MARCO DE TRABAJO

APLICADO A LA

Ing. Maria Mercedes Lagos Perez.

SEGURIDAD DEL
INFORMACIÓN

1
 Ing. Maria Mercedes Lagos Perez.
2
SEGURIDAD EN PROFUNDIDAD
CAPA 1. POLITICAS, PROCEDIMIENTOS Y
EDUCACIÓN

• establecer algunas políticas y prácticas escritas de

seguridad, como una Política de uso aceptable de
una compañía.

Ing. Maria Mercedes Lagos Perez.

• Aun más importante, se trata en realidad de poner
en práctica las políticas que desarrollan.
• Soporte ejecutivo para su política y esto les
ayudará con cualquier problema de cumplimiento.
• Si tienen políticas que no están siendo
implementadas…deséchenlas. No valen ni el papel
en el que están impresas.

3
CAPA 1. POLITICAS, PROCEDIMIENTOS Y
EDUCACIÓN

• establecer algunas políticas y prácticas escritas de

seguridad, como una Política de uso aceptable de
una compañía.

Ing. Maria Mercedes Lagos Perez.

• Aun más importante, se trata en realidad de poner
en práctica las políticas que desarrollan.
• Soporte ejecutivo para su política y esto les
ayudará con cualquier problema de cumplimiento.
• Si tienen políticas que no están siendo
implementadas…deséchenlas. No valen ni el papel
en el que están impresas.

4
CAPA 1. POLITICAS, PROCEDIMIENTOS Y
EDUCACIÓN

• campaña creativa de conciencia. Los usuarios

olvidan pronto las lecciones aprendidas durante la

Ing. Maria Mercedes Lagos Perez.

“capacitación anual en seguridad”,” por lo que la
campaña debe ser algo que realmente recuerden.
Concursos, pruebas, premios, boletines de noticias,
videos divertidos: estas son algunas de las cosas
que pueden hacer si tienen un presupuesto
ajustado.

5
PILARES FUNDAMENTALES DE LA
SEGURIDAD DE LA INFORMACIÓN

Confidencialidad:
Consiste en la capacidad de garantizar que la
información, almacenada en el sistema informático o

Ing. Maria Mercedes Lagos Perez.

transmitida por la red, solamente va a estar disponible
para aquellas personas autorizadas a acceder a dicha
información, es decir, que si los contenidos cayesen en
manos ajenas, estas no podrían acceder a la información
o a su interpretación.
Este es uno de los principales problemas a los que se
enfrentan muchas empresas; en los últimos años se ha
incrementado el robo de los portátiles con la
consecuente pérdida de información confidencial, de
clientes, líneas de negocio…etc. 6
 EJEMPLO
Microsoft incluyó a partir de su sistema Windows 2000 el
método de archivos encriptados conocido como EFS (Encrypted
File System) con el que se consigue el objetivo de la
confidencialidad.
 Encrypting File System (EFS) es un sistema de archivos que,

Ing. Maria Mercedes Lagos Perez.

trabajando sobre NTFS, permite cifrado de archivos a nivel
de sistema. Permite a los archivos administrados por el
sistema operativo ser cifrados en las particiones NTFS en
donde esté habilitado, para proteger datos
confidenciales. EFS es incompatible con la compresión de
carpetas.
 El usuario que realice el cifrado de archivos será el único que
dispondrá de acceso a su contenido, y al único que se le
permitirá modificar, copiar o borrar el archivo, controlado
todo ello por el sistema operativo. 7
Ing. Maria Mercedes Lagos Perez.
8
PILARES FUNDAMENTALES DE LA
SEGURIDAD DE LA INFORMACIÓN

Disponibilidad:
Asegura que los usuarios autorizados pueden acceder a

Ing. Maria Mercedes Lagos Perez.

la información cuando la necesitan”, la definiremos
como la capacidad de garantizar que tanto el sistema
como los datos van a estar disponibles al usuario en
todo momento.
Pensemos, por ejemplo, en la importancia que tiene este
objetivo para una empresa encargada de impartir ciclos
formativos a distancia. Constantemente está recibiendo
consultas, descargas a su sitio web, etc., por lo que
siempre deberá estar disponible para sus usuarios.
9
PILARES FUNDAMENTALES DE LA
SEGURIDAD DE LA INFORMACIÓN

Integridad:
Salvaguarda la precisión y completitud de la

Ing. Maria Mercedes Lagos Perez.

información y sus métodos de proceso, diremos que es la
capacidad de garantizar que los datos no han sido
modificados desde su creación sin autorización.
La información que disponemos es válida y consistente.
Este objetivo es muy importante cuando estamos
realizando trámites bancarios por Internet. Se deberá
garantizar que ningún intruso pueda capturar y
modificar los datos en tránsito.
10
Ing. Maria Mercedes Lagos Perez.
11
Ing. Maria Mercedes Lagos Perez.
12
 Ing. Maria Mercedes Lagos Perez.
13
CAPA 2. SEGURIDAD FÍSICA
LOS PILARES COMPLEMENTARIOS DE LA
SEGURIDAD DE LA INFORMACIÓN

Autenticidad:
Propiedad fundamental de la información de ser confrontada en cualquier
momento de su ciclo de vida contra su origen real (Verdadero/falso).

Ing. Maria Mercedes Lagos Perez.

Especialmente importante en sistemas económicos (banca, comercio
electrónico, bolsa de valores, apuestas, etc.)

Definir que la información requerida es válida y utilizable en tiempo,

forma y distribución.

14
Ejemplo: Existen cuatro tipos de técnicas que permiten realizar
la autenticación de la identidad del usuario, las cuales pueden
ser utilizadas individualmente o combinadas:

1, Entregar al usuario una clave secreta de acceso o password, una clave

criptográfica, un número de identificación personal, etc.

2, Entregar al usuario un medio físico de acceso como por ejemplo una

Ing. Maria Mercedes Lagos Perez.

tarjeta magnética.

3, Entregar al usuario un sistema de identificación físico mediante

huellas digitales o reconocimiento de retina.

4, Emplear alguna habilidad del usuario, como por ejemplo su escritura

o su voz.

Observe que los usuarios tienen tendencia a olvidar sus claves o a

extraviar sus tarjetas (a veces ambas cosas) mientras por otro lado, los
controles de autenticación biométricos serían los más apropiados y
fáciles de administrar, pero resultan excesivamente costosos.
15
Existen cuatro tipos de técnicas que permiten realizar la
autenticación de la identidad del usuario, las cuales pueden ser
utilizadas individualmente o combinadas:

Resulta conveniente (en términos de eficiencia) que los usuarios sean

identificados y autenticados sólamente una vez, pudiendo acceder a
partir de ahí a todas las aplicaciones y datos que su perfil les permita,

Ing. Maria Mercedes Lagos Perez.

tanto en sistemas locales como en sistemas remotos.

Una de los métodos más comunes para implementar esta identificación

de usuarios es un servidor de autentificaciones contra el que los
usuarios se identifican, y que es el que se encarga de autenticar al
usuario sobre los demás equipos a los que se pueda acceder.

16
Mecanismos de autenticación:

1, Passwords

Ing. Maria Mercedes Lagos Perez.

17
LOS PILARES COMPLEMENTARIOS DE LA
SEGURIDAD DE LA INFORMACIÓN
Auditabilidad:
Determinar qué, cuándo, cómo y quién realiza acciones sobre el
sistema.

Ing. Maria Mercedes Lagos Perez.

Se trata de los procedimientos necesarios para la preparación de
pruebas del sistema. Estas comprobaciones deben de ser
periódicas y deben aportarnos datos precisos sobre el
funcionamiento del sistema.
Un buen sistema de auditoría debería contestar preguntas tales
como:
¿Se emplea el sistema de una forma adecuada?
¿Los datos que ofrece el sistema son los necesarios?
¿Se presentan los datos de forma correcta?
¿Las transacciones se realizan de forma correcta?
¿El sistema cumple las normas internas y externas vigentes?
¿El sistema contienen información referente al entorno: 18
tiempo, lugar, autoridad, recurso, empleado y en general todos
los datos necesarios?
LOS PILARES COMPLEMENTARIOS DE LA
SEGURIDAD DE LA INFORMACIÓN
No repudio:
permite probar la participación de las partes en una comunicación
permitiendo por tanto la auditoría de la información. En toda
comunicación, existe un emisor y un receptor, por lo que podemos

Ing. Maria Mercedes Lagos Perez.

distinguir dos tipos de no repudio:

1, No repudio en origen: el emisor no puede negar el envío. La prueba la

crea el propio emisor y la recibe el destinatario.
2, No repudio en destino: el receptor no puede negar que recibió el
mensaje porque el emisor tiene pruebas de la recepción. En este caso la
prueba irrefutable la crea el receptor y la recibe el emisor.

Si la autenticación prueba quién es el autor o propietario de un

documento y cuál es su destinatario, el no repudio prueba que el autor
envió la comunicación (no repudio en origen) y que el destinatario la
recibió (no repudio en destino).
19
LOS PILARES COMPLEMENTARIOS DE LA
SEGURIDAD DE LA INFORMACIÓN
Autorización:
es una parte del sistema operativo que protege los recursos del
sistema permitiendo que sólo sean usados por aquellos

Ing. Maria Mercedes Lagos Perez.

consumidores a los que se les ha concedido autorización para ello.
Los recursos incluyen archivos y otros objetos de dato, programas,
dispositivos y funcionalidades provistas por aplicaciones. Ejemplos
de consumidores son usuarios del sistema, programas y otros
dispositivos.
En el caso de los datos, la autorización debe asegurar la
confidencialidad e integridad, ya sea dando o denegando el acceso
en lectura, modificación, creación o borrado de los datos.

Por otra parte, solo se debe dar autorización a acceder a un

recurso a aquellos usuarios que lo necesiten para hacer su trabajo,
y si no se le negará. Aunque también es posible dar autorizaciones 20
transitorias o modificarlas a medida que las necesidades del
usuario varíen.
Ing. Maria Mercedes Lagos Perez.
INFORMATICOS
DELITOS

21
DEFINICION DE DELITO
INFORMATICO

Tomando como referencia del “Convenio de

Ing. Maria Mercedes Lagos Perez.

Ciberdelincuencia del Consejo de
Europa”, podemos definir los delitos
informáticos como: “los actos dirigidos
contra la confidencialidad, la integridad
y la disponibilidad de los sistemas
informáticos, redes y datos informáticos,
así como el abuso de dichos sistemas,
redes y datos”.
22
CARACTERISTICAS
 Son delitos difíciles de demostrar ya que, en
muchos casos, es complicado encontrar las
pruebas.

Ing. Maria Mercedes Lagos Perez.

 Son actos que pueden llevarse a cabo de forma
rápida y sencilla. En ocasiones estos delitos
pueden cometerse en cuestión de segundos,
utilizando sólo un equipo informático y sin estar
presente físicamente en el lugar de los hechos.

 Los delitos informáticos tienden a proliferar y

evolucionar, lo que complica aun más la
identificación y persecución de los mismos. 23
 LEY DE DELITOS INFORMÁTICOS EN COLOMBIA

Con esta nueva ley se preservan integralmente los sistemas que utilicen
las tecnologías de la información y las comunicaciones, entre otras
disposiciones.

El 5 de enero de 2009, el Congreso de la República de Colombia

Ing. Maria Mercedes Lagos Perez.

promulgó la Ley 1273 “Por medio del cual se modifica el Código Penal,
se crea un nuevo bien jurídico tutelado – denominado “De la Protección
de la información y de los datos”- y se preservan integralmente los
sistemas que utilicen las tecnologías de la información y las
comunicaciones, entre otras
disposiciones”.

24
OBJETIVO DE LA LEY 1273

 Proteger el bien jurídico tutelado de la

INFORMACIÓN y el DATO, a demás de eso ha
posesionado el país en el contexto jurídico

Ing. Maria Mercedes Lagos Perez.

internacional, que estaba en mora de ubicarse.

 Lograr que las personas conozcan las leyes

colombianas que regulan el uso de la
información, y de esta forma cumplir con las
mismas leyes para no incurrir en delitos que
afectan a la sociedad.

25
CARCEL Y MULTAS

La Ley 1273 de 2009 creó

nuevos tipos penales
relacionados con delitos
informáticos y la protección de
la información y de los

Ing. Maria Mercedes Lagos Perez.

datos con penas de prisión de
hasta 120 meses y multas de
hasta 1500 salarios mínimos
legales mensuales vigentes.

Estas penas de prisión serán

impuestas quienes, “con objeto
ilícito y sin estar facultado para
ello, diseñe, desarrolle, trafique,
venda,
ejecute, programe o envíe
páginas electrónicas, enlaces o
ventanas emergentes”. 26
DAÑO
INFORMATICO
El que, sin estar facultado para
ello, destruya, dañe, borre,
deteriore, altere o suprima datos
informáticos, o un sistema de

Ing. Maria Mercedes Lagos Perez.

tratamiento de información o sus
partes o componentes lógicos.
Incurrirá en pena de
prisión de cuarenta y ocho
(48) a noventa y seis (96) meses y
en multa de 100 a
1.000 salarios mínimos legales
mensuales vigentes”. LEY 1273
DE 2009-Artículo 269D

27
LEY 1273“DE LA PROTECCIÓN DE LA INFORMACIÓN Y DELOS
DATOS”, CAPITULO I

Artículo 269A: ACCESO ABUSIVO A UN SISTEMA

INFORMÁTICO. sin autorización o por fuera de lo acordado.
Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA
INFORMÁTICO O RED DE TELECOMUNICACIÓN. sin estar
facultado para ello.

Ing. Maria Mercedes Lagos Perez.

Artículo 269C: INTERCEPTACIÓN DE DATOS
INFORMÁTICOS. sin orden judicial previa
Artículo 269D: DAÑO INFORMÁTICO. sin estar facultado para
ello.
Artículo 269E: USO DE SOFTWARE MALICIOSO. sin estar
facultado para ello
Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. sin
estar facultado para ello.
Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA
CAPTURAR DATOS PERSONALES. El que con objeto ilícito y
sin estar facultado para ello.
Artículo 269H: CIRCUNSTANCIAS DE AGRAVACIÓN 28
PUNITIVA
CIRCUNSTANCIAS DE AGRAVACIÓN
PUNITIVAS
Las penas imponibles de acuerdo con los artículos
descritos en este título, se aumentarán de la mitad a las
tres cuartas partes si la conducta se cometiere:

Ing. Maria Mercedes Lagos Perez.

 Sobre redes o sistemas informáticos o de
comunicaciones estatales u oficiales o del sector
financiero, nacionales o extranjeros.
 Por servidor público en ejercicio de sus funciones.
 Aprovechando la confianza depositada por el poseedor de
la información o por quien tuviere un vínculo contractual
con este.
 Revelando o dando a conocer el contenido de la
información en perjuicio de otro.
 Obteniendo provecho para sí o para un tercero.
 Con fines terroristas o generando riesgo para la
seguridad o defensa nacional. 29
 Utilizando como instrumento a un tercero de buena fe
LEY 1273, “DE LA PROTECCIÓN DE LAINFORMACIÓN Y DE
LOS DATOS”
CAPITULO II
DE LOS ATENTADOS INFORMÁTICOS Y OTRAS
INFRACCIONES

Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y

SEMEJANTES.

Ing. Maria Mercedes Lagos Perez.

superando medidas de seguridad informáticas.
Artículo 269J: TRANSFERENCIA NOCONSENTIDA DE
ACTIVOS. Elque,
con ánimo de lucro y valiéndose de alguna manipulación
informática o artificio semejante.

30
TIPOS DE
DELITOS
Virus
Gusanos
Bomba lógica o cronológica

Ing. Maria Mercedes Lagos Perez.

Sabotaje informático
Piratas informáticos o
hackers
Acceso no autorizado a
sistemas o servicios
Reproducción no autorizada
de programas informáticos de
protección legal.
Manipulación de datos de
entrada y/o salida
Manipulación de programas
Fraude efectuado por
manipulación informática.

31
ASPECTO
IMPORTANTE
Si quien incurre en estas conductas es
el responsable de la administración,

Ing. Maria Mercedes Lagos Perez.

manejo o control de dicha información,
además se le impondrá hasta por tres
años, la pena de inhabilitación para el
ejercicio de profesión relacionada con
sistemas de información procesada con
equipos computacionales.

32
Ing. Maria Mercedes Lagos Perez.
GRACIAS!!!

33