1. Políticas de seguridad informática.

Son una serie de normas y directrices que permiten garantizar la confidencialidad,

integridad y disponibilidad de la información de una empresa y minimizar los
riesgos que puedan afectar el desarrollo de sus actividades. Estas políticas no
solo van destinadas a los equipos técnicos e informáticos de una empresa, sino a
todos los miembros de la organización que sean susceptibles a producir algún
error o descuido de seguridad, pues muchos de los problemas de seguridad de las
empresas se producen por errores de las personas que no tienen en cuenta la
vulnerabilidad de los datos y la información de la que son responsables.
Una política de seguridad es un conjunto de requisitos definidos por los
responsables de un sistema, que indica en términos generales que está y que no
está permitido en el área de seguridad durante la operación general del sistema.
Debe ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y
eficiencia.

2. Como abordar la implementación de políticas de seguridad.

* Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta
la compañía, así como sus posibles consecuencias.
* Proporcionar una perspectiva general de las reglas y los procedimientos que
deben implementarse para afrontar los riesgos identificados en los diferentes
departamentos de la organización. Controlar y detectar las vulnerabilidades del
sistema de información, y mantenerse informado acerca de las falencias en las
aplicaciones y en los materiales que se usan.
* Definir las acciones a realizar y las personas a contactar en caso de detectar una
amenaza.
* Un mecanismo de seguridad física y lógica que se adapte a las necesidades de
la compañía y al uso de los empleados. Un procedimiento para administrar las
actualizaciones. Una estrategia de realización de copias de seguridad (backup)
planificada adecuadamente. Un plan de recuperación luego de un incidente. Un
sistema documentado actualizado.
- Causas de inseguridad
• Un estado de inseguridad activo; es decir, la falta de conocimiento del usuario
acerca de las
funciones del sistema, algunas de las cuales pueden ser dañinas para el sistema
(por ejemplo, no desactivar los servicios de red que el usuario no necesita).
• Un estado de inseguridad pasivo; es decir, la falta de conocimiento de las
medidas de seguridad
disponibles (por ejemplo, cuando el administrador o usuario de un sistema no
conocen los dispositivos de seguridad con los que cuentan).

3 Legislación Nacional e Internacional y los delitos informáticos.

Los países y las organizaciones internacionales se han visto en la necesidad de
legislar sobre los delitos informáticos, debido a los daños y perjuicios que le han
causado a la humanidad tratándose de los hechos en figuras típicas de carácter
tradicional, como fraude, falsificaciones, estafas, robo, hurto y sabotaje. En este
artículo se pretende dar una visión global sobre los avances en materia de
legislación nacional e internacional, que se ha desarrollado en esta materia.
Legislación Nacional
El Artículo 110 de la Constitución de la República Bolivariana de Venezuela
(2010), el Estado reconocerá el interés público de la ciencia, la tecnología, el
conocimiento, la innovación y sus aplicaciones y los servicios de información
necesarios por ser instrumentos fundamentales para el desarrollo económico,
social y político del país, así como para la seguridad y soberanía nacional. El
Estado garantizará el cumplimiento de los principios éticos y legales que deben
regir las actividades de investigación científica, humanística y tecnológica.
Artículo 60 señala que toda persona tiene derecho a la protección de su honor,
vida privada, intimidad, propia imagen, confidencialidad y reputación. La ley
limitará el uso de la informática para garantizar el honor y la intimidad personal y
familiar de los ciudadanos y ciudadanas y el pleno ejercicio de sus derechos.

La Ley Especial Contra los Delitos Informáticos (2001) tiene por Objeto la
Protección integral de los sistemas que utilicen tecnologías de información, así
como la prevención y sanción de los delitos cometidos contra tales sistemas o
cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas
tecnologías.
Legislación Internacional Son los problemas que han surgido a nivel internacional
en materia de delincuencia informática. Tradicionalmente se ha considerado en
todos los países el principio de territorialidad, que consiste en aplicar sanciones
penales cuando el delito ha sido cometido dentro del territorio nacional, pero, en el
caso del delito informático, la situación cambia porque el delito pudo haberse
cometido desde cualquier otro país, distinto a donde se materializa el daño. Entre
los delitos informáticos más frecuentes tratan de:
• Fraude y falsificación informáticos
• Alteración de datos y programas de computadora
• Sabotaje informático Acceso no autorizado Interpretación no autorizada y
• Reproducción no autorizada de un programa de computadora protegido.

Delitos informáticos
Es toda aquella acción anti-jurídica y culpable a través de vías informáticas o que
tiene como objetivo destruir y dañar por medios electrónicos y redes de Internet.
Existen conductas criminales por vías informáticas que no pueden considerarse
como delito, La criminalidad informática consiste en la realización de un tipo de
actividades que, reuniendo los requisitos que delimitan el concepto de delito, sean
llevados a cabo utilizando un elemento informático.
Existen leyes que tienen por objeto la protección integral de los sistemas que
utilicen tecnologías de información, así como la prevención y sanción de los delitos
cometidos en las variedades existentes contra tales sistemas o cualquiera de sus
componentes o los cometidos mediante el uso de dichas tecnologías.

4 Evaluación de riesgos.
Es un proceso que comprende la identificación de activos informáticos, sus
vulnerabilidades y amenazas a los que se encuentran expuestos, así como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del
riesgo.
Conocer el riesgo a los que están sometidos los activos es imprescindible para
poder gestionarlos, y por ello han surgido una multitud de guías informales,
aproximaciones metódicas y herramientas de soporte las cuales buscan objetivar
el análisis para saber cuán seguros (o inseguros) están dichos activos.
5 Estrategia de seguridad.
Existen algunas estrategias generales que responden a diferentes principios
asumidos para llevar a cabo la implementación de una solución de seguridad.
Mínimo privilegio: Este es uno de los principios más fundamentales de seguridad.
La estrategia consiste en conceder a cada objeto (usuario, programa y sistema)
solo aquellos permisos o privilegios que son necesarios para realizar las tareas
que se programó para ellos.
Defensa en profundidad: Esta estrategia se basa en la implementación de varios
mecanismos de seguridad y que cada uno de ellos refuerce a los demás. De esta
forma se evita que la falla de uno de los mecanismos deje vulnerable a la red
completa.
Punto de Ahogo (acceso): Esta estrategia consiste en depender de un único punto
de acceso a la red privada para todas las comunicaciones entre ésta y la red
pública. Ya que no existe otro camino para el tráfico de entrada y salida, los
esfuerzos de control y mecanismos de seguridad se centran y simplifican en
monitoria un solo sitio de la red.
El enlace más débil: Esta estrategia responde a un principio de seguridad que,
aplicado a redes, establece que un sitio es tan seguro como lo es su enlace más
débil. Este enlace suele ser el objetivo de los ataques a la privacidad de una red.
Estado a prueba de fallos: Esta estrategia considera un importante factor en la
seguridad de redes: ninguna solución de seguridad es 100% segura. Más o menos
segura, una protección puede fallar.
Protección Universal: Más que una estrategia, es un principio que debería cumplir
toda solución de seguridad. Se plantea que todo individuo en la organización que
posee la red privada debe colaborar en mantener y cumplir las medidas de
seguridad que permitan ofrecer una protección efectiva sus sistemas. De otra
forma, un atacante podría aprovechar la debilidad de aquellos sistemas a cargo de
estas personas para poder llegar al resto de los recursos de la red.
6 Tendencias de la seguridad microelectrónica.
La microelectrónica es la aplicación de la ingeniería electrónica a componentes y
circuitos de dimensiones muy pequeñas, microscópicas y hasta de nivel molecular
para producir dispositivos y equipos electrónicos de dimensiones reducidas, pero
altamente funcionales. Existen múltiples factores de índole tecnológicos que
explican la convergencia de la Microelectrónica, la Informática y las
Telecomunicaciones en las TIC. Pero todos se derivan de tres hechos
fundamentales:
Existen múltiples factores de índole tecnológicos que explican la convergencia de
la Microelectrónica, la Informática y las Telecomunicaciones en las TIC. Pero
todos se derivan de tres hechos fundamentales:
Los tres campos de actividad se caracterizan por utilizar un soporte físico común,
como es la microelectrónica. Por la gran componente de software incorporado a
sus productos. Por el uso intensivo de infraestructuras de comunicaciones que
permiten la distribución (deslocalización) de los distintos elementos de proceso de
la información en ámbitos geográficos distintos.