Repblica Bolivariana de Venezuela

Ministerio del Poder Popular la Educacin Universitaria, Ciencia y Tecnologa

Instituto Universitario Tecnolgico Agro Industrial

Programa Nacional de Formacin Extensin Colon (Zona Norte) Estado Tchira

Polticas de Seguridad Informtica

Autora:

Snchez Franyelica N C.I:

20.386.082 Trayecto:

IV

San Juan de Coln, Julio 2015

Introduccin

La falta de polticas y procedimientos en seguridad es uno de los

problemas ms graves que confrontan las empresas hoy da en lo que se refiere a la proteccin de sus activos de informacin frente a peligros externos

e internos. La polticas de seguridad son esencialmente orientaciones e instrucciones que indican cmo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantacin efectiva de medidas de

proteccin tales como: identificacin y control de acceso, respaldo de datos, planes de contingencia y deteccin de intrusos.

Si bien las polticas varan considerablemente segn el tipo de organizacin de que se trate, en general incluyen declaraciones generales

sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relacin a las violaciones de seguridad. A menudo las polticas van

acompaadas de normas, instrucciones y procedimientos.

Los llamados delitos informticos no son cometidos por la computadora,

sino que es el hombre quien los comete con ayuda de aqulla. En ese entendido, el presente trabajo se dirige al anlisis de las posibles medidas

preventivas, ya sean de carcter administrativo o penal que deben ser tomadas en cuenta para evitar que la comisin de este tipo de infracciones o delitos alcance y los niveles de peligrosidad que se han registrado en otros pases y

adems, debido a la tendencia creciente hacia un estilo de vida nmada de hoy en da, el cual permite a los empleados conectarse a los sistemas de

informacin casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de informacin fuera de la infraestructura segura de la compaa.

Polticas de Seguridad Informtica

Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin del

personal, en relacin con los recursos y servicios informticos de la organizacin. No se puede considerar que una poltica de seguridad informtica

es una descripcin tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de los que deseamos proteger y el por qu de ello, pues cada

poltica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un

motor de intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos.

Surgen como una herramienta organizacional para concientizar a los

colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer o identificar una poltica de

seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar

dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas.

Como abordar la Implementacin de la Polticas de Seguridad

La implementacin de medidas de seguridad, es un proceso Tcnico-

Administrativo. Como este proceso debe abarcar toda la organizacin, sin exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.

Se deber tener en cuenta que la implementacin de Polticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la

organizacin.

La implementacin de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como

administrativamente. Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y tcnicos que se

generen. Es fundamental no dejar de lado la notificacin a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de otorgar visibilidad a los actos de la administracin.

Una PSI informtica deber abarcar:

Alcance de la poltica, incluyendo sistemas y personal sobre el cual se aplica.

Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin.

Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organizacin.

Responsabilidades de los usuarios con respecto a la informacin que generan y a la que tienen acceso.

Requerimientos mnimos para la configuracin de la seguridad de los sistemas al alcance de la poltica.

Definicin de violaciones y las consecuencias del no cumplimiento de la poltica.

Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que

permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo suceder; ya que no es una sentencia obligatoria de la ley.

Explicaciones comprensibles (libre de tecnicismos y trminos legales pero sin sacrificar su precisin) sobre el porque de las decisiones

tomadas. Finalmente, como documento dinmico de la organizacin, deben seguir

un proceso de actualizacin peridica sujeto a los cambios

organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotacin de personal,

desarrollo de nuevos servicios, cambio o diversificacin de negocios, etc.

Evaluacin de Riesgos

El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de

que ocurran cosas negativas.

Se debe poder obtener una evaluacin econmica del impacto de estos sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin de la informacin en anlisis, versus el costo de volverla

a producir (reproducir).

Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de accin

adecuado.

Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deber identificar los recursos (hardware,

software, informacin, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto.

La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma personalizada para cada organizacin; pero se puede presupone

algunas preguntas que ayudan en la identificacin de lo anteriormente expuesto:

Qu puede ir mal?

Con qu frecuencia puede ocurrir? Cules seran sus consecuencias?

Qu fiabilidad tienen las respuestas a las tres primeras preguntas?

Se est preparado para abrir las puertas del negocio sin sistemas, por un da, una semana, cuanto tiempo?

Cul es el costo de una hora sin procesar, un da, una semana? Cunto, tiempo se puede estar off-line sin que los clientes se vayan a

la competencia?

Se tiene forma de detectar a un empleado deshonesto en el sistema? Se tiene control sobre las operaciones de los distintos sistemas?

Cuantas personas dentro de la empresa, (sin considerar su honestidad), estn en condiciones de inhibir el procesamiento de datos?

A que se llama informacin confidencial y/o sensitiva?

La informacin confidencial y sensitiva permanece as en los sistemas? La seguridad actual cubre los tipos de ataques existentes y est

preparada para adecuarse a los avances tecnolgicos esperados? A quien se le permite usar que recurso? Quin es el propietario del recurso? y quin es el usuario con

mayores privilegios sobre ese recurso? Cules sern los privilegios y responsabilidades del Administrador vs.

la del usuario? Cmo se actuar si la seguridad es violada?

Una vez obtenida la lista de cada uno de los riesgos se efectuar un

resumen del tipo:

Tipo de Riesgo Factor

Robo de hardware Alto

Robo de informacin

Alto

Vandalismo Medio

Fallas en los equipos

Medio

Virus Informticos Medio

Equivocaciones Medio

Accesos no

autorizados Medio

Fraude Bajo

Fuego Muy Bajo

Terremotos Muy

Bajo

Segn esta tabla habr que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios segn el factor de riesgo representado.

Estrategia de Seguridad

Para establecer una estrategia adecuada es conveniente pensar una

poltica de proteccin en los distintos niveles que esta debe abarcar y que no son ni mas ni menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que existe entre estos factores. En cada caso considerado, el

plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva.

La Estrategia Proactiva (proteger y proceder) o de previsin de ataques

es un conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos

vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinacin del dao que un ataque va a provocar en un

sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudar a desarrollar esta estrategia.

La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al

ataque ayuda al personal de seguridad a evaluar el dao que ha causado el

ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir

que las funciones comerciales se normalicen lo antes posible.

Con respecto a la postura que puede adoptarse ante los recursos compartidos:

Lo que no se permite expresamente est prohibido: significa que la organizacin proporciona una serie de servicios bien determinados y

documentados, y cualquier otra cosa est prohibida.

Lo que no se prohbe expresamente est permitido: significa que, a menos que se indique expresamente que cierto servicio no est disponible, todos los dems s lo estarn.

Estas posturas constituyen la base de todas las dems polticas de

seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qu acciones se toleran y cules no. Actualmente, y "gracias" a las, cada da ms repetitivas y eficaces, acciones

que atentan contra los sistemas informticos los expertos se inclinan por recomendar la primera poltica mencionada.

Legislacin Nacional e internacional y los delitos informticos

El delito informtico implica actividades criminales que los pases han tratado de encuadrar en figuras tpicas de carcter tradicional, tales como

robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las tcnicas informticas ha creado

nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulacin por parte del derecho. Se considera que no existe una definicin formal y universal de delito

informtico pero se han formulado conceptos respondiendo a realidades nacionales concretas: no es labor fcil dar un concepto sobre delitos

informticos, en razn de que su misma denominacin alude a una situacin

muy especial, ya que para hablar de delitos en el sentido de acciones tpicas,

es decir tipificadas o contempladas en textos jurdicos penales, se requiere que la expresin "delitos informticos" est consignada en los cdigos penales, lo

cual en nuestro pas, al igual que en otros muchos no han sido objeto de tipificacin an. La Organizacin de Naciones Unidas (ONU) reconocen los siguientes

tipos de delitos informticos:

1. Fraudes cometidos mediante manipulacin de computadoras:

Manipulacin de los datos de entrada: este tipo de fraude informtico conocido tambin como sustraccin de datos, representa el delito informtico ms comn ya que es fcil de

cometer y difcil de descubrir. La manipulacin de programas: consiste en modificar los

programas existentes en el sistema o en insertar nuevos

programas o rutinas. Es muy difcil de descubrir y a menudo pasa inadvertida debido a que el delincuente tiene conocimientos

tcnicos concretos de informtica y programacin. Manipulacin de los datos de salida: se efecta fijando un objetivo

al funcionamiento del sistema informtico. El ejemplo ms comn

es el fraude del que se hace objeto a los cajeros automticos mediante la falsificacin de instrucciones para la computadora en

la fase de adquisicin de datos. Fraude efectuado por manipulacin informtica: aprovecha las

repeticiones automticas de los procesos de cmputo. Es una

tcnica especializada que se denomina "tcnica del salchichn" en la que "rodajas muy finas" apenas perceptibles, de

transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Se basa en el principio de que 10,66 es igual a 10,65 pasando 0,01 centavos a la cuenta del

ladrn n veces.

2. Manipulacin de los datos de entrada:

Como objeto: cuando se alteran datos de los documentos

almacenados en forma computarizada. Como instrumento: las computadoras pueden utilizarse tambin

para efectuar falsificaciones de documentos de uso comercial.

3. Daos o modificaciones de programas o datos computarizados:

Sabotaje informtico: es el acto de borrar, suprimir o modificar sin

autorizacin funciones o datos de computadora con intencin de obstaculizar el funcionamiento normal del sistema.

Acceso no a autorizado a servicios y sistemas informticos: estos acceso se pueden realizar por diversos motivos, desde la simple curiosidad hasta el sabotaje o espionaje informtico.

Reproduccin no autorizada de programas informticos de proteccin legal: esta puede entraar una prdida econmica sustancial para los propietarios legtimos. Algunas jurisdicciones

han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el trfico de esas

reproducciones no autorizadas a travs de las redes de telecomunicaciones modernas. Al respecto, se considera, que la

reproduccin no autorizada de programas informticos no es un delito informtico debido a que el bien jurdico a tutelar es la propiedad intelectual.

Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso Internacional de Derecho ha propuesto todas las formas de conductas lesivas de la que puede ser objeto la informacin.

Ellas son:

Fraude en el campo de la informtica.

Falsificacin en materia informtica. Sabotaje informtico y daos a datos computarizados o programas

informticos. Acceso no autorizado. Intercepcin sin autorizacin.

Reproduccin no autorizada de un programa informtico protegido. Espionaje informtico.

Uso no autorizado de una computadora. Trfico de claves informticas obtenidas por medio ilcito. Distribucin de virus o programas delictivos.

Delincuente y Victima

Sujeto Activo: Son aquellas que poseen ciertas caractersticas que no presentan el denominador comn de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informticos y generalmente por su situacin laboral se encuentran en

lugares estratgicos donde se maneja informacin de carcter sensible, o bien son hbiles en el uso de los sistemas informatizados, an cuando,

en muchos de los casos, no desarrollen actividades laborales que faciliten la comisin de este tipo de delitos.

Con el tiempo se ha podido comprobar que los autores de los delitos informticos son muy diversos y que lo que los diferencia entre s es la

naturaleza de los delitos cometidos. De esta forma, la persona que "entra" en un sistema informtico sin intenciones delictivas es muy diferente del empleado

de una institucin financiera que desva fondos de las cuentas de sus clientes.

Sujeto Pasivo: Este, la vctima del delito, es el ente sobre el cual recae la conducta de accin u omisin que realiza el sujeto activo. Las vctimas pueden ser individuos, instituciones crediticias, instituciones militares,

gobiernos, etc. que usan sistemas automatizados de informacin, generalmente conectados a otros.

El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los delitos informticos, ya que mediante l podemos conocer los

diferentes ilcitos que cometen los delincuentes informticos. Es imposible conocer la verdadera magnitud de los delitos informticos, ya que la mayor

parte no son descubiertos o no son denunciados a las autoridades responsables y si a esto se suma la falta de leyes que protejan a las vctimas de estos delitos; la falta de preparacin por parte de las autoridades para

comprender, investigar y aplicar el tratamiento jurdico adecuado; el temor por parte de las empresas de denunciar este tipo de ilcitos por el desprestigio que

esto pudiera ocasionar a su empresa y las consecuentes prdidas econmicas, trae como consecuencia que las estadsticas sobre este tipo de conductas se mantenga bajo la llamada "cifra negra".

Legislacin Nacional

El Artculo 110 de la Constitucin de la Repblica Bolivariana de Venezuela (2010), el Estado reconocer el inters pblico de la ciencia, la

tecnologa, el conocimiento, la innovacin y sus aplicaciones y los servicios de informacin necesarios por ser instrumentos fundamentales para el desarrollo

econmico, social y poltico del pas, as como para la seguridad y soberana nacional. Para el fomento y desarrollo de esas actividades, el Estado destinar recursos suficientes y crear el sistema nacional de ciencia y tecnologa de

acuerdo con la ley. El sector privado deber aportar recursos para los mismos. El Estado garantizar el cumplimiento de los principios ticos y legales que

deben regir las actividades de investigacin cientfica, humanstica y tecnolgica. La ley determinar los modos y medios para dar cumplimiento a esta garanta.

El Artculo 28 de la CRBV establece que toda persona tiene el derecho de

acceder a la informacin y a los datos que sobre s misma o sobre sus bienes consten en registros oficiales o privados, igualmente, podr acceder a documentos de cualquier naturaleza que contengan informacin cuyo

conocimiento sea de inters para comunidades o grupos de personas. Por otra parte el Artculo 60 seala que toda persona tiene derecho a la proteccin de

su honor, vida privada, intimidad, propia imagen, confidencialidad y reputacin. La ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de sus

derechos.

A su vez, el Artculo 143 acota que los ciudadanos y ciudadanas tienen derecho a ser informados e informadas oportuna y verazmente por la Administracin Pblica, asimismo, tienen acceso a los archivos y registros

administrativos, sin perjuicio de los lmites aceptables dentro de una sociedad democrtica. La Ley Especial Contra los Delitos Informticos (2001) tiene por

Objeto la Proteccin integral de los sistemas que utilicen tecnologas de

informacin, as como la prevencin y sancin de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los cometidos

mediante el uso de dichas tecnologas.

Entre los primeros delitos informticos que aquejan al venezolano, hoy

da figuran los financieros. La clonacin de tarjetas de crdito y dbito y la obtencin de informacin de las cuentas, ha generado en los ltimos aos

prdidas millonarias.

La pornografa infantil es el segundo con mayor nmero de denuncias, la

estafa electrnica ofreciendo productos falsos por internet, es otro de los delitos con mayor frecuencia, sumndose: el hacking, cracking y phising que son

quienes, a distancia, violan la seguridad de otras computadoras. En julio y agosto 2011 fueron hackeadas las cuentas de twitter de varias personalidades pblicas venezolanas.

El Centro Nacional de Informtica Forense (CENIF), es un laboratorio de

informtica forense para la adquisicin, anlisis, preservacin y presentacin de las evidencias relacionadas a las tecnologas de informacin y comunicacin, con el objeto de prestar apoyo a los cuerpos de investigacin

judicial rganos y entes del Estado que as lo requieran.

Legislacin Internacional

Muchos son los problemas que han surgido a nivel internacional en materia de delincuencia informtica. Tradicionalmente se ha considerado en

todos los pases el principio de territorialidad, que consiste en aplicar sanciones penales cuando el delito ha sido cometido dentro del territorio nacional, pero,

en el caso del delito informtico, la situacin cambia porque el delito pudo haberse cometido desde cualquier otro pas, distinto a donde se materializa el dao.

En el contexto internacional, son pocos los pases que cuentan con una

legislacin apropiada. Entre ellos, se destacan, Estados Unidos, Alemania, Austria, Gran Bretaa, Holanda, Francia, Espaa y Chile.

Estados Unidos: Este pas adopt en 1994 del Acta Federal de Abuso Computacional (18 U.S.C. Sec.1030) que modific al Acta de Fraude y Abuso Computacional de 1986.

Con la finalidad de eliminar los argumentos hipertcnicos acerca de qu

es y que no es un virus, un gusano, un caballo de Troya y en que difieren de los virus, la nueva acta proscribe la transmisin de un programa, informacin, cdigos o comandos que causan daos a la computadora, a los sistemas

informticos, a las redes, informacin, datos o programas (18 U.S.C.: Sec. 1030 (a) (5) (A). La nueva ley es un adelanto porque est directamente en

contra de los actos de transmisin de virus.

Asimismo, en materia de estafas electrnicas, defraudaciones y otros

actos dolosos relacionados con los dispositivos de acceso a sistemas informticos, la legislacin estadounidense sanciona con pena de prisin y

multa, a la persona que defraude a otro mediante la utilizacin de una computadora o red informtica.

Alemania: Este pas sancion en 1986 la Ley contra la Criminalidad Econmica, que contempla los siguientes delitos: Espionaje de datos, estafa informtica, alteracin de datos y sabotaje informtico.

Austria: La Ley de reforma del Cdigo Penal, sancionada el

22DIC87, en el artculo 148, sanciona a aquellos que con dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboracin de datos automtica a travs de la

confeccin del programa, por la introduccin, cancelacin o alteracin de datos o por actuar sobre el curso del procesamiento

de datos. Adems contempla sanciones para quienes comenten este hecho utilizando su profesin de especialistas en sistemas.

Gran Bretaa: Debido a un caso de hacking en 1991, comenz a regir en este pas la Computer Misuse Act (Ley de Abusos Informticos). Mediante esta ley el intento, exitoso o no, de alterar

datos informticos es penado con hasta cinco aos de prisin o multas.

Esta ley tiene un apartado que especfica la modificacin de datos sin

autorizacin. Los virus estn incluidos en esa categora. El liberar un virus tiene penas desde un mes a cinco aos, dependiendo del dao que causen.

Holanda: El 1 de Marzo de 1993 entr en vigencia la Ley de Delitos Informticos, en la cual se penaliza el hacking, el

preacking (utilizacin de servicios de telecomunicaciones evitando el pago total o parcial de dicho servicio), la ingeniera social (arte

de convencer a la gente de entregar informacin que en circunstancias normales no entregara), y la distribucin de virus.

La distribucin de virus est penada de distinta forma si se escaparon por error o si fueron liberados para causar dao. Si se demuestra que el virus

se escap por error, la pena no superar el mes de prisin; pero, si se comprueba que fueron liberados con la intencin de causar dao, la pena

puede llegar hasta los cuatro aos de prisin.

Francia. En enero de 1988, este pas dict la Ley relativa al fraude informtico, la cual prev penas de dos meses a dos aos de prisin y multas de diez mil a cien mil francos por la intromisin

fraudulenta que suprima o modifique datos.

Asimismo, esta ley establece en su artculo 462-3 una conducta intencional y a sabiendas de estar vulnerando los derechos de terceros que

haya impedido o alterado el funcionamiento de un sistema de procesamiento

automatizado de datos. Por su parte el artculo 462-4 tambin incluye en su tipo penal una conducta intencional y a sabiendas de estar vulnerando los derechos

de terceros, en forma directa o indirecta, haya introducido datos en un sistema de procesamiento automatizado o haya suprimido o modificado los datos que ste contiene, o sus modos de procesamiento o de transmisin.

Por ltimo, esta ley en su artculo 462-2, sanciona tanto el acceso al sistema como al que se mantenga en l y aumenta la pena correspondiente si de ese acceso resulta la supresin o modificacin de los datos contenidos en el

sistema o resulta la alteracin del funcionamiento del sistema.

Espaa: En el Nuevo Cdigo Penal de Espaa, el art. 263 establece que el que causare daos en propiedad ajena. En

tanto, el artculo 264-2) establece que se aplicar la pena de prisin de uno a tres aos y multa... a quien por cualquier medio destruya, altere, inutilice o de cualquier otro modo dae los datos,

programas o documentos electrnicos ajenos contenidos en redes, soportes o sistemas informticos.

El nuevo Cdigo Penal de Espaa sanciona en forma detallada esta

categora delictual (Violacin de secretos/Espionaje/Divulgacin), aplicando pena de prisin y multa, agravndolas cuando existe una intensin dolosa y cuando el hecho es cometido por parte funcionarios pblicos se penaliza con

inhabilitacin. En materia de estafas electrnicas, el nuevo Cdigo Penal de Espaa, en su artculo 248, solo tipifica las estafas con nimo de lucro

valindose de alguna manipulacin informtica, sin detallar las penas a aplicar en el caso de la comisin del delito.

Chile: Chile fue el primer pas latinoamericano en sancionar una Ley contra delitos informticos, la cual entr en vigencia el 7 de

junio de 1993.

Segn esta ley, la destruccin o inutilizacin de los de los datos contenidos dentro de una computadora es castigada con penas desde un ao y medio a

cinco aos de prisin. Asimismo, dentro de esas consideraciones se encuentran los virus. Esta ley prev en el Art. 1, el tipo legal vigente de una

conducta maliciosa tendiente a la destruccin o inutilizacin de un sistema de tratamiento de informacin o de sus partes componentes o que dicha conducta impida, obstaculice o modifique su funcionamiento. En tanto, el Art. 3 tipifica la

conducta maliciosa que altere, dae o destruya los datos contenidos en un sistema de tratamiento de informacin.

Tendencias de la Seguridad

El malware desconocido, los incidentes de seguridad mvil y las vulnerabilidades en sistemas open source, son algunos los retos de seguridad que marcarn 2015. Es clave que las corporaciones tengan en mente las

principales tendencias y sepan cmo afrontarlas con garantas, seala Mario Garca de Check Point.

Expertos de Check Point Software califican el panorama actual de la seguridad como desafiante y global, donde los ltimos grandes ataques ponen de manifiesto el auge continuado de la ingeniera social o de las campaas de malware dirigido. La actividad que vive el mb ito de la seguridad de la informacin actualmente es de un nivel frentico, por lo que es clave que las corporaciones tengan en mente las principales tendencias y sepan cmo afrontarlas con garantas, destaca Mario Garca, director general de Check Point. Para ayudarlas, la compaa ha recogido en un declogo las principales tendencias en materia de seguridad, as como los retos que tendrn un papel

destacado a lo largo de los prximos meses.

Malware desconocido: Datos de Check Point apuntan que ms de un tercio de las organizaciones de todo el mundo descargaron al menos un archivo infectado con malware desconocido durante 2014, una tendencia que seguir

presente, por lo que la emulacin de amenazas ser una capa de defensa crtica.

Incidentes de seguridad mvil: Los empleados conectan ms dispositivos a

las redes de sus empresas, por lo que asegurar los dispositivos mviles en la empresa es primordial. Prueba de ello es un informe de Check Point, que revelaba que el 42% de las empresas haban sufrido incidentes de seguridad

mvil y que el 82% estimaba que el nmero de incidentes aumentarn durante este ao.

Amenazas contra sistemas de pagos desde el mvil: La introduccin de

Apple Pay se ve como un acelerador para la adopcin de sistemas de pago desde el mvil, pero no todos ellos se han probado a fondo para resistir ciberamenazas, lo que significa una oportunidad de oro para los atacantes.

Ataques contra sistemas de cdigo abierto. Heartbleed, Poodle y Shellshock: son tres de las vulnerabilidades contra sistemas open source que

ms repercusin tuvieron en 2014, porque afectaban potencialmente a la

prctica totalidad de las infraestructuras tecnolgicas. Las vulnerabilidades crticas en sistemas de cdigo abierto y plataformas de uso comn continuarn

incrementndose.

Ataques a infraestructuras crticas: Casi el 70% de las empresas de infraestructuras crticas encuestadas por el Instituto Ponemon sufri un incidente de seguridad el pasado ao, afectadas por Stuxnet, Flame, Gauss, y

otros tantos ataques. En 2015 los ciberataques a servicios pblicos y procesos industriales continuarn muy presentes.

Filtracin de dispositivos sospechosos: Una gran variedad de dispositivos

con conexin IP, como wearables, tablets y smartphones, son ya habituales en los entornos de trabajo, y brindan a los criminales un entorno ms propicio para lanzar sus ataques contra las redes corporativas. Las empresas han de estar

preparadas para el impacto que esto va a suponer.

Ataques que explotan el SDN: El SDN (software defined networking),

adoptado cada vez ms en centros de datos, puede aumentar la seguridad mediante el enrutamiento de trfico. Sin embargo, la seguridad no est

integrada como tal en este concepto, por lo que necesita ser diseado. Veremos ataques dirigidos que intentarn explotarlo.

Seguridad multicapa: Las arquitecturas de seguridad de una sola capa, o

soluciones puntuales multi-fabricante, ya no ofrecen una proteccin efectiva. Vamos a ver ms y ms proveedores ofreciendo una solucin de una sola fuente unificada con desarrollo, asociacin y adquisicin, y esperamos ver una

mayor colaboracin para luchar contra las amenazas.

Amenazas en la nube: Con el creciente uso de los servicios SaaS se prev una adopcin de soluciones que aporten visibilidad y control, prevencin de

amenazas y proteccin de los datos en el ecosistema cloud.

Evolucin en la inteligencia y anlisis de amenazas: Big data representa grandes oportunidades para el anlisis de amenazas, ya que permite la identificacin de nuevos patrones de ataque. Los proveedores integrarn cada

vez ms esta inteligencia en sus soluciones.

Conclusin

He podido comprobar que cada vez es ms evidente la necesidad de

centralizar las polticas de seguridad informtica para cubrir virtualmente todo lo que sucede en dicho campo. Afortunadamente, se ha logrado que muchas organizaciones empiecen a entender la importancia de las de este tipo de

seguridad, porque a su alrededor existen proyectos que dependen de manera crtica de un sistema con reglas claramente articuladas. Sin este tipo de

polticas informticas, no se puede garantizar que los sistemas informticos sean operados de manera segura.

Por otro lado, se puede sealar que dado el carcter transnacional de los delitos cometidos mediante el uso de las computadoras, es conveniente

establecer tratados de extradicin o acuerdos de ayuda mutua entre los pases, que permitan fijar mecanismos sincronizados para la puesta en vigor de instrumentos de cooperacin internacional para contrarrestar eficazmente la

incidencia de la criminalidad informtica.

Asimismo, la problemtica jurdica de los sistemas informticos debe considerar la tecnologa de la informacin en su conjunto, evitando que la norma jurdica quede desfasada del contexto en el cual se debe aplicar y se

debe destacar que los organismos internacionales han adoptado resoluciones similares en el sentido de que educando a la comunidad de vctimas y

estimulando la denuncia de los delitos, se promovera la confianza pblica en la capacidad de los encargados de hacer cumplir la ley y de las autoridades judiciales para detectar, investigar y prevenir los delitos informticos