3. ¿QUÉ ES?
• ¿QUÉ SON LOS RIESGOS INFORMÁTICOS?
SON EXPOSICIONES TALES COMO ATENTADOS Y AMENAZAS A LOS SISTEMAS DE INFORMACIÓN
EXISTE LA AMENAZA A LOS BIENES O SERVICIOS INFORMÁTICOS, COMO EQUIPOS INFORMÁTICOS,
PERIFÉRICOS, INSTALACIONES, PROGRAMAS DE COMPUTO, ETC.
4. TIPOS DE RIESGOS
• RIESGO DE INTEGRIDAD
• INTERFACE DEL USUARIO
• RIESGO DE RELACIÓN
• RIESGO DE ACCESO
• RIESGO DE UTILIDAD
• RIESGO EN LA INFRAESTRUCTURA
• RIESGO DE SEGURIDAD GENERAL
5. FORMAS DE EVITAR EL RIESGO
INFORMÁTICO
• NO INGRESAR A ENLACES SOSPECHOSOS: EVITAR HACER CLIC EN HIPERVÍNCULOS O ENLACES DE
PROCEDENCIA DUDOSA PARA PREVENIR EL ACCESO A PÁGINAS WEB QUE POSEAN AMENAZAS
INFORMÁTICAS. RECUERDE QUE ESTE TIPO DE ENLACES PUEDEN ESTAR PRESENTES EN UN CORREO
ELECTRÓNICO, UNA VENTANA DE CHAT O UN MENSAJE EN UNA RED SOCIAL.
6. • NO ACCEDER A SITIOS WEB DE DUDOSA REPUTACIÓN: A TRAVÉS DE TÉCNICAS DE INGENIERÍA SOCIAL,
MUCHOS SITIOS WEB SUELEN PROMOCIONARSE CON DATOS QUE PUEDEN LLAMAR LA ATENCIÓN DEL
USUARIO - COMO DESCUENTOS EN LA COMPRA DE PRODUCTOS (O INCLUSO OFRECIMIENTOS
GRATUITOS), PRIMICIAS O MATERIALES EXCLUSIVOS DE NOTICIAS DE ACTUALIDAD, MATERIAL
MULTIMEDIA, ETC. SE RECOMIENDA ESTAR ATENTO A ESTOS MENSAJES Y EVITAR ACCEDER A PÁGINAS
WEB CON ESTAS CARACTERÍSTICAS.
7. • ACTUALIZAR EL SISTEMA OPERATIVO Y APLICACIONES: SE RECOMIENDA SIEMPRE MANTENER
ACTUALIZADOS LOS ÚLTIMOS PARCHES DE SEGURIDAD Y SOFTWARE DEL SISTEMA OPERATIVO PARA
EVITAR LA PROPAGACIÓN DE AMENAZAS A TRAVÉS DE LAS VULNERABILIDADES QUE POSEA EL SISTEMA.
8. • ACEPTAR SÓLO CONTACTOS CONOCIDOS: TANTO EN LOS CLIENTES DE MENSAJERÍA INSTANTÁNEA COMO
EN REDES SOCIALES, ES RECOMENDABLE ACEPTAR E INTERACTUAR SÓLO CON CONTACTOS CONOCIDOS.
DE ESTA MANERA SE EVITA ACCEDER A LOS PERFILES CREADOS POR LOS ATACANTES PARA COMUNICARSE
CON LAS VICTIMAS Y EXPONERLAS A DIVERSAS AMENAZAS INFORMÁTICAS.
9. • DESCARGAR APLICACIONES DESDE SITIOS WEB OFICIALES: ES RECOMENDABLE QUE AL MOMENTO DE
DESCARGAR APLICACIONES LO HAGA SIEMPRE DESDE LAS PÁGINAS WEB OFICIALES. ESTO SE DEBE A QUE
MUCHOS SITIOS SIMULAN OFRECER PROGRAMAS POPULARES QUE SON ALTERADOS, MODIFICADOS O
SUPLANTADOS POR VERSIONES QUE CONTIENEN ALGÚN TIPO DE MALWARE Y DESCARGAR EL CÓDIGO
MALICIOSO AL MOMENTO QUE EL USUARIO LO INSTALA EN EL SISTEMA.
10. • EVITAR LA EJECUCIÓN DE ARCHIVOS SOSPECHOSOS: LA PROPAGACIÓN DE MALWARE SUELE REALIZARSE
A TRAVÉS DE ARCHIVOS EJECUTABLES. ES RECOMENDABLE EVITAR LA EJECUCIÓN DE ARCHIVOS A MENOS
QUE SE CONOZCA LA SEGURIDAD DEL MISMO Y SU PROCEDENCIA SEA CONFIABLE.
11. • UTILIZAR TECNOLOGÍAS DE SEGURIDAD: LAS SOLUCIONES ANTIVIRUS, FIREWALL Y ANTISPAM
REPRESENTAN LAS APLICACIONES MÁS IMPORTANTES PARA LA PROTECCIÓN DEL EQUIPO ANTE LA
PRINCIPALES AMENAZAS QUE SE PROPAGAN POR INTERNET.
UTILIZAR ESTAS TECNOLOGÍAS DISMINUYE EL RIESGO Y EXPOSICIÓN ANTE AMENAZAS.
12. • EVITAR EL INGRESO DE INFORMACIÓN PERSONAL EN FORMULARIOS DUDOSOS: CUANDO EL USUARIO SE
ENFRENTE A UN FORMULARIO WEB QUE CONTENGA CAMPOS CON INFORMACIÓN SENSIBLE (POR EJEMPLO,
USUARIO Y CONTRASEÑA), ES RECOMENDABLE VERIFICAR LA LEGITIMIDAD DEL SITIO. UNA BUENA
ESTRATEGIA ES CORROBORAR EL DOMINIO Y LA UTILIZACIÓN DEL PROTOCOLO HTTPS PARA GARANTIZAR
LA CONFIDENCIALIDAD DE LA INFORMACIÓN.
13. • TENER PRECAUCIÓN CON LOS RESULTADOS ARROJADOS POR LOS BUSCADORES WEB: A TRAVÉS DE
TÉCNICAS DE BLACK HAT SEO, LOS ATACANTES SUELEN POSICIONAR SUS SITIOS WEB ENTRE LOS
PRIMEROS LUGARES EN LOS RESULTADOS DE LOS BUSCADORES, ESPECIALMENTE EN LOS CASOS DE
BÚSQUEDAS DE PALABRAS CLAVE MUY UTILIZADAS POR EL PÚBLICO. ANTE CUALQUIERA DE ESTAS
BÚSQUEDAS, EL USUARIO DEBE ESTAR ATENTO A LOS RESULTADOS Y VERIFICAR A QUÉ SITIOS WEB ESTÁ
SIENDO ENLAZADO.
14. • UTILIZAR CONTRASEÑAS FUERTES: SE RECOMIENDA LA UTILIZACIÓN DE CONTRASEÑAS FUERTES, CON
DISTINTOS TIPOS DE CARACTERES Y UNA LONGITUD NO MENOR A LOS 8 CARACTERES.
15. ASPECTO JURÍDICO
• LA NORMA CONSAGRA UN CONJUNTO SIGNIFICATIVO DE DOMINIOS QUE PRETENDEN ESTABLECER UN
CICLO DE SEGURIDAD LO MÁS COMPLETO POSIBLE, ADVIRTIENDO QUE NO TODOS ELLOS TIENEN IMPACTO
JURÍDICO. DESDE YA ES IMPORTANTE MENCIONAR QUE EL ENFOQUE QUE SE PROPONE SE ALIMENTA TANTO
DE NORMATIVIDAD NACIONAL COMO INTERNACIONAL, ASÍ COMO DE OTRAS FUENTES DEL DERECHO, EN
RAZÓN DE LA ESCASA LEGISLACIÓN QUE EXISTE.
16. LA NORMA ISO 27 001,
CONTEMPLA DIEZ
DOMINIOS
1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
3. GESTIÓN DE ACTIVOS
4. SEGURIDAD DE RECURSOS HUMANOS
5. SEGURIDAD FÍSICA Y DEL ENTORNO
6. GESTIÓN DE COMUNICACIONES Y OPERACIONES
7. CONTROL DE ACCESO
8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIÓN
9. GESTIÓN DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN
10.CUMPLIMIENTO
17. ESTOS DOMINIOS ESTÁN COMPUESTOS POR UN CONJUNTO DE SUBDOMINIOS Y SUS CORRESPONDIENTES CONTROLES, LOS CUALES
HAN DE SER ABORDADOS ADOPTANDO UN MODELO PHVA (PLANIFICAR, ACTUAR, VERIFICAR Y ACTUAR).
EL ENFOQUE BASADO EN PROCESOS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN, PRESENTADO EN ESTA NORMA,
ESTIMULA A LOS USUARIOS A HACER ÉNFASIS EN LA IMPORTANCIA DE:
COMPRENDER LOS REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN DEL NEGOCIO, Y LA NECESIDAD DE ESTABLECER LA POLÍTICA Y
OBJETIVOS EN RELACIÓN CON LA SEGURIDAD DE LA INFORMACIÓN;
IMPLEMENTAR Y OPERAR CONTROLES PARA MANEJAR LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN DE UNA ORGANIZACIÓN EN
EL CONTEXTO DE LOS RIESGOS GLOBALES DEL NEGOCIO DE LA ORGANIZACIÓN;
EL SEGUIMIENTO Y REVISIÓN DEL DESEMPEÑO Y EFICACIA DEL SGSI, Y
LA MEJORA CONTINUA BASADA EN LA MEDICIÓN DEL OBJETIVOS.
18. LA COMPRENSIÓN DE LA FINALIDAD Y DE LOS PROCESOS INVOLUCRADOS EN LA APLICACIÓN DE LA NORMA ISO 27 001 ES UN
REQUISITO FUNDAMENTAL PARA LA ADECUADA CONTRIBUCIÓN DESDE EL DERECHO AL SISTEMA DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN EN UNA ORGANIZACIÓN, TEMA QUE NO PUEDE OBVIAR EL OPERADOR JURÍDICO QUE COMO CONSULTOR
INTERVENGA.
AL RESPECTO SE IDENTIFICAN SEIS GRANDES TEMAS DESDE LA PERSPECTIVA JURÍDICA: LA PROTECCIÓN DE DATOS
PERSONALES; LA CONTRATACIÓN DE BIENES INFORMÁTICOS Y TELEMÁTICOS; EL DERECHO LABORAL Y PRESTACIÓN DE
SERVICIOS, RESPECTO DE LA REGULACIÓN DE ASPECTOS TECNOLÓGICOS; LOS SERVICIOS DE COMERCIO ELECTRÓNICO; LA
PROPIEDAD INTELECTUAL Y EL TRATAMIENTO DE LOS INCIDENTES INFORMÁTICOS.
PARA EL ÉXITO DE LAS RECOMENDACIONES JURÍDICAS EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN ES CLAVE QUE LAS
MISMAS ESTÉN ALINEADAS CON LA ESTRATEGIA Y POLÍTICA GENERAL QUE LA ORGANIZACIÓN ADOPTE EN ESTA MATERIA.
19. LAS NORMATIVAS
• ARTÍCULO 269A. ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. <ARTÍCULO ADICIONADO
POR EL ARTÍCULO 1 DE LA LEY 1273 DE 2009. EL NUEVO TEXTO ES EL SIGUIENTE:> EL QUE,
SIN AUTORIZACIÓN O POR FUERA DE LO ACORDADO, ACCEDA EN TODO O EN PARTE A UN
SISTEMA INFORMÁTICO PROTEGIDO O NO CON UNA MEDIDA DE SEGURIDAD, O SE
MANTENGA DENTRO DEL MISMO EN CONTRA DE LA VOLUNTAD DE QUIEN TENGA EL
LEGÍTIMO DERECHO A EXCLUIRLO, INCURRIRÁ EN PENA DE PRISIÓN DE CUARENTA Y OCHO
(48) A NOVENTA Y SEIS (96) MESES Y EN MULTA DE 100 A 1.000 SALARIOS MÍNIMOS LEGALES
MENSUALES VIGENTES
• ARTÍCULO 269B. OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE
TELECOMUNICACIÓN. <ARTÍCULO ADICIONADO POR EL ARTÍCULO 1 DE LA LEY 1273 DE 2009.
EL NUEVO TEXTO ES EL SIGUIENTE:> EL QUE, SIN ESTAR FACULTADO PARA ELLO, IMPIDA U
OBSTACULICE EL FUNCIONAMIENTO O EL ACCESO NORMAL A UN SISTEMA INFORMÁTICO, A
LOS DATOS INFORMÁTICOS ALLÍ CONTENIDOS, O A UNA RED DE TELECOMUNICACIONES,
INCURRIRÁ EN PENA DE PRISIÓN DE CUARENTA Y OCHO (48) A NOVENTA Y SEIS (96) MESES
Y EN MULTA DE 100 A 1000 SALARIOS MÍNIMOS LEGALES MENSUALES VIGENTES, SIEMPRE
QUE LA CONDUCTA NO CONSTITUYA DELITO SANCIONADO CON UNA PENA MAYOR.
20. • ARTÍCULO 269C. INTERCEPTACIÓN DE DATOS INFORMÁTICOS. <ARTÍCULO ADICIONADO
POR EL ARTÍCULO 1 DE LA LEY 1273 DE 2009. EL NUEVO TEXTO ES EL SIGUIENTE:> EL
QUE, SIN ORDEN JUDICIAL PREVIA INTERCEPTE DATOS INFORMÁTICOS EN SU ORIGEN,
DESTINO O EN EL INTERIOR DE UN SISTEMA INFORMÁTICO, O LAS EMISIONES
ELECTROMAGNÉTICAS PROVENIENTES DE UN SISTEMA INFORMÁTICO QUE LOS
TRANSPORTE INCURRIRÁ EN PENA DE PRISIÓN DE TREINTA Y SEIS (36) A SETENTA Y
DOS (72) MESES.
• ARTÍCULO 269D. DAÑO INFORMÁTICO. <ARTÍCULO ADICIONADO POR EL ARTÍCULO 1 DE
LA LEY 1273 DE 2009. EL NUEVO TEXTO ES EL SIGUIENTE:> EL QUE, SIN ESTAR
FACULTADO PARA ELLO, DESTRUYA, DAÑE, BORRE, DETERIORE, ALTERE O SUPRIMA
DATOS INFORMÁTICOS, O UN SISTEMA DE TRATAMIENTO DE INFORMACIÓN O SUS
PARTES O COMPONENTES LÓGICOS, INCURRIRÁ EN PENA DE PRISIÓN DE CUARENTA Y
OCHO (48) A NOVENTA Y SEIS (96) MESES Y EN MULTA DE 100 A 1.000 SALARIOS
MÍNIMOS LEGALES MENSUALES VIGENTES
21. • ARTÍCULO 269E. USO DE SOFTWARE MALICIOSO. <ARTÍCULO ADICIONADO POR EL
ARTÍCULO 1 DE LA LEY 1273 DE 2009. EL NUEVO TEXTO ES EL SIGUIENTE:> EL QUE, SIN
ESTAR FACULTADO PARA ELLO, PRODUZCA, TRAFIQUE, ADQUIERA, DISTRIBUYA,
VENDA, ENVÍE, INTRODUZCA O EXTRAIGA DEL TERRITORIO NACIONAL SOFTWARE
MALICIOSO U OTROS PROGRAMAS DE COMPUTACIÓN DE EFECTOS DAÑINOS,
INCURRIRÁ EN PENA DE PRISIÓN DE CUARENTA Y OCHO (48) A NOVENTA Y SEIS (96)
MESES Y EN MULTA DE 100 A 1.000 SALARIOS MÍNIMOS LEGALES MENSUALES
VIGENTES.
• ARTÍCULO 269F. VIOLACIÓN DE DATOS PERSONALES. <ARTÍCULO ADICIONADO POR EL
ARTÍCULO 1 DE LA LEY 1273 DE 2009. EL NUEVO TEXTO ES EL SIGUIENTE:> EL QUE, SIN
ESTAR FACULTADO PARA ELLO, CON PROVECHO PROPIO O DE UN TERCERO,
OBTENGA, COMPILE, SUSTRAIGA, OFREZCA, VENDA, INTERCAMBIE, ENVÍE, COMPRE,
INTERCEPTE, DIVULGUE, MODIFIQUE O EMPLEE CÓDIGOS PERSONALES, DATOS
PERSONALES CONTENIDOS EN FICHEROS, ARCHIVOS, BASES DE DATOS O MEDIOS
SEMEJANTES, INCURRIRÁ EN PENA DE PRISIÓN DE CUARENTA Y OCHO (48) A NOVENTA
Y SEIS (96) MESES Y EN MULTA DE 100 A 1000 SALARIOS MÍNIMOS LEGALES MENSUALES
VIGENTES.
22. • ARTÍCULO 269G. SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS
PERSONALES. <ARTÍCULO ADICIONADO POR EL ARTÍCULO 1 DE LA LEY 1273 DE 2009. EL
NUEVO TEXTO ES EL SIGUIENTE:> EL QUE CON OBJETO ILÍCITO Y SIN ESTAR
FACULTADO PARA ELLO, DISEÑE, DESARROLLE, TRAFIQUE, VENDA, EJECUTE,
PROGRAME O ENVÍE PÁGINAS ELECTRÓNICAS, ENLACES O VENTANAS EMERGENTES,
INCURRIRÁ EN PENA DE PRISIÓN DE CUARENTA Y OCHO (48) A NOVENTA Y SEIS (96)
MESES Y EN MULTA DE 100 A 1.000 SALARIOS MÍNIMOS LEGALES MENSUALES
VIGENTES, SIEMPRE QUE LA CONDUCTA NO CONSTITUYA DELITO SANCIONADO CON
PENA MÁS GRAVE.
EN LA MISMA SANCIÓN INCURRIRÁ EL QUE MODIFIQUE EL SISTEMA DE RESOLUCIÓN DE
NOMBRES DE DOMINIO, DE TAL MANERA QUE HAGA ENTRAR AL USUARIO A UNA IP
DIFERENTE EN LA CREENCIA DE QUE ACCEDA A SU BANCO O A OTRO SITIO PERSONAL O
DE CONFIANZA, SIEMPRE QUE LA CONDUCTA NO CONSTITUYA DELITO SANCIONADO CON
PENA MÁS GRAVE.
LA PENA SEÑALADA EN LOS DOS INCISOS ANTERIORES SE AGRAVARÁ DE UNA TERCERA
PARTE A LA MITAD, SI PARA CONSUMARLO EL AGENTE HA RECLUTADO VÍCTIMAS EN LA
CADENA DEL DELITO
23. • ARTÍCULO 269H. CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA. <ARTÍCULO ADICIONADO POR EL
ARTÍCULO 1 DE LA LEY 1273 DE 2009. EL NUEVO TEXTO ES EL SIGUIENTE:> LAS PENAS IMPONIBLES DE
ACUERDO CON LOS ARTÍCULOS DESCRITOS EN ESTE TÍTULO, SE AUMENTARÁN DE LA MITAD A LAS TRES
CUARTAS PARTES SI LA CONDUCTA SE COMETIERE:
1. SOBRE REDES O SISTEMAS INFORMÁTICOS O DE COMUNICACIONES ESTATALES U OFICIALES O DEL
SECTOR FINANCIERO, NACIONALES O EXTRANJEROS.
2. POR SERVIDOR PÚBLICO EN EJERCICIO DE SUS FUNCIONES.
3. APROVECHANDO LA CONFIANZA DEPOSITADA POR EL POSEEDOR DE LA INFORMACIÓN O POR QUIEN
TUVIERE UN VÍNCULO CONTRACTUAL CON ESTE.
4. REVELANDO O DANDO A CONOCER EL CONTENIDO DE LA INFORMACIÓN EN PERJUICIO DE OTRO.
5. OBTENIENDO PROVECHO PARA SÍ O PARA UN TERCERO.
6. CON FINES TERRORISTAS O GENERANDO RIESGO PARA LA SEGURIDAD O DEFENSA NACIONAL.
7. UTILIZANDO COMO INSTRUMENTO A UN TERCERO DE BUENA FE.
8. SI QUIEN INCURRE EN ESTAS CONDUCTAS ES EL RESPONSABLE DE LA ADMINISTRACIÓN, MANEJO O
CONTROL DE DICHA INFORMACIÓN, ADEMÁS SE LE IMPONDRÁ HASTA POR TRES AÑOS, LA PENA DE
INHABILITACIÓN PARA EL EJERCICIO DE PROFESIÓN RELACIONADA CON SISTEMAS DE INFORMACIÓN
PROCESADA CON EQUIPOS COMPUTACIONALES.