Seguridad Informática y de la Información en Colombia

Nota:

• Un delito informático es aquel donde se roba de manera ilegal información y datos personales que están en un medio digital.

1. Claves programáticas espías

   Nota:

   • Claves programáticas espías: conocidas como troyanos, o software espías, utilizadas para sustraer información en forma remota y física, preferiblemente aquella que le permita al delincuente validarse en el sistema bancario, suplantando a la víctima.
2. Estafas

   Nota:

   • Estafas a través de subastas en línea: se presentan en el servicio de venta de productos, generalmente ilícitos, en línea o en la red; se pueden encontrar celulares hurtados, software de aplicaciones ilegales, además puede ser una vía de estafa ya que se suelen incumplir reglas de envió y de calidad de los productos solicitados.
3. Divulgación indebida de contenidos

   Nota:

   • Son conductas originadas en el anonimato ofrecido en la internet y el acceso público sin control desde ciber cafés; entre ellas se encuentran el envió de correos electrónicos anónimos, con fines injuriosos o calumnias, amenazas y extorsiones.
4. Pornografía infantil

   Nota:

   • Pornografía infantil en internet: a través de foros, chats, comunidades virtuales, transferencias de archivos, entre otras modalidades, los delincuentes comercializan material pornográfico que involucra menores de edad.
5. Piratería

   Nota:

   • Piratería en internet: implica la utilización de internet para vender o distribuir programas informáticos protegidos por las leyes de la propiedad intelectual. Aquí encontramos la utilización de tecnología par a par, correo electrónicos; grupos de noticias, chat por relay de internet, orden postal o sitios de subastas, protocolos de transferencia de archivos, etc.
6. Violación a los derechos de autor

   Nota:

   • Utilizando reproductores en serie, los delincuentes realizan múltiples copias de obras musicales, videogramas y software.
7. CIBERTERRORISMO

   Nota:

   • Terrorismo informático es el acto de hacer algo para desestabilizar un  país o aplicar presión a un gobierno,  utilizando  métodos  clasificados dentro los tipos de  delitos  informáticos, especialmente los de los de tipo de  Sabotaje, sin que esto pueda limitar el uso de otro tipo de delitos informáticos, además lanzar un ataque de terrorismo informático requiere de muchos menos recursos humanos y financiamiento económico que un ataque terrorista común.

Nota:

• Según mencionan Ojeda-Pérez, Rincón-Rodríguez, Arias-Flórez, & Daza-Martínez (2010), de acuerdo con los estudios realizados en 2008, Colombia registró una de las calificaciones más bajas en seguridad informática en comparación con otros seis países de Latinoamérica. Lo cual se sustenta en distintos factores

1. Falta de información

   Nota:

   • Ffalta de claridad o debilidad en la gestión gerencial, referidos particularmente a la implementación de la seguridad informática.
2. Abuso de empleados

   Nota:

   •      Abuso en el empleo de los sistemas y sus aplicativos.
3. Falta de evaluación con relaciones beneficio/costo

   Nota:

   •   Falta de evaluación con relaciones beneficio/costo y criterios de continuidad del negocio, sobre uso y seguridad de la información y los recursos informáticos.
4. Ausencia de políticas

   Nota:

   • Ausencia de políticas claras sobre seguridad informática
5. Falta de reconocimiento estratégico

   Nota:

   • Falta de reconocimiento estratégico al área de Auditoría de Sistemas.
6. Bajo uso de herramientas de análisis y control

   Nota:

   • Baja gestión y poco uso de herramientas de análisis y control
7. Falta de conciencia

   Nota:

   • Falta de conciencia en el desempeño de los sistemas de información.

Nota:

• Como una de las alternativas para la protección de los datos y de la información se ha publicado la serie de normas ISO 27000, por lo cual muchas organizaciones buscan obtener un certificado bajo este estándar. Siendo la ISO 27001 la norma principal, ya que en esta se definen los requisitos del sistema de gestión de seguridad de la información (SGSI).

1. Versiones
   1. 2005
   2. 2013
2. Dominios de control

   Nota:

   • Dentro de los nuevos dominios de control (V:2013) aparece Criptografía, siendo separada del dominio Adquisición, desarrollo y mantenimiento de la información. El segundo dominio de control adicional es Relación con proveedores, y el tercero es resultado de la división del dominio Gestión de comunicaciones y operaciones en dos nuevos dominios: Operaciones de seguridad y Seguridad de las comunicaciones.
   1. Políticas de seguridad
   2. Seguridad de los RRHH
   3. Gestión de activos
   4. Criptografìa
   5. Organización de la seguridad dela información
   6. Seguridad física y ambiental
   7. Operaciones de seguridad
   8. Relaciones con proveedores
   9. Control de acceso
   10. Seguridad de las comunicaciones
   11. Sistemas de adquisiciòn, desarrollo y mantenimiento
   12. Seguridad de la información para la continuidad del negocio
   13. Gestión de incidentes
   14. Cumplimiento

Nota:

• Ley para juzgar los delitos informáticos.

1. Acceso abusivo a un sistema informático

   Nota:

   • El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad.
2. Obstaculización ilegítima de sistema

   Nota:

   • Obstaculización ilegítima de sistema informático o redes de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones
3. Interceptación de datos

   Nota:

   • Interceptación de datos informáticos. El que, sin orden judicial previa, intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte.
4. Daño informático

   Nota:

   • El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos.
5. Uso de software malicioso

   Nota:

   • Quien produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación.
6. Violación de datos personales

   Nota:

   • La persona que con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes.
7. Suplantación de sitios web para capturar datos personales

   Nota:

   • Este delito es para quien diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes
8. Condenas
   1. Cárcel

      Nota:

      • La pena mínima es de cuatro años de cárcel. A quien se le impute este delito no tendrá la posibilidad de modificar la medida de aseguramiento, por tal motivo no tendrían beneficios como casa por cárcel.
   2. Sanción económica

      Nota:

      • los delitos informáticos tienen la sanción económica más altas del Código Penal colombiano. Desde 100 hasta 1000 salarios mínimos mensuales legales vigentes, dependiendo del delito.