INTRODUCCION
El objetivo del presente ensayo ha sido escrito simplemente con carácter informativo y descriptivo con la intención de promover la reflexión sobre este tema, así como difundir la cultura de la prevención informática.
La recopilación hemerográfica pretende poner de manifiesto que los riesgos son reales, potencialmente peligrosos y, por otra parte, que comúnmente las organizaciones son débiles para protegerse de posibles ataques en su contra, sean éstos, naturales o humanos; deliberados o no.
La recopilación hemerográfica pretende poner de manifiesto que los riesgos son reales, potencialmente peligrosos y, por otra parte, que comúnmente las organizaciones son débiles para protegerse de posibles ataques en su contra, sean éstos, naturales o humanos; deliberados o no.
Casos de normatividad aplicada al equipo en México y en el mundo El derecho es aplicable a todos los individuos, también la normatividad aplicada al hardware, es fundamentalmente necesaria para tener conocimiento y respeto al equipo de computo, es fundamental para no cometer errores o quizás hasta delitos informáticos como hacker o crackear, o falsificar documentos, es esencialmente difícil no encontrar en la actualidad esta problemática mundial que afecta en términos de integridad y laborales.
La normativa se refiere al establecimiento de reglas o leyes, dentro de cualquier grupo u organización. Siempre son necesarias las reglas, leyes y políticas, debido a que debe existir un orden y común acuerdo de los integrantes de los grupos u organizaciones.
DESARROLLO
En la actualidad la Cámara de Diputados en su Área de sistemas no se rige bajo ninguna norma o certificación externa nacional o internacional.
Tampoco cuentan con ningún tipo de manual de procedimientos u organización que les permita realizar sus labores de forma sistemática y ordenada.
De igual forma la falta de metas y objetivos genera desorganización y falta de control, mala administración e inclusive representa un riesgo latente ante las posibles fallas del sistema.
Tampoco cuentan con ningún tipo de plan de contingencia en caso de que la red falle, mucho menos con medidas para minimización de riesgos por posibles ataques, desastres de ningún tipo un ejemplo de esto es la:.
Contraloría Interna de la Cámara de Diputados
En la cámara de diputados existe lo que es una contraloría Interna que es el encargado de llevar a cabo la gestión del control administrativo y fiscal dentro de esta institución.
Cabe señalar que la Contraloría Interna de la Cámara de Diputados del Honorable Congreso de la Unión se creó mediante Acuerdo de la Gran Comisión del 5 de mayo de 1994, con el objetivo de que la Cámara de Diputados cuente con su propio Órgano Interno de Control que a fin de propiciar el óptimo aprovechamiento de los recursos de la Institución.
Su objetivo:
Vigilar que las operaciones de la Cámara de Diputados se realicen con apego a los programas y procedimientos establecidos de conformidad a la normatividad aplicable, verificando que el manejo y aplicación de los recursos financieros, humanos y materiales se lleven a cabo de acuerdo con las disposiciones presupuestales en el Presupuesto de Egresos de la Federación.
Debilidades
En cuanto a las debilidades de la Su contraloría de Auditoría, derivado del estudio al área, el cual consistió primero en entrevistas con el personal, y asistir a las instalaciones para analizar el área entera en lo que se refiere a tecnologías de información, recursos informáticos, infraestructura y cultura informática, se encuentran las siguientes:
· No cuentan con la debida regulación legal y jurídica actualizada que apoye y sustente sus funciones, ni en las áreas administrativas, mucho menos en lo que respecta a las funciones de auditoría en informática.
· No existe un área ni una persona que desarrolle la función de auditoría en informática.
· En general, el personal de mandos medios, así como operativo, se muestra poco interesado en el avance de las tecnologías de información, así como en la formación de su personal en este sentido.
· Su personal está capacitado para la utilización de equipos de cómputo solo para las funciones más básicas.
· Actualmente la Sub contraloría de Auditoría no ha realizando nunca una auditoría en informática al área de sistemas, mucho menos a las demás áreas administrativas ni Grupos Parlamentarios.
· No cuentan con ningún tipo de software que apoye la función de auditoría cotidiana, mucho menos alguno especializado para la auditoría en informática.
· No aprovechan la infraestructura informática que les proporciona la Cámara de Diputados (red).
· No cuentan con una planeación informática que les permita ir a la vanguardia, mucho menos hacer un planteamiento formal en cuanto a este tema.
· El personal de la Cámara de Diputados muestra en general un grado muy bajo de cultura informática.
· Existe poco equipo de cómputo en el área y está mal repartido entre el personal auditor y los altos mandos.
· El equipo con que cuentan los auditores, en general no cumple con las necesidades básicas de procesamiento para que realicen correctamente su función.
· El procedimiento para la adquisición de tecnologías de información dentro de la Cámara de Diputados es muy burocrático, lleva mucho tiempo el suministro de equipos y bienes de cómputo.
· Hay muy poca participación del personal del área en los constantes cursos de capacitación en informática que se imparten en la Cámara de Diputados.
Riesgos
Cuando se habla de riesgo, se entiende como: “Los riesgos son condiciones del mundo real en el cual hay una exposición a la adversidad, conformada por una combinación de circunstancias del entorno, donde hay posibilidad de perdidas.
Al asistir a las instalaciones de la Sub contraloría de Auditoría para analizarla, se revisaron las tecnologías de información con las que cuentan a la fecha, de lo cual se determinan los siguientes riesgos:
Tabla 1.2. Lógicos
Riesgo
|
Probabilidad
|
Impacto
|
Control
|
Pérdida de información
|
Media
|
Alto
|
No lo hay
|
Recomendaciones inadecuadas
|
Baja
|
Alto
|
No lo hay
|
Fuga de información
|
Baja
|
Medio
|
No lo hay
|
Descontrol del personal
|
Medio
|
Bajo
|
No lo hay
|
Tabla 1.3. Físicos
Riesgo
|
Probabilidad
|
Impacto
|
Control
|
Incendio
|
Baja
|
Bajo
|
Sistemas contra incendio
|
Robo
|
Media
|
Alta
|
Controles de acceso, resguardos e inventarios
|
Desastres naturales
|
Baja
|
Alta
|
Programas de capacitación en caso de desastres naturales
|
En cuanto a tecnologías de información, actualmente el único control que se lleva dentro de la Sub contraloría de Auditoría es como máximo el inventario físico de los equipos de cómputos, resguardos individuales de los mismos y relación del software que maneja cada equipo.
La Dirección General de Tecnologías de Información cuenta con sus propios controles de acceso lógico y sellos de seguridad en cuanto a la seguridad física, además de los ya mencionados resguardos físicos personales de equipo de cómputo.
Además de eso, no existe control alguno sobre ningún aspecto del ámbito informático, tampoco sobre la capacitación del personal y actualmente hay total desconocimientos de las mejores prácticas y/o software que pueda auxiliar a los auditores en su desempeño y cumplimiento de funciones.
Tecnología informática actual de la Sub contraloría de Auditoría
La Sub contraloría de Auditoría tiene un inventario de equipo limitado y mal repartido, hay personal que necesita máquinas más adecuadas para su trabajo, algunos incluso podría hacer uso de herramientas informáticas que apoyarán su labor, mientras que hay personal con equipos más completos y modernos que en realidad no utilizan.
En los siguientes puntos se detalla su infraestructura, su tecnología actual en cuanto a hardware y software.
Hardware
En la Sub contraloría de Auditoría se utiliza la red que proporciona la propia Cámara de Diputados, misma que funciona por medio de un anillo lógico de fibra óptica, sobre la cual corren la mayoría de las áreas administrativas, órganos técnicos y buena parte de los Grupos Parlamentarios. Sobre la red que provee el área de sistemas se habla en el siguiente capítulo, por el momento concretamente se menciona la tecnología con la que cuenta únicamente la Sub contraloría de Auditoría:
· Tres equipos DELL, Pentium IV.
· 7 HP Pentium IV
· 8 HP Pentium III
· Tres equipos en desuso modelo 486.
· Tres impresoras en red:
· 1 DELL blanco y negro
· 1 Xerox Phaser 4400 blanco y negro
· 1 Laser Jet 400 blanco y negro
· 2 HP Laser Jet 5500 a color (Propiedad privada)
Software
· Los equipos con Pentium IV, tiene instalado Windows XP, con sesión para usuario limitado y office XP con los componentes básicos.
· Los equipos de Pentium III para abajo tienen instalado Windows 98 ó 95 y office de la misma versión, con paquetería básica.
Como ya se mencionó, uno de los grandes problemas de la Sub contraloría de Auditoría es la poca capacitación de personal, aproximadamente el 30% sabe usar con agilidad la paquetería de office, un 40% la usa pero con dificultades, mientras que el 30% tiene conocimientos muy básicos de computación.
Las organizaciones actuales, ya sean empresas, instituciones, sociedades, asociaciones o dependencias, son entes dinámicos que interactúan con el medio ambiente y enfrentan amenazas de diversa índole.
Estas amenazas, entendidas como un conjunto de personas, eventos, situaciones o cosas que pueden ser fuente de peligro, daño o catástrofe, han tornado vulnerables a las organizaciones.
La probabilidad de que una amenaza se presente se considera un riesgo. Ya sean fenómenos naturales como huracanes, terremotos, inundaciones, etc., o situaciones humanas como la inseguridad, los accidentes, el terrorismo, el sabotaje, las intromisiones ilícitas, las violaciones de los derechos de propiedad industrial o intelectual, en general la comisión cada vez más frecuente de los delitos informáticos, también llamados delitos cibernéticos.
Constantemente aparecen en los titulares de los diarios de nuestro país noticias como las siguientes:
Estas amenazas, entendidas como un conjunto de personas, eventos, situaciones o cosas que pueden ser fuente de peligro, daño o catástrofe, han tornado vulnerables a las organizaciones.
La probabilidad de que una amenaza se presente se considera un riesgo. Ya sean fenómenos naturales como huracanes, terremotos, inundaciones, etc., o situaciones humanas como la inseguridad, los accidentes, el terrorismo, el sabotaje, las intromisiones ilícitas, las violaciones de los derechos de propiedad industrial o intelectual, en general la comisión cada vez más frecuente de los delitos informáticos, también llamados delitos cibernéticos.
Constantemente aparecen en los titulares de los diarios de nuestro país noticias como las siguientes:
§ Avanza explotación sexual de niños” (en Internet)
§ Sabotean sitio de internet de la Presidencia”
Contrabando y piratería ganan batalla a industriales”
Contrabando y piratería ganan batalla a industriales”
§ Inerme la Red Cibernética; alerta máxima de empresarios
§ Casi el 60% del software que se usa en México es pirata
§ Hackean a Microsoft
§ Epidemia en el ciberespacio
§ Internet rompe la frontera de la privacidad
§ Alerta PGJDF sobre fraudes...
§ Millonarias pérdidas por ataque a redes.
Como habíamos hablado anteriormente del derecho que es aplicable a todos los individuos, también la normatividad aplicada al hardware es fundamentalmente necesaria para tener conocimiento y respeto al equipo de computo pues como podemos ver todo va ligado a los diferentes artículos que podemos ver en nuestros días aunque quizás lo desconocemos es realmente fundamental para no cometer errores o quizás hasta delitos informáticos como hackear o crakear , o quizás falsificar documentos, pero bueno es esencialmente difícil no encontrarnos diariamente con esta problemática mundial que nos afectan es términos de integridad y laborales.
Aquí unos ejemplos de normativas aplicadas al equipo:
- ARTICULO 2.- DE LA RESPONSABILIDAD.
I. Por cada equipo de cómputo, habrá un servidor público responsable, quién deberá observar las disposiciones de esta normatividad, auxiliado por el administrador de la unidad informática, quién a su vez es responsable directo, de todos los bienes informáticos que por función le corresponda administrar; Tanto los responsables como los administradores de unidades informáticas, deberán verificar los equipos de cómputo con objeto de constatar el cumplimiento escrupuloso la normatividad establecida en el presente acuerdo y la legislación aplicable.
II. ARTICULO 3.- DEL RESPALDO, AMBIENTE Y LIMPIEZA. El equipo de cómputo deberá mantenerse en un sitio apropiado, iluminado, ventilado, limpio y libre de polvo, así mismo, los responsables a través de los administradores de la unidad informática, deberán solicitar, a la Dirección General de Modernización y Sistemas su inclusión en el programa permanente de mantenimiento preventivo; y III. Queda estrictamente prohibido el almacenamiento de archivos que contengan música, pornografía, videos, imágenes y de cualquier otro tipo que no estén relacionados con la actividad ó función, para la cual se destinó el equipo de cómputo.
III. ARTICULO 6.- DE LOS SERVICIOS INSTITUCIONALES Es responsabilidad de los administradores de unidades informáticas, instalar ó, en su caso, solicitar la instalación del software correspondiente a los servicios institucionales que le hayan sido autorizados al equipo de cómputo de su área de competencia a fin de mantenerlos vigentes.
IV. ARTICULO 8.- DE LAS ADQUISICIONES DE EQUIPO DE CÓMPUTO Y SUMINISTROS. I. La Dirección General de Modernización y Sistemas analizará y presentará el dictamen técnico de las requisiciones de equipo, software y suministros para equipo de cómputo a fin de asegurar que alcancen la mayor utilidad y compatibilidad con los proyectos implementados, en proceso o futuros, a fin de que, en términos de la Ley aplicable, se determine su adquisición.
LEGISLACIONES APLICABLES EN EL MUNDO DEL INTERNET
El uso de los medios electrónicos e internet, llego para quedarse en el medio fiscal federal, tal utilización no puede ser ajena a la actuación de las autoridades y de los mismos procesos judiciales.
El uso de los medios electrónicos e internet, llego para quedarse en el medio fiscal federal, tal utilización no puede ser ajena a la actuación de las autoridades y de los mismos procesos judiciales.
Por el hecho de tener acceso al Sitio, el Usuario expresa su aceptación y acuerdo con estos términos y condiciones, según sean modificados, así como con cada modificación a los mismos que haga la empresa de momento a momento.
Debido a la naturaleza de apertura del Internet y del Sitio, es necesario cambiar y modificar constantemente el contenido, estructura e información que se ofrecen; Al acceder al Sitio, el Usuario entiende y acepta que la empresa tendrá en cualquier momento el derecho de realizar dichas modificaciones sin previa notificación.
Dicho contenido y direcciones disponibles (LINKS) cambian constantemente, por lo que desde este momento, el Usuario queda advertido que la pagina puede ser un fraude y no se da cuenta que la empresa puede tener algun tipo de responsabilidad, civil, penal, administrativa, así como de los daños (patrimoniales o morales), perjuicios o cualquiera otra que pudiera emanar del mal uso de la información disponible mediante el mismo.
LEY APLICABLE; PROHIBICIÓN DE ACTIVIDADES ILEGALES.
LEY APLICABLE; PROHIBICIÓN DE ACTIVIDADES ILEGALES.
Este sitio (excluyendo los sitios enlazados) es controlado por la empresa desde sus oficinas en la ciudad de México Distrito Federal. Al acceder a este sitio, el usuario y la empresa aceptan que todos los asuntos relacionados con el acceso del usuario a, o el uso de este sitio estará regido por la legislación aplicable en el Distrito Federal y por las leyes federales de los Estados Unidos Mexicanos, sin tomar en cuenta los principios de conflictos de leyes que surjan.
Si el usuario utiliza el sitio o la información contenida en él, para cualquier fin ilegal o indebido, el usuario deberá responder ante la empresa por cualquier daño o perjuicio que ocasione a la empresa.
Si el usuario utiliza el sitio o la información contenida en él, para cualquier fin ilegal o indebido, el usuario deberá responder ante la empresa por cualquier daño o perjuicio que ocasione a la empresa.
EL acceso no autorizado a equipos de cómputo y de telecomunicaciones: Legislación Informática en México
Fraude mediante el uso de la computadora y la manipulación de la información que éstas contienen.
para el D.F. existe un Artículo 231 del Código Penal
“Se impondrán las penas previstas en el artículo anterior, a quien: ... XIV. Para obtener algún beneficio para sí o para un tercero, por cualquier medio tenga acceso, entre o se introduzca a los sistemas o programas de informática del sistema financiero e indebidamente realice operaciones, transferencias o movimientos de dinero o valores, independientemente de que los recursos no salgan de la Institución...”
Acceso no autorizado a sistemas o servicios y destrucción de programas o datos.
Es habitual observar en los entornos corporativos cómo los usuarios se levantan de su puesto de trabajo por cualquier circunstancia, dejando la sesión abierta. Esta manera de actuar puede representar un grave riesgo de seguridad, tanto para las empresas como para los propios usuarios.
Entre las recomendaciones ofrecidas para evitar el problema, se encuentra la implantación de "timeouts" en todos los PCs para asegurar que los sistemas cierren automáticamente las sesiones ante un tiempo de inactividad, minimizando así el riesgo de cualquier posible ataque.
De acuerdo a la consultora, un número significativo de accesos no autorizados ocurren cuando alguien se sienta ante la sesión abierta del ordenador de otro usuario.
Los PCs desatendidos facilitan -entre otras acciones- el acceso a datos sensibles y el envío de correos falsos.
Todos los sistemas de comunicaciones estarán debidamente protegidos con infraestructura apropiada de manera que el usuario no tenga acceso físico directo. Entendiendo por sistema de comunicaciones: el equipo activo y los medios de comunicación.
Las visitas deben portar una identificación con un código de colores de acuerdo al área de visita, que les será asignado por el centro de cómputo
El robo de los equipos de cómputo hoy en nuestros días es muy común ya que la mayoría de las personas en casa cuentan con algún equipo y qué decir de las empresas e instituciones educativas que en la gran mayoría son los más atacados en cuestiones de robo de equipos de cómputo ya que estas últimas son las tienen un gran numero equipos para realizar sus actividades y pueden ser mas vulnerables ya que no siempre se cuenta con las medidas de seguridad necesarias tanto físicas , como lógicas.
El Secretario de Seguridad Pública del Distrito Federal (SSP-DF), ingeniero Joel Ortega Cuevas, informó que autoridades de esta dependencia han realizado reuniones de trabajo con representantes de cafés y restaurantes con servicio de internet para aplicar medidas de prevención contra el robo de computadoras personales – lap tops – en estos sitios.
Se recomienda a la gente que usa sus lap tops a tomar medidas que desalienten los robos. Al caminar por la calle con una computadora portátil, ésta debe ir bien asegurada o si la usan en un café u otro establecimiento y requieren levantarse de la mesa, las lleven consigo. El Secretario Ortega Cuevas dijo que estos aparatos deben colocarse en la cajuela, como el lugar más seguro. Los autores de los ilícitos son generalmente sujetos dedicados al robo a transeúnte, al que despojan de todas sus pertenencias, pero principalmente artículos que puedan vender con facilidad como son los teléfonos celulares y en mucho menor medida, pero también se dan casos, las computadoras portátiles.
Casos De Normatividad Aplicada Al Software
Casos de Normatividad aplicada al Software
Piratería y falsificación de Software es el problema más grande que afecta a la industria de las computadoras del software, Es un problema enorme debido a que es muy fácil de hacer.
Piratería y falsificación de Software es el problema más grande que afecta a la industria de las computadoras del software, Es un problema enorme debido a que es muy fácil de hacer.
El Software es pirateado en muchas formas
• El método más simple es copiar el software de sus disquetes o disco compacto originales.
El Internet es el semillero de la piratería más grande.
Tipos de Piratería:
• Piratería de Usuario Final: Tiene lugar cuando el empleado de una empresa reproduce copias de software sin autorización. Puede adoptar las siguientes formas:
- Utiliza una copia adquirida con licencia para instalar un programa en varios ordenadores
- Copiar disco con fines de instalación y distribución.
-Aprovechar ofertas de actualizaciones sin tener una copia legal de la versión a actualizar.
- Adquirir software académico, restringido o no destinado a la venta minorista sin licencia para uso comercial.
- Intercambiar discos en el lugar de trabajo o fuera de él.
• El método más simple es copiar el software de sus disquetes o disco compacto originales.
El Internet es el semillero de la piratería más grande.
Tipos de Piratería:
• Piratería de Usuario Final: Tiene lugar cuando el empleado de una empresa reproduce copias de software sin autorización. Puede adoptar las siguientes formas:
- Utiliza una copia adquirida con licencia para instalar un programa en varios ordenadores
- Copiar disco con fines de instalación y distribución.
-Aprovechar ofertas de actualizaciones sin tener una copia legal de la versión a actualizar.
- Adquirir software académico, restringido o no destinado a la venta minorista sin licencia para uso comercial.
- Intercambiar discos en el lugar de trabajo o fuera de él.
· Uso excesivo del servidor por parte del cliente: Este tipo de piratería tiene lugar cuando demasiados empleados en una red utilizan simultáneamente una copia central de un programa.
· Piratería de Internet: Tiene lugar cuando se descarga software de Internet. Las compras de software en línea deben regirse por las mismas normas de compra que se aplican en los métodos de adquisición tradicionales.
· Carga de disco duro: Tiene lugar cuando una empresa que vende ordenadores nuevos carga copias ilegales de software en los discos duros para que la compra de las máquinas resulte más atractiva.
CONCLUSIONES
Al elaborar toda esta investigación acerca de la normatividad me doy cuenta que como usuarios de las tics nos falta documentarnos más acerca de las leyes que rigen cada elemento de las estas y ayudar a cubrir cada espacio donde esta vacio que aun existe en cuanto algunas actividades relacionadas con las tics.
Hagamos que no se vuelva tan conflictivo el usarla cumpliendo con las normas que ya existen.
MUUY BUENO =D (Y) GRAZIE
ResponderEliminar