LA LEY DEL DELITO CIBERNETICO EN EL PERÚ

LA LEY DEL DELITO CIBERNETICO EN EL PERÚ

El Pleno del Congreso aprobó este jueves la Ley de Delitos Informáticos, "a fin de prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos". La Ley de Delitos Informáticos (Ley N°30096), el Gobierno del presidente Ollanta Humala promulgó hoy las modificaciones de siete de sus artículos.

La norma, detalla las modificaciones en los artículos 2, 3, 4, 5, 7, 8 y 10, tal y como acordó la Comisión Permanente, hace cuatro semanas. Estas correcciones apuntan a mejor algunas generalidades expuestas en el texto original, las cuales podrían originan aplicaciones arbitrarias que atentarían contra la libertad de empresa y el periodismo de investigación. 

El proyecto aprobado sanciona los delitos de violación de la intimidad a través de datos personales, del secreto de las comunicaciones, así como la revelación indebida de datos o información de carácter personal, al igual que la tenencia y tráfico de material de pornografía infantil. Estos delitos serán sancionados con seis años de prisión.

En el anterior artículo 2, por ejemplo, señalaba que "el que accede sin autorización a todo o parte de un sistema informático, siempre que se realice con vulneración de medidas de seguridad establecidas para impedirlo, será reprimido con pena de la libertad no menor de uno ni mayor de cuatro años y con treinta o noventa días de multa".

Ahora el texto dice: "El que deliberada e ilegítimamente accede a todo o en parte de un sistema informático, siempre que se realice con vulneración de medidas de seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días de multa". 

 Los artículos mencionados se refieren:

• Acceso ilícito
• Atentado a la integridad de datos informáticos
• Atentado a la integridad de sistemas informáticos
• Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos. Asimismo, a la Interceptación de datos informáticos
• Fraude informático y al Abuso de mecanismos y dispositivos informáticos.

Es preciso recordar que esta ley busca sancionar conductas ilícitas que afectan sistemas y datos informáticos mediante el uso de tecnologías de la información o de la comunicación.

SEGURIDAD OCUPACIONAL

SEGURIDAD OCUPACIONAL

    

Es un tema concerniente a los derechos humanos. Por ello el Estado ha puesto en vigencia normas sobre la Seguridad Ocupacional, para cuidar el capital humano, tal como lo manda la Constitución Política del Estado y la Ley General del Trabajo. 

La Seguridad Ocupacional debe valer no sólo para los trabajadores, sino para todos los seres humanos, porque el trabajador desarrolla sus actividades no sólo en los centros del aparato productivo, sino en los diferentes ámbitos dentro de la sociedad: iglesia, escuela, asistencia social, centros de investigación científicas, actividades artísticas, deportivas, profesionales o gremiales, etc. Se trata de parámetros para señalar el estándar de vida de una determinada región, que a la vez está ligado a la alimentación, y ésta a su vez a la seguridad alimentaria, a la que todo ciudadano tiene derecho. 

En estos aspectos gradualmente se va señalando la Seguridad Ocupacional, no por la voluntad del Estado ni por la de los empresarios, sino por la lucha constante de los trabajadores y de la sociedad en su conjunto. Esta lucha se acentúa mucho más cuando se nos imponen políticas neo liberales dentro del modelo capitalista. La Seguridad Ocupacional no es tomada en cuenta con seriedad ni por parte del Estado ni por parte de los empresarios, ya que hasta el momento no existen políticas de empleo, sino por el contrario sólo políticas atentatorias contra el empleo.

Objetivo principal

Establecer un Sistema de Gestión en Seguridad Ocupacional desarrollando programas y actividades de prevención*las condiciones de trabajo y salud de los empleados. Previniéndolos contra los riesgos de sistema operativo a que están expuestos, en cumplimiento con la Política de HSEQ (higiene, seguridad, medio ambiente Y calidad de la empresa.

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

La seguridad de la información  En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:

• Crítica: Es indispensable para la operación de la empresa.

• Valiosa: Es un activo de la empresa y muy valioso.

• Sensible: Debe de ser conocida por las personas autorizadas

Existen dos palabras muy importantes que son riesgo y seguridad:

• Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio.

• Seguridad: Es una forma de protección contra los riesgos.

La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.

Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto los sistemas el acceso, uso, divulgación, interrupción.

1 Los términos seguridad de la información, seguridad informática y garantía de la información son usadas frecuentemente como sinónimos porque todos ellos persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la información. Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles.

La seguridad de la información incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera.

La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información, si alguna de estas características falla no estamos ante nada seguro. Es preciso anotar, además, que la seguridad no es ningún hito, es más bien un proceso continuo que hay que gestionar conociendo siempre las vulnerabilidades y las amenazas que se ciñen sobre cualquier información, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, así como el impacto que puede tener. 

¿QUE ES UN ANÁLISIS DE RIEGOS?

¿QUE ES UN ANÁLISIS DE RIEGOS?

El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el emprendedor con especial atención.

Habiendo ya identificado y clasificados los riesgos, pasamos a realizar el análisis de los mismos, es decir, se estudian la posibilidad y las consecuencias de cada factor de riesgo con el fin de establecer el nivel de riesgo de nuestro proyecto. 

¿Cuál es el objetivo de hacer un análisis de riesgo?

Objetivo general:

Realizar un análisis de riesgo a dos subestaciones eléctricas de la comisión federal de electricidad  utilizando la metodología HAZOP y utilizando un programa de patente  de esta metodología (scri hazop).

Objetivos particulares:

realizar una revisión bibliográfica sobre el análisis de riesgo mas usados, así como la metodología hazop.

evaluar con metodología hazop dos subestaciones eléctricas de la comisión federal de electricidad   

comparar los resultados con los obtenidos en el análisis anterior en que se utilizó el indice de mond.

¿cual es el procedimiento de un análisis de riesgo?

• programación 
• entrevista al personal de seguridad 
• entrevista al personaje 
• análisis y evaluación del nivel de riesgo 
• documento final 

NORMA NTP – ISO 17799 – 2007 (27001 CUMPLIMIENTO

NORMA  NTP – ISO 17799 – 2007 (27001)
CUMPLIMIENTO

 OBJETIVO

Tiene como objetivo evitar los incumplimientos de cualquier ley civil o penal, requisito reglamentario, regulación u obligación contractual, y de todo requisito de seguridad

 QUE SE DEBE HACER ?

Para lograr el cumplimiento de la NTP ISO 17799 – 2007 toda Entidad debe cumplir con los siguientes parámetros que se detallan a continuación:

 1.    CUMPLIMIENTO DE LOS REQUISITOS LEGALES

El diseño, operación, uso y gestión de los sistemas de información puede estar sujeto a requisitos estatutarios, regulatorios y contractuales de seguridad

Se debería buscar el asesoramiento sobre requisitos legales específicos de los asesores legales de la organización, o de profesionales del derecho calificados.

Los requisitos legales varían de un país a otro, al igual que en el caso de las transmisiones internacionales de datos (datos creados en un país y transmitidos a otro).

Se deberían definir, documentar y mantener actualizado de forma explícita todos los requisitos legales, regulatorios y contractuales que sean importantes para cada sistema de información. 

Implementación

Los controles, medidas y responsabilidades específicos deben ser similarmente definidos y documentados para cumplir dichos requerimientos.

2.    REVISIONES DE LA POLÍTICA DE SEGURIDAD Y DE LA CONFORMIDAD TÉCNICA

El objetivo es asegurar la conformidad de los sistemas con las políticas y normas de seguridad.

Control

Los gerentes deberían asegurarse que se cumplan correctamente todos los procedimientos de seguridad dentro de su área de responsabilidad cumpliendo las políticas y estándares de

Seguridad.

Implementación

Los gerentes deben realizar revisiones regulares que aseguren el cumplimiento de las políticas y normas de seguridad.

• Si se encuentra una no conformidad como resultado de la revisión, los gerentes deben de determinar las causas de la no conformidad.

• evaluar la necesidad de acciones para asegurar que la no conformidad no vuelva a ocurrir;

3.    CONSIDERACIONES SOBRE LA AUDITORÍA INFORMÁTICA

OBJETIVO: 

Maximizar la efectividad y minimizar las interferencias en el proceso de auditoria del sistema.

Se deberían establecer controles para salvaguardar los sistemas operativos y las herramientas de auditoria durante las auditorias del sistema. También se requiere protección para salvaguardar la integridad y evitar el mal uso de las herramientas de auditoria.

Control

Se deberían  planificar cuidadosamente y acordarse los requisitos y actividades de auditoria

Que impliquen comprobaciones en los sistemas operativos, para minimizar el riesgo de interrupción de los procesos de negocio.

Implementación

Se debería observar las siguientes pautas:

• deberían acordarse los requisitos de auditoria con la gerencia apropiada.

• debería acordarse y controlarse el alcance de las verificaciones.

• las verificaciones se deberían limitar a accesos solo de lectura al software y a los datos.

• otro acceso distinto a solo lectura, únicamente se debería permitir para copias aisladas de archivos del sistema, que se deberían borrar cuando se termine la auditoria.

• los recursos de tecnología de la información para realizar verificaciones deberían ser explícitamente identificados y puestos a disposición.

• los requisitos para procesos especiales o adicionales deberían ser identificados y acordados.

• todos los accesos deberían ser registrados y supervisados para producir un seguimiento de referencia; el uso de seguimiento de referencia de tiempo debe ser considerado para sistemas o datos críticos.

• todos los procedimientos, requisitos y responsabilidades deberían estar documentados.

• las personas que llevan a cabo la auditoria deben ser independientes de las actividades auditadas. 

LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

La base de la gestión de la continuidad son las políticas, guías, estándar y procedimientos implementados por una organización. Todo el diseño, implementación, soporte y mantenimiento de los sistemas debe estar fundamentado en la obtención de un buen plan de continuidad del negocio, recuperación de desastres y en algunos casos, soporte al sistema. En ocasiones el plan de la continuidad se confunde con la gestión de la recuperación tras un desastre, pero son conceptos diferentes. 

Política

Las políticas son una serie de normas impuestas por las esferas directivas de la organización que soportan todos los procesos de negocio y que se desarrollan siguiendo un plan determinado.

Las guías son una serie de conceptos de los que se  recomienda su seguimiento según el plan designado. De todas formas, dependiendo de las necesidades y requisitos de negocio, estas guías pueden ser ignoradas o alteradas durante la implementación.

Estándares

Los estándares consisten en las especificaciones técnicas realizadas para la implementación de todos los procesos de negocio. Son un derivado de las políticas y las guías. En 2007 BSI, British Estándares Institución, publicó la norma BS 25999 partes 1 y 2 para establecer la gestión de la continuidad de negocio en las organizaciones.

En 2012 se publicó la ISO 22301, norma internacional para la gestión de la continuidad de negocio basada en la anterior BS 25999 y teniendo ya aplicación y reconocimiento mundial.

Procedimiento

El estándar británico 25999-1 ofrece especificaciones para la implementación de un sistema de gestión de la continuidad en una organización. Esta tarea puede resultar compleja en grandes organizaciones, que contratan expertos y consultores que ofrecen soporte y formación al respecto.

Planificación y despliegue  de recursos

El concepto de gestión de la continuidad implica que los recursos subyacentes se encuentran implementados y desplegados de un modo determinado, que permite ser reestructurado fácilmente dependiendo de las necesidades de la organización. Este nivel de flexibilidad requiere que todas las funciones de negocio sean planeadas e implementadas, desde el principio, con la mentalidad de disponer de un plan de continuidad del negocio.

Estructura organizativa

Parte del trabajo de la gestión de la continuidad es asegurar que todo el personal de la organización comprende qué procesos del negocio son los más importantes para la organización.

Este entendimiento debe quedar de manifiesto en la formación del personal, de forma que los empleados puedan asegurar la continuidad del negocio incluso cuando hay una entrada y salida de personal constante. Es importante también contar con diferentes individuos con el mismo conocimiento, sobre todo en momentos críticos cuando la persona con el conocimiento experto no se encuentra disponible.

Gestión de la seguridad

En el entorno empresarial, la seguridad debe ser la prioridad principal en la gestión de las tecnologías de la información. Para la mayoría de organizaciones la seguridad está regida por la legislación y el cumplimiento de estas normas está controlado por auditorías.

El no cumplimiento de estas normas tiene un impacto económico y organizativo en la entidad.

Gestión documental

En el entorno de tecnologías de la información la rotación de personal es inevitable y forma parte de la gestión de la continuidad. La solución a los problemas relacionados con la rotación de personal es la creación de documentación completa y actualizada. Esto asegura que el personal entrante dispone de la información necesaria sobre sus funciones y tareas.

Esto implica que los procesos relacionados con la documentación es generada (no escrita) desde los sistemas existentes y gestionada de forma automática.

Gestión del cambio

Las regulaciones determinan que los cambios relacionados con los procesos de negocio deben ser documentados y clasificados para futuras auditorias, esto se denomina “control de cambios”. Un nuevo nivel de estabilidad entra en la organización ya que requiere que el personal de soporte documente y coordine todos los cambios en los sistemas. A medida que este proceso se automatiza, el énfasis pasará del control de personal al cumplimiento de la normativa.

Gestión de auditorias

Uno de los aspectos que requieren más tiempo y recursos en la gestión de tecnologías de la información son las auditorías. Uno de los objetivos de la gestión de la continuidad es la automatización del data center, que incluye la gestión de las auditorías. Todos los procesos de negocio modernos deberían ser diseñados de forma que generen automáticamente la información y documentación necesaria para las auditorías como parte del día a día de la organización.

Acuerdos de nivel de servicios

El punto de encuentro entre la gestión y las tecnologías de la información son los Acuerdos de Nivel de Servicio. Dichos acuerdos proporcionan un contrato escrito donde se estipula el alcance de la gestión con respecto a la disponibilidad de un determinado proceso de negocio y los recursos que las tecnologías de la información ofrecen como soporte a ese proceso.

ANÁLISIS DE RIESGO VS NTP – ISO / IS 17799

ANÁLISIS DE RIESGO VS NTP – ISO / IS 17799

El análisis de riesgos  es una consideración sistemática porque se encarga de estimar el impacto potencial de una falla de seguridad en los negocios y sus posibles  consecuencias de pérdida de la confidencialidad, integridad o disponibilidad en una organización.

Evalúa la probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas, vulnerabilidades y controles implementados. Estableciendo de prioridades y acciones.

El  objetivo  de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de  gestión eficaz de la seguridad y para establecer transacciones y  relaciones de confianza entre las empresas.

En el caso del análisis de riesgo es la Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización.

El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.

La norma ISO 17799:2005  establece once dominios de control  que cubren por completo la Gestión de la Seguridad de la  Información:

1.- Política de seguridad: Dirigir y dar soporte a la gestión de la seguridad de la información direcciones y recomendaciones.

2.- Aspectos organizativos de la seguridad: Gestión dentro de la organización (recursos, activos, tercerización, etc.)

3.- Clasificación y control de activos: Inventario y nivel de protección de los activos.

4.- Seguridad ligada al personal: Reducir riegos de errores humanos, robos, fraudes o mal de los recursos.

5.- Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los activos.

6.- Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de información.

7.- Control de accesos: evitar accesos no autorizados a los sistemas de la información (de usuarios, computadores, redes, etc.

8.- Desarrollo y mantenimiento de sistema: Asegurar que al seguridad está incorporada dentro de los sistemas de información. Evitar pérdidas, modificaciones, mal uso.

9.- Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información.

10.-Gestión de continuidad de negocio: Reaccionar a la interrupción de las actividades de negocio y proteger sus procesos críticos frentes a fallas, ataques o desastres.

  

En el caso del análisis de riesgo, este comprende los siguientes procesos:

En conclusión:

ISO 17799 es una norma internacional que ofrece recomendaciones  para realizar la gestión de la seguridad de la información siendo su mucho más amplia su área de acción.

En el caso del análisis de riesgo es un proceso realizado para implementar la seguridad de la información. 
es un proceso realizado para detectar los riesgos a los cuales están sometidos los activos de una organización.

Implantar ISO 17799 puede requerir de un  trabajo de  consultoría  que adapte los  requerimientos de la norma a las necesidades  de cada organización.

La relación que existe entre la amenaza y el valor del riesgo, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.

El análisis de los riesgos es un paso importante para implementar la seguridad de la información.

• Utilizar  la Norma  NTP ISO 17799 permite:
• Aumento de la seguridad efectiva de los sistemas de información.
• Correcta  planificación  y gestión de la  seguridad.
• Garantías de continuidad del negocio.
• Mejora continua a través del proceso de auditoría interna.
• Incremento de los niveles de  confianza de los clientes y socios de negocios.
•  Aumento del  valor comercial  y mejora  de la imagen de la organización.