República Bolivariana de Venezuela Ministerio del Poder Popular para la Defensa Universidad Nacional Experimental Politécnica de la Fuerza Armada

Análisis y Diseño de Sistemas 1MG IV Semestre Núcleo: Guatire

Grupo # 5 • • • • • • • • Santaella Piaté Nehomar Olivares Gregory Mendez Ehison Peréz Silva Aída Sarai Roberto Perdomo Yolibel Salazar Manuel Tovar

Delíto
Es un acto o acción antijurídica realizado por un ser humano, tipificado, culpable y sancionado por una pena. En sentido legal, los códigos penales y la doctrina definen al "delito" como toda aquella conducta (acción u omisión) contraria al ordenamiento jurídico del país donde se produce.

Informática
Es un conjunto de técnicas destinadas al tratamiento lógico y automatizado de la información para una mejor toma de decisiones.

Son todos aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido de cualquier medio Informático. El término delito relacionado con la computadora se define como cualquier comportamiento antijurídico, no ético o no autorizado, relacionado con el procesamiento y/o transmisión de datos.

Las políticas administrativas:

Esta política es la encargada de definir, implementar, controlar y mantener las políticas, normas, estándares, procedimientos, funciones y responsabilidades necesarias para preservar y proteger la confidencialidad, disponibilidad e integridad de la información de la entidad donde esta resida (aplicaciones, bases de datos, S.O, redes, copias de seguridad y medios).

Establecer e implementar un plan de seguridad.


Participar activamente de los proyectos informáticos.
Definir directrices básicas de seguridad informática para las diferentes adquisiciones de tecnología de hardware y software. Interactuar con los mecanismos de control internos y externos.

Direccionar, recomendar y aconsejar al personal, sobre la seguridad informática. Garantizar el mantenimiento preventivo y correctivo del sistema de seguridad informática.

Las políticas del Personal

La empresa debe tener políticas rigurosas en cuanto a la contratación de personal para el área de informática. Es de vital importancia el exigir experiencia y que el aspirante posea referencias de empleos previos y que estas sean verificadas de forma minuciosa, así se estará verificando la responsabilidad y ética del individuo en cuestión y descartando que en empleos anteriores se haya visto envuelto en algún tipo de irregularidad que ponga en duda su honorabilidad y honradez. Además de esto el aspirante debe cumplir con el perfil que se detalla a continuación.

Los individuos para este puesto deben de cumplir con los siguientes requerimientos:


  

Ingeniero en Sistema o Informática. Conocimientos en manejo de bases de datos y centros de procesamientos de datos. Con amplia experiencia en distintas ramas del área. Experiencia mínima de 4 años en puesto similar. Manejo de Ingles Técnico. Edad entre 27 y 35 años.

Es un proceso efectuado por el directorio, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones.  Fiabilidad de la información financiera.  Cumplimiento de las leyes y normas aplicables.

Dentro del marco integrado se identifican cinco elementos de control interno que se relacionan entre sí y son inherentes al estilo de gestión de la empresa. Los mismos son:
 


 

Ambiente de Control. Evaluación de Riesgos. Actividades de Control. Información y Comunicación. Supervisión o Monitoreo.

Auditoría: Es una recopilación, acumulación y evaluación de evidencia sobre información de una entidad, para determinar e informar el grado de cumplimiento entre la información y los criterios establecidos. Auditoría Informática: Consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.

Áreas Específicas

Áreas Generales Interna Dirección Usuario Seguridad

Explotación Desarrollo Sistemas Comunicaciones Seguridad

Las áreas especificas que se deben de tomar en cuenta al momento de realizar una auditoria son:
1.
2.

3.
4. 5.

Auditoría Informática de Explotación. Auditoría Informática de Desarrollo de Proyectos o Aplicaciones. Auditoría Informática de Sistemas. Auditoría Informática de Comunicaciones y Redes. Auditoría de la Seguridad informática.

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc.

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizables tiene la empresa.

La Explotación Informática se divide en tres grandes áreas: Planificación, Producción y Soporte Técnico, en la que cada cual tiene varios grupos:


 

Control de Entrada de Datos Planificación y Recepción de Aplicaciones Centro de Control y Seguimiento de Trabajos Batch y Tiempo Real Operación. Salas de Ordenadores

Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas. Las comunicaciones, Líneas y Redes de las instalaciones informáticas, entre otras. Para el Auditor de sistemas es importante conocer: Sistemas Operativos  Software Básico  Tunning

Tunning: Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto. El tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas de actuación según los síntomas observados. Se pueden realizar: Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema.  De modo sistemático y periódico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y están planificados y organizados de antemano.

Es llevar a la mejor eficiencia y eficacia todos los sistemas antes nombrado. El entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del tiempo real.

La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan y la seguridad lógica que tiene que ver con el software y aplicaciones utilizadas para el funcionamiento del sistema.

Existe una Aplicación de Seguridad que se llama SEOS. Para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, etc. La Aplicación lo puede graficar, tirar en números, puede hacer reportes, etc.

Impacto

Amenaza
……..

Error

Incendio

Sabotaje

1: Improbable 2: Probable 3: Certeza -: Despreciable

Destrucción de Hardware

-

1

1

Borrado de Información

3

1

1

Checklist
Pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente, a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.

El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta.

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación: Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)

Se supone que se está realizando una auditoría sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Cálculo. Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes significados: <Puntuaciones> 2 : Deficiente. 3 : Mejorable. 5 : Correcto.

1 : Muy deficiente. 4 : Aceptable.

-¿Existe personal específico de vigilancia externa al edificio? -No, solamente un guarda por la noche que atiende además otra instalación adyacente. <Puntuación: 1> -El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de Computadoras? -No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas que por causa muy justificada, y avisando casi siempre al Jefe de Explotación. <Puntuación: 4>

El resultado sería el promedio de las puntuaciones: (1 + 4) /2= 2,5 Mejorable Las Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en la checklist binaria. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor.

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

1.

Por la aparición de las computadoras, es un hecho que sin ellas los delitos no serían informáticos. Por la propia naturaleza del ser humano, es decir, que el ser humano es egoísta y tiene una ambición desmedida, o sea, que siempre quiere ir mas allá del uso del normal de las cosas y perjudicar a alguien más

2.

3.

Surgen por la misma ociosidad, personas amante de la informática que no tienen nada que hacer

LA SOBERBIA ¿Lo puedes creer? Este pobre individuo apenas tiene una PENTIUM 4.
1.

Esta frase demuestra un desprecio tan injustificado hacia el dueño de la Pentium 4 como el de sudafricanos blancos hacia sus pares de color.

LA ENVIDIA Sabio es aquél que vive feliz con lo que tiene ¿para qué vamos a estar codiciando la PC del vecino si con la nuestra nos alcanza y sobra?
2.

3 y 4. LA GULA Y LA LUJURIA Quizás éstas sean las tentaciones más difíciles de resistir, si no se cuenta con una madre o esposa que nos llame la atención cuando llevamos 16 horas sentados frente a la máquina

5. LA AVARICIA Los creadores de programas shareware o de dominio público son un ejemplo de probidad. Ellos comparten amablemente sus creaciones, muchas veces sin esperar otra retribución que un consejo sincero de cómo mejorar sus programas.

6. LA PEREZA Aquí no hay mucho que se pueda decir, al fin y al cabo la finalidad de la PC es que trabajemos menos, ¿o no?. El secreto de la sabiduría es saber emplear el tiempo que nos sobra, no para vaguear sino para hacer algo útil, como regar las plantas

7.LA IRA

En este caso, la computadora no es la culpable sino más bien la víctima, como en todos los órdenes de la vida, no está bien enojarse contra el que no tiene nada que ver.

El auditor informático al detectar irregularidades en el transcurso de sus revisiones que le indiquen la ocurrencia de un delito informático, deberá realizar lo siguiente:
Determinar si se considera la situación un delito realmente.  Determinar los vacíos de la seguridad existentes y que permitieron el delito.  Informar a la autoridad correspondiente dentro de la organización.  Informar a autoridades regulatorias cuando es un requerimiento legal.

Este tipo de fraude informático conocido también como sustracción de datos, representa el delito Informático mas común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.

En esta se relacionan las conductas típicas informáticas que podrían ser incluidas en los diferentes estatutos penales, a saber:

Manipulación indebida de datos a través de la utilización de un sistema de tratamiento de la información. El fraude informático; tal manipulación puede realizarse a través de la utilización de un sistema (input) en los programas, en la salida de datos del sistema (output).

El fraude informático, puede ser de las siguientes maneras:

Data diddiling o introducción de datos falsos: Es una manipulación de datos de entrada al ordenador con el fin de producir o lograr movimientos falsos en transacciones de una empresa ora otorgarle solvencia moral y económica a una persona que no la tiene.

Rounding down o la técnica de salami: Consiste en introducir al programa unas instrucciones para que remita a una determinada cuenta los céntimos de dinero de muchas cuentas corrientes. Superzapping o llave no autorizada: Que abre cualquier archivo del ordenador por muy protegido que esté, con el fin de alterar, borrar, copiar, insertar o utilizar, en cualquier forma no permitida, datos almacenados en el ordenador

Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas.

La manipulación de programas: Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Manipulación de los datos de salida: Se efectúa fijando un objetivo al funcionamiento del sistema informático Daños o modificaciones de programas o datos computarizados. Sabotaje informático: Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema.

Virus: Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos
Los virus pueden ser programados para llevar a cabo las siguientes tareas, y muchas otras:
    

Copiarse ellos mismos a otros programas. Desplegar información en la pantalla. Destruir archivos de datos. Borrar un disco duro entero. Descargar un archivo de otro usuario, de un servicio en línea o de Internet.

Gusanos: Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. Bomba lógica o cronológica: Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro.

Acceso no autorizado a servicios y sistemas informáticos: Por motivos diversos: desde la simple curiosidad (hackers), como en el caso de muchos piratas informáticos hasta el sabotaje o espionaje informático (crackers).

Son todas aquellas personas listas, decididas que poseen habilidades extraordinarias para operar, programar y en fin para realizar actividades informáticas que normalmente estarían fuera del alcance del común de las personas que usan los sistemas informáticos.

Hackers "buenos", la definición más aceptable seria: "un grupo de personas que disfruta de aprender los detalles de un sistema de computadoras y cómo extender su capacidad«
Hackers "malos" podríamos definirlos como: "Un grupo de personas irresponsables y sin ética que representan un grave riesgo a la sociedad debido a sus acciones relacionadas con quebrantar los sistemas computacionales"

Son igualmente listos, decididos y habilidosos para operar, programar y en fin para realizar cualquier actividad informática, pero a diferencia de los hacker su intención si es causar un daño grave a terceros, es decir en ellos existe un dolo malo; verbigracia, un cracker es capaz de hacer programas virus, colocarlo vía la red, causando destrucción en muchos sitios en la Web, significando estos para ellos una satisfacción personal.

Tecnicas de Simulacion y Modelaje
Simulación

Es una técnica que trata de imitar el comportamiento de un sistema ante determinados cambios o estímulos. Es la técnica de desarrollo y ejecución de un modelo de un sistema real para estudiar su conducta sin irrumpir en el entorno del sistema real; Representar algo, fingiendo o imitando lo que no es

Como regla general, la simulación es apropiada cuando: Desarrollar un modelo analógico es muy difícil o quizás aún imposible  El sistema tiene una o más variables aleatorias relacionadas  La Dinámica del sistema es extremadamente compleja  El objetivo es observar el comportamiento del sistema sobre un período  La habilidad de mostrar la animación es importante.

Modelaje Un modelo es una representación simplificada del sistema en un instante de tiempo o espacio concreto realizada para comprender el sistema real.

Las herramientas de modelado, permiten crear un "simulacro" del sistema, a bajo costo y riesgo mínimo. A bajo costo porque, al fin y al cabo, es un conjunto de gráficos y textos que representan el sistema, pero no son el sistema físico real (el cual es más costoso). Además minimizan los riesgos, porque los cambios que se deban realizar (por errores o cambios en los requerimientos), se pueden realizar más fácil y rápidamente sobre el modelo que sobre el sistema ya implementado.

Constitución de la República Bolivariana de Venezuela
1. Artículo 10

Ley Especial Contra los Delitos Informáticos
Título II .De los delitos. Capítulo I . De los Delitos Contra los Sistemas que Utilizan Tecnologías de Información. Artículo 7. -Sabotaje o daño a sistemas. Artículo 11.-Espionaje informático. Artículo 12.- Falsificación de documentos. Capítulo II. De los Delitos Contra la Propiedad Artículo 14.- Fraude. Artículo 15.- Obtención indebida de bienes o servicios.


 


  

Derecho Penal Informático Privacidad y Comunicaciones LOPNA: Pornografía Orden Económico: Propiedad Intelectual y Competencia Desleal Privacidad y Seguridad: Redes y Sistemas Derecho Internacional De la Propiedad - Comercio Electrónico

Algunos Delitos Expuestos en la LDI
Hurto:

Que se usen las tecnologías de información - sistema informático o medio de comunicación; Que se acceda, intercepte, interfiera, manipule o use de cualquier forma un sistema o medio de comunicación; Que se apoderen de bienes o valores tangibles o intangibles y que éstos sean de carácter patrimonial; Que haya una sustracción a su tenedor; Que haya ánimo de lucro para el autor o para un tercero.

Falsificación de Documentos: Que se usen las tecnologías de información - sistema informático o medio de comunicación;

Que se cree, modifique o elimine parcial o totalmente un documento que esté incorporado a un sistema que use TI;

Que incorpore un nuevo documento;
 

Que haya un beneficio.

Algunos Delitos Expuestos en la LDI
Fraude:  Que se usen las tecnologías de información - sistema informático o medio de comunicación;  Que se manipulen sistemas o cualquiera de sus componentes o en la data o información en ellos contenida,  Que se inserten instrucciones falsas o fraudulentas;  Que se produzca un resultado que permita obtener un provecho injusto en perjuicio ajeno. Exhibición Pornográfica:
Que se usen las tecnologías de información - sistema informático o medio de comunicación;

Que se exhiba, difunda, transmita o venda material pornográfico o reservado para adultos;

Que no hayan las llamadas “advertencias legales”;

Que se utilize la imagen de niños con fines exhibicionistas o pornográficos.

Penalidad de la LDI
   

Prisión (dependiendo de cada delito). Multas por Unidades Tributarias (Bs.F 76 cada U.T.). Penas Accesorias: Inhabilitación para el ejercicio público del cargo (hasta 3 años). Indemnización Civil: En la sentencia el Juez impondrá un monto equivalente al daño causado.

Es importante destacar que en la nueva Ley Especial de los Delitos Informáticos venezolana, en su artículo 5to. nos introducen como un aspecto novedoso, la responsabilidad de las personas jurídicas. Es decir, las personar Jurídicas van a ser responsables por los delitos cometidos por sus empleados según las condiciones que señala el mencionado artículo, situación esta que no sucede con ninguna otra Ley en Venezuela.

ESTA HISTORIA CONTINUARÁ…

FIN!!

Sign up to vote on this title
UsefulNot useful