Documentos de Académico
Documentos de Profesional
Documentos de Cultura
de TI
NORMATIVIDAD Y LEGISLACIÓN EN TI
ENTREGABLE 1
LÓPEZ VELÁZQUEZ KARLA
18315119
24 DE ENERO DE 2020
CAMPUS MARINA NACIONAL
ÍNDICE
Derecho informático. “Es un conjunto de principios y normas que regulan los efectos jurídicos de la relación entre el
derecho y la informática.1Esta actividad involucra aquello referente a la contratación informática, delitos cometidos
mediante su uso, relaciones laborales a que ella da lugar, litigios sobre la propiedad de programas o datos, etc.” [ CITATION
wik \l 2058 ]
Clasificación.
1. Derecho de la informática. Estudia la regulación normativa de la informática y su aplicación en todos los campos.
2. Informática Jurídica. Estudia a la tecnología como instrumento que beneficia a la ciencia del derecho.
En la actualidad hay normativas legales que tienen como objetivo la protección de los datos que se utilizan en redes de
información. Así como también la prevención de todo tipo de delitos que sean cometidos a través de TI utilizando
aplicaciones.
Los delitos se dividen en dos categorías:
Delitos que tienen como meta las redes de comunicación para acceder a un equipo o sistemas. (SW malicioso,
gusanos, virus, ataques masivos de Internet, etc.)
Delitos realizados por medio de un equipo y a través de Internet como: Fraude electrónico, espionaje, pornografía
infantil, trata de personas, pedofilia, etc.
3
Muchos países tienen un departamento especializada en el ámbito tecnológico para evitar e investigar delitos
informáticos.
Sabotaje informático:
Conductas dirigidas a causar daños físicos, por ejemplo: Golpear un equipo de cómputo o quitar partes del equipo
de cómputo (HD, memoria ram, lector de CD, etc)
Conductas dirigidas a causar daños lógicos, por ejemplo: Alterar información de un HD, mover configuración para
bloquear el acceso a un equipo o por medio de: Sw malicioso, gusanos, virus, ataques masivos de Internet, etc.
Estafas electrónicas, por ejemplo: Hacer compras en línea y guardar los datos de la tarjeta de crédito.
Búsqueda de contraseñas, por ejemplo: uso de programas para descifrar claves personales (Equipo de cómputo,
correo, etc.)
4
Juegos de Azar, por ejemplo: juegos de casino, su objetivo es obtener ganancias a través de la red, donde se hacen
apuestas o inversiones de dinero.
Lavado de Dinero¸ por ejemplo: Circular dinero producido del narcotráfico, estafas, robos, fraudes o cualquier actividad
ilegal.
Copia ilegal de SW, por ejemplo: SW que genera licencias para programas o tráfico de SW a través de Internet.
Espionaje informático, por ejemplo: Realizar ataques masivos en página web, insertando contraseñas “comunes” para
tener acceso a la información.
Infracción del copyright en BD, por ejemplo: Infracción de los derechos reservados del autor.
Actualmente cada día surgen nuevos dispositivos que interactúan con los medios de comunicación a través de nuevas
funciones, por ejemplo: Computadoras, móviles, línea blanca: Refrigeradores, Lavadoras, etc., que dispongan de
conexión a Internet y puedan interactuar mediante aplicaciones. (YouTube, Netflix, etc).
Esta convergencia provoca que ciertos dispositivos sustituyan a otros, al integrar en uno mismo lo que antes hacían
varios.
5
1.2.2 Mejores prácticas a nivel mundial
1.2.3 Recomendaciones de la Organización para la Cooperación y el Desarrollo Económico, OCDE
Mantener prudencia fiscal con una relación de deuda respecto al Producto Interno Bruto (PIB) estable y considerar
disminuirla en el mediano plazo y conservar la actual postura de política monetaria para frenar la inflación.
Acelerar las iniciativas actuales para mejorar la inclusión y la educación financiera, así como la competencia.
Monitorear los resultados. Avanzar hacia todas las transferencias gubernamentales a los hogares a través de
cuentas bancarias o medios electrónicos.
Desarrollar una reforma tributaria integral para su implementación a mediano plazo. Ampliar la base del IVA
mediante el recorte de las exenciones y la abolición de las tasas reducidas mientras se compensa a los pobres con
subsidios específicos.
Aumentar la progresividad del impuesto al ingreso personal reduciendo el umbral de ingresos para la tasa máxima
y reducir aún más las asignaciones fiscales o convertirlos en créditos fiscales. Crear un registro nacional de
propiedad para hacer un mayor uso de los impuestos recurrentes sobre bienes inmuebles.
Continuar con la reducción de la duplicidad de programas sociales con beneficiarios que se superponen y expandir
la cobertura para los pobres que no reciben beneficios sociales.
Para robustecer la transparencia fiscal, establecer un consejo fiscal independiente, apartidista y adecuado a los
principios definidos por la OCDE.
Revisar la Ley de Coordinación Fiscal para redefinir y aclarar las responsabilidades de la prestación de servicios
públicos en los tres niveles de gobierno y reducir las superposiciones.
Vincular la administración tributaria (SAT) y las bases de datos de seguridad social para mejorar la vigilancia y el
cumplimiento tributario.
6
Para fortalecer el crecimiento inclusivo:
Ante la baja participación femenina en el mercado laboral hay que expandir el cuidado infantil de calidad y
aumentar la duración de las jornadas diarias en preescolar.
Completar la implementación de los Sistemas Anticorrupción Nacional y Locales con el monitoreo de sus
resultados.
Continuar los esfuerzos para reducir el crimen y la impunidad.
Asegurar que las autoridades sobre la competencia y los reguladores tengan adecuados recursos e independencia
para desarrollar sus mandatos efectivamente.
Para reducir la informalidad hay que facilitar los requisitos para hacer negocios, incluidos los costos de
complimiento fiscal.
Elevar la calidad y cobertura de la educación en la primera infancia.
Aumentar el impuesto sobre el carbono de manera gradual y predecible, eliminar las exenciones y las tasas
reducidas y compensar a los pobres. Reanudar las subastas a largo plazo para fomentar el suministro de energía
renovable, vinculando la remuneración del suministro a las condiciones del mercado.
7
2. Principales organismos y estándares referenciales
Establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad
de la información en una organización.
8
Categorizadas en:
Seguridad organizativa:
o Política de seguridad:
Política de seguridad de la información.
o Organización de la seguridad de la información:
Organización interna
Grupos o personas externas
o Gestión de Activos:
Responsabilidad por los activos.
o Seguridad de Recursos Humanos:
Antes del empleo
Durante el empleo
Terminación o cambio de empleo
Seguridad física:
o Seguridad Física y Ambiental: Áreas seguras y Equipo de seguridad
Seguridad lógica:
o Gestión de Comunicaciones y Operaciones:
Procedimientos y responsabilidades operacionales.
Gestión de la entrega del servicio de terceros.
Planeación y aceptación del sistema.
Protección contra el código malicioso y móvil.
Respaldo o Back-up.
Gestión de seguridad de la red.
9
Gestión de medios.
Intercambio de información.
Servicios de e-commerce.
Monitoreo
o Control de Acceso:
Requerimiento del negocio para el control del acceso.
Gestión de acceso del usuario.
Responsabilidades del usuario.
Control de acceso a la red.
Control del acceso al SO.
Control de acceso a la aplicación y la información.
Computación y tele-trabajo móvil.
o Adquisición, Desarrollo y Mantenimiento de Sistemas de Información:
Requerimientos de seguridad de los SI.
Procesamiento correcto en las aplicaciones.
Controles criptográficos.
Seguridad de los archivos del sistema.
Seguridad en los procesos de desarrollo y soporte.
Gestión de la vulnerabilidad Técnica.
o Gestión de Incidentes de Seguridad de la Información:
Reporte de los eventos y debilidades de la seguridad de la información.
Gestión de los incidentes y mejoras en la seguridad de la información.
Seguridad organizativa:
o Gestión de la Continuidad Comercial:
Aspectos de la seguridad de la información de la gestión de la continuidad del negocio.
Seguridad física:
o Conformidad:
10
Cumplimiento de los requerimientos legales
Cumplimiento de las políticas y estándares de seguridad y cumplimiento técnico.
Consideraciones de auditoría de los sistemas de información
[ CITATION mmu \l 2058 ]
Es una recomendación que dicta las bases y fundamentos de seguridad para una arquitectura basada en el modelo OSI
(Open Systems Interconection).
11
Capa de aplicación:
o Servicio de autenticación
o Control de acceso
o Confidencialidad
o No repudio e integridad
Es una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización
de actividades de auditoría y control en sistemas de información.
Objetivo: Informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las responsabilidades de
profesionales establecidas en el código de ética profesional y de informar a la gerencia y a otras partes interesadas de las
expectativas de la profesión con respecto al trabajo de que aquellos que la ejercen.
Es custodio del framework COBIT, creadores del ITGI (IT Governance Institute) y desarrollaron 4 certificaciones:
CISA – Certificación de auditores de sistemas de información.
CISM – Certificación de gestores de seguridad.
CGEIT – Certificación de gestores de la gobernanza empresarial TI
CRISC – Certificación de gestores de control de riesgos en sistemas de información.
[ CITATION Elv \l 2058 ]
12
2.3 Objetivos de control para la información y tecnologías relacionadas, COBIT
Es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de
información.
Modelos de referencia parA la gestión de TI:
Resumen ejecutivo
Framework
Objetivos de control
Mapas de auditoría
Técnicas de gestión.
Principios de COBIT:
1. Satisfaces las necesidades de las partes interesadas: El sistema de Gobierno deberá considerar a todas las
partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de
recursos. Para cada decisión se puede, y se debe, hacer las siguientes preguntas: ¿Quién recibe los beneficios?,
¿Quién asume el riesgo?, ¿Qué recursos se necesitan?
13
Ilustración 1 – Principio 1
Ilustración 2 – Principio 2
3. Aplicar un único marco integrado: COBIT 5 está alineado con los últimos marcos y normas relevantes usadas
por las organizaciones:
Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI.
14
Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y
administración.
El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración.
15
Dichas dos disciplinas:
Comprenden diferentes tipos de actividades
Requieren diferentes estructuras organizacionales
Cumplen diferentes propósitos
La ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de
gestión de la seguridad de la información (SGSI), conocido como: “Ciclo de Deming”: PDCA.
16
Plan (planificar): es una fase de diseño del SGSI de evaluación de riesgos de seguridad de la información y la
selección de controles adecuados.
Do (hacer): es una fase que envuelve la implantación y operación de los controles.
Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del
SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo
rendimiento.
[ CITATION Fir \l 2058 ]
2.6 Estándar de seguridad de datos de la Industria de pagos con tarjeta, PCI DSS
Es un estándar de seguridad publicado por el PCI SSC y orientado a la definición de controles para la protección de los
datos del titular de la tarjeta y/o datos confidenciales de autenticación durante su procesamiento, almacenamiento y/o
transmisión.
El estándar PCI DSS cuenta con más de 250 controles de seguridad física, lógica y administrativa esquematizados en 6
grupos principales que a su vez se subdividen en 12 requerimientos, de la siguiente manera:
17
Ilustración 3 - Esquematización de los requisitos de seguridad del estándar PCI DSS
3. Legislación de TI en México
3.1 Marco constitucional
3.2 Marcos de referencia
3.3 La Función Pública en México: MAAGTICSI
MAAGTICSI, contiene las reglas, acciones y procesos que, en materia de TI y TIC, deberán observar de manera obligatoria, las
dependencias y entidades de la administración pública federal en México y cuando corresponda a la procuraduría general de la
república. Establece un marco rector de procesos, fundamentados en las mejores prácticas de TIC.
Su alcance está compuesto por 30 procesos, que se integran en 11 grupos, los cuales a su vez están considerados en 4 niveles de
gestión, que conforman el “Marco rectos de procesos de las TIC’s”.
18
Ilustración 4 – Proceso en materia de TIC
Metodología
19
Ilustración 5 – Metodología de MAAGTIC
20
3.4 Normativas legales relevantes
3.4.1 Normatividad sobre las telecomunicaciones
La sociedad mexicana debe involucrarse en el conocimiento de las telecomunicaciones, como lo hace en servicios
comunes como: electricidad, transporte público, servicios de banca y financieros.
21
3.4.2 Protección de la información enviada a través de la web
Contenidos ilícitos. Permiten una delimitación más ajustada, por la sanción penal que envuelven dichas conductas en
cada país, en las que existe cierto consenso internacional entre las cuales destacan la apología al terrorismo, la
pornografía infantil, la provocación o incitación al odio de una raza, etnia o grupo, la difamación on line claramente
maliciosa y la distribución de material soez que viola la dignidad humana, más otras conductas que sólo envuelven un
ilícito civil como sería la violación de la intimidad de los datos personales o la vulneración de los derechos de autor.
Contenidos nocivos. Se configuran alrededor de una línea divisoria más subjetiva, a través del juicio de valor que
provocan en su destinatario por su nacionalidad, por su religión o por sus concepciones políticas, raciales o morales, las
cuales ciertamente varían de una cultura a otra con mayor facilidad y pueden o no merecer reproche penal, aspecto que
hace más difícil su persecución.
En ambos casos, se parte de la base que existe una restricción esencial de carácter ético en su difusión por parte del
responsable de su emisión.
22
3.4.4 Firma electrónica
Con la firma electrónica pueden realizarse diferentes tipos de transacciones a través de la Internet o aplicaciones. Por
ejemplo:
Facturación electrónica.
Gestión de documentos.
Compras y trámites a través de una institución gubernamental.
23
3.4.5 Cómputo forense y su valor probatorio
“El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación
forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que
permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las
características técnicas del uso aplicado a los datos y bienes informáticos.”
[ CITATION wik1 \l 2058 ]
Como se menciona en la definición, la aplicación de esta actividad cubre no solo a los equipos de cómputo que conoces
como son las PC’s, LapTop’s y Servidores, sino que se incluyen también:
Logs de dispositivos de seguridad.
Firewalls.
Redes de Comunicación digital.
Telefonía móvil.
Tablets.
GPS,
Memorias.
El Cómputo forense es un arte dentro de la Seguridad de la Información, ya que permite recrear situaciones críticas,
ubicar personas y esclarecer situaciones utilizando métodos y herramientas que requieren de todo el expertise de un
profesional de la Seguridad de la Información.
24
Conclusiones
Las tecnologías de la información y comunicación siempre tendrán un gran impacto en lo social, económico y jurídico. Y
mientras sigan desarrollando normas que ayuden a regular delitos informáticos, será más fácil crear leyes para proteger
la información, incluso para prevenir la divulgación y/o mal uso de la recolección de datos a través de Internet.
Puede ser de utilidad los marcos referenciales como COBIT, pero lamentablemente las instituciones o empresas no
cooperan con la transparencia en el uso de datos y tampoco cumplen con sus obligaciones, no garantizan el derecho a la
protección de datos personales.
Son pocas las instituciones o empresas que ofrecen recomendaciones para mejorar la protección de datos personales,
incluso si cumplen con los deberes de la seguridad y confidencialidad, el factor humano, en la actualidad es quien genera
la desconfianza
25
Referencias
26
Ilustraciones
27