INTRODUCCIÓN
Junto al avance de la tecnología la tecnología informática informática y su influencia en casi todas las áreas de la vida social, ha surgido una serie de comportamientos ilícitos denominados, de manera genérica, "delitos informáticos". Para lograr una investigación una investigación completa de la temática se establece la conceptualización respectiva del tema, generalidades asociadas al fenómeno, estadísticas mundiales sobre delitos informáticos, el efecto de éstos en diferentes áreas, como poder minimizar la amenaza de los delitos a través de la seguridad, aspectos seguridad, aspectos de legislación informática, y por último se busca unificar la investigación realizada para poder establecer el papel de la auditoría la auditoría informática frente a los delitos informáticos. Al final del documento documento se establecen establecen las conclusiones conclusiones pertinentes al estudio, estudio, en las que se busca destacar situaciones relevantes, comentarios, análisis, etc. análisis, etc.
ORÍGENES DELITOS INFORMÁTICOS INFORMÁTICOS Es indudable que así como la computadora se presenta como una herramienta muy favorable para la sociedad, la sociedad, también se puede constituir en un verdadero instrumento de
actos ilícitos. Éste tipo de actitudes de actitudes concebidas por el el hombre encuentran sus orígenes desde el mismo surgimiento de la tecnología informática. La facilitación de las labores que traen consigo las computadoras, las computadoras, propician que en un momento dado, el usuario se encuentre ante una situación de ocio, la cual canaliza a través de la computadora, cometiendo sin darse cuenta una serie de ilícitos. La evolución tecnológica ha generado un importante número de conductas nocivas que, aprovechando el poder de la información, la información, buscan buscan lucros ilegítimos y causan daños. El Derecho que por esencia se muestra reticente al cambio, al cambio, no ha reaccionado adecuadamente a las nuevas circunstancias Esta marcha de las aplicaciones de la informática no sólo tiene un lado ventajoso sino que plantea también problemas también problemas de significativa importancia para el funcionamiento y la seguridad de los sistemas los sistemas informáticos en los negocios, los negocios, la administración, la administración, la la defensa y la sociedad. Debido a esta vinculación, el aumento del nivel de los delitos relacionados con los sistemas
informáticos
registrados
Unidos, Europa Unidos, Europa Occidental,
Australia
en
la
última
década
y Japón, y Japón, representa
una
en
los Estados
amenaza
para
la economía la economía de un país y también para la sociedad en su conjunto. De acuerdo con la definición elaborada por un grupo de expertos, invitados por la OCDE a PARIS en MAY83, el término delitos relacionados con las computadoras se define como cualquier comportamiento comportamiento antijurídico, no ético o no autorizado, relacionado con el procesado
automático
de datos y/o de datos
transmisiones
de
datos.
La
amplitud
de
este concepto este concepto es ventajosa, puesto que permite el uso de las mismas hipótesis de trabajo de trabajo para toda clase toda clase de estudios penales, criminológicos, económicos, preventivos o legales.
DEFINICION DE DELITO DE DELITO INFORMATICO Tomando como referencia el “Convenio de Ciberdelincuencia del Consejo de Europa de Europa”, podemos definir los delitos informáticos como:
“los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de
los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”.
CARACTERISTICAS PRINCIPALES Son delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar las pruebas. Son actos que pueden llevarse a cabo de forma rápida y sencilla. En ocasiones estos delitos pueden cometerse en cuestión de segundos, utilizando sólo un equipo informático y sin estar presente físicamente en el lugar de los hechos. Los delitos informáticos tienden a proliferar y evolucionar, lo que complica aun más la identificación
y
persecución
de
los
mismos.
TIPOS DE DELITOS INFORMATICOS CLASIFICACION
SEGÚN
EL
CONVENIO
SOBRE
LA
CIBERDELINCUENCIA
1. Delitos contra la confidencialidad, la integralidad y la disponibilidad de los datos y sistemas informáticos. Acceso ilícito a sistemas informáticos. Interceptación ilícita de datos informáticos. Abuso de dispositivos que faciliten la comisión de delitos. Interferencia en
el
funcionamiento
de
un sistema informático.
2. Delitos Informáticos Falsificación informática mediante la introducción, borrado o supresión de datos informáticos. Fraude informático mediante la introducción, alteración o borrado de datos informáticos, o la interferencia en sistemas informáticos. 3. Delitos relacionados con el contenido Producción, oferta, difusión, adquisición de contenidos de pornografía infantil, por medio de un sistema informático o posesión de
dichos contenidos en un sistema informático o medio de almacenamiento de datos.
4. Delitos relacionados con infracciones de la propiedad intelectual y derechos afines: Un ejemplo de este grupo de delitos es la copia y distribución de programas informáticos, o piratería informática.
5. Delitos informáticos más comunes Podemos decir que los delitos más comunes son los sabotajes a empresas, uso fraudulento de Internet, fugas de información, espionaje informático,
etc.
Otros tipos de delitos informáticos son: Robo de identidades (red, correo, etc.) Virus, Spyware, keylogger… Borrado fraudulento de datos, disco duro formateado… Dejadez
de funciones. Corrupción de Conexiones
a
redes
ficheros. no
Webs
pornográficas,
autorizadas.
Fugas
criminógenas
en
pornografía de
infantil.
información.
CLASIFICACION 1. Como
METODO:
Conductas
donde
los
individuos
utilizan métodos electrónicos para llegar a un resultado ilícito. 2. Como MEDIO: Conductas criminales que se valen de las computadoras como medio o símbolo en la comisión del ilícito. Variación de los activos y pasivos en la situación contable de las empresas. Planeamiento y simulación de delitos convencionales (Secuestro, extorsión, homicidio, hurto, fraude, etc.) Lectura, sustracción o copiado de información confidencial. Alteración en el funcionamiento de los sistemas, a través de los virus
informáticos.
3. Como FIN: Conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad física. Atentado físico contra la máquina o sus accesorios. Sabotaje político o terrorismo en que se destruya o surja un apoderamiento de los centros neurálgicos computarizados. Secuestro de soportes magnéticos entre los que figure información valiosa con fines de chantaje (pago de rescate,
etc.).
1. Ley especial de Delitos Informáticos del Perú ¿Qué es el delito de Atentado a la Integridad de Datos Informáticos? Atentado a la integridad de datos informáticos “El que delibe rada e ilegítimamente
daña, introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días- multa.” Fuente: Art. 3 de la Ley especial de Delitos Informáticos, aprobada por Ley 30096 y modificada por Ley 30171. Análisis del tipo penal Sujeto activo: Puede ser cualquiera.
Sujeto pasivo: Es quien ejerce la titularidad sobre la información contenida en el dato informático, así como quien ejerce la administración o responsabilidad sobre el sistema informático que contiene el dato informático.
Bien jurídico tutelado: La integridad y la disponibilidad del dato informático. También la integridad del sistema informático.
Elementos objetivos del tipo: Dañar, borrar, deteriorar, alterar, suprimir datos informáticos. Hacer inaccesibles datos informáticos. Introducir datos informáticos.
Elemento subjetivo del tipo: Dolo. No existe el delito en su versión culposa.
Sanción penal: 1. Pena privativa de libertad no menor de 3 ni mayor de 6 años. 2- De 80 a 120 días multa.
Comentario Esta es la segunda figura penal incorporada dentro del capítulo dedicado a los delitos que se cometen contra datos y sistemas informáticos. En principio el tipo penal con sus verbos rectores “dañar”, “borrar”, “deteriorar”, “alterar” y “suprimir”, reprime acciones orientadas a lesionar al bien jurídico “integridad del dato informático”. Pero con las adiciones del verbo rector “introducir” (en referencia al dato
informático como complemento directo del verbo transitivo) y de la acción consistente en “hacer inaccesibles datos informáticos” se complementa la lista de bienes jurídicos tutelados con la “integridad del sistema informático” y con la “disponibilidad del dato informático”, respectivamente. La conducta que reprime consiste en transformar o
eliminar al dato informático contenido dentro de un sistema informático (verbos rectores dañar, borrar, deteriorar, alterar y suprimir), sin legitimidad alguna para hacerlo. A partir de las adiciones ya señaladas, también reprime la introducción de datos informáticos con la finalidad de que el sistema informático muestre información distinta a la originaria (no para obstaculizar o alterar el funcionamiento del sistema informático ya que ello corresponde a otro tipo penal). También penaliza “hacer
inaccesibles datos informáticos”, lo que representa una situación de resultado a la cual se puede llegar por diversas acciones o medios. 3. 5. Comentario Las adiciones (“insertar datos informáticos” y “hacer inaccesibles los datos informáticos”) no se encuentran reflejadas en el texto del inciso 1 del Artículo 4
del Convenio sobre Ciberdelincuencia del Consejo de Europa (Convention on
Cybercrime). Como ya se refirió, incorporan bienes jurídicos tutelados que no estaban considerados en el artículo 4 del acuerdo europeo y obligarán a realizar un esfuerzo de interpretación jurídica especializado y separado conceptualmente del resto de verbos rectores, para encuadrar las conductas objeto de investigación con el respectivo tipo penal, pese a que todo el tipo penal forma una sola estructura. No obstante ello, la interpretación y la aplicación de la parte que sí coincide con el texto de la referida convención debe permanecer sin alteraciones, ya que el sentido jurídico penal de la tipificación no se ha visto alterado por las mencionadas adiciones. 4. 6. Comentario El tipo penal no sanciona: Acciones legítimas: Las que ejecuta el titular, el administrador o el tenedor de los derechos que corresponden sobre los datos informáticos que tengan como propósito o resultado la eliminación, la alteración o la modificación del dato informático en su esencia. Por ejemplo: El borrado de un archivo creado por uno mismo, o descargado en la memoria de su propio computador; la modificación de un archivo en cumplimiento de una orden del empleador; la edición de un archivo de uso público difundido para tal fin. Tampoco sanciona las acciones de protección que se adoptan sobre la disponibilidad de los datos informáticos. Por ejemplo: La encriptación y tokenización de los datos informáticos que tienen por objeto evitar accesos no autorizados. 5. 7. ¿Qué dice el Convenio de Budapest contra el Cibercrimen – CETS 185? Este tipo penal tiene su antecedente en el Artículo 4 de la Convención de Budapest contra el Cibercrimen, bajo los términos siguientes: “Ataques a la integridad de los datos. -
1.- Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno todo acto deliberado e ilegítimo que dañe, borre, deteriore, altere o suprima datos informáticos. 2.- Las Partes podrán reservarse el derecho a exigir que los actos definidos en el párrafo 1 comporten daños graves.” El Perú está siguiendo el estándar mínimo
recomendado por el Consejo de Europa, con las adiciones que ya han sido materia de comentario. Estas adiciones, si bien no siguen la línea teleológica del estándar, no comprometen su interpretación ni las acciones de cooperación internacional que se deriven de su invocación y aplicación en la lucha transfronteriza contra el cibercrimen. El tema de la seguridad de la información ha cobrado visibilidad en distintos ámbitos: en el trabajo, en el hogar y durante el traslado de un lugar a otro. Se trata, principalmente, de prevenir los ataques destinados a restringir la disponibilidad (por ejemplo, la denegación del servicio) y a introducir software malintencionado (malware) que permita a un tercero manipular datos e información sin autorización (por ejemplo, para robar, divulgar, modificar o destruir datos). El gusano informático Stuxnet, que fue descubierto en el año 2010, alteró el funcionamiento de un proceso industrial, ya que fue diseñado con la finalidad de dañar equipos físicos y modificar las indicaciones de los operadores a cargo de la supervisión, para impedir, de este modo, que se identificara cualquier anomalía en los equipos .1 Si esta modalidad de ataque a la integridad de los datos (denominado también “ataque semántico”) se hubiera replicado en otros sistemas, podría haber causado problemas
graves en infraestructuras informáticas de importancia crítica, como las de servicios públicos, servicios de urgencia, control de tráfico aéreo y cualquier otro sistema que dependa en gran medida de la TI y resulte indispensable para la sociedad. El gobierno de la información es un factor esencial para la consolidación de la integridad de los datos. Un artículo publicado recientemente en ISACA Journal presenta una infraestructura de gobierno de datos desarrollada por Microsoft para garantizar la privacidad, la confidencialidad y el cumplimiento normativo. El artículo analiza las funciones que desempeñan las personas, los procesos y la tecnología; el ciclo de vida de los datos; y los principios de privacidad y confidencialidad de la información. También incluye enlaces a trabajos más pormenorizados sobre la informática de confianza (o trustworthy computing).2 En el presente trabajo se ampliará el análisis de estos temas, enfocándose en la integridad de los datos, las normas y los procedimientos recomendados a los que esta debe ajustarse, y la función del gobierno de datos. Este artículo también presenta un marco para el gobierno de datos sin control exclusivo. De los tres principales dominios de la seguridad de la información, el de la disponibilidad es el que se encuentra más estrechamente ligado a la tecnología y es posible su medición. El tiempo improductivo (downtime) es visible y puede expresarse como valor absoluto (por ejemplo, en minutos por incidente) o como porcentaje, y no se requiere demasiado esfuerzo para entender que una disponibilidad de “cinco nueves” (99,999 por
ciento) representa en total unos cinco minutos de tiempo improductivo acumulado en un año. Los operadores de los centros de datos saben lo que se necesita para alcanzar este valor. La confidencialidad es un concepto que se puede explicar fácilmente, pero solo tiene alguna utilidad cuando los datos y documentos han sido clasificados en categorías —
como “público”, “restringido a”, “embargado hasta” y “reservado”— que reflejan la
necesidad que tiene una empresa de protegerlos.
No es conveniente que los técnicos que se encargan de la infraestructura y servicios de TI se ocupen de realizar esta clasificación, ya que probablemente no tengan un conocimiento cabal del negocio y, en caso de emplearse la modalidad de externalización (outsourcing) o un sistema de computación en la nube (cloud computing), es posible que además no pertenezcan a la empresa. Por lo tanto, el control y el proceso de clasificación de datos debe quedar en manos del personal del negocio, mientras que los proveedores de servicios y soluciones de TI deben ocuparse de proporcionar las herramientas y los procesos necesarios, como son los controles para la gestión de accesos e identidades (Identity Access Management o IAM) y la encriptación. El método más sencillo para medir la confidencialidad tiene una lógica binaria: el carácter confidencial de la información puede haberse preservado (si la información no se ha divulgado) o no (si se ha divulgado). Lamentablemente, este método no resulta demasiado útil, ya que no refleja los efectos de la divulgación de los datos, que abarcan desde situaciones bochornosas hasta atentados contra la seguridad nacional. Si analizamos la noción de integridad, la situación se torna más compleja, porque se trata de un concepto que puede tener distintas interpretaciones. Este es un terreno fértil para los problemas de comunicación y los malentendidos, con el consiguiente riesgo de que una actividad no se lleve a cabo satisfactoriamente por las confusiones en torno a las responsabilidades pertinentes. ¿Qué Debemos Entender por "Integridad"? La importancia de la integridad de los datos se puede ilustrar con un sencillo ejemplo: Una persona necesita un tratamiento hospitalario que incluye la administración diaria de un medicamento en dosis de 10 miligramos (mg). Accidental o intencionalmente, se produce una modificación en el registro electrónico del tratamiento y las dosis quedan establecidas en 100 mg, con consecuencias mortales. Para tomar otro ejemplo, podríamos imaginar una situación propia de una obra de ficción que antecediera al ataque del virus Stuxnet en 2010 y preguntarnos qué ocurriría si alguien interfiriera los sistemas de control de una central nuclear para que simularan condiciones de funcionamiento normal cuando, en realidad, se ha provocado una reacción en cadena .3 ¿Podemos afirmar que los profesionales reconocen las múltiples definiciones de la “integridad de los datos”?
Veamos:
Para un encargado de seguridad, la “integridad de los datos” puede definirse como la imposibilidad de que alguien modifique datos sin ser descubierto. Desde la perspectiva de la seguridad de datos y redes, la integridad de los datos es la garantía de que nadie pueda acceder a la información ni modificarla sin contar con la autorización necesaria. Si examinamos el concepto de “integridad”, podríamos concluir que no solo alude a la integridad de los sistemas (protección mediante antivirus, ciclos de vida del desarrollo de sistemas estructurados [SDLC], revisión de códigos fuente por expertos, pruebas exhaustivas, etc.), sino también a la integridad personal (responsabilidad, confianza, fiabilidad, etc.). Para un administrador de bases de datos , la “integridad de los datos” puede depender de que los datos introducidos en una base de datos sean precisos, válidos y coherentes. Es muy probable que los administradores de bases de datos también analicen la integridad de las entidades, la integridad de los dominios y la
integridad referencial —conceptos que podría desconocer un experto en infraestructuras instruido en normas ISO 27000 o en la serie 800 de publicaciones especiales (SP 800) del Instituto Nacional de Normas y Tecnología (NIST, National Institute of Standards and Technology) de los EE. UU. Para un arquitecto o modelador de datos , la “integridad de los datos” p uede estar relacionada con el mantenimiento de entidades primarias únicas y no nulas. La unicidad de las entidades que integran un conjunto de datos se define por la ausencia de duplicados en el conjunto de datos y por la presencia de una clave que permite acceder de forma exclusiva a cada una de las entidades del conjunto. Para el propietario de los datos (es decir, para el experto en la materia), la “integridad de los datos” puede ser un parámetro de la calidad, ya que demuestra
que las relaciones entre las entidades están regidas por reglas de negocio adecuadas, que incluyen mecanismos de validación, como la realización de pruebas para identificar registros huérfanos. Para un proveedor , la “integridad de los datos” es: La exactitud y coherencia de los datos almacenados, evidenciada por la ausencia de datos alterados entre dos actualizaciones de un mismo registro de datos. La integridad de los datos se establece en la etapa de diseño de una base de datos mediante la aplicación de reglas y procedimientos estándar, y se mantiene a través del uso de rutinas de validación y verificación de errores .4
En un diccionario disponible en línea , se define la “integridad de los datos” de este modo: Cualidad de la información que se considera exacta, completa, homogénea, sólida y coherente con la intención de los creadores de esos datos. Esta cualidad se obtiene cuando se impide eficazmente la inserción, modificación o destrucción no autorizada, sea accidental o intencional del contenido de una base de datos. La integridad de los datos es uno de los seis componentes fundamentales de la seguridad de la información.5
Sin duda, podemos encontrar muchas otras definiciones. Pero todas contienen superposiciones, aluden a temas de distinta índole y producen cierta confusión semántica, uno de los principales motivos por los que las bases de datos son los objetos menos protegidos de la infraestructura de TI. El planteo del problema no termina aquí. La descentralización de los sistemas de información y la disponibilidad de entornos de programación eficaces para los usuarios finales, como las hojas de cálculo, han creado vulnerabilidades potencialmente descontroladas en la integridad de los datos, ya que esas hojas de cálculo se utilizan como fundamento de decisiones ejecutivas, sin evaluar, muchas veces, la calidad e integridad de los datos. ¿Cómo deberíamos abordar este problema? En primer lugar, podríamos considerar que se trata de un problema que atañe:
A la seguridad de la información, dado que no se puede garantizar la integridad de los datos. A la calidad del software, dado que la mayoría de las hojas de cálculo no está sujeta a un proceso de gestión del ciclo de vida.
A la inteligencia de negocios, dado que la introducción de datos erróneos produce resultados erróneos, algo que en inglés se conoce como “GIGO” (“Garbage In, Garbage Out”, lo que significa que si “entra basura, sale basura”).
Quizás podríamos concluir que abarca los tres aspectos; en tal caso, el siguiente paso consistiría en determinar quién debería abordar el problema (el propietario de los datos, el usuario final que diseñó la hoja de cálculo, el departamento o proveedor de servicios de TI o todos juntos). Disparadores de la Pérdida de Integridad de los Datos En la sección anterior se analizó, a modo de ejemplo, el uso de hojas de cálculo diseñadas por los usuarios sin someterlas a pruebas ni incluir documentación (hecho que se ve agravado por la introducción manual de datos, particularmente cuando no se validan los valores ingresados), pero existen otros disparadores de problemas que podrían resultar aún más graves:
Modificación de los permisos y privilegios de acceso. Imposibilidad de rastrear el uso de contraseñas privilegiadas, en especial cuando es compartido. Errores del usuario final que afectan los datos de producción. Aplicaciones vulnerables a la introducción de códigos ocultos (como los “backdoors”).
Procesos de control de cambios y acreditación deficientes o no desarrollados plenamente. Fallas en la configuración de software y dispositivos de seguridad. Aplicación de parches en forma incorrecta o incompleta. Conexión de dispositivos no autorizados a la red corporativa. Uso de aplicaciones no autorizadas en dispositivos conectados a la red corporativa. Segregación de funciones (SoD) inadecuada o no aplicada.
Por si esto fuera poco, la función de auditoría de TI podría carecer de la masa crítica necesaria para efectuar auditorías que contemplen todos estos aspectos. Ataques a la Integridad de los Datos Los ataques a la integridad de los datos consisten en la modificación intencional de los datos, sin autorización alguna, en algún momento de su ciclo de vida. En el contexto del presente artículo, el ciclo de vida de los datos comprende las siguientes etapas:
Introducción, creación y/o adquisición de datos. Procesamiento y/o derivación de datos. Almacenamiento, replicación y distribución de datos. Archivado y recuperación de datos. Realización de copias de respaldo y restablecimiento de datos. Borrado, eliminación y destrucción de datos.
El fraude —el más antiguo de los métodos destinados a atacar la integridad de los datos— tiene múltiples variantes, las cuales no analizaremos en el presente artículo, excepto para mencionar un caso que, en el año 2008, apareció en la primera plana de los periódicos de todo el mundo: Un empleado de Societe Generale de Francia incurrió en
delitos de “abuso de confianza, falsificación y uso no autorizado de los sistemas informáticos del banco”, que produjeron pérdidas estimadas en €4900 millones .6 A juzgar
por la cantidad de publicaciones y conferencias internacionales que abordan el tema del fraude, es probable que este caso siga estando vigente durante algún tiempo.
Hace años que las organizaciones que operan tanto en el sector público como en el privado sufren alteraciones en sus sitios web, pero, más allá del eventual perjuicio a la reputación de una empresa, ninguno de los daños ocasionados puede considerarse “catastrófico”.
Las bombas lógicas, el software no autorizado que se introduce en un sistema por acción de las personas encargadas de programarlo/mantenerlo, los troyanos y demás virus similares también pueden afectar la integridad de los datos a través de la introducción de modificaciones (por ejemplo, al definir una fórmula incorrecta en una hoja de cálculo) o la encriptación de datos y posterior exigencia de un “rescate” para revelar la clave de
desencriptación. En los últimos años se han producido numerosos ataques de características similares a las mencionadas, que afectan principalmente los discos duros de las computadoras personales. Debería esperarse que tarde o temprano se produzcan ataques de este tipo destinados a los servidores. La modificación no autorizada de sistemas operativos (servidores y redes) y/o de software de aplicaciones (como los “backdoors” o códigos no documentados), tablas de bases de
datos, datos de producción y configuración de infraestructura también se consideran ataques a la integridad de los datos. Es lógico suponer que los hallazgos de las auditorías de TI incluyen con regularidad las fallas producidas en procesos clave, particularmente en la gestión del acceso privilegiado, la gestión de cambios, la segregación de funciones y la supervisión de registros. Estas fallas posibilitan la introducción de modificaciones no autorizadas y dificultan su detección (hasta que se produce algún incidente). Otro método de ataque a la integridad de los datos es la interferencia en los sistemas de control de supervisión y adquisición de datos (SCADA, Supervisory Control and Data Acquisition), como los que se utilizan en infraestructuras críticas (suministro de agua, electricidad, etc.) y procesos industriales. A menudo, la función de TI no interviene en la instalación, el funcionamiento ni la gestión de estos sistemas. El ataque dirigido a plantas de enriquecimiento de uranio en Irán durante el año 2010 había sido planeado con la finalidad de alterar el comportamiento de los sistemas de centrifugación sin que los tableros de control indicaran ninguna anomalía .7 Cabe destacar que muchos de estos sistemas de control no están conectados a Internet y que, en el caso de la inyección del software Stuxnet, debió realizarse una intervención manual,8 hecho que confirma la teoría de que el “hombre” sigue siendo el eslabón más débil de la cadena de aseguramiento/seguridad de la información. Alineamiento con Normas y Mejores Prácticas para Gestión de Riesgos y Cumplimiento Para las empresas que aún no han comenzado a preparar estrategias de defensa, un buen punto de partida es la adopción de los procedimientos recomendados, como el de Security Requirements for Data Management (Requerimientos de seguridad para la gestión de datos), descrito en la sección de Entrega y soporte (DS, Deliver and Support) 11.6 de COBIT (Objetivos de control para la TI y tecnologías afines), junto con los procedimientos indicados en la correspondiente sección de la guía de aseguramiento IT Assurance Guide: Using COBIT .9 Estas publicaciones resumen el objetivo de control y los
factores determinantes de valor y de riesgo, e incluyen una lista de pruebas recomendadas para el diseño del control. ISACA también publicó una serie de documentos que establecen correspondencias entre las normas sobre seguridad de la información y COBIT 4.1, y que resultan sumamente valiosos para profesionales y auditores. Además, se ha publicado recientemente en COBIT Focus un excelente artículo que establece una correspondencia entre la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, Payment Card Industry Data Security Standard) v2.0 y COBIT 4.1 .10 La Asociación Internacional de Gestión de Datos (Data Management Association International, DAMA) ofrece un recurso adicional: The DAMA Guide to the Data Management Body of Knowledge (DMBOK) ; se recomiendan especialmente los capítulos tres (“Data Governance”), siete (“Data Security Management”) y doce (“Data Quality Management”).11
Desde la perspectiva del cumplimiento normativo, existe un marco legislativo cada vez más amplio que asigna a las organizaciones la responsabilidad de garantizar la integridad de los datos y del aseguramiento de la información (information assurance o IA). En los EE. UU. se han aprobado las siguientes leyes, que imponen severas sanciones en caso de incumplimiento: Data Quality Act (Ley de Calidad de los Datos), Sarbanes-Oxley Act (Ley Sarbanes- Oxley), Gramm-Leach-Bliley Act (Ley Gramm-Leach-Bliley), Health Insurance Portability and Accountability Act (Ley de Transferibilidad y Responsabilidad de los Seguros de Salud) y Fair Credit Reporting Act (Ley de Garantía de Equidad Crediticia). También existe la Federal Information Security Management Act (Ley Federal de Gestión de Seguridad de la Información), que establece sanciones económicas en caso de incumplimiento de las disposiciones vigentes. (El análisis de las leyes vigentes fuera de los EE. UU. excede el alcance del presente artículo; sin embargo, cabe destacar dos excelentes ejemplos de legislación comparada, como la directiva de la Unión Europea [UE] para la protección de los datos [“Directive on Data Protection”] y la 8.ª directiva de la UE sobre derechos de sociedades [“8th Company Law Directive”] en relación con las
auditorías legales12, 13).
¿Cómo Garantizar una Mayor Integridad de los Datos? La adopción de mejores prácticas debe complementarse con la formalización de las responsabilidades correspondientes a los procesos de negocio y TI que soportan y mejoran la seguridad de los datos. Delimitación de responsabilidades en la Empresa En todo programa de aseguramiento de la integridad de los datos deben estar definidas las responsabilidades de “detección y detención” (“Detect, Deter” o 2D); de “prevención y preparación” (“Prevent, Prepare” o 2P); y de “respuesta y recuperación” (“Respond, Recover” o 2R).14 Como propietarias de los datos, las áreas de negocio deben tomar la iniciativa, mientras que el proveedor de servicios de TI —se trate de personal interno o contratado mediante la modalidad de externalización de servicios — debe ocuparse de la
implementación. Las buenas prácticas a adoptar son:
Tomar posesión de los datos y asumir la responsabilidad de garantizar su integridad. Solo el personal de la unidad de negocio correspondiente puede
ocuparse de esta tarea. Cuando se aplica la modalidad de externalización de servicios y operaciones de TI, este requisito resulta obvio, pero cuando esos servicios y operaciones se suministran a nivel interno, se suele caer en el error de considerar que los datos pertenecen al área de TI y que esta área es la responsable de preservar la confidencialidad e integridad de la información.
Para tomar el control de la información, se debe realizar una evaluación de valores que permita calcular el costo potencial de la pérdida de la integridad de los datos y contemple las pérdidas económicas directas (por ejemplo, en caso de fraude o problemas operativos graves), los gastos judiciales y el perjuicio causado a la reputación de la empresa. Controlar los derechos y privilegios de acceso. Los principios de necesidad de conocer (need to know, NtK) y mínimos privilegios (least privilege, LP) constituyen prácticas eficaces y no son, en teoría, difíciles de aplicar. El crecimiento de las redes sociales y la noción de que todos somos productores de información exigen mayor amplitud y voluntad de intercambio. Las redes sociales se están transformando en una fuerza que resiste y desafía la aplicación de los principios de NtK y LP. Es necesario formalizar, documentar, revisar y auditar regularmente los procesos de solicitud, modificación y eliminación de derechos de acceso. La acumulación de privilegios —cuando una persona mantiene privilegios históricos al cambiar de responsabilidades — supone un grave riesgo para la empresa y podría afectar la segregación correcta de funciones. Es común en las organizaciones, no llevar un inventario completo y actualizado sobre quién accede a qué, ni se posee una lista completa de los privilegios de usuario. Varios proveedores ofrecen productos capaces de obtener automáticamente toda la información relacionada con esos privilegios. Una vez que se han aplicado los principios de NtK y LP a partir de un proceso exhaustivo de gestión de accesos e identidades, el acceso privilegiado sigue siendo un tema delicado que es indispensable analizar y controlar, ya que permite acceder libremente a los datos de producción y códigos fuente. Cuando un usuario está en condiciones de omitir los procedimientos de control de cambios, existe el riesgo de que se produzcan daños serios.
Las unidades de negocio que cuenten con administradores y/o programadores de bases de datos a cargo de la gestión de las aplicaciones deberían, al menos, mantener un registro que consigne quiénes tienen acceso a qué datos, además de asegurarse de que se mantengan y revisen los registros de cambios. Cuando el tipo de tecnología empleada admita el uso compartido de contraseñas privilegiadas, se debería evaluar la posibilidad de utilizar herramientas que identifiquen claramente a toda persona que acceda a las instalaciones, registren la fecha y hora de acceso, y señalen los cambios realizados. Segregación de funciones (SoD). Este es un concepto de probada eficacia práctica, en el que seguramente harán hincapié las auditorías internas cuando se revisen sistemas y transacciones de carácter confidencial. Este concepto se enfrenta con la presión permanente para reducir costos y personal en las organizaciones, que puede suponer un riesgo para el negocio.
Responsabilidades de los equipos de apoyo de TI y usuarios finales Quien se ocupe de suministrar sistemas informáticos y servicios tecnológicos (una unidad de negocio, el departamento de TI de la empresa, el proveedor de servicios de externalización, etc.) deberá demostrar que se están tomando las medidas adecuadas — como las que se definen en los procedimientos de Manage data (Gestión de datos) de la sección DS11 de COBIT — para alcanzar un grado de desarrollo apropiado, y que se está realizando una correcta medición y supervisión de rendimiento y riesgos, con la consiguiente elaboración de los informes pertinentes. Los equipos de apoyo de usuarios finales (tanto los que integran el área de TI como los que operan de forma independiente) suelen ser los responsables de la creación de cuentas y credenciales de acceso a los sistemas y datos. Estas cuentas y credenciales deben estar plenamente documentadas y solo deberán ser utilizadas cuando se hayan concedido formalmente las autorizaciones pertinentes. Responsabilidades de la Auditoría Interna Los auditores se ocupan de realizar evaluaciones independientes y objetivas para determinar en qué medida se han definido y respetado las responsabilidades de las unidades de negocioy del equipo de TI respecto de la preservación de la integridad de los datos. Desequilibrios en las Responsabilidades de Aseguramiento y Preservación de la Seguridad de la Información El aseguramiento de la información (IA) consiste en la gestión de riesgos relacionados con el uso, el procesamiento, el almacenamiento y la transmisión de información o datos, y con los sistemas y procesos empleados en la realización de esas actividades. El IA se desarrolló a partir de la implementación de la seguridad de la información, que, a su vez, surgió como resultado de las prácticas y los procedimientos vinculados a la seguridad informática. Los proveedores de servicios (como las organizaciones de TI y las empresas dedicadas a la externalización de servicios) tienen una clara responsabilidad respecto del control de las tecnologías y su funcionamiento, y deben aplicar las medidas necesarias para preservar la confidencialidad, integridad y disponibilidad (confidentiality, integrity, availability o CIA) de la información en un entorno operativo. En cuanto a la protección de los datos, los servicios proporcionados abarcan la realización de copias de respaldo y la implementación de procesos de recuperación ante desastres con objetivos claramente definidos para la recuperación a un momento dado (identificación de la cantidad de datos perdidos en un incidente) y documentados en acuerdos de nivel de servicio (service level agreements, SLA). Por otro lado, los proveedores de servicios no son responsables del gobierno de datos ni de las diversas actividades relacionadas con este proceso. Los SLA definen claramente las responsabilidades de los proveedores de servicios de TI, pero no se ocupan de las que deben asumir los propietarios de los sistemas. Esto produce cierta confusión respecto de las distintas responsabilidades e impide verificar si los datos están clasificados correctamente, y si las funciones y responsabilidades de los usuarios de datos y, en particular, de los usuarios con acceso privilegiado se adecuan a la función crítica que cada uno desempeña. Por consiguiente, la integridad de los datos
sigue siendo el aspecto más relegado de la seguridad y el aseguramiento de la información. Medición de la Integridad de los Datos Existen muy pocas publicaciones sobre mediciones clave, rendimiento e indicadores clave de riesgo aplicados a la integridad de los datos en un contexto relacionado con la seguridad de la información. A continuación se mencionan algunos puntos que pueden resultar útiles para comenzar:
Un inventario de los derechos de acceso privilegiado, que indique ¿quién tiene acceso a qué información? , ¿quién tiene autorización para hacer qué? , ¿y en qué fecha se revisó y actualizó por última vez un documento?. Un inventario de los datos que es posible extraer, transformar y cargar en otro sistema. El número de usuarios que han mantenido derechos y privilegios de acceso históricos. El número de cuentas huérfanas o inactivas. El número de sistemas de aplicación que contienen derechos de acceso mediante codificación rígida o códigos ocultos (“backdoors”).
El número de veces que fue necesario acceder a los datos de producción para realizar modificaciones o correcciones. El número o porcentaje de accesos y/o cambios no autorizados a los datos de producción, que se hubieren identificado. El número de problemas de seguridad relacionados con los datos (en un año/un mes). El número de sistemas que la solución IAM corporativa principal no cubre. Un índice de datos incorrectos o incoherentes. El porcentaje del modelo de datos de la empresa (o aplicación crítica) que se ha cubierto con medidas destinadas a preservar la integridad. El número de medidas incluidas en bases de datos y aplicaciones para detectar discrepancias en los datos El número de medidas aplicadas para detectar el acceso no autorizado a los datos de producción. El número de medidas aplicadas para detectar el acceso no autorizado a los SO. El número de medidas aplicadas para detectar las modificaciones que no han estado sujetas a ningún procedimiento de control de cambios. El valor anual de las pérdidas económicas ocasionadas por operaciones de fraude a través de sistemas informáticos. La cantidad de ataques destinados a destruir la integridad de los datos en los sistemas de SCADA. La cantidad de comunicados de prensa generados a partir de los problemas que afectaron la integridad de los datos.
La Importancia del Gobierno de Datos El gobierno de datos se centra específicamente en los recursos de información que se procesan y difunden. Los elementos clave del gobierno de datos pueden clasificarse en seis categorías básicas: accesibilidad, disponibilidad, calidad, coherencia, seguridad y verificabilidad (mediante auditorías) de los datos. La DAMA ha publicado la guía DMBOK15, que presenta un marco integral para la gestión y el gobierno de datos,
incluidas las tareas que deben realizarse, y las entradas, las salidas, los procesos y los controles. Conclusión La regla GIGO (que afirma que la introducción de datos erróneos genera resultados erróneos) tiene la misma vigencia hoy que cuando fue formulada, hace 60 años La diferencia entre aquella época y la actual radica en el crecimiento exponencial del volumen de los datos digitales, pero este crecimiento no ha ido acompañado del desarrollo y la consolidación de las disciplinas vinculadas al gobierno de datos. Las características básicas de la CIA (los tres pilares de la seguridad de la información: confidencialidad, integridad y disponibilidad) no han variado, y la disponibilidad sigue siendo el único componente que se puede medir mediante parámetros claramente definidos y ampliamente aceptados. La no aplicación de métricas sobre la integridad de los datos debería considerarse un obstáculo, porque sin ella una empresa no está en condiciones de reconocer cuánto han “mejorado” o “empeorado” la confidencialidad o la integridad desde la introducción de los
procedimientos o procesos para administrarlas. En la medida en que el gobierno de datos no reciba el mismo grado de atención que el gobierno de TI (y este siga siendo el eslabón más débil de la cadena del gobierno corporativo), las organizaciones estarán expuestas a graves riesgos que podrían afectar sus operaciones, su economía, su capacidad de cumplimiento y su reputación. Ley de Delitos Informáticos en el Perú En el Perú, por Ley 30096, se ha aprobado la Ley de Delitos Informáticos publicada el martes 22 de Octubre de 2013. Esta ley regula el ámbito jurìdico informàtico penal y por su importancia consideramos necesario hacer una breve reseña en este Blog Acadèmico. Antecedentes En el mes de abril de 2013 la Conferencia de los Ministros de Justicia de Iberoamérica (COMJIB/2013) en Viña del Mar, Chile, aprobó el documento "Bases para la elaboración de un Instrumento Internacional en materia de Cibercriminalidad", que comprende un proyecto orientado a la adecuación legislativa de sus Estados miembros al Tratado de Budapest, además de implementar los mecanismos procesales necesarios para neutralizar
la
cibercriminalidad
que
afecta
la
región.
El 26 de Julio de 2013 el Poder Ejecutivo presenta un Proyecto de Represión de la Criminalidad con el carácter de urgente, que incorporó el documento sobre cibecriminalidad, elaborado en COMJIB/2013. La Comisión de Justicia y Derechos Humanos del Congreso de la República elabora un Texto sustitutorio el 12 de Setiembre de 2013 que propone la Ley de Delitos Informáticos en base al Dictámen recaído en los Proyectos anteriores de la materia y el proyecto presentado por el Ejecutivo. El Pleno del
Congreso de la República aprueba este texto sustitutorio y lo exonera de segunda votación. La Ley de Delitos Informáticos Tiene por objeto prevenir y sancionar las conductas ilìcitas que afectan los sistemas y datos informáticos y otros bienes jurìdicos de relevancia penal, cometidas mediante la utilizaciòn de tecnologías de la información o de la comunicación con la finalidad de garantizar
la
lucha
eficaz
contra
la
ciberdelincuencia.
Su objeto se relaciona con el avance de las Tecnologías de la Información y las Comunicaciones y la lucha eficaz contra las vulneralidades que presenta el mundo informático,
entre
las
que
podemos
mencionar
las
siguientes:
a) La ausencia de una estructura jerarquizada de la red que permita establecer sistemas de control, lo que dificulta enormemente la verificación de la información que circula por este medio. b) El creciente número de usuarios y la cada vez mayor facilidad de acceso. c)
La
Delitos
manifiesta
capacidad
de
contra
Datos
y
generar Sistemas
peligros
globales. Informáticos
Las modificaciones e incorporaciones de delitos propuestos. se enmarcan en los principales ilícitos que se cometen en la actualidad. Tal es así que teniendo como bien jurídico protegido datos y sistemas informáticos, se regulan los delitos de acceso ilícito, atentado a la integridad de datos informáticos y atentado contra la integridad de datos informáticos, de la siguiente forma: A) Acceso Ilícito El que accede sin autorización a todo o parte de un sistema informático, siempre que se realice con vulneraciòn de medidas de seguridad establecidas para impedirlo, será reprimido con pena privativa de la libertad no menor de un año ni mayor de cuatro años y con treinta a noventa dìas multa. Serà reprimido con la misma pena para el que accede a un sistema informàtico excediendo lo autorizado. B) Atentado contra la integridad de datos informàticos El que, a través de las tecnologías de la información o de la comunicación, introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos, será reprimido
con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento días multa. C) Atentado contra la integridad de sistemas informáticos El que, a través de las tecnologias de la información y las comunicaciones, inutiliza total o parcialmente, un sistema informático, impide el acceso a éste, entorpece o imposibilita su funcionamiento o la prestaciòn de sus servicios, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte dìas multa. Delitos informáticos contra la intimidad y el secreto de las comunicaciones En los delitos que tienen como bien jurídico protegido la intimidad y el secreto de telecomunicaciones se incluye el delito de tráfico ilegal de datos y de interceptación de datos
informáticos.
Los
cuales
son
tipificados
de
la
siguiente
forma:
i) Tràfico Ilegal de datos El que crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o juridica, identificada o identificable para comercializar, traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años. ii) Interceptación de datos informáticos El que, a travès de las tecnologías de la información o de la comunicación, intercepta datos informáticos en transmisiones no públicas, dirigidas un sistema informático o efectuadas dentro del mismo, incluidas la emisiones electromagnéticas, provenientes de un sistema informático, originadas en un sistema informático o efectuadas dentro del mismo, incluidas la emisiones electromagnéticas proveninetes de un sistema informático que transporte dichos datos informáticos, será reprimido con pena privativa de libertad no menor
de
tes
ni
mayor
de
seis
años.
La pena privativa de libertad será no menor de cinco años ni mayor de ocho años cunado el delito recaiga sobre información clasificada como secreta, reservada o confidencial de conformidad
con
las
normas
de
la
materia.
La pena privativa de libertad será no menor de ocho años ni mayor de diez años cuando el delito comprometa la defensa, la seguridad o la soberanía nacionales.
Delito
Informático
contra
la
Fe
Pública
Teniendo como bien jurídico protegido tenemos el delito de suplantación de identidad, que se
tipifica
de
la
-Suplantación
siguiente
forma:
de
Identidad
El que, mediante las tecnologìas de información o de la comunicaciòn suplanta la identidad de una persona natural o jurídica, siempre que de dicha conducta resulte un perjuicio material o moral, será reprimido con pena privativa libertad no menor de tres ni mayor
de
Delito
cinco
Informático
contra
años. el
Patrimonio
Teniendo como bien jurídico protegido el patrimonio, se incluye el delito de fraude informático,
que
se
tipifica
de
la
siguiente
-Fraude
forma: Informático
El que, a travès de las tecnologìas de la información y las comunicaciones, procura para si o para otro un provecho ilícito en perjuicio de tercero mediente el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días
multa.
La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días multa cuando se afecte el patrimonio del Estado destinado a fines asistenciales Otros
delitos,
o
programas modificaciones
de y
normas
apoyo
social.
complementarias
La ley en comentario regula también delitos contra indemnidad y libertad sexuales. Asimismo, modifica en el Código Penal los delitos de interferencia telefónica, pornografía infantil y discriminación dándole coherencia y sistematización en relación a los delitos informáticos. Por otra parte, modifica artículos del Código Procesal Penal y de la Ley contra el crimen organizado. Finalmente, cabe destacar que se dispone que: "El Estado peruano promueve la firma y ratificación de convenios multilaterales que garanticen la cooperación mutua con otros Estados para la persecusión de los Delitos Informáticos", en clara referencia al Convenio de Ciberdelincuencia, Budapest, 23. XI. 2001.
