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cmputo de las empresas. Esta poltica es aplicable a todos los empleados, contratistas, consultores, eventuales y otros empleados de Las Empresas, incluyendo a todo el personal externo que cuenten con un equipo conectado a la Red. Esta poltica es aplicable tambin a todo el equipo y servicios propietarios o arrendados que de alguna manera tengan que utilizar local o remotamente el uso de la Red o recursos tecnolgicos de Las Empresas as como de los servicios e intercambio de archivos y programas. La elaboracin de las Polticas de Seguridad estn fundamentadas bajo la norma ISO/IEC 17799, han sido planteadas, analizadas y revisadas con el fin de no contravenir con las garantas bsicas de los usuarios, y no pretende ser una camisa de fuerza, y ms bien muestra una buena forma de operar los sistemas con seguridad, respetando en todo momento estatutos y reglamentos internos de Las Empresas.

Control de acceso (aplicaciones, base de datos, rea del Centro de Cmputo, sedes de

Las Empresas filiales).

Resguardo de la Informacin.

Clasificacin y control de activos.

Gestin de las redes.

Gestin de la continuidad del negocio.

Seguridad de la Informacin en los puestos de trabajo.

Controles de Cambios.

Proteccin contra intrusin en software en los sistemas de informacin.

Monitoreo de la seguridad.

Identificacin y autenticacin.

IMPLEMENTACIN DE UNA POLTICA DE SEGURIDAD

La implementacin de medidas de seguridad, es un proceso Tcnico-Administrativo. Como este proceso debe abarcar toda la organizacin, sin exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria. Se deber tener en cuenta que la implementacin de Polticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organizacin. La implementacin de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como administrativamente.

Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y tcnicos que se generen. Es fundamental no dejar de lado la notificacin a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de otorgar visibilidad a los actos de la administracin.

Una PSI informtica deber abarcar:

Alcance de la poltica, incluyendo sistemas y personal sobre el cual se aplica.

Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin.

Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organizacin.

Responsabilidades de los usuarios con respecto a la informacin que generan y a la que tienen acceso.

Requerimientos mnimos para la configuracin de la seguridad de los sistemas al alcance de la poltica.

Definicin de violaciones y las consecuencias del no cumplimiento de la poltica.

Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo suceder; ya que no es una sentencia obligatoria de la ley.

Es importante destacar que la Seguridad debe ser considerada desde la fase de diseo de un sistema. Si la seguridad es contemplada luego de la implementacin del mismo, el personal se enfrentar con problemas tcnicos, humanos y administrativos.LEGISLACION NACIONAL E INTERNACIONAL DE LOS DELITOS

INFORMTICOS

El delito informtico implica actividades criminales que los pases han tratado de encuadrar en figuras tpicas de carcter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las tcnicas informticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulacin por parte del derecho. Se considera que no existe una definicin formal y universal de delito informtico pero se han formulado conceptos respondiendo a realidades nacionales concretas: "no es labor fcil dar un concepto sobre delitos informticos, en razn de que su misma denominacin alude a una situacin muy especial, ya que para hablar de "delitos" en el sentido de acciones tpicas, es decir tipificadas o contempladas en textos jurdicos penales, se requiere que la expresin "delitos informticos" est consignada en los cdigos penales, lo cual en nuestro pas, al igual que en otros muchos no han sido objeto de tipificacin an."Tipos de Delitos Informticos

La Organizacin de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informticos:

1. Fraudes cometidos mediante manipulacin de computadoras

Manipulacin de los datos de entrada: este tipo de fraude informtico conocido tambin como sustraccin de datos, representa el delito informtico ms comn ya que es fcil de cometer y difcil de descubrir.

La manipulacin de programas: consiste en modificar los programas existentes en el sistema o en insertar nuevos programas o rutinas. Es muy difcil de descubrir y a menudo pasa inadvertida debido a que el delincuente tiene conocimientos tcnicos concretos de informtica y programacin.

Manipulacin de los datos de salida: se efecta fijando un objetivo al funcionamiento del sistema informtico. El ejemplo ms comn es el fraude del que se hace objeto a los cajeros automticos mediante la falsificacin de instrucciones para la computadora en la fase de adquisicin de datos.

Fraude efectuado por manipulacin informtica: aprovecha las repeticiones automticas de los procesos de cmputo. Es una tcnica especializada que se denomina "tcnica del salchichn" en la que "rodajas muy finas" apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Se basa en el principio de que 10,66 es igual a 10,65 pasando 0,01 centavos a la cuenta del ladrn n veces

2. Manipulacin de los datos de entrada

Como objeto: cuando se alteran datos de los documentos almacenados en forma computarizada.

Como instrumento: las computadoras pueden utilizarse tambin para efectuar falsificaciones de documentos de uso comercial.

3. Daos o modificaciones de programas o datos computarizados

Sabotaje informtico: es el acto de borrar, suprimir o modificar sin autorizacin o datos de computadora con intencin de obstaculizar el funcionamiento normal del sistema.

Acceso no a autorizado a servicios y sistemas informticos: estos acceso se pueden

realizar por diversos motivos, desde la simple curiosidad hasta el sabotaje o espionaje informtico.

Reproduccin no autorizada de programas informticos de proteccin legal: esta puede entraar una prdida econmica sustancial para los propietarios legtimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el trfico de esas reproducciones no autorizadas a travs de las redes de telecomunicaciones modernas. Al respecto, se considera, que la reproduccin no autorizada de programas informticos no es un delito informtico debido a que el bien jurdico a tutelar es la propiedad intelectual.Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso Internacional de Derecho ha propuesto todas las formas de conductas lesivas de la que puede ser objeto la informacin.

Ellas son:

"Fraude en el campo de la informtica.

Falsificacin en materia informtica.

Sabotaje informtico y daos a datos computarizados o programas informticos.

Acceso no autorizado.

Intercepcin sin autorizacin.

Reproduccin no autorizada de un programa informtico protegido.

Espionaje informtico.

Uso no autorizado de una computadora.

Trfico de claves informticas obtenidas por medio ilcito.

Distribucin de virus o programas delictivos."

1 Sujeto Activo

Se llama as alas personas que cometen los delitos informticos. Son aquellas que poseen ciertas caractersticas que no presentan el denominador comn de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informticos y generalmente por su situacin laboral se encuentran en lugares estratgicos donde se maneja informacin de carcter sensible, o bien son hbiles en el uso de los sistemas informatizados, an cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisin de este tipo de delitos.

Con el tiempo se ha podido comprobar que los autores de los delitos informticos son muy diversos y que lo que los diferencia entre s es la naturaleza de los delitos cometidos. De esta forma, la persona que "entra" en un sistema informtico sin intenciones delictivas es muy diferente del empleado de una institucin financiera que desva fondos de las cuentas de sus clientes.

El nivel tpico de aptitudes del delincuente informtico es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informtica en tanto que otros aducen que los posibles delincuentes informticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnolgico, caractersticas que pudieran encontrarse en un empleado del sector de procesamiento de datos.

Sin embargo, teniendo en cuenta las caractersticas ya mencionadas de las personas que cometen los delitos informticos, estudiosos en la materia los han catalogado como delitos de "cuello blanco" trmino introducido por primera vez por el criminlogo norteamericano Edwin Sutherland en el ao de 1943.

La "cifra negra" es muy alta; no es fcil descubrirlos ni sancionarlos, en razn del poder econmico de quienes lo cometen, pero los daos econmicos son altsimos; existe una gran indiferencia de la opinin pblica sobre los daos ocasionados a la sociedad. A los sujetos que cometen este tipo de delitos no se considera delincuentes, no se los segrega, no se los desprecia, ni se los desvaloriza; por el contrario, es considerado y se considera a s mismo "respetable". Estos tipos de delitos, generalmente, son objeto de medidas o sanciones de carcter administrativo y no privativo de la libertad.

2 Sujeto Pasivo

Este,la vctima del delito, es el ente sobre el cual recae la conducta de accin u omisin que realiza el sujeto activo. Las vctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, etc. que usan sistemas automatizados de informacin, generalmente conectados a otros.

El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los delitos informticos, ya que mediante l podemos conocer los diferentes ilcitos que cometen los delincuentes informticos. Es imposible conocer la verdadera magnitud de los delitos informticos, ya que la mayor parte no son descubiertos o no son denunciados a las autoridades responsables y si a esto se suma la falta de leyes que protejan a las vctimas de estos delitos; la falta de preparacin por parte de las autoridades para comprender, investigar y aplicar el tratamiento jurdico adecuado; el temor por parte de las empresas de denunciar este tipo de ilcitos por el desprestigio que esto pudiera ocasionar a su empresa y las consecuentes prdidas econmicas, trae como consecuencia que las estadsticas sobre este tipo de conductas se mantenga bajo la llamada "cifra negra".

Por lo anterior, se reconoce que para conseguir una prevencin efectiva de la criminalidad informtica se requiere, en primer lugar, un anlisis objetivo de las necesidades de proteccin y de las fuentes de peligro. Una proteccin eficaz contra la criminalidad informtica presupone ante todo que las vctimas potenciales conozcan las correspondientes tcnicas de manipulacin, as como sus formas de encubrimiento.

En el mismo sentido, podemos decir que con:

la divulgacin de las posibles conductas ilcitas derivadas del uso de las computadoras;

alertas a las potenciales vctimas, para que tomen las medidas pertinentes a fin de prevenir la delincuencia informtica;

creacin de una adecuada legislacin que proteja los intereses de las vctimas;

una eficiente preparacin por parte del personal encargado de la procuracin, administracin y la imparticin de justicia para atender e investigar estas conductas ilcitas; se estara avanzando mucho en el camino de la lucha contra la delincuencia informtica, que cada da tiende a expandirse ms.

Adems, se debe destacar que los organismos internacionales han adoptado resoluciones similares en el sentido de que educando a la comunidad de vctimas y estimulando la denuncia de los delitos, se promovera la confianza pblica en la capacidad de los encargados de hacer cumplir la ley y de las autoridades judiciales para detectar, investigar y prevenir los delitos informticos.

Legislacin Nacional

En los ltimos aos se ha perfilado en el mbito internacional un cierto consenso en las valoraciones poltico-jurdicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales e internacionales. La ONU seala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y los delitos informticos se constituyen en una forma de crimen transnacional. En este sentido habr que recurrir a aquellos tratados internacionales de los que nuestro pas es parte y que, en virtud del Artculo 75 inc. 22 de la Constitucin Nacional reformada en 1994, tienen rango constitucional.

Argentina tambin es parte del acuerdo que se celebr en el marco de la Ronda Uruguay del Acuerdo General de Aranceles Aduaneros y Comercio, que en su artculo 10, relativo a los programas de ordenador y compilaciones de datos, establece que:

este tipo de programas, ya sean fuente u objeto, sern protegidos como obras literarias de conformidad con el Convenio de Berna, de julio 1971, para la Proteccin de Obras Literarias y Artsticas;

las compilaciones de datos posibles de ser legibles sern protegidos como creaciones de carcter intelectual y que;

para los casos de falsificacin dolosa de marcas de fbrica o de comercio o de piratera lesiva del derecho de autor a escala comercial se establecern procedimientos y sanciones penales adems de que, " los recursos disponibles comprendern la pena de prisin y/o la imposicin de sanciones pecuniarias suficientemente disuasorias"

El mayor inconveniente es que no hay forma de determinar fehacientemente cul era el estado anterior de los datos, puesto que la informacin en estado digital es fcilmente adulterable. Por otro lado, aunque fuera posible determinar el estado anterior, sera difcil determinar el valor que dicha informacin tena.

El problema surge en que los datos almacenados tienen el valor que el cliente o "dueo" de esos datos le asigna (y que razonablemente forma parte de su patrimonio). Esto, desde el punto de vista legal es algo totalmente subjetivo. Son bienes intangibles, donde solo el cliente puede valorar los "unos y ceros" almacenados.

As, las acciones comunes de hurto, robo, dao, falsificacin, etc. (art. 162 del Cdigo Penal) que hablan de un apoderamiento material NO pueden aplicarse a los datos almacenados por considerarlos intangibles.

Hablar de estafa (contemplada en el art. 172 del cdigo penal) no es aplicable a una mquina porque se la concibe como algo que no es susceptible de caer en error, todo lo contrario a la mente humana.

En funcin del cdigo penal, se considera que entrar en un domicilio sin permiso o violar correspondencia constituyen delitos (art. 153). Pero el acceso a una computadora, red de computadoras o medios de transmisin de la informacin (violando un cable coaxil por ejemplo) sin autorizacin, en forma directa o remota, no constituyen un acto penable por la justicia, aunque s el dao del mismo. La mayor dificultad es cuantificar el delito informtico. Estos pueden ser muy variados: reducir la capacidad informativa de un sistema con un virus o un caballo de Troya, saturar el correo electrnico de un proveedor con infinidad de mensajes, etc. Pero Cul de ellos es ms grave?

Si se considera Internet, el problema se vuelve an ms grave ya que se caracteriza por ser algo completamente descentralizado. Desde el punto de vista del usuario esto constituye un beneficio, puesto que no tiene ningn control ni necesita autorizacin para acceder a los datos. Sin embargo, constituye un problema desde el punto de vista legal. Principalmente porque la leyes penales son aplicables territorialmente y no puede pasar las barreras de los pases. La facilidad de comunicacin entre diversos pases que brinda la telemtica dificulta la sancin de leyes claras y eficaces para castigar las intrusiones computacionales.

Si ocurre un hecho delictivo por medio del ingreso a varias pginas de un sitio distribuidas por distintos pases: Qu juez ser el competente en la causa?. Hasta qu punto se pueden regular los delitos a travs de Internet sabiendo que no se puede aplicar las leyes en forma extraterritorial?

Ver una pantalla con informacin, Es un robo?. Ante esta pregunta Julio C. Ardita (2) responde "(...) si, desde el punto de vista del propietario, si es informacin confidencial y/o personal es delito porque se viol su privacidad". Si un intruso salta de un satlite canadiense a una computadora en Taiwan y de all a otra alemana Con las leyes de qu pas se juzgar? Lo mencionado hasta aqu no da buenas perspectivas para la seguridad de los usuarios (amparo legal) en cuanto a los datos que almacenan. Pero esto no es tan as, puesto que si la informacin es confidencial la misma tendr, en algn momento, amparo legal.

Por lo pronto, en febrero de 1997 se sancion la ley 24.766 por la que se protege la informacin confidencial a travs de acciones penales y civiles, considerando informacin confidencial aquella que cumple los siguientes puntos:

Es secreta en el sentido que no sea generalmente conocida ni fcilmente accesible para personas introducidas en los crculos en que normalmente se utiliza el tipo de informacin.

Tenga valor comercial para ser secreta. Se hayan tomado medidas necesarias para mantenerla secreta, tomadas por la persona que legtimamente la controla.

Por medio de esta ley la sustraccin de disquetes, acceso sin autorizacin a una red o computadora que contenga informacin confidencial ser sancionado a travs de la pena de violacin de secretos.

En cuanto a la actividad tpica de los hackers, las leyes castigan el hurto de energa elctrica y de lneas telefnicas, aunque no es fcil de determinar la comisin del delito. La dificultad radica en establecer dnde se cometi el delito y quin es el damnificado.

Los posibles hechos de hacking se encuadran en la categora de delitos comunes como defraudaciones, estafas o abuso de confianza, y la existencia de una computadora no modifica el castigo impuesto por la ley.

La Divisin Computacin de la Polica Federal no realiza acciones o investigaciones preventivas (a modo de las organizaciones estadounidenses) acta en un aspecto pericial cuando el operativo ya est en marcha.

Este vaco en la legislacin argentina se agrava debido a que las empresas que sufren ataques no los difunden por miedo a perder el prestigio y principalmente porque no existen conceptos claros para definir nuevas leyes jurdicas en funcin de los avances tecnolgicos.

Estos problemas afectan mucho a la evolucin del campo informtico de la argentina, generando malestar en empresas, usuarios finales y toda persona que utilice una computadora como medio para realizar o potenciar una tarea. Los mismos se sienten desprotegidos por la ley ante cualquier acto delictivo.

Como conclusin, desde el punto de vistasocial, es conveniente educar y ensear la correcta utilizacin de todas las herramientas informticas, impartiendo conocimientos especficos acerca de las conductas prohibidas; no solo con el afn de protegerse, sino para evitar convertirse en un agente de dispersin que contribuya, por ejemplo, a que un virus informtico siga extendindose y alcance una computadora en la que, debido a su entorno crtico, produzca un dao realmente grave e irreparable.

Desde la pticalegal, y ante la inexistencia de normas que tipifiquen los delitos cometidos a travs de la computadora, es necesario y muy importante que la ley contemple accesos ilegales a las redes como a sus medios de transmisin. Una futura reforma debera prohibir toda clase de acceso no autorizado a un sistema informtico, como lo hacen las leyes de Chile, Francia, Estados Unidos, Alemania, Austria, entre otros.

Lo paradjico (gracioso?) es que no existe sancin legal para la persona que destruye informacin almacenada en un soporte, pero si para la que destruye la misma informacin impresa sobre papel.

No obstante, existen en el Congreso Nacional diversos proyectos de ley que contemplan esta temtica.

Legislacin Internacional:Puede ver y descargar la normativa de todos los pases desde nuestra seccin de Legislacin. A continuacin se presentan los puntos ms destacables de algunas de ellas.Alemania

En Alemania, para hacer frente a la delincuencia relacionada con la informtica, el 15 de mayo de 1986 se adopt la Segunda Ley contra la Criminalidad Econmica.

Esta ley reforma el Cdigo Penal (art. 148 del 22 de diciembre de 1987) para contemplar los siguientes delitos:

Espionaje de datos (202a).

Estafa informtica (263a).

Falsificacin de datos probatorios (269) junto a modificaciones complementarias del resto de falsedades documentales como el engao en el trfico jurdico mediante la elaboracin de datos, falsedad ideolgica, uso de documentos falsos (270, 271, 273).

Alteracin de datos (303a) es ilcito cancelar, inutilizar o alterar datos e inclusive la tentativa es punible.

Sabotaje informtico (303b).

Destruccin de datos de especial significado por medio de deterioro, inutilizacin, eliminacin o alteracin de un sistema de datos. Tambin es punible la tentativa.

Utilizacin abusiva de cheques o tarjetas de crdito (266b).

Por lo que se refiere a la estafa informtica, el perjuicio patrimonial que se comete consiste en influir en el resultado de una elaboracin de datos por medio de una realizacin incorrecta del programa, a travs de la utilizacin de datos incorrectos o incompletos, mediante la utilizacin no autorizada de datos o a travs de una intervencin ilcita. Esta solucin fue tambin adoptada en los Pases Escandinavos y en

Austria

Segn la Ley de reforma del Cdigo Penal del 22 de diciembre de 1987, se contemplan los siguientes delitos:

Destruccin de datos (art. 126) no solo datos personales sino tambin los no personales y los programas.

Estafa informtica (art. 148) se sanciona a aquellos que con dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboracin de datos automtica a travs de la confeccin del programa, por la introduccin, cancelacin o alteracin de datos o por actuar sobre el procesamiento de datos. Adems contempla sanciones para quienes cometen este hecho utilizando su profesin.

Chile

Chile fue el primer pas latinoamericano en sancionar una Ley contra Delitos Informticos. La ley 19223 publicada en el Diario Oficial (equivalente del Boletn Oficial argentino) el 7 de junio de 1993 seala que la destruccin o inutilizacin de un sistema de tratamiento de informacin puede ser castigado con prisin de un ao y medio a cinco.

Como no se estipula la condicin de acceder a ese sistema, puede encuadrarse a los autores de virus. Si esa accin afectara los datos contenidos en el sistema, la prisin se establecera entre los tres y los cinco aos.

El hacking, definido como el ingreso en un sistema o su interferencia con el nimo de apoderarse, usar o conocer de manera indebida la informacin contenida en ste, tambin es pasible de condenas de hasta cinco aos de crcel; pero ingresar en ese mismo sistema sin permiso y sin intenciones de ver su contenido no constituye delito.

Dar a conocer la informacin almacenada en un sistema puede ser castigado con prisin de hasta tres aos, pero si el que lo hace es el responsable de dicho sistema puede aumentar a cinco aos. Esta ley es muy similar a la inglesa aunque agrega la proteccin a la informacin privada.

ChinaEl Tribunal Supremo Chino castigar con lapena de muerteel espionaje desde Internet, segn se anunci el 23 de enero de 2001.

Todas las personas "implicadas en actividades de espionaje", es decir que "roben, descubran, compren o divulguen secretos de Estado" desde la red podrn ser condenadas con penas que van de diez aos de prisin hasta la muerte. Castigo ejemplar?

La corte determina que hay tres tipos de actividades donde la vigilancia ser extrema: secretos de alta seguridad, los secretos estatales y aquella informacin que dae seriamente la seguridad estatal y sus intereses. Se consideran actividades ilegales la infiltracin de documentos relacionados con el Estado, la defensa, las tecnologas de punta, o la difusin de virus informtico.

El Tribunal ha hecho especial nfasis al apartado del espionaje desde la red. A los llamados "criminales", adems de tener asegurada una severa condena (la muerte), tambin se les puede... confiscar los bienes!

Estados UnidosEl FCIC (Federal Computers Investigation Commitee), es la organizacin ms importante e influyente en lo referente a delitos computacionales: los investigadores estatales y locales, los agentes federales, abogados, auditores financieros, programadores de seguridad y policas de la calle trabajan all comunitariamente. El FCIC es la entrenadora del resto de las fuerzas policiales en cuanto a delitos informticos, y el primer organismo establecido en el nivel nacional.

Adems existe la Asociacin Internacional de Especialistas en Investigacin Computacional (IACIS), quien investiga nuevas tcnicas para dividir un sistema en sus partes sin destruir las evidencias. Sus integrantes son "forenses de las computadoras" y trabajan, adems de los Estados Unidos, en el Canad, Taiwn e Irlanda.

Francia

Aqu, la Ley 88/19 del 5 de enero de 1988 sobre el fraude informtico contempla:

Acceso fraudulento a un sistema de elaboracin de datos. Se sanciona tanto el acceso al sistema como al que se mantenga en l y aumenta la sancin si de ese acceso resulta la supresin o modificacin de los datos contenidos en el sistema o resulta la alteracin del funcionamiento del sistema.

Sabotaje Informtico. Falsear el funcionamiento de un sistema de tratamiento automtico de datos.

Destruccin de datos. Se sanciona a quien intencionalmente y con menosprecio de los derechos de los dems introduzca datos en un sistema de tratamiento automtico de datos, suprima o modifique los datos que este contiene o los modos de tratamiento o de transmisin.

Falsificacin de documentos informatizados. Se sanciona a quien de cualquier modo falsifique documentos informatizados con intencin de causar un perjuicio a otro.

HolandaHasta el da 1 de marzo de 1993, da en que entr en vigencia la Ley de Delitos Informticos, Holanda era un paraso para los hackers. Esta ley contempla con artculos especficos sobre tcnicas de Hacking y Phreacking.

El mero hecho de entrar en una computadora en la cual no se tiene acceso legal ya es delito y puede ser castigado hasta con seis meses de crcel. Si se us esa computadora hackeada para acceder a otra, la pena sube a cuatro aos aunque el crimen, a simple vista, no parece ser peor que el anterior. Copiar archivos de la mquina hackeada o procesar datos en ella tambin conlleva un castigo de cuatro aos en la crcel.

Publicar la informacin obtenida es ilegal si son datos que deban permanecer en secreto, pero si son de inters pblico es legal.

El dao a la informacin o a un sistema de comunicaciones puede ser castigado con crcel de seis meses a quince aos, aunque el mximo est reservado para quienes causaron la muerte de alguien con su accionar. Cambiar, agregar o borrar datos puede ser penalizado hasta con dos aos de prisin pero, si se hizo va remota aumenta a cuatro.

Los virus estn considerados de manera especial en la ley. Si se distribuyen con la intencin de causar problemas, el castigo puede llegar hasta los cuatro aos de crcel; si simplemente se "escap", la pena no superar el mes.

El usar el servicio telefnico mediante un truco tcnico (Phreacking) o pasando seales falsas con el objetivo de no pagarlo puede recibir hasta tres aos de prisin. La venta de elementos que permitan el Phreaking se castiga con un ao de prisin como tope y si ese comercio es el modo de ganarse la vida del infractor, el mximo aumenta a tres. La ingeniera social tambin es castigada con hasta tres aos de crcel.

Recibir datos del aire es legal (transmisiones satelitales), siempre y cuando no haga falta un esfuerzo especial para conseguirlos; la declaracin protege datos encriptados, como los de ciertos canales de televisin satelital. Falsificar tarjetas de crdito de banca electrnica y usarlas para obtener beneficios o como si fueran las originales est penado con hasta seis aos. Aunque... hacerlas y no usarlas parece ser legal.

Inglaterra Luego de varios casos de hacking surgieron nuevas leyes sobre delitos informticos. En agosto de 1990 comenz a regir la Computer Misuse Act (Ley de Abusos Informticos) por la cual cualquier intento, exitoso o no de alterar datos informticos con intencin criminal se castiga con hasta cinco aos de crcel o multas sin lmite.

El acceso ilegal a una computadora contempla hasta seis meses de prisin o multa de hasta dos mil libras esterlinas. El acta se puede considerar dividida en tres partes: hackear (ingresar sin permiso en una computadora), hacer algo con la computadora hackeada y realizar alguna modificacin no autorizada. El ltimo apartado se refiere tanto al hacking (por ejemplo, la modificacin de un programa para instalar un backdoor), la infeccin con virus o, yendo al extremo, a la destruccin de datos como la inhabilitacin del funcionamiento de la computadora.

Bajo esta ley liberar un virus es delito y en enero de 1993 hubo un raid contra el grupo de creadores de virus. Se produjeron varios arrestos en la que fue considerada la primera prueba de la nueva ley en un entorno real. El delito informtico implica actividades criminales que los pases han tratado de encuadrar en figuras tpicas de carcter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las tcnicas informticas han creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulacin por parte del derecho.EVALUACIN DE RIESGOSEl anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que ocurran cosas negativas.

Se debe poder obtener una evaluacin econmica del impacto de estos sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin de la informacin en anlisis, versus el costo de volverla a producir (reproducir).

Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de accin adecuado.

Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deber identificar los recursos (hardware, software, informacin, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto.

La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma personalizada para cada organizacin; pero se puede presupone algunas preguntas que ayudan en la identificacin de lo anteriormente expuesto

"Qu puede ir mal?"

"Con qu frecuencia puede ocurrir?"

"Cules seran sus consecuencias?"

"Qu fiabilidad tienen las respuestas a las tres primeras preguntas?"

"Se tiene control sobre las operaciones de los distintos sistemas?"

"Cuntas personas dentro de la empresa, (sin considerar su honestidad), estn en condiciones de inhibir el procesamiento de datos?"

Niveles de riesgo

Como puede apreciarse en laTabla los riesgos se clasifican por su nivel de importancia y por la severidad de su prdida:

Estimacin del riesgo de prdida del recurso (R i ) Estimacin de la importancia del recurso (I i )Para la cuantificacin del riesgo de perder un recurso, es posible asignar un valor numrico de 0 a 10, tanto a la importancia del recurso (10 es el recurso de mayor importancia) como al riesgo de perderlo (10 es el riesgo ms alto).

El riesgo de un recurso ser el producto de su importancia por el riesgo de perderlo(1):

Luego, con la siguiente frmula es posible calcular el riesgo general de los recursos de la red:

Otros factores que debe considerar para el anlisis de riesgo de un recurso de red son su disponibilidad, su integridad y su carcter confidencial, los cuales pueden incorporarse a la frmula para ser evaluados.

Identificacin de Amenaza

Una vez conocidos los riesgos, los recursos que se deben proteger y como su dao o falta pueden influir en la organizacin es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencion existe una relacin directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco.

Se suele dividir las amenazas existentes segn su mbito de accin:

Desastre del entorno (Seguridad Fsica).

Amenazas del sistema (Seguridad Lgica).

Amenazas en la red (Comunicaciones).

Amenazas de personas (Insiders-Outsiders).

Se debera disponer de una lista de amenazas (actualizadas) para ayudar a los administradores de seguridad a identificar los distintos mtodos, herramientas y tcnicas de ataque que se pueden utilizar. Es importante que los Administradores actualicen constantemente sus conocimientos en esta rea, ya que los nuevos mtodos, herramientas y tcnicas para sortear las medidas de seguridad evolucionan de forma continua.

En la siguiente seccin se explica una metodologa para definir una estrategia de seguridad informtica que se puede utilizar para implementar directivas y controles de seguridad con el objeto de aminorar los posibles ataques y amenazas. Los mtodos se pueden utilizar en todos los tipos de ataques a sistemas, independientemente de que sean intencionados, no intencionados o desastres naturales.

La metodologa se basa en los distintos ejemplos (uno para cada tipo de amenaza) y contempla como hubiera ayudado una poltica de seguridad en caso de haber existido.

Evaluacin de Costos Desde un punto de vista oficial, el desafo de responder la pregunta del valor de la informacin ha sido siempre difcil, y ms difcil an hacer estos costos justificables, siguiendo el principio que "si desea justificarlo, debe darle un valor" (1).

Establecer el valor de los datos es algo totalmente relativo, pues la informacin constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, la documentacin o las aplicaciones.

Adems, las medidas de seguridad no influyen en la productividad del sistema por lo que las organizaciones son reticentes a dedicar recursos a esta tarea. Por eso es importante entender que los esfuerzos invertidos en la seguridad son costeables.

La evaluacin de costos ms ampliamente aceptada consiste en cuantificar los daos que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades. Un planteamiento posible para desarrollar esta poltica es el anlisis de lo siguiente: Qu recursos se quieren proteger?

De qu personas necesita proteger los recursos?

Qu tan reales son las amenazas?

Qu tan importante es el recurso?

Qu medidas se pueden implantar para proteger sus bienes de una manera econmica y oportuna?Costos Derivados de la Prdida

Una vez ms deben abarcarse todas las posibilidades, intentando descubrir todos los valores derivados de la prdida de algn componente del sistema. Muchas veces se trata del valor aadido que gana un atacante y la repercusin de esa ganancia para el entorno, adems del costo del elemento perdido. Deben considerarse elementos como:

Informacin aparentemente inocua como datos personales, que pueden permitir a alguien suplantar identidades.

Datos confidenciales de acuerdos y contratos que un atacante podra usar para su beneficio.

Tiempos necesarios para obtener ciertos bienes. Un atacante podra acceder a ellos para ahorrarse el costo (y tiempo) necesario para su desarrollo.

ESTRATEGIA DE SEGURIDAD

Para establecer una estrategia adecuada es conveniente pensar una poltica de proteccin en los distintos niveles que esta debe abarcar y que no son ni ms ni menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que existe entre estos factores.

En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva(1).

LaEstrategia Proactiva(proteger y proceder) o de previsin de ataques es un conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinacin del dao que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudar a desarrollar esta estrategia.

LaEstrategia Reactiva(perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el dao que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible.

Con respecto a la postura que puede adoptarse ante los recursos compartidos:

Lo que no se permite expresamente est prohibido: significa que la organizacin proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa est prohibida.

Lo que no se prohbe expresamente est permitido: significa que, a menos que se indique expresamente que cierto servicio no est disponible, todos los dems s lo estarn.

Estas posturas constituyen la base de todas las dems polticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qu acciones se toleran y cules no.

Actualmente, y "gracias" a las, cada da ms repetitivas y eficaces, acciones que atentan contra los sistemas informticos los expertos se inclinan por recomendar la es primera poltica mencionada.La microelectrnica la aplicacin de la ingeniera electrnica a componentes y circuitos de dimensiones muy pequeas, microscpicas y hasta de nivel molecular para producir dispositivos y equipos electrnicos de dimensiones reducidas pero altamente funcionales. El telfono celular, el microprocesador de la CPU y la computadora tipo Palm son claros ejemplos de los alcances actuales de la Tecnologa Microelectrnica.

Existen mltiples factores de ndole tecnolgicos que explican la convergencia de la Microelectrnica, la Informtica y las Telecomunicaciones en las TIC. Pero todos se derivan de tres hechos fundamentales:

Los tres campos de actividad se caracterizan por utilizar un soporte fsico comn, como es la microelectrnica.

Por la gran componente de software incorporado a sus productos.

Por el uso intensivo de infraestructuras de comunicaciones que permiten la distribucin (deslocalizacin) de los distintos elementos de proceso de la informacin en mbitos geogrficos distintos.

TENDENCIAS DE LA SEGURIDAD MICROELECTRNICALa microelectrnica, frecuentemente denominada hardware, est residente en todas las funcionalidades del proceso de informacin. Resuelve los problemas relacionados con la interaccin con el entorno como la adquisicin y la presentacin de la informacin, mediante dispositivos como transductores, tarjetas de sonido, tarjetas grficas, etc. No obstante, su mayor potencialidad est en la funcin de tratamiento de la informacin.

La microelectrnica abarca como campo de aplicacin la domtica que se entiende por aquel conjunto de sistemas capaces de automatizar una vivienda, aportando servicios de gestin energtica, seguridad, bienestar y comunicacin, y que pueden estar integrados por medio de redes interiores y exteriores de comunicacin, cableadas o inalmbricas, y cuyo control goza de cierta ubicuidad, desde dentro y fuera del hogar. Entre las tareas realizadas por la demtica se usan distintos tipos de componentes microelectrnicos que hacen que dichas tareas se lleven a cabo con gran precisin por medio de microcontroladores. Editar texto

La Seguridad consiste en una red de encargada de proteger los Bienes Patrimoniales y la seguridad personal. Entre las herramientas aplicadas se encuentran:

Simulacin de presencia.

Alarmas de Deteccin de incendio, fugas de gas, escapes de agua, concentracin de monxido en garajes.

Alerta mdica. Tele asistencia. Cerramiento de persianas puntual y seguro. Acceso a Cmaras IP.CONCLUSIN

Para finalizar llegamos a la conclusin de que la seguridad es un tema primordial a la hora de ejercer un sistema o programas elaborados, para aquellos hackeadores que siempre estn all buscando como acceder a la misma sin tener ningn obstculo alguno, la tecnologa ha avanzado da a da por la cual debera salir nuevos planes de seguridad en el rea de informtica para aquellos usuarios o hackeadores que no entren en juego dentro de una organizacin de la informacin.

Por otra parte se encuentra la plantacin de seguridad esto quiere decir que hay varias maneras de plantear la seguridad sea fsica o lgica. Tambin se habl de los delitos informticos de legislacin nacional e internacional, esto quiere decir que se encuentra mucho delitos tanto nacional e internacional por la misma porque no ha habido una plena seguridad desde hace aos hasta hoy en da nadie a podido crear un programa que obtenga una mxima seguridad de informacin dentro de una empresa, porque siempre abra un algoritmo que los hackeadores pueden llegar a descifrar sin ningn problema alguno. Las tendencias de la seguridad microelectrnica frecuentemente denominada hardware, est residente en todas las funcionalidades del proceso de informacin.REFERENCIAS

http://www.segu-info.com.ar/politicas/implementacion.htm http://www.segu-info.com.ar/delitos/delitos.htm http://www.segu-info.com.ar/politicas/riesgos.htm