C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
-
Upload
emmaueltronco -
Category
Data & Analytics
-
view
40 -
download
0
Transcript of C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
Herrera López Ivan
Mendoza González Julio Alberto
Ponce Becerra Jesús Emmanuel
Vallejo Santos Brandon Kaleb
Se entiende por política informática a los
planes, medidas y acciones que
indique puntos principales en el ámbito
de sistemas para el tratamiento de la
información la protección y la seguridad
de los datos y medios informáticos.
Se encarga de gestionar procesos de
información.
Optimizar recursos para la eficiencia de
sistemas informáticos.
Origina el desarrollo de la
infraestructura.
¿Quienes tiene políticas informáticas?
El establecimiento de una política
informática es obligatorio para:
Las dependencias y entidades de
gobierno pertenecientes al poder
ejecutivo estatal.
Servidores públicos que resguardan
bienes informáticos o hagan uso de las
tecnologías de información que sean
propiedad del gobierno.
Las políticas deben promover
La confidencialidad de datos
personales.
La protección jurídica de la información
producida por las instituciones del poder
ejecutivo.
Todos los sistemas y bases de datos que
manejen información personal
comprendidos en la Ley de Transparencia
y acceso la información publica
gubernamental deberán contar con claves
de acceso y medidas de seguridad lógica.
El problema es la vulnerabilidad de los
sistemas de computo que ha
aumentado en los últimos años
Confidencialidad
Una persona que proporciona
información acerca de ella a cualquier
departamento o empresa tiene el
derecho a exigir a este departamento de
no divulgar la información que le fue
proporcionada
Los controles de sistemas aseguran el
desarrollo apropiado de los sistemas de
información
En estos momentos de configuración e
implantación de los nuevos medios
informáticos es imprescindible fomentar una
conciencia social de control, a través de la
participación, de estos nuevos medios.
Normas de las Políticas de
Seguridad Informática Las normas son un conjunto de lineamientos, reglas,
recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red organizacional.
Una norma de seguridad establece unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Son por tanto, declaraciones a satisfacer. Una norma debe ser clara, concisa y no ambigua en su interpretación. En cuanto a la estructura de un documento normativo, se recomienda estructurarlo en los siguientes apartados:
Objetivo: declaración del propósito o intención de la redacción del documento y de los objetivos de seguridad relacionados con la política que se intentan satisfacer.
Definiciones: Se indican las definiciones de aquellos términos que aparezcan en la norma y que pudieran ofrecer dificultad para su comprensión. Es una forma de eliminar la ambigüedad en la interpretación al establecer el significado en la norma de los términos utilizados.
Responsables del cumplimiento: se define dentro de la Organización qué departamento o responsable velará por el cumplimiento de la norma y revisará su correcta implantación o cumplimiento.
Incumplimiento: se establecen las consecuencias que se derivarán del incumplimiento de la norma cuando éste sea detectado o las acciones disciplinarias que ocasionarán.
Normas a aplicar: debe contener los requisitos de seguridad que se declaran de obligado cumplimiento. Podrán agruparse los requisitos por categorías, estableciendo apartados donde se agrupen los requisitos relacionados. También los enunciados pueden numerarse para poder posteriormente referenciarlos. Documentos relacionados: se indican otros documentos del marco normativo que pudieran estar relacionados con el cumplimiento de la norma.
En cuanto a las recomendaciones en la
redacción del documento, se debe
procurar que:
El cumplimiento debe ser factible a nivel organizativo y técnico.
La redacción debe ser clara y resumida.
Las afirmaciones realizadas dentro del apartado “Normas a aplicar” deben ser taxativas, no ambiguas y deben permitir la revisión o auditoría del cumplimiento del hecho reglado.
El tiempo verbal de las normas debe ser presente del indicativo.
La divulgación se realizará entre las áreas afectadas o implicadas en el cumplimiento.
Su aprobación debe estar formalizada, indicando los plazos de vigencia y de revisión de la norma. Debe estar bajo un control de versiones.
Con el fin de proporcionar un marco de
Gestión de la Seguridad de Información
utilizable por cualquier tipo de
organización, independientemente de su
tamaño o actividad, se ha creado un
conjunto de estándares bajo el nombre
de ISO/IEC 27000.
Ley Orgánica 15/99 de Protección de Datos de Carácter Personal
Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI)
Ley 32/2003, general de telecomunicaciones
Ley 59/2003 de firma electrónica
R.D.L, 1/1996 Ley de Propiedad Intelectual
Ley 17/2001 de Propiedad Industrial
A semejanza de otras normas ISO, la 27000 es realmente una
serie de estándares. A continuación se incorpora una relación
con la serie de normas ISO 27000 y una descripción de las
más significativas:
UNE-ISO 27001
Esta norma es la definición de los procesos de gestión de la seguridad, por lo tanto, es una especificación para un SGSI y, en este momento, es la única norma Certificable, dentro de la familia ISO 27000.
ISO 27002
La ISO 27002 viene a ser un código de buenas prácticas en el que se recoge un catálogo de los controles de seguridad y una guía para la implantación de un SGSI.
Cada uno de los dominios conforma un capítulo de la norma y se
centra en un determinado aspecto de la seguridad de la
información. En el siguiente dibujo se muestra la distribución de
dichos dominios y el aspecto de seguridad que cubren:
ISO 27002 (documentación)
La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan
detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los
objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado
debe quedar perfectamente documentada.
La documentación que se genera con la implantación del SGSI se estructurará de la siguiente forma:
Legislación Informática
Se define como un conjunto de
ordenamientos jurídicos creados para
regular el tratamiento de la información.
Las legislaciones de varios países han
promulgado normas jurídicas que se
han puesto en vigor dirigidas a
proteger la utilización abusiva de la
información
Delito informático
Un delito informático o ciberdelicuencia
es toda aquella acción típica, antijurídica
y culpable que se da por vías
informáticas o que tiene como objetivo
destruir y dañar ordenadores, medios
electrónicos y redes de Internet.
Crímenes
Spam
Fraude
Contenido obsceno u ofensivo
Hostigamiento o acoso
Trafico de drogas