CRIMINALIDAD INFORMÁTICA EN BOLIVIA Erika Patricia Tinajeros Arce.* Introducción El creciente y significativo avance que ha generado e l desarrollo, desarrollo, difusi d ifusión ón y uso generalizado de la informática y su reciente impacto en la sociedad boliviana, despierta con la explosiva incorporación del Internet, que de modo inexorable está presente en todos los ámbitos del quehacer humano, revolucionando los patrones de comportamiento y por ende las relaciones sociales. soc iales. La diversificación y globalización de los mercados, así como el desarrollo de toda una serie de normativas liberalizadoras en sectores de amplia influencia como las telecomunicaciones, ha posibilitado al entorno empresarial corno a particulares en general, hacer uso de modernos servicios en una u na estrategia centrada en costo-beneficio co sto-beneficio via Internet tanto de publicidad a nivel global, con el uso de páginas web, obtención de comunicación efectiva, dinámica e instantánea y a escala mundial con el uso de direcciones electrónicas, así como la aplicación cada vez más frecuente del comercio electrónico (1) tiendas virtuales y empleo de contratos informáticos informáticos entre personas naturales y jurídicas. El carácter multifacético de esta novedosa no vedosa tecnología y su previsible intensidad e impacto en el mediano y largo plazo, ha generado a su vez la creación y proliferación de nuevas formas de delinquir, las que contrastan con co n el progresivo avance tecnológico en una realidad sociológica y fáctica en permanente per manente transformación. Así la disciplina del Derecho se halla hoy en una instancia histórica en la que q ue debe responder a estos nuevos y complej co mplejos os problemas pro blemas a los que se enfrenta. Por Po r otra parte, la inexistencia de una legislación penal adecuada, posibilita al mismo mismo tiempo, t iempo, la impunidad y desprotección jurídica de la sociedad en general. g eneral. El Derecho Penal, en este sentido, tendrá legitimación para privar a de libertad al agente, solo en cuanto sea respetado el Principio de Legalidad, limitador del poder pun itivo itivo Estatal, debiendo previamente ser determinada la acción criminosa como comportamiento ilícito y ser legalmente reprimida a través de legislación legislación penal. pe nal. Mas ese poder norteador del derecho, consistente en el Princípio de Legalidad o de reserva legal, no es el único parámetro que el Estado dispone para ejercer su poder sancionatorio. El equilibrio también puede ser alcanzado ponderando dos aspectos: Por una parte, debe brindarse protección juridca a bienes jurídicos pena lmente relevantes y por otra parte, deben ponderarse, en vistas a la conveniencia y a la relevancia de punir la conducta perpetrada, el valor o desvalor de la acción.
La Organización de Cooperación y Desarrollo Económico OC.DE. el Consejo de Europa y el Comité de Expertos consciente de esta problemática actual, con recientes seminarios y conferencias (2) ha encarado esta problemática, que coadyuvará a los sectores legislativos de los Estados participantes a considerar nuevas conductas disvaliosas como delictivas en su legislación Penal (3). (3). Para armonizar el plano Internacional, en el e l contexto Jus comparativista se tomó to mó en cuenta una lista facultativa, considerando al deli de lito to informático como "Ese acto ilegal, no ético o no autorizado que involucra el procesamiento de datos y la transmisión de los mismos.
Clases Para delimitar en que sentido se dará la protección penal en el ámbito penal, es esencial determinar el bien jurídico que se desea proteger. Al respecto, existen dos grandes grupos grupo s de valores merecedores de amparo específico po r la legislación penal boliviana. Por una parte, la criminalidad informática informática puede afectar a bienes jurídicos tradicionalmente protegidos por el ordenamiento penal, tal el caso de delitos en los que se utiliza el computador para redactar una cart a difamando a personas físicas o jurídicas, o atentar contra la integridad personal, la fe publica o la seguridad nacional. En otros o tros casos las conductas del agente van d irigidas a lesionar Bienes no protegidos tradicionalmente por la legislación penal, tal el caso de los Bienes Informáticos, consistentes en datos, información computarizada, archivos y programas insertos en el sopo rte lógico del ordenador. En este tipo de conductas disvaliosas se encuentrarian entre otros el fraude electrónico y el sabotaje informático. A nivel de organizaciones Intergubernamentales d e carácter mundial, en el seno de la Organización de las Naciones Unidas, en el marco del Octavo Congreso sobre prevención del delito y justicia Penal", celebrado en 1990 en la Habana - Cuba, se señaló que la delincuencia relacionada con la informática era producto del mayor empleo de procesos de datos en las economias y burocracias de los distintos países y que por ello ello se había difundido la comisión de actos delictivos. El problema principal -hasta hace pocopo co- era la reproducción y difusión no autorizada de programas informáticos y el uso indebido de cajeros automáticos. Así también bajo el rótulo de "Delitos Informáticos¨ (4)o (4)o ¨cybercrímenes¨, se suelen incluir junto a las conductas criminales que, por su gravedad encajan en los tipos delictivos, a aquellas que por su menor trascendencia no rebasan la esfera de las meras faltas. Esa heterogeneidad de supuestos supuesto s nos lleva a considerar, para una mejor mejor comprensión, co mprensión, aquellas conductas que por su gravedad en la mayoría de los casos poseen un tratamiento internacional específico, tales como el fraude informático, robo de software, sabotaje y vandalismo de datos, alteración, acceso y uso indebido de datos informáticos, manipulación informática y parasitismo informático.
Entre los supuestos más frecuentes se pueden c itar al:
Espionaje informático: En el Espionaje informático el agente de la conducta fisgonea los datos computarizados en busca de informaciones sigilosas que posean valor eco nómico. Tal operación se efectiviza por los programas denominados ¨spywares¨ (5). (5). Para Marco Antônio Zanellato (6), (6), estos programas espiones envian informaciones del computador del usuário de la red para desconocidos. Hasta lo que es digitado en su taclado puede ser monitoreado por ellos. Algunos tienen un mecanismo que hace una conexión con el servidor del usuario siempre que el e l estuviera conectado on-line. Otros envian informaciones informaciones via e-mail e- mail (...) Como los softwares espiones ¨roban¨informaciones del PC (personal computer) del usuario? La respuesta a esta indagación puede ser obtenida o btenida cuando el usuario de internet baja algun programa que viene con archivo ejecutable spyware; normalmente el usuario no sabe sobre la amenaza de este archivo y lo instala. Este programa puede obtener informaciones que estan en el microcomputador, como las que pasan por el. Utilizan un método de conexión entre propietario y servidor de forma directa e instantanea. El software espion tambien puede actuar usando un gerenciador de e-mail para enviar informaciones para una direcci d irección ón electronica electro nica determinada. El espionaje informático se ve favorecida por po r el hecho de que las informaciones se encuentran archivadas en un espacio mínimo y pueden ser transferi t ransferidas das muy facilmente a otro soporte similar lógico. Este puede ser utilizado para producir considerables pérdidas a una empresa u organización, o ser utilizado utilizado con fines políticos de tal manera que pudiera pud iera atentar contra la seguridad exterior del Estado.
Fraudes Informáticos: El fraude informático es apreciado como aquella conducta consistente en la manipulación de datos, alteración o procesamiento p rocesamiento de datos falsos contenidos en el sistema informático, realizada con el propósito de obtener un beneficio económico. Entre estos se encuentran el Fraude por manipulación de un computador contra un procesamiento de datos. A su vez tenemos el uso de datos engañosos ¨data diddling¨ (7). (7). Fraude mediante el cual se hace referencia a las distintas formas de alteración de datos contenidos en el computador antes o durante su proceso p roceso informático. Igualmente se comete fraude informatico mediante e l uso de los caballos de troya ¨trojan hourses¨, el cual es un programa pro grama informático destinado a introducir rutinas o instrucciones aparentemente inicuas, para distorcionar el funciona miento del sistema y así cometer fraudes vi internet, como también a través t ravés de la técnica del salami ¨rounding down¨ do wn¨ la cual permite sustraer mediante redondeo, pequeñas cantidades de activos financieros de diversas cuentas bancarias para situar su monto total, que puede ascender a cantidades considerables, en la cuenta del delincuente informático o ¨hacker¨ (8). (8).
Para Marc Jeager, quien prefiere designar a todas las acciones disvaliosas ligadas a la informática como ¨Fraudes Informáticos¨, distingue de forma dicotómica las siguientes categorías:
a) Fraudes en la materia corporal, o del hardware: Estas acciones criminosas violan la integridad física del propio computador, encuientrandose fraudes en el nivel de input , Esta conducta,tambien llamada de manipulación del input, revelaria en la conducta del agente el ánimo de alterar datos, omitir o ingresar datos verdaderos o introducir datos falsos en un ordenador (9).
) Fraudes a nivel de tratamiento: El delincuente informatico modifica los programas en
b
el soporte lógico del ordenador, sin alterar los datos electrónicos existentes. Puede igualmente interferir en el correcto procesamiento de la información, alterando solo el programa original o adicionando al sistema pro gramas especiales que induce el propio agente.
c) Fraudes a nivel de los output: Es el acto de falsear el resultado inicialmente correcto, obtenido por el ordenador.
EI sabotaje informático empresarial: Entendido como el acto mediante el cual se logra inutilizar, destruir, alterar o suprimir datos, programas e información computarizada, t iene sus inicios en los laboratorios del Instituto de Masachusetts en 1960 (10), cuando fue creado por primera vez un dispositivo informático (11) destructivo mediante la utilización del lenguaje Assambler. Su modus operandi es a través de bombas lógicas o cronológicas, bombas de software, virus polimorfos, gusanos, cáncer rutinario, virus de sector de arranque, Un ejemplar representativo de este virus es el "virus Navidad' que estalla cada 25 de diciembre en el computador infectado, una bomba cronológica puede servir como medio de extorsión para la obtención de un desembolso pecuniario en perjuicio del titular del bien informático, si a cambio la bomba lógica es desactivada. Estos dispositivos informáticos son también denominados tecno virus, Programas criminales o asesinos electrónicos pues destruyen la información en milésimas de segundo. El animus delicti es causar daño a bienes informáticos de la empresa. En gran part e el sabotaje informático Empresarial es realizado por sujetos denominados ¨Crackers¨ (12) y en menor proporción por los ¨Preackers y Phonopreackers¨, los cuales analizan las fallas del sistema y seleccionan el tipo de información que se desea destruir o inutilizar, considerándolo objetivo de ataque. Entre los dispositivos informáticos mas destructivos utilizados para cometer sabotaje informático podemos mencionar:
Bombas lógicas:
Este dispositivo informático de actividad destructiva del dispositivo comienza actuar mucho despues de haber sido colocada en el soporte lógico del ordenador a través de una señal o tiempo determinado. Exemplo: Programar el dispositivo para dos dias despues de su colocación en el ordenador.
Virus polimorfos: Son dispositivos informáticos destructivos de difícil detección pues cambian su có digo binario. Frecuentemente utilizado para dañar sistemas informáticos.
Robo de servicios o hurto de tiempo: Es el supuesto de Apropiación de Inforrmaciones ¨scavenging¨, que implica la sustracción de datos que han sido abandonados por los legítimos usuarios de servicios informáticos como residuo de determinadas operaciones. Este tipo de conducta disvaliosa se caracteriza por el uso ilegítimo de sistemas informáticos ajenos, usualmente cometido por empleados de sistemas de procesamiento de datos que utilizan los sistemas de las empresas para fines privados y act ividades complementarias a su trabajo, solo si produciendo un pre juicio economico importante para las empresas en los casos de abuso que porvoque lentitud en la red o en los casos en que las empresas deben para alquilar por el tiempo de uso del sistema. En verdad lo que es substraido son horas de computador del propietario del computador.
Intrusión de sistemas: Consiste en la invasión de un sistema informático, sin autorización del propietario, con el uso ilegítimo de passwords (13) u otros. Es un tipo de acceso remoto, del cual puede resultar la obtención ilegal de informaciones visando o no la destrucción de estas. Tal conducta puede ser o no de interes económico, muchas veces sirve solo para gloria personal del invasor, que hace publicidad de sus intrusiones para demostrar sus habilidades informaticas y asi ser denominado Hacker.
El Parasitismo Informático:¨Piggybacking¨. Aludido a conductas que tienen por objeto el acceso ilícito a los programas informáticos para utilizarlos en beneficio del de lincuente. Esta conducta suele asociarse a la figura de la Suplantación de personalidad (lmpersonation) que se refiere a toda la tipologia de conductas en las que los delincuentes sustituyen ai los legítimos usuarios de servicios informáticos. Ej. Uso ilícito de tarjetas de crédito. Conviene también remarcar, al considerar estas pecu liaridades político criminales,que en ocasiones, se han logrado índices de probabilidades delictivas con relación a la informática. El estudio realizado por Krauss y MacGaharf adqu irió bastante notoriedad, pues en dicho análisis se sirnbolizan las probabilidades de Crimen Informático = P (CI), en función de tres variables (14).
Deshonestidad = D (inclinación al delito del personal informático) Oportunidad= O (falta de medidas de seguridad en los equipos computarizados) y Motivación = M (referido a los conflictos personales o laborales que pudieran incit ar a delinquir a los empleados informáticos). En dicha investigación se asignó a cada variable un valor de O a 10, estableciendo las siguientes ecuaciones: 1. Personal informático de máxima deshonestidad; D = 4 2. Carencia de cualquier medida de seguridad informática; 0=8 3. Motivos poderosos en el personal para atentar contra los sistemas informáticos: M = 5. En función de ello, el índice de probabilidad resultante de este supuesto ofrecería el siguiente resultado; P (CI) = 4 x 8 x 5/1.000 = 0. 16
El perfil del delincuente informático Con el aporte de la obra criminológica dei sociólogo norteamericano Sutherland, en las corrientes estructuralistas, se pone de manifiesto la relación clase social - de lito en términos de características según el estatus social, de co misión delictiva y de reacción social. Los criminales informáticos o vándalos electrónicos en su generalidad son de sexo masculino, de 18 a 30 años de edad, con características de ser un empleado de confianza en la empresa en la que desenvuelve sus funciones, posee necesariamente conocimientos técnicos en computación (15). Estos agentes, responden a motivaciones dispares, generalmente e l animus delicti es motivado por razones de carácter lucrativo, por la popularidad que representa este actuar en la sociedad moderna o por simple diversión ¨hackers¨, o por la intención de que su actuar puede responder al deseo de destruir o dañar un sistema informático, desestabilizando el normal desenvolvimiento en la institucion o empresa ¨crakers¨. Ambos causan p erjuicios ai sistema informático, lo que varia es la intencionalidad en su comisión. Estos agentes poseen varias características semejantes a los de lincuentes de cuello blanco ya que ambos sujetos activos poseen un cierto estatus socioeconómico, no pudiendo explicarse su comisión por mala situación económica o pobreza, ni por carencia de recreación, o por baja educación, ni por poca inteligencia. La comisión de estas formas de delinquir, o frecen al "delincuente informático" facilidades de tiempo y espacio para la consumación del hecho, ya que no existe la necesidad de presencia física.
Legislación Boliviana
En Bolivia, en el año de 1989, se consideró el análisis y tratamiento sobre Legislación Informática concerniente a contratación de bienes y servicios informáticos, flujo de información computarizada, modemización dei aparato productivo nacional mediante la investigación científico- tecnológica en el país y la incorporación de nuevos delitos emergentes del uso y abuso de la informática. Este conjunto de acciones tendientes a desarrollar de manera integral la informática, se tradujo en el trabajo de especialistas ysectores involucrados, representantes en el campo industrial, profesionales abogados y especialistas jnformáticos, iniciándose la elaboración dei Proyecto de Ley Nacional de Informática, concluido en febrero de 1991. Asimísmo, el Código Penal Boliviano, texto ordenado según ley No 1768 de 1997, incorpora en el Título X un capítulo destinado a los Delitos Informáticos (16). Ambos cuerpos legales tratan de manera general los nuevos delitos emergentes del uso de la informática. La Ley No 1768, no obstante de no estar exenta de la problemática actual, al abordar en el Capítulo XI la tipificación y penalización de delitos informáticos, no contempla la descripción de estas conductas delictivas detalladas anteriormente. Por consiguiente, la atipicidad de las mismas en nuestro ordenamiento jurídico penal vigente imposibilita una calificación jurídico-legal que individualice a la mismas, llegando a existir una alta cifra de criminalidad e impunidad, haciéndose imposible sancionar como delitos, hechos no descriptos en la legislación penal con motivo de una extensión extralegal del ilícito penal ya que se estaría violando el princípio de legalidad expreso en la máxima "Nullum crime sine lege" Así mismo resulta imposible extender el co ncepto de bienes muebies e inmuebles a bienes incorporales como ser los datos, programas e información computarizada.
Conclusões: Con el surgimiento de la INTERNET, la nueva era trae nuevas relaciones jurídicas con nuevos conflictos y una serie considerable de nuevas controversias. En el mundo entero, el Derecho se viene transformando para conseguir ejercer el control social de esas innovaciones, modificando las estructuras legislativas, adecuándose a las nuevas y polémicas cuestiones. En las últimas décadas, hay una preocupación en reformar las legislaciones visando la tipificación de nuevas figuras delictivas. Tal el caso de Bolivia, donde se percibe el interés en proteger al individuo frente la vulnerabilidad existente en los bienes informáticos de los sistemas computarizados. La legislación penal contempla sólo la t ipificación de la manipulación informática, la alteración, acceso y uso indebido de datos informáticos. No menciona nada sobre sabotaje informático empresarial, espionaje informático, parasitismo informático y otras figuras como fraude informático, consideradas en el estu dio.
No existe otra salida que la búsqueda eficaz de mecanismos que aseguren una defensa de los derechos y garantias del ciudadano mediante la individualización de la conducta, descrita en el tipo penal respectivo, así como su respectiva penalización. Ja que de outra forma, seguindo as palavras proféticas de Berto ld Brecht "tal vez, con el tiempo, descubris todo aquello que se puede descubrir, no entanto vuestro adelanto no será más que una progresión, dejando la humanidad siempre cada vez más atras. La distancia entre vos y ella puede, un día, hacerse tan profunda que vuestro grito de triunfo delante de alguna nueva conquista podría recibir como respuesta un grito universal de pavor" (17).
BIBLIOGRAFIA: AZPILCUETA, Hermilio. Derecho Informático, Ed. Abeledo- Perrot Buenos a ires Argentina, 1987. 18-30. CORREA , Carlos. Derecho Informático Ed. Depalma Buenos Aires Argentina, 1993. 30-42. 85-96. DAVARA Rodríguez, Miguel Angel. Derecho Informático.España. Editorial Aranzadi, 1993. GHERSI, Carlos. Derecho de Daños, Ed. Abeledo - Perrot Buenos Aires Argentina, 1999. HAWKRIDGE, David. Informática y Educación. las nuevas tecno logías de la información. Ed. Abeledo- Perrot. Buenos. Aires Argentina ,1992. LEDESMA, Guillermo. Derecho Penal. Parte E special. Ed. Abeledo - Perrot. Buenos Aires - Argentina,1995. PEREZ, Luño Antonio Enrique. Manual de informática y Derecho. Editorial Ariel S.A, Barcelona, 1991. P.82-103. MANTOVANI, Fernando. El siglo XX y las ciencias cr iminales. Ed. Temis S.A. Bogota Colombia, 1998. OECD: Organización para la Cooperación Económica y el Desarrollo. In: Computer related criminalliy: analisys of legal policy in the OECD area, ICCP, 84:22, 1984. OZORES, Isabel. La superautopista de la Información. Mas alla del internet., Ed. Peter Otte, Madrid España 1995. TELLEZ Valdez, Julio. Derecho Informático, Ed. Mc. Graw - Hill México. 1997 p.56-70. ZAFFARONI, Eugenio Raúl, Manual de Derecho Penal. Parte General. Ed. Ediar, Buenos Aires Aregentina. 1987.
ZANELLATO Marco Antonio. In: Condutas ilícitas na sociedade digital. Caderno Jurídico Direito e Intenet - Ed. Imprensa Oficial do Estado - julho 2002. Escola Superior do Ministério Público de São Paulo. P. 189.
PUBLICACIONES DE PRENSA Y REVISTA : CABRERA Juan. " El FBI está tras la pista de los estafadores del ciberespacio". La Paz:La Razón, 14 de mayo de 2000 . CASARI, Adolfo. " ·Digitar o morir · ¿Intercambio electrónico de datos para mejorar la empresa?" . En América Económica. P.73. Número 68, Dic.92/ Enero 93. FERNANDEZ José Luis. Alerta sobre virus informáticos. Santa Cruz: Revista SISTECO, No. 9, 22 de enero de 1991, p. 3 FINNEGAN, Jay. " Información es Poder". E n América Económica.p.54. Número 68.Dic. 92/Enero 93. STEWARD, Doug. " ·Fortaleza prohibida· Espias y maleantes al acecho de l activo más valioso de una empresa: la información". En América Económica. p.69. Número 68, Dic.92/Enero 93 .
Paginas Web: JIJENA, Renato. Impunidad y Delito Informático. http://www.delitosenlared.org, en 16 de marzo de 1996. MENTOR, The. The consciente of a hacker. Disponible en
www.attrition.org/~modify/texts/ethics/hacker_manifesto.html En 5 de enero de 2001. OECD, Guidelines for Cryptography policy, 1997, em http: www.oecd.org/dsti/iccp/crypto-e.html, en 23 de septiembre del 2000. RODRIGUEZ Marco Aurelio da Costa. In: Crimes de Informática. Revista eectronica Jus Navegando. Disponible en www.jus.com.br/doutrina/crinfo.html SIEBER, Ulrich. Computer crime and criminal information law: new trenes in the internacional risk and infomation society. Disponible en:www.jura.uni-
wuerzburg.de/sieber/mitis/ComCririInf.htm En 29 de octubre del 2000.
SILVA Neto, Amaro Moraes. Rescatemos os hackers. Disponible en
www.jus.com.br/doutrina/hackers.html En 5 de mayo de 2001.
Abogada. Licenciada en Derecho por la Universidad Mayor de San Andres en La Paz Bolivia, Conferencista de seminários sobre Derecho Informático y Legislación Informática en Bolivia, Investigadora del Instituto Boliviano de E conomia Informática CIDEI y Alumna de Maestria en Derecho de la Universidade Federal do Rio Grande do Sul, UFRGS Porto Alegre - Brasil. *
(1) El Comercio Electrónico entendido como el desenvolvimiento de la actividad comercial y de transacciones realizadas por vía electrónica, es conforme comunicación presentada ante la Comisión de las Comunidades Europeas al Consejo, Parlamento Europeo, Comité Económico - Social y al Comité de las Regiones sobre Iniciativa Europea de Comercio Electrónico (COM (97) 157 final), Bruselas 16-04-1997, como ¨cualquier actividad en que las empresas y consumidores interaccionan y hacen negocios entre si o com las administradoras por medios electrónicos¨, en este sentido las transacciones comerciales no se procesan apenas entre profesionales - relaciones denominadas de Business to Business pues también es efectuada entre profesionales y consumidores Bussines to Consumer. P.710. (2) OECD. Organización para la ooperación Econíca y el Desarrollo. In: Computer related criminalliy: analisys of legal policy in the OECD area, ICCP, 84:22, 1984. (3) Conforme el contenido teleológico del Derecho Penal, contemplasé la prevención de la ilicitud de la conducta delictiva en protección de la defensa social y de l convivencia. El estricto Pirncípio de legalidad o reserva del Derecho Penal y las restricciones que se manifiestan en lo relativo a la exclusión de la analogia, hacen entrever que la única fuente del Derecho Penal es la ley en sentido formal. En este sentido, los princípios expresados através de la fórmula plasmada por el Jurisconsulto Alemán Feuerback ¨Nullum Crime, nulla poena sine lege¨, equivale a expresar que nadie puede ser castigado sin que una ley anterior haya definido el delito que motiva la condena y fijado la pena correspondiente. (4) Para Miguel Angel Davara Rodriguez, em su libro Derecho de la Informática, define los delitos informáticos o los crímenes de la informática como la efectividad de una acción, com lãs caracterísiticas que delimitan el concepto de delito, siendo ejeutada utilizando um elemento informático o vulnerando los derechos de un titular de un elemento informático, ahi siendo entendido como um hardware (parte dura del computador) y software (parte blanda Del computador). (5) Spywares son programas espiones que constantemente monitorean los pasos del usuario de un computador conectado a la red de internet, sin su consentimiento, a fin de trazar un perfil comercial completo, tal el caso de proveedores de productos de tiendas virtuales, las que intentan captar informaciones que tengan utilidad para el agente. Os programas tienen la capacidad de apoderarse de informaciones personales del usuario,
que son transferidas digitalmente para la sede de una empresa o persona a fin de ser comercializadas. (6) ZANELLATO Marco Antonio. In: Condutas ilícitas na sociedade digital. Caderno Jurídico Direito e Intenet - Ed. Imprensa Oficial do Estado - julho 2002. Escola Superior do Ministério Público de São Paulo. P. 189. (7) PEREZ, Luño Antonio Enrique. Manual de informática y Derecho. Editorial Ariel S.A, Bracelona, 1991. (8) El término ¨hacker¨ deriva etimologicamente de la raiz de la palabra inglesa Hack, que significa hallazgo, tajo o puntapie.Dicho término se utilizaba para describir la peculiar Forma en que personas com conocimientos técnicos en informática arreglaban maquinas defectuosa mediante un golpe fuerte sobre las mismas. Actualmente el término hacker es utilizado para referirse a los sujetos que incurren en conductas disvaliosas mediante el uso del ordenador, los cuales ganaron esa acepción criminal por la peligrosidad que conlleva su actuar en la sociedad moderna. (9) Un caso interesante de jurisprudencia es el caso de una empleada de banco del sur de Alemania, la cual transfirió en febrero de 1983, un millón y trescientos mil marcos a la cuenta de su cómplice a primera hora del dia. S el autor Ulrich Sieber, esta operación ilegal podria haber sido detectado por el sistema de seguridad del banco a las 12:30 AM. Mas la rápida transmisión del crédito através de sistemas informáticos conectados en linea on-line, hizo posible que la complice de la empleada retirase, en otra sucursal del banco, el dinero del banco. (10) Segun Revista No. 9 SISTECO, Santa Cruz - Bolivia, 1991, p. 3 Jhon Von Neumann, en 1960 previó la posibilidad de multiplicar minúsculos programas en lenguaje Assambler. La idea de Newmann, en aquella época, no fue aceptada por carecer de credibilidad. Jovenes programadores tales como Mc. Lloroy, Vysottschy y Morris de los Laboratorios Bell ampliaron la posibilidad destructiva del programa, com el afán de hacer de éste, un dispositivo capaz de autoduplicarse y replicarse através de otros ordenadores. (11) Para Carlos GUERSI, en su libro Derecho de Daños, dispositivos informáticos son ¨Instrucciones que se insertan en el soporte lógico del ordenador¨, infiltrándose automaticamente en otros programas y archivos. (12) Los ¨Crackers¨ son considerados una espécie de ¨hackers destructivos¨, los cuales penetran en los sitemas informáticos y ocasionan daños deliberadamente. Los crackers o ¨despedazadores de sistemas¨son también denominados de crashers o crash que en español sinifica cortador o aniquilador. Por su parte los ¨Preackers y Phonopreackers¨ son especializados en el manejo de sistemas informáticos, realizan toda clase de conductas delictivas haciendo uso del internet, previamente burlando los sistemas de seguridad de telefonia para no pagar por el uso del internet o pagar menos por el servicio. (13) Señas confidenciales para ingresar en determinado site o espacio en la red o en un sistema informático cualquier.
(14) PEREZ, Luño Antonio Enrique. Manual de Informática y Derecho. Editorial Ariel S.A, Barcelona, 991. P. (15) En Renato Jijena. Impunidad y Delito Informático. http://www.delitosenlared.org, 16 de marzo de 1996. (16) O Código Penal Boliviano tipifca algumas condutas realizadas por meios informáticos, no capitulo XI: Delitos Informáticos. Art. 363 bis (Manipulação Informática) "El que com la intención de obtener um beneficio indebido para si o um tercero, manipule um procesamiento o transferencia de datos informáticos que conduzca a um resultado incorrecto o evite um proceso tal cuyo resultado habria sido correcto, ocasionando de esta manera uma transferência patrimonial em perjuicio de tercero, será sancionado com reclusión de uno a cinco años y com multa de senta a doiscientos dias. Art. 363 ter.(Alteração, acesso e uso indebido de dados informáticos) .- "El que sin estar autorizado se apodere, acceda, utilice, modifique, suprima o inutilice datos almacenados em uma computadora o em cualquier soporte informático, ocasionando perjuicio al titular de la información, será sancionado com prestación de trabajo hasta um año o multa hasta doscientos dias". (17) Bertold Brecht. Vida de Galileu. São Paulo:Abril Cultural, 1977.
PROYECTO
METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA
Propósitos de este documento
El objetivo del presente documento es establecer una metodología para la elaboración del Plan de Seguridad Informática de una entidad, mediante la descripción de los controles de seguridad que deben ser implementados, de forma que permita la interpretación clara y precisa de las políticas, medidas y procedimientos que se definan en la misma, con el objetivo de alcanzar niveles aceptables de seguridad. En el mismo se describen los elementos fundamentales que deben ser incluidos en el Plan de Seguridad Informática de una entidad (contenido) y el modo en que pueden ser estructurados (formato). Como metodología al fin, tiene un carácter general, o sea, no está orientado a un tipo determinado de entidad o sistema informático, debiendo ser considerado como una guía de trabajo y no como un cuestionario q ue haya que seguir al pie de la letra, por lo que el equipo designado para su elaboración desarrollará los aspectos que considere necesarios a partir del Sistema de Seguridad Informática que previamente se haya diseñado para la entidad en cuestión, de modo que aquellos aspectos que no correspondan a las necesidades de protección identificadas podrán ser excluidos y por supuesto, se adicionará cualquier elemento que se considere importante para los requerimientos de seguridad, con independencia de que no esté contemplado en este documento. Auditorio Esta metodología está dirigida en primer lugar a aquellas personas que están responsabilizadas con el diseño e implementación de un sistema de Seguridad Informática, entre las cuales pueden incluirse distintas categorías de personal, pero en ningún caso deben faltar los dirigentes y funcionarios relacionados con la información que se procesa, por la responsabilidad que tienen para con la misma; l os especialistas en informática, debido a los conocimientos técnicos que poseen y los profesionales de la se guridad y protección, por su experiencia y conocimientos generales de esta especialidad. Documentos relacionados Este documento es un complemento de la Metodología para el Diseño de un Sistema de Seguridad Informática elaborado por la Dirección de Protección del Ministerio del Interior, que profundiza en los aspectos que preceden a la confección del Plan de Seguridad Informática. Aproximación básica
Un Sistema de Seguridad Informática es un conjunto de medios administrativos, medios técnicos y personal que de manera interrelacionada garantizan niveles de seguridad informática en correspondencia con la importancia de los bienes a proteger y los riesgos estimados. El Plan de Seguridad Informática es la expresión gráfica del Sistema de Seguridad Informática diseñado y constituye el documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática en una Entidad y recoge claramente las políticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo. Durante el proceso de diseño de un Sistema de Seguridad Informática se distinguen tres etapas: 1) Determinar las necesidades de protección del sistema informático objeto de análisis, que incluye: Caracterización del sistema informático. Identificación de las amenazas y estimación de los riesgos. Evaluación del estado actual de la seguridad. 2) Definir e implementar el sistema de seguridad que garantice minimizar los riesgos identificados en la primera etapa. Definir las políticas de seguridad. Definir las medidas y procedimientos a implementar. 3) Evaluar el sistema de seguridad diseñado. El contenido de cada una de estas etapas se describe en la Metodología para el diseño de un sistema de Seguridad Informática elaborada por el Ministerio del Interior. Una vez cumplidas estas etapas se elabora el Plan de Seguridad Informática.
Para la elaboración del Plan de Seguridad Informática se tendrán en cuenta las consideraciones siguientes: Serán confeccionados tantos ejemplares como se determine en cada lugar, numerando las paginas consecutivamente. Se determinará su clasificación, parcial o total, de acuerdo a la información que contenga, en correspondencia con las categorías que ex presa el Decreto-Ley No. 199 de 1999 sobre la Seguridad y Protección de la Información Oficial. C ontendrá las tablas y gráficos que se consideren necesarios y contribuyan a su mejor interpretación. Tendrán acceso a este documento, o a parte de él, las personas que en cada área requieran de su conocimiento. Se mantendrá permanentemente actualizado sobre la base de los cambios que se produzcan en las condiciones que se consideraron durante su elaboración. Al elaborar el Plan se deberá evitar repetir aspectos que ya han sido señalados anteriormente, en todo caso se puede hacer referencia a ellos.
Tabla de contenido 1. 2. 3. 4. 5. 5.1. 5.2. 5.3. 5.3.1. 5.3.1.1. 5.3.1.2. 5.3.1.3. 5.3.2. 5.3.2.1. 5.3.2.2. 5.3.2.3. 5.3.2.4. 5.3.2.5. 5.3.3. 5.3.4. 6. 6.1. 6.2. 6.3. Presentación del documento. Alcance. Caracterización del Sistema Informático. Resultados del Análisis de Riesgos. Políticas de Seguridad Informática. Sistema de Seguridad Informática. Medios humanos. Medios técnicos. Medidas y Procedimientos de Seguridad Informática. De protección física. A las áreas con tecnologías instaladas. A las tecnologías de información. A los soportes de información. Técnicas o lógicas. Identificación de usuarios. Autenticación de usuarios. Control de acceso a los activos y recursos. Integridad de los ficheros y datos. Auditoria y alarmas. De seguridad de operaciones. De recuperación ante contingencias. Anexos. Programa de Seguridad Informática Listado nominal de usuarios con acceso a redes de alcance global. Registros. 6 7 7 8 9 10 10 10 11 13 13 13 14 14 14 15 15 16 16 16 17 18 18 18 18
Presentación del documento. La página inicial (portada) contendrá el siguiente título: PLAN DE SEGURIDAD INFORMATICA seguido de la denominación de la entidad. En la segunda página se consignarán los datos referidos a la elaboración, revisión y aprobación del Plan de Seguridad Informática, de acuerdo al siguiente formato: REV. ___ NOMBRE CARGO FIRMA FECHA ELABORADO REVISADO APROBADO
En la columna elaborado se consignan los datos del jefe del equipo que confeccionó el Plan de Seguridad Informática, en la columna revisado los de la persona designada para su revisión antes de presentarlo a aprobación y en la columna aprobado se reflejan los datos del jefe de la entidad en la que el Plan será i mplementado. A partir de la página No. 2, cada una de las páginas que conforman el Plan tendrán el encabezamiento siguiente: Clasificación Del Documento Pag. ___ de ___ Nombre de la Entidad
En la casilla clasificación del documento se pondrá la que le fue otorgada de acuerdo a lo establecido para la seguridad y protección de la información oficial.
1. Alcance. El Alcance expresará e l radio de acción que abarca el Plan, de acuerdo al Sistema Informático objeto de protección, para el cual fueron determinados los riesgos y diseñado el Sistema de Seguridad. La importancia de dejar definido claramente el alcance del Plan (y de ahí su inclusión al comienzo del mismo) estriba en que permite tener a priori una idea precisa de la extensión y los límites en que el mismo tiene vigencia. 2. Caracterización del Sistema Informático. Se describirá el resultado de la caracterización realizada al sistema informático de la entidad, con el objetivo de determinar qué se trata de proteger, especificando sus principales componentes y considerando entre otros: Bienes informáticos, su organización e importancia. Redes instaladas, estructura, tipo y plataformas que utilizan. Aplicaciones en explotación. Servicios informáticos y de comunicaciones disponibles, especificando si son en calidad de clientes o servidores. Características del procesamiento, transmisión y conservación de la información, teniendo en cuenta el flujo interno y externo y los niveles de clasificación de la misma. Otros datos de interés. Al describirse el sistema informático se hará uso, en los casos que lo requieran, de diferentes tipos de esquemas, tablas, gráficos, etc; a fin de facilitar una mejor comprensión. Estos medios auxiliares pueden ser insertados, lo mismo dentro de esta propia sección que al final, como anexos a los cuales debe haber una obligada referencia.
3. Resultados del Análisis de Riesgos. A partir de que el Plan de Seguridad Informática es la expresión gráfica del Sistema de Seguridad Informática diseñado y de que la esencia de ese diseño es la realización de un análisis de riesgos, no se concibe seguir adelante en la elaboración del Plan sin dejar claramente precisados cuales fueron los resultados obtenidos en el análisis de riesgos realizado, por lo que en este acápite deberán relacionarse las principales conclusiones obtenidas en ese proceso, entre las cuales no pueden faltar: a) Cuales son los activos y recursos más importantes para la gestión de la entidad y por lo tanto requieren de una atención especial desde el punto de vista de la protección, especificando aquellos considerados de importancia crítica por el peso que tienen dentro del sistema. b) Que amenazas actúan sobre los activos y recursos a proteger y entre ellas cuales tienen una mayor probabilidad de materializarse (riesgo) y su posible impacto sobre la entidad. c) Cuales son los activos, recursos y áreas con un mayor peso de riesgo y que amenazas lo motivan. En la medida en que las conclusiones del análisis de riesgos sean más precisas se logrará una visión más acertada de hacia donde pueden ser dirigidos los mayores esfuerzos de seguridad y por supuesto los recursos disponibles para ello, lográndose que la misma sea más rentable.
4. Políticas de Seguridad Informática En esta sección se definen los aspectos que conforman la estrategia a seguir por la Entidad sobre la base de sus características propias y en conformidad con la política vigente en el país en esta materia y el sistema de seguridad diseñado, mediante el establecimiento de las normas generales que debe cumplir el personal que participa en el sistema informático, las cuales se derivan de los resultados obtenidos en el análisis de riesgos y de las definidas por las instancias superiores en las leyes, reglamentos, resoluciones y otros documentos rectores. Al definir las políticas de Seguridad Informática se considerarán, entre otros, los aspectos siguientes: a) El empleo conveniente y seguro de las tecnologías instaladas y cada uno de los servicios que éstas pueden ofrecer. b) El tratamiento que requiere la información oficial que se procese, intercambie, reproduzca o conserve a travé s de las tecnologías de información, según su categoría. c) La definición de los privilegios y derechos de acceso a los activos de información para garantizar su protección contra modificaciones no autorizadas, pérdidas o revelación. d) Los principios que garanticen un efectivo control de acceso a las tecnologías, incluyendo el acceso remoto, y a los locales donde éstas se encuentren. e) La salva y conservación de la información. f) La conexión a redes externas a la Entidad, en especial las de alcance global y la utilización de sus servicios. g) Los requerimientos de Seguridad Informática a tener en cuenta durante el diseño o la adquisición de nuevas tecnologías o proyectos de software. h) La definición de los principios relacionados con el monitoreo del correo electrónico, la gestión de las trazas de auditoría y el acceso a los ficheros de usuario. i) El mantenimiento, reparación y traslado de las tecnologías y el personal técnico que requiere acceso a las mismas por esos motivos. j) Las regulaciones con relación a la certificación, instalación y empleo de los Sistemas de Protección Electromagnética. k) Las regulaciones relacionadas con la certificación, instalación y empleo de los Sistemas Criptográficos, en los casos que se requiera. l) Los principios generales para el tratamiento de incidentes y violaciones de seguridad.
5. SISTEMA DE SEGURIDAD INFORMATICA En esta sección se describe cómo se implementan, en las áreas a proteger, las políticas generales que han sido definidas para toda la entidad, en correspondencia con las necesidades de protección en cada una de ellas, atendiendo a sus formas de ejecución, periodicidad, personal participante y medios. Se sustenta sobre la base de los recursos disponibles y, en dependencia de los niveles de seguridad alcanzados se elaborará un Programa de Seguridad Informática, que incluya las acciones a realizar por etapas para lograr niveles superiores. Se describirán por separado los controles de seguridad implementados en correspondencia con su naturaleza, de acuerdo al empleo que se haga de los medios humanos, de los medios técnicos o de las medidas y procedimientos que debe cumplir el personal. 5.1. Medios Humanos: Aquí se hará referencia al papel del personal dentro del sistema de seguridad implementado, definiendo sus responsabilidades y funciones respecto al diseño, e stablecimiento, control, ejecución y actualización del mismo. Se describirá la estructura concebida en la Entidad para la gestión de la Seguridad Informática, especificando las atribuciones y funciones de las distintas categorías de personal, que incluyen: dirigentes a los distintos niveles (Jefe de la entidad, Jefes de departamentos, áreas y grupos de trabajo o estructuras equivalentes); Jefes y especialistas de informática; Administradores de redes, sistemas y aplicaciones; Especialistas de Seguridad y Protección; Responsables de Seguridad Informática y Usuarios comunes de las tecnologías de Información. 5.2. Medios Técnicos de Seguridad: Se describirán los medios técnicos utilizados en función de garantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, así como la configuración de los mismos. Para lo cual se tendrá en cuenta:
Sistemas Operativos y nivel de seguridad instalado, Tipo de redes utilizadas y topología de las mismas, Conexiones a redes externas a la entidad, Servidores de uso interno y externo, Configuración de los servicios, Barreras de protección y su arquitectura, Empleo de Firewall, de Hosts Bastiones, Sistemas Proxy, etc. Filtrado de paquetes, Herramientas de administración y monitoreo, Habilitación de trazas y subsistemas de auditoría, Establecimiento de alarmas del sistema, Sistemas de protección criptográfica, Dispositivos de identificación y autenticación de usuarios, Protección contra programas no deseados, Software especiales de seguridad, Medios técnicos de detección de intrusos, Cerraduras de disque teras, Dispositivos de protección contra robo de equipos y componentes, Sistemas de aterramiento, Protección electromagnética, Fuentes de respaldo de energía eléctrica, Medios contra incendios, Medios de climatización, Otros. 5.3. Medidas y Procedimientos de Seguridad Informática En esta parte del Plan se relacionarán las acciones que deben ser realizadas en cada área específica por el personal a que se hace referencia en el apartado 5.1, en correspondencia con las políticas generales para toda la entidad establecidas en el apartado 4 y con la ayuda, en los casos que lo requieran, de los medios técnicos descritos en el 5.2, adecuando las mismas a las necesidades de protección de cada una de ellas de acuerdo con el peso del riesgo estimado para cada bien informático objeto de protección. Las medidas y procedimientos de Seguridad Informática que de manera específica (no deben ser confundidas con las políticas que tienen un carácter
general) sean requeridas en las distintas áreas, serán definidas de manera suficientemente clara y precisa, evitando interpretaciones ambiguas por parte de quienes tiene n que ejecutarlas y son de obligatorio cumplimiento por las partes implicadas. Un procedimiento de seguridad es una secuencia predeterminada de acciones dirigida a garantizar un objetivo de seguridad. Los procedimientos que se definan serán descritos en los acápites que correspondan o si se desea se hará referencia a ellos agrupándolos al final del Plan en un anexo. Su redacción deberá hacerse lo más clara y sencilla posible, precisando de manera inequívoca los pasos a seguir en cada caso para evitar posibles interpretaciones incorrectas, de forma tal que puedan ser ejecutados fielmente por las personas responsabilizadas para ello, sin neces idad de alguna otra ayuda adicional. En caso de agruparse todos como un anexo, el formato a utilizar será el siguiente: Denominación del procedimiento (título). Secuencia de las acciones a realizar. Especificando en cada caso: qué se hace, cómo se hace y quién lo hace, así como los recursos que sean necesari os para su cumplimiento. Algunos procedimientos a considerar son los siguientes: Otorgar (retirar) el acceso de personas a las tecnologías de información y como se controla el mismo. Asignar (retirar) derechos y permisos sobre los ficheros y datos a los usuarios. Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrónico, Internet) Definir perfiles de trabajo. Autorización y control de la entrada/salida de las tecnologías de información. Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su longitud y composición, la frecuencia de actualización, quién debe cambiarla, su custodia, etc. Realización de salva de respaldo, según el régimen de trabajo de l as áreas, de forma que las salvas se mantengan actualizadas, y las acciones que se
adoptan para establecer la salvaguarda de las mismas, de forma que se garantice la compartimentación de la información según su nivel de confidencialidad. Garantizar que los mantenimientos de los equipos, soportes y datos, se realicen en presencia y bajo la supervisión de personal responsable y que en caso del traslado del equipo fuera de la entidad la información clasificada o limitada sea borrada físicamente o protegida su divulgación. Salva y análisis de registros o trazas de auditoria, especificando quien lo realiza y con qué frecuencia. 5.3.1. De protección física. 5.3.1.1. A las áreas con tecnologías instaladas Se precisarán, a partir de las definiciones establecidas en el Reglamento sobre la Seguridad Informática, las áreas que se consideran vitales y reservadas en correspondencia con el tipo de información que se procese, intercambie, reproduzca o conserve en las mismas o el impacto que pueda ocasionar para la Entidad la afectación de los activos o recursos que en ellas se encuentren, relacionando las medidas y procedimientos específicos que se apliquen en cada una. (Ejemplo: restricciones para limitar el acceso a los locales, procedimientos para el empleo de cierres de seguridad y dispositivos técnicos de detección de intrusos, etc.) 5.3.1.2. A las Tecnologías de Información Se especificarán las medidas y procedimientos de empleo de medios técnicos de protección física directamente aplicados a las tecnologías de información que por las funciones a que están destinadas o por las condiciones de trabajo de las áreas en que se e ncuentran ubicadas lo requieran. (Ejemplo: utilización de cerraduras de disquetera, anclaje de chasis, cerradura de encendido del procesador etc.) Posición de las tecnologías de información destinadas al procesamiento de información con alto grado de confidencialidad o sensibilidad en el local de forma que se evite la visibilidad de la información a distancia, minimice la posibilidad de captación de las emisiones electromagnéticas y garantice un mejor cuidado y conservación de las mismas. Medidas y procedimientos para garantizar el control de las tecnologías de información existentes, durante su explotación, conservación, mantenimiento y traslado.
5.3.1.3. A los soportes de información Se describirá el régimen de control establecido sobre los soportes magnéticos de información refiriéndose entre otros aspectos a: Lo re lacionado con la identificación de los soportes removibles autorizados a utilizar dentro de la entidad, incluyendo su identificación física y lógica. Las condiciones de conservación de los soportes, especificando las medidas que garanticen la integridad y confidencialidad de la información en ellos recogida. Las medidas y procedimientos que se establecen para garantizar el borrado o destrucción física de la información clasificada o limitada contenida en un soporte una vez cumplida su finalidad. Las medidas y procedimientos que se establecen para garantizar la integridad y confidencialidad de la información clasificada o limitada durante el traslado de los soportes. 5.3.2. Técnicas o Lógicas Se especificarán las medidas y procedimientos de seguridad que se establezcan, cuya implementación se realice a través de software, hardware o ambas. 5.3.2.1. Identificación de usuarios Se explicará el método empleado para la identificación de los usuarios ante los sistemas, servicios y aplicaciones existentes, especificando: Como se asignan los identificadores de usuarios. Si existe una estructura estándar para la conformación de los identificadores de usuarios. Quien asigna los identificadores de usuarios. Como se eliminan los identificadores de usuarios una vez que concluya la necesidad de su uso y como se garantiza que estos no sean utilizados nuevamente. Proceso de revisión de utilización y vigencia de los identificadores de usuarios asignados.
5.3.2.2. Autenticación de usuarios. Se explicará el método de autenticación empleado para comprobar la identificación de los usuarios ante los sistemas, servicios y aplicaciones existentes. Cuando se utilice algún dispositivo específico de autenticación se describirá su forma de empleo. En el caso de empleo de autenticación simple por medio de contraseñas se especificará: Como son asignadas las contraseñas. Tipos de contraseñas utilizadas (Setup, Protector de pantalla, Aplicaciones, etc.) Estructura y periodicidad de cambio que se establezca para garantizar la fortaleza de las contraseñas utilizadas en los sistemas, servicios y aplicaciones, en correspondencia con el peso de riesgo estimado para los mismos. Causas que motivan el cambio de contraseñas antes de que concluya el plazo establecido. 5.3.2.3. Control de acceso a los activos y recursos En esta parte del Plan se describirán las medidas y procedimientos que aseguran el acceso autorizado a los activos de información y recursos informáticos que requieren la imposición de restricciones a su empleo, especificando: A que activos y recursos se le implementan medidas de control de acceso. Métodos de control de acceso utilizados. Quien otorga los derechos y privilegios de acceso. A quien se otorgan los derechos y privilegios de acceso. Como se otorgan y suspenden los derechos y privilegios de acceso. El control de acceso a los activos y recursos deberá estar basado en una política de mínimo privilegio, en el sentido de otorgar a cada usuario solo los derechos y privilegios que requiera para el cumplimiento de las funciones que tenga asignadas.
5.3.2..4. Integridad de los ficheros y datos Se describirán las medidas y procedimientos establecidos con el fin de evitar la modificación no autorizada, destrucción y pérdida de los ficheros y datos, así como para impedir que sean accedidos públicamente, especificando: Medidas de seguridad implementadas a nivel de sistemas operativos, aplicación o ambos para restringir y controlar el acceso a las bases de datos. Medidas para g arantizar la integridad del software y la configuración de los medios técnicos. Empleo de medios criptográficos para la protección de ficheros y datos. Medidas y procedimientos establecidos para la protección contra virus y otros programas dañinos que puedan afectar los sistemas en explotación, así como para evitar su generalización, especificando los programas antivirus utilizados y su régimen de instalación y actualización. 5.3.2.5. Auditoría y Alarmas Se describirán las medidas y procedimientos implementados para el registro y análisis de las trazas de auditoría en las redes y sistemas instalados, con el fin de monitorear las acciones que se realicen (acceso a ficheros, dispositivos, empleo de los servicios, etc.), y detectar indicios de hechos relevantes a los efectos de la seguridad que puedan afectar la estabilidad o el funcionamiento del sistema informático. En caso de emple o de software especializado que permita la detección de posibles errores de configuración u otras vulnerabilidades se describirán los procedimientos requeridos. Se describirán además las medidas que garanticen la integridad de los mecanismos y registros de auditoría limitando su acceso solo a las personas autorizadas para ello. 5.3.3. Seguridad de operaciones En esta parte del Plan se incluirán las medidas y procedimientos relacionados con los siguientes aspectos:
Identificación y control de las tecnologías en explotación, en particular aquellas donde se procese información clasificada. Control sobre la entrada y salida en la entidad de las tecnologías de información (máquinas portátiles, periféricos, soportes, etc.). Metodología e stablecida para las salvas de la información, especificando su periodicidad, responsabilidades, cantidad de versiones, etc.) Acciones específicas durante las conexiones externas a la entidad. Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrónico, Internet) Gestión de las claves de acceso considerando para cada nivel el tipo de clave, la fre cuencia de actualización, quién debe cambiarla, su custodia, etc. Gestión de salvas de respaldo, según e l régimen de trabajo de las áreas, incluyendo las acciones que se adoptan para establecer la salvaguarda de l as mismas. Mantenimientos de los equipos, soportes y datos en presencia y bajo la supervisión de personal responsable y en caso del traslado de equipos fuera de la entidad. Salva y análisis de registros o trazas de auditoria, especificando quien lo realiza y con qué frecuencia. 5.3.4. De recuperación ante contingencias Se describirán las medidas y procedimientos de neutralización y recuperación ante cualquier eventualidad que pueda paralizar total o parcialmente la actividad informática o degraden su funcionamiento, minimizando el impacto negativo de éstas sobre la entidad. A partir de los resultados obtenidos en el análisis de riesgos, se determinarán las acciones a realizar para neutralizar aquellas amenazas que tengan mayor probabilidad de ocurrencia en caso de materializarse, así como para la recuperación de los procesos, servicios o sistemas afectados, precisando en cada caso: Que acciones se deben realizar. Quién las realiza. En que momento debe realizarlas. Como debe realizarlas. De qué recursos debe disponer.
6. ANEXOS 6.1. Programa de Seguridad Informática En esta parte del Plan se incluirán aquellos aspectos cuya realización requiera de un tiempo adicional, ya sea porque necesitan algún tipo de recursos con que no se cuenta, la realización de gestiones complementarias u otras causas, señalando los plazos para su cumplimiento y el personal responsabilizado con su ejecución. Los aspectos que lo requieran deben ser considerados dentro del Plan de I nversiones de la entidad. Algunos aspectos a considerar pudieran ser los siguientes: La implementación a mediano y largo plazo de aquellos aspectos que así lo exijan para lograr un nivel de seguridad óptimo, como por ejemplo la introducción de medios técnicos de seguridad, modificación de locales, etc. La preparación y capacitación del personal en materia de seg uridad informática, según su participación en el sistema diseñado, ya sea a través de cursos específicos, mediante la impartición de materias relacionadas con el tema u otras medidas de divulgación. La organización y ejecución de pruebas, inspecciones y auditorías (internas y externas) para asegurar la continuidad de la integridad funcional del Sistema de Seguridad Informática existente, mencionando con que frecuencia se realizan, quienes participan y el contenido de las mismas. 6.2. Listado nominal de Usuarios con acceso a redes de alcance global Si la entidad tiene acceso a redes de alcance global se anexará un Listado de Usuarios autorizados, especificando Nombre, Apellidos y Cargo que ocupa en la entidad, así como los Servicios para los que está autorizado. 6.3. Registros Se definirán los documentos de registro que se requieran para el control de la actividad, de acuerdo a los requerimientos del sistema de seguridad diseñado, pudiéndose considerarse entre otros los siguientes: Registro de inspecciones. Registro y control de los soportes. Re gistro de software de nueva adquisición. Registro de entrada, salida y movimiento de tecnologías de información. Registro de incidencias de la Seguridad Informática.