Documentos de Académico
Documentos de Profesional
Documentos de Cultura
i
INTRODUCCIÓN
i
1. ANÁLISIS DE RIESGO
a. Activos:
Son los recursos que pertenecen al propio sistema de
información o que están relacionados entre sí. Al hacer el
estudio de los activos existentes hay que tener en cuenta la
relación que guardan entre ellos y la criticidad que ejercen:
como afectarían en uno de ellos un daño ocurrido a otro. Entre
ellos tenemos: Se pueden clasificar en los siguientes tipos de
activos:
● Datos: Es considerado el elemento primordial para los
procesos de la organización, por lo general están
organizados en bases de datos y almacenados en
soportes de diferente tipo.
● Software: Lo conforma el el sistema operativo y las
aplicaciones del negocio instaladas en los equipos de
un sistema de información que reciben, gestionan o
1
transforman los datos para fines establecidos.
● Hardware: Corresponde los equipos (servidores y pcs)
que contienen las aplicaciones y permiten su
funcionamiento, a la vez que almacena los datos del
sistema de información.
● Redes: La constituyen las redes locales (LAN) de las
misma organización hasta las metropolitanas (WAN) o
internet. Representa la vía de comunicación y
trasmisión de los datos a distancia.
● Soportes: Los lugares donde la información quedara
registrada y almacenada durante largos periodos o de
forma permanente (DVD, CD, tarjetas de memoria,
discos duros externos dedicados al almacenamiento,
microfilms e incluso papel, SAN.).
● Instalaciones: Representan los lugares donde se
albergan los sistemas de información y de
comunicaciones. Normalmente se trata de oficinas,
despachos, locales, edificios o Datacenters.
● Personal: Los constituyen las personas que
interactúan con la información: administradores,
programadores, usuarios internos y externos, y resto
del personal de la empresa.
● Servicios: Es lo que se ofrecen a los clientes o usuarios,
productos, servicios, sitios web, foros, correo
electrónico y otros servicios de comunicaciones,
información, seguridad, etc.
2
b. Amenazas
De acuerdo a Espinoza E. y Rodríguez R. (2017), definen
amenaza como: “algún hecho que puede producir algún daño
provocado por algún evento natural o antrópico, es decir
originado por alguna actividad humana (p. 7). De lo anterior
expuesto, en el contexto de la Tecnología de la Información (TI),
la amenza la podemos interpretar como la presencia de uno o
más factores, ya sean equipos, eventos o personas que
pueden causar un deterioro a un sistema de información a
través del provechamiento de sus vulnerabilidades. Las
amenazas pueden ser estos tipos:
● Por el daño causado:
➢ De Interrupción: Su objetivo es deshabilitar el
acceso a la información. Se daña, pierde o deja de
funcionar un punto del sistema o se produce una
detección inmediata. Por ejemplo, la destrucción
de componentes de hardware como el disco duro,
bloqueando el acceso a los datos, o el corte o la
saturación de los canales de comunicación, borrado
de programas, fallos del sistema operativo.
➢ De interceptación: Cuando gente, programas o
equipos no autorizados pueden acceder a un
recurso determinado en un sistema y capturar
información sensible de la organización. Por
ejemplo datos, programas o la identidad de las
personas, copias ilícitas de programas, escucha en
línea de datos.
3
➢ De modificación: Cuando gente, software o
hardware no autorizado no sólo acceder a los
programas y datos de un sistema de información,
sino también realizarían modificaciones. Por
ejemplo, modificar la respuesta enviada a un
usuario conectado o alterar el comportamiento de
una aplicación instalada, modificación de bases de
datos, modificación de elementos del Hardware.
➢ De fabricación o generación: A añadir
información falsa en toda la información del sistema.
Por ejemplo, añadir transacciones en red, añadir
registros en base de datos.
● Por su origen pueden ser:
➢ Accidentales: Accidentes meteorológicos,
incendios, inundaciones, fallas de equipos, redes,
sistemas operativos o software, errores humanos.
➢ Intencionadas: Estos siempre se deben a la acción
humana, tales como la introducción de malware, la
piratería, robos. Las amenazas intencionales
pueden originarse fuera de la organización o incluso
el mismo personal de la compañía.
c. Riesgos
Se denomina riesgo a la posibilidad de que se materialice o
no una amenaza aprovechando una vulnerabilidad. Ante un
determinado riesgo, una organización puede optar por tres
alternativas distintas:
● Asumirlo sin hacer nada. Esto solamente resulta lógico
4
cuando el perjuicio esperado no tiene valor alguno o
cuando el coste de aplicación de medidas superaría al
de la reparación del daño.
● Aplicar medidas para disminuirlo o anularlo.
● Transferirlo (por ejemplo, contratando un seguro).
d. Vulnerabilidades
Probabilidades que existen de que una amenaza se
materialice contra un activo. No todos los activos son
vulnerables a las mismas amenazas. Por ejemplo, los datos son
vulnerables a la acción de los hackers, mientras que una
instalación eléctrica es vulnerable a un cortocircuito. Al hacer
el análisis de riesgos hay que tener en cuenta la vulnerabilidad
de cada activo.
e. Ataques
Se dice que se ha producido un ataque accidental o
deliberado contra el sistema cuando se ha materializado una
amenaza. En función del impacto causado a los activos
atacados, los ataq ues se clasifican en:
● Activos. Si modifican, dañan, suprimen o agregan
información, o bien bloquean o saturan los canales de
comunicación.
● Pasivos. Solamente acceden sin autorización a los
datos contenidos en el sistema. Son los más difíciles de
detectar.
Un ataque puede ser directo o indirecto, si se pro duce
desde el atacante al elemento «víctima» directamente, o a
5
través de recursos o personas intermediarias.
f. Impactos
Son la consecuencia de la materialización de una o más
amenazas sobre uno o vaRios activos aprovechando la
vulnerabilidad del sistema o, dicho de otra manera, el daño
causado. Los impactos pueden ser cuantitativos, si los
perjuicios pueden cuantificarse económicamente, o
cualitativos, si suponen daños no cuantificables, como los
causados contra los derechos fundamentales de las personas.
6
f. Determinar sistemas de medición de riesgos.
g. Determinar el impacto que produciría un ataque.
h. Identificar y seleccionar las medidas de protección.
7
2. MARCO LEGAL
8
● Gaceta Oficial N° 37.148 del 28 de febrero de 2001
LEY SOBRE MENSAJES DE DATOS Y FIRMAS
ELECTRÓNICAS, tiene por objeto otorgar y reconocer
eficacia y valor jurídico a la Firma Electrónica, al Mensaje de
Datos y a toda información inteligible en formato
electrónico, independientemente de su soporte material,
atribuible a personas naturales o jurídicas, públicas o
privadas, así como regular todo lo relativo a los
Proveedores de Servicios de Certificación y los Certificados
Electrónicos.
9
(SUDEBAN) y otras instituciones financieras tiene la
obligación de instruir a los Bancos y demás Instituciones
Financieras, mecanismos y controles de seguridad
asociados a la plataforma tecnológica para proteger a sus
clientes y/o usuarios contra los fraudes electrónicos.
10
acceso e intercambio electrónico de datos, información y
documentos entre los órganos y entes del Estado, con el fin
de garantizar la implementación de un estándar de
interoperabilidad. Este decreto en su Artículo 34, nos
habla de la Seguridad de los Servicios, indivando que
deben deberán ser seguros, garantizando la privacidad,
confidencialidad e integridad de los datos, información y
documentos que se intercambien entre los órganos y entes
del Estado.
11
Tecnología (MPPEUCT), la responsabilidad de desarrollar,
implementar y ejecutar El Sistema Nacional de Seguridad
Informática, con el propósito de resguardar la autenticidad,
integridad, inviolabilidad de los datos, información y
documentos electrónicos obtenidos o generados por el
Poder Público y el Poder Popular.
12
información, servicios, infraestructuras de tecnologías de
información e infraestructuras críticas que los soportan, y
que están en poder y gestión de los órganos y entes del
Poder Público y Poder Popular.
13
2.2. Legislación Internacional
● Convenio de Budapest
En noviembre del 2001 en Hungría fue adoptado por
Canadá, Japón, Estados Unidos y Sudáfrica el Convenio
sobre Ciberdelincuencia del Consejo de Europa –CCC
conocido como el Convenio de Budapest, considerado por
muchos como el primer tratado internacional como medida
para los delitos informáticos y el 1ro de junio del 2004 entró
en vigor y a partir de esta fecha muchos países han firmado
y ratificado su adhesión. Entre los países Latinoamericanos
adheridos a este convenio se encuentran México, El
Salvador, Argentina, Costa Rica, Uruguay, Chile, República
Dominicana, Panamá, Perú y Colombia.
De manera sencilla se puede determinar que el
principal objetivo de este convenio es adoptar una
legislación que permita facilitar y orientar en la prevención
de conductas delictivas en temas informáticos y provea
herramientas penales eficientes que permitan detectar,
investigar y sancionar conductas antijurídicas. El Consejo
Europeo consideró que los delitos cibernéticos requieren
una política penal común como medida preventiva en el
ciberespacio adoptando una legislación apropiada y con el
fortalecimiento de la cooperación internacional.
14
seguridad cibernética. Estipula tres vías de acción:
➢ Creación de una Red Hemiférica de Equipos
Nacionales de Respuesta a Incidentes de Seguridad
de Computadores - CSIRT. Este cometido fue
asignado al Comité Interamericano Contra el
Terrorismo - CICTE.
➢ Identificación y adopción de normas técnicas para
una arquitectura segura de Internet. Esta labor es
desarrollada por la Comisión Interamericana de
Telecomunicaciones.
➢ Adopción y/o adecuación de los instrumentos
jurídicos necesarios para proteger a los usuarios de
Internet y las redes de información de los
delincuentes y los grupos delictivos organizados que
utilizan estos medios, a cargo de las Reuniones de
Ministros de Justicia o de Ministros o Procuradores
Generales de las Américas - REMJA.
15
● Resolución 64/25 “Los avances en la esfera de la
información y las telecomunicaciones en el contexto
de la seguridad internacional” Asamblea General de
las Naciones Unidas (ONU).
La Asamblea General exhorta a los Estados miembros a
seguir promoviendo el examen multilateral de las
amenazas reales y potenciales en el ámbito de la seguridad
de la información y de posibles medidas para limitar las
amenazas que surjan en ese ámbito, de manera
compatible con la necesidad de preservar la libre
circulación de información.
16
de 2009 y el Código de Ética.
f) Costa Rica: Ley 9048 del 2012 Reforma de la
Sección VIII, Delitos Informáticos y Conexos, del
Título VII del Código Penal.
g) Ecuador: Ley de comercio electrónico, firmas
electrónicas y mensajes de datos No. 2002-67.
h) El Salvador: Ley 260 Especial de Delitos
Informáticos y Conexos, aprobada el 4 de febrero del
año 2016 para proteger los bienes jurídicos de
aquellas conductas delictivas cometidas por medio
de las TIC.
i) México: Código Penal Federal (Reformas 17 de mayo
de 1999), Persona física o moral del sector privado
(Art. 211 Bis 1), Servidor público del Estado (Arts.
211 Bis 2 y 3).
j) Panamá: Aunque está adherido al convenio de
Budapest desde el 2014, el Código penal solo tipifica
2 conductas como delitos informáticos.
k) Paraguay: Ley 4439 del 2011, modifica y amplia
varios artículos de la ley n° 1160/97 código penal.
l) Perú: Ley de Delitos Informáticos que incorpora dos
artículos al código penal mediante el Decreto
Legislativo No. 635 de 1999.
m) Puerto Rico: Código Penal y la ley 1165 del 2008 o
ley de espionaje cibernético.
n) Republica Dominicana: Ley No 53-07 del 2007 Ley
Especial contra Crímenes y Delitos de Alta
Tecnología.
o) Uruguay: Aprobó la Ley de Protección de Datos
Personales y Acción de Habeas Data N° 18.331 el 11
de agosto de 2008.
p) Venezuela: En septiembre del 2001 se firma en
Caracas la Ley especial contra los delitos
informáticos.
17
CONCLUSIÓN
La legislación penal venezolana sigue siendo insuficiente, en la
medida que es difícil enmarcar comportamientos indebidos por
parte de los delincuentes informáticos dentro de la normatividad
actual existente.
18
REFERENCIAS BIBLIOGRAFICAS
19