1. Programa de Formación de la Academia de Software Libre
Nivel : Desarrolladores en Software Libre
Módulo: Servicios web
UNIDAD 5: Norma ISO 17799
Objetivo Terminal de la Unidad
Aplicar las normas ISO17799 y las leyes por las cuales se rige la auditoría informática.
Temas
• Norma 17799
• Otras normas: ISO 13335, ISO 15408
• Leyes relacionadas con seguridad informática
Norma 17799
Debido al avance progresivo de la tecnología y al nacimiento de las diferentes
necesidades de cada compañía, un importante número de profesionales se dedicaron a
analizar y diseñar normas para la administración de las diferentes plataformas
informáticas. El British Standard en 1995 desarrolló la norma para la Administración de
Seguridad de los Sistemas de Información (BS7799). En su primera edición, recibió
muchas críticas por simplista, poco flexible y porque existían varios temas a los que las
grandes compañías tenían asignados todos sus recursos y presupuesto, principalmente el
cambio de milenio. Luego, en mayo de 1999, se publica la segunda versión y es adoptada
por Australia, Nueva Zelanda, Los Países Bajos, Noruega, Sudáfrica y Suecia. Luego de un
proceso de benchmarking realizado por la International Standard Organization (ISO), se
transformó en la norma ISO 17799. Luego de un periodo de revisión y actualización de los
contenidos del estándar, se publicó en el año 2005 el documento actualizado
denominado ISO/IEC 17799:2005.
El ISO/IEC 17799 ofrece recomendaciones de las mejores prácticas en la gestión de
la seguridad de la información a todos los interesados y responsables en iniciar,
implantar o mantener sistemas de gestión en el campo de la seguridad de la información.
La seguridad de la Información se define en el estándar como la preservación de la
confidencialidad, garantizando que sólo quienes estén autorizados pueden acceder a la
información; integridad garantizando que la información y sus métodos de proceso son
exactos y completos; y disponibilidad garantizando que los usuarios autorizados tienen
acceso a la información y a sus activos asociados cuando lo requieran.
Uno de los objetivos principales de la norma ISO 17799, es proteger la
confidencialidad, integridad y disponibilidad de la información escrita, almacenada, y
transferida. Desde su publicación se presenta como una norma técnica de seguridad de
la información reconocida a nivel mundial.
Marco de las recomendaciones
Las recomendaciones de la norma son neutrales en cuanto a la tecnología. Así por
Pág. 1 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
2. Programa de Formación de la Academia de Software Libre
Nivel : Desarrolladores en Software Libre
Módulo: Servicios web
ejemplo, la norma discute la necesidad de contar con firewalls, pero no profundiza sobre
los tipos de firewalls y cómo se utilizan, lo que conlleva a que algunos detractores de la
norma digan que es muy general y que tiene una estructura muy imprecisa y sin valor
real.
La flexibilidad e imprecisión es intencional por cuanto es difícil contar con una
norma que funcione en una variedad de entornos de tecnología de la información y que
sea capaz de desarrollarse con el cambiante mundo tecnológico. El enfoque se basa más
en un método efectivo para diseñar, comunicar y mantener las políticas y procedimientos
de seguridad, frente a las necesidades actuales, donde:
> Los usuarios necesitan políticas de seguridad claras y disponibles.
> Los administradores necesitan técnicas de seguridad y control.
> Los administradores de seguridad necesitan un entorno flexible para mantener y
comunicar las políticas de seguridad.
> Los recursos tecnológicos deben estar disponibles para todos los usuarios.
> Debe contarse con métodos para garantizar la integridad, seguridad, validez y
disponibilidad de la información.
Las once áreas de control de ISO 17799
Tal y como se mencionó con anterioridad, la norma técnica ISO 17799 ofrece una
serie de estándares reconocidos mundialmente sobre las áreas que se muestran en la
Figura N° 1.
Figura 5.1. Las 10 áreas que abarca la norma 17799. Tomado de: http://www.pc-
news.com/detalle.asp?sid=&id=11&Ida=2019
Política de seguridad: se necesita una política que refleje las expectativas de la
organización en materia de seguridad con el fin de suministrar administración con
dirección y soporte. La política también se puede utilizar como base para el estudio y
Pág. 2 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
3. Programa de Formación de la Academia de Software Libre
Nivel : Desarrolladores en Software Libre
Módulo: Servicios web
evaluación.
Organización de la seguridad: sugiere el diseño de una estructura de administración
dentro la organización que establezca la responsabilidad de los grupos en ciertas áreas
de la seguridad y un proceso para el manejo de respuesta a incidentes. Esta sección
considera las políticas generales de la organización y detalla cómo se debe administrar la
seguridad de la información dentro de la compañía. De la misma forma, define cómo
mantener la seguridad de las instalaciones de procesamiento de información y los activos
informáticos accedidos por terceros, tales como proveedores, clientes, etc.
Control y clasificación de los recursos de información: detalla los elementos de la
compañía, como los servidores, PCs, medios magnéticos, información impresa,
documentos, etc., que deben ser considerados para establecer un mecanismo de
seguridad, manteniendo una protección adecuada, y garantizando que reciban un nivel
adecuado de protección. En este sentido, los activos deben ser clasificados en:
confidenciales, privados, de uso interno y de uso público. Para cada clasificación se
deben implantar los mecanismos adecuados de seguridad de acuerdo a su importancia.
Seguridad del personal: establece la necesidad de educar e informar a los empleados
actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y
confidencialidad de la información que manejan. También determina cómo incide el papel
que desempeñan los empleados como corresponsables de la seguridad de la información.
En esta sección se busca minimizar los riesgos ocasionados por el personal, tales como
hurto y manipulación de la información, fraudes y mal uso de la plataforma tecnológica.
Su propósito es crear conciencia en los usuarios sobre los riesgos que pueden amenazar
la información, para lo cual se toman en cuenta los mecanismos y medios para informar y
capacitar periódicamente a todos los usuarios, como el personal interno de la compañía
el y personal que brinde servicios, de todas las políticas, y establecer los mecanismos de
prevención, identificación, notificación y corrección de posibles incidentes de seguridad.
Seguridad física y ambiental: este responde a la necesidad de proteger las áreas, los
equipos y los controles generales. El objetivo principal es la prevención de accesos no
autorizados a las instalaciones de la compañía, con especial atención a todos los sitios en
los cuales se procesa información, como los centros de cómputo, PC de usuarios críticos,
equipos de los proveedores de servicios, etc., y las áreas en las cuales se recibe o se
almacena la información, ya sea magnética o impresa; sensitiva como fax, áreas de envío
y recepción de documentos, archivadores, etc., de esta forma minimizando los riesgos
por pérdidas de información, hurto, daño de equipos y evitando la interrupción de las
actividades productivas.
Manejo de las comunicaciones y las operaciones: este define las políticas y
procedimientos para garantizar la correcta operación de las instalaciones de
procesamiento, como los servidores y equipos de comunicación. A continuación se
enumeran los objetivos de esta sección:
1. Garantizar la protección y el funcionamiento correcto de las instalaciones de
procesamiento de la información.
2. Minimizar el riesgo de falla de los sistemas.
Pág. 3 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
4. Programa de Formación de la Academia de Software Libre
Nivel : Desarrolladores en Software Libre
Módulo: Servicios web
3. Proteger la integridad del software y la información.
4. Conservar la integridad y disponibilidad del procesamiento y transmisión de la
información.
5. Garantizar la protección de la información en las redes y de la infraestructura de
soporte.
6. Evitar los daños a los recursos de información e interrupciones en las actividades de la
compañía.
Control de acceso: este establece la importancia de monitorear y controlar el acceso a
la red y los recursos de aplicación para protegerlos contra los abusos internos e intrusos
externos. De la misma forma, establece los diferentes tipos de accesos o privilegios a los
recursos informáticos, como el sistema operativo, las aplicaciones, el correo electrónico,
la Internet, las comunicaciones, las conexiones remotas, etc., que requiere cada
empleado de la compañía y el personal externo que brinda servicios, en concordancia
con sus responsabilidades. Esto permitirá identificar y evitar acciones o actividades no
autorizadas, garantizando los servicios informáticos.
Desarrollo y mantenimiento de los sistemas: se establece la necesidad de implantar
medidas de seguridad y aplicación de controles de seguridad en todas las etapas del
proceso de desarrollo y mantenimiento de los sistemas de información. Además, toma en
cuenta los mecanismos de seguridad que deben implantarse en el proceso de adquisición
de todos los sistemas o aplicaciones de la compañía, como la protección de archivos,
programas, base de datos, políticas de cifrado, etc., para evitar pérdidas, modificaciones,
o eliminación de los datos, asegurando así la confidencialidad e integridad de la
información.
Gestión de incidentes de seguridad: para la comunicación de eventos y puntos
débiles de seguridad de la información; gestión de incidentes y mejoras de seguridad de
la información.
Manejo de la continuidad del negocio: este considera el análisis de todos los
procesos y recursos críticos del negocio, y define las acciones y procedimientos a seguir
en casos de fallas o interrupción de los mismos, evitando la pérdida de información y la
cancelación de los procesos productivos del negocio, lo que podría provocar un deterioro
de la imagen de la compañía, una posible pérdida de clientes o incluso una dificultad
severa que impida continuar operando.
Conformidad: esta imparte las instrucciones a las organizaciones para que verifiquen si
el cumplimiento con la norma técnica ISO 17799, se corresponde con otras leyes,
reglamentos, obligaciones contractuales o cualquier requerimiento de seguridad, tales
como propiedad intelectual, auditorias, contrato de servicios, etc. Esta sección también
requiere una revisión de las políticas de seguridad, al cumplimiento y a las
consideraciones técnicas; asimismo, busca garantizar que las políticas de seguridad se
encuentren de acuerdo con la infraestructura tecnológica de la compañía.
Además, existen políticas de cifrado que especifican todos los criterios que se
deben tomar en cuenta para determinar qué tipo de información se debe almacenar en
un formato ilegible, o método de cifrado, para evitar que personas no autorizadas puedan
Pág. 4 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
5. Programa de Formación de la Academia de Software Libre
Nivel : Desarrolladores en Software Libre
Módulo: Servicios web
acceder a la misma, así como también las políticas de comercio electrónico que
establecen todas las consideraciones que se deben adoptar si la compañía cuenta con
presencia en la Internet, y cuenta con prácticas de comercio electrónico.
Al considerar las áreas que cubre esta norma técnica, si una organización no ha
adoptado un programa de protección definido de la información, ISO 17799 puede servir
de parámetro para que lo defina, e incluso, puede servirle de guía para configurar la
política de seguridad de cualquier empresa.
En general, las mejores prácticas son simplemente la mejor manera de cumplir con
un proceso de negocio. Algunos de los beneficios perseguidos por las organizaciones al
adoptar, mantener y comunicar un marco de referencia son:
• Presentan una ventaja significativa desde la perspectiva de la seguridad y control
sobre aquellas que carecen de dicho marco de referencia.
• Si se utiliza un criterio estándar para la configuración y administración de los
sistemas de la organización, se puede minimizar la posibilidad de que una
debilidad en uno de estos pueda comprometer los controles de acceso de los
restantes, a pesar de que éstos cuenten con medidas de seguridad robustas,
explotando sus vínculos habituales.
• Al adoptar los estándares y marcos de referencia comunes, la organización puede
construir una arquitectura de seguridad que permita minimizar las brechas que se
puedan registrar entre las amenazas detectadas y los controles existentes,
mitigando el riesgo asociado a una eventual ocurrencia de dicha amenaza.
• Las partes interesadas, como es Auditoria Interna y Administradores del Seguridad,
pueden ser apoyadas por la existencia de un marco de referencia en el área de TI,
facilitando su entendimiento respecto a los roles, políticas y estándares y la tarea
de lograr el cumplimiento de los mismos.
• Se le facilita a la organización la simplificación, estandarización y automatización
de los servicios de seguridad.
Otras normas: ISO 13335, ISO 15408
ISO 15408
Es un Estándar Internacional creado en conjunto por Estados Unidos, Canadá,
Francia, Alemania e Inglaterra, para reemplazar al obsoleto “Libro Naranja”, llamado
también Trusted Computer System Evaluation Criteria; que fue un Libro creado por el
Ministerio de Defensa norteamericano para certificar el nivel de seguridad de los
sistemas operativos para sus computadores desde el año 1983.
La ISO o Organización Internacional para la Estandarización, y la IEC o Comisión
Electrotécnica Internacional, a través de sus comisiones técnicas desarrollaron la ISO
15408, conocida también como Common Criteria, con la participación de otras
instituciones patrocinadoras gubernamentales y no gubernamentales.
Objetivos:
Los objetivos de la ISO 15408, son:
Pág. 5 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
6. Programa de Formación de la Academia de Software Libre
Nivel : Desarrolladores en Software Libre
Módulo: Servicios web
• Definir un criterio común para la especificación del nivel de seguridad de sistemas
y productos de Tecnología de Información (TI) de diverso tipo.
• Definir un conjunto de requerimientos común para las funciones de seguridad de
productos del área.
• Permitir efectuar un análisis de evaluación de seguridad independiente, para
distintos objetos de TI.
• Proporcionar una guía para el desarrollo de productos o sistemas de TI con
funciones de seguridad.
• Contar con una guía para la adquisición y configuración de productos de tecnología
y seguridad.
Partes que la componen
Este estándar se divide en tres partes, que son:
Parte 1 Modelo General
Parte 2 Requisitos Funcionales: que definen el comportamiento de seguridad
deseado frente a las amenazas que se encuentran presentes en el entorno de operación
del TOE (Target Of Evaluation). Por ejemplo, los requisitos para la identificación, no
rechazo, auditabilidad de la seguridad y otros.
Parte 3 Requisitos para Aseguramiento: son requisitos para otorgar una certeza
razonable de la Seguridad del Sistema. Son las propiedades del TOE que dan la confianza
de que la seguridad que el TOE dice proporcionar es efectiva, y se implementa de forma
correcta.
ISO 13335
El objetivo de este estándar es el de ofrecer una serie de guías, no soluciones,
sobre los aspectos para administrar la seguridad de TI. Está dirigido a las funciones
responsables de administrar la seguridad, ellas deben poder aplicar esta guía para sus
entornos específicos de trabajo.
Objetivos
Los objetivos principales de esta guía son:
• Definir y describir los conceptos asociados con Seguridad de TI.
• Identificar las relaciones que deben existir entre la administración de seguridad en
TI con la administración general de TI.
• Presentar modelos definidos para analizar e implementar una estructura adecuada
de seguridad en TI.
• Ofrecer una guía general de referencia para evaluar e implementar la seguridad de
TI.
Pág. 6 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
7. Programa de Formación de la Academia de Software Libre
Nivel : Desarrolladores en Software Libre
Módulo: Servicios web
Elementos que la componen
El estándar está compuesto de las siguientes partes:
• Parte 1: Conceptos y Modelos de Seguridad en TI.
• Parte 2: Planificación y Administración de la Seguridad de TI.
• Parte 3: Técnicas de Administración de Seguridad de TI.
• Parte 4: Selección de Salvaguardas.
• Parte 5: Guías de Administración para Seguridad de redes.
Las partes descritas se refieren a:
Parte 1: ofrece los conceptos fundamentales y los modelos para describir la
administración de seguridad en TI. Este material esta orientado para los responsables de
la seguridad de TI y responsables de seguridad a nivel negocio.
Parte 2: describe los aspectos de planificación y administración. Relevante para
gerentes con responsabilidad relacionada con la organización de los sistemas de TI, estos
pueden ser:
• Responsables del diseño, implementación, testeo y operación de sistemas de TI.
• Gerentes propietarios de sistemas de información.
Parte 3: describe las técnicas relevantes orientadas para aquellas personas involucradas
con actividades de administración y gerencia durante el ciclo de vida del proyecto, como
son la planificación, el diseño, la implementación, el testeo, y la adquisición u operación.
Parte 4: ofrece las pautas para la selección de salvaguardas, y cómo estas pueden ser
soportadas con el uso de un modelo básico y los respectivos controles. Describe cómo
estas salvaguardas complementan las técnicas descritas en la Parte 3 y cómo los
métodos adicionales de evaluación pueden ser utilizados para la selección de las
salvaguardas.
Parte 5: ofrece las pautas con respecto a las redes y comunicaciones para aquellos
responsables por su seguridad. Considera la identificación y análisis de factores que
pueden ser considerados al momento de establecer los requerimientos de seguridad de
una red. También incluye un borrador para identificar las áreas de salvaguarda.
Leyes relacionadas con la Seguridad Informática
Ley Especial sobre Delitos Informáticos:
Esta ley tiene por objetivo la protección integral de los sistemas que utilicen
tecnologías de información, así como la prevención y sanción de los delitos cometidos
contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso
de dichas tecnologías, en los términos previstos en dicha ley. Esta ley tipifica los delitos y
establece las penas con sus circunstancias agravantes y atenuantes; así como también
las penas accesorias, entre las clases de delitos que establece se encuentran:
Pág. 7 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
8. Programa de Formación de la Academia de Software Libre
Nivel : Desarrolladores en Software Libre
Módulo: Servicios web
1. Contra los sistemas que utilizan tecnologías de información: acceso indebido;
sabotaje o daño a sistemas; sabotaje o daño culposo; acceso indebido o sabotaje a
sistemas protegidos; posesión de equipos o prestación de servicios de sabotaje;
espionaje informático y falsificación de documentos.
2. Delitos contra la propiedad: hurto, fraude, obtención indebida de bienes o
servicios; apropiación o manejo fraudulento de tarjetas inteligentes o instrumentos
análogos; provisión indebida de bienes o servicios; posesión de equipo para
falsificaciones.
3. Delitos contra la privacidad de las personas y de las comunicaciones: la violación
de la privacidad de la data o información de carácter personal; violación de la
privacidad de las comunicaciones y la revelación indebida de data o información de
carácter personal.
4. Delitos contra niños, niñas o adolescentes: la difusión o exhibición de material
pornográfico; exhibición pornográfica de niños o adolescentes.
5. Delitos contra el orden económico: apropiación de propiedad intelectual; oferta
engañosa, entre otras disposiciones comunes.
Los delitos contra los sistemas que utilizan tecnología de información son los siguientes:
a) El acceso indebido a un sistema, penado con prisión de uno a cinco años y multa de 10
a 50 unidades tributarias (UT);
b) El sabotaje o daño a sistemas, incluyendo cualquier acto que altere su funcionamiento,
penado con prisión de cuatro a ocho años y multa de 400 a 800 UT, que aumentará a
prisión de cinco a diez años y multa de 500 a 1.000 UT si para su comisión se utiliza un
virus o medio análogo. Si se trata de sabotaje o daño culposo, la pena se reduce entre la
mitad y dos tercios. Si se trata de sabotaje o acceso indebido a sistemas protegidos, la
pena aumenta entre la tercera parte y la mitad.
c) La posesión de equipos o prestación de servicios para actividades de sabotaje, penado
con prisión de tres a seis años y multa de 300 a 600 UT.
d) El espionaje informático, que incluye la obtención, difusión y revelación de
información, hechos o conceptos contenidos en un sistema, penado con prisión de tres a
seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para
sí o para otro, la pena aumenta entre un tercio y la mitad. El aumento será de la mitad a
dos tercios si se pone en peligro la seguridad del Estado, la confiabilidad de la operación
de las personas afectadas o si como resultado de la revelación alguna persona sufre un
daño.
e) La falsificación de documentos mediante el uso de tecnologías de información o la
Pág. 8 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
9. Programa de Formación de la Academia de Software Libre
Nivel : Desarrolladores en Software Libre
Módulo: Servicios web
creación, modificación o alteración de datos en un documento, penado con prisión de tres
a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio
para sí o para otro, la pena aumenta entre un tercio y la mitad. Si el hecho resulta en un
perjuicio para otro, el aumento será de la mitad a dos tercios.
Así mismo los delitos contemplados contra la propiedad son:
a) El hurto, que consiste básicamente en apoderarse de un bien o valor tangible o
intangible de carácter patrimonial, sustrayéndolo a su tenedor mediante el acceso,
interceptación, interferencia, manipulación o uso de un sistema que utilice tecnologías de
información, penado con prisión de dos a seis años y multa de 200 a 600 UT.
b) El fraude realizado mediante el uso indebido de tecnologías de información, penado
con prisión de tres a siete años y multa de 300 a 700 UT.
c) La obtención indebida de bienes o servicios mediante el uso de tarjetas inteligentes;
tarjetas de crédito, de débito o de identificación que garanticen el acceso a un sistema
reservado u otras similares, penado con prisión de dos a seis años y multa de 200 a 600
UT.
d) El manejo fraudulento de tarjetas inteligentes, o la creación, duplicación o
incorporación indebida de datos a registros, listas de consumo o similares, penado con
prisión de cinco a diez años y multa de 500 a 1.000 UT. La misma pena será impuesta a
quienes sin tomar parte en los hechos descritos se beneficien de resultados obtenidos.
e) La apropiación indebida de tarjetas inteligentes, penado con prisión de uno a cinco
años y multa de 10 a 50 UT. La misma pena se impondrá a quien reciba o adquiera
dichas tarjetas.
f) Provisión indebida de bienes o servicios utilizando una tarjeta inteligente, a sabiendas
de que dicho instrumento ha sido falsificado, está vencido o ha sido alterado, penado con
prisión de dos a seis años y multa de 200 a 600 UT.
g) La posesión de equipos para falsificaciones, penado con prisión de tres a seis años y
multa de 300 a 600 UT.
Para el caso de los delitos contra la privacidad de las personas y las comunicaciones, se
tienen los siguientes:
a) La violación de la privacidad de la data o información de carácter personal que se
encuentre en un sistema que use tecnologías de información, penado con prisión de dos
a seis años y multa de 200 a 600 UT. Esta pena se aumentara de un tercio a la mitad si
como consecuencia del delito descrito resulta un perjuicio para el titular de la información
o para un tercero.
b) La violación de la privacidad de las comunicaciones, penado con prisión de dos a seis
años de prisión y una multa de 200 a 600 UT.
Pág. 9 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
10. Programa de Formación de la Academia de Software Libre
Nivel : Desarrolladores en Software Libre
Módulo: Servicios web
c) La revelación indebida de datos o información obtenidos por los medios descritos en
los literales a) o b) anteriores, penado con prisión de dos a seis años y multa de 200 a
600 UT. Esta pena se aumentara de un tercio a la mitad si el delito se cometió con fines
de lucro o si resulta en un perjuicio para otro.
Adicionalmente, para los delitos contra niños y adolescentes se tienen:
a) La difusión o exhibición de material pornográfico sin la debida advertencia para que se
restrinja el acceso a menores de edad, penado con prisión de dos a seis años y multa de
200 a 600 UT.
b) La exhibición pornográfica de niños o adolescentes, penado con prisión de cuatro a
ocho años y multa de 400 a 800 UT.
Por último tipo contempla los delitos contra el orden económico, que son los siguientes:
a) La apropiación indebida de propiedad intelectual mediante la reproducción,
divulgación, modificación o copia de un software, penado con prisión de uno a cinco años
y multa de 100 a 500 UT.
b) La oferta engañosa de bienes o servicios mediante la utilización de tecnologías de la
información, penado con prisión de uno a cinco años y multa de 100 a 500 UT, sin
perjuicio de la comisión de un delito más grave.
Además de las penas principales indicadas antes se impondrán, sin perjuicio de las
establecidas en el Código Penal, las siguientes penas adicionales:
(i) El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y
cualquier otro objeto que haya sido utilizado para la comisión de los delitos previstos en
los artículos 10 y 19 de la Ley; la posesión de equipos o prestación de servicios de
sabotaje y posesión de equipos para falsificaciones.
(ii) Trabajo comunitario por el término de hasta tres años en los casos de los delitos
previstos los artículos 6 y 8 de la Ley; por el acceso indebido y favorecimiento culposo del
sabotaje o daño.
(iii) La inhabilitación para el ejercicio de funciones o empleos públicos; para el ejercicio de
la profesión, arte o industria; o para laborar en instituciones o empresas del ramo por un
período de hasta tres años después de cumplida o conmutada la sanción principal,
cuando el delito se haya cometido con abuso de la posición de acceso a data o
información reservadas, o al conocimiento privilegiado de contraseñas, en razón del
ejercicio de un cargo o función público, del ejercicio privado de una profesión u oficio, o
del desempeño en una institución o empresa privada.
(iv) La suspensión del permiso, registro o autorización para operar o para ejercer cargos
directivos y de representación de personas jurídicas vinculadas con el uso de tecnologías
de información, hasta por el período de tres años después de cumplida o conmutada la
Pág. 10 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
11. Programa de Formación de la Academia de Software Libre
Nivel : Desarrolladores en Software Libre
Módulo: Servicios web
sanción principal, si para cometer el delito el agente se valió de o hizo figurar a una
persona jurídica.
(v) Además, el tribunal podrá disponer la publicación o difusión de la sentencia
condenatoria por el medio que considere más idóneo.
Pág. 11 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799