Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
MOMENTO II ASPECTOS ETICOS Y LEGALES DE SEGURIDAD INFORMATICA Ing.Gilbert Jair Sanchez Ávila, gilbertjair21@yahoo.es Grupo 233005_7 Escuela de Ciencias Básicas, Tecnologías e Ingenierías, Especialización en seguridad Informática. Universidad Nacional Abierta y a Distancia Bucaramanga, Colombia, 2015 Resumen- vamos a ver qué medidas de solución podemos implantar en un futuro mediano ante las amenazas , vulnerabilidades y riesgos que tiene Cooperativa de Trabajo Asociado NUEVO HORIZONTE CTA en cuanto al ámbito de la seguridad informática tanto a nivel legal como a nivel técnico u organizativo. Introducción El desarrollo del siguiente trabajo busca reconocer y reforzar los componentes, conceptos y nociones básicas sobre la Legislación en Seguridad Informática; enfocándose en el Derecho Informático y la Gestión de la Seguridad de la Información, los Organismos de Regulación y Legislación Internacional en Seguridad Informática y la Legislación Informática en Colombia; componentes fundamentales de la Unidad Dos del curso. Por todo lo anterior y teniendo más claro el panorama general de la materia, así como el haber revisado y explorado su plataforma virtual, modulo, protocolo y actividades; se da la posibilidad de presentar en este trabajo en su Momento 2, el desarrollo de una estrategia de aprendizaje basado en problemas, mediante la búsqueda de delitos informáticos comunes a que se ven enfrentadas las organizaciones, relacionando las leyes a nivel nacional o internacional que podrían aplicarse para ejercer controles sobre esos delitos, con el fin de proponer un sistema de control para los delitos mencionados, basados en políticas y estrategias, para que sean severamente castigados de acuerdo a la ley vigente; todo esto con la finalidad de profundizar en los temas estudiados y así evidenciar la enseñanza que nos deja el módulo en su Segunda Unidad. 1. Construir un cuadro de los delitos informáticos que se presentan en una organización, con dos columnas donde se presente el delito y la descripción de cómo se presenta en la organización. VER ANEXO 1.DELITOS INFORMATICOS QUE SE PRESENTAN EN LA ORGANIZACIÓN 2. Relacion cada uno de los delitos y los artículos de la legislación nacional e internacional de seguridad informática y de la información, escribir frente a cada delito las leyes y normas que aplican a nivel nacional o internacional para ejercer controles sobre dichos delitos. VER ANEXO 2.LEYES QUE APLICAN A LOS DELITOS INFORMATICOS DE LA ORGANIZACIÓN Otras leyes que debemos tener en cuenta para los delitos informáticos son: Algunas leyes a nivel nacional en (Colombia) que tratan esta rama de la informática, están relacionadas las siguientes: En Colombia existen normativas a nivel penal, civil, disciplinario que castiga las faltas o delitos cometidos a través de las tecnologías de la información, entre las que podemos mencionar encontramos: Ley 527 de 1999 | Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación. Esta ley reconoce la fuerza probatoria de los mensajes de datos como documentos. Ley 599 de 2000 | Por medio de la cual se expide el código penal colombiano en materia de derechos de autor. Habla sobre el derecho de autor de obras literaria, desarrollo de software, iniciativas tecnológicas, entre otras. Ley 734 de 2002 |Código Disciplinario Único para funcionarios públicos. Este código habla de los derechos y deberes que tiene todo funcionario público o persona natural o jurídica que este ejerciendo función pública frente al tratamiento de la información. Ley Estatutaria 1266 de 2008 |Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Información financiera reportada por las entidades financieras a las centrales de riesgos. Ley 1273 de 2009 |Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos" y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Conocida como la Ley de Delitos Informáticos. Ley 1474 de 2011 | Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública. Inhabilidad para contratar con el estado por actos cometidos a través de apoyos tecnológicos. Ley Estatutaria 1581 de 2012 |Por la cual se dictan disposiciones generales para la Protección de Datos Personales. Ley de protección de datos personales clasificados como públicos, no públicos y sensibles. Decreto 1377 de 2013 | Que reglamenta la Ley Estatutaria1581 de 2012. En el cual se definen como registrar las bases de datos que contienen información de tipo personal ante la SIC 3. proponer un sistema de control para los delitos mencionados basados en políticas, Estrategias y controles para que no vuelvan a repetirse y sean severamente castigados de acuerdo a la ley vigente. Se puede definir el control interno como “cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos”. Históricamente, los objetivos de los controles informáticos se han clasificado en Las siguientes categorías: • Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. • Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. • Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias, por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad. Los controles pueden implantarse a varios niveles diferentes. Exige analizar diversos Elementos interdependientes. Para llegar a conocer bien la configuración del sistema se hace necesario documentar los detalles relacionados con : Entorno de red: Esquema de la red Descripción de la configuración hardware de comunicaciones Descripción del sw utilizado como acceso a las telecomunicaciones Control de red Situación general de los ordenadores Configuración del ordenador base: Configuración del soporte físico Entorno del S.O Software con particiones Entornos (pruebas y real) Bibliotecas de programas y conjuntos de datos Entorno de aplicaciones: Procesos de transacciones Sistemas de gestión de BD Entornos de procesos distribuidos Productos y herramientas: Software para el desarrollo de programas Sw de gestión de bibliotecas y para operaciones Automáticas Seguridad del ordenador base: Identificar - verificar usuarios = control de acceso Registro e información Integridad del sistema Controles de supervisión Imagen 1: implementación de un sistema de control interno informático. Fuente: http://es.calameo.com/read/002090061e 8f4ceab8b46 Basado en esta información podemos decir lo siguiente. Algunas políticas que podemos tener en cuenta para nuestra organización son: http://es.calameo.com/read/002090061e8f4ceab8b46 http://es.calameo.com/read/002090061e8f4ceab8b46 POLÍTICADE CONTROL DE ACCESO FÍSICO Se pretende prevenir el acceso físico no autorizado, además de evitar daños o robo a los activos de la organización e interrupciones a las actividades del negocio. La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser utilizadas para proteger físicamente los recursos y la información de la organización. Los recursos incluyen el personal, el ambiente donde ellos laboran, los datos, equipos y los medios de comunicación y aplicaciones con los cuales los empleados interactúan, en general los activos asociados al mantenimiento y procesamiento de la información. Se entiende por área donde se procesa la información los siguientes: Centros de Procesamiento normales Áreas con servidores, ya sean de procesamiento o dispositivos de comunicación Áreas donde se almacenen formas continuas, papelería con marcas de agua, facturas o archivo en general. Áreas donde se encuentren concentrados dispositivos de información Áreas donde se almacenen y guarden elementos provenientes de backup Áreas donde se deposite salidas de impresoras o fax. Las violaciones de la política de Seguridad Física, pueden resultar en acciones de tipo disciplinario y que integren acciones legales como: Acción de tipo disciplinario según los lineamientos establecidos por el Código interno de la organización o el manual de acciones, acciones legales contempladas en el contrato laboral y todo aquello que según las leyes colombianas definan como acciones disciplinarias patronales. Suspensión o acceso restringido a las áreas de procesamiento de la información Reembolso por algún daño causado o pérdida de información Suspension sin pago de salario Terminación del contrato de trabajo o relación comercial (Basados en las disposiciones emitidas por las leyes colombianas en materia laboral). Demanda civil o penal POLITICA DE CONTROL DE ACCESO AL PERÍMETRO FÍSICO Corresponde a los sitios escogidos para colocar los sistemas de información, equipos de cómputo y comunicaciones, deben estar protegidos por barreras y controles físicos, para evitar intrusión física, inundaciones, y otro tipo de amenazas que afecten su normal operación. El tamaño total del área esta determinado por la cantidad de hardware necesario para el procesamiento y almacenamiento de la información. Las medidas de seguridad que se deban tomar, dependerán directamente del valor de los activos de información, su nivel de confidencialidad, y los valores requeridos de disponibilidad. POLITICA DE CONTROL DE ACCESO A LOS APLICATIVOS Se busca impedir a usuarios no autorizados el acceso a la información mantenida, guardada, procesada y enviada por las diferentes aplicaciones que se tienen en la organización. Se debe contemplar que las aplicaciones deben tener unas restricciones completamente definidas frente a los roles de los usuarios que tienen acceso a ellas, por esto se debe: Controlar el acceso de los usuarios a la información Definir las funciones de la aplicación Definir las políticas de control de acceso Proteger la aplicación de acceso no autorizado Proteger la aplicación de posibles ataques Desactivar la aplicación frente a un ataque inminente Reasignar los controles de la aplicación Desvincular procesos complementarios en presencia de un ataque inminente Proteger otros sistemas que trabajan con la información proveniente de la aplicación POLITICA DE CONTROL DE ACCESO A LA RED Buscamos proteger los servicios de red de accesos no autorizados provenientes de la intranet o de una red externa mediante el uso de ataques, logrando así que el acceso de usuarios a la red no comprometa la seguridad de los servicios de red. Utilizar las interfaces apropiadas y sugeridas para todas las tareas necesarias y procedimientos establecidos Evitar el uso de redes públicas que comprometan la integridad de la información que por este medio viaja Utilizar el servicio de mensajería interna proporcionado por el administrador de la red Utilizar medios de autenticación para los usuarios y equipos en la red Utilizar estaciones de trabajo debidamente configuradas para el buen trabajo remoto Configurar adecuadamente los diferentes servidores que se encuentran en la red implementando políticas de firewall, iptables entre otras. POLITICAS DE CONTROL DE ACCESO AL SISTEMA OPERATIVO Con la implementación de estas políticas se pretende restringir el acceso al sistema operativo de los diferentes equipos por usuarios no autorizados, para ello se recomienda aplicar buenas prácticas del manejo de contraseñas, restricciones, tiempos de sesiones entre otras. Para que esto funcione es importante que se apliquen las siguientes medidas de seguridad: Obligatoria autenticación para el ingreso al sistema Apagado de emergencia frente a algún intento de intrusión Registro de logs con intentos de autenticación errados y correctos Limitar el número de intentos fallidos para el inicio de sesión en los equipos Registrar el usuario que ha ingresado satisfactoriamente y sus respectivos privilegios Registro del inicio de sesión de administradores y tiempo Emitir alarmas tempranas cuando se tiene una amenaza inminente Cambio obligatorio de contraseñas de acceso Crear parámetros seguros para la creación de nuevas contraseñas y su respectiva actualización Restringir horarios para el inicio de sesión No mostrar ayuda para inicio de sesión en los equipos Usar encriptación para el manejo de las contraseñas de acceso Nunca guardar contraseñas en los diferentes equipos Mecanismos de control técnicos para los problemas de la organización: VER ANEXO3.MECANISMOS DE CONTROL TECNICOS PARA LAS AMENAZAS O VULNERABILIDADES DE LA ORGANIZACIÓN Están resumidos en esa tabla según la amenaza o riesgos encontrados su implicancia en la seguridad de la organización y un estándar o medidas a nivel técnico a aplicar. Conclusiones Es importante restar que la Seguridad Informática es un aspecto que en muchas organizaciones no es teniendo en cuenta en los procesos de funcionamientos de una organización, desde mi punto de vista es de vital importancia para el correcto funcionamiento de todos ellos. Todos los sistemas son sensibles de ser atacados, por lo que es importante prevenir esos ataques. Conocer las técnicas de ataque ayuda a defenderse más eficientemente nuestra organización. Así mismo es importante saber que capacidades necesitamos desarrollar durante este ciclo de formación educativa. La seguridad informática, es un área de la informática avanzada, que se encarga de la protección de la infraestructura tecnológica. Es fundamentas saber que se cuentan con una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. Referencias [1] Ing. Lorena Patricia Suárez Sierra, Ing. Carlos Alberto Amaya Tarazona. « Módulo de Sistema de Gestión de Seguridad de la Información» [En línea]. Available: http://datateca.unad.edu.co/contenidos/23300 3/modulo/modulo-SGSI-233003-ajustado.pdf [2] Delta Consultoría informática. «Ley de delitos informaticos en Colombia » [En línea]. Available: http://www.deltaasesores.com/articulos /autores-invitados/otros/3576-ley-de- delitos-informaticos-en-colombia [3] Iván Manjarrés Bolaño. «Caracterización de los delitos informáticos en Colombia » [En línea]. Available: http://www.coruniamericana.edu.co/pu blicaciones/ojs/index.php/pensamientoa mericano/article/viewFile/126/149[4] Jorge Eliécer Ojeda-Pérez. «Delitos informáticos y entorno jurídico vigente en Colombia » [En línea]. Available: http://www.scielo.org.co/pdf/cuco/v11n 28/v11n28a03.pdf [5]Roberto Porozo «Control Interno y Auditoria informatica»[En línea]. Available: http://es.slideshare.net/RobertoPorozo/co ntrol- interno-y-auditoria- informtica [6]Claudia Patricia Páez Páez «Control Interno y Auditoria informatica»[En línea]. Available: http://es.calameo.com/read/002090061e8f 4ceab8b46 [7]Karina del Rocio Gaona Vasquez «Aplicación de la Metodologia Magerit para el Análisis y Gestión de Riesgos de la Seguridad de la Información Aplicado a la Empresa Pesquera e Industrial el Bravito S.A en la Ciudad de Machala »[En línea]. Available: http://dspace.ups.edu.ec/bitstream/123456 789/5272/1/UPS-CT002759.pdf [8]«El delito de la pornografía infantil. »[En línea]. Available: http://www5.poderjudicial.es/CVdi/TEM A04-ES.pdf [9]El Tiempo «Acuerdo contra la pornografía infantil en Internet»[En línea]. Available: http://www.eltiempo.com/archivo/docu mento/CMS-13212563 [10]Eduardo Rivero «Los delitos informáticos ya serán penados en México »[En línea]. Available:https://www.unocero.com/201 2/04/05/los-delitos-informaticos-ya- seran-penados-en-mexico/ [11]Confirma Sistemas « Carding, el peligro del fraude con tarjeta de crédito»[En línea]. Available:http://www.confirmasistemas .es/es/contenidos/canal-basics/carding- el-peligro-del-fraude-con-tarjeta-de- credito [12]Presidencia de la república de Colombia «Politicas Nacionales Explotacion Sexual Comercial de Niños, Niñas Y Adolescentes (ESCNNA) »[En línea]. Available: http://www.satena.com/aym_images/fil es/PRESENTACION_ESCNNA.pdf [13] JOSÉ SANTIAGO RENDÓN VERA «RESPONSABILIDAD CIVIL http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-SGSI-233003-ajustado.pdf http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-SGSI-233003-ajustado.pdf http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia http://www.coruniamericana.edu.co/publicaciones/ojs/index.php/pensamientoamericano/article/viewFile/126/149 http://www.coruniamericana.edu.co/publicaciones/ojs/index.php/pensamientoamericano/article/viewFile/126/149 http://www.coruniamericana.edu.co/publicaciones/ojs/index.php/pensamientoamericano/article/viewFile/126/149 http://www.scielo.org.co/pdf/cuco/v11n28/v11n28a03.pdf http://www.scielo.org.co/pdf/cuco/v11n28/v11n28a03.pdf http://es.slideshare.net/RobertoPorozo/control-interno-y-auditoria-informtica http://es.slideshare.net/RobertoPorozo/control-interno-y-auditoria-informtica http://es.calameo.com/read/002090061e8f4ceab8b46 http://es.calameo.com/read/002090061e8f4ceab8b46 http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf http://www5.poderjudicial.es/CVdi/TEMA04-ES.pdf http://www5.poderjudicial.es/CVdi/TEMA04-ES.pdf http://www.eltiempo.com/archivo/documento/CMS-13212563 http://www.eltiempo.com/archivo/documento/CMS-13212563 https://www.unocero.com/2012/04/05/los-delitos-informaticos-ya-seran-penados-en-mexico/ https://www.unocero.com/2012/04/05/los-delitos-informaticos-ya-seran-penados-en-mexico/ https://www.unocero.com/2012/04/05/los-delitos-informaticos-ya-seran-penados-en-mexico/ https://www.unocero.com/2012/04/05/los-delitos-informaticos-ya-seran-penados-en-mexico/ http://www.confirmasistemas.es/es/contenidos/canal-basics/carding-el-peligro-del-fraude-con-tarjeta-de-credito http://www.confirmasistemas.es/es/contenidos/canal-basics/carding-el-peligro-del-fraude-con-tarjeta-de-credito http://www.confirmasistemas.es/es/contenidos/canal-basics/carding-el-peligro-del-fraude-con-tarjeta-de-credito http://www.confirmasistemas.es/es/contenidos/canal-basics/carding-el-peligro-del-fraude-con-tarjeta-de-credito http://www.confirmasistemas.es/es/contenidos/canal-basics/carding-el-peligro-del-fraude-con-tarjeta-de-credito http://www.satena.com/aym_images/files/PRESENTACION_ESCNNA.pdf http://www.satena.com/aym_images/files/PRESENTACION_ESCNNA.pdf CONTRACTUAL POR FRAUDES CON TARJETA DE CRÉDITO EN COLOMBIA »[En línea]. Available https://repository.eafit.edu.co/bitstrea m/handle/10784/457/JoseSantiago_Ren donVera_2007.pdf;jsessionid=4EEF508 803312B28DC38B3F017E1620A?seque nce=1 [14]CONSTITUCION NACIONAL DE COLOMBIA «CÓDIGO PENAL CAPITULO VIII DE LOS DELITOS CONTRA LOS DERECHOS DE AUTOR»[En línea]. Available: file:///C:/Users/HP/Downloads/C%C3 %93DIGO%20PENAL%20CAPITUL O%20VIII%20DE%20LOS%20DELI TOS%20CONTRA%20LOS%20DER ECHOS%20DE%20AUTOR.pdf Gilbert Jair Sánchez Ávila, Nacido el 14 noviembre de 1983 en la ciudad de Bucaramanga , Tecnólogo de Sistemas de la Universidad Cooperativa de Colombia seccional Bucaramanga. Ingeniero de Sistemas con énfasis en Telecomunicacion es de la Universidad Cooperativa de Colombia seccional Bucaramanga , Estudió una Especialización Tecnológica en Admin istración de Bases de Datos en el Servicio Nacional de Aprendizaje SENA e adquirió los conocimientos y conceptos de la plataforma de Bases de Datos Oracle 10G he trabajo en diversos cargos a lo largo de vida profesional, en la registradora de Concepción año 2010, Gestión Informática año 2009Tecnológicas de Santander año 2012,sección de soporte técnico en 2014 y como operador de sistemas para las pruebas saber 3en 2014. Actualmente adelanta estudio de especialización en Seguridad Informática en La Universidad Abierta y a Distancia (UNAD) https://repository.eafit.edu.co/bitstream/handle/10784/457/JoseSantiago_RendonVera_2007.pdf;jsessionid=4EEF508803312B28DC38B3F017E1620A?sequence=1 https://repository.eafit.edu.co/bitstream/handle/10784/457/JoseSantiago_RendonVera_2007.pdf;jsessionid=4EEF508803312B28DC38B3F017E1620A?sequence=1 https://repository.eafit.edu.co/bitstream/handle/10784/457/JoseSantiago_RendonVera_2007.pdf;jsessionid=4EEF508803312B28DC38B3F017E1620A?sequence=1 https://repository.eafit.edu.co/bitstream/handle/10784/457/JoseSantiago_RendonVera_2007.pdf;jsessionid=4EEF508803312B28DC38B3F017E1620A?sequence=1 https://repository.eafit.edu.co/bitstream/handle/10784/457/JoseSantiago_RendonVera_2007.pdf;jsessionid=4EEF508803312B28DC38B3F017E1620A?sequence=1 file:///C:\Users\HP\Downloads\CÓDIGO%20PENAL%20CAPITULO%20VIII%20DE%20LOS%20DELITOS%20CONTRA%20LOS%20DERECHOS%20DE%20AUTOR.pdf file:///C:\Users\HP\Downloads\CÓDIGO%20PENAL%20CAPITULO%20VIII%20DE%20LOS%20DELITOS%20CONTRA%20LOS%20DERECHOS%20DE%20AUTOR.pdf file:///C:\Users\HP\Downloads\CÓDIGO%20PENAL%20CAPITULO%20VIII%20DE%20LOS%20DELITOS%20CONTRA%20LOS%20DERECHOS%20DE%20AUTOR.pdf file:///C:\Users\HP\Downloads\CÓDIGO%20PENAL%20CAPITULO%20VIII%20DE%20LOS%20DELITOS%20CONTRA%20LOS%20DERECHOS%20DE%20AUTOR.pdf file:///C:\Users\HP\Downloads\CÓDIGO%20PENAL%20CAPITULO%20VIII%20DE%20LOS%20DELITOS%20CONTRA%20LOS%20DERECHOS%20DE%20AUTOR.pdf ANEXOS ANEXO 1.DELITOS INFORMATICOS QUE SE PRESENTAN EN LA ORGANIZACIÓN Algunos de los delitos más comunes serian: NOMBRE DEFINICIÓN CARACTERISTICAS 1.Bluesnarfing Definición: Intrusión en dispositivos móviles donde se puede copiar, ver o incluso modificar ciertas partes. Características: Se realiza desde un dispositivo cercano sin alertar en ningún momento al propietario. 2.Ciberacoso (cyberbullying) Definición: Es un tipo de agresión psicológica se busca herir o intimidar a otra persona por medio de las redes sociales. Características : Se da usando las nuevas tecnologías: teléfonos celulares e Internet. Por medio de correos,mensajes o imágenes que se envían, por lo general estos contenidos son de un lenguaje muy fuerte a nivel violento o sexual. 3.Hacking Definición: Es el ingreso ilegal a computadores, páginas y redes sociales. Características: Con el objetivo de robar información, suplantar la identidad del usuario, beneficiarse económicamente o protestar. 4.Acceso abusivo a un Sistemas Informáticos. Definición: Conductas que recaen sobre herramientas informáticas propiamente tales, llámense programas, ordenadores, etc.; como aquellas que valiéndose de estos medios lesionan otros intereses jurídicamente tutelados como son la intimidad, el patrimonio económico, la fe pública, etc. Características: Son delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar las pruebas. Son actos que pueden llevarse a cabo de forma rápida y sencilla. En ocasiones estos delitos pueden cometerse en cuestión de segundos, utilizando sólo un equipo informático y sin estar presente físicamente en el lugar de los hechos. Los delitos informáticos tienden a proliferar y evolucionar, lo que complica aun más la identificación y persecución de los mismos. 5.Uso de Software Malicioso Definición: Tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una gran variedad de software hostil, intrusivo o molesto. Características: Se trata de un tipo de virus cuyo último fin es infiltrase o dañar un equipo informático sin el consentimiento de su propietario. 6.cracking Definición: Cambiar los contenidos de la información que tienen por objeto destruir el sistema, a esto se llama cracking y a los sujetos que lo realizan se los identifica como crackers. Características: En sus ataques los crackers puede hacer cosas ingresar al sistema operativo de varias computadoras formateando los equipos y borrando archivos de vital importancia para una organización. Incluso puede acceder a los recursos de red haciendo ataques de negación de servicios. 7.pornografia infantil en internet Definición: A través de foros, chats, comunidades virtuales, transferencias de archivos, entre otras modalidades, los delincuentes comercializan material pornográfico que involucra menores de edad. Características: No solamente desde los hogares un pedófilo puede hacer estas cosas , lo puede hacer incluso en el ámbito donde trabaja aprovechando los tiempos de ocio o distribuyéndole a los compañeros este material como una “manera de entretenimiento” 8.phreaking Definición: Es la actividad de obtener ventajas de las líneas telefónicas a los efectos de no pagar los costos de comunicación.Se trata de encontrar el medio para evitar pagar por el uso de la red telefónica ya sea ésta pública o privada, digital o inalámbrica o incluso la telefonía móvil puede ser Características: La actividad de phreaking es, sin duda, la más común de todas las llamadas actividades ilícitas informáticas, puesto que hoy en día a pesar de los avances en redes e internet las organizaciones para comunicarse también lo hacen por vía telefónica o PBX. victima de esto. 9.carding Definición: Actividad de cometer un fraude o una estafa con un número de tarjeta de crédito, El carding consiste entonces en usar un número de tarjeta de crédito ya sea real o creado de la nada mediante procedimientos digitales para realizar compras a distancia por Internet y efectuar pagos de manera ilegal o sin autorización del usuario poseedor de la tarjeta de crédito. Características: Por ejemplo en un establecimiento pueden fotografiar los datos de la tarjeta de crédito en el momento de pagar. O por teléfono un potencial atacante se puede hacer pasar empleado bancario para obtener estos datos y luego haciéndose pasar por el usuario original puede ir a los bancos hacer transacciones 10.violacion derechos de autor Definición: Utilizando reproductores en serie, los delincuentes realizan múltiples copias de obras musicales, videogramas y software, dando pie a la Piratería en internet para vender o distribuir programas informáticos protegidos por las leyes de la propiedad intelectual. Características: En una organización esto se da cuando se usa software no licenciado para sus labores. ANEXO2.LEYES QUE APLICAN A LOS DELITOS INFORMATICOS DE LA ORGANIZACIÓN .Los podemos relacionar de esta manera: NOMBRE LEYES CONSECUENCIAS 1. Bluesnarfing (Legislación Colombiana) para ejercer control: LEY 1273 DE 2009 Artículo 69C. Interceptación de Datos informáticos. (ENERO 5 DE 2009) (Ley española). Código Penal en su artículo 197 Consecuencias Permite al atacante descargarse e incluso eliminar las entradas del libro de contactos, el listado de llamadas realizadas o recibidas, los SMS recibidos, etc., o incluso lanzar comandos AT contra el dispositivos atacado. Y lo mejor de todo: sin dejar ningún rastro de los ataques. 2.Ciberacoso (cyberbullying) (Legislación Colombiana) Leyes a nivel nacional para ejercer control: Ley 1620 (15 de Marzo de 2013) Consecuencias : Este tipo de acoso no se hace de frente, por ello la víctima desconoce la identidad de su agresor. 3.Hacking (Legislación Colombiana) Leyes a nivel nacional para ejercer control: ley 1273 de enero de 2009 Consecuencias: con ánimo de lucro y valiéndose de alguna manipulación Informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, incurrirá en pena de prisión de 48 a 120 meses, y en multa de 200 a 1.500 salarios mínimos. 4. Acceso abusivo a un Sistemas Informáticos. (Legislación Colombiana) Leyes a nivel nacional para ejercer control: Ley 1273 de 2009. Artículo 269A Consecuencias: Incurrir en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes en Colombia. 5.Uso de Software Malicioso (Legislación Colombiana) Leyes a nivel nacional para ejercer control: Ley 1273 de 2009 Artículo 269E Consecuencias: Producir ataques cibernéticos para intentar acceder a tu información personal registrando las teclas que pulsas o controlando la actividad de tu ordenador. También se puede controlar tu ordenador para visitar sitios web o realizar otras actividades sin tu conocimiento. Los efectos del software malintencionado abarcan desde pequeñas molestias hasta fallos del ordenador y el robo de identidad. 6. cracking Legislación internacional: En México el articulo 211 el 28 de marzo del 2012 la Cámara de Diputados aprobó modificaciones legales para identificar los tipos de delitos informáticos, con lo que se pretende condenar a aquellos que hagan mal uso de la tecnología. como por ejemplo el cracking ,hacking o cyberbullying. En Colombia la ley 1273 del 2009 Articulo 269B Consecuencias: Por ejemplo en México el Acceso ilícito a sistemas y equipos de informática con pena entre 3 y 12 meses de prisión a quien “sin autorización acceda, modifique, destruya o provoque perdida de información contenida en sistemas o equipos de informática”. La pena podría incrementarse en 2/3 partes, en caso que la penetración impida el uso o acceso del sistema afectado. En Colombia el articulo 269B incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. 7.pornografia infantil en internet Legislación internacional: El artículo 3 estableceque todos los Estados parte, incluirán en su legislación penal la producción, distribución, divulgación, importación, exportación, oferta, venta o posesión de pornografía infantil, del Tratado de Nueva York contra la explotación sexual del niño de 25 de mayo de 2000 (BOE de 31 de enero de 2002). Unión Europea: Decisión Marco 2004/68/ JAI del Consejo de 22 de diciembre de 2003, relativa a la lucha contra la explotación sexual de los niños y la pornografía Consecuencias: Basados en la ley 1336 que fortalece la ley 679 del 2001 que previene y contrarresta la explotación ,pornografía y turismo sexual en Colombia La penalización cobija a quienes fotografíen, graben, filmen, produzcan, divulguen, vendan, compren, posean, porten, almacenen, transmitan o exhiban por cualquier medio, representaciones de actividad sexual que involucren menores de 18 años de edad dándoles pena entre en prisión de cuatro (4) a ocho (8) años. La pena se aumentará en la mitad cuando la conducta se realizare con menor de doce (12) años infantil (Diario Oficial de la Unión de 20 de enero de 2004). Su finalidad es lograr una uniformidad legislativa en la determinación de las conductas que deben considerarse delictivas En Colombia se firmo el Pacto Nacional de Cero Tolerancia a partir del 15 marzo del 2013 con la Pornografía Infantil en Internet, iniciativa apoyada por el Ministerio de las Tecnologías de la Información y las Comunicaciones, que ha convocado a instituciones público-privadas y a los proveedores de servicios en la web. EN COLOMBIA LA LEY 1336 QUE ROBUSTECE LA LEY 679 DEL 2001 PARA PREVENIR Y CONTRARRESTAR LA EXPLOTACIÓN, LA PORNOGRAFÍA Y EL TURISMO SEXUAL 8.phreaking En Colombia la ley 1273 del 2009 Articulo 269C Consecuencias: Según este articulo 269C en Colombia la persona que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses. 9. carding España por la doctrina, la jurisprudencia y por los Consecuencias: propios Bancos que emiten tarjetas de crédito, al autoimponerse un código de buenas prácticas bancarias.88 En Derecho comparado también hay referencias a tales obligaciones, como lo son: la Recomendación (87/598/CE) de la Comisión de las Comunidades Europeas de 8 de diciembre de 1987, sobre un Código europeo de buena conducta en materia de pago electrónico; la Recomendación 88/590/CE de la Comisión, de 17 de febrero de 1988, relativa a los sistemas de pago; la Recomendación 97/489/CE, de 30 de julio de 1997, relativa a las transacciones efectuadas mediante instrumentos electrónicos de pago; la Ley danesa consolidada sobre tarjetas de pago de 12 de septiembre de 1994; la Ley argentina de tarjetas de crédito (25.065). [13 ] En Colombia la entidad que rigen los aspectos relacionados con las tarjetas de crédito es la Superintendencia Bancaria. 10.violacion derechos de autor EN COLOMBIA RIGE EL CAPITULO VIII DE LOS DELITOS CONTRA LOS DERECHOS DE AUTOR Consecuencias: Por ejemplo ART. 270. Violación a los derechos morales de autor. Incurrirá en prisión de dos (2) a cinco (5) años y multa de veinte (20) a doscientos (200) salarios mínimos legales[14] a quien viole las leyes que están dentro de ese capítulo aquí en Colombia ANEXO3.MECANISMOS DE CONTROL TECNICOS PARA LAS AMENAZAS O VULNERABILIDADES DE LA ORGANIZACIÓN Amenaza/vulnerabilidad Riesgo /amenaza Implicación de seguridad Estándar o medida de seguridad a aplicar Falla acceso a internet Al no haber internet se puede paralizar las comunicaciones y productividad de la empresa *tener contacto con el proveedor de servicio a internet para suplir estas fallas por medio del servicio técnico , ya sea remotamente o que los técnicos con ayuda de los ingenieros de soporte solucionen las fallas en conjunto Falla red telefónica La empresa pierde comunicación y no puede coordinar sus actividades económicas *revisar el cableado telefónico y equipos en coordinación con el proveedor de servicio. Alteración , robo , destrucción de datos Prácticamente si la información de la empresa es saboteada o destruida la empresa incluso puede llegar a la quiebra *almacenar los balances contables y financieros en un sitio seguro y con llave o caja fuerte *almacenar los backups de la base de datos de los aplicativos contables en un sitio remoto *realizar backups periódicamente *colocar contraseñas en los aplicativos de bases de datos *mostrar los datos por medios de vistas de BD a los usuarios *personal de vigilancia pendiente de las instalaciones *revisar periódicamente los equipos de computo tanto a nivel de hardware o software donde este almacenada esta información *establecer políticas de seguridad informática y capacitar al personal Virus o malware Estos pueden dañar los equipos de computo *actualizar y licenciar el antivirus o tener una borrando la información que hay en ellos , incluso es vía de acceso para que también se extraiga información de la empresa versión de pago para mayor soporte y efectividad de sus funciones *educar al personal en aspectos como no bajar programas desconocidos de internet e instalarlos en los equipos *tener algún programa complementario al antivirus como antipishing, anti- spyware *tener instalado y configurado un firewall y proxy para evitar accesos indebidos Errores de configuración y manipulación de programas Puede hacer que los equipos no funcionen adecuadamente o el software de la empresa no haga las tareas para que fue instalado *los ingenieros configuraran el software de los equipos para que este haga las tareas encomendadas sea cambiándole parámetros o reinstalándolo según los manuales técnicos *educar a los usuarios en el uso de los aplicativos y sistemas operativos de los equipos Acceso a sitios no autorizados Esto hace que los empelados se distraigan y no cumplan su labor a cabalidad , también es puerta de entrada para que entren virus y demás tipos de malware o se puedan realizar ataques informáticos *instalación y configuración de firewall , proxy , IDS/IPS *el ingeniero de la empresa podría monitorear el desempeño de la red con ayuda de programas como wireshark ataques tipo XSS,XSRF , inyección SQL Estos ataques pueden sabotear las aplicaciones en uso borrando y saboteando la información contenida en los equipos, incluso extrayéndola. *instalación y configuración de firewall , proxy , IDS/IPS *revisar los códigos fuentes de las aplicaciones *instalar y configurar un firewall para aplicaciones web y bases de datos ejemplo: W3AF para web y para bases de datos usar por ejemplo Green SQL que es de código abierto. *instalar y configurar programas como XSSER para evitar ataques de XSS. Daño físico a los equipos e instalaciones eléctricas Se puede destruir la información y aplicativos contenidos en estos afectando la productividad del negocio *hacerle mantenimiento de hardware reparando o cambiando partes defectuosas en los equipos *revisar instalaciones eléctricas , usar dispositivo UPS , estabilizadores *un electricista revise el cableado tanto interno y externo de la empresa *personal de vigilancia y celaduría pendiente incluso si llega gente extraña a las instalaciones *instalar cámaras de vigilancia en la empresa *el cuarto de computo debe tener algún mecanismo de acceso como tarjetas magnéticas. Robo de equipos Si los roban se puede ver la informacióncontenida en los discos duros, memorias USB , CDS etc... *personal de vigilancia y celaduría pendiente incluso si llega gente extraña a las instalaciones *instalar cámaras de vigilancia en la empresa *el cuarto de computo debe tener algún mecanismo de acceso como tarjetas magnéticas. *tener póliza de seguro *realizar copias de seguridad de los discos duros donde este la información mas relevante. Intercepción de la red comunicaciones y modificación de paquetes Los datos circulando por la red por ejemplo correos electrónicos pueden ser *instalación y configuración de firewall ; IDS/IPS ,proxy *monitoreo de la red usando de datos interceptados y modificados al gusto del atacante para robar información del negocio o sabotear la productividad de la organización aplicativos como wireshark o Etercap *establecer mecanismos de VPN *usar mecanismos de criptografía para la comunicaciones en la red como por ejemplo Openssl Los cuales también ayudan a crear autentificación por firmas digitales. *a futuro mediano depende del crecimiento de la organización podemos implantar mecanismos de PKI para proteger las comunicaciones. Intercepción datos red wifi Las redes wifi son mas vulnerables debido a que la señal viaja por el aire lo cual hace mas fácil la interceptación de la información por medio de programas especiales y antenas modificadas para tal fin. *complementarlos con los mecanismos usados para proteger red comunicación cableada *usar Access Point *al router revisar que opciones de seguridad tiene e implementar *usar mecanismos de WPA/WPA2 en las contraseñas *usar contraseñas fuerte a la hora de establecer la clave wifi *sería bueno que hubiera una red wifi para los invitados y otra red wifi solo para la empresa. En esta tabla aparte de mostrar las amenazas o riesgos más comunes mostramos las alternativas de solución para solucionar estos problemas y hacer la organización más segura a posibles ataques informáticos y fallas en los sistemas.
Compartir