Ensayo. caso de uso “jefe, creo que alguien robó nuestros datos de clientes”
1. 1
Dirección General de Educación
Superior Tecnológica
Instituto Tecnológico de San Juan del Río
Legislatura informática
ENSAYO:
Caso de Uso
“Jefe, creo que alguien robó nuestros datos de clientes”
Presenta:
Aguilar Villegas Edenilson.
Badillo Correa Antonio.
Calderón Juárez Jareth.
Fuentes Cruz Laura Josefina.
González Arredondo Rosa.
Ledesma Benítez Lidia.
San Juan del Río, Qro. 03 de Septiembre de 2012
2. Ensayo. Caso de Uso “Jefe, creo que alguien robó nuestros datos de clientes”
ITSJR
Índice.
Introducción. ....................................................................................................................................... 1
Desarrollo............................................................................................................................................ 2
Pros y contras de los personajes...................................................................................................... 2
Castigos consecuencias ................................................................................................................... 3
Conclusión........................................................................................................................................... 4
3. 1
Introducción.
Generalmente, los sistemas de información incluyen todos los datos de una compañía y
también en el material y los recursos de software que permiten a una compañía almacenar y
hacer circular estos datos. Los sistemas de información son fundamentales para las
compañías y deben ser protegidos.
La seguridad informática consiste en garantizar que el material y los recursos de software
de una organización se usen únicamente para los propósitos para los que fueron creados y
dentro del marco previsto y debe garantizar a los usuarios cierto nivel de confidencialidad,
integridad y disponibilidad, características propias de un sistema que deben formar parte de
él como requisito indispensable.
Cuando alguno de estos aspectos no se cumple adecuadamente se irrumpe el nivel de
seguridad que tiene la información con que se trabaja pues en este punto se está vulnerable
a diferentes tipos de ataques.
El presente documento se trata de un análisis al caso de uso “Jefe, creo que alguien robó
nuestros datos de clientes” en donde se muestra un severo problema de fuga de datos que
involucra diferentes personajes y se habla de las responsabilidades que cada uno de acuerdo
a su cargo debía llevar para la seguridad de la información, así como las consecuencias que
se tienen con cada acto.
4. Ensayo. Caso de Uso “Jefe, creo que alguien robó nuestros datos de clientes”
ITSJR 2
Desarrollo.
BrettFlayton es el dueño de FlaytonElectronics, empresa que fue fundada por su padre. Un
dia en la mañana recibió una llamada de Laurie vicepresidenta de prevención de pérdidas
quien le informó sobre una posible fuga de datos. Se tenía el reporte de uso de tarjetas
posiblemente robadas y usadas en las tiendas Flayton.
Pros y contras de los personajes
Brett.
Brett como dueño de la empresa tiene mayor responsabilidad pues es quien debe responder
a los clientes por los problemas presentados y explicar lo que pasa con la seguridad. Brett
sabía que debía cumplir con las normas PCI, así como también estaba consciente de la
necesidad de contar con un auditor y tomar medidas de seguridad pues estaban tratando con
tecnología nueva, sin embargo a estas situaciones no prestó mayor atención.
Sergei.
El encargado oficialmente de la seguridad es Sergei director de informática, quien
identificó un firewall desactivado exponiendo de esta manera los datos de los clientes que
estaban siendo divulgados y convirtiéndose así en sospechoso, puesto que su trabajo es
precisamente llevar el control de la seguridad y no se dio cuenta antes del problema con el
firewall. Se considera que Sergei tiene el conocimiento necesario para poder desactivar el
firewall y que nadie lo note puesto que es él quien revisa esa parte.
Laurie.
Laurie fue contactada por Union Century Bank, quienes revisan regularmente sus cuentas
en busca de patrones irregulares. Es sospechosa por haber sido la primera en enterarse y por
que fue contactada ella aún cuando ya no trabajaba para ellos, y se puede decir que ya
conocía los movimientos de la empresa así como sus vulvenaribilidades, pudo haber estado
de acuerdo con algún trabajador interno de la empresa (por ejemplo Sergei) para lograr la
fuga de información.
5. Ensayo. Caso de Uso “Jefe, creo que alguien robó nuestros datos de clientes”
ITSJR 3
Castigos consecuencias
Código Penal Federal, artículos 211 bis 1 a 211 bis 7.
1. Destruir información sin autorización 6 meses a 2 años prisión, 100 a 300 días
multa.
Si se trata de sistemas o equipos del Estado, 1 a 4 años y 200 a 600 días multa.
Si se trata de sistemas o equipos de las instituciones que integran el sistema financiero 6
meses a 4 años prisión, 100 a 600 días multa.
2. Destruir información cuando se tenga autorización para el acceso.
Si se trata de sistemas o equipos del Estado, 2 a 8 años prisión y 300 a 900 días multa.
Si se trata de sistemas o equipos de las instituciones que integran el sistema financiero, 6
meses a 4 años prisión y 100 a 600 días multa.
3. Conocer o copiar información cuando se tenga autorización para el acceso
Si se trata de sistemas o equipos del Estado, 1 a 4 años prisión y 150 a 450 días multa
Si se trata de sistemas o equipos de las instituciones que integran el sistema financiero, 3
meses a 2 años prisión y 50 a 300 días multa
6. Ensayo. Caso de Uso “Jefe, creo que alguien robó nuestros datos de clientes”
ITSJR 4
Conclusión
Cada personaje antes expuesto tiene una parte de responsabilidad en cuanto a la seguridad
de la información que se maneja en la empresa. De diferentes formas se tuvieron fallas y
cada uno debe aceptar las consecuencias, Brett por no interesarse en la seguridad dejó pasar
la auditoría y no se interesó por conocer medidas de seguridad para la nueva tecnología;
Sergei por no darse cuenta antes sobre el firewalle desactivado y también por no tomar
medidas preventivas de seguridad para la nueva tecnología; Laurie, sospechosa por haber
trabajado antes en la empresa y conoce los movimientos y debilidades de la misma, así
mismo por haber sido la primera a la que informaron.
Para tener mayor certeza sobre lo que ocurrió realmentese necesitan más datos.
El robo de información y fuga de información son penados por la ley pero el castigo
depende de lo que se hace con la información obtenida ilícitamente, de cualquier forma un
acto ilícito es reprobable ante la ley y debe ser castigado adecuadamente aún cuando se
trate de un bien intangible, como lo es la información.