Maestría en Seguridad

de TI
NORMATIVIDAD Y LEGISLACIÓN EN TI
ENTREGABLE 1
LÓPEZ VELÁZQUEZ KARLA
18315119
24 DE ENERO DE 2020
CAMPUS MARINA NACIONAL
ÍNDICE

1. El derecho y la tecnología de información TI...................................................................3

1.1 El sistema de derecho TI............................................................................................3
1.1.1 Orígenes, concepto y clasificación del derecho de TI..............................................3
1.1.2 Sistema jurídico y transformación científica y tecnológica.......................................3
1.1.3 El derecho y la seguridad de TI...................................................................................3
1.1.4 Tipos de delito en TI......................................................................................................4
1.2 La sociedad de la información.........................................................................................5
1.2.1 Convergencia y uso de las nuevas tecnologías........................................................5
1.2.2 Mejores prácticas a nivel mundial...............................................................................6
1.2.3 Recomendaciones de la Organización para la Cooperación y el Desarrollo
Económico, OCDE..................................................................................................................6
2. Principales organismos y estándares referenciales...........................................................8
2.1 Organización Internacional para la Estandarización (ISO).........................................8
2.1.1 ISO 17799.......................................................................................................................8
2.1.2 ISO 7498-2...................................................................................................................11
2.2 Asociación de Auditoría y Control de Sistemas de Información (ISACA)...............12
2.3 Objetivos de control para la información y tecnologías relacionadas, COBIT........13
2.4 Instituto Inglés de Estandarización / British Standard Institution, BSI.....................16
2.5 Sistema de Gestión de Seguridad de Información (ISMS)........................................16
2.6 Estándar de seguridad de datos de la Industria de pagos con tarjeta, PCI DSS...17
3. Legislación de TI en México................................................................................................18
3.1 Marco constitucional.......................................................................................................18
3.2 Marcos de referencia......................................................................................................18
3.3 La Función Pública en México: MAAGTICSI...............................................................18
3.4 Normativas legales relevantes......................................................................................20
3.4.1 Normatividad sobre las telecomunicaciones............................................................20
3.4.2 Protección de la información enviada a través de la web......................................21
3.4.3 Contenidos en Internet................................................................................................21
3.4.4 Firma electrónica.........................................................................................................22
3.4.5 Cómputo forense y su valor probatorio.....................................................................23
Conclusiones...............................................................................................................................24
Referencias...................................................................................................................................24
Ilustraciones.................................................................................................................................24
1. El derecho y la tecnología de información TI

1.1 El sistema de derecho TI

1.1.1 Orígenes, concepto y clasificación del derecho de TI

Derecho informático. “Es un conjunto de principios y normas que regulan los efectos jurídicos de la relación entre el
derecho y la informática.1Esta actividad involucra aquello referente a la contratación informática, delitos cometidos
mediante su uso, relaciones laborales a que ella da lugar, litigios sobre la propiedad de programas o datos, etc.” [ CITATION
wik \l 2058 ]

Clasificación.
1. Derecho de la informática. Estudia la regulación normativa de la informática y su aplicación en todos los campos.
2. Informática Jurídica. Estudia a la tecnología como instrumento que beneficia a la ciencia del derecho.

1.1.2 Sistema jurídico y transformación científica y tecnológica

1.1.3 El derecho y la seguridad de TI

En la actualidad hay normativas legales que tienen como objetivo la protección de los datos que se utilizan en redes de
información. Así como también la prevención de todo tipo de delitos que sean cometidos a través de TI utilizando
aplicaciones.
Los delitos se dividen en dos categorías:
 Delitos que tienen como meta las redes de comunicación para acceder a un equipo o sistemas. (SW malicioso,
gusanos, virus, ataques masivos de Internet, etc.)
 Delitos realizados por medio de un equipo y a través de Internet como: Fraude electrónico, espionaje, pornografía
infantil, trata de personas, pedofilia, etc.

3
Muchos países tienen un departamento especializada en el ámbito tecnológico para evitar e investigar delitos
informáticos.

1.1.4 Tipos de delito en TI

Sabotaje informático:
 Conductas dirigidas a causar daños físicos, por ejemplo: Golpear un equipo de cómputo o quitar partes del equipo
de cómputo (HD, memoria ram, lector de CD, etc)
 Conductas dirigidas a causar daños lógicos, por ejemplo: Alterar información de un HD, mover configuración para
bloquear el acceso a un equipo o por medio de: Sw malicioso, gusanos, virus, ataques masivos de Internet, etc.

Fraude a través de computadoras:

 Manipulación de datos de entrada, por ejemplo: Sustracción de datos a través de páginas web. (Información
pública).
 Manipulación de programas o aplicaciones, por ejemplo: Instalar programas o modificar programas en un equipo.
 Manipulación de los datos de salida, por ejemplo: Clonación de tarjetas bancarias (Robo de identidad)

Estafas electrónicas, por ejemplo: Hacer compras en línea y guardar los datos de la tarjeta de crédito.
Búsqueda de contraseñas, por ejemplo: uso de programas para descifrar claves personales (Equipo de cómputo,
correo, etc.)

4
Juegos de Azar, por ejemplo: juegos de casino, su objetivo es obtener ganancias a través de la red, donde se hacen
apuestas o inversiones de dinero.
Lavado de Dinero¸ por ejemplo: Circular dinero producido del narcotráfico, estafas, robos, fraudes o cualquier actividad
ilegal.

Copia ilegal de SW, por ejemplo: SW que genera licencias para programas o tráfico de SW a través de Internet.

Espionaje informático, por ejemplo: Realizar ataques masivos en página web, insertando contraseñas “comunes” para
tener acceso a la información.

Infracción del copyright en BD, por ejemplo: Infracción de los derechos reservados del autor.

1.2 La sociedad de la información

1.2.1 Convergencia y uso de las nuevas tecnologías

Actualmente cada día surgen nuevos dispositivos que interactúan con los medios de comunicación a través de nuevas
funciones, por ejemplo: Computadoras, móviles, línea blanca: Refrigeradores, Lavadoras, etc., que dispongan de
conexión a Internet y puedan interactuar mediante aplicaciones. (YouTube, Netflix, etc).

Esta convergencia provoca que ciertos dispositivos sustituyan a otros, al integrar en uno mismo lo que antes hacían
varios.

5
1.2.2 Mejores prácticas a nivel mundial
1.2.3 Recomendaciones de la Organización para la Cooperación y el Desarrollo Económico, OCDE

Principales Recomendaciones de la OCDE:

Para mantener solidez macroeconómica y encontrar recursos para un crecimiento más equitativo, la organización
recomendó:

 Mantener prudencia fiscal con una relación de deuda respecto al Producto Interno Bruto (PIB) estable y considerar
disminuirla en el mediano plazo y conservar la actual postura de política monetaria para frenar la inflación.
 Acelerar las iniciativas actuales para mejorar la inclusión y la educación financiera, así como la competencia.
Monitorear los resultados. Avanzar hacia todas las transferencias gubernamentales a los hogares a través de
cuentas bancarias o medios electrónicos.
 Desarrollar una reforma tributaria integral para su implementación a mediano plazo. Ampliar la base del IVA
mediante el recorte de las exenciones y la abolición de las tasas reducidas mientras se compensa a los pobres con
subsidios específicos.
 Aumentar la progresividad del impuesto al ingreso personal reduciendo el umbral de ingresos para la tasa máxima
y reducir aún más las asignaciones fiscales o convertirlos en créditos fiscales. Crear un registro nacional de
propiedad para hacer un mayor uso de los impuestos recurrentes sobre bienes inmuebles.
 Continuar con la reducción de la duplicidad de programas sociales con beneficiarios que se superponen y expandir
la cobertura para los pobres que no reciben beneficios sociales.
 Para robustecer la transparencia fiscal, establecer un consejo fiscal independiente, apartidista y adecuado a los
principios definidos por la OCDE.
 Revisar la Ley de Coordinación Fiscal para redefinir y aclarar las responsabilidades de la prestación de servicios
públicos en los tres niveles de gobierno y reducir las superposiciones.
 Vincular la administración tributaria (SAT) y las bases de datos de seguridad social para mejorar la vigilancia y el
cumplimiento tributario.

6
Para fortalecer el crecimiento inclusivo:
 Ante la baja participación femenina en el mercado laboral hay que expandir el cuidado infantil de calidad y
aumentar la duración de las jornadas diarias en preescolar.
 Completar la implementación de los Sistemas Anticorrupción Nacional y Locales con el monitoreo de sus
resultados.
 Continuar los esfuerzos para reducir el crimen y la impunidad.
 Asegurar que las autoridades sobre la competencia y los reguladores tengan adecuados recursos e independencia
para desarrollar sus mandatos efectivamente.
 Para reducir la informalidad hay que facilitar los requisitos para hacer negocios, incluidos los costos de
complimiento fiscal.
 Elevar la calidad y cobertura de la educación en la primera infancia.
 Aumentar el impuesto sobre el carbono de manera gradual y predecible, eliminar las exenciones y las tasas
reducidas y compensar a los pobres. Reanudar las subastas a largo plazo para fomentar el suministro de energía
renovable, vinculando la remuneración del suministro a las condiciones del mercado.

[ CITATION LET19 \l 2058 ]

7
2. Principales organismos y estándares referenciales

2.1 Organización Internacional para la Estandarización (ISO)

2.1.1 ISO 17799

Establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad
de la información en una organización.

Está estructurado en 11 cláusulas:

1. Política de seguridad
2. Organización de la seguridad de la información
3. Gestión de Activos
4. Seguridad de Recursos Humanos
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Control de Acceso
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
9. Gestión de Incidentes de Seguridad de la Información
10. Gestión de la Continuidad Comercial
11. Conformidad

8
Categorizadas en:
 Seguridad organizativa:
o Política de seguridad:
 Política de seguridad de la información.
o Organización de la seguridad de la información:
 Organización interna
 Grupos o personas externas
o Gestión de Activos:
 Responsabilidad por los activos.
o Seguridad de Recursos Humanos:
 Antes del empleo
 Durante el empleo
 Terminación o cambio de empleo

 Seguridad física:
o Seguridad Física y Ambiental: Áreas seguras y Equipo de seguridad

 Seguridad lógica:
o Gestión de Comunicaciones y Operaciones:
 Procedimientos y responsabilidades operacionales.
 Gestión de la entrega del servicio de terceros.
 Planeación y aceptación del sistema.
 Protección contra el código malicioso y móvil.
 Respaldo o Back-up.
 Gestión de seguridad de la red.

9
  Gestión de medios.
 Intercambio de información.
 Servicios de e-commerce.
 Monitoreo
o Control de Acceso:
 Requerimiento del negocio para el control del acceso.
 Gestión de acceso del usuario.
 Responsabilidades del usuario.
 Control de acceso a la red.
 Control del acceso al SO.
 Control de acceso a la aplicación y la información.
 Computación y tele-trabajo móvil.
o Adquisición, Desarrollo y Mantenimiento de Sistemas de Información:
 Requerimientos de seguridad de los SI.
 Procesamiento correcto en las aplicaciones.
 Controles criptográficos.
 Seguridad de los archivos del sistema.
 Seguridad en los procesos de desarrollo y soporte.
 Gestión de la vulnerabilidad Técnica.
o Gestión de Incidentes de Seguridad de la Información:
 Reporte de los eventos y debilidades de la seguridad de la información.
 Gestión de los incidentes y mejoras en la seguridad de la información.

 Seguridad organizativa:
o Gestión de la Continuidad Comercial:
 Aspectos de la seguridad de la información de la gestión de la continuidad del negocio.

 Seguridad física:
o Conformidad:

10
  Cumplimiento de los requerimientos legales
 Cumplimiento de las políticas y estándares de seguridad y cumplimiento técnico.
 Consideraciones de auditoría de los sistemas de información
[ CITATION mmu \l 2058 ]

2.1.2 ISO 7498-2

Es una recomendación que dicta las bases y fundamentos de seguridad para una arquitectura basada en el modelo OSI
(Open Systems Interconection).

Capas del modelo OSI y servicios:

 Capa física:
o Servicio de confidencialidad
 Capa de enlace de datos:
o Servicio de confidencialidad
 Capa de red:
o Servicio de confidencialidad
o Autenticación
o Control de acceso e integridad
 Capa de transporte:
o Servicio de confidencialidad
o Autenticación
o Control de acceso e integridad
 Capa de sesión:
o Dentro de la capa de sesión no se provee ningún servicio.
 Capa de presentación:
o Dentro de esta capa se proveerán facilidades para el servicio de confidencialidad.

11
  Capa de aplicación:
o Servicio de autenticación
o Control de acceso
o Confidencialidad
o No repudio e integridad

LA ISO 7498-2 estandariza los servicios de seguridad que se pueden garantizar.

[ CITATION ISO \l 2058 ]

2.2 Asociación de Auditoría y Control de Sistemas de Información (ISACA)

Es una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización
de actividades de auditoría y control en sistemas de información.

Objetivo: Informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las responsabilidades de
profesionales establecidas en el código de ética profesional y de informar a la gerencia y a otras partes interesadas de las
expectativas de la profesión con respecto al trabajo de que aquellos que la ejercen.

Es custodio del framework COBIT, creadores del ITGI (IT Governance Institute) y desarrollaron 4 certificaciones:
 CISA – Certificación de auditores de sistemas de información.
 CISM – Certificación de gestores de seguridad.
 CGEIT – Certificación de gestores de la gobernanza empresarial TI
 CRISC – Certificación de gestores de control de riesgos en sistemas de información.
[ CITATION Elv \l 2058 ]

12
2.3 Objetivos de control para la información y tecnologías relacionadas, COBIT

Es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de
información.
Modelos de referencia parA la gestión de TI:
 Resumen ejecutivo
 Framework
 Objetivos de control
 Mapas de auditoría
 Técnicas de gestión.

Principios de COBIT:
1. Satisfaces las necesidades de las partes interesadas: El sistema de Gobierno deberá considerar a todas las
partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de
recursos. Para cada decisión se puede, y se debe, hacer las siguientes preguntas: ¿Quién recibe los beneficios?,
¿Quién asume el riesgo?, ¿Qué recursos se necesitan?

13
 Ilustración 1 – Principio 1

2. Cubrir la compañía de forma integral: Se concentra en el gobierno y la administración de la tecnología de la

información y relacionadas desde una perspectiva integral a nivel de toda la organización.

Ilustración 2 – Principio 2

3. Aplicar un único marco integrado: COBIT 5 está alineado con los últimos marcos y normas relevantes usadas
por las organizaciones:
 Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
 Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI.

14
 Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y
administración.

4. Habilitar el enfoque Holístico:

Descritos por el marco de COBIT 5 en siete categorías.

 Procesos: Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y
producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.
 Estructuras Organizacionales: Constituyen las entidades claves para la toma de decisiones en una
organización.
 Cultura, Ética y Comportamiento: De los individuos, así como de la organización; se subestima
frecuentemente como factor de éxito en las actividades de gobierno y administración.
 Principios, Políticas y Marcos: Son los vehículos para traducir el comportamiento deseado en una
orientación práctica para la administración diaria.
 Información: Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda
la información producida y usada por la Organización. La información es requerida para mantener la
organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el
producto clave de la organización en sí.
 Servicios, Infraestructura y Aplicaciones: Incluyen la infraestructura, la tecnología y las aplicaciones que
proporcionan servicios y procesamiento de tecnología de la información a la organización.
 Personas, Habilidades y Competencias: Están vinculadas con las personas y son requeridas para
completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a
cabo las acciones correctivas.

5. Separar el Gobierno de la Administración:

El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración.

15
 Dichas dos disciplinas:
 Comprenden diferentes tipos de actividades
 Requieren diferentes estructuras organizacionales
 Cumplen diferentes propósitos

Gobierno: En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el

liderazgo de su presidente, asegura que se evalúen las necesidades de las partes interesadas, así como las
condiciones y opciones, para determinar los objetivos corporativos balanceados acordados a lograr; fijando
directivas al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y
progreso comparándolos contra las directivas y objetivos fijados (EDM).

Administración: En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia

Ejecutiva, bajo el liderazgo del Gerente General (CEO), esta planifica, construye, ejecuta y monitorea las
actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Compañía.
[ CITATION Est \l 2058 ]

2.4 Instituto Inglés de Estandarización / British Standard Institution, BSI

2.5 Sistema de Gestión de Seguridad de Información (ISMS)

Es un conjunto de políticas de administración de la información. Se utiliza principalmente por la ISO/IEC 27001.

La ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de
gestión de la seguridad de la información (SGSI), conocido como: “Ciclo de Deming”: PDCA.

16
  Plan (planificar): es una fase de diseño del SGSI de evaluación de riesgos de seguridad de la información y la
selección de controles adecuados.
 Do (hacer): es una fase que envuelve la implantación y operación de los controles.
 Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del
SGSI.
 Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo
rendimiento.
[ CITATION Fir \l 2058 ]

2.6 Estándar de seguridad de datos de la Industria de pagos con tarjeta, PCI DSS

Es un estándar de seguridad publicado por el PCI SSC y orientado a la definición de controles para la protección de los
datos del titular de la tarjeta y/o datos confidenciales de autenticación durante su procesamiento, almacenamiento y/o
transmisión.

Controles de seguridad del estándar PCI DSS

El estándar PCI DSS cuenta con más de 250 controles de seguridad física, lógica y administrativa esquematizados en 6
grupos principales que a su vez se subdividen en 12 requerimientos, de la siguiente manera:

17
 Ilustración 3 - Esquematización de los requisitos de seguridad del estándar PCI DSS

[ CITATION pci \l 2058 ]

3. Legislación de TI en México
3.1 Marco constitucional
3.2 Marcos de referencia
3.3 La Función Pública en México: MAAGTICSI

MAAGTICSI, contiene las reglas, acciones y procesos que, en materia de TI y TIC, deberán observar de manera obligatoria, las
dependencias y entidades de la administración pública federal en México y cuando corresponda a la procuraduría general de la
república. Establece un marco rector de procesos, fundamentados en las mejores prácticas de TIC.

Su alcance está compuesto por 30 procesos, que se integran en 11 grupos, los cuales a su vez están considerados en 4 niveles de
gestión, que conforman el “Marco rectos de procesos de las TIC’s”.

18
 Ilustración 4 – Proceso en materia de TIC

Metodología

19
 Ilustración 5 – Metodología de MAAGTIC

[ CITATION Vic \l 2058 ]

20
3.4 Normativas legales relevantes
3.4.1 Normatividad sobre las telecomunicaciones

La sociedad mexicana debe involucrarse en el conocimiento de las telecomunicaciones, como lo hace en servicios
comunes como: electricidad, transporte público, servicios de banca y financieros.

Órganos reguladores de telecomunicaciones

 COFETEL: La comisión federal de telecomunicaciones, es el órgano administrativo desconcentrado de la
secretaría de comunicaciones y transportes encargado de regular, promover y supervisar el desarrollo eficiente y la
cobertura social amplia de las telecomunicaciones publicada en el diario oficial de la federación el 7 de junio de
1995 y derivado de las reformas a la ley federal de radio televisión.
 IMT. El instituto mexicano del transporte es un órgano desconcentrado de la SCT, creado por acuerdo presidencial
el 15 de abril de 1987. En el ámbito del transporte carretero, marítimo, ferroviario, aéreo y multimodal, realiza:
o Investigación aplicada servicios especializados
o Difusión de conocimientos y tecnologías
o Formación post-profesional
o Normativa para el transporte asesoría y asistencia técnica.
 SENEAM. Proporciona servicios de ayuda a la navegación aérea con seguridad, fluidez y orden en el espacio
aéreo mexicano, garantizando calidad y eficiencia conforme a la normativa nacional e internacional aplicable.
 IFETEL. El instituto federal de telecomunicaciones es el organismo encargado de supervisar el uso y la prestación
de servicios adecuados, asociados a la radiodifusión y a las telecomunicaciones en México.
[ CITATION Ana \l 2058 ]

21
3.4.2 Protección de la información enviada a través de la web

3.4.3 Contenidos en Internet

La información disponible en la red puede clasificarse según su contenido:

Contenidos ilícitos. Permiten una delimitación más ajustada, por la sanción penal que envuelven dichas conductas en
cada país, en las que existe cierto consenso internacional entre las cuales destacan la apología al terrorismo, la
pornografía infantil, la provocación o incitación al odio de una raza, etnia o grupo, la difamación on line claramente
maliciosa y la distribución de material soez que viola la dignidad humana, más otras conductas que sólo envuelven un
ilícito civil como sería la violación de la intimidad de los datos personales o la vulneración de los derechos de autor.

Contenidos nocivos. Se configuran alrededor de una línea divisoria más subjetiva, a través del juicio de valor que
provocan en su destinatario por su nacionalidad, por su religión o por sus concepciones políticas, raciales o morales, las
cuales ciertamente varían de una cultura a otra con mayor facilidad y pueden o no merecer reproche penal, aspecto que
hace más difícil su persecución.

En ambos casos, se parte de la base que existe una restricción esencial de carácter ético en su difusión por parte del
responsable de su emisión.

[ CITATION Mtr \l 2058 ]

22
3.4.4 Firma electrónica

Con la firma electrónica pueden realizarse diferentes tipos de transacciones a través de la Internet o aplicaciones. Por
ejemplo:
 Facturación electrónica.
 Gestión de documentos.
 Compras y trámites a través de una institución gubernamental.

Al validar una firma electrónica se buscas comprobar:

 La identidad del titular de la firma electrónica
 La integridad del documento
 Periodo de validez del certificado

Elementos necesarios para la validez de una firma electrónica:

 La firma de la cadena de los certificados
 El estado de los certificados
 Una marca de hora

23
3.4.5 Cómputo forense y su valor probatorio

“El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación
forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que
permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las
características técnicas del uso aplicado a los datos y bienes informáticos.”
[ CITATION wik1 \l 2058 ]

Como se menciona en la definición, la aplicación de esta actividad cubre no solo a los equipos de cómputo que conoces
como son las PC’s, LapTop’s y Servidores, sino que se incluyen también:
 Logs de dispositivos de seguridad.
 Firewalls.
 Redes de Comunicación digital.
 Telefonía móvil.
 Tablets.
 GPS,
 Memorias.
El Cómputo forense es un arte dentro de la Seguridad de la Información, ya que permite recrear situaciones críticas,
ubicar personas y esclarecer situaciones utilizando métodos y herramientas que requieren de todo el expertise de un
profesional de la Seguridad de la Información.

24
Conclusiones

Las tecnologías de la información y comunicación siempre tendrán un gran impacto en lo social, económico y jurídico. Y
mientras sigan desarrollando normas que ayuden a regular delitos informáticos, será más fácil crear leyes para proteger
la información, incluso para prevenir la divulgación y/o mal uso de la recolección de datos a través de Internet.

Puede ser de utilidad los marcos referenciales como COBIT, pero lamentablemente las instituciones o empresas no
cooperan con la transparencia en el uso de datos y tampoco cumplen con sus obligaciones, no garantizan el derecho a la
protección de datos personales.

Son pocas las instituciones o empresas que ofrecen recomendaciones para mejorar la protección de datos personales,
incluso si cumplen con los deberes de la seguridad y confidencialidad, el factor humano, en la actualidad es quien genera
la desconfianza

25
Referencias

B, A. M. (s.f.). Normatividad de las telecomunicaciones en mexico. Obtenido de https://es.slideshare.net/hannickamrtxbht/normatividad-de-las-

telecomunicaciones-en-mexico

Firma-e, c. y. (s.f.). Sistema de Gestión de Seguridad de la Información. Obtenido de https://www.firma-e.com/blog/que-es-un-sgsi-sistema-de-

gestion-de-seguridad-de-la-informacion/

García, M. E. (s.f.). Regulación Jurídica de. Obtenido de http://www.diputados.gob.mx/sedia/sia/spe/SPE-ISS-12-06.pdf

HERNÁNDEZ, L. (02 de 05 de 2019). El Financiero. Obtenido de https://www.elfinanciero.com.mx/economia/estas-son-las-recomendaciones-que-

la-ocde-tiene-para-el-gobierno-de-amlo

ISO. (s.f.). Online Browsing Platform (OBP). Obtenido de https://www.iso.org/obp/ui/#iso:std:iso:7498:-2:ed-1:v1:en

Miranda, V. (s.f.). Seguridad de la información. Obtenido de http://www.victormiranda.com.mx/vmwp/sabes-que-es-el-maagtic-y-su-

metodologia-de-implementacion/

mmujica. (s.f.). Soluciones Tecnológicas. Obtenido de https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

pcihispano. (s.f.). PCI Hispano. Obtenido de https://www.pcihispano.com/que-es-pci-dss/

Sofistic. (s.f.). Auditoría de código fuente. Obtenido de https://www.sofistic.com/auditoria/auditoria-de-codigo-fuente/

wikipedia. (s.f.). Cómputo forense. Obtenido de https://es.wikipedia.org/wiki/C%C3%B3mputo_forense

wikipedia. (s.f.). Derecho informático. Obtenido de https://es.wikipedia.org/wiki/Derecho_inform%C3%A1tico

26
Ilustraciones

Ilustración 1 – Principio 1........................................................................................................................................................................................... 13

Ilustración 2 – Principio 2........................................................................................................................................................................................... 14
Ilustración 3 - Esquematización de los requisitos de seguridad del estándar PCI DSS................................................................................................17
Ilustración 4 – Proceso en materia de TIC.................................................................................................................................................................. 18
Ilustración 5 – Metodología de MAAGTIC................................................................................................................................................................... 19

27