Repblica Bolivariana de Venezuela Proyecto Socio Tecnolgico PNFI

MATRIZ SEGURIDAD DE LA INFORMACIN

Equipo:

Diomar Italo Miguel

Torrealba Ferrara Carrillo Guzman

Profesores: Arelis Trayecto IV, trimestre II, Seccin I

MATRIZ SEGURIDAD DE LA INFORMACIN

LDI Infraestructura fsica Hardware Lan Wan Personas Software Art. 1, 13

Ley / Normativas LDA LFE ITIL

COBIT Ds1 Po5 Po10

Art 6,7,10,13 Art. 1, 6, 7, Art. 17 10, 11, 25 Art. 1, 6, 7, Art. 10, 17 8, 10, 20

Soporte y servicios

Ds5

LEY DELITOS INFORMTICOS (LDI) Articulo 1. Objeto de la ley. La presente ley tiene por objeto la proteccin integral de los sistemas que utilicen tecnologas de informacin, as como la prevencin y sancin de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologas, en los trminos previstos en esta ley. Articulo 6. Acceso indebido. El que sin la debida autorizacin o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologas de informacin, ser penado con prisin de uno a cinco aos y multa de diez a cincuenta unidades tributarias. Artculo 7. Sabotaje o dao a sistemas. El que destruya, dae, modifique o realice cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologas de informacin o cualquiera de los componentes que lo conforman, ser penado con prisin de cuatro a ocho aos y multa de cuatrocientas a ochocientas unidades tributa Incurrir en la misma pena quien destruya, dae, modifique o inutilice la data o la informacin contenida en cualquier sistema que utilice tecnologas de informacin o en cualquiera de sus componentes. La pena ser de cinco a diez aos de prisin y multa de quinientas a mil unidades tributarias, si los efectos indicados en el presente artculo se realizaren mediante la creacin, introduccin o transmisin, por cualquier medio, de un virus o programa anlogo. Articulo 8. Sabotaje o dao culposos. Si el delito previsto en el artculo anterior se cometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, se aplicar la pena correspondiente segn el caso, con una reduccin entre la mitad y dos tercios. Articulo 10. Posesin de equipos o prestacin de servicios de sabotaje. El que, con el propsito de destinarlos a vulnerar o eliminar la seguridad de cualquier sistema que utilice tecnologas de informacin, importe, fabrique, posea, distribuya, venda o utilice equipos o dispositivos; o el que ofrezca o preste servicios destinados a cumplir los mismos fines, ser penado con prisin de tres a seis aos y multa de trescientas a seiscientas unidades tributarias. Articulo 11. Espionaje informtico. El que indebidamente obtenga, revele o difunda la data o informacin contenidas en un sistema que utilice tecnologas de informacin o en cualquiera de sus componentes, ser penado con prisin de cuatro a ocho aos y multa de cuatrocientas a ochocientas unidades tributarias. La pena se aumentar de un tercio a la mitad, si el delito previsto en el presente artculo se cometiere con el fin de obtener algn tipo de beneficio para s o para otro. El aumento ser de la mitad a dos tercios, si se pusiere en peligro la seguridad del Estado, la confiabilidad de la operacin de las instituciones afectadas o resultare algn dao para las personas naturales o jurdicas como consecuencia de la revelacin de las informaciones de carcter reservado.

Articulo 13. Hurto. El que a travs del uso de tecnologas de informacin, acceda, intercepte, interfiera, manipule o use de cualquier forma un sistema para apoderarse de bienes o valores tangibles o intangibles de carcter patrimonial sustrayndolos a su tenedor, con el fin de procurarse un provecho econmico para s o para otro, ser sancionado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Articulo 20. Violacin de la privacidad de la data o informacin de carcter personal. El que por cualquier medio se apodere, utilice, modifique o elimine, sin el consentimiento de su dueo, la data o informacin personales de otro o sobre las cuales tenga inters legtimo, que estn incorporadas en un computador o sistema que utilice tecnologas de informacin, ser penado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. La pena se incrementar de un tercio a la mitad si como consecuencia de los hechos anteriores resultare un perjuicio para el titular de la data o informacin o para un tercero. Articulo 25. Apropiacin de propiedad intelectual. El que, sin autorizacin de su propietario y con el fin de obtener algn provecho econmico, reproduzca, modifique, copie, distribuya o divulgue un software u otra obra del intelecto que haya obtenido mediante el acceso a cualquier sistema que utilice tecnologas de informacin, ser sancionado con prisin de uno a cinco aos y multa de cien a quinientas unidades tributarias. LEY DE DERECHO DE AUTOR (LDA) Artculo 10. El derecho de autor sobre las obras hechas en colaboracin pertenece en comn a los coautores. Los coautores deben ejercer sus derechos de comn acuerdo. Se presume, salvo prueba en contrario, que cada uno de ellos es mandatario de los otros en relacin con los terceros. En caso de desacuerdo, cada uno de los coautores puede solicitar del Juez de Primera Instancia en lo Civil que tome las providencias oportunas conforme a los fines de la colaboracin. Cuando la participacin de cada uno de los coautores pertenece a gneros distintos, cada uno de ellos podr, salvo pacto en contrario, explotar separadamente su contribucin personal, siempre que no perjudique la explotacin de la obra comn. Artculo 17. Se entiende por programa de computacin a la expresin en cualquier modo, lenguaje, notacin o cdigo, de un conjunto de instrucciones cuyo propsito es que un computador lleve a cabo una tarea o una funcin determinada, cualquiera que sea su forma de expresarse o el soporte material en que se haya realizado la fijacin. El productor del programa de computacin es la persona natural o jurdica que toma la iniciativa y la responsabilidad de la realizacin de la obra. Sin perjuicio de lo dispuesto en el artculo 104 de esta Ley, y salvo prueba en contrario, es productor del programa de computacin la persona que aparezca indicada como tal de la manera acostumbrada. Se presume salvo pacto expreso en contrario, que los autores del programa de computacin han cedido al productor, en forma ilimitada y por toda su duracin, el derecho exclusivo de explotacin de la obra, definido en el artculo 23 y contenido en el Ttulo II, inclusive la autorizacin para ejercer los derechos a que se refieren los artculos 21 y 24 de esta Ley, as como el consentimiento para decidir sobre su divulgacin y la

de ejercer los derechos morales sobre la obra, en la medida que ello sea necesario para la explotacin de la misma. LEY DE FIRMAS ELECTRNICAS (LFE) No aplica para nuestro proyecto NORMATIVAS ITIL Soportes y servicios Centro de atencin al usuario. La funcin del Centro de Atencin al Usuario es la cara de la informtica ante sus usuarios, por lo que es de vital importancia en toda entidad. El personal del Centro de Atencin al Usuario registra, resuelve o eleva y cierra todos los incidentes. Asimismo brinda asistencia tcnica de primera instancia en un nivel superior, y propone iniciativas de mejora de servicio y reduccin de costes. Gestin de Incidentes. Gestin de Incidentes registra, clasifica, supervisa y cierra todos los incidentes de forma controlada y homognea. Esto permite restaurar los niveles de servicio con la mayor rapidez posible y ayuda a reducir el nmero de incidentes nuevas. Gestin de Problemas. La identificacin, investigacin y clasificacin de problemas es una funcin fundamental en el mbito de Gestin de Servicios Informticos. Reduce de forma pro-activa los volmenes de incidentes y mejora continuamente la infraestructura informtica subyacente. Gestin de Activos y Configuraciones. Esto proporciona los cimientos vitales que son necesarios para la Gestin de Incidentes, Problemas y Cambios. Registra, y se encarga de la auditora y la seguridad de todos los elementos de configuracin que se encuentren en la infraestructura informtica, as como sus relaciones desde su adquisicin hasta su obsolescencia. Gestin de Cambios. La funcin de Gestin de Cambios es asegurar que se emplee un enfoque homogneo para la evaluacin e implantacin de todo cambio a la infraestructura informtica. Permite evaluar el riesgo y el impacto, as como los requisitos en lo que se refiere a recursos asociados con los cambios propuestos. Gestin de Entregas. La Gestin de Entregas ofrece un marco sistemtico para implantaciones de hardware de envergadura o crticas, implantaciones de software de envergadura o conjuntos de cambios empaquetados. Tiene en cuenta todos los aspectos tcnicos y no tcnicos de una edicin, desde la poltica y planificacin de edicin iniciales hasta el desarrollo,

pruebas e implantacin controlados. NORMAS COBIT Po5. Administrar la Inversin en TI. Establecer y mantener un marco de trabajo para administrar los programas de inversin en TI que abarquen costos, beneficios, prioridades dentro del presupuesto, un proceso presupuestal formal y administracin contra ese presupuesto. Los interesados (stakeholders) son consultados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes estratgicos y tcticos de TI, y tomar medidas correctivas segn sean necesarias. El proceso fomenta la asociacin entre TI y los interesados del negocio, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo total de la propiedad, la materializacin de los beneficios del negocio y el retorno sobre las inversiones en TI. Pag.(47-50) Po10. Administrar Proyectos. Establecer un marco de trabajo de administracin de programas y proyectos para la administracin de todos los proyectos de TI establecidos. El marco de trabajo debe garantizar la correcta asignacin de prioridades y la coordinacin de todos los proyectos. El marco de trabajo debe incluir un plan maestro, asignacin de recursos, definicin de entregables, aprobacin de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisin de pruebas y post-implantacin despus de la instalacin para garantizar la administracin de los riesgos del proyecto y la entrega de valor para el negocio. Este enfoque reduce el riesgo de costos inesperados y de cancelacin de proyectos, mejora la comunicacin y el involucramiento del negocio y de los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza la contribucin a los programas de inversin facilitados por TI. Pag.(67-72) DS1 Definir y Administrar los Niveles de Servicio Contar con una definicin documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicacin efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso tambin incluye el monitoreo y la notificacin oportuna a los Interesados (Stakeholders) sobre el cumplimiento de los niveles de servicio. Este proceso permite la alineacin entre los servicios de TI y los requerimientos de negocio relacionados. Pag.(101-104) Ds5 Garantizar la Seguridad de los Sistemas. La necesidad de mantener la integridad de la informacin y de proteger los activos de TI, requiere de un proceso de administracin de la seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, polticas, estndares y procedimientos de TI. La administracin de la seguridad tambin incluye realizar monitoreo de seguridad y pruebas peridicas as como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una efectiva administracin de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad. Pag.(117-120)

Acciones y Recomendaciones: En nuestro caso en la unidad de masterizado perteneciente al Centro Nacional del Disco (CENDIS). De facto cumplen de forma estricta, normas y procedimiento de seguridad lgica y fsica no solo en los sistemas operativos, tambin en cada uno de los programas que componen el sistema de control y conversin en cada uno de los servidores del sistema pero que en la practica no estn documentados ni soportados en normas, leyes u estndares nacionales o internacionales. Se tiene alta dependencia tecnologa ya que este complejo equipo y su toda su documentacin se encuentran totalmente en idioma ingles. Acciones: Rescatamos la informacin, referente a procesos, procedimientos y manejo de los sistemas y empezamos a traducirlos del idioma ingles al idioma castellano. Verificamos cada uno de estos manuales y actualizamos trminos que para el momento de su impresin (2004), en nuestro idioma no se manejaban con fluidez total. Contrastamos trminos y procesos as como los estndares utilizados en el sistema informtico de la Masterizadora, para as gestionar los programas privativos que la conforma. Recomendaciones: Emplear los estndares empleados por COBIT, documentando y aplicando sus procesos. Emplear los estndares empleados por ISO 27001, documentando y aplicando sus procesos en seguridad fsica (personas). Emplear los estndares empleados por ITIL, documentando y aplicando sus procesos para servicios y mantenimiento del sistema. Crear Manuales, de seguridad lgica y fsica tanto de los sistemas como de las bases de datos utilizadas. Actualizar manuales de servicio, de proceso y de operador. Documentar los proceso de proteccin y respaldo de la data.