Ley de Delitos Imformaticos en el Perú 

El Gobierno peruano aprobó este martes la ley de delitos informáticos que sanciona hasta ocho años de cárcel el acoso infantil por Internet, entre otros ilícitos.

La norma fue aprobada por el Congreso de la República y publicada en el diario oficial El Peruano con la firma del presidente de la República, Ollanta Humala.

Entre las leyes promulgadas se encuentran tipificados los delitos de Atentado a la integridad de datos informáticos, Tráfico ilegal de datos, Interceptación de datos informáticos, entre otras.

El 22 de octubre de 2013 se publicó en el diario oficial El Peruano la Ley N° 30096, Ley de delitos informáticos (LDI). La LDI tiene por objeto prevenir y sancionar las conductas ilícitas mediante la utilización de tecnologías de la información o de la comunicación y de esta manera luchar contra la ciber delincuencia.

La ley de delitos informáticos en cuatro conclusiones

• Primera conclusión: No estamos frente a una nueva regulación de delitos informáticos. Desde el año 2000 ya teníamos dos tipos penales en nuestro Código Penal (espionaje o intrusismo informático y sabotaje informático). En agosto de 2013 se crea un nuevo delito informático (¿?) relacionado con el uso de bases de datos.

• Segunda conclusión: Los nuevos tipos penales informáticos hacen referencia a diferentes bienes jurídicos, ya no sólo al patrimonio. La LDI debió ser más precisa en algunos casos. Se acerca bastante a la redacción del Convenio de Budapest pero no en todos los casos. Cabe precisar que, según lo establecido en el artículo 12 del Código Penal es necesario el dolo para que los delitos anteriores se configuren. ¿Qué es el dolo? La intención deliberada de cometer el delito.

• Tercera conclusión: No estamos frente a nuevos tipos penales. Desde el año 2000 la interferencia telefónica, la pornografía infantil y la discriminación han sido sancionadas drásticamente por nuestro Código Penal. 

• Cuarta conclusión: Se incrementan las penas para la interceptación telefónica, la discriminación y la pornografía infantil reguladas en el Perú desde el año 2000. No habría mayor afectación a la libertad de información en el delito de interferencia telefónica pues no se sanciona la difusión de lo interceptado. Se mantendría la potencial afectación a la libertad de expresión en el caso del delito de discriminación vigente, aunque sería interesante saber cuántos casos desde el 2000 han aplicado éste artículo. Tanto en el caso del delito de discriminación como el de pornografía infantil se establecen agravantes por el sólo uso de la tecnología cuando debería sancionarse únicamente la conducta. 
• 
  

Control de Acceso, Adquisición y Desarrollo de Sistemas de Información Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN, DESARROLLO Y MANTENIMIENTO

Control de Acceso, Adquisición y Desarrollo de Sistemas de Información Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN, DESARROLLO Y MANTENIMIENTO

El control de acceso es una de las actividades más importantes de la arquitectura de seguridad

de un sistema. Al igual que sucede en el mundo de la seguridad física, cualquiera que ha tenido

que acceder a una caja de seguridad bancaria vivió como a medida que uno de llegando a áreas

de mayor criticidad, las medidas de control de acceso se incrementan, en un sistema informático

debería ser igual.

Para cumplir con este propósito, este apartado lo hace a través de veinticinco controles, que los

agrupa de la siguiente forma:

A. Requerimientos de negocio para el control de accesos:

La cual sugiere que debe existir una Política de Control de accesos documentada, periódicamente revisada y basada en los niveles de seguridad que determine el nivel de riesgo de cada activo.

B.- Administración de accesos de usuarios:

Tiene como objetivo asegurar el correcto acceso y prevenir el no autorizado y, a través de cuatro controles, exige llevar un procedimiento de registro y revocación de usuarios, realizando periódicas revisiones a intervalos regulares, empleando para todo ello procedimientos formalizados dentro de la organización.

C. Responsabilidades de usuarios:

Todo usuario dentro de la organización debe tener documentadas sus obligaciones dentro de la seguridad de la información de la empresa.

Independientemente de su jerarquía, siempre tendrá alguna responsabilidad a partir del momento que tenga acceso a la información.

D. Control de acceso a redes:

Todos los servicios de red deben ser susceptibles de medidas de control de acceso; para ello a través de siete controles, en este grupo se busca prevenir cualquier acceso no autorizado a los mismos.

Como primer medida establece que debe existir una política de uso de los servicios de red para que los usuarios, solo puedan acceder a los servicios específicamente autorizados. Luego se centra en el control de los accesos remotos a la organización, sobre los cuales deben existir

medidas apropiadas de autenticación.

E. Control de acceso a sistemas operativos:

El acceso no autorizado a nivel sistema operativo presupone uno de los mejores puntos de escalada para una intrusión; de hecho son los primeros pasos de esta actividad, denominados “Fingerprintig y footprinting”, pues una vez identificados los sistemas operativos, versiones y parches, se comienza por el más débil y con solo conseguir un acceso de usuario, se puede ir escalando en privilegios hasta llegar a encontrar el de ”root”, con lo cual se habrá logrado vulnerar los sistemas.

F. Control de acceso a información y aplicaciones:

En este grupo, los dos controles que posee están dirigidos a prevenir el acceso no autorizado a la información mantenida en las aplicaciones. Propone redactar, dentro de la política de seguridad, las definiciones adecuadas para el control de acceso a las aplicaciones y a su vez el aislamiento de los sistemas sensibles del resto de la infraestructura.

ADQUISICIÓN DE SISTEMAS  DE INFORMACIÓN, DESARROLLO  Y MANTENIMIENTO

Este grupo reúne dieciséis controles:

1. Requerimientos de seguridad de los sistemas de información:

Este primer grupo que incluye un solo control, plantea la necesidad de realizar un análisis de los requerimientos que deben exigirse a los sistemas de información, desde el punto de vista de la seguridad para cumplir con las necesidades del negocio de cada empresa en particular, para poder garantizar que la seguridad sea una parte integral de los sistemas.

2. Procesamiento correcto en aplicaciones:

En este grupo se presentan cuatro controles, cuya misión es el correcto tratamiento de la información en las aplicaciones de la empresa. Para ello las medidas a adoptar son, validación en la entrada de datos, la implementación de controles internos en el procesamiento de la información para verificar o detectar cualquier corrupción de la información a través de los procesos, tanto por error como intencionalmente, la adopción de medidas par asegurar y proteger los mensajes de integridad de las aplicaciones.

3.  Controles criptográficos:

Esto controles lo que buscan es proteger la integridad , confidencialidad y autenticidad de la información. En este caso, a través de dos controles, lo que propone es desarrollar una adecuada política de empleo de estos controlescriptográficos y administrar las claves que se emplean de forma consciente.

4. Seguridad en los sistemas de archivos:

Este grupo de tres controles, en definitiva lo que propone es el control de softwareoperacional, test de esos datos y controlar el acceso al código fuente.

5. Seguridad en el desarrollo y soporte a procesos:

Cubre cinco controles cuya finalidad está orientada hacia los cambios que sufre todo sistema. Los aspectos clave de este grupo son:

•Desarrollar un procedimiento de control de cambios.

•Realización de revisiones técnicas a las aplicaciones luego de realizar cualquier cambio, teniendo especial atención a las aplicaciones críticas.

•Documentar claramente las restricciones que se deben considerar en los  cambios de paquetes de software.

•Implementación de medidas tendientes a evitar fugas de información.

•Supervisión y monitorización de desarrollos de software externalizado.

6. Administración técnica de vulnerabilidades:

Este grupo que solo trata un solo control, lo que propone es adoptar medidas para estar al tanto de estos temas más “temprano” que “tarde”. Esta actividad, en la actualidad no requiere esfuerzos económicos si se pone interés en la misma, pero sí requiere mucho tiempo para poder consultar Web especializadas o leer los mails que llegan si se está subscripto a grupos de noticias de seguridad, o buscar en Internet en foros, etc.

La gestión de  la continuidad  del negocio

La gestión de la continuidad del negocio es la actividad que se lleva a cabo en una organización para asegurar que todos los procesos de negocio críticos estarán disponibles para los clientes, proveedores, y otras entidades que deben acceder a ellos. Estas actividades incluyen un gran número de tareas diarias como gestión de proyectos , copias de seguridad  de los sistemas, control de cambios y helpedesk La gestión de la continuidad no se implanta cuando ocurre un desastre , sino que hace referencia a todas aquellas actividades que se llevan a cabo diariamente para mantener el servicio y facilitar la recuperación.

POLÍTICAS 

Las políticas son una serie de normas impuestas por las esferas directivas de la organización que soportan todos los procesos de negocio y que se desarrollan siguiendo un plan determinado.

GUÍAS

Las guías son una serie de conceptos de los que se recomienda su seguimiento según el plan designado. De todas formas, dependiendo de las necesidades y requisitos de negocio, estas guías pueden ser ignoradas o alteradas durante la implementancion .

ESTÁNDARES

Los estándares consisten en las especificaciones técnicas realizadas para la implantación de todos los procesos de negocio. Son un derivado de las políticas y las guías. En 2007 BSI British Standards Institution, publicó la norma BS 25999 partes 1 y 2 para establecer la gestión de la continuidad de negocio en las organizaciones. En ella ya se introdujo el término resiliencia traducido del término inglés "resilience" y que la RAE define como la capacidad humana de asumir con flexibilidad situaciones límite y sobreponerse a ellas.

En 2012 se publicó la ISO 22301, norma internacional para la gestión de la continuidad de negocio basada en la anterior BS 25999 y teniendo ya aplicación y reconocimiento mundial.

PROCEDIMIENTO

El estándar británico 25999-1 ofrece especificaciones para la implantación de un sistema de gestión de la continuidad en una organización. Esta tarea puede resultar compleja en grandes organizaciones, que contratan expertos y consultores que ofrecen soporte y formación al respecto

PLANIFICACIÓN Y DESPLIEGUE DE RECURSOS 

El concepto de gestión de la continuidad implica que los recursos subyacentes se encuentran implementados y desplegados de un modo determinado, que permite ser reestructurado fácilmente dependiendo de las necesidades de la organización. Este nivel de flexibilidad requiere que todas las funciones de negocio sean planeadas e implementadas, desde el principio, con la mentalidad de disponer de un plan de continuidad del negocio

ESTRUCTURA ORGANIZATIVA 

Parte del trabajo de la gestión de la continuidad es asegurar que todo el personal de la organización comprende qué procesos del negocio son los más importantes para la organización.

Este entendimiento debe quedar de manifiesto en la formación del personal, de forma que los empleados puedan asegurar la continuidad del negocio incluso cuando hay una entrada y salida de personal constante. Es importante también contar con diferentes individuos con el mismo conocimiento, sobre todo en momentos críticos cuando la persona con el conocimiento experto no se encuentra disponible

ANÁLISIS DE IMPACTO AL NEGOCIO 

El concepto completo de gestión de la continuidad está basado en los procesos de negocio de una organización, y la asignación de un nivel de importancia a cada proceso. Un análisis de impacto en el negocio es la herramienta principal que permite recopilar esta información para así asignar una criticidad, objetivos de recuperación y tiempo de recuperación a cada uno de ellos.

Puede ser utilizado para identificar la importancia del impacto en los diferentes niveles de una organización. Por ejemplo, se puede examinar el efecto de una interrupción en las actividades estrategias operacionales, funcionales o estratégicas de una organización. No solo en las actividades actuales, el efecto de interrupciones por la introducción de grandes cambios, como la creación de un nuevo producto o servicio, también puede ser calculado por el análisis de impacto de negocio.

Las mejores prácticas indican que un análisis de impacto de negocio debe ser revisado como mínimo anualmente, pero esta revisión puede ser más frecuente en el caso de:

- Un gran cambio en el ritmo de negocio

GESTIÓN DE LA SEGURIDAD 

En el entorno empresarial, la seguridad debe ser la prioridad principal en la gestión de las tecnologías de la información. Para la mayoría de organizaciones la seguridad está regida por la legislación y el cumplimiento de estas normas está controlado por auditorias.

El no cumplimiento de estas normas tiene un impacto económico y organizativo en la entidad

 GESTIÓN DOCUMENTAL 

En el entorno de tecnologías de la información la rotación de personal es inevitable y forma parte de la gestión de la continuidad. La solución a los problemas relacionados con la rotación de personal es la creación de documentación completa y actualizada. Esto asegura que el personal entrante dispone de la información necesaria sobre sus funciones y tareas.

           NORMA   NTP – ISO 17799 – 2007 (27001)

OBJETIVO:

Tiene como objetivo evitar los incumplimientos de cualquier ley civil o penal, requisito

reglamentario, regulación u obligación contractual, y de todo requisito de seguridad. 

QUE SE DEBE HACER

Para lograr el cumplimiento de la NTP ISO 17799 – 2007 toda 

Entidad debe cumplir con los siguientes 

parámetros que se detallan a continuación:

1. CUMPLIMIENTO DE LOS REQUISITOS LEGALES

El diseño, operación, uso y gestión de los sistemas de información puede estar sujeto a requisitos estatutarios, regulatorios y contractuales de seguridad. 

Objetivo

Se debería buscar el asesoramiento sobre requisitos legales específicos de los asesores legales de la organización, o de profesionales del derecho calificados.

Los requisitos legales varían de un país a otro, al igual que en el caso de las transmisiones internacionales de datos (datos creados en un país y transmitidos a otro). 

2. REVISIONES DE LA POLÍTICA DE SEGURIDAD Y DE LA 

CONFORMIDAD TÉCNICA 

El objetivo es asegurar la conformidad de los sistemas con las políticas y normas de seguridad. 

Control

Los gerentes deberían asegurarse que se cumplan correctamente todos los procedimientos de seguridad dentro de su área de responsabilidad cumpliendo las políticas y estándares de

seguridad. 

Implementación

Los gerentes deben realizar revisiones regulares que aseguren el cumplimiento de las políticas y normas de seguridad. 

Si se encuentra una no conformidad como resultado de la revisión, los gerentes deben de

a)  determinar las causas de la no conformidad;

b)  evaluar la necesidad de acciones para asegurar que la no conformidad no vuelva a ocurrir

3. CONSIDERACIONES SOBRE LA AUDITORIA INFORMÁTICA

OBJETIVO: Maximizar la efectividad y minimizar las interferencias en el proceso de auditoria del sistema. 

Control 

Se deberían  planificar cuidadosamente y acordarse los requisitos y actividades de auditoria

que impliquen comprobaciones en los sistemas operativos, para minimizar el riesgo de interrupción de los procesos de negocio

Implementación

Se debería observar las siguientes pautas:

 a)  deberían acordarse los requisitos de auditoria con la gerencia apropiada.

 b)  debería acordarse y controlarse el alcance de las verificaciones.

 c)  las verificaciones se deberían limitar a accesos solo de lectura al software y a los datos.

 d)  otro acceso distinto a solo lectura, únicamente se debería permitir para copias aisladas de      archivos del sistema, que se deberían borrar cuando se termine la auditoria. 

 

LA GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES EN LA SEGURIDAD INFORMÁTICA

LA GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES EN LA SEGURIDAD INFORMÁTICA

DEFINICIÓN: La gestión de comunicaciones y operaciones,  son la forma de como se administra y supervisa todo lo referente a  la actividad y comunicación de  la empresa, a  través del control de  la  información o servicio que se entrega dentro de ella.

La gestión de las comunicaciones y operaciones es una sección de la norma ISO 17799 y considera

Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.

_Dar Respaldo de información, gestión de la seguridad de 

las redes, intercambio de información y monitorio

Objetivos:

_Determinar los requerimientos necesarios para garantizar el resguardo y protección de la información.

_Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información.

Procesos considerados en la g.c.o.

 - Procedimientos y responsabilidades operacionales.

 - Gestión de servicios de terceros.

-  Planificación y aceptación de sistemas.

-  Protección contra código malicioso.

-  Copias de seguridad.

-  Gestión de la seguridad de red.

-  Gestión de dispositivos de almacenamiento.

-  Control sobre el intercambio de información entre sociedades.

- Control de los servicios de comercio electrónico.

-  Monitorización de sistemas.

 A) Procedimientos y responsabilidades operacionales

Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (pérdidas de servicio, negación de servicio, datos incorrectos, brechas de confidencialidad.

Procedimientos para Planes de Contingencia, Análisis e Identificación de las causas de un incidente, Colección de pistas de auditoria, Reporte a las autoridades, etc.

B )    Gestión de servicios de terceros

Consiste en controlar y supervisar a personas o organizaciones que trabajan en conjunto con la empresa, que cumplan los mismos requisitos de seguridad para garantizar la protección de la información de la empresa.

C )PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS

Objetivo:

Minimizar los riesgos de fallas en los sistemas.

Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento.

D)   Protección contra código malicioso

-Objetivo:

-Proteger la integridad del Software y la Información.

-Controles contra Software Malicioso:

-Política para el cumplimiento con licencias de software y prohibir el uso de software No autorizado.

E) Gestión de la seguridad de red

-Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados.

-También se deben implementar controles adicionales para proteger los datos sensitivos que pasan sobre redes públicas

F) Gestión de dispositivos de 

almacenamiento

_Se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado.

_Los medios que no se ocupen más en la empresa deben ser desechados en forma segura.

J) Control sobre el intercambio de información entre sociedades

-Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.

-El correo electrónico presenta los siguientes riesgos:

-Vulnerabilidad de los mensajes Y acceso no autorizado.

-Vulnerabilidad a errores (direcciones incorrectas).

-Cambio en los esquemas de comunicación (más personal).

H ) Control de los servicios de comercio electrónico

-Prevenir el robo o fraude que se puede dar en las transacciones comerciales a través de Internet.

-El comercio electrónico presenta los siguientes riesgos:

-Vulnerabilidad en las transacciones ó acceso no autorizado.

I) Monitorización de sistemas

Los objetivos de una infraestructura de monitorización de sistemas informáticos son principalmente la prevención de incidencias y pérdida de información y conocer el aprovechamiento de los recursos TIC disponibles.}